Révision rapide : Switching – CCNA

Ce que vous devez vraiment savoir

Le switching est l'un des blocs les plus importants de la certification CCNA. Il concerne le fonctionnement des commutateurs Ethernet, la segmentation avec les VLAN, les liens trunk, la prévention des boucles avec STP, l'agrégation de liens avec EtherChannel et plusieurs contrôles de sécurité Layer 2.

Pour CCNA, vous devez comprendre non seulement les définitions, mais aussi pourquoi ces mécanismes existent : séparer le trafic, réduire les domaines de broadcast, éviter les boucles, améliorer la fiabilité et contrôler l'accès au réseau.

Concepts clés

• Switch Layer 2 : transfère les trames Ethernet en utilisant la table d'adresses MAC.
• Table d'adresses MAC : associe les adresses MAC aux ports du switch.
• VLAN : sépare logiquement un réseau Layer 2 en plusieurs domaines de broadcast.
• Port access : port attribué à une seule VLAN.
• Port trunk : port qui transporte le trafic de plusieurs VLAN avec le tagging 802.1Q.
• Native VLAN : VLAN non taggée sur un trunk 802.1Q.
• STP : protocole qui prévient les boucles Layer 2 en bloquant les chemins redondants.
• Root bridge : switch de référence sélectionné par STP.
• EtherChannel : agrège plusieurs liens physiques en un seul lien logique.
• Port security : limite les adresses MAC pouvant utiliser un port.
• DHCP snooping : protège contre les serveurs DHCP non autorisés.
• DAI : Dynamic ARP Inspection, protège contre les attaques ARP spoofing.

Différences à ne pas confondre

Concept	Signification principale
Port access	Port pour une seule VLAN
Port trunk	Port qui transporte plusieurs VLAN
VLAN	Domaine de broadcast logique
Native VLAN	VLAN non taggée sur trunk
Table MAC	Table utilisée par le switch pour transférer les trames
STP	Prévient les boucles Layer 2
Root bridge	Switch central dans la topologie STP
EtherChannel	Agrège plusieurs liens physiques
Port security	Limite les adresses MAC sur un port
DHCP snooping	Bloque les DHCP non autorisés
DAI	Protège contre ARP spoofing

Comment fonctionne un switch

Un switch Ethernet transfère les trames en fonction des adresses MAC.

Lorsqu'il reçoit une trame, le switch lit :

• MAC source ;
• MAC destination ;
• port d'entrée ;
• VLAN associée.

Le switch apprend la MAC source et l'insère dans la table d'adresses MAC. S'il connaît le port associé à la MAC destination, il transfère la trame uniquement sur ce port. S'il ne le connaît pas, il effectue un flooding dans la VLAN correcte.

Pour CCNA, vous devez retenir qu'un switch ne transfère pas selon les adresses IP lorsqu'il fonctionne comme switch Layer 2. Le forwarding Layer 2 se base sur les adresses MAC.

VLAN

Une VLAN sépare logiquement un réseau Layer 2. Chaque VLAN représente un domaine de broadcast séparé.

Exemple :

• VLAN 10 = utilisateurs ;
• VLAN 20 = serveurs ;
• VLAN 30 = voice ;
• VLAN 99 = management.

L'avantage des VLAN est qu'elles permettent de séparer le trafic sans avoir des switches physiques séparés pour chaque réseau.

Les VLAN aident à :

• réduire le trafic broadcast ;
• séparer des départements ou services ;
• améliorer la sécurité et l'organisation ;
• appliquer des policies différentes ;
• faciliter le troubleshooting et la gestion.

Port access

Un port access appartient normalement à une seule VLAN. Il est utilisé pour connecter des dispositifs finaux comme des PC, imprimantes, téléphones IP ou endpoints.

Exemple conceptuel :

• un port connecté à un PC peut être access dans la VLAN 10 ;
• un port connecté à une imprimante peut être access dans la VLAN 20.

Un port access ne transporte normalement pas de tags VLAN vers le dispositif final.

Port trunk

Un port trunk transporte le trafic de plusieurs VLAN entre switches, routeurs, firewalls ou autres dispositifs réseau.

Le trunk utilise normalement le standard IEEE 802.1Q, qui ajoute un tag à la trame Ethernet pour indiquer à quelle VLAN elle appartient.

Exemples typiques de trunk :

• switch vers switch ;
• switch vers routeur pour router-on-a-stick ;
• switch vers firewall ;
• switch vers hypervisor ;
• switch vers access point qui gère plusieurs SSID/VLAN.

Pour CCNA, vous devez savoir distinguer clairement port access et port trunk.

Native VLAN

La native VLAN est la VLAN qui circule sans tag sur un trunk 802.1Q.

Ce concept apparaît souvent dans les quiz parce qu'il peut créer des problèmes de sécurité ou de configuration s'il n'est pas cohérent entre les deux côtés du trunk.

Bonnes pratiques courantes :

• éviter d'utiliser la VLAN 1 comme native VLAN ;
• utiliser une VLAN non utilisée comme native VLAN ;
• garder la native VLAN identique sur les deux côtés du trunk ;
• ne pas utiliser la native VLAN pour un trafic utilisateur important.

Routage inter-VLAN

Les VLAN séparent le trafic Layer 2. Pour faire communiquer des dispositifs dans différentes VLAN, il faut du routage.

Les solutions les plus courantes sont :

• router-on-a-stick ;
• switch Layer 3 avec SVI ;
• firewall ou routeur qui route entre les VLAN.

Exemple :

• un PC en VLAN 10 ne communique pas directement avec un serveur en VLAN 20 ;
• un dispositif Layer 3 est nécessaire pour router entre les VLAN.

Pour CCNA, il est important de retenir que le switch Layer 2 sépare les VLAN, mais le routage entre VLAN exige des fonctionnalités Layer 3.

STP

STP, Spanning Tree Protocol, sert à prévenir les boucles Layer 2.

Les boucles Layer 2 sont dangereuses parce qu'Ethernet n'a pas de TTL comme IP. Une boucle peut générer :

• broadcast storm ;
• duplication des trames ;
• instabilité de la table d'adresses MAC ;
• réseau lent ou complètement inutilisable.

STP crée une topologie logique sans boucle en bloquant certains chemins redondants. Les liens redondants restent utiles parce qu'ils peuvent devenir actifs en cas de panne.

Root bridge

Le root bridge est le switch de référence dans la topologie STP.

STP choisit le root bridge selon le Bridge ID, composé principalement de :

• bridge priority ;
• adresse MAC.

Le Bridge ID le plus bas gagne.

Pour contrôler la topologie STP, on configure souvent manuellement la priority du switch que l'on veut rendre root bridge.

Ports STP

Dans CCNA, vous devez connaître au moins le sens général des rôles principaux :

• Root port : meilleur port vers le root bridge.
• Designated port : port qui transfère le trafic sur un segment.
• Blocked/alternate port : port bloqué pour prévenir les boucles.

Le point important n'est pas de mémoriser chaque détail avancé, mais de comprendre que STP décide quels ports transfèrent et quels ports sont bloqués pour éviter les boucles.

EtherChannel

EtherChannel permet de combiner plusieurs liens physiques en un seul lien logique.

Avantages :

• bande passante agrégée plus élevée ;
• redondance ;
• meilleure utilisation des liens ;
• STP voit le bundle comme une seule connexion logique.

EtherChannel peut être configuré :

• statiquement ;
• avec PAgP ;
• avec LACP.

Pour CCNA, vous devez retenir que les liens membres doivent avoir des configurations cohérentes : vitesse, duplex, VLAN, mode trunk/access et paramètres compatibles.

Port security

Port security limite les adresses MAC pouvant utiliser un port du switch.

Elle peut être utile pour empêcher des dispositifs non autorisés d'être connectés à des ports access.

Elle peut utiliser :

• MAC statiques ;
• MAC dynamiques ;
• sticky MAC address.

Les actions typiques en cas de violation incluent :

• protect ;
• restrict ;
• shutdown.

Dans les quiz CCNA, shutdown est souvent le comportement par défaut le plus sévère : le port peut passer en état err-disabled.

DHCP snooping

DHCP snooping protège le réseau contre les serveurs DHCP non autorisés.

Le concept clé est la distinction entre :

• ports trusted ;
• ports untrusted.

Les ports vers des serveurs DHCP légitimes ou des uplinks contrôlés peuvent être trusted. Les ports vers les utilisateurs finaux restent normalement untrusted.

DHCP snooping peut bloquer les réponses DHCP provenant de ports non autorisés.

Dynamic ARP Inspection

Dynamic ARP Inspection, ou DAI, aide à protéger contre ARP spoofing et ARP poisoning.

DAI contrôle les messages ARP et vérifie qu'ils sont cohérents avec des informations fiables, souvent dérivées de la table DHCP snooping.

Le point clé est que DHCP snooping et DAI travaillent souvent ensemble : DHCP snooping construit une base de confiance, DAI l'utilise pour valider ARP.

Erreurs fréquentes dans les quiz

• Confondre port access et port trunk.
• Penser qu'une VLAN permet automatiquement la communication avec d'autres VLAN.
• Oublier que pour communiquer entre VLAN, il faut du routage.
• Confondre native VLAN et management VLAN.
• Penser que STP augmente la vitesse du réseau.
• Oublier que STP sert à prévenir les boucles.
• Penser qu'EtherChannel est seulement de la redondance et non aussi une agrégation logique.
• Configurer EtherChannel avec des paramètres incohérents entre les ports.
• Confondre port security et ACL.
• Penser que DHCP snooping bloque tous les DHCP, y compris les DHCP légitimes.
• Oublier que DAI protège contre les attaques ARP, pas contre toutes les attaques Layer 2.

Mini scénario d'examen

Une entreprise a deux switches connectés avec plusieurs liens physiques. Sans mécanisme de protection, la topologie peut créer des boucles Layer 2 et provoquer des broadcast storms. La principale solution pour prévenir les boucles est STP.

Si, au contraire, l'objectif est d'utiliser plusieurs liens physiques comme une seule connexion logique en augmentant la bande passante et la redondance, la solution la plus adaptée est EtherChannel.

Mini checklist avant le quiz

Avant de commencer le quiz, vous devriez savoir expliquer :

• comment un switch utilise la table d'adresses MAC ;
• ce que signifie VLAN ;
• la différence entre port access et port trunk ;
• à quoi sert la native VLAN ;
• pourquoi il faut du routage entre différentes VLAN ;
• pourquoi STP prévient les boucles Layer 2 ;
• ce que signifie root bridge ;
• à quoi sert EtherChannel ;
• pourquoi les ports EtherChannel doivent avoir des configurations cohérentes ;
• ce que fait port security ;
• à quoi sert DHCP snooping ;
• pourquoi DAI protège contre ARP spoofing.