La solution STP

STP : Les Virtual Local Area Networks (VLAN) sont des outils essentiels pour segmenter le trafic réseau, créant ainsi des zones d'isolation. Leur configuration demande une attention particulière lors de la conception du réseau. Les commutateurs Cisco de la couche d'accès peuvent supporter un nombre variable de VLAN, atteignant jusqu'à 64256 ou même 1024, selon le modèle de commutateur utilisé.

Cependant, le nombre maximum de VLAN pris en charge dépend spécifiquement du type de commutateur déployé. Les commutateurs Cisco sont préconfigurés avec certains VLAN par défaut, parmi lesquels le VLAN 1 est le plus courant.

Il est utilisé par défaut pour divers protocoles, notamment le Cisco Discovery Protocol (CDP), qui l'exploite pour la découverte des voisins sur le réseau.

Ainsi, la gestion des VLAN et la configuration du VLAN par défaut, tel que le VLAN 1 dans les commutateurs Cisco, sont des aspects cruciaux de la conception et de l'administration d'un réseau efficace.

Une bonne pratique de sécurité est de séparer la gestion du switch, des utilisateurs !

Cela permet d’empêcher, les utilisateurs de tenter d’établir une connexion Telnet sur les switchs !

Pour pouvoir administrer un switch à distance, il faut lui configurer une adresse IP.

Cette IP doit se trouver dans le VLAN de gestion, qui est le VLAN 1 par défaut.

Il est aussi très conseillé, de modifier le VLAN natif par défaut, par un autre vlan. Par exemple le 99.

Quand on configure un Trunk, il faut s’assurer que le VLAN natif est bien le même d’un switch à un autre. Car si les extrémités sont différentes, alors, des boucles de spanning tree peuvent se produire. Dans ce cas, l’IOS remontera des erreurs sur la console.

Le protocole DTP, aide à négocier automatiquement le port en mode accès ou en mode trunk.

2 types de mode

Pour ça, il existe, 2 types de mode :

• Il y a le mode Dynamic auto : qui négociera le mode automatiquement, avec une préférence pour le port d’accès.
• Et le mode Dynamic désirable : qui est la même chose que le mode dynamique auto, sauf qu’il a une préférence pour le port trunk.

La commande « switchport nonegotiate » désactive l’auto-négociation du switch.

Plus on ajoute des switchs, et plus il est possible d’établir une redondance.

La connexion de deux switchs aux mêmes segments de réseau assure continuité de service s’il y a des problèmes avec l’un des segments.

La redondance permet d’assurer et d’améliorer la disponibilité du réseau.

Mais le problème, c’est qu’avec une mauvaise conception, des boucles réseau peuvent se produire !

Dans un réseau commuté, c’est-à-dire où il y a plusieurs switches, les trames Ethernet doivent n’avoir qu’un seul chemin entre deux-points ! C’est ce qu’on appelle une topologie sans boucle.

Exemple

Par exemple, sur cette topologie, une trame qui part du PC A, pour aller vers le PC B, pourra soit passer par le segment 1 ou bien par le 2 !

Nous avons donc une boucle réseau !

Le problème c’est que ça génère des tempêtes de broadcast, et ça peut faire tomber le réseau !

Quand une tempête de broadcast se produit, tous les liens saturent, car les broadcast tournent en rond sur les boucles, et les tables MAC des switchs deviennent complètement folles !

Pour éviter cette boucle, on pourrait très bien| déconnecter physiquement le câble du segment 4 !

Comme ça, il y aurait bien qu’un seul chemin entre le PCA et le PCB.

Les paquets passeront obligatoirement par le segment 1.

Mais un bon réseau doit offrir de la redondance pour proposer un chemin alternatif en cas de panne d’une des liaisons ou bien d’un switch.

La solution aux boucles est le protocole| Spanning tree !!!

C’est un protocole réseau de couche 2, qui permet d’avoir une topologie sans boucle, et ce, même avec de la redondance !

Le spanning tree oblige certains ports à être dans un état bloqué pour ne pas faire de boucle !

Et s’il y a un problème avec l’un des segments du réseau, le spanning tree, rétablira le chemin bloqué.

Par exemple, si le segment 1 tombe, alors le spanning tree ouvrira automatiquement le segment 4 pour faire passer les trames !

L’algorithme du spanning tree, permet de garantir 1 seul chemin entre deux-points réseau !

Pour cela, il bloque administrativement certains ports des switchs.

Sur les switchs cisco, le spanning tree est activé par défaut.

Une bonne pratique de sécurité est de séparer la gestion du switch des utilisateurs ! Cela permet d’empêcher les utilisateurs de tenter d’établir une connexion Telnet sur les switchs ! Pour pouvoir administrer un switch à distance, il faut lui configurer une adresse IP. Cette IP doit se trouver dans le VLAN de gestion, qui est le VLAN 1 par défaut. Il est aussi très conseillé de modifier le VLAN natif par défaut par un autre VLAN, par exemple le 99. Quand on configure un Trunk, il faut s’assurer que le VLAN natif est bien le même d’un switch à un autre. Car si les extrémités sont différentes, alors des boucles de spanning tree peuvent se produire. Dans ce cas, l’IOS remontera des erreurs sur la console.

Le protocole DTP aide à négocier automatiquement le port en mode accès ou en mode trunk. Il existe deux types de mode : le mode Dynamic auto, qui négociera le mode automatiquement avec une préférence pour le port d’accès, et le mode Dynamic désirable, qui est similaire au mode dynamique auto, mais avec une préférence pour le port trunk. La commande « switchport nonegotiate » désactive l’auto-négociation du switch.

Plus on ajoute des switchs, et plus il est possible d’établir une redondance. La connexion de deux switchs aux mêmes segments de réseau assure la continuité de service s'il y a des problèmes avec l'un des segments. La redondance permet d’assurer et d’améliorer la disponibilité du réseau. Mais le problème, c’est qu’avec une mauvaise conception, des boucles réseau peuvent se produire !

Dans un réseau commuté, c’est-à-dire où il y a plusieurs switches, les trames Ethernet doivent n’avoir qu’un seul chemin entre deux points ! C’est ce qu’on appelle une topologie sans boucle.

Par exemple, sur cette topologie, une trame qui part du PC A pour aller vers le PC B pourra soit passer par le segment 1, soit par le 2, générant ainsi une boucle réseau. Le problème, c'est que cela génère des tempêtes de broadcast et peut faire tomber le réseau ! Quand une tempête de broadcast se produit, tous les liens saturent, car les broadcasts tournent en rond sur les boucles, et les tables MAC des switchs deviennent complètement folles ! Pour éviter cette boucle, on pourrait très bien déconnecter physiquement le câble du segment 4 ! Comme ça, il n'y aurait qu'un seul chemin entre le PCA et le PCB, obligeant les paquets à passer obligatoirement par le segment 1. Mais un bon réseau doit offrir de la redondance pour proposer un chemin alternatif en cas de panne d’une des liaisons ou d'un switch.

La solution aux boucles est le protocole STP ! C’est un protocole réseau de couche 2 qui permet d’avoir une topologie sans boucle, même avec de la redondance ! Le STP oblige certains ports à être dans un état bloqué pour ne pas créer de boucle ! Et s’il y a un problème avec l'un des segments du réseau, le STP rétablira le chemin bloqué. Par exemple, si le segment 1 tombe, alors le STP ouvrira automatiquement le segment 4 pour faire passer les trames ! L’algorithme du STP garantit un seul chemin entre deux points réseau en bloquant administrativement certains ports des switchs. Sur les switchs Cisco, le spanning tree est activé par défaut.