102 NETWORK
LE PLAN Réseaux Switchés VLANS Routage OSPF Boucles STP Infra à VIA
INTRODUCTION Comment deux ordis peuvent communiquer entre eux ? - Un réseau minimal (sans central) Petite démo : Ordi 1 : 192.168.2.1 \24 Ordi 2 : 192.168.2.2 \24 Vos ordis ont aussi une table ARP ! arp –a ping < 2^(8) adresses ip
INTRODUCTION Petit rappel : FDB et ARP FDB : Forwarding Database – show fdb : MAC – PORT ; Couche 2 ARP : Address Resolution Protocol – show iparp : IP – MAC ; Couche 2/3
Réseaux Switchés
RÉSEAUX SWITCHÉS Comment deux ordis peuvent communiquer entre eux ? - Un réseau minimal (sans central) - Un réseau switché : Le switch dirige les paquets au bon port selon l’adresse MAC marquée sur les paquets en question avec la FDB.
RÉSEAUX SWITCHÉS Rappel : Ethernet Frame Source : Wikipedia et Stackoverflow 💜💜
RÉSEAUX SWITCHÉS Qu’est ce qui se passe quand on se connecte à un réseau? La FDB du switch est mise à jour. Le client demande une IP au DHCP. Comment ? DHCP DISCOVER : Le client envoie un broadcast. DHCP OFFER : Le serveur DHCP répond avec l’IP du DHCP, l’IP proposée, le masque de sous-réseau ( destination : MAC du client ) DHCP REQUEST : Le client accepte et répond avec l’IP qui lui a été proposée DHCP ACK : Le seveur DHCP confirme et lui envoie des paramètres aditionnels (IP de la gateway, adresses IP des serveurs DNS, durée du Bail). L’ARP est mise à jour.
RÉSEAUX SWITCHÉS Qu’est ce qui se passe quand on se connecte à un réseau? Source : Wireshark
RÉSEAUX SWITCHÉS ▶▶▶ Un grand réseau switché! (un LAN) Limites : Broadcasts sur l’intégralité du réseau ( boucles! ) Isoler des machines ( ex: virus , administration ) La solution? On divise en sous-réseaux! Le VLAN ou (vlip)
VLAN
LE VLAN VLAN = Virtual Local Area Network Un sous-réseau logique, identifié par un tag (IEEE 8.201Q). Constitué d’une plage d’IP continues. Un domaine de broadcast. Séparation du réseau en sous-réseaux logiques (ie on n’a pas besoin de tirer des câbles en plus).
LE VLAN Les paquets circulant à l’intérieur d’un VLAN portent tous le tag du VLAN. Mise en place : On crée le VLAN On rajoute des ports au VLAN pour indiquer au routeur indiquer sa topologie
LE VLAN Au niveau physique :
LE VLAN Au niveau logique : Un seul câble physique! On peut bien avoir deux vlans sur un même port!*
LE VLAN(SUITE) *Sauf que... Votre ordinateur n’est pas configuré pour lire les packets ethernet avec un tag... On demande au routeur d’envoyer les paquets non taggés (sans le champ correspondant au tag) Le port est alors rajouté au vlan en mode “untagged” On ne peut avoir qu’un seul vlan untagged par port
LE VLAN : TAGGED OU UNTAGGED ? Au niveau logique : On peut avoir qu’un seul vlan untagged sur un même port! On peut bien avoir deux vlans tagged sur un même port!
LE VLAN : TAGGED OU UNTAGGED ? Cette configuration marche : On peut bien superposer un vlan en untagged et en tagged sur un même port.
LE VLAN : TAGGED OU UNTAGGED ? Cette configuration est foireuse (les paquets bleu pâle ne seront pas transmits d’un routeur à l’autre).
LE VLAN : TAGGED OU UNTAGGED ? Cette configuration est impossible!! (non permise par le routeur) Le routeur ne peut pas savoir à quel vlan appartient quel paquet.
LE VLAN : BOOTREPLAY Mais... Et le DHCP ? Requêtes DHCP (Discover, Offer…) en braodcast... Et si le serveur DHCP n’est pas sur le même vlan? > Enable le Bootprelay au niveau du vlan de l’appareil et celui du serveur DHCP > Parfois on en a pas envie : ADSL
LE VLAN : ISOLER DES MACHINES Par défaut les paquets ne peuvent pas passer d’un VLAN à l’autre. Pour les autoriser, il faut enable l’IP forwarding au niveau des deux VLAN. Ça autorise les paquets à passer d’un VLAN à l’autre. > Parfois on en a pas envie : vlan-virus
VLAN (LA FIN) Il y a des switchs L2 (FDB) et L3 (FDB et ARP). Seuls les switchs L3 peuvent interagir avec le tag VLAN (le noter, le changer… ). Ex switchs L3: tous les switchs à VIA au niveau des bâtiments, du PI, des salles serveurs… La majorité c’est des switchs de Extreme Networks. Ils sont violets 💜
ON POURRAIT S’ARRÊTER LÀ Limites : quand le réseau est très gros, on a envie de limiter les entrées sur la FDB. On a envie de connaître les chemins les plus efficaces quand plusieurs chemins sont disponibles. Et puis à VIA on aime bien tester des technos ^_^ Et puis : On n’a pas expliqué comment “sortir” du réseau. Comment faire? Routage!
Routage
ROUTAGE : RAPPEL On a un paquet. On veut l’envoyer ailleurs (8.8.8.8, par exemple). L’ordinateur crée un paquet IP : - MAC source et IP sources : les siennes. MAC destination : gateway (obtenue par requête ARP). - IP destination : 8.8.8.8 Le paquet est switché jusqu’à la gateway grâce à la mac.
ROUTAGE : RAPPEL MAC du BD! Exemple : Des iproutes sont définies à l’aide de protocoles de routage. Elles indiquent quel chemin doit suivre un paquet selon l’IP de destination (ie le retour suivant). À chaque fois que le paquet arrive sur un routeur, il regarde ses routes, détermine le routeur suivant, et met cette MAC comme MAC de destination. Enfin, quand on arrive à la gateway du sous-réseau de l’IP de destination, le paquet est switché jusqu’au destinataire.
ROUTAGE : RAPPEL Hostname : Gardevoir MAC : 66:66:66:66:66 IP : 21.21.21.21 Hostname : Moltres MAC : 18:18:18:18:18:18 IP : 42.42.42.42 VLAN 1 21.21.21.0\24 VLAN 2 42.42.42.128\25 Gardevoir veut contacter Moltres. Elle connaît son IP.
ROUTAGE : RAPPEL Hostname : Gardevoir MAC : 66:66:66:66:66 IP : 21.21.21.21 Hostname : Moltres MAC : 18:18:18:18:18:18 IP : 42.42.42.42 Source MAC : 66:66:66… Source IP : 21.21.21.21 Destination MAC : ?? Gateway MAC : 88:88:88:88:88:88 Elle veut que son paquet soit switché jusqu’à la gateway, pour qu’il soit routé jusqu’au sous réseau de Moltres. Il lui faut la MAC de la gateway => requête ARP (broadcast)
ROUTAGE : RAPPEL Hostname : Gardevoir MAC : 66:66:66:66:66 IP : 21.21.21.21 Hostname : Moltres MAC : 18:18:18:18:18:18 IP : 42.42.42.42 Source MAC : 66:66:66:66:66:66 Source IP : 21.21.21.21 Destination MAC : 88:88:88:88:88:88 Destination IP : 42.42.42.42 Gateway MAC : 88:88:88:88:88:88 La Gateway lui répond! Le paquet est switché jusqu’à la gateway.
ROUTAGE : RAPPEL Gateway MAC : 55:55:55:55:55 Hostname : Gardevoir MAC : 66:66:66:66:66:66 IP : 21.21.21.21 Hostname : Moltres MAC : 18:18:18:18:18:18 IP : 42.42.42.42 Source MAC : 88:88:88:88:88:88 Source IP : 21.21.21.21 Destination MAC : 55:55:55:55:55:55 Destination IP : 42.42.42.42 Arrivé à la gateway, celle-ci détermine l’IP du routeur suivant à l’aide de sa table de routage (iproutes). La gateway met comme MAC de destination la MAC du routeur suivant (arp) et comme MAC source la sienne.
ROUTAGE : RAPPEL Gateway MAC : 22:22:22:22:22:22 Hostname : Gardevoir MAC : 66:66:66:66:66:66 IP : 21.21.21.21 Hostname : Moltres MAC : 18:18:18:18:18:18 IP : 42.42.42.42 Le paquet est envoyé, et de même est routé jusqu’à la gateway du sous-réseau bleu.
ROUTAGE : RAPPEL Gateway MAC : 22:22:22:22:22:22 Hostname : Gardevoir MAC : 66:66:66:66:66 IP : 21.21.21.21 Hostname : Moltres MAC : 18:18:18:18:18:18 IP : 42.42.42.42 Source MAC : 22:22:22:22:22:22 Source IP : 21.21.21.21 Destination MAC : 18:18:18:18:18:18 Destination IP : 42.42.42.42 La gateway du réseau-bleu reconnaît l’IP de Moltres qui fait partie de son sous-réseau. Elle met la MAC de Moltres comme MAC de destination. Le paquet est switché jusqu’à Moltres.
ROUTAGE : IGP et BGP AS : Autonomous System; réseau géré un même organisme (ex : une même asso, une même entreprise). IGP : Internal Gateway Protocol Famille de protocoles de routage à l’intérieur de l’AS BGP : Border Gateway Protocol Routage entre les AS
ROUTAGE : IGP et BGP À VIA, on utilise un protocole de routage interne : le OSPF Open Shortest Path First Comment ça marche ?
OSPF : Open Shortest Path First Les routeurs envoient des paquets Hello en braodcast pour détecter leurs voisins. Ces paquets contiennent une liste de leur voisins, et le l’ID du DR (Designated Router), ici le BD. Avec le BD, ils échangent des paquets LSA qui contiennent des informations sur les liens qu’ils ont avec d’autres routeurs / appareils, et le coût de ces liens, et reçoit de la part du BD des paquets similaires émis par les autres routeurs. Ceci permet à chaque routeur de mettre à leur base de données (contenant la topologie du réseau), à partir de laquelle ils déduisent les meilleurs chemins (en utilisant l’algorithme de Dijkstra).
OSPF : Open Shortest Path First Si tu réponds pas au Hello t’es considéré comme “mort” et le routeur envoie un paquet LSA au BD pour notifier les autres.
OSPF(fin) On peut aussi définir des aires OSPF dans lequelles les routeurs s’échangent des informations, déterminent les routes, puis les envoient aux aires adjacentes avec d’autres types de paquets LSA… Ceci permet d’éviter qu’il y ait trop de calculs à faire, et de limiter aussi le traffic en paquets LSA. Cependant à VIA on a qu’une seule aire, on abordera pas le sujet au niveau de cette formation ^^
IP ROUTE Commande : sh iproute #oa : route apprise par OSPF #s : route configurée statiquement #d : route directe
En Résumé Un paquet entrant sur la rez : est routé jusqu’à la gateway, à l’aide des chemins indiqués sur iproute, puis est redirigé grâce à la MAC de destination en suivant la FDB.
BOUCLES
LES BOUCLES Beaucoup de requêtes sont faites en broadcast : ARP, DCHP… Solution : ne pas plugger un câble entre deux ports d’un switch ? (certes) PB : Redondance ? + les câbles herma “bouclent”. Solution : le stp
Le stp Principe général : déterminer un arbre recouvrant de poids minimal parmi les liens entre les switchs, et ce, dès qu’il y a un changement de la topologie du réseau. Le stp va bloquer certains ports de façon à éviter les boucles.
LE STP STP : Spanning Tree Protocol Au niveau d’un vlan : On définit une aire stp et on rajoute des ports dessus. 2) Le switch ayant l’ID le plus bas (ID : 4 chiffres + MAC) est élu racine de l’arbre. 3) Le switch racine envoie des paquets BPDU avec un champ indiquant le coût du chemin. Initialement égal à 0, chaque routeur qui le reçoit incrémente le coût de 1 (+ des ack). 4) Au niveau de chaque switch le port avec le coût le plus faible est choisi comme port racine.
LE STP 5) Sur chaque switch, les ports reliés à chaque port racine sont élus Designated. Si entre deux switchs, il y a pas de port de racine, alors le port le plus près de la racine est élu designated. Sur la racine, tous les ports sont élus Designated Ports. 6) Tous les ports n’étant ni racine, ni designated sont bloqués. LEARNING => FORWARDING ou BLOCKING
LE STP Les “edge ports” (ie les ports connectés à des appareils, pas à un autres switch), ne répondent pas aux BPDU avec des ack et sont mis en forwarding. **je crois. Faut pas trop pousser hein.
LE STP
INFRA A VIA
INFRA A VIA Cisco prism switch-aob gw-vialabs BD gw-pi gw-perms switch-ab gw-a2 gw-a1 gw-hserv gw-d
VLIP-WIFI Le vlip-wifi est switché (ie. il y a un seul vlan qui est switché depuis le BD). Les bornes wifi de chaque étage sont connectés à des switchs, eux-mêmes connectés directement au BD par de le fibre, sans passer par les routeurs de bâtiments* : BD vlip-wifi switch-ab * sauf au F
VLIP-A Le BD est rélié aux routeurs des bâtiments par deux paires de fibre : BD vlip-bda2 vlip-bda1 gw-a2 gw-a1 vlip-a2 vlip-a1
VLIP-D Le BD est rélié aux routeurs des bâtiments par deux paires de fibre. Parfois les routeurs sont stackés : Les routeurs forment alors une seule unité logique. BD vlip-bdd2 vlip-bdd1 gw-d gw-d vlip-d vlip-d
AOB AOB : Administration Out of Band; réseau cuivré parallèle. Utilisation : pusher leur conf sur Baal, la récupérer, récupérer l’image du firmware sur Baal pour une MAJ… Structure : un peu compliquée ^^ gw-pi switch-aob BD
CONCLUSION (enfin presque) Notions clés : Routage, VLAN Diff : indispensable pour mener à bien le déménagement Autres sujets : BGP, Transit, Peering… (connexion extérieure).
CONCLUSION (almost there) Quelques liens du wiki : https://wiki.via.ecp.fr/index.php?title=Plan_IP https://wiki.via.ecp.fr/index.php?title=Liste_du_mat%C3%A9riel_diff https://wiki.via.ecp.fr/index.php?title=Configuration_d%27un_ExtremeXOS https://wiki.via.ecp.fr/index.php?title=Interconnexion_CTI
CONCLUSION (pew pew) Conseils : Allez sur les routeurs : sh iproutes sh vlan <NOM> sh ports [utilization] <tab> <tab> <tab> Faîtes tourner Wireshark