Cours Admin Système

Module-Kit : Routage IP Statique

Table des matières

📍 ANALOGIE SYSTÉMIQUE

Thème central : "Le Routage Statique : L'Art de la Cartographie Manuelle et des Chemins de Contingence"

Métaphore : "Le Planificateur de Trafic Urbain avec Plans d'Urgence"

graph TD A[Centre de Contrôle du Trafic] --> B{Système de Routage} B --> C[Routage Dynamique
Systèmes auto-ajustants] B --> D[Routage Statique
Intervention experte] D --> E[Autoroute Dédiée
Route statique standard] D --> F[Sortie de Secours Universelle
Route par défaut] D --> G[Itinéraire Bis Secret
Route flottante] D --> H[Voie d'Accès VIP
Route d'hôte] style A fill:#6f42c1,stroke:#fff,stroke-width:2px style D fill:#0d6efd,stroke:#fff,stroke-width:2px

Éléments clés :

  • Autoroute Dédiée : Route statique standard pour le trafic critique vers un réseau spécifique
  • Sortie de Secours Universelle : Route par défaut pour toute destination non répertoriée
  • Itinéraire Bis Secret : Route flottante activée seulement si la route principale échoue
  • Voie d'Accès VIP : Route d'hôte menant directement à un serveur spécifique

Risque analogique : Un planificateur malavisé qui trace une "route par défaut" vers un quartier en travaux (blackhole), ou qui oublie de verrouiller son plan secret (route flottante non sécurisée), permettant à n'importe qui de détourner le trafic.

🧠 MODÈLE MENTAL

flowchart TD A[Besoin de Routage] --> B{Type de Destination?} B --> C[Réseau Spécifique] B --> D[Toute Destination Inconnue] B --> E[Périphérique Unique
Serveur VIP] C --> F{Type de Lien vers Next-Hop?} F --> G[Point-à-Point
Série/PPP] F --> H[Multi-Accès
Ethernet] G --> I[Route Directement Connectée
ip route réseau masque sortie_intf] H --> J[Route Entièrement Spécifiée
ip route réseau masque sortie_intf ip_next-hop] C --> K[Route de Tronçon Suivant Standard
ip route réseau masque ip_next-hop] D --> L[Route par Défaut
ip route 0.0.0.0 0.0.0.0 ...] E --> M[Route d'Hôte
ip route host_ip 255.255.255.255 ...] L --> N{Besoin de Redondance?} N --> O[Non] --> P[Installée dans RIB
Distance AD=1] N --> Q[Oui] --> R[Route Flottante de Secours
ip route ... ... distance AD > 1] R --> S[Route Active Seulement si
Route Principale Échoue] style I fill:#d4edda,stroke:#c3e6cb style J fill:#d4edda,stroke:#c3e6cb style K fill:#d4edda,stroke:#c3e6cb style L fill:#fff3cd,stroke:#ffeaa7 style M fill:#cce5ff,stroke:#b8daff style R fill:#f8d7da,stroke:#f5c6cb
Testez votre compréhension du modèle : Sur un réseau Ethernet, quel type de route statique est recommandé et pourquoi?
Route entièrement spécifiée (interface + next-hop) pour éviter les problèmes ARP
Route directement connectée (interface seule) car c'est plus simple
Route de tronçon suivant standard (next-hop seul) comme sur les liens série

⚡ NOYAU DUR (Les Lois Immuables)

Loi #1 : La table de routage obéit à la Règle du Plus Long Préfixe (Longest Prefix Match).

Une route d'hôte (/32 ou /128) l'emporte toujours sur une route réseau (/24), qui l'emporte sur une route par défaut (/0). C'est la première et ultime décision du routeur.

# Hiérarchie de correspondance 192.168.1.5/32 (hôte) > 192.168.1.0/24 (réseau) > 0.0.0.0/0 (défaut)
Loi #2 : La Distance Administrative (AD) est le premier tie-breaker.

Entre deux routes vers le même préfixe, le routeur choisit celle avec la plus faible AD. Valeurs par défaut :

  • Connected = 0
  • Static = 1
  • EIGRP = 90
  • OSPF = 110
  • IS-IS = 115
  • RIP = 120
Loi #3 : Une route statique nécessite une récursivité résoluble.

Pour qu'une route statique avec uniquement une adresse IP next-hop soit valide, cette adresse IP next-hop doit elle-même être accessible (via une route connectée ou une autre route). Sinon, la route est dite "recursive" et ne s'installe pas.

Loi #4 : Sur les réseaux multi-accès (Ethernet), vous DEVEZ spécifier le next-hop.

Utiliser uniquement l'interface de sortie (`GigabitEthernet0/0`) sur un LAN crée un problème de couche 2 : le routeur fera une requête ARP pour chaque adresse IP de destination, causant un échec ou un trafic excessif.

Loi #5 : Une route par défaut est la "passerelle de dernier recours".

Elle capture TOUT le trafic non matché par une route plus spécifique. Sa mauvaise configuration est la cause numéro 1 des pannes de connectivité ou des blackholes.

🔐 PROFONDEUR SÉCURITÉ & MÉTIER

🚨 RISQUE PRINCIPAL

Risque Principal : Création involontaire de points de blackhole ou de boucles de routage via des routes statiques erronées ou non vérifiées.

→ Attaque Type : Traffic Diversion ou Man-in-the-Middle via injection de route statique malveillante

→ Détection :

R1# show ip route static
R1# show logging | include ROUTC
%ROUTC-6-ROUTECHANGE: Static route changed for 0.0.0.0 0.0.0.0

→ Mitigation Immédiate :

! 1. Identifier la route problématique
R1# show ip route 192.168.1.0

! 2. La supprimer
R1(config)# no ip route 192.168.1.0 255.255.255.0 

! 3. Rétablir la route correcte avec traçabilité
R1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2 name LINK_TO_DATACENTER

→ Intégration Entreprise :

  • Ansible : Playbooks idempotents pour déploiement cohérent
  • SIEM (Splunk, QRadar) : Alerte sur changements non autorisés
  • Git : Versionnement des configurations pour traçabilité

📚 PROFONDEUR EXAMEN CCNA

Piège Fréquent #1 : Que se passe-t-il si vous oubliez la commande `ipv6 unicast-routing` avant de configurer des routes statiques IPv6 ?
Les routes statiques IPv6 ne fonctionneront pas - le routeur se comporte comme un hôte
Les routes s'installent mais ne sont pas optimales
Cela n'a aucun impact sur les routes statiques

? Détail Oublié #2 : "La distance administrative d'une route statique n'est PAS la métrique. La métrique par défaut d'une route statique est 0. L'AD est la 'fiabilité' de la source de la route."

? Piège Fréquent #3 : "Beaucoup confondent dans `show ip route` : `via Serial0/1/0, directly connected` (configurée avec interface seule) vs `via 172.16.2.2` (configurée avec next-hop)."

Question Type CCNA : Un routeur a deux routes statiques vers le même réseau 192.168.1.0/24, l'une avec AD=1 et l'autre avec AD=5. Laquelle sera utilisée ?
Celle avec AD=1 (la plus faible)
Celle avec AD=5 (la plus récente)
Les deux en load-balancing

⚙️ LAB COMPLET : DE LA CONFIG À L'AUTOMATISATION

Niveau 1 (CCNA) : Configuration Fondamentale

! Sur R1, configurer une route statique standard IPv4 vers 172.16.1.0/24 via R2
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2

Objectif : Établir une connectivité basique.

Vérification : show ip route static

R1# show ip route static | begin 172.16.1.0
S        172.16.1.0/24 [1/0] via 172.16.2.2

Niveau 2 (Production Sécurisée) : Hardening

! 1. TOUJOURS nommer vos routes statiques pour la traçabilité
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2 name TO_DATA_VLAN_1

! 2. Sur Ethernet, utiliser une route ENTIÈREMENT SPÉCIFIÉE
R1(config)# ip route 192.168.1.0 255.255.255.0 GigabitEthernet0/0/1 172.16.2.2

! 3. Route flottante de secours avec AD explicite
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
R1(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5

Risque si omis : Impossible de savoir pourquoi une route a été ajoutée lors d'un dépannage urgent.

Niveau 3 (Expert/Automatisation) : Script & Scale

# Script Python (Netmiko) pour déployer une route statique
from netmiko import ConnectHandler

device = {
    'device_type': 'cisco_ios',
    'ip': '192.168.100.1',
    'username': 'admin',
    'password': 'Cisco123!',
    'secret': 'Cisco123!',
}

static_route = "ip route 10.10.0.0 255.255.0.0 192.168.100.254 name AUTO_DEPLOYED_VIA_SCRIPT"

connection = ConnectHandler(**device)
connection.enable()
output = connection.send_config_set([static_route])
print(f"Configuration appliquée :\n{output}")
connection.save_config()
connection.disconnect()

→ Avantage : Déploiement cohérent, zéro faute de frappe, journalisation automatique.

🚨 SCÉNARIO DE DÉPANNAGE AVANCÉ

Symptôme Complexe :

Les utilisateurs du VLAN 10 (172.16.10.0/24) ne peuvent plus joindre le serveur de fichiers 192.168.100.5. Le ping s'arrête au routeur du site local (R1). La connectivité vers d'autres réseaux fonctionne.

Processus de Diagnostic (Arbre Décisionnel)

graph TD A["Symptôme: Pas de connectivité vers 192.168.100.5"] --> B["R1# show ip route 192.168.100.0"] B --> C{"Route présente?"} C -->|Non| D["show run | section ip route 192.168.100"] C -->|Oui, incorrecte| E["Vérifier next-hop
ping "] C -->|Oui, correcte| F["traceroute 192.168.100.5 source 172.16.10.1"] D --> G{"Route configurée?"} G -->|Oui| H["Problème de récursivité
Vérifier connectivité vers next-hop"] G -->|Non| I["Erreur de configuration
Vérifier sauvegardes Git"] E --> J{"Next-hop joignable?"} J -->|Non| K["Problème couche 2/3 vers next-hop"] J -->|Oui| L["Problème chez le voisin
Se connecter à R2"] style A fill:#f8d7da,stroke:#f5c6cb style K fill:#fff3cd,stroke:#ffeaa7 style I fill:#d4edda,stroke:#c3e6cb

Root Cause Probable : Route statique récursive dont le next-hop n'est plus accessible, ou route plus spécifique (ex: un /32) qui écrase la route réseau.

Fix et Rollback :

! 1. Identifier et supprimer la route problématique
R1# show ip route 192.168.100.0
! Supposons qu'elle pointe vers 10.1.1.1 qui est inaccessible
R1(config)# no ip route 192.168.100.0 255.255.255.0 10.1.1.1

! 2. Configurer la route correcte
R1(config)# ip route 192.168.100.0 255.255.255.0 172.16.2.2 name RESTORED_SERVER_FARM

! 3. Vérification immédiate
R1# ping 192.168.100.5 source 172.16.10.1

! 4. COMMANDE DE ROLLBACK (toujours préparée avant)
! Si le fix cause plus de problèmes
R1(config)# no ip route 192.168.100.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.100.0 255.255.255.0 10.1.1.1

🧩 MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)

5 Lois Immuables

  1. Longest Prefix Match d'abord
  2. La plus faible AD gagne
  3. Pas de récursivité, pas de route
  4. Sur Ethernet, spécifiez TOUJOURS le next-hop IP
  5. La route par défaut (/0) est un aimant à trafic

6 Commandes CLI

  1. ip route ... - Configurer
  2. show ip route static - Voir statiques
  3. show ip route <réseau> - Vérifier chemin
  4. traceroute ... - Tester chemin
  5. show run | section ip route - Voir config
  6. debug ip routing - (Prudence) Voir changements

3 Pièges CCNA

  1. Oublier ipv6 unicast-routing
  2. Confondre "directly connected" dans show ip route
  3. Ne pas savoir qu'une route flottante nécessite AD supérieure

Dépannage en 3 Étapes

  1. VÉRIFIER (show ip route)
  2. PINGER le next-hop
  3. TRACER le chemin

Risque Sécurité

Risque : Injection de route malveillante (MITM)

Mitigation : Nommage des routes + AAA + Journalisation + Git

Équation Mentale

Routage Statique =
Prévisibilité Totale - Flexibilité Automatique
flowchart TD A[Paquet à Router] --> B{Match dans Table?} B -->|Non| C[Utiliser Route par Défaut
si elle existe] B -->|Oui| D[Choisir Route
au Plus Long Préfixe] D --> E{Même Préfixe?} E -->|Non| F[Route Unique Gagne] E -->|Oui| G[Choisir Celle avec
la PLUS FAIBLE AD]

Module-Kit de Maîtrise - Routage IP statique

© 2025