Bruxelles / Paris Contact Twitter LinkedIn GitHub GitLab Restez informé !

• Téléchargez le PDF
  du Guide CCNA 200-301

• Documents CCNA 200-301
• 1. Fondamentaux des réseaux
  • 1.1. Protocoles et modèles de communication
  • 1.2. Modèles TCP/IP et OSI
  • 1.3. Composants du réseau
  • 1.4. Topologies du réseau
  • 1.5. Mathématique des réseaux
• 2. Cisco IOS CLI
  • 2.1. Cisco IOS
  • 2.2. Installer et configurer GNS3
  • 2.3. Connexion à un commutateur Cisco
  • 2.4. Connexion à un routeur Cisco
  • 2.5. Méthode Cisco IOS CLI
• 3. Commutation Ethernet
  • 3.1. Technologie Ethernet
  • 3.2. Commutation Ethernet
  • 3.3. Principes de conception LAN
  • 3.4. Lab configuration initiale d’un commutateur Cisco
• 4. Protocole IPv4
  • 4.1. Couche Internet
  • 4.2. En-têtes IPv4 et IPv6
  • 4.3. Introduction aux adresses IP
  • 4.4. Adressage IPv4
  • 4.5. Protocoles ICMP et ARP
  • 4.6. Couche Transport TCP et UDP
  • 4.7. Lab vérifications et analyses TCP/IP
• 5. Adressage IPv6
  • 5.1. Introduction aux adresses IPv6
  • 5.2. Prise d’information IPv6
  • 5.3. Adressage IPv6 Unicast
  • 5.4. Adressage IPv6 Multicast
  • 5.5. Configuration des interfaces IPv6 sous Cisco IOS
  • 5.6. Plan d’adressage IPv6
• 6. Routage et Routeurs
  • 6.1. Introduction aux routeurs Cisco
  • 6.2. Table de routage Cisco IOS
  • 6.3. Routage statique Cisco IOS
  • 6.4. Synthèse sur les protocoles de routage dynamique
  • 6.5. Lab configuration d’un routeur Cisco
  • 6.6. Lab routage statique simple
• 7. Services d’infrastructure
  • 7.1. Traduction d’adresses IPv4
  • 7.2. Attribution d’adresses IPv4
  • 7.3. Gestion des adresses IPv6
  • 7.4. Résolution de noms
  • 7.5. ACLs Cisco
  • 7.6. Lab passerelle Internet
  • 7.7. Lab de routage et services IPv4/IPv6
• 8. Technologies VLANs
  • 8.1. Concepts VLAN
  • 8.2. Configuration des VLANs sous Cisco IOS
  • 8.3. Lab VLAN de base
• 9. Redondance de liens
  • 9.1. Spanning-Tree et Rapid Spanning-tree Cisco
  • 9.2. Lab Spanning-Tree et Rapid Spanning-Tree Cisco
  • 9.3. Cisco Etherchannel
• 10. Disponibilité dans le LAN
  • 10.1. Disponibilité dans le LAN
  • 10.2. Redondance de passerelle protocole HSRP
  • 10.3. Lab répartition de charge avec Rapid Spanning-Tree
  • 10.4. Lab Disponibilité dans le LAN RSTP avec HSRP
  • 10.5. Lab Disponibilité dans le LAN RSTP sans boucle avec HSRP
  • 10.6. Lab Disponibilité dans le LAN avec routage statique
• 11. Routage OSPF
  • 11.1. Introduction au protocole de routage dynamique OSPF
  • 11.2. Configuration d’OSPFv2 et OSPFv3 en Cisco IOS
  • 11.3. Messages OSPF
  • 11.4. États de voisinage OSPF
  • 11.5. Élection DR-BDR OSPF
  • 11.6. Maintien des informations de routage OSPF
  • 11.7. Lab Routage OSPF simple
  • 11.8. Lab Routage OSPF Multi-Area
  • 11.9. Lab OSPF BR-BDR
• 12. technologies WLAN
  • 12.1. Introduction aux technologies WLAN
  • 12.2. Couche physique (L1) WLAN IEEE 802.11
  • 12.3. Composants et architectures Wi-Fi
• 13. Sécurité dans le LAN
  • 13.1. Introduction à la sécurité dans le LAN
  • 13.2. Switchport Port-Security
  • 13.3. Lab Switchport Port-Security
  • 13.4. Lab sécurité dans le LAN
  • 13.5. AAA Radius 802.1X EAP
  • 13.6. Introduction à la sécurité IPv6
  • 13.7. Port ACLs (PACLs) et VLAN ACLs (VACLs)
• 14. Gestion sécurisée des périphériques
  • 14.1. Configuration et gestion des consoles Cisco IOS
  • 14.2. Chiffement des mots de passes locaux en Cisco IOS
  • 14.3. Gestion et transferts de fichiers en Cisco IOS
• 15. Gestion d’infrastructure
  • 15.1. CDP et LLDP
  • 15.2. Synchronisation temporelle NTP
  • 15.3. Gestion des logs SYSLOG
  • 15.4. Supervision du réseau SNMP
  • 15.5. Lab Gestion d’infrastructure
  • 15.6. Concepts QoS Cisco
  • 15.7. Technologies et topologies WAN
• 16. Automation et Programmabilité du réseau
  • 16.1. De la virtualisation au nuage
  • 16.2. Concepts Cisco SDN
  • 16.3. APIs HTTP Restful
• 17. Examen CCNA 200-301
  • 17.1. Diagnostic fondamental sur les hôtes terminaux
  • 17.2. Diagnostic Cisco IOS ICND1
  • 17.3. Lab final ICND1
  • 17.4. Diagnostic ICND2
  • 17.5. Lab final ICND2 CCNA
  • 17.6. Nouvel examen CCNA 200-301

Table des matières

• 1. Rôles des périphériques
• 2. Les périphériques du réseau sont des ordinateurs
• 3. Composants d’un réseau associés aux couches OSI
• 4. Périphérique terminal
• 5. Routeur (router)
• 6. Commutateur d’entreprise (switch)
• 7. Commutateur Multicouches (Multilayers switch)
• 8. Ponts, Concentrateurs et Répéteurs
• 9. Matériel sans-fil
• 10. Pare-feu
• 11. IPS
• 12. Supports de transmission
• 13. L’informatique en nuage
• 14. Cisco DNA
• 15. Éléments clés à retenir

Objectifs de certification

CCNA 200-301

• 1.1.a Expliquer le rôle et la fonction des composants réseau : Routeurs
• 1.1.b Expliquer le rôle et la fonction des composants réseau : Commutateurs (switches) L2 et L3
• 1.1.c Expliquer le rôle et la fonction des composants réseau : Pare-feu NG (Next-generation firewalls) et IPS
• 1.1.d Expliquer le rôle et la fonction des composants réseau : Point d’accès (Access points)
• 1.1.e Expliquer le rôle et la fonction des composants réseau : Controlleurs (Cisco DNA Center et WLC)
• 1.1.f Expliquer le rôle et la fonction des composants réseau : Points terminaux (Endpoints)
• 1.1.g Expliquer le rôle et la fonction des composants réseau : Serveurs

---

Composants de base du réseau

Ce chapitre fondamental permet de mieux identifier les éléments qui composent un réseau (routeurs, commutateurs, concentrateurs, pare-feux, etc.) afin de les placer dans topologies d’exercices représentatifs ou de les placer logiquement en faisant à des modèles de conception.

1. Rôles des périphériques

Chaque couche, voire chaque protocole, dispose de sa propre vision des rôles des périphériques lors des procédures qui l’occupe.

IP voit deux rôles :

1. Les hôtes terminaux : nos ordinateurs au bout du réseau
2. Les routeurs chargés de transférer les paquets en fonction de l’adresse L3 IP (logique, hiérarchique) de destination. Ils permettent d’interconnecter les hôtes d’extrémité.

Aussi au sein du réseau local (LAN), le commutateur (switch) est chargé de transférer rapidement les trames Ethernet selon leur adresse L2 MAC (physique) de destination. Il ne s’occupe jamais des informations dites “L3”, de couche 3 du modèle OSI comme les paquets ou datagrammes et les adresses IP qu’ils contiennent.

2. Les périphériques du réseau sont des ordinateurs

Les périphériques du réseau sont composés d’une partie matérielle :

• dédiée (sur des serveurs),
• embarquée (sur des plateformes autres que des serveurs de type Intel)

Cette partie matérielle est de plus en plus virtualisées notamment sur des infrastructures de virtualisation de type Intel X86. Un exemple est le routeur virtuel Cisco Systems CSR-1000v à déployer dans le centre de données (data center). Ces capacités de virtualisation sont disponibles sur des plateformes bien connues de type Intel avec leurs spécificités (CPU, périphériques, etc.).

Ces périphériques et leurs capacités matérielles sont exploités à partir d’un système d’exploitation :

• propriétaire comme Cisco IOS
• Open Source comme Linux ou BSD et leurs dérivés
• Basé Open Source avec une sur-couche propriétaire comme Cisco IOS-XE (Linux)

On prendra garde à distinguer les fonctions que les périphériques du réseau remplissent au niveau des plans :

• plan “donnée” : le périphérique transfère-t-il du trafic utilisateur ?
• plan “contrôle” : le périphérique se gère-t-il localement ou à partir d’un contrôlleur ?

Enfin les périphériques peuvent être placés dans un niveau de conception dans une des couches “Access”, “Distribution” ou “Core”. En téléchargeant les livres du Guide CCNA 200-301 vous encouragez son auteur !

3. Composants d’un réseau associés aux couches OSI

On trouvera ici la représentation en forme de diagramme des composants de base d’un réseau.

Chacun de ces périphériques est associé à une couche du modèle OSI avec “L” pour “Layer” :

Périphérique	Couche
Routeur (Router)	L3
Commutateur (Switch) L3	L2/L3
Commutateur (Switch) L2	L2
Pont (Bridge)	L2
Concentrateur (Hub)	L1
Répéteur (Repeater)	L1
Contrôlleur WLAN	L2/L3/L7
Point d’accès sans-fil (AP) Wi-Fi	L1/L2
Carte réseau (NIC)	L2
Hôte terminal	L3/L4/L7

4. Périphérique terminal

Le périphérique terminal est l’hôte qui est situé à l’extrémité d’un communication : par exemple un poste client et un serveur sont des hôtes terminaux.

Les périphériques terminaux accèdent au réseau via une technologie d’accès (L1/L2). Les péréphériques clients peuvent être des ordinateurs de bureau, des mobiles ou des tablettes mais de plus en plus des “objets” (IoT). Les serveurs sont ceux qui offrent et rendent des services à des clients. En général, ils sont situés dans des centres de données dédiés tels quels ou dans le “nuage”.

5. Routeur (router)

On trouvera une présentation complète du rôle des routeurs, de leur fonctionnement et de leur format dans le chapitre “Introduction aux routeurs Cisco (lab)”. Mais pour l’instant, tentons de comprendre son rôle fondamental.

Le routeur est ce matériel de couche 3 du modèle OSI (L3) qui :

• interconnecte des domaines réseaux IP différents;
• transfère le trafic qui ne lui est pas spécifiquement destiné;
• transfère le trafic IP grâce à sa table de routage vers les bonnes destinations, s’il les connait.

Sur le plan physique, les routeurs sont caractérisés par un nombre limité d’interfaces mais d’une grande diversité (chez Cisco Systems), permettant à ce matériel professionnel de se connecter à n’importe quelle technologie d’accès. De plus chez Cisco Systems, ce matériel peut embarquer un bon nombre d’autres services du réseau comme par exemple des services de communication unifiées, de filtrage et de sécurité comme le pare-feu ou un système de détection/prévention d’intrusion (IDS/IPS) et même des capacités de virtualisation.

6. Commutateur d’entreprise (switch)

La partie “Commutation Ethernet” détaille amplement le rôle et le fonctionnement des commutateurs Ethernet. Essayons d’identifier le rôle du commutateur, le “switch”, élément de couche 2 (L2) essentiel.

Le commutateur d’entreprise (switch), typiquement de couche 2 liaison de données (L2) est ce matériel qui :

• interconnecte les périphériques terminaux du LAN pour un transfert local rapide;
• transfère le trafic en fonction de l’adresse MAC de destination trouvée dans les trames et de sa table de commutation (CAM table, ternary content addressable memory), la prise de décision de transfert est réalisée au niveau matériel hardware grâce à des puces ASIC;
• transfère le trafic unicast (à destination d’un seul hôte) uniquement sur le bon port de sortie;
• transfère le trafic Broadcast (à destination de tous) et multicast (à destination de certains) est transféré par tous les ports sauf le port d’origine.

Dans les modèles de conception du réseau, le commutateur couche 2 (switch L2) fondamental remplit uniquement des fonctions L2 (transfert local, segmentation VLANs, marquage QoS, sécurité EAP/802.1x) et se place dans la couche “Access”.

7. Commutateur Multicouches (Multilayers switch)

Un commutateur multicouches (Multilayers switch) est un commutateur d’entreprise capable de remplir des tâches de routage et des services avancés. On l’appelle aussi “switch L3”. Il s’agit d’un véritable routeur dédié au réseau LAN d’entreprise.

Ce type de matériel dispose de capacités améliorées en CPU/RAM mais aussi et surtout en capacité de transfert matériel, en nombre d’interfaces et en technologies supportées. On les place souvent au niveau des couches de conception “Distribution” ou “Core”. Le chapitre intitulé Principes de conception LAN offre plus de détails sur ce type de matériel.

8. Ponts, Concentrateurs et Répéteurs

Les “Ponts”, “Concentrateurs” et “Répéteurs” sont des éléments aujourd’hui plus conceptuels que réels (sauf dans certains déploiement en Wi-Fi).

Un pont (bridge) filtre le trafic entre deux segments physiques en fonction des adresses MAC. Le point d’accès Wi-Fi est une sorte de pont.

Un concentrateur (hub) est un périphérique qui concentre les connexions et étend le segment physique. À la différence du commutateur, le trafic sort par tous ses ports; il ne prend aucune décision quant au trafic. En Ethernet, il était souvent identifié comme un répéteur multi-ports, ils ont été progressivement remplacés par des commutateurs de telle que ce matériel de “concentration” n’est plus fabriqué depuis longtemps.

Un répéteur (repeater) étend le signal entre deux ou plusieurs segments. Il ne prend aucune décision quant au trafic à transférer. On peut encore trouver des répéteurs dans les architectures Wi-Fi.

9. Matériel sans-fil

Avec des points d’accès légers (Lightweight AP), le Wireless LAN Controller (WLC) prend en charge les fonctions d’association ou d’authentification des APs, ces derniers devenant des interfaces physiques fournissant la connectivité. Le contrôleur fournit l’intelligence, la gestion, la configuration des APs. Il participe à une vue unifiée du réseau filaire et sans-fil.

Un point d’accès sans-fil fournit le service du réseau sans-fil au sein d’une zone de couverture radio (cellule, cell). Un point d’accès dit “léger” remplira des tâches matérielles de chiffrement et de transport par exemple alors que l’intelligence sera assurée par un contrôleur.

Un réseau sans-fil contrôlé dispose de plusieurs avantages :

• Fréquences Radio dynamiques : Les points d’accès adaptent automatiquement la force du signal.
• Processus de déploiement facilité : Le contrôleur de réseau sans-fil (WLAN) assure la gestion centralisée des utilisateurs et des VLANs.
• Performance des utilisateurs optimisée : Un contrôleur de réseau sans-fil réparti la charge pour maximiser le transfert.
• Processus de mise-à-jour facilitée : Le contrôleur de réseau sans-fil (WLAN) peut déployer aisément des mises-à-jour sur les points d’accès.

En téléchargeant les livres du Guide CCNA 200-301 vous encouragez son auteur !

10. Pare-feu

Un pare-feu (firewall) protège des tentatives de connexion directe venant d’un réseau comme Internet. Par contre, il laisse entrer le retour légitime du trafic initié d’une zone de confiance comme un LAN. Il tient compte de l’état des sessions de couche 4 établies (TCP, UDP, ICMP, etc.). On parle alors de pare-feu à état.

Quelques éléments essentiels sont à retenir concernant les pare-feux en général :

• Dans un système d’information, les politiques de filtrage et de contrôle du trafic sont placées sur un matériel ou un logiciel intermédiaire communément appelé pare-feu (firewall).
• Cet élément du réseau a pour fonction d’examiner et filtrer le trafic qui le traverse.
• On aussi peut le considérer comme une fonctionnalité d’un réseau sécurisé : la fonctionnalité pare-feu.
• L’idée qui prévaut à ce type de fonctionnalité est le contrôle des flux du réseau TCP/IP.
• Le pare-feu limite le taux de paquets et de connexions actives. Il reconnaît les flux applicatifs.
• Il se place au sein du routage TCP/IP en connectant des réseaux distincts, il fait alors office de routeur.
• Il agit au minimum au niveau de la couche 4 (L4) mais il peut inspecter du trafic L7 (Web Application Firewall)
• Il ne faut pas le confondre avec le routeur NAT

On trouvera plus de détails sur les pare-feux dans les documents Concepts Pare-Feux Firewall et Lab Cisco IOS Zone Based Firewall.

11. IPS

“IDS” et “IPS” sont des éléments connexes qui sont le résultat d’une évolution technologique. Un “IDS” détecte des intrusions et il devient “IPS” quand il est capable d’y réagir automatiquement.

Un système de détection d’intrusion (IDS) est un dispositif ou une application logicielle qui surveille un réseau ou des systèmes pour déceler toute activité malveillante ou toute violation de politique de sécurité. Toute activité malveillante ou violation est généralement signalée à un administrateur ou est recueillie de façon centralisée au moyen d’un système de gestion des informations et des événements de sécurité (SIEM). Un système SIEM combine des sorties provenant de sources multiples et utilise des techniques de filtrage des alarmes pour distinguer les activités malveillantes des fausses alarmes.

Les systèmes de prévention des intrusions (IPS), également connus sous le nom de systèmes de détection et de prévention des intrusions (IDPS), sont des dispositifs de sécurité réseau qui surveillent les activités du réseau ou du système pour détecter toute activité malveillante et tentent de les bloquer ou de les arrêter.

Les systèmes de prévention des intrusions peuvent être classés en quatre types différents : Système de prévention des intrusions en réseau (NIPS), Système de prévention des intrusions sans fil (WIPS), Analyse du comportement du réseau (NBA), Système de prévention des intrusions basé sur l’hôte (HIPS)

La majorité des systèmes de prévention des intrusions utilisent l’une des trois méthodes de détection suivantes : l’analyse basée sur la signature, l’analyse statistique des anomalies et l’analyse du protocole dynamique.

Snort, Sourcefire (Cisco Systems) et Surricata sont des exemples d’IDS/IPS bien connus.

On trouvera plus de détails sur les IDS/IPS dans le chapitre “Concepts IDS IPS”

12. Supports de transmission

Les supports de transmission des données interconnectent physiquement les périphériques et transportent les données sous forme d’ondes. Les données sont codées en ondes électromagnétiques (sur des supports métaliques comme des câbles en cuivre), en ondes lumineuses (à travers les airs ou à travers de la fibre optique) ou en ondes radios (comme les communications mobiles et Wi-Fi).

Ces connexions doivent être de qualité et éviter toute forme d’interférence pour supporter un service de qualité.

On connait deux catégories de technologies de connexions :

• Les connexions LAN : au sein du réseau local.
• Les connexions WAN : qui interconnectent les sites distants.

13. L’informatique en nuage

Un nuage : Un nuage représente une infrastructure dont on ne connaît pas vraiment la nature ou la topologie exacte et qui permet d’accéder à un réseau distant. Il s’agit typiquement d’un nuage Internet (au sens propre comme représentant un accès au réseau public) ou d’une simplification dans un diagramme. Le nuage est un diagramme courant dans nos topologies réseau bien avant l’apparition du paradigme des technologies en nuage. On pourrait aussi considérer un nuage comme la boîte noire de la cybernétique de Wiener.

Mais justement avec l’informatique en nuage, du trafic d’entreprise pourrait utiliser des centres de données hébergés sous une autorité externes à celle-ci, c’est-à-dire dans le nuage au lieu d’utiliser de ressources sur site (“On Premise”). Les connexions par Internet entre les sites locaux et les services en nuage deviennent alors d’autant plus cruciales dans les nouvelles architectures.

Dans cette topologie¹, on a plusieurs VPC (réseaux) dans le nuage AWS et un site physique. On peut transformer le réseau AWS en un IWAN “Hub and Spoke” en exécutant un CSR1000v comme BR (Broader Router). APIC-EM est hébergé dans le Hub (centre de données en nuage) pour fournir des services IWAN entre le hub IWAN et les sites distants, y compris virtuels et physiques.

Dans le cadre de ce modèle, certains services d’infrastructure se virtualisent jusqu’à être disponibles et utilisés en tant que services (as a Service) dont le réseau.

14. Cisco DNA

Cisco Digital Network Architecture (DNA) offre un centre de commande et de contrôle intuitif qui agit comme le coeur d’un réseau basé sur l’intention (IBN), fournissant un tableau de bord de gestion centralisé pour l’automatisation basée sur un contrôleur, l’assurance du réseau et l’extensibilité d’une plate-forme ouverte. Il utilise le “machine learning” et l’intelligence artificielle pour surveiller, dépanner et optimiser proactivement le réseau. Il permet d’utiliser des systèmes tiers pour améliorer les processus opérationnels.​

DNA offre des fonctionnalités et des avantages en termes de gestion, d’automation, d’analytique et de sécurité.

• Gestion
  • Visibilité précise sur le réseau depuis un tableau de bord unique
  • Gestion du cycle de vie des périphériques
  • Intégration multidomaine
  • Ouverture et évolutivité
• Automation
  • Détection automatique des périphériques
  • Création de politiques par glisser-déposer
  • Gestion du déploiement et du cycle de vie des périphériques sans intervention​​
  • Qualité de service (QoS) automatisée
• Analytique avec l’AI/ML
  • Utilisation de l’infrastructure en tant que capteur
  • Analytique contextuelle
  • Plus de 150 informations exploitables
  • Analytique avec l’intelligence artificielle locale et dans le cloud
• Sécurité
  • Détection et élimination des menaces
  • Intégration de Stealthwatch et ISE
  • Encrypted Traffic Analytics (ETA)
  • Segmentation ultra-sécurisée

DNA offre des solutions de type Software Defined Network. Le concept SDN est développé dans un chapitre ultérieur.

• Network Assurance : L’intelligence des réseau.
• Software-Defined Access : Le réseau d’accès agile.
• Software-Defined WAN : le réseau WAN agile.
• Sécurité du réseau

La solution est principalement construite autour de “DNA Center Appliance” et de périphériques réseaux ainsi que d’abonnements à des services.

15. Éléments clés à retenir

Il essentiel de pouvoir identifier le rôle, les fonctions, les formats, la portée protocolaire et d’architecture des différents périphériques du réseau.

Source: https://cisco.goffinet.org/ccna/fondamentaux/composants-reseau/