Conception de l'architecture d'un réseau de capteurs sans fil de ...
Déploiement de réseaux de campus Session 1 - cisco.com · conception modulaire ... design d’un...
Transcript of Déploiement de réseaux de campus Session 1 - cisco.com · conception modulaire ... design d’un...
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1 111
2© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Déploiement deréseaux de campus
Session 1.8
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
333© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Objectif
• Objectif de la session : Il s’agit d’une session de niveau intermédiaire qui met l’accent sur le modèle de design multicouche de Cisco destiné aux réseaux de campus; elle porte sur les pratiques exemplaires, les particularités de mise en œuvre et les pièges courants au niveau du design.
• Nous supposons que les participants ont une connaissance des protocoles de commutation et de routage LAN courants.
444© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Ordre du jour
• Vue d’ensemble du modèle multicouche
• Pratiques exemplaires en matière de design de réseau campus
• Implantation
• Particularités et pièges de design
• Services de réseau campus
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
555© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Avantages du design multicouche
• Hiérarchie—Chaque couche joue un rôle spécifique
• Modularité—La topologie est basée sur une conception modulaire
• Avec des modules il est plus facile de croître de comprendre et de dépanner
• Le design multicouche promouvoit l’efficacité et la redondance
• Un bon design assure des configurations de trafic uniformes et déterminantes
666© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Design de réseau multicouche
DistributionDistribution
AccèsAccès
DorsaleDorsale
WANWAN InternetInternet RTPCRTPC
Parc de serveursParc de serveurs
Ajouts de modules Ajouts de modules
Noyau
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
777© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Lignes directrices du design multicouche
• AccèsCommutation de couche 2 au niveau de l’armoire de câblage (peut être sensible à la couche 3)
Frontière de confiance (trust boundary) et de politique (policy boundary)
• DistributionCommutation de niveau 3
Utilisation de protocoles de routage pour assurer des avantages comme l’équilibre de charge, la convergence rapide et l’évolutivité
Procure une redondance/résilience de premier bond
Regroupe les éléments de la couche d’accès
• Noyau Commutation de couche 3 au niveau de la dorsale pour assurer équilibre de charge, convergence rapide et évolutivité
Nécessité d’un service haute vitesse sans exécution des politiques
888© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Définition de la couche d’accès
Regroupement des postes des utilisateurs finals, des téléphones IP et des serveurs
Connexion aux commutateurs de la couche de distribution Toutes les liaisons ascendantes acheminent activement le trafic (distribution de couche 3)
Dispositif de couche 2—Avec l’intelligence de couche 3 (sécurité, QoS, IP Multicast, etc.)
Utilisation de Intelligent Network Services pour l’établissement de la frontière de confiance (Trust Boundary)
Commutateurs d’accès
Commutateurs de distribution
Versnoyau
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
999© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Mécanismes de la couche d’accès
• Protocoles de niveau 2 (spanning tree protocol)
IEEE 802.1D, Rapid Spanning Tree Protocol (802.1w), Multiple Spanning Tree (802.1s )
• Caractéristiques STPUplinkFast, CrossStack UplinkFast, Portfast, LoopGuard, BPDUGuard
• Services réseau intelligentsQualité de service, classification et contrôle du trafic, contrôle des accès, alimentation en ligne, VLAN voix , suppression de diffusion, agrégation de liens (trunking)
• VLAN privés
Armoire
de câblage
Armoire
de câblage
Couched’accèsCouched’accès
Couche d’accèsCouche d’accès
Armoire
de câblage
Armoire
de câblage
101010© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Commutateursd’accès
Définition de la couche de distribution
• Aggrégation des armoires de câblage (couche d’accès) et liaison montante (uplink) au réseau d’infrastructure
• Protection du noyau contre l’interconnexion égale à égale à densité élevée
• Disponibilité, équilibre de charge et qualité de service sont les points importants à considérer au niveau de cette couche
Utilisation de la commutation de couche 3 au niveau de la couche de distribution
Suivi HSRP (tracking) et redondance de premier bond
Commutateursde distribution
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
111111© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Couche dedistributionCouche dedistribution
Couche dedistribution
Couche dedistribution
Mécanismes de la couche de distribution
• Caractéristiques de STPConfiguration de ‘’STP Root’’
Protection avec ’’Root Guard’’
• Routage de couche 3Pèse les routes: Assure une symétrie
Sommaire de routes: Vers le noyau
• HSRPHot Standby Routing Protocol(HSRP): redondance premier bond
HSRP Timers: Reduit temps de panne
HSRP Track : Routage optimalEnterprise
Parc de serveurs
Enterprise
Armoire de câblage
121212© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Distribution
Noyau
Définition de la couche de noyau
• Dorsale pour le réseau - relie les modules de la couche de distribution
• Point d’agrégation pour la couche de distribution
• La couche de noyau est nécessaire pour assurer l’évolutivité desréseaux campus
Exigences de câblage physique
Complexité du routage
Accès
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
131313© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Ordre du jour
• Vue d’ensemble du modèle multicouche
• Pratiques exemplaires en matière de design de réseau campus
• Implantation
• Particularités et embûches de design
• Services de réseau campus
141414© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Pratiques exemplaires en matière de design d’un réseau campus
• Associer les VLAN de couche 2 aux sous-réseaux de couche 3
• Éviter les VLAN à la grandeur du campus
• Maintenir une redondance simple
• Connexion en chaîne (daisy chain)
• Tirer parti des routes au même coût
• Se laisser des portes de sortie
• Comprendre les caractéristiques de performance et de sur-inscription
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
151515© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
TrunkTrunk
Layer 2Layer 2Layer 3Layer 3
Associer les VLAN de couche 2 aux sous-réseaux de couche 3
• Associer le domaine de couche 2 à un sous-réseau de couche 3 avec un plan de numérotation compréhensible de VLAN à sous-réseau IP
• Par exemple, VLAN de données 20 et VLAN voix 120 dans l’immeuble 1 peuvent correspondre à 10.1.20.x/24 et 10.1.120.x/24
• De bons plans d’adressage aident à résumer les routes et à faciliter le dépannage
10.1.20.010.1.120.010.1.20.0
10.1.120.0VLAN 20 DataVLAN 120 VoiceVLAN 20 DataVLAN 120 Voice
VLAN 40 DataVLAN 140 VoiceVLAN 40 DataVLAN 140 Voice
10.1.40.010.1.140.010.1.40.0
10.1.140.0
HSRP ActiveVLAN 20,140
HSRP ActiveVLAN 20,140
HSRP ActiveVLAN 40,120HSRP ActiveVLAN 40,120
VLAN 20 DataVLAN 120 VoiceVLAN 20 DataVLAN 120 Voice
10.2.20.010.2.120.010.2.20.0
10.2.120.0VLAN 40 DataVLAN 140 VoiceVLAN 40 DataVLAN 140 Voice
10.2.40.010.2.140.010.2.40.0
10.2.140.0
HSRP Active& STP Root
VLAN 20,140
HSRP Active& STP Root
VLAN 20,140
HSRP Active& STP RootVLAN 40,120
HSRP Active& STP RootVLAN 40,120
Modèle AModèle B
161616© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Éviter les VLAN à la grandeur du campus
• Domaine STP vaste et superposé
• Propagation des problèmes (possibilité de défaillance du domaine)
• Lenteur de la convergence
• Les routeurs modernes ne sont plus des goulots d’étranglement
• DHCP et IP mobile répondent aux besoins de la mobilité client
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
171717© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Maintenir une redondance simple
• Placement de la racine (Root bridge)?
• Combien de liens bloqués?
• Convergence?
• Résolution de problèmes difficile
« La redondance est une bonne chose, maistrop de redondance peut s’avérer nuisible»
181818© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Connexions en chaîne
• Aucun UplinkFast—Lenteur de la convergence STP
• Sous-réseaux discontinus : le trafic est dans un trou noir (les deux routeurs prétendent pouvoir atteindre le VLAN x)
• Installer une liaison de couche 2 entre les deux commutateurs de distribution
Racine de sauvegardeRacine de sauvegarde
STP racineHSRP Actif
STP racineHSRP Actif
Lien couche 2 -VLAN XLien couche 2 -VLAN X
Racine en attente HSRP en attente
STP racineHSRP actif
VLAN XVLAN X
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
191919© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Double chemin couche 3
• L’équilibre de charge de couche 3 conserve la largeur de bande
Contrairement à la redondance de couche 1 et couche 2 (ports bloqués)
• Reprise rapide au chemin restant
La convergence est très rapide (chemins doubles au même coût : aucun besoin pour OSPF ou EIGRP de recalculer un nouveau chemin)
Coût=X
Coût =X
Coût=X
Couched’accès
Coût=X
Noyau 2
Noyau 1 Distribution 1
Distribution 2
202020© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Se laisser des portes de sortie • Que se passe-t-il si
tombe en passe?
• Aucune route vers le noyau?
• Liens d’armoire de câblage actifs (un-passive) pour routes de rechange?
• Mais…est-ce le vrai rôle de la couche d’accès?
• Qu’advient-il de l’évolutivité?
• Installer un lien entre les commutateurs de distribution
Un seul chemin vers noyau
GE/GEC
AA BB
Noyau couche 3Noyau couche 3
Accès couche 2Accès couche 2
DistributionHSRP actif
DistributionHSRP actif
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
212121© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
4:1
20:1
Noyau L3Utiliser les
commutateursnon bloquants
Double lienGEC
200 100BaseT
GE 8 liaisons montantes
DistributionL3
Caractéristiques de performance et de sur-inscription
• La plupart des réseaux sont construits avec la sur-inscription
• La performance est habituellement limitée non par l’équipement, mais par la liaison montante
• Utiliser la qualité de service pour protéger les flux en temps réel aux points de congestion
• Les règles empiriques de la sur-inscription fonctionnent bien
• 20:1 max à l’armoire de câblage
• Moins à la couche de distribution (4:1) et au parc de serveurs (de 4:1 à 1:1)
Accès couche 2
222222© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Ordre du jour
• Vue d’ensemble du modèle multicouche
• Pratiques exemplaires en matière de design de réseau campus
• Implantation
• Particularités et pièges de design
• Services de réseau campus
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
232323© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Règles d’implantation
• Utiliser les interfaces passives
• Utiliser le suivi HSRP (tracking)
• Utiliser la redondance de premier bond (first hop redundancy)
• Utiliser les extensions STP Note: nouveau protocole IEEE 802.1w et 802.1s Spanning Tree
• Caractéristiques de haute disponibilité et de redondance
242424© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Interfaces passives
• Limiter les connexions non nécessaires
• Sans interface passive : 4 VLANs par armoire de câblage, 12 contiguïtés au totalAugmentation des exigences en termes de mémoire et d’unité centrale sans avantage tangible Création de surdébit pour IGP
Mises à niveaude routage
Router(config)#router ospf 1Router(config-router)#passive-interface Vlan 1
Router(config)#router ospf 1Router(config-router)#passive-interface defaultRouter(config-router)#no passive-interface Vlan 1
Router(config)#router eigrp 1Router(config-router)#passive-interface Vlan 1
Router(config)#router eigrp 1Router(config-router)#passive-interface defaultRouter(config-router)#no passive-interface Vlan 1
Distribution
Accès
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
252525© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
La défaillance de la liaison montante au noyau et la liaison de couche 3 aura un effet de trou noir sur le trafic… utiliser le suivi HSRP avec option Preempt
Accès
Le suivi HSRP évite les trous noirs
Couche 3Couche 3Distribution
Suivi
0/1
Distribution-Left#interface Vlan14
ip address 10.5.14.2 255.255.255.0standby 14 ip 10.5.14.1standby 14 priority 150 preemptstandby 14 track GigabitEthernet0/1 51
Distribution-Right#interface Vlan14
ip address 10.5.14.3 255.255.255.0standby 14 ip 10.5.14.1standby 14 priority 100 preempt
Noyau
262626© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Protocoles redondance de premier bond
• Hot Standby Router Protocol (HSRP)Cisco informational RFC 2281 ( mars 1998)
• Virtual Router Redundancy Protocol (VRRP)IETF Standard RFC 2338 (avril 1998)
• Gateway Load Balancing Protocol (GLBP)Conception Cisco, partage de charge, brevet en instance
Le navigateur fournit de l’information sur les fonctionnalités spécifiques de plate-forme : http://www.cisco.com/go/fn
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
272727© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
HSRP
• Un groupe de routeurs fonctionne comme un routeur virtuel en partageant UNE adresse IP virtuelle et une adresse MAC virtuelle
• Un routeur actif exécute l’acheminement des paquets pour les hôtes locaux
• Les autres routeurs fournissent un « secours automatique » en cas de panne du routeur actif
• Les routeurs en attente demeurent au repos en ce qui a trait à l’acheminement des paquets du côté client
282828© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Redondance de premier bond avec HSRP
Routeurs de passerelle
CL1 CL2 CL3
HSRP ACTIVE HSRP STANDBY HSRP LISTEN
Clients
R1 R2 R3
R1- ACTIF, Acheminement du trafic; R2, R3 - secours automatique, mode repos
IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC : 0000.0c07ac00
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP:vMAC :
IP: 10.0.0.252MAC: 0000.0cde.f123vIP:vMAC :
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.0c07.ac00
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0000.0c07.ac00
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0000.0c07.ac00
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
292929© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
VRRP
• Très semblable à HSRP
• Un groupe de routeurs fonctionne comme un seul routeur virtuel en partageant UNE adresse IP virtuelle et une adresse MAC virtuelle
• Un routeur (maître) exécute l’acheminement des paquets pour les hôtes locaux
• Les autres routeurs agissent comme routeurs « de secours » en cas de défaillance du routeurprincipal
• Les routeurs de secours demeurent au repos en ce qui a trait à l’acheminement des paquets du côté client
303030© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Redondance de premier bond avec VRRP
Routeurs de passerelle
CL1 CL2 CL3
VRRP ACTIVE VRRP BACKUP VRRP BACKUP
Clients
R1 R2 R3
R1- Principal, acheminement du trafic; R2, R3 - sauvegarde
IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC : 0000.0c07ac00
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP:vMAC :
IP: 10.0.0.252MAC: 0000.0cde.f123vIP:vMAC :
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0000.0c07.ac00
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0000.0c07.ac00
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0000.0c07.ac00
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
313131© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
GLBP
• Un groupe de routeurs qui fonctionne comme un routeur virtuel en partageant une adresse IP virtuelle, mais en utilisant de multiples adresses MAC virtuelles pour l’acheminement du trafic
• Partage du trafic sur plusieurs liaisons montantes, ce qui améliore le débit et réduit la congestion dans une situation où la défaillance n’existe pas
• Permet au trafic d’un seul sous-réseau commun de passer dans des passerelles redondantes multiples en utilisant une seule adresse IP virtuelle
323232© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Redondance du meilleur d’abord avec GLBP
Routeurs de passerelle
CL1 CL2 CL3
GLBP AVG/AVF,SVF GLBP AVF,SVF GLBP AVF,SVF
Clients
R1 R2 R3
R1- AVG; R1, R2, R3 acheminent tous le trafic
IP: 10.0.0.254MAC: 0000.0c12.3456vIP: 10.0.0.10vMAC : 0007.b400.0101
IP: 10.0.0.253MAC: 0000.0C78.9abcvIP: 10.0.0.10vMAC : 0007.b400.0102
IP: 10.0.0.252MAC: 0000.0cde.f123vIP: 10.0.0.10vMAC : 0007.b400.0103
IP: 10.0.0.1MAC: aaaa.aaaa.aa01GW: 10.0.0.10ARP: 0007.B400.0101
IP: 10.0.0.2MAC: aaaa.aaaa.aa02GW: 10.0.0.10ARP: 0007.B400.0102
IP: 10.0.0.3MAC: aaaa.aaaa.aa03GW: 10.0.0.10ARP: 0007.B400.0103
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
333333© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Outils Spanning Tree
• PortFast : Outrepasser les phases d’écoute-apprentissage du port d’accès
Outils de couche 2 : • UplinkFast : Transition du lien 3
directement à l’acheminement si le lien 2 ou le pont racine sont en défaillance
• BackboneFast : Réduction du temps de convergence par secondes «Max_Age» en cas de défaillance de lien indirect (défaillance Link1)
Lien 1Lien 1
Pont racine Pont racine
Lien 2Lien 2 Lien 3Lien 3
Port d’accès Port d’accès
BlocageBlocage
343434© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Outils Spanning Tree (Suite)
• BPDU Guard: ErrDisables d’un port PortFast s’il reçoit un BPDU
• BDPU Filtering : Arrêt de l’envoi et de la réception des BPDUs sur un port actif Portfast
• BPDU skewing : envoie un messagesyslogs si BPDUs reçu après le hello time ou quand on a atteint 50% du MaxAge
Pont racine Pont racine
Ports d’accès Ports d’accès
Blocage Blocage Acheminement Acheminement
CatOS (enable) set spantree portfast bpdu-guard 5/3 enable
%SPANTREE-2-RX_BPDUGUARD:Received BPDU on bpdu guard enabled port. Disabling 5/3-------------------------------------------------------------CatOS (enable) set spantree portfast bpdu-filter 5/3 enable-------------------------------------------------------------CatOS (enable) set spantree bpdu-skewing enable
Commutateur Rogue Commutateur Rogue
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
353535© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Outils Spanning Tree (suite)
• LoopGuard : Empêche le port racine ou de rechange (alternate) d’être désigné en l’absence des BPDU
• RootGuard : Empêche les commutateurs externes de devenir racine; ErrDisablesun port si des BPDUs supérieurs sont reçus
Pont racine Pont racine
BlocageBlocagePort racine Port racine
Acheminement Acheminement
Boucle
BPDU supérieurBPDU supérieurPort désactivéPort désactivé
BPDUBPDU
Commuta-teur Commuta-teur
363636© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
CatOS (enable) set spantree guard loop 5/1-2
%SPANTREE-2-LOOPGUARDBLOCK: No BPDUs were received on port 5/2 in VLAN 5. Moved to loop-inconsistent state
%SPANTREE-2-LOOPGUARDUNBLOCK: Port 5/2 restored in VLAN 5-------------------------------------------------------------------------------CatOS (enable) set spantree guard root 6/1
%SPANTREE-2-ROOTGUARDBLOCK: Port 6/1 tried to become non-designated in VLAN 5. Moved to root-inconsistent state-------------------------------------------------------------------------------Native IOS (config-if)# spanning-tree ?
bpdufilter Don't send or receive BPDUs on this interfacebpduguard Don't accept BPDUs on this interfaceguard Change an interface's spanning tree guard mode
Native IOS (config-if)# spanning-tree guard ?loop Set guard mode to loop guard on interfacenone Set guard mode to noneroot Set guard mode to root guard on interface
Outils Spanning Tree (suite)
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
373737© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
IEEE 802.1w/s
• 802.1w—Rapid Spanning-Tree Protocol (RSTP)
Améliore la vitesse de convergence STPSemblable à l’implantation Cisco de 802.1D avec extensions STP comme PortFast, UplinkFast et BackboneFast
• 802.1s—Multiple Spanning-Tree (MST)
Exploite des instances logiques de STPMappage de nombreux VLANs à des instancesRéduction de la complexité de l’exploitation d’une seule instance STP pour chaque VLAN du réseau
383838© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
802.1w (RSTP)
• Définition de nouveaux rôles de portPort racine
Port désigné
Port de rechange (alternate)
Port de sauvegarde (Back Up)
• Les BPDU agissent come «keep alive»
Tous les ponts transmettent BPDU chaque « hello time» contrairement à 802.1D où les BPDU sont transmis par relais
• Détection de panne plus rapide
RacineRacine
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
393939© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Fonctionnement de 802.1w
• 802.1wA et B commencent en mode blocage et transmettent des BPDU en utilisant le bit « proposition »
B devient le port racine, achemine et retransmet BPDU en utilisant le bit « entente »
A achemine immédiatement, 802.1D aurait attendu 2x15=30 secondes
• Transition rapide S’applique à des liens duplex point à point
Possibilité de convergence sous-seconde
PropositionProposition
Entente Entente
RacineRacine
A
B
404040© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
802.1s (MST)
• Seulement 2 topologies actives
• Mappage des VLAN a des instances
• Moins de BPDU
• Dépannage plus simple
• Moins grande utilisation de l’unité centrale
• Très grande évolutivité
BB BB
VLANs 1-50: Instance 1
VLANs 1-50: Instance 1
VLANs 51-99: Instance 2
VLANs 51-99: Instance 2
FF FF
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
414141© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Instances MST
• Le pont MST traite 2 instances :
IST—Internal Spanning Tree, Instance 0 (existe sur tous les ports)
MSTI—Au moins un Multiple Spanning Tree Instance
• Cisco supporte 16 instances (0–15)
• La terminologie 802.1s n’est pas normalisée
424242© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Redondance
• Redondance couche 1 — Fournit un chemin physique de rechange dans le réseau
• Redondance couche 2/3 — Spanning-Tree, Protocole de routage, EtherChannel pour une sensibilisation de chemin de rechange et une convergence rapide
• Stabilité — Assurer la stabilité du réseau grâce à un design physique adéquat, STP et routage pour réduire les erreurs humaines
• Disponibilité de l’application—Le serveur d’application et les processus client doivent supporter le basculement (failover) pour assurer une disponibilité maximale
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
434343© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
6500 - haute disponibilité (CatOS)
• Haute disponibilité Minimiser le temps de basculement du moteur superviseur à 1–3 secondes
États de protocole synchronisés avec le superviseur en attente (Standby Supervisor)
• Redondance Single Router ModeSolution de rechange à ’’Dual MSFC Redundancy’’
Configuration de routeur synchronisé (MSFC)
Seul le routeur désigné est visible sur le réseau
Les interfaces du routeur non désigné sont dans un état d’arrêt
444444© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
6500 - Haute disponibilité (suite)
CatOS (enable) set system highavailability enable
MSFC-Router#configure terminalMSFC-Router(config)#redundancyMSFC-Router(config-r)#high-availabilityMSFC-Router(config-r-ha)#single-router-mode
MSFC-Router(config-r-ha)#single-router-mode failover table-update-delay ? <0-4294967295> Delay in seconds between Switch over detection and h/w FIB reload
Le paramètre Table-Update-Delay Timer précise le temps de transition. Le routeur nouvellement désigné attend avant de télécharger les nouvelles entrées de
commutation de couche 3 (FIB) au moteur superviseur; valeur par défaut : 120 secondes
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
454545© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
6500/7600 - Haute disponibilité (IOS natif)
• Pas de haute disponibilité avec conservation d’état comme CatOS
Route Processor Redundancy Plus (RPR+) :
Synchronisation entre les superviseurs actif et en attente de : Startup-config, Running-config, Config-register, bootvar
Superviseur en attente est amorcé et l’état des cartes est synchronisé entre le superviseur actif et celui en attente
Le délai de commutation est une fonction de la taille du fichier de configuration
Native IOS#configure terminalNative IOS(config)#redundancyNative IOS(config-red)#mode rpr-plusNative IOS#copy running-config startup-config
464646© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Ordre du jour
•Vue d’ensemble du modèle multicouche
•Pratiques exemplaires en matière de design de réseau campus
•Implantation
•Particularités et pièges de design
•Services de réseau campus
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
474747© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Design patrimonial : « mêmes VLAN’s partout »
• VLANs s’étendent sur l’ensemble du réseau - pas une bonne situation • STP devrait fonctionner avec des temporisateurs conservateurs dans un
grand réseau • Recalcul massif à la suite de la défaillance de la racine; grand domaine de
diffusion• Connaître l’emplacement de la racine!; identifier les ports qui
bloquent/acheminent!
1,2,3,4,5 1,2,3,4,5 1,2,3,4,5
FB F B F
B
Racine STP
Racine secondaire
STP
Couche d’accès
Niveau 2
Couche d’accès
Niveau 2
CoucheCouche de de DistributionDistribution
Niveau 2Niveau 2
484848© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Accès à la couche de distribution
• Certains commutateurs d’accès partagent un VLAN commun • Installer une liaison de couche 2 entre les commutateurs de distribution • HSRP pour redondance de premier bond et le partage de charge • Les chemins de couche 3 correspondent aux chemins de couche 2 (racine STP
et HSRP actif)• Utiliser l’agrégation de liaison (EtherChannel) pour augmenter la largeur de
bande
Racine STP
HSRP primaire
( VLANs pairs)
Accès couche 2Accès
couche 2
Couche de Distribution
2/3
Couche de Distribution
2/3
2 3 2 3 4 5 4 5
F 2B 3 F 3
B 2
Liaisons
F 2B 3
F 3
B 2 F
4B
5
F 5B 4 F 4
B 5
F 5
B 4
Racine STP
HSRP primaire
(VLANsimpairs)
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
494949© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Design moderne : « terminaison des VLAN »
• STP n’est plus nécessaire - mais continuez à l’exploiter
• Aucune liaison bloquée - toutes les liaisons sont utilisées • VLANs se terminent au premier bond de couche 3 (couche de
distribution)
• Utiliser HSRP pour l’équilibre de charge et la redondance de premier bond
2 3 4 5 6 7
HSRP primaire( VLANs pairs)
HSRP primaire(VLANsimpairs)
Couche d’accès 2 Couche
d’accès 2
Couche de Distribution
2/3
Couche de Distribution
2/3
Liaisons
505050© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
2 3 4 5 6 7
Couche d’accès 2 Couche
d’accès 2
Couche de distribution 3 Couche de
distribution 3
Couche de distribution —Modèle de couche 3
• Liaison de couche 3 entre les deux commutateurs de distribution • Vitesse de convergence dépend de HSRP
• Utiliser «HSRP-track» pour empêcher les trous noirs
• Peut enlever VLAN1 des liaisons—Les protocoles de gestion passent quand même
Liaisons
HSRP primaire(VLANs pairs)
HSRP primaire(VLANs impairs)
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
515151© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Parcs de serveurs
• Mettre le parc de serveur dans son propre VLAN et sous-réseau IP -commutation couche 3
• Si des serveurs à carte réseau double relient 2 commutateurs d’accès, il faut alors utiliser la contiguïté de couche 2 pour la redondance de carte réseau…
Installer une liaison de couche 2 entre la couche de distribution, par exemple VLAN 3
Parc de serveur
2 3
4 5
6 7
3 8
3
Couche d’accès Couche d’accès Couche de distribution Couche de distribution Parc de serveur Parc de serveur
525252© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Sommaire couche distribution-noyau
• Concevoir un noyau de couche 3 sans boucle
• Modèle 1 procure une convergence plus rapide en raison de 2 chemins au même coût vers chaque distribution; IGP n’a pas besoin de reconverger
• Modèle 1 procure une double capacité de largeur de bande au noyau
• Modèle 1 utilise 2 fois plus de ports pour l’agrégation noyau
• Modèle 2 procure moins d’adjacences de routage
• Modèle 2 n’a pas de partage de charge par défaut au noyau à partir de la distribution
• Pourquoi avons-nous besoin d’une liaison couche 3 entre les commutateurs de distribution dans le modèle 2? Pour converger autour d’un problème de couche 2 UP, mais couche 3 DOWN vers le noyau.
AccèsAccès
DistributionDistribution
NoyauNoyau Double chemin au noyau
Simple chemin au noyau
Modèle 1 Modèle 2
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
535353© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Commutateurs de noyau dédiés
Est-ce que j’ai besoin d’une couche noyau ?
• Plus facile à ajouter un module
• Moins de liaisons au noyau • Mise à niveau plus facile de la bande passante • Réduction de l’échange de trafic du protocole de routage • Couche noyau —optionnelle pour les petits réseaux
Pas de noyau—Des couches de distribution presque
entièrement maillées
Distribution 2Distribution 2
Dis
trib
utio
n 1
Dis
trib
utio
n 1
Distribution 3
Distribution 3
Distribution 2Distribution 2
Dis
trib
utio
n 1
Dis
trib
utio
n 1
Distribution 3
Distribution 3
545454© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Petit réseau campus
• Couche dorsale—Noyau et distribution centralisés
• Peut utiliser des solutions de commutation modulaires/empilables
• Évolutif à peu de commutateurs d’accès
Couche d’accès (Empilab le/modulaire
Couche dorsale
Couche parc de serveurs(Empilable/modulaire)
VLAN A Données VLAN B Voix
VLAN C Données VLAN D Voix
VLAN E Données VLAN F Voix
Liens VLANdonnées et voix
Niveau 3
VLAN G VLAN H
Interfaces couche 3 (HSRP)
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
555555© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Réseau campus de taille moyenne
VLAN G Données VLAN H Voix
VLAN I Données VLAN J Voix
VLAN K Données VLAN L Voix
VLAN A Données VLAN B Voix
VLAN C Données VLAN D Voix
VLAN E Données VLAN F Voix
VLAN M VLAN N VLAN O
Couche distribution et noyau distinctes
Le noyau regroupeplusieurs distributions
Couche de distribution
Couche d’accès
Couche noyau
Couche parc de serveurs
Immeuble 1 Immeuble n
Liaison
565656© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Réseau campus de grande taille
VLAN G Données VLAN H Voix
VLAN I Données VLAN J Voix
VLAN K Données VLAN L Voix
VLAN A Données VLAN B Voix
VLAN C Données VLAN D Voix
VLAN E Données VLAN F Voix
Couche de distribution
Couche d’accès
Immeuble 1 Immeuble n
NoyauNoyau
Couche de parc de serveurs
Parc de serveurs -couche de distribution
Parc de serveurs -couche de distribution
Liaison
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
575757© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Interface de gestion
• Séparer le trafic utilisateur du trafic de gestion
• Pas besoin d’un VLAN commun de gestion à l’échelle du campus
• Ne pas étendre le VLAN de gestion au noyau; utiliser plutôt le routage
• Mettre l’interface de gestion dans le même VLAN pour tous les commutateurs d’un module accès-distribution donné
• Vous pouvez utiliser la même ID VLAN pour différents modules, mais utiliser différents sous-réseaux
• HSRP procure la redondance de passerelle des interfaces de gestion
172.10.1.1 172.10.1.2 172.10.1.3
172.10.1.101172.10.1.100
585858© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
pièges de conception
• « HSRP Tracking gotcha »
• Effet secondaire de la connexion en chaîne
• Problème relié au sommaire de route
• Problème relié au routage asymétrique
• Problème possible de lenteur de convergence
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
595959© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
HSRP Tracking Gotcha
Noyau
Distribution
Accès
• Installer une liaison de couche 3 entre les commutateurs de distribution pour acheminer autour d’une situation de couche 2 UP, mais de couche 3 DOWN au niveau de la couche de distribution
• Solution alternative—Distribution branché en double vers noyau
HSRP actif HSRP en attente
Suivi HSRP non utile
Couche 2 UP maisCouche 3 down
Lien Couche 3
Lien Couche 3
606060© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Connexion en chaîne
HSRP actif
HSRP en attente
HSRP actifHSRP actif
HSRP actifHSRP actif
Layer 3Layer 3
Cable de boucle arrière Cable de boucle arrière
• Le câble de boucle arrière empêche un sous-réseau discontinu
Une interruption au niveau d’un câble empilable ou commutateur au centre entraînera l’interruption du sous -réseau si une connexion de couche 3 existe entre la couche de distribution
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
616161© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
spanning-tree uplinkfast!interface GigabitEthernet0/1!Switchport mode trunkspanning-tree stack-port
!interface GigabitEthernet0/2
Switchport mode trunk
spanning-tree uplinkfast!interface GigabitEthernet0/1
switchport mode trunk
spanning-tree stack-port
Connexion en chaîne (suite)• Utilisez la fonction de « Cross Stack UplinkFast » pour les
commutateurs empilables
Transition du lien de blocage directement à l’acheminement en cas d’interruption du lien à la racine
HSRP actif
HSRP en attente
Layer 2Layer 2
Port racine
Blocage lien redondant
STP racineprincipal
STP racine secondaire
spanning-tree uplinkfast!interface GigabitEthernet0/1
Switchport mode trunkspanning-tree stack-port
!interface GigabitEthernet0/2Switchport mode trunk
626262© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Problème relié au sommaire de route
• HSRP de la couche de distribution de droite prend la relève à la suite de l’interruption de la liaison
• Toutefois, l’ancienne passerelle continue d’envoyer le sommaire au noyau
• Le trafic de retour est perdu au niveau du commutateur de distribution de gauche
• Le sommaire nécessite une liaison de couche 3 entre les commutateurs de distribution
• Design alternatif : 2 interfaces VLAN d’accès non passives, encombrant
Sommaire :10.1.0.0/16
10.1.2.a/2410.1.2.a/24 10.1.1.b/2410.1.1.b/24
NoyauNoyau
DistributionDistribution
AccèsAccès
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
636363© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Sommaire de route (suite)
• Si la couche de distribution ne résume pas les sous-réseaux d’accès, alors pas besoin d’une liaison de couche 3 entre les commutateurs de distribution
• Le trafic du noyau est acheminé à la distribution de droite
AA BB
Noyau Noyau
Accès Accès
DistributionDistribution
646464© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Routage asymétrique
Coût =Z
Coût x liens
AA
Coût=Q
Noyau 1Noyau 1
Table IGP avant !Suppose coût vers A de distribution = y
A via Distribution 1 = x + yA via Distribution 2 = x + yPar conséquent, équilibre de charge entre distribution 1 et distribution 2 pour atteindre A
Distribution 2Distribution 2
HSRP actifHSRP actif
Distribution 1Distribution 1
Table IGP après !Le coût a changé
A via Distribution 1 = x + ZA via Distribution 2 = x + QSi Q < Z, alors passer par distribution 2 pour atteindre A
Noyau 1Noyau 1
Coût y liens
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
656565© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Routage asymétrique (suite)
• Le routage asymétrique produit un inondement inutile
• Solution : Ajuster le coût des interfaces VLAN d’accès IGP ou
Ajuster le temporisateur ARP pour être identique au temporisateur CAM
• Ajuster le coût d’interface du routeur de couche de distribution non-HSRP actif
Distribution 1:interface Vlan2ip address 10.1.0.2 255.255.255.0ip ospf cost 50
--------------------------------------------------------------------------------Distribution 1:interface Vlan2ip address 10.1.0.2 255.255.255.0arp timeout 300
666666© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
PortFast sur les liaisons (trunks)
• Aussitôt que le lien est UP au niveau 2 le routeur commence a annoncer le réseau. Toutefois, STP est toujours en transition sur le commutateur
• Activer PortFast sur les liaisons reliées au routeur
Réseau10.1.0.0/16
Liaison couche 2Liaison couche 2
Je peuxatteindre
10.1.0.0/16
Non, tu nepeux pas
CatOS (enable) set spantree portfast 5/1 enable trunk
!Native IOSinterface FastEthernet 5/1spanning-tree portfast trunk
• Fonction AutostateNe permet pas à une interface VLAN de couche 3 de s’activer jusqu’à ce queSTP indique au VLAN d’acheminer
Routeur Commutateur
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
676767© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Couche 2 entre distribution?
• Le blocage du lien sur accès-b prend 50 secondes pour acheminer -> trou noir du trafic pendant ce temps
• Si un VLAN s’étend à plusieurs commutateurs d’accès, alors il faut installer un lien de couche 2 entre les commutateurs de distribution
STP racine etHSRP actif
Couche d’accès 2 Couche
d’accès 2
Couche dedistribution
2/3
Couche dedistribution
2/3
2 2
F 2F 2
F
2F
2 B 2B 2
STP racine secondaire et HSRP en attente
F 2
F 2
HSRP actif(Temporairement)
Hellos
Max secondesavant détectionde la panne….Ensuiteécouteet apprentissage
F: Forwarding
B: Blocking
Accès-b
686868© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Ordre du jour
• Vue d’ensemble du modèle multicouche
• Pratiques exemplaires en matière de design de réseau campus
• Implantation
• Particularités et pièges de design
• Services de réseau campus
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
696969© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Services de réseau campus
• Outils de sécurité
• Intégration du sans fil
• Qualité de service
• IP Multicast dans le campus
707070© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Contrôle d’accès des ports • Sécurité du port (port security)
Restriction des adresses MAC apprises sur un port
Empêche la table CAM de devenir pleine
Filtre CAM peut restreindre trafic aller et retour vers l’hôteCatOS (enable) set port security 5/1 enableCatOS (enable) set port security 5/1 enable 00-90-2b-03-34-08CatOS (enable) set port security 5/1 maximum 10CatOS (enable) set cam static filter 00-02-03-04-05-06 <vlan>------------------------------------------------------------------------------!Feature not available in Native IOS for 6500/7600 PlatformSwitch # configure terminalSwitch (config)# interface fastEthernet 0/5Switch (config-if)# switchport port-security ?
aging Port-security aging commandsmac-address Secure mac addressmaximum Max secure addrsviolation Security Violation Mode
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
717171© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Contrôle d’accès des ports (suite)
• 802.1xDécrit un protocole standard de niveau 2 utilisé pour transporter des protocoles d’authentification de plus haut niveau. Maintient les communications d’arrière-plan à un serveur d’authentification (RADIUS)
• Désactiver CDP sur les ports non reliés à d’autres dispositifs Cisco
727272© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Contrôle d’accès des ports (suite)
CatOS (enable) set dot1x system-auth-control enable CatOS (enable) set port dot1x 5/1-8 port-control auto-------------------------------------------------------!Feature not available in Native IOS for 6500/7600
aaa new-modelaaa authentication dot1x group radius
interface FastEthernet0/2Switchport mode accessdot1x port-control auto-------------------------------------------------------CatOS (enable) set cdp disable 3/1-48!IOSinterface FastEthernet0/2 no cdp enable
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
737373© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Protection du Spanning Tree
• BPDU GuardArrêt d’un port PortFast s’il reçoit un BPDU; empêche les BPDUs non autorisés sur les ports d’accès
• Root GuardBlocage d’un port s’il reçoit des BPDUs supérieurs; empêche tout dispositif non autorisé d’être le pont racine ou de s’acheminer vers le pont racine.
747474© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Dst_MACR
Src_MACX
Dst_IP10.1.1.3
Src_IP10.1.1.2
Un PVLAN n’est pas un pare-feu!
• Un VLAN privé procure une isolation de couche 2 entre les ports isolés; si un hôte X sur un port isolé dirige sans restriction son trafic IP à l’adresse MAC du routeur, alors le routeur acheminera le trafic à l’hôte Z
• Utiliser des listes d’accès au routeur pour empêcher cette situation
10.1.1.2MAC X
10.1.1.1MAC R
10.1.1.3MAC Z
Port isolé
Configurer les listes d’accès pour rejeter de
tels hôtes (RACL)
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
757575© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Protection de VLAN 1
• VLAN 1Utilisé par les protocoles de contrôle comme VTP, DTP, etc.
Passe sur les liaisons par défaut
Les ports non configurés ne devraient pas faire partie du VLAN 1
• Retirer, si possible VLAN 1 des liaisons
• Désactiver les ports non-utilisés Empêche les dispositifs non autorisés d’avoir accès
CatOS (enable) clear trunk 2/1 1 Native IOS(config-if)#switchport trunk allowed vlan remove 1 --------------------------------------------------------------------CatOS (enable) set port disable 2/1-48Native IOS(config)#interface range fastEthernet2/1 - 48 Native IOS (config-if-range)#shutdown
767676© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
802.1Q - Recommandations à l’égard de la configuration des liaisons
• Double Encapsulated 802.1q FrameConfigurer VLAN natif sur les liaisons de façon différente du numéro VLAN d’accès
Autre solution : Étiqueter toutes les trames
• Changer l’état de la liaison des ports non-liés de Auto à Off Empêche un hôte de devenir un port de liaison et de recevoir du trafic qui résiderait normalement sur un port de liaison
Trame .1Q .1Q Trame .1Q Trame
Port d’accès VLAN Bleu
Liaison
VLAN natif Bleu
Port d’accès VLAN Rouge
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
777777© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
CatOS (enable) set vlan 99 5/1!Change Native VLAN of Trunk Port 5/1 to VLAN 99
Native IOS#configure terminalNative IOS(config)#interface FastEthernet 5/1Native IOS(config-if)#switchport trunk native vlan 99------------------------------------------------------------------CatOS (enable) set dot1q-all-tagged enable
Native IOS#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Native IOS(config)#vlan dot1q tag native------------------------------------------------------------------CatOS (enable) set trunk 5/1 off
Native IOS(config)#interface FastEthernet 5/1Native IOS(config-if)#Switchport mode access
802.1Q - Recommandations à l’égard de la configuration des liaisons (suite)
787878© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Campus WLAN Modèle de sécurité EAP 802.1x
• APs sur VLAN à couche d’accès dédiée
• Changement minimal—2 serveurs RADIUS
• AP bloque tout trafic non authentifié jusqu’à ce que l’authentification soit terminée
• EAP-Cisco utilise base de données des utilisateurs et mots de passe Windows
• TKIP et Dynamic par session, par utilisateur, clés avec temps limite
• Cartes réseau Cisco NICS ou Windows XP(EAP-TLS)
SiSi
SiSi
CiscoACS
CiscoACS
CiscoACS
CiscoACS
SiSi SiSi SiSi
SiSi
SiSi SiSi
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
797979© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
WLAN campusVPN avec filtres AP
• Filtres complexes aux points d’accès (AP) et routeurs de périphérie
• 3DES/OTP supportés par VPN
• Clients doivent supporter les piles VPN
• Trafic de diffusion et multicast non supporté
• Analyse attentive de tout changement de réseau en cas d’incidence sur la sécurité WLAN
SiSi
SiSi
DMZ
Concentrateur
VPN
Concentrateur
VPN
CNRCNR
DMZ
SiSi SiSi SiSi
SiSi
SiSiSiSi
808080© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
PeutPeut--êtreêtre queque ouioui, , peutpeut--êtreêtre queque non; non; la congestion campus la congestion campus estest unun problème problème
de de gestiongestion de de mémoiremémoire tampon tampon
La qualité de service est-elle nécessaire dans le campus?
« Il suffit d’ajouter de la bande passante. Cecipermettra de résoudre le problème! »
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
818181© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Activer la qualité de service dans le campus Scénario de congestion : Rafale de trafic TCP + VoIP
SiSi SiSi
SiSiSiSi
AccèsAccès
Distribution
Noyau
Congestion Congestion instantanée instantanée au au niveauniveau de de
l’interface l’interface
SurSur--inscription inscription de de données données
type 20:1type 20:1
SurSur--inscription inscription de de données données
type 4:1type 4:1
= Données
= Voix
828282© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
SiSi TX
RX
RX
RX
RX
Activation de la qualité de service dans le campusGestion de congestion dans le campus
• Les mémoires tampon de sortie peuvent atteindre 100% dans les réseaux campus ce qui entraîne la perte de paquets de la voix
• La qualité de service est requise quand il y a possibilité de congestion dans les mémoires tampon
• Les files d’attentes multiples sont la seule façon de «garantir» la qualité de la voix
• Voir Session 1.9 -Implantation de la Qualité de Service dans l'entreprise
DonnéesDonnées
DonnéesDonnées
DonnéesDonnées
VoixVoix
SiSiTXTX TX TX TX TX
= Points de congestion instantanée
File File d’attente assignée d’attente assignée
en en fonction fonction
classification classification LL2/2/LL33
Voix mise dans Voix mise dans file file
sensible sensible délaidélai //perte perte
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
838383© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Activation de la qualité de service dans le campus Classification de couche 2 —802.1p, CoS
TAGTAG2 Bytes2 Bytes
Trois bits utilisés pour CoS(802.1p User Priority )
DonnéesDonnées FCSFCSPTPTSASADADASFDSFDPream.Pream. TypeType
En-tête 802.1Q/p
PRIPRI VLAN IDVLAN IDCFICFI
Ethernet Frame
• Champ 802.1p User Priority aussi nommé Class of Service (CoS)
• Différentes valeurs CoS sont attribuées aux différents types de trafic
• CoS 6 et 7 sont réservées à un usage réseau
11
22
33
44
55
66
77
00 Données meilleur effortDonnées meilleur effort
Données moyenne priorité Données moyenne priorité
Données haute priorité Données haute priorité
Signalisation des appelsSignalisation des appels
Conférence vidéo Conférence vidéo
Porteur voix Porteur voix
RéservéRéservé
RéservéRéservé
CoSCoS ApplicationApplication
848484© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
77 66 55 44 33 22 11 00
Activation de la qualité de service dans le campusClassification couche 3—IP Precedence, DSCP
IDID OffsetOffset TTLTTL ProtoProto FCSFCS IP SAIP SA IP DAIP DA DataDataLenLenVersionVersionLengthLength
ToSToSByteByte
DiffServ Code Point (DSCP)DiffServ Code Point (DSCP) Flow CtrlFlow Ctrl
IPv4 Packet
IP PrecedenceIP Precedence Unused Standard IPv4
DiffServ Extensions
• IPv4: les trois principaux bits de l’octet ToS portent le nom de IP Precedence—autres bits sont inutilisés
• DiffServ: les six bits les plus significatifs de l’octet ToS portent le nom de DiffServ Code Point (DSCP)—les deux autres bits sont utilisés pour le contrôle du flux
• DSCP est rétrocompatible avec IP Precedence
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
858585© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Activation de la qualité de service dans le campusSommaire de la classification
10,14,1610,14,16
18,20,2218,20,22
2626
3434
4646
48–5548–55
56–6356–63
00 Données meilleur effort Données meilleur effort
Données moyenne priorité Données moyenne priorité
Données haute priorité Données haute priorité
Signalisation des appelsSignalisation des appels
Conférence vidéo Conférence vidéo
Porteur voixPorteur voix
RéservéRéservé
RéservéRéservé
AF1yAF1y
AF2yAF2y
AF31AF31
AF41AF41
EFEF
--
--
BEBE
11
22
33
44
55
66
77
00
11
22
33
44
55
66
77
00
CoSCoS IP Prec.IP Prec. PHBPHB DSCPDSCP
L2L2 L3 ClassificationL3 ClassificationApplicationApplication
868686© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Activation de la qualité de service dans le campus Frontière de confiance
• Un dispositif est dit de confiance s’il peut classer correctement les paquets
• Pour assurer l’évolutivité, la classification doit être effectuée le plus près possible de la périphérie.
• Les dispositifs de confiance le plus à l’extérieur représentent la frontière de confiance
• 1 et sont la situation optimale, 3 est acceptable (si le commutateur d’accès ne peut exécuter la classification)
SiSi
Points de bout Accès Distribution Noyau WAN Agg.
Frontière de confiance
11
22
33
11 22 33
SiSi
SiSiSiSi
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
878787© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Conseils sur IP Multicast
• PIM Sparse-mode—Il est recommander d’utiliser Sparse-Mode et d’éviter d’utiliser Dense-mode surtout dans les réseaux de taille moyenne et plus.
• Design à tolérance de panne
AutoRP fournit une facilité d’administration et de multiples C-RPs peuvent prendre la relève en cas de panne.
Anycast RP procure la relève la plus rapide et permet une conception plus évolutive. Configuration plus complexe.
• Comprendre l’application—Avec Tibco IPmc, tous les receveurs peuvent être des sources. Extensions de recherche au PIM (Bi-Dir et SSM)
888888© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
IP Multicast couche 2
4003—CGMP
6500/4006—IGMP Snooping
2900/3500—CGMP
2950/3550—IGMP Snooping
• CGMPExécution sur les commutateurs et le routeur Le routeur transmet des paquets multicastCGMP aux commutateurs et à l’adresse MAC multicastconnue :
0100.0cdd.dddd
Le paquet CGMP comprend : Champ de type: —Join ou Leave
Adresse MAC du client IGMP
Adresse multicast du groupe
Le commutateur utilise info de paquet CGMP packet pour ajouter ou retirer une entrée de couche 2 pour une adresse MAC multicastparticulière
• IGMP SnoopingIGMP Snooping ACTIVÉ par défaut
Les paquets IGMP sont interceptés au niveau du matériel sans pénalité à la performance
Le commutateur examine le contenu des messages IGMP pour déterminer quels ports désirent quel trafic
Rapport membre IGMP + messages de départ
Sans la commutation IGMP :
Les commutateurs traitent TOUS les paquets multicast de couche 2
La charge admin. augmente avec la charge de trafic multicast, ce qui entraîne un débordement excessif
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
898989© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Sommaire• Le trafic en temps réel, comme la voix, la vidéo
et les données à mission critique deviennent la tendance dominante
• L’infrastructure de réseau d’entreprise doit permettre les applications émergentes tout en assurant des temps de réponse et une disponibilité des applications de données à mission critique
Disponibilité du réseau, sécurité, qualité de service et IP Multicast
• Élaborez les « Services » pour supporter ces applications dans le réseau dès aujourd’hui!
909090© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Pri
x/P
erfo
rman
ce
Fonctionalité/Flexibilité
Catalyst 2950 Series
Catalyst 3550 Series
Catalyst 4500 Series
Catalyst 6500 Series
• Modular 10/100/1000• High performance Layer 2,L 3,L4 • 24-64 Gbps Switching Engine
• Modular 10/100/1000
• Highest switching capacity
• Layer 2/3/4-7• 32-256 Gbps
Switching Engine
• Stackable 10/100 and GE configurations• High performance switching and routing• Enterprise-class intelligent Layer 3/L4 services• Clustering capable
• Stackable 10/100 switching• GBIC-based Gigabit connectivity• Advanced intelligent Layer 3/L4 services• Clustering capable
Positionnement des produits Cisco Catalyst
• Stackable 10/100/1000 and 10/100 configurations• Cisco StackWise™ Technology• Optimized for Gigabit Ethernet deployment• Enterprise-class Intelligent Layer 3/L4 services• Highly resilient 32Gbps stacking interconnection• Single management interface w/ auto configuration
Catalyst 3750 Series
Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.5383_05_2002, RST271
919191© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Références
Design campus : http://www.cisco.com/warp/public/cc/so/cuso/epso/entdes/
http://www.cisco.com/warp/public/779/largeent/design/campus_index.html
http://www.cisco.com/warp/public/cc/so/neso/lnso/cpso/gcnd_wp.htm
Conseils techniques sur les technologies LAN :http://www.cisco.com/warp/public/473/
92© 2002, Cisco Systems, Inc. All rights reserved.RST-2715383_05_2002_c1
Déploiement des réseaux campus