Ficha de revisão: Gestion de la Redondance et Sécurité Réseau

📋 Plan du Cours

1. STP et RSTP
2. Bridge ID et Priorité
3. Commutateur racine
4. Ports racine et désignés
5. Temps de convergence
6. Protocole HSRP/VRRP
7. Basculement routeurs
8. Configuration HSRP
9. Sécurité accès réseau
10. SSH et ACL
11. Etherchannel PAgP
12. SysLog et NTP

📖 1. STP et RSTP

🔑 Notions clés & Définitions

• STP (Spanning Tree Protocol) : protocole réseau permettant d'éviter les boucles de commutation en désactivant certains liens, avec une limite de 7 sauts maximum (voir aussi "Temps de convergence" dans la section 5).
• Root Bridge (pont racine) : commutateur élu comme centre du réseau STP, déterminé grâce au Bridge ID (BID) qui combine une priorité et l'adresse MAC (voir "détermination du pont racine" dans la section 2).
• Rapid STP (RSTP) : évolution de STP, permettant une convergence plus rapide (6 secondes contre 30 secondes pour STP), avec un nombre maximum de sauts de 18 (voir "Différence entre STP et RSTP").
• BPDU (Bridge Protocol Data Unit) : trames échangées entre switches pour la gestion STP, dont celles en RSTP sont plus coûteuses en termes de traitement et de bande passante.
• Différence entre STP et RSTP : RSTP offre une convergence plus rapide et une gestion améliorée des ports, tout en étant compatible avec STP, mais avec des BPDU plus coûteux en RSTP.

📝 Points essentiels

• Gestion des VLAN : le root bridge est identique pour tous les VLAN, ce qui simplifie la topologie logique.
• Détermination du pont racine : basée sur le BID, qui inclut la priorité (multiple de 4096 + VLAN) et l'adresse MAC (voir "Bridge ID" dans la section 2).
• Fonctionnement de RSTP : il remplace le processus de convergence de STP avec une rapidité accrue (6 secondes) et une meilleure gestion des ports.
• Nombre maximum de sauts : STP limite la distance à 7 sauts, tandis que RSTP peut gérer jusqu'à 18 sauts, ce qui est crucial pour de grands réseaux.
• Coût des BPDU : en RSTP, les BPDU sont plus coûteux, ce qui peut influencer la performance du protocole.
• Algorithme : STP utilise l'algorithme Spanning Tree (voir "algo ST" dans la section 2) pour élire le pont racine et désactiver les liens redondants.

💡 À retenir

STP et RSTP assurent la stabilité du réseau en évitant les boucles, avec RSTP offrant une convergence plus rapide et une gestion améliorée, notamment grâce à un nombre maximum de sauts plus élevé et à des BPDU plus coûteux.

📖 2. Bridge ID et Priorité

🔑 Notions clés & Définitions

• Bridge ID (BID) : identifiant unique d’un pont dans le protocole Spanning Tree, composé de la priorité et de l’adresse MAC. (source : contenu fourni)
• Priorité du Bridge : valeur numérique utilisée dans le Bridge ID pour déterminer le pont racine, multiple de 4096, associée à un VLAN spécifique. (source : contenu fourni)
• Rôle du Bridge ID dans la sélection du pont racine : permet de comparer les Bridge ID pour élire le pont racine ; le BID le plus faible est choisi comme racine. (source : contenu fourni)
• Priorité multiple de 4096 + n° VLAN : méthode pour différencier la priorité selon le VLAN, en utilisant une valeur multiple de 4096 additionnée du numéro de VLAN. (source : contenu fourni)
• Adresse MAC : composant du Bridge ID servant à assurer l’unicité, en cas d’égalité des priorités. (source : contenu fourni)

📝 Points essentiels

• Le Bridge ID (BID) est constitué de deux éléments : la priorité (2 octets) et l’adresse MAC (6 octets). La priorité est un multiple de 4096, permettant une différenciation selon le VLAN via la formule priorité = 4096 + n° VLAN.
• Lors de l’élection du pont racine, c’est le Bridge ID le plus faible qui est choisi. En cas d’égalité de priorité, l’adresse MAC sert de critère de départage.
• La priorité du bridge est configurée pour favoriser certains ponts dans l’élection, notamment en utilisant des valeurs multiples de 4096 pour différencier les VLANs.
• La rôle du Bridge ID dans la sélection du pont racine est central : il permet d’établir un ordre de priorité entre tous les ponts du réseau, garantissant une convergence efficace du Spanning Tree.
• La priorité multiple de 4096 + n° VLAN facilite la gestion multi-VLAN en permettant d’avoir une priorité spécifique pour chaque VLAN, ce qui influence directement le choix du pont racine pour chaque VLAN.

💡 À retenir

Le Bridge ID, composé de la priorité (multiple de 4096 + VLAN) et de l’adresse MAC, est l’élément clé dans l’élection du pont racine, assurant une hiérarchisation efficace et cohérente dans le protocole Spanning Tree.

📖 3. Commutateur racine

🔑 Notions clés & Définitions

• Commutateur racine : Le commutateur désigné comme point central dans le réseau STP, élu pour gérer la topologie du spanning tree. Il sert de référence pour la sélection des ports racines et désignés.
• Ports désignés : Ports sur lesquels le commutateur racine n’a que des ports désignés, c’est-à-dire qu’ils sont toujours en état d’écoute ou d’apprentissage, permettant la transmission des BPDU.
• Rôle central du commutateur racine dans STP : Il coordonne la convergence du réseau en déterminant la topologie optimale, en bloquant ou en activant certains ports pour éviter les boucles.

📝 Points essentiels

• La détermination du commutateur racine se fait via le Bridge ID (BID), composé de la priorité (multiple de 4096 + n° VLAN) et de l’adresse MAC (voir section 2).
• Le commutateur racine possède uniquement des ports désignés (voir section 4), ce qui signifie qu’il ne possède pas de ports racines (Root Ports) car il est au sommet de la hiérarchie STP.
• Son rôle est central : il envoie des BPDU pour coordonner la topologie, et tous les autres commutateurs déterminent leurs ports racines et désignés en fonction de ses BPDU.
• La sélection du commutateur racine est basée sur le Bridge ID : celui ayant la priorité la plus faible est élu. En cas d’égalité, l’adresse MAC est utilisée comme critère de départage.
• Le temps de convergence du STP est d’environ 30 secondes, mais peut être réduit avec Rapid STP (voir section 1).
• Le commutateur racine ne bloque aucun port, tous étant désignés, ce qui facilite la transmission efficace des BPDU et la gestion de la topologie.

💡 À retenir

Le commutateur racine est le point de référence central dans le réseau STP, élu selon le Bridge ID, et il n’a que des ports désignés, orchestrant la convergence pour éviter les boucles.

📖 4. Ports racine et désignés

🔑 Notions clés & Définitions

• Port racine (Root Port) : Port sur un commutateur qui a le coût le plus faible pour atteindre le pont racine. (voir section 3)
• Port désigné (Designated Port) : Port qui a la responsabilité d’envoyer des BPDU sur un segment, généralement celui qui offre le chemin le plus court vers le pont racine. (voir section 3)
• Ports non-désignés bloqués : Ports qui ne participent pas à la transmission des BPDU pour éviter les boucles, ils sont en état de blocage dans le processus STP. (voir section 3)

📝 Points essentiels

• Le port racine (Root Port) est unique par commutateur et se trouve sur celui qui a le coût le plus faible pour atteindre le pont racine. Il n’est pas désigné, mais sert à atteindre le pont racine.
• Le port désigné (Designated Port) est choisi pour chaque segment du réseau, celui qui envoie le BPDU de référence vers les autres commutateurs. Il est généralement celui avec le coût le plus faible ou la priorité la plus élevée.
• Les ports non-désignés sont bloqués pour prévenir les boucles, ils ne transmettent pas de BPDU sauf en cas de recalcul ou de défaillance. Ces ports sont essentiels pour la stabilité du réseau STP.
• La détermination de ces ports repose sur l’algorithme STP, qui compare les coûts, priorités, et adresses MAC pour assurer un chemin sans boucle.
• Le temps de convergence (30 secondes en STP, 6 secondes en RSTP) permet au réseau de recalculer la topologie et de rétablir la connectivité en cas de changement.

💡 À retenir

Les ports racine et désignés jouent un rôle clé dans la prévention des boucles et la stabilité du réseau STP, en assurant que seul un chemin actif est utilisé entre les commutateurs.

📖 5. Temps de convergence

🔑 Notions clés & Définitions

• Temps de convergence : Durée nécessaire pour que le réseau rétablisse une topologie stable après une modification ou une panne. Il inclut la détection de la panne, la recalculation des chemins, et la mise en place de la nouvelle topologie.
• Temps de convergence STP : Période comprise entre la détection d’un changement et la stabilisation de la nouvelle topologie dans le protocole Spanning Tree Protocol (STP). Il est généralement d’environ 30 secondes.
• Temps de convergence RSTP : Version améliorée de STP permettant une convergence plus rapide, généralement autour de 6 secondes, grâce à des mécanismes de détection et de transition plus efficaces.
• Algorithme ST : Méthode utilisée par STP pour déterminer la topologie optimale en désactivant certains liens pour éviter les boucles, ce qui impacte le temps de convergence.
• Bridge ID (BID) : Identifiant du pont utilisé par STP pour élire le pont racine, composé de la priorité (multiple de 4096 + VLAN) et de l’adresse MAC, influençant indirectement le temps de convergence lors de l’élection.

📝 Points essentiels

• Le temps de convergence est critique pour assurer la continuité du service réseau après une panne ou une modification topologique.
• STP peut gérer jusqu’à 7 sauts maximum, mais son temps de convergence est d’environ 30 secondes, ce qui peut impacter la disponibilité du réseau.
• RSTP (Rapid Spanning Tree Protocol) réduit ce délai à environ 6 secondes en utilisant des mécanismes de détection rapide et des états intermédiaires pour accélérer la transition vers la nouvelle topologie.
• La décision d’élection du pont racine via le BID (composé de la priorité et de l’adresse MAC) influence la stabilité et la rapidité de convergence, notamment lors de changements de topologie.

💡 À retenir

Le temps de convergence est la période nécessaire pour que le réseau retrouve une topologie stable après une modification, et il est significativement réduit par l’utilisation de RSTP par rapport à STP.

📖 6. Protocole HSRP/VRRP

🔑 Notions clés & Définitions

• HSRP (Hot Standby Router Protocol) : protocole propriétaire de Cisco permettant de créer un groupe de routeurs avec une seule IP virtuelle partagée, assurant la continuité de la passerelle par défaut en cas de défaillance d’un routeur (Cisco, date non précisée).
• VRRP (Virtual Router Redundancy Protocol) : standard IEEE équivalent à HSRP, permettant également la création d’un routeur virtuel partagé pour la redondance de passerelle, favorisant l’interopérabilité entre équipements (IEEE, date non précisée).
• Solution de basculement : mécanisme permettant de passer d’un routeur principal à un routeur de secours sans interruption du service, via des protocoles comme HSRP ou VRRP.
• Rôles différents des routeurs dans HSRP/VRRP : un routeur est désigné comme actif (Active ou Master) pour gérer la passerelle virtuelle, tandis que les autres sont en standby (Standby ou Backup), prêts à prendre le relais en cas de défaillance.

📝 Points essentiels

• Fonctionnement de HSRP : établit une connexion multicast en envoyant des paquets HELLO toutes les 3 secondes. Si aucun paquet n’est reçu pendant 10 secondes, le routeur de secours prend le relais. La configuration inclut la version standby, le groupe, l’adresse IP virtuelle, la priorité (plus haute pour le principal), et la préemption (pour permettre au routeur principal de reprendre le contrôle si disponible). La commande no shutdown active HSRP.
• Fonctionnement de VRRP : standard IEEE, similaire à HSRP, utilise des messages multicast pour désigner un routeur maître. La priorité détermine le rôle, et la préemption permet au maître de reprendre le contrôle si ses conditions sont de nouveau remplies.
• Solution de basculement : en utilisant une IP virtuelle partagée, la passerelle par défaut ne dépend pas d’un seul routeur physique. En cas de panne, le routeur de secours (standby) devient maître, assurant la continuité du réseau. La méthode "spare" consiste à modifier le câblage pour connecter un routeur de secours en cas de défaillance.
• Sécurité et configuration : sécuriser l’accès CLI avec mot de passe, SSH, ACL pour limiter l’accès, désactiver ports inutilisés, et sécuriser la gestion à distance. La configuration inclut la génération de clés RSA, la configuration des lignes VTY, et la définition d’un mot de passe pour l’accès.
• Autres mécanismes : Etherchannel avec PAgP pour augmenter la bande passante, serveurs SysLog pour la centralisation des logs, NTP pour la synchronisation horaire, et la sécurisation des ports switchport avec port-security.

💡 À retenir

HSRP et VRRP assurent la redondance de la passerelle par défaut en créant un routeur virtuel partagé, permettant une transition transparente en cas de défaillance d’un routeur physique. La configuration inclut la gestion des rôles, la priorité, et la sécurité pour garantir la disponibilité du réseau.

📖 7. Basculement routeurs

🔑 Notions clés & Définitions

• Basculement manuel par modification de câblage (méthode spare) : Technique consistant à intervenir physiquement sur le câblage pour rediriger le trafic vers un autre routeur en cas de défaillance, évitant ainsi la dépendance à des protocoles automatiques.
• Utilisation d’une IP virtuelle partagée entre routeurs : Configuration d'une adresse IP unique accessible par plusieurs routeurs, permettant une continuité de service lors du basculement, sans changer la configuration du réseau.
• Rôle du routeur principal et du routeur en veille dans HSRP : Dans HSRP, le routeur principal (Active) gère le trafic et envoie des messages HELLO, tandis que le routeur en veille (Standby) reste prêt à prendre le relais en cas de défaillance, assurant la disponibilité de la passerelle par défaut (voir aussi "la configuration HSRP").

📝 Points essentiels

• La méthode spare repose sur une intervention physique pour changer le câblage, ce qui est une solution manuelle de basculement, souvent utilisée en complément ou en absence de protocoles automatiques.
• L’utilisation d’une IP virtuelle partagée permet d’éviter la modification de la configuration des clients lors du basculement, en maintenant une seule adresse IP pour la passerelle.
• Dans HSRP, le routeur principal envoie périodiquement des paquets HELLO (toutes les 3 secondes) pour signaler sa disponibilité. En l’absence de ces paquets pendant 10 secondes, le routeur en veille prend le relais, assurant la continuité du service (voir "HSRP").
• La configuration HSRP inclut la définition de l’adresse IP virtuelle, la priorité (pour élire le routeur principal), et l’activation de la préemption pour que le routeur principal reprenne le contrôle après une défaillance.
• La sécurité des accès réseau, notamment via SSH, ACL, et la sécurisation des ports, est essentielle pour protéger la configuration et le fonctionnement du basculement. La configuration des ACL permet de limiter l’accès aux interfaces de gestion.

💡 À retenir

Le basculement manuel par modification de câblage est une solution simple mais peu flexible, tandis que l’utilisation d’une IP virtuelle partagée et du protocole HSRP permet une haute disponibilité automatique et transparente pour le réseau.

📖 8. Configuration HSRP

🔑 Notions clés & Définitions

• Configuration de la version standby HSRP : Paramétrage de la version du protocole HSRP (ex : version 2) pour assurer la compatibilité et la sécurité du groupe de routeurs virtuels.
• Configuration du groupe et de l’adresse IP virtuelle : Définition d’un groupe HSRP avec une adresse IP virtuelle partagée, qui sert de passerelle par défaut pour le réseau.
• Configuration de la priorité pour élire le routeur principal : Attribuer une valeur de priorité à chaque routeur dans le groupe HSRP, le plus élevé étant élu routeur principal (ex : "priority").
• Activation de la préemption : Activation du mécanisme permettant à un routeur avec une priorité plus élevée de prendre le contrôle du rôle de routeur principal en cas de défaillance (commande "preempt").
• Commande no shutdown pour activer HSRP : Commande nécessaire pour activer le protocole sur l’interface, permettant au routeur de participer au groupe HSRP.

📝 Points essentiels

• La configuration de la version standby HSRP (ex : "standby version 2") garantit la compatibilité et la sécurité du groupe.
• La création d’un groupe HSRP implique la définition d’une adresse IP virtuelle partagée, qui devient la passerelle par défaut pour les hôtes du VLAN.
• La priorité (par défaut 100) détermine le rôle du routeur dans l’élection du routeur principal, avec une priorité plus élevée favorisant la prise de rôle.
• La préemption doit être activée pour que le routeur avec la priorité la plus haute prenne le contrôle en cas de défaillance ou de reprise.
• La commande "no shutdown" est indispensable pour activer HSRP sur l’interface concernée, sinon le protocole reste inactif.

💡 À retenir

La configuration HSRP repose sur la définition d’un groupe avec une adresse virtuelle, la priorité pour élire le routeur principal, et l’activation de la préemption pour assurer une reprise automatique en cas de panne, le tout activé par la commande "no shutdown".

📖 9. Sécurité accès réseau

🔑 Notions clés & Définitions

• Sécurisation des accès CLI par mot de passe : Mise en place de mots de passe pour accéder à l'interface en ligne de commande (CLI) des équipements réseau, afin d'empêcher tout accès non autorisé. (Source : contexte général de sécurité réseau)

• Désactivation des ports inutilisés : Procédé consistant à désactiver ou à bloquer physiquement ou logiquement les ports qui ne sont pas utilisés pour réduire la surface d'attaque et éviter le spoofing ou l'accès non autorisé. (Source : contexte général de sécurité réseau)

• Timeout d’inactivité sur les sessions (exec-timeout) : Configuration permettant de déconnecter automatiquement une session inactive après une durée définie, limitant ainsi le risque d'accès non surveillé ou de détournement de session. (Source : contexte général de sécurité réseau)

📝 Points essentiels

• La sécurisation des accès CLI par mot de passe doit être renforcée par l'utilisation de commandes telles que service password-encryption pour chiffrer les mots de passe, et par la configuration de l'authentification locale ou via des serveurs d'authentification (ex : SSH).
• La désactivation des ports inutilisés est une étape clé pour limiter les vecteurs d'attaque, notamment en utilisant la commande shutdown sur les interfaces non utilisées.
• La configuration de exec-timeout sur les lignes VTY ou console permet de réduire le risque d'accès non autorisé en coupant automatiquement les sessions inactives.
• La sécurité des ports via switchport port-security permet de limiter le nombre d'adresses MAC autorisées sur un port, avec des modes tels que Protect, Restrict, ou Shutdown pour réagir face à des comportements suspects.
• La mise en place de ACLs (listes de contrôle d'accès) sur les interfaces et VTY sert de pare-feu pour filtrer les accès et renforcer la sécurité.
• La sécurisation physique du data center, bien que hors du périmètre direct de cette section, est essentielle pour prévenir tout accès physique non autorisé aux équipements.

💡 À retenir

La sécurité réseau repose sur une combinaison de sécurisation des accès CLI, la désactivation des ports inutilisés, la gestion des sessions inactives, et la sécurisation physique, formant une première ligne de défense contre les intrusions et les attaques.

📖 10. SSH et ACL

🔑 Notions clés & Définitions

• Utilisation de SSH pour accès sécurisé : Protocole permettant une connexion distante chiffrée via le port TCP 22, garantissant la confidentialité et l'intégrité des échanges (voir section 10).
• Configuration des clés RSA pour SSH : Génération de clés cryptographiques RSA (environ 1024 bits) pour authentifier et sécuriser la connexion SSH, assurant une communication fiable (voir étape "crypto key generate rsa").
• Configuration des lignes VTY pour SSH uniquement : Paramétrage des interfaces virtuelles (VTY) pour accepter uniquement les connexions SSH, en désactivant Telnet, renforçant la sécurité d'accès à distance (voir "transport input ssh").
• Configuration des ACL pour filtrer les accès : Utilisation d'Access Control Lists (ex : access-list 25) pour limiter l'accès aux interfaces VTY ou autres ressources réseau, en autorisant uniquement certaines IP ou utilisateurs (voir "access-class 25 in").
• Utilisation des ACL comme firewall : Application des ACL pour contrôler et filtrer le trafic entrant/sortant, agissant comme un pare-feu logiciel pour renforcer la sécurité du réseau (voir "ACL" et "firewall").
• Paramètres SSH optionnels (timeout, retries) : Réglages optionnels pour améliorer la gestion des connexions SSH, comme le timeout (ex : 15 secondes) et le nombre de tentatives de connexion (ex : 2 retries), pour limiter les risques d'attaques par force brute (voir "ip ssh time-out" et "ip ssh authentication-retries").

📝 Points essentiels

• La sécurité de l'accès distant est renforcée en utilisant SSH sur le port TCP 22, qui chiffre les échanges, contrairement à Telnet.
• La génération de clés RSA (environ 1024 bits) est une étape cruciale pour authentifier la connexion SSH, assurant la confidentialité des données échangées.
• La configuration des lignes VTY en mode SSH uniquement empêche toute connexion non sécurisée, limitant ainsi les risques d'intrusion.
• Les ACL, telles que "access-list 25", permettent de filtrer précisément les accès en autorisant uniquement certaines adresses IP ou utilisateurs, agissant comme un pare-feu logiciel.
• Les paramètres SSH optionnels, comme "ip ssh time-out" et "ip ssh authentication-retries", permettent de limiter la durée des connexions et le nombre de tentatives, réduisant la vulnérabilité aux attaques par force brute.
• La sécurisation des accès réseau doit également inclure la désactivation des ports inutilisés, la sécurisation physique et la configuration des ports port-security pour éviter le spoofing (voir "port-security").

💡 À retenir

L'utilisation de SSH avec clés RSA, combinée à une configuration stricte des lignes VTY et des ACL, constitue une méthode efficace pour sécuriser l'accès à distance aux équipements réseau, tout en limitant les risques d'intrusion et d'attaques.

📖 11. Etherchannel PAgP

🔑 Notions clés & Définitions

• Etherchannel : Technique permettant de regrouper plusieurs liens physiques en un seul lien logique pour augmenter la bande passante et assurer la redondance.
• PAgP (Port Aggregation Protocol) : Protocole propriétaire Cisco utilisé pour négocier et gérer la création d’un Etherchannel entre deux commutateurs, en assurant la compatibilité et la cohérence des liens agrégés.
• Agrégation de liens : Processus de fusion de plusieurs connexions réseau pour former un seul lien logique, optimisant la bande passante et la résilience.
• Redondance : Capacité d’un réseau à continuer de fonctionner en cas de défaillance d’un ou plusieurs liens, grâce à l’utilisation de liens multiples dans un Etherchannel.
• Point à retenir : PAgP facilite la négociation automatique des liens dans un Etherchannel, évitant la configuration manuelle et assurant une compatibilité dynamique entre équipements Cisco.

📝 Points essentiels

L’Etherchannel avec PAgP permet d’agréger plusieurs liens physiques pour former un seul lien logique, augmentant ainsi la bande passante et la résilience du réseau. PAgP, développé par Cisco, fonctionne en négociant automatiquement la création de l’Etherchannel, en vérifiant la compatibilité des ports et en assurant la cohérence des liens agrégés. La configuration de PAgP se fait en mode auto ou desirable, selon le rôle souhaité dans la négociation. La redondance est assurée par la capacité de basculement automatique en cas de défaillance d’un lien physique, sans interruption du service. La gestion efficace de l’agrégation de liens contribue à la stabilité et à la performance du réseau, notamment dans des environnements exigeants en bande passante.

💡 À retenir

L’Etherchannel avec PAgP optimise la bande passante et la résilience du réseau en agrégeant automatiquement plusieurs liens physiques via un protocole de négociation propriétaire Cisco, garantissant une configuration cohérente et efficace.

📖 12. SysLog et NTP

🔑 Notions clés & Définitions

• Serveur SysLog : Serveur centralisé permettant la collecte, le stockage et la gestion des logs horodatés générés par différents équipements réseau. Il facilite la supervision, le diagnostic et la traçabilité des événements réseau.
• NTP (Network Time Protocol) : Protocole permettant la synchronisation précise des horloges des équipements réseau via une hiérarchie de serveurs NTP. Selon AUTEUR (date), il garantit l'exactitude temporelle indispensable pour la cohérence des logs et la sécurité.
• Horodatage : Processus d'attribution d'une date et d'une heure précise à chaque événement ou log, essentiel pour l’analyse chronologique et la corrélation des incidents.
• Synchronisation des horloges réseau : Action d'harmoniser les horloges des dispositifs pour assurer une cohérence temporelle dans le réseau, évitant ainsi les incohérences dans les logs et facilitant le dépannage.

📝 Points essentiels

• La centralisation des logs via un Serveur SysLog permet une gestion efficace des événements réseau, facilitant la détection d’incidents et la conformité réglementaire.
• L’utilisation du NTP assure que tous les équipements du réseau disposent d’une heure précise et synchronisée, ce qui est crucial pour l’intégrité des logs horodatés.
• La synchronisation via NTP doit être configurée en hiérarchie, avec des serveurs de référence précis, pour éviter toute dérive temporelle.
• La collecte des logs horodatés par le Serveur SysLog doit être sécurisée pour éviter toute falsification ou interception, notamment en combinant avec des mesures de sécurité réseau.
• La précision dans l’horodatage permet une meilleure corrélation des événements et une réponse plus rapide lors d’incidents de sécurité ou de panne.

💡 À retenir

Le serveur SysLog centralise et horodate tous les événements réseau, tandis que le protocole NTP synchronise l’heure des équipements pour garantir la cohérence des logs. Leur utilisation combinée est essentielle pour une gestion efficace et sécurisée du réseau.

📅 Repères chronologiques

📊 Tableaux de Synthèse

⚠️ Pièges & Confusions Fréquentes

1. Confondre le rôle de Root Bridge et de Bridge ID : le BID ne définit pas le rôle, il sert à l’élection.
2. Penser que le nombre maximum de sauts en STP est 18 : c’est en RSTP, en STP c’est 7.
3. Confondre ports racine et ports désignés : ports racine sont ceux qui connectent au Root Bridge, ports désignés envoient BPDU.
4. Croire que tous les ports sont actifs en même temps : certains ports sont bloqués pour éviter les boucles.
5. Confondre BPDU et autres trames : BPDU sont spécifiques à STP/RSTP pour la gestion de la topologie.
6. Oublier que la priorité du Bridge est multiple de 4096 : essentiel pour l’élection.
7. Confondre convergence de STP et RSTP : RSTP est beaucoup plus rapide.

✅ Checklist Examen

1. Connaître la définition de STP et RSTP, leurs différences principales, et leur évolution (IEEE 802.1D, 802.1w).
2. Savoir que le Bridge ID est composé de la priorité (multiple de 4096 + VLAN) et de l’adresse MAC.
3. Expliquer le rôle du Bridge ID dans l’élection du pont racine.
4. Identifier le commutateur racine dans une topologie donnée à partir du Bridge ID.
5. Définir ce qu’est un port racine (Root Port) et un port désigné, et leur rôle dans la topologie.
6. Connaître le nombre maximum de sauts en STP (7) et en RSTP (18).
7. Comprendre la différence entre BPDU, leur coût, et leur importance dans la convergence.
8. Savoir comment la priorité VLAN influence l’élection du pont racine.
9. Connaître la différence entre ports bloqués, ports désignés, et ports racine.
10. Maîtriser le processus de sélection des ports racine et désignés selon l’algorithme STP.
11. Identifier les éléments clés pour une configuration efficace de la priorité du Bridge.
12. Connaître la différence entre la convergence de STP et RSTP, et leur impact sur le réseau.