Documente Academic
Documente Profesional
Documente Cultură
+ = avec
Min
IGRP
B
B
7
10
=
B
MIN
(unit Kbits/s)est la bande passante dfinie par le paramtre bandwidth des lignes sries (par dfaut
B
MIN
=1544 Kbits/s)
D
IGRP
(en multiple de 10 s) est la somme des dlais de tous segments traverss. Modifiable par la
commande Delay de configuration dinterface.
R=reliability est le taux de fiabilit cod sur 1 octet de 0 255
L est la charge mesure par IGRP code galement sur un octet.
IUT Grenoble - Dpartement RT 14 / 30
Travaux pratiques routage
4 - Elments sur la stabilit
Le temps de maintien
IGRP fournit un certain nombre dlments visant amliorer sa stabilit. Ceci inclus le maintien de route, le
clivage dhorizon, et les mise jour avec empoisonnement de route (poison reverse updates)
Le mcanisme de maintien (Holddown) est utilis pour empcher des messages de mise jour rguliers de rinstaller
une route devenue invalide.
Quand un routeur cesse de fonctionner, les routeurs voisins dtectent cela par un manque de rgularit des messages
de mise jour. Ces routeurs calculent alors de nouvelles routes et envoient des mises jour de routage pour informer
leurs propres voisins des changements.
Cette activit dclenche un flot de messages dclenchs de mise jour qui se propagent sur le rseau. Ces messages
dclenchs natteignent pas instantanment chaque nud du rseau. Ainsi, il est possible quun matriel qui n'a pas
t encore inform dun problme sur le rseau reoive un message de mise jour rgulier linformant dune route
dune route prtendument valide vers un nud qui en fait est en dfaut
Dans cette situation, ce matriel contient et ventuellement diffuse une information de routage incorrecte
Le mcanisme de maintien indique aux routeurs d ignorer les changements affectant une route pendant un certain
temps. La dure de maintien est habituellement calcule pour tre juste suprieure au temps ncessaire pour que
lensemble du rseau soit averti dun changement de topologie
Le clivage dhorizon
Le clivage dhorizon repose sur le principe selon lequel il est inutile d envoyer de linformation au sujet dune route
dans la direction depuis laquelle elle est venue. La figure ci dessous illustre cette rgle.
R2
Rseau A Rseau B
R1
Le routeur R1 prvient quil a une route vers le rseau A. Il ny a aucune raison pour le routeur R2 dinclure cette
route dans les mises jour quil enverra R1 car R1 est plus prs du rseau A
La rgle de clivage dhorizon dit que R2 doit supprimer cette route de toute information de mise jour quil envoie
R1. La rgle de clivage dhorizon aide prvenir les boucles de routage.
Considrons par exemple le cas dans lequel linterface vers le rseau A du routeur R1 tombe en panne. Sans clivage
dhorizon, R2 informe R1 quil connat une route vers le rseau A. Si R1 ne se mfie pas, il va considrer R2 comme
une route de secours vers le rseau A en remplacement de son propre accs direct, causant ainsi une boucle de
routage.
Bien que le mcanisme de maintien doive en principe empcher cela, le clivage dhorizon est implment dans IGRP
parce quil accrot la stabilit de lalgorithme
Empoisonnement de route
Le clivage dhorizon permet dempcher les boucles de routage entre routeurs adjacents, mais les mises jour avec
empoisonnement de routes sont ncessaires pour empcher des boucles de routage plus vastes. Laccroissement des
mtriques de routages indique gnralement la prsence de boucles de routage.
Des mises jour avec empoisonnement de routes sont envoyes pour invalider la route dans ce cas, cest dire que la
route est indique avec une mtrique infinie. Dans IGRP, des routes empoisonnes sont envoyes si la mtrique reue
augmente dun facteur 1,1 ou plus par rapport la mtrique de la route prsente dans la table de routage.
Annexe 3 - OSPF
OSPF est un protocole de routage dvelopp par lIETF pour des rseaux de taille moyenne (jusqu 500 routeurs).
Dans cette configuration chaque routeur doit entrer en relation avec ses voisins, dterminer le cot vers ceux-ci et
construire un LSP( link state packet). Le LSP est transmis tous les routeurs qui disposent ainsi dune base
dinformation sur lensemble du rseau. Chaque routeur partir de la connaissance du rseau maill calcule les routes
vers chaque destination et tablit un arbre de distribution selon lalgorithme de recherche SPF (shortest Path Find).
Comme la taille du rseau peut tre importante et que la quantit de ressource alloues sur le routeur pour les calculs
(mmoire, temps CPU) est proportionnelle la taille, OSPF met le plus souvent en uvre un routage hirarchique. Ce
dernier consiste dcouper le rseau en aires relies une aire centrale ( le Backbone). Ainsi les routeurs ne calculent
IUT Grenoble - Dpartement RT 15 / 30
Travaux pratiques routage
plus que les routes propres leur zone. Le reste du rseau tant rsum en une route par dfaut. Les aires sont relies
entre elles par des routeurs frontire : les ABR 5 Area border Router).
1 - Fonctionnement approfondi (A lire avant le TP)
OSPF est un protocole tats de liens. Un lien peut tre dfini comme une interface de routeur. Ltat de ce lien est
une description de linterface et de ses relations avec les routeurs voisins. Cette description comprendra par exemple
ladresse IP le masque , le type de rseau auquel linterface est connecte, les routeurs connects ce rseau
Lensemble des informations sur les liens constitue la base de donnes des tats de liens (Link State Data Base)
OSPF utilise un algorithme tats de liens pour construire le chemin le plus court vers toutes les destinations connues
A linitialisation ou chaque changement de linformation de routage, un routeur va gnrer un LSA (link
State Advertisement). Ce LSA contient lensemble des liens du routeur.
Tous les routeurs changent les LSA en mode inondation. Chaque routeur qui reoit un LSA en garde une
copie et doit le propager ces voisins.
Lorsque la base de donne de chaque routeur est complte, le routeur calcule le chemin le plus court vers
toutes les destinations (Algorithme de Dijkstra ). La table de routage est alors complte.
2 - Mtrique
Le cot dune lien est dfini par :
Bandwith
C
10
8
=
Ainsi la travers dun lien 10 Mbps Ethernet sera associe un cot de 10.
3 - Aires et ABRs
Comme mentionn plus haut, OSPF utilise le mode inondation pour changer les mises jour entre routeurs. Tous
changement dans linformation de routage est propag tous les routeurs. Les aires sont introduites pour limiter ce
fonctionnement un domaine restreint. Linondation et le calcul de plus court chemin sont limits lintrieur de
laire. Les aires sont connectes la dorsale (Backbone) par des routeurs frontires, les ABR (Area border Routers) .
AREA 1
AREA 2
AREA 3
Dorsale AREA 0
Systme Autonome 100
Systme Autonome 120
4 - Les LSA (link state advertisements)
Il existe diffrents types de LSA, que lon retrouve ensuite dans les bases de donnes OSPF. Les diffrents types de
LSP sont illustrs ci-dessous et obissent des rgles de propagation diffrentes.
Les liens routeurs (Router links) sont une indication de ltat des interfaces dun routeur. Ce type de LSP est gnr
par tous les routeurs.
Les liens dagrgations (Summary links) sont gnrs par les ABRs. Ils indiquent de manire rsume comment les
rseaux sont accessibles dans les diffrentes aires. Cet information est changes entre le backbone et les diffrentes
aires. Les ABRS doivent aussi indiquer les routes vers les ASBR (routeurs frontire vers les autres systmes
autonomes)
IUT Grenoble - Dpartement RT 16 / 30
Travaux pratiques routage
Les liens rseaux (Network links) sont gnrs par les routeurs dsigns (DR) sur un segment. Cette information
indique comment les routeurs sont relis dans le cas des rseaux accs multiple ( Ethernet par exemple)
Les liens externes (external links) indique les rseaux hors de lAS. Ces routes vers es rseaux sont injects dans
OSPF par redistribution au niveau des ASBR).
Router links
Summary links
Summary links
ASBR
External links
5 - Voisinage et adjacence.
Deux routeurs qui partagent un mme segment rseau deviennent voisins sous certaines conditions (mme aires,
authentification russie etc.). Les routeurs adjacents sont les routeurs qui procdent lchange des LSP et possdent
la mme base de donne. Les routeurs devient pleinement adjacents aprs de nombreuses tapes intermdiaires.
6 - Routes externes de type 1 ou 2
Les routes externes se divisent en deux catgories. Elles se distinguent par la faon dont la mtrique est calcule pour
chacune de ses routes. Le cot dune route de type 2 est le cot externe sans tenir compte du cot interne pour
rejoindre le rseau externe. Le cot dune route de type 2 est la somme du cot externe et du cot interne utilis pour
joindre cette route.
IUT Grenoble - Dpartement RT 17 / 30
Travaux pratiques routage
P Pa ar rt ti ie e B B T TR RA AN NS SL LA AT TI IO ON N D D' 'A AD DR RE ES SS SE E
I - Introduction
1 - Contexte
Il arrive frquemment qu'un rseau interne utilise des classes d'adresses prives, par exemple pour palier la pnurie de classes
d'adresses publiques. Les machines du rseau interne n'ayant pas d'adresse routable sur Internet, elles ne devraient en thorie
ne jamais pouvoir communiquer avec l'extrieur.
La solution ce problmes est la translation d'adresse (NAT : Network Address translation). En ralit, la NAT permet de
rsoudre de nombreux cas de figure diffrents:
L'puisement des adresses IP publiques :
Le rseau interne utilise des classes d'adresses prives non routables sur Internet. Les requtes vers l'extrieur sont alors prises
en charge par le routeur au nom des machines internes.
La fusion de rseaux qui utilisent des espaces d'adresse qui se recouvrent :
Si deux compagnies utilisent les classes d'adresses prives et que l'on doive fusionner leurs rseaux, il pourra s'avrer trs
coteux d'laborer un nouveau plan d'adressage. Dans une telle situation la NAT permet d'effectuer une traduction entre
rseaux dont les plages d'adresses se chevauchent.
L'quilibrage de charge :
Si plusieurs serveurs ralisent la mme fonction (service Web par ex.), la NAT peut tre utilise pour quilibrer le trafic entre
les diffrents serveurs. Vu des utilisateurs une seule adresse IP est utilise, le routeur se charge de redistribuer les requtes vers
les serveurs en partageant la charge de ces derniers.
2 - Terminologie NAT
Dans le cadre de la NAT, les rseaux peuvent tre de deux types : les rseaux internes et les rseaux externes. Les
rseaux internes sont des rseaux dont les adresses ne sont pas lgitimes, elles doivent tre traduites en des adresses lgitimes.
Les rseaux externes sont des rseaux dont les adresses IP sont considres comme lgitimes.
Les termes suivants sont utiliss :
Adresse interne locales: Ce sont des adresses IP des machines htes connectes sur le rseau interne. Ces adresses sont non
lgitimes et donc inconnues l'extrieur du rseau.
Adresse interne globales : Ce sont les adresses en lesquelles les adresses locales internes seront traduites. Ce sont les adresses
des machines, vu de lextrieur. Ces adresses doivent tre lgitimes. Bien souvent ce sera l'adresse du routeur cot rseau
externe.
Adresses externes locales : Ce sont les adresses des machines externes, vu du rseau interne.
Adresses externes globales : Ce sont les adresses ip des machines connectes l'extrieur du rseau. Ces adresses doivent
tre lgitimes.
Toutes ces notions ne sont pas systmatiquement appliques suivant le type de NAT utilis.
IUT Grenoble - Dpartement RT 18 / 30
Travaux pratiques routage
3 - Objectifs
Dans cette partie, nous allons considrer deux cas spcifiques :
- La translation de source (SNAT), utile pour raccorder un rseau interne l'extrieur et en particulier Internet
- La translation de destination (DNAT), pour permettre des machines externes d'accder aux serveurs du rseau
interne. Nous allons dmarrer un serveur WEB et un serveur FTP sur notre rseaux local (adresses prives) et
permettre aux machines externes daccder ces services.
II - Prliminaires
Le nouveau plan de rseau mettre en place est prsent ci-dessous.
Les rseaux en 10.X.X.X et 192.168.X.X sont maintenant considrs comme privs
LAB-A et LAB-H n'assurent pas le routage des plages d'adresses prives.
Chaque binme dispose de deux routeurs permettant l'interconnexion de deux LANs et leur raccordement Internet.
PC5A
152.77.65.179
LAB-A
152.77.65.176/28
S0/0
152.77.65.161
S0/1=DCE
152.77.65.165
E0/0
152.77.65.160/30
Tp Routage :
Schma gnral de cblage
Station : X.X.X.11
GW : X.X.X.1
FEDE
LAB-H
E0/0
S0/1/0=DCE
152.77.65.173
S0/0/0
152.77.65.169
152.77.65.177
152.77.65.178
152.77.65.168/30
152.77.65.172/30
152.77.65.164/30
PC5B
152.77.65.180
PC 1B
10.0.3.0/24
PC 1A
10.0.1.0/24
LAB-B
LAB-E
S0/0
10.0.2.1
S0/0=DCE
10.0.2.2
10.0.2.0/24
Groupe 1
LAN-B
PC 2A
10.0.4.0/24
LAB-C
LAB-F
S0/1
152.77.65.166/29
S0/0
10.0.5.1
E0/0
10.0.5.0/24
LAN-C
PC 2B
10.0.6.0/24
S0/0=DCE
10.0.5.2
PC 3A
192.168.1.0/24
LAB-D
LAB-G
S0/1=DCE
152.77.65.170
S0/0
192.168.2.1
192.168.2.0/24
Groupe 3
LAN-D
PC 3B
E0/0
S0/0=DCE
192.168.2.2
E0/0
E0/0
E0/0
S0/1=DCE
152.77.65.162
E0/0
LAN-G
192.168.3.0/24
PC 4A
192.168.4.0/24
LAB-I
LAB-J
S0/1
152.77.65.174
S0/0
192.168.5.1
192.168.5.0/24
LAN-I
PC 4B
E0/0
S0/0=DCE
192.168.5.2
E0/0
LAN-J
192.168.6.0/24
LAN-F
LAN-E
IUT
FE0/1
152.77.65.222
152.77.65.192/26
152.77.65.254
Groupe 2
Groupe 4
FEDE 3
FEDE 4
FEDE 2
FEDE 1
Les routeurs LAB-B, LAB-C, LAB-D et LAB-I devront donc prendre en charge la translation d'adresse des
rseaux internes vers leur adresse publique.
CONFIGURER TOUS LES ROUTEURS SAUF LAB-A et LAB-H avec un protocole de routage simple
(RIP). Chaque binme est responsable de deux routeurs conformment au schma. Les rseaux internes
sont privs. On ne publie pas les rseaux publics vers lintrieur !
Configurer LAB-A (route par dfaut et routes vers FEDE 3 et FEDE 4.
Configurer LAB-H (route par dfaut vers LAB-A)
. FAIRE VERIFIER.
IUT Grenoble - Dpartement RT 19 / 30
Travaux pratiques routage
III - Translation d'adresse source
Cette opration est trs simple, il faut
- Prciser quelle interface appartient au rseau externe.
- Prciser quelle interface appartient au rseau interne.
- Dresser une liste des plages d'adresses translater.
- Activer la translation d'adresses.
Nous allons traiter l'exemple du routeur LAB-B :
Un rseau public externe est matrialis par les postes PC5A et PC5B :
Interface
externe Interface
interne
Interface
Interne
NAT
10.0.3.0
10.0.2.0/24
10.0.1.0/24
PC 5B
152.77.65.176./28
E0/1
PC 5A
LAB-A
Rseau priv Rseau public
LAB-H
LAB-B
10.0.2.0/24
NAT
LAB-B#conf t
LAB-B(config)#int serial 0/1
LAB-B(config-if)#ip nat outside Dclare l'interface Serial 0/1 comme externe :
LAB-B(config)#int fastEthernet 0/0
LAB-B(config-if)#ip nat inside Dclare l'interfaceEthernet 0/0 comme interne
LAB-B(config)#int serial 0/0
LAB-B(config-if)#ip nat inside Dclare l'interface serial 0/0 comme interne
Il faut maintenant dresser la liste des rseaux translater :
LAB-B(config)#access-list 1 permit 10.0.1.0 0.0.0.255 Autorise la translation du rseau 10.0.1.0
LAB-B(config)#access-list 1 permit 10.0.2.0 0.0.0.255 Etc .ou bien utiliser un masque mieux choisi
Rpter l'opration pour tous les sous-rseaux privs de votre rseau en les inscrivant dans la liste d'accs numro 1.
Attention, le masque rseau est remplac par un masque gnrique comme nous le verrons par la suite pour les listes
d'accs. Considrez simplement pour l'instant que les 0 et les 1 sont inverss dans le masque !
Enfin, activer la NAT par l'instruction suivante :
LAB-D(config)#ip nat inside source list 1 interface Serial0/1 overload
Effectuer quelques PING de l'intrieur vers l'extrieur. Pour vrifier que tout fonctionne.
Enfin on peut visualiser la table de translation d'adresses sur le routeur par la commande :
Routeur#show ip nat translations
Relever ici un exemple de ligne fournie par cette dernire commande :
Pro Inside global Inside local Outside local Outside global
. FAIRE VERIFIER.
IUT Grenoble - Dpartement RT 20 / 30
Travaux pratiques routage
IV - Translation d'adresse destination
Il s'agir maintenant de rsoudre le problme inverse : Comment autoriser les htes extrieurs communiquer avec une machine
interne au rseau et qui ne possde pas ce titre d'adresse globale externe ?
Considrons un routeur reli Internet avec une interface d'adresse publique et un rseau local avec une interface d'adresse
prive. Il vous suffit pour votre manipulation d'adapter le cas suivant :
Sur la machine serveur, dmarrer les serveurs WEB XITAMI. Ce petit serveur nous permettra de tester notre configuration
NAT.
Par exemple, sur le rseau du groupe 1 :
Interface
externe Interface
interne
Interface
Interne
NAT
10.0.3.0
10.0.2.0/24
10.0.1.0/24
PC 5B
152.77.65.176./28
E0/1
PC 5A
LAB-A
Rseau priv Rseau public
LAB-H
LAB-B
10.0.2.0/24
NAT
Serveur
Web
10.0.1.11
Les interfaces internes et externes ont dj t dfinies dans le paragraphe prcdent.
Il reste ouvrir l'accs aux serveurs du rseau interne depuis l'extrieur.
Nous allons dfinir un "pool" de machines ralisant la fonction de serveur web :
Routeur(config)#ip nat pool monserveur 10.0.1.11 10.0.1.11 netmask 255.255.255.0 type rotary
Notez bien que l'adresse du serveur est entre deux fois (il s'agit en fait d'une plage d'adresses et donc dans notre cas une seule
machine !)
Nous allons dfinir la liste des machines qui seront autorises se connecter sur ce serveur :
Routeur(config)#access-list 101 permit tcp any any eq 80
Enfin on active la translation d'adresses :
Routeur(config)#ip nat inside destination list 101 pool monserveur
C'est termin !!
Il reste vrifier que tout fonctionne bien.
C'est dire que les utilisateurs ont accs l'extrieur (Web DNS )
Et que les utilisateurs extrieurs ont accs votre serveur web. Pour cela, accdez au serveur WEB du rseau SERVEURS
depuis PC4A ou PC4B.
A l'aide de la commande sh ip nat translations, complter le tableau suivant par quelques exemples :
Pro Inside global Inside local Outside local Outside global
. FAIRE VERIFIER.
IUT Grenoble - Dpartement RT 21 / 30
Travaux pratiques routage
P Pa ar rt ti ie e C C L LI IS ST TE ES S D DE E C CO ON NT TR RO OL LE E D D' 'A AC CC CE ES S
I - Objectifs
Les routeurs sont chargs d'orienter le trafic en fonction de l'adresse IP. Ils sont amens pour cela examiner les
trames qu'ils collectent pour les rexpdier. Ils constituent donc l'emplacement idal pour assurer des fonctions de
scurit telles que le contrle des droits d'accs des rseaux en fonctions des adresses source et destination des
paquets.
Dans ce TP, nous allons voir comment crer des listes d'accs standard et tendues. Nous nous intresserons ici au
contrle du trafic IP mais les listes d'accs sont galement applicables d'autres protocoles comme IPX, AppleTalk
etc .
Pour implmenter correctement un mcanisme de contrle d'accs il faut :
Dterminer les exigences relatives aux listes mettre en place en fonction des besoins en matire scurit.
Crer la liste de contrle d'accs.
Appliquer la liste une interface du routeur.
S'assurer du bon fonctionnement de la liste de contrle d'accs.
II - Prliminaires
Avant dimplanter les listes daccs le rseau suivant doit tre oprationnel (un protocole de routage tel que RIP ou
IGRP sera implant).
Chaque groupe dispose de deux routeurs et de deux rseaux Ethernet conformment au schma suivant :
Rseau
daccs
FW
PCA
Serveur WEB
Serveur FTP
Rseau SERVEURS
Rseau USAGERS
PC 5B
152.77.65.176/28
LAB-A
E0/1
PC 5A
FW
dsigne suivant votre groupe le routeur LAB-B ou LAB-C ou LAB-D.
FW implmente dj des fonctions NAT dtailles dans la partie prcdente.
Le rseau SERVEURS dsigne suivant votre groupe le rseau LAN-B ou LAN-C LAN-D ou LAN-I.
ATTENTION, AVANT DE POURSUIVRE, LA TRANSLATION D'ADRESSE DOIT ETRE
OPERATIONNELLE.
Vous allez manipuler plusieurs access-lists dans cette partie. En aucun cas, il ne faut altrer celles qui
concernent la NAT.
III - Listes de contrle d'accs standard
Les listes d'accs standard peuvent contrler des paquets en fonctions de l'adresse IP source. Par consquent. Il faut
les placer sur le routeur le plus proche du rseau que l'on dsire protger.
IUT Grenoble - Dpartement RT 22 / 30
Travaux pratiques routage
Exemple (ne pas mettre en uvre)
On souhaite empcher le trafic IP en provenance de la machine PC5B d'accder au rseau LAN-C d'adresse rseau
10.0.4.0
La liste daccs sera cre sur le routeur LAB-C.
En mode de configuration globale, on cre une liste d'accs (numro 1)
Routeur(config)#access-list 2 deny host 152.77.65.180 refus de lhte
Routeur(config)#access-list 2 permit any Autorisation de tous les autres htes
Implicite : access-list 2 deny any rgle implicite toujours prsente en fin de liste
Routeur# show access-list. Contrle de la liste ainsi cre
Quel est lintrt de la deuxime rgle ?
Il faut ensuite associer cette liste une interface :
Routeur(config)#interface FastEthernet 0/0 Configuration de l'interface 0/0
Routeur(config-if)#ip access-group 2 out La liste d'accs N1 est associe l'interface en sortie
Remarque :
Les rgles de contrle d'accs sont traites squentiellement. Lorsqu'on ajoute une rgle, celle-ci se positionne donc
en dernire position. Il n'est pas possible d'insrer des commandes. Il faut dans ce cas liminer la liste d'accs et la
recrer en entier.
Mise en uvre
Interdisez lhte 152.77.65.180 laccs au rseau SERVEURS de votre groupe
Proposez les tests adquats et vrifiez le bon comportement de la liste de contrle daccs. Supprimer la liste
IV - Listes de contrle d'accs tendues
Les listes d'accs tendues offrent davantage de possibilits que les listes d'accs standard :
L'adresse source comme l'adresse destination peuvent tre contrles.
Il est possible de contrler le type de trafic (Numro de port sous IP, type de message ICMP)
Comme on peut tester l'adresse source, il est parfois prfrable de placer la liste d'accs au plus prs de la source des
requtes interdire afin d'viter que ces paquets n'encombrent inutilement le rseau.
Les listes d'accs tendues reoivent un numro de 100 199.
On souhaite empcher les requtes http en provenance de la machine PCB de votre groupe d'accder au rseau
SERVEURS de votre groupe.
Sur quel routeur et quelle interface doit-on associer la liste qui va tre cre ?
En mode de configuration globale. Crer une liste d'accs (numro 102).
Associer de la mme manire que prcdemment cette liste une interface.
Choisir des tests adquats et les mettre en uvre pour vrifier le bon fonctionnement de la liste de contrle
d'accs. (un serveur Web peut tre activ sur la machine PCA du rseau SERVEUR).
V - Mise en uvre des listes de contrle d'accs tendues pour l'accs FTP
Dtruire au pralable les listes prcdemment cres aux paragraphes III et IV et leurs associations des
interfaces SANS TOUCHER AUX LISTES QUI CONCERNENT LA TRANSLATION D'ADRESSE.
Vrifier que les serveurs WEB et FTP de votre rseau SERVEUR sont accessibles
Concevoir la liste d'accs qui rsulte de la politique de scurit suivante :
IUT Grenoble - Dpartement RT 23 / 30
Travaux pratiques routage
FW
Rseau SERVEURS
Rseau USAGERS
PC 1B
205.7.5.0/24
LAB-A
E0/1
PC 1A
Rseau
externe
Access-list 120
Place en sortie de
FastEthernet 0/0
Mettre en place la scurit interne pour les accs WEB et FTP depuis le rseau USAGERS.
Construire la liste 120 de manire que lextrieur et le rseau USAGERS ait accs au serveur WEB.
Complter la liste 120 de manire que le rseau USAGERS ait aussi accs au serveur FTP du rseau SERVEURS.
En cas de difficult, lancez un analyseur rseau sur les rseaux SERVEURS et USAGERS et tentez de trouver une
explication !
. FAIRE VERIFIER
(Optionnel en fonction du temps disponible) Si l'on s'en tient aux listes mises an places, les requtes DNS ne
fonctionnent sans soute plus, faire le ncessaire pour que la communication des diffrents postes avec le serveur DNS
de l'universit soit possible.
. FAIRE VERIFIER.
VI - Annexes
1 - Quelques Protocoles contrlables par access-list
Intervalle
IP 1 to 99
Extended IP 100 to 199
Ethernet type code 200 to 299
Ethernet address 700 to 799
AppleTalk 600 to 699
Source-route bridging (protocol type) 200 to 299
Source-route bridging (vendor code) 700 to 799
IPX 800 to 899
Extended IPX 900 to 999
IPX SAP 1000 to 1099
2 - access-list (IP standard)
!
LA NOTION DE MASQUE GENERIQUE UTILISEE POUR LA DEFINITION DES REGLES NEST PAS
EQUIVALENTE A CELLE DE MASQUE DE SOUS-RESEAU HABITUELLEMENT UTILISEE DANS LA
DEFINITION DES ADRESSES IP DE RESEAUX.
Pour dfinir une liste daccs IP standard, utiliser la version standard de la commande de configuration globale access-List.
access-list access-list-number {deny | permit} source [masque gnrique] [log]
no access-list access-list-number
Syntaxe
access-list-
number
Numro de la liste daccs. Nombre dcimal de 199 ou de 1300 1399.
IUT Grenoble - Dpartement RT 24 / 30
Travaux pratiques routage
deny Refuse laccs si la condition est vrifie
permit Autorise laccs si la condition est vrifie
source
Numro de rseau ou dhte depuis lequel le paquet est envoy.
Il existe deux mthodes pour spcifier la source
Utiliser une adresse IP sur 32 bits au format dcimal point.
Utiliser le mot cl any comme abrviation de la squence [source masque] 0.0.0.0
255.255.255.255
Masque
gnrique
(Optionnel) bits de masquage appliquer la source.
Chaque bit 0 indique que le bit correspondant dans ladresse IP du paquet doit correspondre
exactement au bit correspondant du champ source.
Chaque bit 1 indique que le bit correspondant dans ladresse IP du paquet nest pas pris en
compte dans le test de correspondance
Il existe deux mthodes pour spcifier le masque de source
Utiliser une adresse IP sur 32 bits au format dcimal point. Placer des 1 aux positions de
bits que vous souhaitez ignorer. Par exemple 0.0.255.255 indique que seuls les 16 premiers
bits seront tests.
Utiliser le mot cl any comme abrviation de la squence [source masque] 0.0.0.0
255.255.255.255
Les bits de masque 1 ne sont pas ncessairement contigus. Par exemple, le masque 0.255.0.64
serait valide.
log
(Optionnel) Provoque lenvoi de message de log de niveau information pour tout paquet qui
vrifie la rgle. (Le niveau de log est contrl par la commande Logging console.
Le message inclus le numro daccess-list, si le paquet a t accept ou refus, ladresse source
ou le nombre de paquets). Le message est gnr pour le premier paquet concern puis
intervalle de 5 mn
Fonctionnement par dfaut
Une access-list est toujours termine par un refus implicite de tous les paquets
Exemples
La liste daccs standard suivante autorise laccs uniquement aux htes des trois rseaux spcifis. Le masque
sapplique la partie rseau des adresses spcifies
Tout hte non expressment autoris est refus.
access-list 1 permit 192.5.34.0 0.0.0.255
access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
! (Note: Tous les autres paquets sont implicitement refuss)
La liste daccs standard suivante autorise laccs aux matriels dadresse IP comprise dans lintervalle10.29.2.64
10.29.2.127
Tous les paquets dont ladresse source ne vrifie pas cette proprit sont refuss
access-list 1 permit 10.29.2.64 0.0.0.63
! (Note: Tous les autres paquets sont implicitement refuss)
Pour spcifier un grand nombre dadresses individuelles plus facilement, on peut omettre le masque si tous ses bits
sont 0. Les deux configurations suivantes sont quivalentes
access-list 2 permit 36.48.0.3
access-list 2 permit 36.48.0.3 0.0.0.0
3 - access-list tendues
Pour dfinir une liste daccs tendue, utiliser la version tendue de la commande de configuration globale access-
list :
Pour retirer laccess-list , utiliser la forme no access-list access-list-number de cette commande.
Cas gnral :
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-
wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input]
TCP
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-
wildcard [operator port [port]] destination destination-wildcard [operator port [port]] [established] [precedence
precedence] [tos tos] [log | log-input]
IUT Grenoble - Dpartement RT 25 / 30
Travaux pratiques routage
User Datagram Protocol (UDP)
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit}udp source source-
wildcard [operator port [port]] destination destination-wildcard [operator port [port]] [precedence precedence] [tos
tos] [log | log-input]
Syntaxe
access-list-
number
deny Refuse laccs si la condition est vrifie
permit Autorise laccs si la condition est vrifie
protocol
Nom ou numro du protocole IP : Un des mots cls suivants eigrp, gre, icmp, igmp, igrp, ip,
ipinip, nos, ospf, pim, tcp, or udp, ou un entier dans lintervalle 0 255 reprsentant un numro
de protocole IP. Pour dsigner tous les protocoles ip (ICMP, TCP UDP ) utiliser le mot cl
IP
source
Numro de rseau ou dhte depuis lequel le paquet est envoy.
Il existe trois mthodes pour spcifier la source
Utiliser une adresse IP sur 32 bits au format dcimal point.
Utiliser le mot cl any comme abrviation de la squence [source masque] 0.0.0.0
255.255.255.255
Utiliser le mot cl Host comme abrviation de la squence [source masque] = [source]
0.0.0.0.
source-
wildcard
(Optionnel) bits de masquage appliquer la source.
Chaque bit 0 indique que le bit correspondant dans ladresse IP du paquet doit correspondre
exactement au bit correspondant du champ source.
Chaque bit 1 indique que le bit correspondant dans ladresse IP du paquet nest pas pris en
compte dans le test de correspondance
Il existe trois mthodes pour spcifier le masque de source
Utiliser une adresse IP sur 32 bits au format dcimal point. Placer des 1 aux positions de
bits que vous souhaitez ignorer. Par exemple 0.0.255.255 indique que seuls les 16
premiers bits seront tests.
Utiliser le mot cl any comme abrviation de la squence [source masque] 0.0.0.0
255.255.255.255
Utiliser le mot cl Host comme abrviation de la squence [source masque] = [source]
0.0.0.0.
Les bits de masque 1 ne sont pas ncessairement contigus. Par exemple, le masque
0.255.0.64 serait valide.
destination Mme rgles que pour le champ source
destination-
wildcard
Mme rgles que pour le champ masque gnrique source
tos tos (Optionnel) Filtrage par type de service,
icmp-type (Optionnel) Les paquets ICMP peuvent tre filtrs par type de message ICMP (de 0 255)
icmp-code
(Optionnel) Les paquets ICMP filtrs par type de message peuvent galement tre filtrs par
type de code de message (de 0 255)
operator
(Optionnel) Compare le port source ou destination. Les oprandes possibles sont :
lt (less than), gt (greater than), eq (equal), neq (not equal), and range (inclusive range).
Si ce champ est plac aprs le champ [source masque source], il concerne le champ source
Si ce champ est plac aprs le champ [dest masque dest], il concerne le champ destination.
Loprateur ncessite deux numros de ports. Tous les autres oprateurs ncessitent un seul
numro de port
port Numro de port (0 65536)
established
(Optionnel) Pour le protocole TCP seulement
Indique une connexion tablie. La correspondance est vraie si le paquet TCP possde les flags
vrais. La correspondance est fausse dans le cas dun paquet initial destin tablir la
connexion.
log (Optionnel) Provoque un message de log au sujet du paquet vrifiant la rgle
Fonctionnement par dfaut
Une access-list est toujours termine par un refus implicite de tous les paquets
Note : Aprs la cration dune access-list, Tous les ajouts suivants sont placs la fin de la liste. Il nest pas possible
de slectionner lemplacement dune rgle dans la liste.
IUT Grenoble - Dpartement RT 26 / 30
Travaux pratiques routage
Exemples :
Dans lexemple suivant, linterface srie 0 fait partie dun rseau classe B dadresse 128.88.0.0 et ladresse mail de
lhte est 128.88.1.2. Le mot cl established est utilis seulement pour le protocole TCP pour indiquer une
communication tablie. Il y a correspondance si le datagramme possde les flags ACK ou RST activs ce qui indique
que le paquet appartient une connexion tablie.
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
interface serial 0
ip access-group 102 in
Lexemple suivant autorise les paquets DNS et les requtes et rponses ICMP
access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp any host 128.88.1.2 eq smtp
access-list 102 permit tcp any any eq domain
access-list 102 permit udp any any eq domain
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
Lexemple suivant montre lutilisation des masques gnriques :
Les bits dadresse correspondants aux bits de masque 1 sont ignors durant les vrifications. Les bits dadresse
correspondant aux bits 0 du masque sont tests.
On autorise le rseau 131.108.0.0/24 mais on interdit tous les autres sous-rseaux de 131.108.0.0/16.
access-list 101 permit ip 131.108.0.0 0.0.0.255 any
access-list 101 deny ip 131.108.0.0 0.0.255.255 any
IUT Grenoble - Dpartement RT 27 / 30
Travaux pratiques routage
P Pa ar rt ti ie e D D M MA AI IN NT TE EN NA AN NC CE E D DE ES S R RO OU UT TE EU UR RS S
I - Squence damorage du routeur
Dans cette partie, vous allez effectuer des manipulations trs spcifiques au matriel CISCO concernant la
maintenance des routeurs. Ces oprations permettent de mieux apprhender le processus de dmarrage de la machine
Deux manipulations distinctes vont tre effectues :
Rcupration de mot de passe.
Changement de lIOS (Internetworking Oprating System)
Avant deffectuer le changement dIOS, il convient de sassurer que la nouvelle version pourra tre supporte par
notre plate-forme. Il faut galement bien comprendre les choix de la source de chargement de lIOS qui est effectu au
dmarrage
Consulter dabord lannexe 1 dtaillant les oprations de dmarrage du routeur.
LIOS est constitu dun fichier monolithique stock en mmoire flash et recopi au dmarrage dans la mmoire
RAM.
La version de ce fichier dpend du matriel utilis (famille de routeur), des composants installs (volume de mmoire
flash et RAM disponible) ainsi que des fonctionnalits attendues.
Les oprations effectues lors du dmarrage du systme sont conditionnes par un registre de configuration.
La commande show version permet de connatre des informations utiles sur limage IOS en cours dutilisation ainsi
que la valeur du registre de configuration.
Dterminer :
La version IOS et dautres informations
Le nom du fichier image
Le type de processeur et la quantit de RAM
La plate-forme (famille de routeurs)
La quantit de NVRAM
La quantit de mmoire flash
La valeur du registre de configuration
Quelle serait le rsultat de la commande suivante : (saider de lannexe 2)
Routeur(config)#config-register 0x2102
Lors du dmarrage, le routeur dtermine lui-mme le nom du fichier IOS charger en flash si le registre a t configur pour
ce type de dmarrage. Une commande supplmentaire peut tre ajoute dans le fichier de configuration pour spcifier
explicitement le nom du fichier charger.
Routeur(config)#boot system <option> <filename> <option> peut prendre la valeur flash TFTP ou ROM
<filename> est le nom du fichier charger
Routeur#copy run start Sauvegarder loption choisie !
II - Rcupration de mot de passe
Les mots de passe sont normalement stocks en NVRAM dans le fichier startup-config.
En cas de perte de mot de passe, il est possible de forcer de forcer un redmarrage du routeur sans lecture du fichier de
configuration et par consquent sans authentification. Il faut pour cela disposer dun accs console la machine. Dans
un environnement de production, il faut donc songer verrouiller laccs physique au routeur.
IUT Grenoble - Dpartement RT 28 / 30
Travaux pratiques routage
Vrifier la valeur actuelle du registre de configuration. Quelle est-elle ?
Nous allons procder au redmarrage du routeur, en supposant que nous ignorons le mot de passe. Il convient de bien
respecter les tapes suivantes : (lire lensemble de la procdure avant de commencer.
Etape 1 : Redmarrer le routeur
Etape 2 : Interrompre la squence damorage, dans les 60 secondes qui suivent le redmarrage du routeur. Pour cela, appuyer
simultanment sur les codes CTRL et PAUSE. Un caractre dinterruption est alors envoy au routeur.
Cette squence ne fonctionne quavec une version spciale dHyperTerminal tlcharge sur le site de lditeur de
ce logiciel (Hilgraeve). La version standard livre avec Windows ne fonctionne pas. Dautres squences de touches
peuvent tre utilises avec dautres terminaux consoles (cf. Site CISCO pour plus dinformations). A noter que
lancienne version de terminal livre avec Windows 3.1 fonctionnait parfaitement.
La squence CTRL PAUSE a pour effet de forcer le dmarrage du routeur en mode moniteur en ROM. Dans ce
mode, un mini systme dexploitation permet deffectuer quelques oprations essentielles telles que la modification
du registre de dmarrage et mme le tlchargement dune image IOS.
Etape 4 : Tapez alors la commande confreg linvite du routeur :
Rommon>confreg Modification du registre
Rpondre Y pour modifier la configuration du registre puis N toutes les questions SAUF la question ignore
system info config. En effet cette question vous demande si au dmarrage vous voulez ignorer le fichier de
configuration startup-config sauv en NVRAM. Rpondre Y.
Faire alors le ncessaire pour sauvegarder la nouvelle configuration puis redmarrer le routeur par reset.
Etape 5 : Aprs le dmarrage du routeur, passer en mode privilgi. Pourquoi aucun mot de passe nest-il requis ?
Etape 6 : Recharger le fichier de config par copy start run. On peut maintenant lister les mots de passe en clair. Quant aux
mots de passes crypts, ils ne peuvent tre dcods sans outil spcifique
Etape 7 : Normalement, on devrait cette tape attribuer un nouveau mot de passe. Pour ce TP, remettre le mot de passe class
Etape 8 : Il faut maintenant restaurer le registre de configuration puis sauvegarder la configuration. :
Pour cela :
Routeur(config)#config-register 0x2102 Restaurer le registre
Routeur# Copy run start
Etape 9 : Il ne reste plus qu vrifier que tout sest bien pass en redmarrant normalement le routeur
Routeur#reload redmarrage
III - Tlchargement dun nouvel IOS.
Les routeurs CISCO sont capables de rcuprer une image IOS sur un serveur TFTP. Cest la mthode que nous
allons employer ici.
Comment il a t indiqu plus haut, limage IOS est stocke en mmoire flash puis recopie au dmarrage en mmoire
RAM.
Pour simplifier nous allons travailler sur la connexion suivante :
PCX-A
Serveur TFTP
LAB-X
1 - Sauvegarde du fichier image IOS
La manipulation suivante a pour but de sauvegarder une image sur le serveur TFTP puis de la restaurer sur le routeur
CISCO.
Activer dabord le serveur TFTP sur le PC Hte PCXA ou X est votre numro de poste.
Vrifier par un ping la connectivit entre le routeur et le serveur TFTP.
La sauvegarde seffectue alors simplement en recopiant le fichier image IOS de la mmoire flash vers le serveur
TFTP par :
Routeur#copy flash tftp Copie de la mmoire flash vers un serveur tftp
IUT Grenoble - Dpartement RT 29 / 30
Travaux pratiques routage
Prciser alors le nom du fichier transfrer puis ladresse du serveur contacter et effectuer le transfert.
2 - Tlchargement dune image
Deux cas peuvent se prsenter : Soit le routeur est dans un tat cohrent et fonctionne normalement. On peut alors
tlcharger une nouvelle image afin de remplacer lancienne.
Il arrive galement que lon doive restaurer une image IOS altre sur un routeur. Dans ce cas le dmarrage normal
est impossible faute dimage correcte en mmoire flash.
Premier cas :
Ce cas est facile traiter. Il faut cependant souvent effacer lancienne version de lIOS :
Routeur#dir flash: Listing des fichiers prsents dans la mmoire flash
Routeur#erase flash Effacement de la mmoire flash
Routeur#copy tftp flash Chargement du fichier IOS depuis le serveur tftp
Il suffit alors de fournir les informations ncessaires et de lancer limportation du fichier IOS.
Redmarrer alors le routeur laide de la commande reload. Normalement, le routeur doit dmarrer avec la nouvelle
image systme.
Remarque :
La procdure dcrite ici est valable pour de nombreux produits CISCO. Nanmoins, des variantes peuvent exister et il
est trs conseill de consulter le site du fabricant AVANT deffacer la mmoire flash pour viter de mauvaises
surprises...
Si le chargement de la nouvelle image choue, cest que le routeur ne dispose pas dune image valide. Il bascule alors
en mode de fonctionnement moniteur en ROM. Et il ne reste plus qu tenter la mthode N2 !!!
Deuxime cas :
Le deuxime mode de chargement est voisin du premier sauf quil consiste effectuer le tlchargement TFTP depuis
le mode moniteur en ROM ... nettement moins ergonomique.
Pour tester ce mode, effacer la mmoire flash, puis redmarrer (commande reload). Limage IOS est alors perdue.
Que se passe-t-il au redmarrage ?
La commande pour tlcharger le fichier image est, sur les routeurs de la srie 2600, tftpdnld.
Tapez cette commande. Que se passe-t-il ?
En fait, vous rcuprez un cran daide qui vous donne toutes les informations ncessaires pour prparer le
tlchargement. A vous de jouer !!
Annexe 1 Dmarrage du routeur
Aprs le test automatique de mise sous tension, l'initialisation d'un routeur se droule selon les tapes suivantes :
tape 1 - Le bootstrap gnrique, en mmoire ROM, s'excute sur le processeur. Le bootstrap est une opration
simple et prdfinie qui charge des instructions. Celles-ci chargent leur tour d'autres instructions en
mmoire ou activent d'autres modes de configuration.
tape 2 - Le systme d'exploitation (l'IOS) peut tre install plusieurs endroits. Son emplacement est prcis dans
le champ d'amorage du registre de configuration. Si le champ indique un chargement partir de la
mmoire flash ou du rseau, les commandes boot system du fichier de configuration prcisent
l'emplacement exact de l'image.
tape 3 - L'image du systme d'exploitation est charge. Une fois charg et en fonction, le systme d'exploitation
recherche les composants matriels et logiciels puis affiche les rsultats sur la console.
tape 4 - Le fichier de configuration stock dans la mmoire NVRAM est charg dans la mmoire principale, puis il
est excut ligne par ligne. Les commandes de configuration lancent les processus de routage, fournissent
les adresses aux interfaces, dfinissent les caractristiques des mdias, etc.
tape 5 - Si la mmoire NVRAM ne contient pas de fichier de configuration valide, le systme d'exploitation
excute une routine de configuration initiale interactive appele dialogue de configuration du systme ou
dialogue setup.
IUT Grenoble - Dpartement RT 30 / 30
Travaux pratiques routage
Le mode setup n'est pas conu pour entrer des fonctions de protocole complexes dans le routeur. Utilisez ce mode
pour crer une configuration minimale, puis les commandes du mode de configuration (et non le mode setup) pour
excuter la plupart des tches de configuration de routeur.
Annexe 2 Le registre de configuration
Configuration par dfaut du registre : 0x2102
b15 b14 b13 b12 b11 b10 b9 b8 b7 b6 b5 b4 b3 b2 b1 b0
0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0
Configuration pour un dmarrage sans lecture du fichier de configuration : 0x2142
Bits Valeur Rle Commentaires
B1- B0
0-0 System bootstrap Prompt
0-1 Boot system from EPROM
1-0 Boot system from flash
Choix du mode de dmarrage
b12- 11
1-0 1200 bauds
1-1 2400 bauds
0-1 4800 bauds
0-0 9600 bauds
Dbit sur la ligne srie
b4 Fast Boot
b6 Ignore configuration on startup
b7 Enable OEM BIT
(ignore cisco startup message)
b8 Disable break key La commande break est ignore en mode
console
b13 boot rom if netboot fails Chercher un IOS en flash en cas d chec de
chargement sur un serveur tftp
b15 enable diagnostics and ignore nvram
b10 IP broadcast with all zeros Compatibilit avec certains systmes
b14 ip broadcast if no net number
b14-b10 Adresse de broadcast rsultante
<net><host>
0-0 <ones> <ones>
0-1 <zeros> <zeros>
1-0 <net> <zeros>
1-1 <net> <ones>
b9 do not use secondary bootstrap