Skip to content

Latest commit

 

History

History
1552 lines (1298 loc) · 52.3 KB

File metadata and controls

1552 lines (1298 loc) · 52.3 KB

🌐 Réseaux Informatiques — Base de Connaissances Complète

De CCNA à CCIE : Roadmap & Référence Technique

Objectif : CCNA → CCNP → CCIE Tags : #networking #cisco #ccna #ccnp #ccie #sysnet #sécurité


📍 PARTIE 0 — ROADMAP CERTIFICATIONS CISCO

Vue d'ensemble du parcours

CCNA (200-301)
    ↓
CCNP Enterprise (Core: 350-401 ENCOR + Concentration)
    ↓
CCIE Enterprise Infrastructure (Lab Exam)

Autres tracks possibles vers le CCIE

Track CCIE Exam Core Focus
Enterprise Infrastructure 350-401 ENCOR Routing, Switching, SD-WAN, Wireless
Enterprise Wireless 350-401 ENCOR WLAN, 802.11, Cisco DNA
Security 350-701 SCOR Firewall, IDS/IPS, Zero Trust
Service Provider 350-501 SPCOR MPLS, BGP, Segment Routing
Data Center 350-601 DCCOR ACI, NX-OS, Storage
Collaboration 350-801 CLCORE VoIP, WebEx, UC
DevNet 350-901 DEVCOR APIs, Automation, Python

📚 PARTIE 1 — CCNA (Examen 200-301)

1.1 Network Fundamentals (20%)

Modèles de référence

Modèle OSI (7 couches)

Couche Nom Protocoles / Équipements PDU
7 Application HTTP, HTTPS, DNS, SMTP, FTP, SSH, SNMP Data
6 Présentation TLS/SSL, MIME, JPEG, ASCII, EBCDIC Data
5 Session NetBIOS, RPC, SMB Session, PPTP Control Data
4 Transport TCP, UDP, SCTP, QUIC Segment / Datagram
3 Réseau IP, ICMP, OSPF, BGP, ARP Paquet
2 Liaison de données Ethernet, Wi-Fi, PPP, HDLC, Frame Relay Trame
1 Physique Câbles, Fibres, Hubs, Signaux électriques Bits

Modèle TCP/IP (4 couches)

Couche TCP/IP Équivalent OSI Exemples
Application 5-6-7 HTTP, DNS, SMTP
Transport 4 TCP, UDP
Internet 3 IP, ICMP, ARP
Accès réseau 1-2 Ethernet, Wi-Fi

Protocoles fondamentaux

TCP vs UDP

Critère TCP UDP
Connexion Orienté connexion (3-way handshake) Sans connexion
Fiabilité Garantie (ACK, retransmission) Non garantie
Ordre Oui (numéros de séquence) Non
Contrôle de flux Oui (fenêtre glissante) Non
Usage HTTP, SSH, FTP, SMTP DNS, DHCP, RTP, VoIP, Gaming
Vitesse Plus lent Plus rapide

TCP 3-Way Handshake

Client → SYN          → Serveur
Client ← SYN-ACK      ← Serveur
Client → ACK          → Serveur

TCP 4-Way Termination

Client → FIN          → Serveur
Client ← ACK          ← Serveur
Client ← FIN          ← Serveur
Client → ACK          → Serveur

Adressage IPv4

Classes d'adresses (historique)

Classe Plage Masque par défaut Usage
A 1.0.0.0 – 126.255.255.255 /8 (255.0.0.0) Grandes organisations
B 128.0.0.0 – 191.255.255.255 /16 (255.255.0.0) Organisations moyennes
C 192.0.0.0 – 223.255.255.255 /24 (255.255.255.0) Petits réseaux
D 224.0.0.0 – 239.255.255.255 Multicast
E 240.0.0.0 – 255.255.255.255 Recherche/réservé

Adresses privées (RFC 1918)

Plage CIDR Nb d'adresses
10.0.0.0 – 10.255.255.255 /8 16 777 216
172.16.0.0 – 172.31.255.255 /12 1 048 576
192.168.0.0 – 192.168.255.255 /16 65 536

Adresses spéciales

  • 127.0.0.1 → Loopback
  • 169.254.x.x → APIPA (Auto-IP sans DHCP)
  • 0.0.0.0 → Route par défaut / non spécifiée
  • 255.255.255.255 → Broadcast limité

CIDR — Table de subnetting

CIDR Masque Hosts valides Nb de sous-réseaux (/24)
/24 255.255.255.0 254 1
/25 255.255.255.128 126 2
/26 255.255.255.192 62 4
/27 255.255.255.224 30 8
/28 255.255.255.240 14 16
/29 255.255.255.248 6 32
/30 255.255.255.252 2 64

Formule : Hosts = 2^(32-CIDR) - 2


Adressage IPv6

Types d'adresses IPv6

Type Préfixe Description
Global Unicast 2000::/3 Routable sur Internet (équiv. IPv4 public)
Link-Local FE80::/10 Communication locale uniquement
Loopback ::1/128 Équivalent 127.0.0.1
Unspecified ::/128 Équivalent 0.0.0.0
Multicast FF00::/8 Remplace le broadcast IPv4
Unique Local FC00::/7 Équivalent adresses privées IPv4

Notation abrégée

  • 2001:0DB8:0000:0000:0000:0000:0000:00012001:DB8::1
  • Règles : supprimer les zéros initiaux, :: remplace un groupe de zéros contigus (une seule fois)

EUI-64 (Interface ID depuis MAC)

  • MAC 48 bits → Insert FFFE au milieu → Inverser bit 7 (Universal/Local)
  • Exemple : MAC 00:1A:2B:3C:4D:5E → Interface ID 021A:2BFF:FE3C:4D5E

1.2 Network Access (20%)

Ethernet & Switching

Types de trames Ethernet

  • Ethernet II : Préambule | DA | SA | EtherType | Data | FCS
  • 802.3 : Préambule | SFD | DA | SA | Length | LLC | Data | FCS

Processus de commutation (switching logic)

  1. Réception d'une trame → apprentissage de l'adresse MAC source
  2. Lookup de la MAC destination dans la CAM table
  3. Unicast connu → forward sur le bon port
  4. Unicast inconnu / Broadcast / Multicast → flood sur tous les ports sauf le port source

Types de switching

Mode Latence Description
Store-and-Forward Haute Lit la trame entière, vérifie FCS avant forwarding
Cut-Through Basse Commence à forwarder dès la lecture de la DA
Fragment-Free Moyenne Lit les 64 premiers octets (évite les runts)

Spanning Tree Protocol (STP)

Rôles des ports :

  • Root Port (RP) : Meilleur chemin vers le Root Bridge
  • Designated Port (DP) : Port en forwarding sur chaque segment
  • Non-Designated (Blocked) : Bloque pour éviter les boucles

États STP :

Blocking → Listening (15s) → Learning (15s) → Forwarding

Variantes :

Protocole Standard Convergence VLANs
STP IEEE 802.1D ~50s 1 instance pour tous
RSTP IEEE 802.1w < 2s 1 instance pour tous
MSTP IEEE 802.1s < 2s Multiple instances
PVST+ Cisco propriétaire ~50s 1 instance par VLAN
Rapid PVST+ Cisco propriétaire < 2s 1 instance par VLAN

Élection du Root Bridge : Plus petite Bridge ID = Root Bridge ID = Priority (32768 par défaut) + MAC address


VLANs

Concepts

  • VLAN : Segmentation logique L2, isolation du broadcast domain
  • Plages : 1-1005 (normal), 1006-4094 (extended)
  • VLAN 1 : VLAN natif par défaut (non recommandé en prod)
  • VLAN natif : Trafic non taggé sur un trunk

Types de ports

Type Usage Tagging
Access Port Connexion hôte final Non taggé (un seul VLAN)
Trunk Port Inter-switch, uplink vers router Taggé 802.1Q (plusieurs VLANs)
Voice VLAN Port IP Phone + PC Deux VLANs (voix + données)

Inter-VLAN Routing

  1. Router-on-a-stick : Un seul lien physique, plusieurs sous-interfaces (subinterfaces)
  2. L3 Switch : SVI (Switched Virtual Interface) par VLAN
  3. Routeur dédié : Un port physique par VLAN (legacy)

Wireless (Wi-Fi)

Standards 802.11

Standard Bande Débit max Modulation Alias
802.11b 2.4 GHz 11 Mbps DSSS Wi-Fi 1
802.11a 5 GHz 54 Mbps OFDM Wi-Fi 2
802.11g 2.4 GHz 54 Mbps OFDM Wi-Fi 3
802.11n 2.4/5 GHz 600 Mbps MIMO-OFDM Wi-Fi 4
802.11ac 5 GHz 6.9 Gbps MU-MIMO OFDM Wi-Fi 5
802.11ax 2.4/5/6 GHz 9.6 Gbps OFDMA, MU-MIMO Wi-Fi 6/6E
802.11be 2.4/5/6 GHz 46 Gbps Multi-Link, 320 MHz Wi-Fi 7

Sécurité Wi-Fi

Protocole Chiffrement Vulnérabilités Statut
WEP RC4 40/128 bits Totalement cassé (aircrack) Obsolète
WPA TKIP + RC4 Partiellement vulnérable Obsolète
WPA2-Personal AES-CCMP KRACK attack, PMKID Acceptable
WPA2-Enterprise AES + 802.1X/EAP Solide Recommandé
WPA3-Personal SAE (Dragonfly) Résistant au bruteforce offline Best practice
WPA3-Enterprise Suite-B 192 bits Très sécurisé Best practice

Architecture Wi-Fi Cisco

Composant Description
AP Autonome Gestion indépendante, configuration locale
AP Lightweight (LWAP) Contrôlé par WLC, protocole CAPWAP
WLC (Wireless LAN Controller) Gestion centralisée des APs (Cisco 9800, AIR-CT)
Cisco DNA Center Gestion unifiée Wi-Fi + réseau câblé (intent-based)
FlexConnect AP continue à fonctionner si WLC déconnecté

Câblage et Médias Physiques

Câbles cuivre

Type Catégorie Débit max Distance max Blindage
Cat5 TIA-568 100 Mbps 100 m UTP
Cat5e TIA-568B 1 Gbps 100 m UTP/FTP
Cat6 TIA-568-C.2 1 Gbps (10G sur 55m) 100 m UTP/STP
Cat6a TIA-568-C.2-1 10 Gbps 100 m STP/SFTP
Cat7 ISO/IEC 11801 10 Gbps 100 m SFTP (paires blindées)
Cat7a ISO/IEC 11801 40 Gbps 50 m SFTP
Cat8 TIA-568-C.2-1 25-40 Gbps 30 m SFTP (datacenter)

Légende blindage :

  • UTP = Unshielded Twisted Pair
  • FTP = Foiled Twisted Pair (blindage global)
  • STP = Shielded Twisted Pair (blindage paires)
  • SFTP = Shielded+Foiled (blindage paires + global)

Connecteurs

  • RJ45 : Ethernet standard (8P8C)
  • RJ11 : Téléphonie (6P2C/6P4C)
  • SFP : Small Form-factor Pluggable (1G)
  • SFP+ : Enhanced SFP (10G)
  • SFP28 : 25G
  • QSFP : Quad SFP (40G)
  • QSFP+ : 40G
  • QSFP28 : 100G
  • OSFP / QSFP-DD : 400G+

Câbles fibre optique

Type Cœur Source lumineuse Distance Usage
MMF OM1 62.5 µm LED 275 m (1G) Legacy
MMF OM2 50 µm LED/VCSEL 550 m (1G) Campus
MMF OM3 50 µm VCSEL 300 m (10G), 100 m (40/100G) Datacenter
MMF OM4 50 µm VCSEL 400 m (10G), 150 m (40/100G) Datacenter
MMF OM5 50 µm VCSEL 400 m (100G), SWDM Datacenter
SMF OS1 9 µm Laser 10 km Campus/Metro
SMF OS2 9 µm Laser 200 km WAN/Long haul

1.3 IP Connectivity / Routing (25%)

Concepts de routage

Distance Administrative (AD)

Source AD par défaut
Directement connecté 0
Interface statique 1
EIGRP summary 5
BGP externe (eBGP) 20
EIGRP interne 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EIGRP externe 170
BGP interne (iBGP) 200
DHCP 254
Non fiable / inconnue 255

Routage statique

ip route [destination] [masque] [next-hop ou interface] [distance-admin]
ip route 0.0.0.0 0.0.0.0 192.168.1.1    ! Route par défaut
ip route 10.0.0.0 255.255.255.0 Gi0/1    ! Route statique via interface

RIPv2

Caractéristique Valeur
Type IGP, Distance Vector
Algorithme Bellman-Ford
Métrique Hop count (max 15, 16 = infini)
Mise à jour Broadcast/Multicast 224.0.0.9 toutes les 30s
Support VLSM Oui (v2)
Authentification MD5 (v2)
Convergence Lente (jusqu'à 3 minutes)

OSPF (Open Shortest Path First)

Caractéristique Valeur
Type IGP, Link-State
Algorithme Dijkstra (SPF)
Standard RFC 2328 (v2 IPv4), RFC 5340 (v3 IPv4+IPv6)
Métrique Coût = 10^8 / Bandwidth
Mise à jour Event-driven (LSA)
Convergence Rapide
Authentification MD5, SHA (OSPFv3)
Multicast 224.0.0.5 (AllSPFRouters), 224.0.0.6 (AllDRRouters)

Types de réseaux OSPF

Type Description DR/BDR
Broadcast Ethernet, désigne DR/BDR Oui
Non-Broadcast (NBMA) Frame Relay, ATM Oui (manuel)
Point-to-Point Liens série, loopback Non
Point-to-Multipoint Hub-and-spoke Non

Types de LSA OSPF

Type Nom Généré par
1 Router LSA Chaque routeur
2 Network LSA DR
3 Summary LSA ABR
4 ASBR Summary LSA ABR
5 External LSA ASBR
7 NSSA External LSA ASBR dans NSSA

Types de zones OSPF

  • Backbone (Area 0) : Zone centrale obligatoire
  • Standard Area : Reçoit tous les types de LSA
  • Stub Area : Pas de LSA type 5, reçoit route par défaut
  • Totally Stubby : Cisco uniquement, pas de LSA 3/4/5
  • NSSA : Not-So-Stubby Area, LSA type 7 pour redistribution externe

EIGRP (Enhanced Interior Gateway Routing Protocol)

Caractéristique Valeur
Type IGP, Advanced Distance Vector (Hybrid)
Propriétaire Cisco (partiellement ouvert RFC 7868)
Algorithme DUAL (Diffusing Update Algorithm)
Métrique Composite : Bandwidth + Delay (+ Reliability + Load optionnel)
Mise à jour Event-driven, partielle
Convergence Très rapide (Feasible Successor en backup)
Multicast 224.0.0.10
Support IPv4, IPv6 (named mode)

Terminologie EIGRP

  • Successor : Meilleur chemin vers destination (dans routing table)
  • Feasible Successor (FS) : Backup path (dans topology table)
  • Feasible Distance (FD) : Métrique totale vers destination
  • Reported Distance (RD) : Métrique annoncée par le voisin
  • Condition de faisabilité : RD < FD du Successor actuel

BGP (Border Gateway Protocol)

Caractéristique Valeur
Type EGP, Path Vector
Standard RFC 4271 (BGP-4)
Port TCP 179
Algorithme Best path selection (attributs)
Usage Inter-AS (Internet), MPLS, EVPN
Convergence Lente (minutes)

Attributs BGP (ordre de sélection)

  1. Weight (Cisco uniquement, local au routeur, plus grand = meilleur)
  2. LOCAL_PREF (plus grand = meilleur, iBGP)
  3. Origine locale (réseau annoncé localement)
  4. AS_PATH (plus court = meilleur)
  5. ORIGIN (IGP < EGP < Incomplete)
  6. MED (plus petit = meilleur, entre AS)
  7. eBGP > iBGP
  8. IGP metric vers next-hop (plus petit = meilleur)

eBGP vs iBGP

eBGP iBGP
Entre AS différents Même AS
AD 20 200
TTL 1 (voisins directs) 255
Next-hop Modifié Non modifié
Redistribution Vers iBGP automatique Full-mesh requis

1.4 IP Services (10%)

DHCP

Processus DORA :

Client → DISCOVER (broadcast) → Réseau
Client ← OFFER               ← Serveur DHCP
Client → REQUEST (broadcast) → Réseau
Client ← ACK                 ← Serveur DHCP

Options DHCP importantes :

  • Option 3 : Default Gateway
  • Option 6 : DNS Servers
  • Option 15 : Domain Name
  • Option 43 : Vendor Specific (WLC pour APs Cisco)
  • Option 60 : Vendor Class Identifier
  • Option 150 : TFTP Server (IP Phones)

DHCP Relay Agent (ip helper-address) : Relaye les broadcasts DHCP vers un serveur DHCP sur un autre réseau.

NAT/PAT

Type Description Exemple
NAT Statique 1 IP privée ↔ 1 IP publique Serveur web interne
NAT Dynamique Pool d'IP publiques Petits bureaux
PAT (NAT Overload) Plusieurs IP privées → 1 IP publique + ports Standard FAI

Termes Cisco NAT :

  • Inside Local : IP privée du client interne
  • Inside Global : IP publique vue depuis l'extérieur (après traduction)
  • Outside Local : IP du serveur externe vue de l'intérieur
  • Outside Global : Vraie IP publique du serveur externe

NTP (Network Time Protocol)

  • Stratum 0 : Référence de temps (GPS, horloge atomique)
  • Stratum 1 : Serveur primaire NTP (directement connecté au Stratum 0)
  • Stratum 2 : Serveur NTP secondaire
  • Port UDP 123
  • Précision : µs à ms selon stratum

QoS (Quality of Service)

Mécanismes

Mécanisme Description
Classification Identifier le trafic (DSCP, CoS, ACL)
Marking Marquer les paquets (DSCP, CoS)
Queuing File d'attente prioritaire (CBWFQ, LLQ)
Shaping Lisser le débit (rate limiting sortant)
Policing Limiter et jeter les excès (entrant/sortant)
Congestion Avoidance RED, WRED (early drop)

DSCP (Differentiated Services Code Point)

Classe DSCP PHB Usage
Best Effort 0 Default Standard
AF11 10 Assured Forwarding Basse priorité
AF21 18 Assured Forwarding Données courantes
AF31 26 Assured Forwarding Streaming
AF41 34 Assured Forwarding Vidéo interactif
CS3 24 Class Selector Signalisation réseau
EF 46 Expedited Forwarding VoIP, temps réel

1.5 Security Fundamentals (15%)

Sécurité des équipements réseau

Bonnes pratiques

  • Désactiver les services inutiles (HTTP, Telnet, CDP sur ports publics)
  • SSH v2 uniquement (pas Telnet)
  • Authentification AAA (RADIUS/TACACS+)
  • Chiffrement des mots de passe (service password-encryption, enable secret)
  • Banner MOTD (message légal)
  • Port Security (limite MACs par port)
  • DHCP Snooping
  • Dynamic ARP Inspection (DAI)
  • IP Source Guard

Port Security (Cisco)

switchport port-security maximum 2
switchport port-security violation {protect|restrict|shutdown}
switchport port-security mac-address sticky
Mode de violation Trafic illégal Log Compteur Port
Protect Bloqué Non Non Actif
Restrict Bloqué Oui Oui Actif
Shutdown Bloqué Oui Oui err-disabled

ACL (Access Control Lists)

Type Description Filtrage
Standard (1-99, 1300-1999) Basé sur IP source uniquement Placer proche de la destination
Étendue (100-199, 2000-2699) IP src+dst, protocole, ports Placer proche de la source
Named Nom au lieu de numéro Standard ou étendue

Règle implicite : deny any any à la fin de toute ACL

Firewalls

Type Description Exemples
Packet Filter Filtrage L3/L4 stateless ACL routeur
Stateful Firewall Suit les sessions (state table) Cisco ASA, pfSense
NGFW (Next-Gen) DPI, AppID, IPS, URL filtering Fortinet FortiGate, Palo Alto, Cisco FTD
WAF Filtrage applicatif HTTP/HTTPS F5, Imperva, Cloudflare WAF

Protocoles de sécurité

AAA

  • Authentication : Qui es-tu ? (identité)
  • Authorization : Qu'as-tu le droit de faire ?
  • Accounting : Qu'as-tu fait ? (traçabilité)
Protocole Transport Chiffrement Usage Cisco
RADIUS UDP 1812/1813 Mot de passe uniquement 802.1X, VPN
TACACS+ TCP 49 Entier paquet Device management
Diameter TCP/SCTP 3868 TLS LTE/5G, mobile

Cryptographie réseau

Protocole Type Usage
MD5 Hash 128 bits Authentification (déprécié)
SHA-1 Hash 160 bits Déprécié
SHA-256 Hash 256 bits Recommandé
AES-128/256 Chiffrement symétrique VPN, Wi-Fi, TLS
RSA Chiffrement asymétrique PKI, échange de clés
ECDSA Signature asymétrique (courbes) TLS 1.3, certificats
DH (Diffie-Hellman) Échange de clés IKE, TLS

1.6 Automation & Programmability (10%)

Concepts de base

  • SDN (Software-Defined Networking) : Séparation Control Plane / Data Plane
  • Intent-Based Networking (IBN) : Réseau configuré par intent métier (Cisco DNA Center)
  • Infrastructure as Code (IaC) : Configuration réseau dans du code versionné

Protocoles de gestion réseau

Protocole Port Version Sécurité
SNMP v1 UDP 161/162 1990 Community string en clair
SNMP v2c UDP 161/162 1993 Community string en clair
SNMP v3 UDP 161/162 2004 Authentification + chiffrement
NETCONF TCP 830 RFC 6241 SSH, XML/YANG
RESTCONF TCP 443 RFC 8040 HTTPS, JSON/XML/YANG
gNMI TCP 57400 gRPC TLS, Protobuf
Syslog UDP 514 / TCP 6514 RFC 5424 TLS optionnel

Formats de données

  • JSON : JavaScript Object Notation — léger, API REST
  • XML : Extensible Markup Language — verbose, NETCONF
  • YAML : YAML Ain't Markup Language — lisible humain, Ansible
  • Protobuf : Google Protocol Buffers — binaire, gNMI/gRPC

Outils d'automatisation

Outil Type Langage Agent
Ansible Configuration Management YAML (Playbooks) Agentless (SSH)
Puppet Configuration Management DSL (Puppet) Agent requis
Chef Configuration Management Ruby Agent requis
Terraform IaC (Infrastructure) HCL Agentless
Nornir Automatisation réseau Python pur Agentless
Netmiko Connexion SSH Python Agentless
Napalm Abstraction réseau multi-vendors Python Agentless
Salt Configuration Management Python/YAML Agent ou agentless

APIs REST — Méthodes HTTP

Méthode Action Idempotent
GET Lire Oui
POST Créer Non
PUT Remplacer entièrement Oui
PATCH Modifier partiellement Oui
DELETE Supprimer Oui

📗 PARTIE 2 — CCNP Enterprise (Examen Core 350-401 ENCOR)

2.1 Architecture Enterprise

Modèle hiérarchique à 3 couches (Cisco)

        [Internet/WAN]
              |
      ┌───────────────┐
      │  Core Layer   │   → Vitesse maximale, pas de filtrage
      └───────────────┘
              |
      ┌───────────────┐
      │Distribution   │   → Routage inter-VLAN, QoS, politiques
      └───────────────┘
              |
      ┌───────────────┐
      │  Access Layer │   → Ports utilisateurs, PoE, port security
      └───────────────┘

Modèle Spine-Leaf (Datacenter)

  [Spine 1] ──── [Spine 2]
  /  |  \        /  |  \
L1  L2  L3     L4  L5  L6   ← Leaf switches
                              ← Serveurs connectés aux Leaf
  • Chaque Leaf connecté à chaque Spine
  • Latence uniforme (2 hops max)
  • Scale horizontal facilement
  • ECMP pour load balancing

SD-Access (Software-Defined Access)

Composant Rôle
Cisco DNA Center Contrôleur, orchestration, Intent-Based
ISE (Identity Services Engine) Authentification, politiques, AAA
Fabric Border Node Connexion fabric ↔ WAN/Internet
Fabric Control Plane Node LISP Map Server (localisation/identité)
Fabric Edge Node Accès des endpoints
Fabric AP Wi-Fi dans le fabric
Underlay Infrastructure IP (OSPF/IS-IS)
Overlay VXLAN + SGT (Scalable Group Tags)

SD-WAN (Cisco Viptela)

Composant Rôle
vManage Interface de gestion (NMS)
vSmart Contrôleur de politiques (OMP)
vBond Orchestrateur (discovery, authentification)
vEdge / cEdge Routeurs WAN (CPE)
OMP Overlay Management Protocol

2.2 Virtualisation et Overlays

Technologies d'overlay datacenter

Technologie Encapsulation Overhead Usage
VXLAN UDP 4789 50 bytes DC overlay standard
GENEVE UDP 6081 Variable Cloud/OpenStack
NVGRE GRE 42 bytes Microsoft Hyper-V
STT TCP-like Variable VMware
VLAN 802.1Q 4 bytes Campus
GRE IP proto 47 24 bytes VPN tunnel

EVPN (Ethernet VPN)

  • Contrôle plane BGP pour VXLAN
  • Apprentissage des MACs via BGP (pas par flooding)
  • Supporte L2 et L3 VPN
  • Types de routes BGP EVPN :
    • Type 2 : MAC/IP Advertisement
    • Type 3 : Inclusive Multicast Ethernet Tag (BUM traffic)
    • Type 5 : IP Prefix Route (routage L3)

2.3 Infrastructure services avancés

FHRP (First Hop Redundancy Protocols)

Protocole Standard Rôle Préemption Multicast/Virtual IP
HSRP v1 Cisco prop. Active/Standby Configurable 224.0.0.2
HSRP v2 Cisco prop. Active/Standby Configurable 224.0.0.102, IPv6
VRRP RFC 5798 Master/Backup Toujours 224.0.0.18
GLBP Cisco prop. Active/Active LB Oui 224.0.0.102

MPLS (Multiprotocol Label Switching)

  • Commutation par labels au lieu d'IP (plus rapide)
  • LDP : Label Distribution Protocol (échange de labels)
  • RSVP-TE : Réservation de ressources pour TE
  • LSP : Label Switched Path
  • LSR : Label Switch Router
  • LER : Label Edge Router (ingress/egress)
  • P router : Provider (cœur MPLS)
  • PE router : Provider Edge (frontière MPLS/CE)
  • CE router : Customer Edge (routeur client)

VRF (Virtual Routing and Forwarding)

  • Virtualisation de tables de routage sur un même routeur
  • Chaque VRF = table de routage isolée
  • Usage : MPLS L3 VPN, séparation tenant
  • VRF-Lite : VRF sans MPLS (sur routeur IOS)
  • Route Distinguisher (RD) : Rend les préfixes uniques entre VRF
  • Route Target (RT) : Politique d'import/export entre VRF

🔴 PARTIE 3 — CCIE Enterprise Infrastructure (Lab Exam 8h)

3.1 Domaines du CCIE EI

Switching avancé

  • PVLAN (Primary/Isolated/Community)
  • Flex Links
  • Storm Control
  • REP (Resilient Ethernet Protocol)
  • EtherChannel LACP / PAgP / Static
  • MACsec (802.1AE)
  • 802.1X avec multi-auth, MAB, WebAuth

Routage avancé

  • OSPF multi-area avec redistribution
  • BGP full-mesh iBGP, route reflectors, confederations
  • EIGRP named mode, métriques wide
  • PBR (Policy-Based Routing)
  • IP SLA pour tracking
  • BFD (Bidirectional Forwarding Detection)
  • Redistribution multi-protocoles avec gestion des boucles

QoS avancé

  • MQC (Modular QoS CLI)
  • Class-maps, policy-maps, service-policies
  • CBWFQ (Class-Based WFQ)
  • LLQ (Low Latency Queuing) pour VoIP
  • DSCP/CoS marking et re-marking
  • Shaping vs Policing
  • WRED (Weighted Random Early Detection)

MPLS avancé

  • LDP sessions, labels, FIB/LFIB
  • MPLS L3 VPN (RFC 4364)
  • MPLS L2 VPN (VPWS, VPLS)
  • MPLS Traffic Engineering (RSVP-TE)
  • Segment Routing (SR-MPLS, SRv6)

Infrastructure services

  • DHCPv4/v6 avec relay et options
  • DNS dynamique, split-horizon DNS
  • NAT64, NAT-PT
  • IPv6 transition (6in4, Teredo, ISATAP, DS-Lite)
  • Multicast (PIM-SM, PIM-SSM, IGMP v1/v2/v3, RP, BSR, Auto-RP)

Automatisation avancée

  • YANG models (native Cisco, OpenConfig)
  • NETCONF/RESTCONF programmation
  • Streaming telemetry (gNMI, gRPC)
  • Python + Netmiko/NAPALM/pyATS
  • Ansible network modules
  • pyATS/Genie (Cisco testing framework)

SD-Access et SD-WAN complet

  • Fabric design, scalabilité
  • Policy avec SGT et SXP
  • Integration ISE
  • Microsegmentation
  • SD-WAN HA, DIA, TLOC, data policies

🏢 PARTIE 4 — ÉQUIPEMENTS & MARQUES

4.1 Cisco (Leader incontesté)

Gammes de commutateurs

Gamme Usage Caractéristiques
Catalyst 9000 Enterprise access/distribution/core IOS-XE, UADP ASIC, StackWise
Catalyst 9200 Access SMB PoE, stack 2 switchs
Catalyst 9300 Access enterprise PoE++, stack 8, UPOE
Catalyst 9400 Distribution/Core Châssis modulaire
Catalyst 9500 Core/Distribution 40G/100G uplinks
Catalyst 9600 Core datacenter 100G/400G
Nexus 9000 Datacenter ACI, NX-OS, 400G
Nexus 7000 Core datacenter legacy VDC, VPC
Nexus 5000/6000 Datacenter access/FCoE FCoE, FabricPath
IE 3000/4000 Industrial DIN rail, harsh env
SG/CBS SMB Non-managed à managé

Gammes de routeurs

Gamme Usage
ASR 1000 Service Provider / Edge Enterprise
ASR 9000 SP Core (IOS-XR)
ISR 1000 Branch / SMB
ISR 4000 Branch enterprise
CSR 1000v Cloud virtual router
Catalyst 8000 SD-WAN edge (cEdge)
NCS 5500 SP Segment Routing

Firewalls / Sécurité

Produit Description
Cisco ASA Stateful firewall, VPN (legacy mais présent)
Cisco FTD (Firepower Threat Defense) NGFW unifié (ASA + Sourcefire)
Cisco FMC (Firepower Management Center) Gestion centralisée FTD
Cisco ISE (Identity Services Engine) NAC, AAA, politiques d'accès
Cisco Umbrella DNS Security, SASE cloud
Cisco SecureX / XDR Plateforme de détection unifiée
Cisco Stealthwatch (Secure Network Analytics) Analyse du comportement réseau (NetFlow)
Cisco Duo MFA, Zero Trust access

Wireless Cisco

Produit Description
Catalyst 9100 APs Wi-Fi 6/6E, enterprise
Catalyst 9800 WLC Contrôleur sans fil (IOS-XE)
Meraki MR Cloud-managed Wi-Fi
Cisco DNA Center Intent-Based Networking
Aironet Legacy APs

4.2 Fortinet (Leader sécurité)

Produit Description
FortiGate NGFW, SD-WAN, ZTNA, IPS/IDS intégré
FortiSwitch Commutateurs managés intégrés Fortinet Security Fabric
FortiAP Access Points gérés par FortiGate
FortiAnalyzer SIEM/Logs centralisés
FortiManager Gestion centralisée des FortiGates
FortiSandbox Analyse sandbox (malwares)
FortiEDR Endpoint Detection & Response
FortiSIEM SIEM complet
FortiSOAR Orchestration sécurité (SOAR)
FortiNAC Network Access Control
FortiToken Authentification MFA (TOTP)
FortiAuthenticator Serveur d'authentification centralisé
FortiProxy Proxy sécurisé web/email
FortiMail Gateway email sécurisée
FortiWeb WAF
FortiDDoS Protection DDoS
FortiCloud Management cloud

Security Fabric : Intégration native de tous les produits Fortinet, partage automatique des IOC.

FortiGate gammes :

Série Usage
FG-40F/60F SMB / Home office
FG-100F/200F Branches
FG-400F/600F Entreprises moyennes
FG-1000F/2000E Grandes entreprises
FG-3400E/3600E Datacenters / SP
FG-4000F/7000F SP Core / Hyperscale
FGT-VM Virtual FortiGate (VMware, KVM, Azure, AWS)

4.3 Palo Alto Networks

Produit Description
PA-Series Hardware NGFW (App-ID, User-ID, Content-ID)
VM-Series Virtual NGFW (cloud, hyperviseur)
CN-Series Container NGFW (Kubernetes)
Panorama Gestion centralisée
Prisma Access SASE cloud (SSE + SD-WAN)
Prisma Cloud Cloud Security Posture Management (CSPM)
Cortex XDR Extended Detection & Response
Cortex XSOAR Orchestration sécurité
WildFire Sandboxing cloud malware

4.4 Autres constructeurs majeurs

Commutation / Routage

Marque Produits notables Points forts
Aruba (HP) CX 6000/8000, AOS-CX Campus, Wi-Fi, OSPF/BGP, VSX
Juniper EX series (switch), MX series (routeur), SRX (firewall) Junos OS, SR, MPLS SP
Nokia (Alcatel-Lucent) SR-Linux, SR-OS, 7750 SR SP routing, Segment Routing
Huawei CloudEngine, NetEngine Datacenter, SP
Arista 7000 series Datacenter, EOS, OpenConfig
Extreme Networks ExtremeSwitching, ExtremeCloud Campus, Wi-Fi
Brocade / Broadcom ICX Series Campus/Datacenter
Dell / EMC PowerSwitch Datacenter Open Networking

Sécurité

Marque Produits notables
Check Point Quantum NGFW, CloudGuard, Harmony
SonicWall TZ series, NSA, NSsp
Sophos XG/XGS Firewall, UTM
WatchGuard Firebox
Barracuda CloudGen Firewall, WAF
Zscaler ZIA (Secure Web GW cloud), ZPA (ZTNA)
CrowdStrike Falcon EDR/XDR (endpoint)
SentinelOne Singularity EDR/XDR
Darktrace IA anomaly detection
Vectra NDR (réseau), IA
Tenable Nessus, Tenable.io (scanner vulnérabilités)
Qualys VMDR (vulnerability management)
Rapid7 InsightVM, Metasploit

Wireless

Marque Produits notables
Aruba (HP) AP-500/600 series, ArubaOS, ClearPass (NAC)
Ubiquiti (UniFi) UniFi APs, Dream Machine, USG
Meraki (Cisco) Cloud-managed, facile déploiement
Ruckus (CommScope) Ruckus One, BeamFlex antenne
Extreme (Aerohive) ExtremeCloud IQ

🔐 PARTIE 5 — CYBERSÉCURITÉ RÉSEAU

5.1 Attaques courantes couche 2

Attaque Description Contre-mesure
MAC Flooding Saturer CAM table → switch en mode hub Port Security
VLAN Hopping (Switch Spoofing) Se faire passer pour un switch pour accéder à tous VLANs Désactiver DTP, mode access explicite
VLAN Hopping (Double Tagging) Double encapsulation 802.1Q → accès VLAN natif Changer VLAN natif (pas VLAN 1)
ARP Spoofing/Poisoning Fausses réponses ARP → MITM Dynamic ARP Inspection (DAI)
DHCP Starvation Épuiser le pool DHCP avec faux MACs DHCP Snooping
DHCP Spoofing Faux serveur DHCP → mauvaise gateway DHCP Snooping (trusted ports)
STP Attack Annonce priorité inférieure → devenir Root Bridge BPDU Guard, Root Guard
CDP/LLDP Recon Collecte infos équipements via CDP Désactiver CDP sur ports edge

5.2 Attaques couche 3-4

Attaque Description Contre-mesure
IP Spoofing Falsifier l'IP source uRPF, ACL, BCP38
ICMP Flood Flood ping → DoS Rate limiting ICMP, ACL
TCP SYN Flood Remplir la table de connexions TCP SYN cookies, rate limiting
UDP Flood Flood UDP vers ports aléatoires Filtrage, rate limiting
BGP Hijacking Annonce de préfixes volés RPKI, BGPsec
Route Injection Injection de fausses routes Authentification protocoles (MD5/SHA)
Smurf Attack ICMP broadcast amplifié Désactiver directed broadcast

5.3 Frameworks et normes sécurité

Frameworks

Framework Origine Usage
MITRE ATT&CK MITRE Tactiques et techniques attaquants
MITRE D3FEND MITRE Contre-mesures défensives
NIST CSF NIST Identify/Protect/Detect/Respond/Recover
ISO 27001 ISO SMSI, certification sécurité
CIS Controls CIS 18 contrôles prioritaires
OWASP OWASP Sécurité applicative web
PTES PTES Pentest méthodologie
OSSTMM ISECOM Tests sécurité

Certifications sécurité (hors Cisco)

Certification Organisme Niveau
CompTIA Security+ CompTIA Débutant
CEH (Certified Ethical Hacker) EC-Council Intermédiaire
OSCP (Offensive Security) Offensive Security Avancé (pentest)
CISSP ISC² Expert (management)
CISM ISACA Management sécurité
PNPT TCM Security Intermédiaire

☁️ PARTIE 6 — CLOUD & VIRTUALISATION

6.1 Virtualisation réseau

Hyperviseurs

Type Description Exemples
Type 1 (Bare metal) Directement sur hardware VMware ESXi, Hyper-V, KVM, Xen
Type 2 (Hosted) Sur OS hôte VirtualBox, VMware Workstation

VMware NSX (vSphere networking)

  • vSwitch (vSS) : Switch virtuel standard
  • Distributed vSwitch (vDS) : Switch distribué sur tout cluster vSphere
  • NSX-T / NSX 4.x : Virtualisation réseau complète (overlay GENEVE)
  • Microsegmentation : Firewall distribué entre VMs

Networking Kubernetes / Containers

  • CNI (Container Network Interface) : Standard réseau containers
  • Calico : CNI L3, politiques réseau (eBGP)
  • Flannel : CNI overlay VXLAN simple
  • Cilium : CNI basé eBPF, haute performance
  • Weave : CNI mesh overlay
  • Multus : Multiple interfaces CNI
  • Service Mesh : Istio, Linkerd (mTLS inter-pods)

6.2 Cloud providers — Networking

AWS Networking

Service Description
VPC Virtual Private Cloud (réseau isolé)
Subnet Sous-réseau dans VPC
Security Group Firewall stateful (instance level)
NACL ACL stateless (subnet level)
Internet Gateway Accès Internet depuis VPC
NAT Gateway Sortie Internet pour subnets privés
Transit Gateway Hub inter-VPC et VPN
Direct Connect Connexion physique dédiée AWS
Route 53 DNS managé AWS
CloudFront CDN AWS
ELB/ALB/NLB Load Balancer L4/L7
VPN Gateway IPsec site-to-site
PrivateLink Accès privé aux services AWS

Azure Networking

Service Description
VNet Virtual Network
NSG Network Security Group
Azure Firewall NGFW managé
Application Gateway WAF + LB L7
ExpressRoute Connexion dédiée (Direct Connect équiv.)
Azure DNS DNS managé
Azure CDN CDN
Virtual WAN SD-WAN cloud Azure
Azure Bastion Accès SSH/RDP sécurisé sans IP publique

GCP Networking

Service Description
VPC Réseau global (pas par région)
Cloud Armor DDoS protection + WAF
Cloud Load Balancing L4/L7 load balancer
Cloud DNS DNS managé
Cloud CDN CDN
Cloud Interconnect Connexion dédiée
Cloud VPN IPsec managé

🏭 PARTIE 7 — RÉSEAUX INDUSTRIELS (OT/ICS)

7.1 Protocoles industriels

Protocole Couche Usage
Modbus RTU/TCP L2/L7 SCADA, automates (PLC) — Standard universel
DNP3 L2-L7 SCADA eau/énergie (Amérique du Nord)
PROFIBUS L1-L7 Automation usine (Siemens)
PROFINET L2 Automation temps réel Ethernet
EtherCAT L2 Automation haute vitesse (Beckhoff)
EtherNet/IP L7 (TCP/UDP) Allen-Bradley / Rockwell
OPC UA L7 Interopérabilité industrie 4.0
BACnet L7 Bâtiments intelligents (HVAC)
KNX L1-L7 Domotique / bâtiment
IEC 61850 L7 Postes électriques, smart grid
IEC 60870-5-104 L7 SCADA énergie (Europe)
LonWorks L1-L7 Bâtiments, transports
HART L1-L2 Capteurs industriels (4-20mA + numérique)
WirelessHART L1-L2 HART sans fil
ISA100.11a L1-L2 Wireless industriel ISA standard
IO-Link L1-L2 Communication capteur/actionneur

7.2 Architecture ICS (Purdue Model)

Niveau 5 : Enterprise Network (ERP, Business)
Niveau 4 : Site Business Planning (Historisation, MES)
─────────── DMZ industrielle ───────────
Niveau 3 : Site Operations (SCADA, Historian)
Niveau 2 : Area Control (DCS, HMI)
Niveau 1 : Basic Control (PLCs, RTUs)
Niveau 0 : Physical Process (Capteurs, actionneurs)

7.3 Marques industrielles

Marque Produits
Siemens SIMATIC S7 PLC, TIA Portal, PROFINET
Rockwell / Allen-Bradley ControlLogix, EtherNet/IP
Schneider Electric Modicon PLC, EcoStruxure
ABB AC500 PLC, 800xA DCS
Beckhoff EtherCAT, TwinCAT
Honeywell Experion DCS
Emerson DeltaV DCS
GE / General Electric Mark VIe
Phoenix Contact Automates, IoT industriel
Moxa Industrial networking (switch, serial converter)
Hirschmann (Belden) Industrial Ethernet switches
Cisco IE Industrial Ethernet switches

📡 PARTIE 8 — TECHNOLOGIES SANS FIL ÉTENDUES

8.1 LPWAN (Low Power Wide Area Network)

Technologie Portée Débit Fréquence Usage
LoRaWAN 2-15 km 0.3-50 kbps 868 MHz (EU) IoT, smart city, agriculture
Sigfox 10-50 km 100 bps 868 MHz Ultra low power IoT
NB-IoT Cellulaire ~250 kbps LTE bands IoT cellulaire (opérateurs)
LTE-M Cellulaire ~1 Mbps LTE bands IoT mobile
Weightless 5-10 km 200 kbps Sub-1 GHz IoT
DASH7 0.1-5 km 167 kbps 433/868/915 MHz Logistique

8.2 PAN (Personal Area Network)

Technologie Portée Débit Fréquence Usage
Bluetooth Classic 10-100 m 3 Mbps 2.4 GHz Audio, périphériques
Bluetooth LE (BLE) 10-300 m 2 Mbps 2.4 GHz IoT, wearables, beacon
Bluetooth 5.x Jusqu'à 400 m 2 Mbps 2.4 GHz IoT longue portée
Zigbee 10-100 m 250 kbps 2.4 GHz Domotique, smart energy
Z-Wave 30-100 m 100 kbps 868/908 MHz Domotique
Thread 10-50 m 250 kbps 2.4 GHz Domotique (Matter protocol)
Matter Thread/Wi-Fi/BLE Standard domotique unifié
NFC < 20 cm 424 kbps 13.56 MHz Paiement, badge
RFID 1 cm – 100 m Variable Variable Tracking, accès
UWB 10-30 m 27 Mbps 3-10 GHz Localisation précise, Apple
ANT+ 30 m 1 Mbps 2.4 GHz Sport, fitness

8.3 Réseaux cellulaires

Génération Standard Débit pic Technologie
2G GSM / GPRS / EDGE 384 kbps TDMA/FDMA
3G UMTS / HSPA+ 42 Mbps CDMA/WCDMA
4G LTE / LTE-A 1 Gbps OFDMA
5G NR (New Radio) 20 Gbps mmWave, mMIMO, OFDM
5G SA Standalone 20 Gbps Cloud-native core

🗄️ PARTIE 9 — DATACENTER & STOCKAGE

9.1 Protocoles de stockage réseau

Protocole Transport Vitesse Usage
iSCSI TCP/IP Ethernet 1G-100G SAN sur Ethernet standard
Fibre Channel (FC) FC Protocol 16/32/64 Gbps SAN dédié haute perf
FCoE Ethernet 10G-40G FC sur Ethernet (10G+)
NVMe-oF (TCP) TCP/IP 25G-100G+ Flash NVMe sur réseau
NVMe-oF (RDMA/RoCE) RDMA over Ethernet 25G-400G Latence ultra-faible
NFS v3/v4 TCP/UDP Variable NAS partagé Linux/Unix
SMB3 TCP Variable NAS Windows
Ceph TCP Variable Object/Block/File distribué
GlusterFS TCP Variable File système distribué

9.2 Constructeurs stockage

Marque Produits
NetApp ONTAP, AFF (Flash), FAS (Hybride)
Dell EMC PowerStore, PowerMax, Unity XT
Pure Storage FlashArray, FlashBlade
HPE Primera, Nimble, 3PAR
IBM FlashSystem
Hitachi Vantara VSP series
Nutanix HCI (Hyper-Converged), AOS, AHV
VMware vSAN HCI software-defined storage

💻 PARTIE 10 — SYSTÈMES D'EXPLOITATION RÉSEAU

10.1 Cisco IOS — Commandes essentielles

Modes de configuration

Router>              # Mode utilisateur (EXEC)
Router#              # Mode privilégié (enable)
Router(config)#      # Mode configuration globale
Router(config-if)#   # Mode interface
Router(config-router)# # Mode routage

Commandes de base indispensables

# Identification
show version                     # Version IOS, mémoire, interfaces
show running-config              # Configuration active
show startup-config              # Configuration en NVRAM
show ip interface brief          # État résumé des interfaces
show interfaces Gi0/0            # Détails d'une interface
show ip route                    # Table de routage
show ip protocols                # Protocoles de routage actifs
show cdp neighbors detail        # Voisins CDP avec détails

# VLAN / Switching
show vlan brief                  # Liste des VLANs
show interfaces trunk            # Ports trunk actifs
show mac address-table           # Table MAC
show spanning-tree               # État STP

# Routage
show ip ospf neighbor            # Voisins OSPF
show ip eigrp neighbors          # Voisins EIGRP
show bgp summary                 # Résumé BGP

# Sécurité
show ip access-lists             # ACLs configurées
show port-security               # Port security status
show ip dhcp snooping binding    # Table DHCP snooping

# Diagnostic
ping 8.8.8.8                     # Test connectivité
traceroute 8.8.8.8               # Chemin réseau
debug ip ospf events             # Debug OSPF (attention en prod!)

Configuration SSH sécurisé

hostname Router1
ip domain-name lab.local
crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 4
  transport input ssh
  login local
  exec-timeout 10 0
username admin privilege 15 secret Str0ng!Pass

10.2 Autres OS réseau

OS Constructeur CLI Particularités
IOS / IOS-XE Cisco Cisco IOS Standard campus/branch
IOS-XR Cisco XR style SP routing, ASR9k, NCS
NX-OS Cisco NX-OS style Datacenter, Nexus
Junos Juniper Junos (set/delete) Single codebase, rollback
EOS Arista EOS (Linux-based) Datacenter, OpenConfig
AOS-CX Aruba AOS-CX Campus enterprise
ExtremeXOS Extreme Campus
FortiOS Fortinet FortiOS Sécurité
PAN-OS Palo Alto Sécurité NGFW
VyOS Open source VyOS Routeur virtuel open
pfSense Netgate pfSense Firewall open source
OPNsense Deciso Firewall open source fork pfSense
FRR (FRRouting) Linux vtysh BGP/OSPF Linux natif

🛠️ PARTIE 11 — OUTILS & DIAGNOSTIC

11.1 Outils de diagnostic réseau

CLI Linux / Windows

# Connectivité
ping -c 4 8.8.8.8
traceroute 8.8.8.8          # Linux
tracert 8.8.8.8             # Windows
mtr 8.8.8.8                 # Traceroute + ping combiné (Linux)

# DNS
nslookup google.com
dig google.com A
dig google.com MX
dig @8.8.8.8 google.com

# Interfaces / Routes
ip addr show                # Linux (ifconfig deprecated)
ip route show
netstat -tulnp
ss -tulnp                   # Remplace netstat

# Capture de trafic
tcpdump -i eth0 -n host 8.8.8.8
tcpdump -i eth0 port 80 -w capture.pcap

# Scan réseau
nmap -sn 192.168.1.0/24     # Ping scan (host discovery)
nmap -sV -p 22,80,443 host  # Version detection
nmap -A target              # Aggressive scan

Outils graphiques

Outil Usage
Wireshark Capture et analyse de trafic réseau (GUI)
GNS3 Émulation réseau (Cisco IOS, Junos, etc.)
EVE-NG Émulation réseau (compatible cloud)
Cisco Packet Tracer Simulateur réseau (formation CCNA)
NetBox IPAM / DCIM open source
PRTG Monitoring réseau (Windows)
Zabbix Monitoring open source
Nagios / Icinga Monitoring open source
Grafana + InfluxDB Dashboard métriques
Elastic Stack (ELK) SIEM, analyse logs
Splunk SIEM commercial

Outils sécurité réseau

Outil Usage
Nmap Scan réseau / découverte
Metasploit Framework exploitation
Burp Suite Proxy interception HTTP, pentest web
Wireshark Analyse trafic
Aircrack-ng Audit Wi-Fi
Hashcat Cracking de hashes
John the Ripper Cracking de mots de passe
Hydra Brute force login
Nikto Scanner vulnérabilités web
OpenVAS / Greenbone Scanner vulnérabilités réseau
Snort IDS/IPS open source
Suricata IDS/IPS open source (multithread)
Zeek (Bro) Analyse trafic réseau (NSM)
Maltego OSINT / graphe de relations
Shodan Moteur de recherche équipements exposés

📋 PARTIE 12 — RESSOURCES D'APPRENTISSAGE

12.1 Préparation CCNA

Plateformes officielles

  • Cisco Netacad : Cours CCNA officiels gratuits (netacad.com)
  • Cisco Learning Network : Forums, study groups, practice exams
  • Cisco Packet Tracer : Simulateur officiel gratuit

Livres recommandés

  • Todd Lammle : CCNA Cisco Certified Network Associate Study Guide
  • Wendell Odom : CCNA 200-301 Official Cert Guide (2 volumes) — Le plus complet
  • Jeremy Cipoletti (Jeremy's IT Labs) : YouTube + Anki flashcards (gratuit)

Plateformes de pratique

  • Boson ExSim : Examens blancs de qualité (payant)
  • CBT Nuggets : Vidéos formation (payant)
  • Udemy (David Bombal, Jeremy) : Cours vidéo abordables
  • INE : Formations réseau/sécu (free tier disponible)
  • GNS3 / EVE-NG : Labo virtuel

12.2 Chemin de certification complet

Phase 1 : Fondations (0-6 mois)

✓ Modèles OSI / TCP-IP
✓ Subnetting (IPv4 + IPv6)
✓ Ethernet & Switching basique
✓ VLANs, STP
✓ Routage statique
✓ OSPF single-area
✓ DHCP, DNS, NAT
✓ ACL, sécurité basique
✓ Wi-Fi fondamentaux
→ EXAMEN : CCNA 200-301

Phase 2 : Enterprise Core (6-18 mois)

✓ OSPF multi-area
✓ EIGRP named mode
✓ BGP fondamentaux
✓ MPLS basique
✓ VRF-Lite
✓ QoS MQC
✓ FHRP (HSRP/VRRP/GLBP)
✓ SD-Access introduction
✓ Automatisation (Python, Ansible)
→ EXAMEN : ENCOR 350-401

Phase 3 : Concentration (18-24 mois)

Choisir une voie :
✓ ENARSI (Routage avancé) → 300-410
ou
✓ ENWLSD (Wireless Design) → 300-420
ou
✓ ENSLD (Design Enterprise) → 300-420
→ CERTIFICATION : CCNP Enterprise

Phase 4 : CCIE (24-48+ mois)

✓ Maîtrise totale ENCOR + concentration
✓ Labo intensif (8h d'exam)
✓ Pratique quotidienne sur EVE-NG / physique
✓ Bootcamps CCIE (INE, Narbik, IPExpert)
→ EXAMEN : CCIE Written + Lab

12.3 Autres certifications complémentaires (parcours cybersécurité)

CCNA (200-301)
    ↓
CompTIA Security+        ← Base sécurité universelle
    ↓
Cisco CyberOps Associate ← SOC/SIEM orientation
    ↓
CCNP Security (350-701 SCOR + concentration)
    ↓
CCIE Security

🔖 ANNEXES

Annexe A — Ports TCP/UDP à connaître

Port Protocole TCP/UDP Description
20 FTP-DATA TCP FTP transfert données
21 FTP TCP FTP contrôle
22 SSH TCP Shell sécurisé, SCP, SFTP
23 Telnet TCP Shell non chiffré (obsolète)
25 SMTP TCP Envoi email
53 DNS TCP/UDP Résolution noms
67/68 DHCP UDP Attribution IP (server/client)
69 TFTP UDP Transfert fichiers léger
80 HTTP TCP Web non chiffré
110 POP3 TCP Réception email
123 NTP UDP Synchronisation temps
143 IMAP TCP Réception email
161/162 SNMP UDP Monitoring (get/trap)
179 BGP TCP Routage inter-AS
389 LDAP TCP Annuaire
443 HTTPS TCP Web chiffré (TLS)
445 SMB TCP Partage fichiers Windows
500 IKE/ISAKMP UDP Négociation IPsec
514 Syslog UDP Logs centralisés
636 LDAPS TCP LDAP over TLS
830 NETCONF TCP Gestion réseau XML/YANG
1194 OpenVPN UDP/TCP VPN open source
1433 MSSQL TCP Microsoft SQL Server
1521 Oracle DB TCP Oracle Database
1701 L2TP UDP VPN L2TP
1723 PPTP TCP VPN PPTP (obsolète)
3306 MySQL TCP MySQL Database
3389 RDP TCP Bureau à distance Windows
4789 VXLAN UDP Overlay datacenter
5060/5061 SIP UDP/TCP VoIP signalisation
5432 PostgreSQL TCP PostgreSQL Database
8080 HTTP-alt TCP Proxy / admin HTTP
8443 HTTPS-alt TCP Admin HTTPS
51820 WireGuard UDP VPN moderne

Annexe B — Acronymes essentiels

Acronyme Signification
ACL Access Control List
AP Access Point
ARP Address Resolution Protocol
BGP Border Gateway Protocol
CAM Content Addressable Memory
CDP Cisco Discovery Protocol
CIDR Classless Inter-Domain Routing
DHCP Dynamic Host Configuration Protocol
DMVPN Dynamic Multipoint VPN
DNS Domain Name System
DSCP Differentiated Services Code Point
EIGRP Enhanced Interior Gateway Routing Protocol
ESP Encapsulating Security Payload
EVPN Ethernet Virtual Private Network
FCS Frame Check Sequence
FHRP First Hop Redundancy Protocol
FTD Firepower Threat Defense
GRE Generic Routing Encapsulation
HSRP Hot Standby Router Protocol
IDS Intrusion Detection System
IGP Interior Gateway Protocol
IKE Internet Key Exchange
IPS Intrusion Prevention System
IPsec IP Security
ISE Identity Services Engine
L2TP Layer 2 Tunneling Protocol
LACP Link Aggregation Control Protocol
LDAP Lightweight Directory Access Protocol
LDP Label Distribution Protocol
LLDP Link Layer Discovery Protocol
LSA Link State Advertisement
LSP Label Switched Path
MED Multi-Exit Discriminator
MPLS Multiprotocol Label Switching
MTU Maximum Transmission Unit
NAC Network Access Control
NAT Network Address Translation
NETCONF Network Configuration Protocol
NGFW Next-Generation Firewall
NTP Network Time Protocol
OSPF Open Shortest Path First
PAT Port Address Translation
PoE Power over Ethernet
QoS Quality of Service
RADIUS Remote Authentication Dial-In User Service
RSTP Rapid Spanning Tree Protocol
SASE Secure Access Service Edge
SDN Software-Defined Networking
SIEM Security Information and Event Management
SLA Service Level Agreement
SMB Server Message Block
SNMP Simple Network Management Protocol
SOC Security Operations Center
SPF Sender Policy Framework / Shortest Path First
SSH Secure Shell
STP Spanning Tree Protocol
TACACS+ Terminal Access Controller Access-Control System
TLS Transport Layer Security
VLAN Virtual Local Area Network
VPN Virtual Private Network
VRF Virtual Routing and Forwarding
VRRP Virtual Router Redundancy Protocol
VXLAN Virtual Extensible LAN
WAF Web Application Firewall
WLC Wireless LAN Controller
YANG Yet Another Next Generation (data model)
ZTNA Zero Trust Network Access

Document généré pour préparation CCNA → CCIE — Mise à jour Mai 2026 Tags Obsidian : #networking #cisco #ccna #ccnp #ccie #security #datacenter #cloud #wireless #iot