# TP2 - Augmentation de la résilience d’un réseau à l’aide du STP et de LACP
## Rappels théoriques
- Que signifie le terme SPOF et que désigne-t-il ?
```
Un SPOF (Single Point Of Failure) est un point qui peut être identifié
dans une infrastructure ou une architecture donnée comme étant critique pour cette infrastructure
dans le cas où celui-ci vient à défaillir.
```
- Expliquer comment il est possible de supprimer des SPOF sur un réseau informatique.
```
La redondance est le moyen le plus efficace pour supprimer les spofs:
Redondance symétrique : il s’agit de mettre deux exemplaires d’un même équipement ou processus à l’opposé dans l’espace.
Redondance asymétrique : le matériel ou le processus de secours n’est pas le même que le SPOF.
Redondance modulaire : faire dévier le SPOF d’un système à un autre.
Redondance évolutive : consiste à isoler l’élément défaillant et utiliser le reste du système.
```
## Mise en place du spanning tree
### Rappels théoriques:
- Qu’est-ce qu’une tempête de broadcast, et comment cela se produit-il ?
```
La cause la plus courante est une boucle (circuit) ethernet dans la connexion avec des commutateurs réseau (c'est-à-dire plusieurs chemins existent entre les postes).
Comme les trames de diffusion sont transmises sur tous les ports, les commutateurs suivants vont retransmettre les trames déjà reçues, et donc saturer le réseau.
Comme la couche niveau 2 sur les entêtes ethernet ne contient pas de TTL (durée de vie limitée), les trames vont transiter indéfiniment.
```
- Schéma d'une boucle réseau entrainant une tempête de broadcast:
<hr>
### Etapes préliminaires
- Interconnectez vos switchs comme indiqué sur le schéma en annexe. Pour le moment chaque switch ne sera relié qu’au moyen d’un seul lien réseau.
- Positionnez maintenant deux postes de travail sur deux switchs différents. Tentez un ping ICMP entre les deux postes que constatez vous ?
Schéma du réseau comme demandé.
Nous essayons de ping le VPC6 (10.0.0.10) et VPC7 (10.0.0.11):
- Nous observons que le ping ne passe pas à cause d'une tempête de broadcast.
### Mise en œuvre du protocole spanning tree :
- lisez dans un premier temps la documentation proposée sur le site de CISCO2, et expliquez brièvement le fonctionnement du protocole.
`
Le protocole Spanning Tree empêche les boucles de se former en fermant tous les chemins possibles, sauf un, pour chaque paquet de données.
`
```
Switch>en
Switch#conf t
Switch(config)#spanning-tree mode rapid-pvst
Switch(config)#exit
Switch#sh spanning-tree
VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 32769
Address aabb.cc00.1000
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address aabb.cc00.1000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- ------------------------------
--
Et0/0 Desg FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr
Et0/2 Desg FWD 100 128.3 Shr
Et0/3 Desg FWD 100 128.4 Shr
```
- Je réalise cette manipulation pour mes 5 switchs et je test de nouveau de ping :
```
VPCS> ping 10.0.0.10
84 bytes from 10.0.0.10 icmp_seq=1 ttl=64 time=1.061 ms
84 bytes from 10.0.0.10 icmp_seq=2 ttl=64 time=1.394 ms
84 bytes from 10.0.0.10 icmp_seq=3 ttl=64 time=1.357 ms
84 bytes from 10.0.0.10 icmp_seq=4 ttl=64 time=1.060 ms
84 bytes from 10.0.0.10 icmp_seq=5 ttl=64 time=1.712 ms
```
### Mise en œuvre de l’agrégation de liens
#### Rappels théoriques
- Quel est l’intérêt d’agréger des liens réseau ?
```
L'agrégation de liens offre les avantages suivants : Fiabilité et disponibilité accrues.
Si l'une des liaisons physiques tombe en panne,
le trafic est réaffecté de manière dynamique
et transparente à l'une des autres liaisons physiques
```
#### Mise en œuvre du protocole EthercCannel :
- Nous doublons tous les liens :
- Nous mettons en place le protocole etherchannel sur les 5 switchs
```
Switch1# conf t
Switch1(config)# interface range ethernet 0/0, ethernet 0/2
Switch1(config-if-range)# channel-group 1 mode active
Switch1(config-if-range)# exit
Switch1# conf t
Switch1(config)# interface range ethernet 0/1, ethernet 0/3
Switch1(config-if-range)# channel-group 2 mode active
Switch1(config-if-range)# exit
```
- Vérification de la configuration:
```
Number of channel-groups in use: 2
Number of aggregators: 2
Group Port-channel Protocol Ports
------+-------------+-----------+---------------------------------------------
--
1 Po1(SU) LACP Et0/1(P) Et0/3(P)
2 Po2(SU) LACP Et0/0(P) Et1/0(P)
```
- Nous passons nos interfaces en mode trunk:
```
Switch(config-if-range)#swit
Switch(config-if-range)#switchport en
Switch(config-if-range)#switchport enc
Switch(config-if-range)#switchport mod
Switch(config-if-range)#switchport mode en
Switch(config-if-range)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dot1q-tunnel set trunking mode to TUNNEL unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
private-vlan Set private-vlan mode
trunk Set trunking mode to TRUNK unconditionally
Switch(config-if-range)#switchport trunk en
Switch(config-if-range)#switchport trunk encapsulation do
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
```
- Je vérifie la configuration
```
Port Vlans allowed on trunk
Et0/2 none
Et1/0 1-4094
Et1/1 1-4094
Po2 1-4094
Port Vlans allowed and active in management domain
Et0/2 none
Et1/0 1,41-46,61-63,100-103,110,666
Et1/1 1,41-46,61-63,100-103,110,666
Po2 1,41-46,61-63,100-103,110,666
Port Vlans in spanning tree forwarding state and not pruned
Et0/2 none
Et1/0 1,41-46,61-63,100-103,110,666
Et1/1 1,41-46,61-63,100-103,110,666
Po2 1,41-46,61-63,100-103,110,666
```
Nous observons que nos vlan sont bien autorisés sur les interfaces.
# Protection périmétrique, cloisonnement interne et MSTP
- Nous ajoutons à l'architecture le firewall demandée:
- Nous configurons les vlans comme demandées:
```
2960-RG(config)#vlan 2
2960-RG(config-vlan)#name BE
2960-RG(config-vlan)#ex
....
```
- Nous vérifions la configuration sur les switchs:
```
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Et1/0, Et1/1, Et1/2, Et1/3, Po1
Po2
41 BE active
43 CPTA active
44 RH active
45 DIR active
46 DSI active
61 PRINT active
62 CAM active
63 VOIP active
100 SRV_TECH active
101 SRV_COMM active
102 SRV_BE active
103 SRV_MGMT active
110 INVITES active
666 ISOLATION active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
```
- J'attribue un vlan a deux pc:
pc1:
```
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Et1/1, Et1/2, Et1/3, Po1, Po2
41 BE active
61 PRINT active Et0/2
63 VOIP active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
```
pc2:
```
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Et1/1, Et1/2, Et1/3, Po1, Po2
41 BE active Et0/2
61 PRINT active
63 VOIP active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
```
- Je test un ping entre les deux machines
```
VPCS> ping 10.0.0.11
host (10.0.0.11) not reachable
```
- Configuration du paramétrage inter-vlans
- Je test le bon fonctionnement de la règle:
```
VPCS> ping 10.0.0.10
84 bytes from 10.0.0.10 icmp_seq=1 ttl=64 time=3.400 ms
84 bytes from 10.0.0.10 icmp_seq=3 ttl=64 time=4.186 ms
84 bytes from 10.0.0.10 icmp_seq=4 ttl=64 time=5.828 ms
84 bytes from 10.0.0.10 icmp_seq=5 ttl=64 time=5.274 ms
```
- Configuration mstp:
```
S1(config)#spanning-tree mode mst
S1(config)#spanning-tree mst configuration
S1(config-mst)#revision 1
S1(config-mst)#name INSTANCE1
S1(config-mst)#instance 1 vlan 46,100,103,110
S1(config-mst)#exit
```
- Configuration du CARP
le CARP = Partage d'adresse ip afin de redonder une machine
Configuration sur l'interface LAN et WAN
LAN:
WAN:
- Forcer l'utilisation des adresses IP virtuelles
- Synchronisation de la configurations du second pfsense
Google Drive
Gist
Clipboard
Sign in with Wallet
