📍 ANALOGIE SYSTÉMIQUE
Thème_central: "La traçabilité complète du colis réseau"
Métaphore: "Un réseau est un système logistique où chaque routeur est un centre de tri qui doit avoir une fiche de routage précise pour chaque destination. Une route statique est comme une instruction manuscrite permanente, une route par défaut est comme 'envoyer toutes les expéditions inconnues vers le hub central'."
Éléments_clés:
- Élément_1: "Le plan de tri (table de routage) doit être complet et sans erreur de transcription"
- Élément_2: "Les quais de chargement (interfaces) doivent être opérationnels et connectés"
- Élément_3: "Les instructions de réexpédition (routes) doivent pointer vers le bon prochain centre de tri (next-hop)"
- Élément_4: "Le système de suivi (ICMP, traceroute) permet de localiser où le colis est bloqué"
Risque_analogique: "Un colis mal étiqueté qui tourne en boucle entre les centres de tri jusqu'à expiration (TTL), ou pire, qui est envoyé dans une impasse réseau (black hole)"
🧠 MODÈLE MENTAL
⚡ NOYAU DUR (Les lois Immuables)
! Loi #1 : Une route statique nécessite UN chemin de sortie valide ET UNE résolution récursive réussie.
Preuve : La commande show ip route [réseau] affiche deux choses : la route elle-même (S) et la route vers son next-hop (généralement une route connectée C). Si la route vers le next-hop est manquante, la route statique est invalide et marquée avec %Network not in table.
! Loi #2 : La table de routage est consultée DE HAUT EN BAS selon l'ordre administratif.
Preuve : L'AD (Administrative Distance) détermine la priorité : Connecté (0) > Statique (1) > EIGRP (90) > OSPF (110) > RIP (120). Une route statique avec AD 1 sera toujours préférée à une route OSPF pour le même préfixe.
! Loi #3 : Le principe de la correspondance de masque la plus longue (Longest Prefix Match) gouverne toute décision de transfert.
Preuve : Un paquet destiné à 192.168.1.1 sera routé via une route vers 192.168.1.0/24 (masque /24) plutôt que vers 192.168.0.0/16 (masque /16), même si cette dernière a une meilleure AD.
! Loi #4 : Une route par défaut (0.0.0.0/0) est un piège à tout (catch-all) qui NE DOIT être utilisée qu'en dernier recours.
Preuve : Une mauvaise route par défaut peut créer des boucles de routage ou envoyer du trafic vers un "trou noir". Elle doit pointer vers un routeur qui a une connaissance complète du réseau (ex : routeur frontalier, ISP).
! Loi #5 : IPv6 suit les mêmes principes mais avec des commandes et des subtilités différentes (pas de broadcast, ND au lieu d'ARP).
Preuve : show ipv6 route affiche des codes similaires (C, S, S::/0), mais le mécanisme de résolution utilise NDP (Neighbor Discovery Protocol) au lieu d'ARP.
## 🔐 PROFONDEUR SÉCURITÉ & MÉTIER
# 🚨 RISQUE PRINCIPAL
Risque Principal : Configuration de routes statiques incorrectes créant des trous noirs (black holes) ou des boucles de routage.
Détails de l'attaque :
→ Attaque Type : Bien que moins courante, une route statique malveillante peut être injectée pour du détournement de trafic (traffic hijacking) ou de l'écoute (man-in-the-middle).
→ Détection :
show ip route | include S
show running-config | section ip route
show ip cef [destination] detail → Mitigation Immédiate :
! Supprimer la route statique incorrecte
no ip route 192.168.1.0 255.255.255.0 10.1.1.1
! Rétablir la route correcte
ip route 192.168.1.0 255.255.255.0 10.1.1.2
! Ajouter une description pour l'audit
ip route 192.168.1.0 255.255.255.0 10.1.1.2 name "Route vers serveurs RH"→ Intégration Entreprise : Dans un pipeline CI/CD réseau (Ansible, Git), toutes les routes statiques DOIVENT être documentées avec :
- Justification métier dans le playbook Ansible
- Ticket de changement associé dans le système ITSM
- Monitoring spécifique dans le SIEM pour détecter les changements non autorisés (
%SYS-5-CONFIG_I)
📚 PROFONDEUR EXAMEN CCNA
? Question Type CCNA :
Vous avez configuré ip route 10.0.0.0 255.0.0.0 192.168.1.1 sur R1. La commande show ip route affiche la route comme S* 10.0.0.0/8 [1/0] via 192.168.1.1. Cependant, le ping vers 10.1.1.1 échoue. Quelle est la cause la plus probable?
? Pièges Fréquents :
Détail Oublié #1 :
La différence CRUCIALE entre ip route 0.0.0.0 0.0.0.0 [next-hop] et ip route 0.0.0.0 0.0.0.0 [interface].
- Avec next-hop : Le routeur effectue une recherche ARP/routage récursive vers cette adresse IP.
- Avec interface : Le routeur envoie directement les paquets sur cette interface, avec l'adresse MAC de destination correspondant à l'adresse IP de destination du paquet (nécessite un lien de broadcast comme Ethernet). Sur un lien série point-à-point, cela fonctionne car il n'y a qu'un seul voisin.
Piège Fréquent #2 :
ip route 192.168.1.0 255.255.255.0 Serial0/1/0 ne fonctionne que si l'interface est point-à-point. Sur une interface Ethernet multi-accès, vous DEVEZ spécifier un next-hop, sinon le routeur ne saura pas quelle adresse MAC utiliser.
⚙️ LAB COMPLET : DE LA CONFIG À L'AUTOMATISATION
### Niveau 1 (CCNA) : Configuration Fondamentale
! Configuration d'une route statique simple
R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2
! Objectif : Router tout le trafic vers le réseau 192.168.2.0/24 via le voisin 10.1.1.2! Vérification
R1# show ip route 192.168.2.0
! Sortie attendue :
! S 192.168.2.0/24 [1/0] via 10.1.1.2
! La route apparaît avec le code 'S' (Static) et une distance administrative de 1.! Configuration d'une route par défaut pointant vers l'ISP
R1(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
! Vérification
R1# show ip route | begin Gateway
! Sortie attendue : S* 0.0.0.0/0 [1/0] via 203.0.113.1
! Le '*' confirme qu'il s'agit de la route par défaut candidate.### Niveau 2 (Production Sécurisée) : Hardening
! 1. REMPLACER les routes par interface par des routes par next-hop
! Ancienne (risquée sur Ethernet) :
! ip route 192.168.1.0 255.255.255.0 GigabitEthernet0/1
! Nouvelle (sécurisée) :
R1(config)# ip route 192.168.1.0 255.255.255.0 172.16.1.2
! Risque si omis : Sur un segment Ethernet, sans next-hop, le routeur tente une ARP pour chaque IP de destination, ce qui échoue si l'hôte n'est pas sur le même segment.! 2. AJOUTER des routes de secours (Floating Static) avec une AD plus élevée
R1(config)# ip route 0.0.0.0 0.0.0.0 192.0.2.1
R1(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 250
! Justification best-practice : Fournit une redondance si le lien primaire tombe. La route avec AD 250 n'apparaît dans la table que si la route avec AD 1 disparaît.### Niveau 3 (Expert/Automatisation) : Script & Scale
# Script Python (Netmiko) pour auditer et corriger les routes statiques
from netmiko import ConnectHandler
device = {
'device_type': 'cisco_ios',
'host': 'router1.company.com',
'username': 'admin',
'password': 'secret',
}
correct_routes = [
'ip route 10.10.0.0 255.255.0.0 192.168.1.2',
'ip route 0.0.0.0 0.0.0.0 203.0.113.1',
]
with ConnectHandler(**device) as net_connect:
# Récupérer la config actuelle
running_config = net_connect.send_command('show run | section ip route')
# Analyser et comparer
current_routes = [line.strip() for line in running_config.split('\n') if 'ip route' in line]
# Appliquer les corrections si nécessaire
for correct_route in correct_routes:
if correct_route not in current_routes:
net_connect.send_config_set([correct_route])
print(f"Route appliquée : {correct_route}")→ Avantage : Audit et correction automatisés de la configuration de routage sur des centaines de routeurs, garantissant la conformité et évitant les erreurs humaines.
🚨 SCÉNARIO DE DÉPANNAGE AVANCÉ
Symptôme Complexe : Les utilisateurs du réseau 172.16.10.0/24 ne peuvent pas joindre le serveur 192.168.100.5, mais peuvent accéder à d'autres destinations sur Internet. Le ping depuis le routeur frontalier (R1) vers 192.168.100.5 fonctionne.
Processus de Diagnostic (Arbre Décisionnel) :
- Vérifier la table de routage sur le routeur de l'utilisateur (R-User) :
R-User# show ip route 192.168.100.5Si résultat :
% Network not in table→ Aller à 2.
Si résultat : Affiche une route → Aller à 4. - R-User n'a pas de route spécifique. Vérifier la route par défaut :
R-User# show ip route | include 0.0.0.0Elle devrait pointer vers R1. Si ce n'est pas le cas, la corriger.
- Sur R1, vérifier la route vers 192.168.100.0/24 :
R1# show ip route 192.168.100.0La route doit exister (statique ou dynamique). Si c'est une statique, vérifier le next-hop.
- Si la route existe sur R1, vérifier le forwarding CEF (plus rapide que la table de routage) :
R1# show ip cef 192.168.100.5La sortie doit montrer une interface de sortie et un next-hop valides. Si l'entrée est
dropourecurse, il y a un problème de résolution. - Utiliser
traceroutedepuis R-User pour voir où le trafic s'arrête :R-User# traceroute 192.168.100.5 source 172.16.10.1Le dernier saut (hop) répondant indique le dernier point de fonctionnement.
Root Cause Probable :
Route statique récursive invalide. La route ip route 192.168.100.0 255.255.255.0 10.0.0.2 est configurée sur R1, mais la route vers le next-hop 10.0.0.2 est absente (peut-être due à une interface down ou à une erreur de masque).
Fix et Rollback :
! Fix - R1
R1# configure terminal
! Option A : Rétablir la connectivité vers le next-hop
R1(config)# interface GigabitEthernet0/0
R1(config-if)# no shutdown
! Option B : Redéfinir la route statique avec un next-hop joignable
R1(config)# no ip route 192.168.100.0 255.255.255.0 10.0.0.2
R1(config)# ip route 192.168.100.0 255.255.255.0 10.0.0.3
! Vérification du fix
R1# show ip route 192.168.100.0
R1# ping 192.168.100.5 source g0/0
! Rollback au cas où
R1# configure terminal
R1(config)# no ip route 192.168.100.0 255.255.255.0 10.0.0.3
R1(config)# ip route 192.168.100.0 255.255.255.0 10.0.0.2❓ VALIDATION PAR EXERCICE MENTAL
Question de Concept :
En utilisant l'analogie du centre de tri, décrivez ce qui se passe lorsqu'un routeur reçoit un paquet pour un réseau inconnu, mais qu'il a une route par défaut et une route statique plus spécifique mais incorrecte.
Voir la réponse
Le "colis" pour une destination inconnue est d'abord comparé à toutes les instructions spécifiques. Si une instruction correspond partiellement (mais est incorrecte), le colis est envoyé vers le mauvais quai. La route par défaut (hub central) n'est utilisée que si AUCUNE autre instruction ne correspond.
Question de Piège :
Quelle est la différence de comportement entre ip route 10.0.0.0 255.0.0.0 Null0 et ne pas avoir de route du tout pour 10.0.0.0/8 ?
Voir la réponse
Avec Null0, le routeur accepte activement le paquet et le jette (black hole), générant éventuellement une ICMP unreachable. Sans route, le routeur rejette simplement le paquet et peut renvoyer un "host unreachable" à la source. Null0 est parfois utilisé pour résumer des routes et éviter les boucles.
Question de Crise :
"Il est 3h du matin, tout le trafic Internet de l'entreprise passe par un lien MPLS de secours lent, bien que le lien primaire semble opérationnel. Votre premier reflexe est que la route par défaut a basculé, mais show ip route montre toujours la même route par défaut vers le lien primaire. Quelle est votre première commande, votre première hypothèse, et votre plan d'action en 3 étapes ?"
Voir la réponse
- Première commande :
show ip cef 0.0.0.0/0 detailpour vérifier le plan de transfert CEF, qui peut être différent de la table de routage logicielle. - Première hypothèse : Problème de résolution ARP/NDP vers le next-hop de la route par défaut primaire, forçant CEF à utiliser la route de secours (floating static).
- Plan en 3 étapes :
clear arp-cacheouclear ipv6 neighborssur l'interface vers le lien primaire.- Vérifier la connectivité L2 vers le next-hop (
show cdp neighbors,show interface status). - Si le problème persiste, forcer manuellement le trafic vers le primaire en augmentant temporairement l'AD de la route de secours.
Simulateur CLI Basique
🧩 MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)
Contenu du Micro-Kit
🔹 Les 5 Lois Immuables (version courte)
- Statique = Route + Next-hop joignable (Sinon, elle est invalide).
- La table se lit du plus spécifique au plus général (Longest Prefix Match).
- La distance administrative (AD) départage les sources (0=Connecté, 1=Statique, etc.).
- La route par défaut (0/0) est un piège à tout, à manier avec précaution.
- IPv6 = mêmes règles, autres commandes (
ipv6 route,show ipv6 route).
🔹 Mini-modèle mental
🔹 Les 6 commandes CLI incontournables
show ip route [réseau] → Vérifie l'existence et les détails d'une route.
show ip route static → Liste uniquement les routes statiques.
show ip cef [réseau] → Vérifie le chemin de transfert matériel (CEF).
traceroute [destination] source [interface] → Trace le chemin emprunté.
ping → Test de connectivité de base (couche 3).
show ip interface brief → État "Up/Up" des interfaces.
🔹 Les 3 pièges CCNA les plus fréquents
- Confondre
ip route ... [interface]etip route ... [next-hop]sur Ethernet. - Oublier que la route statique a besoin d'une route vers son next-hop (récursivité).
- Penser qu'une route par défaut est prioritaire (elle a la priorité la PLUS FAIBLE en termes de LPM).
🔹 Un scénario de dépannage résumé en 3 étapes
- De la source,
pingla destination. Si ça échoue... - Sur le routeur local,
show ip route [destination]. Si manquant ou incorrect... traceroutepour voir où ça bloque, puis vérifiez la route/interface à ce saut.
🔹 1 risque sécurité + la mitigation la plus cruciale
Risque : Injection d'une route statique malveillante détournant le trafic.
Mitigation : Utiliser l'authentification AAA et des listes de contrôle d'accès (ACL) pour restreindre l'accès en mode configuration (enable secret, aaa authentication).
🔹 1 équation mentale
Routage = (Destination & Masque) → (Next-hop & Interface)
Traduction : Pour qu'un paquet soit routé, la table doit faire correspondre l'adresse de destination avec un masque, et donner la paire "prochain saut / interface de sortie". Si un élément manque, le routage échoue.
🔗 CONNECTIONS SYSTÉMIQUES
← Module Précédent (Configuration des routes statiques) : Ce module de dépannage suppose que vous savez configurer une route statique. Il se concentre sur le diagnostic lorsque cette configuration ne produit pas le résultat attendu, souvent à cause de problèmes de connectivité sous-jacents ou d'erreurs de conception.
→ Module Suivant (Routing Dynamique - OSPF/EIGRP) : La maîtrise du dépannage des routes statiques est le pré-requis ABSOLU pour aborder le routage dynamique. Pourquoi ? Parce que les protocoles dynamiques automatisent la découverte et la maintenance des routes, mais les principes fondamentaux de la consultation de la table de routage, de la récursivité et du Longest Prefix Match restent identiques. Si vous ne savez pas dépanner une route statique manuelle, vous serez perdu face aux routes dynamiques apprises automatiquement.
🔄 Écosystème Réel :
- Avec le Firewall : Les routes statiques dirigent souvent le trafic vers un firewall (next-hop). Une erreur de route peut contourner complètement les politiques de sécurité.
- Avec le Contrôleur SD-WAN : Dans un SD-WAN, les routes statiques peuvent être utilisées pour forcer le trafic à emprunter un tunnel spécifique vers le cloud.
- Avec le DNS : Un problème de routage est souvent confondu avec un problème de DNS. Toujours tester avec une adresse IP directement avant de blâmer le DNS.