configuration EtherChannel

Etherchannel est une technique permettant l’agrégation de lien. Il est souvent utilisé pour augmenter la bande passante entre deux switchs.

Voyons ensemble comment ce protocole fonctionne, puis comment le mettre en place.

1) Utilité de l’Etherchannel

Comme nous venons de le dire, l’Etherchannel consiste en une agrégation de lien.

Le principe est simple. Il s’agit de combiner plusieurs liens pour obtenir un lien virtuel de meilleure capacité.

Prenons l’exemple suivant :

Nous avons ici des switchs avec des ports 100 Mbps. Il y a un lien entre les switch. Ces derniers pourront donc communiquer à une vitesse de 100 Mbps.

Pour bénéficier d’une meilleure bande passante, nous pouvons faire une agrégation de lien.

Nous aurions alors une topologie de ce type :

Bien entendu, sans aucune configuration, Spanning Tree se chargerait de désactiver l’un des liens.

En configurant l’Etherchannel, les deux switchs ne verront plus qu’un seul lien virtuel.

Ce lien virtuel aura une capacité de 200 Mbps.

L’Etherchannel peut regrouper jusqu’à 8 liens. 

Autre avantage de l’agrégation de lien, la redondance.

Si l’un des liens tombe en panne, les autres seront toujours là pour assurer la connectivité.

La bande passante sera simplement réduite.

2) Négociation de l’agrégation

Il existe deux manières de créer une agrégation de lien :

• En forçant l’agrégation
• En utilisant un protocole de négociation

Le fonctionnement peut rappeler la négociation de Trunk.

Soit le Trunk est créé à la main, soit les switchs se chargent de le négocier.

Pour la négociation de l’agrégation, il existe deux protocoles :

• PAGP – Port Agregation Protocol
• LACP – Link Agregation Control Protocol

PAGP – Port Agregation Protocol

PAGP est le protocole de négociation propriétaire Cisco.

En choisissant ce protocole, il est possible de configurer les ports dans 2 modes différents :

• Auto
• Desirable

A noter que si nous ne voulons pas utiliser de protocole de négociation, le port devra être mis en mode ON, pour forcer l’agrégation de lien.

Avec PAGP, si le port est en mode Auto, une agrégation de lien sera créée si le port d’en face est en mode Desirable. Si le port d’en face est en mode Auto, aucune agrégation n’est créée.

Si le port est configuré en mode Desirable, une agrégation sera créée à condition que le port d’en face soit en mode Auto ou Desirable.

Attention, il n’est pas possible d’avoir un port en mode ON d’un côté, et d’utiliser un protocole de négociation (PAGP ou LACP) de l’autre côté d’une agrégation.

A partir du moment où nous utilisons le mode ON pour créer une agrégation de lien, aucun protocole de négociation ne sera utilisé. Les ports en face devrons donc être en mode ON eux aussi.

LACP – Link Agregation Control Protocol

LACP est un protocole standard (802.3AD) très similaire à PAGP.

La seule différence est le nom des modes de port.

Nous retrouvons donc deux modes de ports :

• Passive
• Active

Passive correspond au mode Auto de PAGP : création d’une agrégation si le port en face est en Active.

Active correspond au mode Desirable de PAGP : création d’une agrégation si le port d’en face est en Passive ou Active.

Il conviendra donc de choisir un protocole de négociation (de préférence LACP car il est standard) puis de choisir le mode des ports.

Par sécurité, le mieux est d’utiliser le mode Disirable (ou Active) des deux côtés.

Il est aussi tout à fait possible de se passer de protocole de négociation, en utilisant le mode ON.

Attention, en cas de mauvaise configuration, cela peut parfois mener à des boucles réseau, que même Spanning Trre ne pourra empêcher.

Le mode ON est donc à utiliser avec précaution.

3) Configuration

Voyons maintenant comment configurer une agrégation de lien.

Prenons la topologie suivante :

Nous allons commencer par forcer l’agrégation de lien sur les deux switchs.

Switch-1(config)#interface range fastEthernet 0/1 – 2
Switch-1(config-if-range)#channel-group 1 mode on
Creating a port-channel interface Port-channel 1

De même pour S2 :

Switch-2(config)#interface range fastEthernet 0/1 - 2
Switch-2(config-if-range)#channel-group 1 mode on
Creating a port-channel interface Port-channel 1

Une fois cela fait, une interface virtuelle a été créée :

Voici le détail de cette interface :

Jusqu’ici, l’agrégation de lien a été forcée.

Utilisons maintenant un protocole de négociation.

Avant toute chose, supprimez la configuration précédente :

Switch-1(config-if-range)#no channel-group 1
Switch-2(config-if-range)#no channel-group 1

Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#channel-protocol lacp
Switch-1(config-if-range)#channel-group 1 mode active

Switch-2(config)#interface range fastEthernet 0/1 - 2
Switch-2(config-if-range)#channel-protocol lacp
Switch-2(config-if-range)#channel-group 1 mode active

La négociation s’est bien passée :

Faisons un test avec le mode Passive d’un côté :

Switch-1(config-if-range)#no channel-group 1
Switch-1(config-if-range)#channel-group 1 mode passive

Et avec le mode passive des deux côtés ?

Switch-2(config-if-range)#no channel-group 1
Switch-2(config-if-range)#channel-group 1 mode passive

Réactivons l’agrégation avant de passer à la suite :

Switch-2(config-if-range)#no channel-group 1
Switch-2(config-if-range)#channel-group 1 mode active

4) Load Ballancing

La question que vous vous posez surement, comment la charge est répartie entre les différents liens ?

Cela dépend du niveau de fonctionnalité du switch.

Sur les switchs basiques, l’adresse Mac source et destination est utilisée.

Certains équipements sont capables d’utiliser l’adresse IP ainsi que le port.

Prenons l’exemple des adresses Mac.

Le switch peut se baser sur l’adresse source ou destination.

Si nous choisissons d’utiliser l’adresse source (choix par défaut), le switch enverra sur le même lien tous les frames ayant la même adresse Mac source. Et inversement avec l’adresse Mac de destination.

Les frames ne sont donc pas envoyées de manière aléatoire sur l’un des liens de l’agrégation.

Dans aucun cas la charge ne sera parfaitement répartie sur les différents liens.

Des problèmes peuvent survenir si deux adresses Mac sont associées au même lien, et que les machines associés aux adresses effectuent de gros transferts.

Nous aurons donc un lien saturé, alors que les autres seront libres. 

Faut-il choisir de se baser sur l’adresse Mac source ou destination ?

Cela dépend du rôle du switch.

Voici un schéma pour démontrer l’intérêt de chacun des choix :

Sur le switch, il sera plus judicieux de se baser sur l’adresse Mac source.

Ainsi, chaque PC sera « associé » à l’un des liens de l’agrégation.

Si nous nous basons sur l’adresse Mac de destination, les frames seront toujours envoyées sur le même lien. En effet pour sortir du sous réseau, l’adresse Mac de destination sera toujours celle du routeur.

Pour le routeur, si nous utilisons l’adresse source, les frames venant des réseaux distants, seront toujours envoyées sur le même lien.

En effet, lors du passage dans un routeur, les adresses Mac sont changées.

Lorsque le routeur va envoyer les frames vers les PC, il va utiliser sa propre adresse Mac comme adresse source.

L’adresse source ne va donc jamais changer. Il n’y aura donc pas de réparation de charge.

Sur le routeur, il convient donc d’utiliser l’adresse Mac de destination pour la répartition de charge.

Voici comment paramétrer le Load Ballancing :

5) Agrégation de niveau 3

Sur les switchs de niveau 3, il est possible de faire une agrégation de lien et d’assigner une seule IP aux deux ports.

Pour cela, il faut commencer par désactiver le mode switchport sur les ports concernés :

Switch-1(config)#interface range fastEthernet 0/1 - 2

Switch-1(config-if-range)#no switchport

Puis de même sur l’interface virtuelle :

Switch-1(config)#interface port-channel 1

Switch-1(config-if)#no switchport

Nous pouvons ensuite assigner une IP à cette interface :

Switch-1(config-if)#ip address 10.0.0.1 255.255.255.0

Nous pouvons alors connecter un routeur (ou switch de niveau 3) en face, sur lequel une agrégation de lien avec IP aura été créée.

Nous aurons alors une agrégation de lien inter-routeur.

Nous pouvons aussi laisser un switch avec une agrégation de lien de niveau 2 en face.

Nous aurons alors une agrégation de lien Routeur – Switch.

6) Bonnes pratiques

Avant de finir, parlons des bonnes pratiques.

Premièrement, dans une agrégation de lien, il faut toujours utiliser des ports de même bande passante.

Ensuite, il est important que les ports qui composent l’agrégation, soient dans le même VLAN, ou à défaut, que le mode Trunk soit configuré.

Aussi, lors de l’utilisation de mode ON sur les ports (donc sans protocole de négociation), les ports aux deux extrémités doivent être en mode ON.

Des problèmes (voir des boucles réseau) peuvent survenir si cette condition n’est pas respectée.

Enfin, il n’est pas recommandé de faire du SPAN sur les ports d’une agrégation.

7) Conclusion

Nous voici arrivé au terme de notre aperçu de l’agrégation de lien.

Vous avez eu l’occasion de voir qu’il est très simple d’augmenter la bande passante entre deux switchs ou routeurs.

Il est important de penser à configurer le Load Ballancing en fonction du rôle du switch.

Quant à la négociation, le mieux est encore (si possible) d’utiliser LACP avec le mode Active.

A savoir, certains serveurs supportent aussi le protocole LACP.

Read More

Configuration VTP (Vlan Trunking Protocol)

     Le protocole VTP est un protocole de couche 2 propriétaire de la compagnie CISCO. En général, son avantage principal c’est sa capacité de propager automatiquement des VLAN configurés sur un commutateur en mode ‘server’ vers les autres commutateurs configurés en mode ‘client’.Dans un réseau complexe contenant plusieurs commutateurs comme c’est illustré par la figure ci-dessous le protocole VTP est un atout.

1- Les modes du commutateur : Il existe 3 modes de configurations possibles d’un commutateur CISCO :

• Mode ‘server’: C’est le mode par défaut de tous les commutateurs niveau 2 de CISCO. Le commutateur-serveur propage les VLANs et leurs paramètres aux autres commutateurs ‘client’ du même domaine VTP. Le serveur-commutateur enregistre les informations des VLANs dans sa NVRAM. On peut créer, supprimer et renommer les VLANs tout en propageant ces changements aux autres commutateurs du réseau via des paquets ‘vtp advertisement’. Un exemple de la syntaxe de la configuration VTP est :
  Un exemple de la syntaxe de la configuration VTP est :
  Switch(config)#vtp mode server Device mode already VTP SERVER.
  Switch(config)#vtp domain LA_CLASSE Changing VTP domain name from NULL to LA_CLASSE
• Mode ‘client’:On ne peut pas créer, supprimer ni renommer les VLANs au niveau du commutateur-client. Les informations des VLANs qui lui sont propagées ne sont pas enregistrées dans sa NVRAM. Un exemple de la syntaxe est :
  
  Switch(config)#vtp mode client Setting device to VTP CLIENT mode.
  
  
• Mode ‘transparent’:Le commutateur en mode ‘transparent’ ne participe pas au protocole VTP. Il transmet les ‘vtp advertisement’ aux autres clients VTP. On peut créer, renommer ou supprimer des VLANs mais ils seront uniquement associés à ce commutateur.
  
  Switch(config)#vtp mode transparent
  Setting device to VTP TRANSPARENT mode.
  
  

  NOTES:
  1- Le protocole VTP, dans ses 2 versions (1 et 2), prend en charge les VLANs ayant le numéro d'identité ID entre 1 et 1005. On peut configurer des VLANs entre 1 et 4094 uniquement dans le mode 'transparent'. Les commutateurs ayant la version 3 prennent en charge les IDs de la plage étendue c'est à dire entre 1 et 4094.
  2- On peut configurer un mot de passe au nom du domaine VTP. Pour que le commutateur-serveur propage les VLANs aux autres commutateurs membres du domaine il faut que ces derniers aient aussi le même mot de passe.

 

 

device_hubEXEMPLE D'UNE CONFIGURATION VTP device_hub

2- Soient les 3 commutateurs ci-dessous :


Après avoir configuré le commutateur A1 avec les VLANs nécessaires on exécute la commande show vtp status et on obtient le suivant :

A1#show vtp status
VTP Version : 2
Configuration Revision : 4
Maximum VLANs supported locally : 255 Number of existing VLANs : 7
VTP Operating Mode : Server
VTP Domain Name : EXEMPLE VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xCD 0x36 0x03 0xEB 0x39 0x11 0xAF 0x09
Configuration last modified by 0.0.0.0 at 3-1-93 00:04:09
Local updater ID is 0.0.0.0 (no valid interface found)
A1#
Afin de voir les VLANs créé on exécute la commande show vlan brief et on obtient le suivant :

A1#show vlan brief

VLAN		Name		Status		Ports
1		default		active		Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/1, Gig0/2
10		ETUDIANTS		active		Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5
20		PROFESSEURS		active		Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14
1002		fddi-default		active
1003		token-ring-default		active
1004		fddinet-default		active
1005		trnet-default		active

A1#

Cette commande nous montre les 7 VLANs : 1,10,20,1002,1003,1004 et 1005. Les VLANs 10 et 20 ,nommés ETUDIANTS et PROFESSEURS respectivement, sont configurés au commutateur-serveur A1, à l'aide des instructions standards des configurations des VLANs : Par exemple,
A1(config)#vlan 10
A1(config-vlan)#name ETUDIANTS
Les VLAN 1,1002 à 1005 des VLANs présents en permanence dans les commutateurs CISCO, on ne peut pas les effacer ni les renommer. Les ports fa0/1 à fa0/5 sont des interfaces d'accès au VLAN 10 et fa0/10 à fa0/14 au VLAN 20.

Le commutateur A2 est configuré en mode 'transparent' tel que démontré par la commande show vtp status:

A2#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 255 Number of existing VLANs : 5
VTP Operating Mode : Transparent
VTP Domain Name :
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72 0xA0 0x3A
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
A2#

Le commutateur A2 est en mode 'transparent' il n'a pas prit en considération les paquets ‘vtp advertisement’ envoyé par le commutateur-serveur A1. Le nombre des VLANs est 5 (1 et 1002 à 1005) , ceux sont les VLANs toujours présents dans les commutateurs CISCO.
Le commutateur A3 est configuré en mode 'client' tel que illustré par la commande show vtp status :

A3#show vtp status
VTP Version : 2
Configuration Revision : 7
Maximum VLANs supported locally : 255 Number of existing VLANs : 7
VTP Operating Mode : Client
VTP Domain Name : EXEMPLE
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x91 0xFC 0x1B 0xA4 0xE7 0x88 0x0A 0x43
Configuration last modified by 0.0.0.0 at 3-1-93 06:22:17
A3#

On voit clairement que le commutateur-client A3 a bien reçu les paquets ‘vtp advertisement’ envoyé par le commutateur-serveur A1 à travers le commutateur A2 en mode ‘tranparent. Le nombre total des VLANs est 7 comme celui du commutateur-serveur. On peut vérifier davantage les identités et les noms des VLANs avec la commande show vlan brief.

Une commande qui nous permet de vérifier la propagation des VLANs du commutateur-serveur au commutateur-client à travers les interfaces configurées en mode 'trunk' est la commande show interfaces trunk. A fin de propager les paquets 'vtp advertisement’, les interfaces fa0/24 de A1 et de A2 ainsi que les interfaces fa0/23 de A2 et de A3 doivent être configurées en mode ‘trunk’ en utilisant les commandes suivantes :

A3(config)#interface fastEthernet 0/23
A3(config-if)#switchport mode trunk

Les interfaces qui sont branchées aux clients des VLANs 10 et 20 du commutateur A1 sont configurées à l’aide des commandes suivantes :

A1(config)#interface range fastEthernet 0/1-5
A1(config-if-range)#switchport access vlan 10
A1(config-if-range)#switchport mode access

Les mêmes instructions sont employées pour le vlan 20 avec ses interfaces correspondantes.

Read More

Spanning-Tree Portfast & BPDU Guard

Spanning-Tree (STP), pour rappel, est un protocole prenant en charge la résolution des boucles dans un réseau de switches. Bien qu’efficace, ce protocole est lent … très lent … trop lent, une interface qui passe up/up va transiter par différents états avant de pouvoir fonctionner normalement (forwarder les trames), cela prend 30 secondes (pour la version standard de STP).

Imaginons une minute le cas d’un PC moderne, qui essaie d’obtenir son configuration IP par DHCP….

Temps 0: Le PC se met en route, son interface s’active, l’interface du switch passe up/up, Spanning Tree la place dans un état « LISTENING », aucune trame n’entre ou ne sort à l’exception des BPDUs (Bridge Protocol Data Unit, message de STP).

Temps 0+15s: L’interface du switch passe dans l’état « LEARNING », elle accepte désormais les trames provenant du PC mais ne les forwarde pas, son seul but ici est de peupler sa table d’adresses MAC.

Et pendant ce temps ….
Le PC est dans les starting-blocks, il émet des requêtes DHCP, espérant (en vein) d’obtenir sa configuration… Ces trames sont purement et simplement éliminées par le switch. Après quelques essais, le PC abandonne, et passe sur la roue de secours en s’auto-configurant une adresse APIPA.

Temps  0+30s: L’interface passe enfin en état « FORWARDING », elle accepte maintenant les trames et les forwarde normalement.

Résultat … pas d’accès réseau fonctionnel pour le PC jusqu’à ce qu’il se décide de retenter sa chance.

PortFast … une solution dangereuse mais nécessaire

Afin de palier à ce problème, Cisco a mise en place une fonctionnalité permettant de by-passer les états LISTENING et FORWARDING sous certaines conditions. Cette fonctionnalité c’est le « PortFast ».

Configuration de l’interface en portfast:

Switch(config)#interface FastEthernet 0/1
Switch(config-if)#spanning-tree portfast

Vérifier si PortFast est activé ou non sur l’interface:

Switch#spanning-tree interface FastEthernet0/1 portfast
VLAN1            enabled

Attention:

• PortFast n’est actif qu’à condition de l’interface ne soit pas un trunk
• PortFast désactive le comportement normal de STP et expose donc le switch aux dangers de boucles. Il faut donc s’en prémunir et se servir de fonctionnalités complémentaires

BPDUGuard … « You shall not pass! »

Autre fonctionnalité, complémentaire à PortFast, BPDUGuard a pour but de désactiver une interface qui recevrait un BPDU alors qu’elle n’aurait pas dû. Une interface pour laquelle BPDUGuard est activé, et qui reçoit un BPDU, sera placée en état errDisabled (down/down, même état qu’en cas de violation de Port-Security).

Pour être à nouveau fonctionnelle, l’interface devra être manuellement remise à zéro (shutdown / no shutdown) ou alors il faut utiliser les fonctionnalités « errdisable recovery » (ce sera pour un autre article).

Configuration de BPDUGuard:

Switch(config)#interface FastEthernet 0/1
Switch(config-if)#spanning-tree bpduguard enable

Remarque: Ne confondez pas BPDUGuard et BPDUFilter, ce dernier a pour but d’empêcher une interface d’émettre des BPDUs mais aussi de les ignorer quand ils entrent, mais ne résout en rien le problème de base, bien au contraire.

Exemples de dangers écartés grâce à BPDUGuard:

• L’utilisateur Lambda connecte sans le savoir deux ports du même switch entre eux (Ho! Le joli câble qui traîne… Si je le branchais juste à côté ?)
• Une erreur de configuration/cablâge qui entraîne une boucle entre plusieurs switches par des interfaces en PortFast.

Read More