TP Routage

IUT Grenoble - Dpartement RT 1 / 30
Travaux pratiques routage

.

PARTIE A PROTOCOLES DE ROUTAGE..............................................................................................................2
I - Introduction - Objectifs............................................................................................................................................2
II - Cblage - dmarrage ................................................................................................................................................2
III - Interface utilisateur du routeur - les modes de configuration ..............................................................................4
IV - Configuration de base ..............................................................................................................................................5
V - Routage statique .......................................................................................................................................................9
VI - Routage dynamique avec RIP..................................................................................................................................9
VII - Routage dynamique avec OSPF ............................................................................................................................10
Annexe 1 - Connexion dos dos de deux routeurs ..................................................................................................................12
Annexe 2 - Complments sur les algorithmes de routage .......................................................................................................13
Annexe 3 - OSPF ........................................................................................................................................................................14
PARTIE B TRANSLATION D'ADRESSE ..............................................................................................................17
I - Introduction ............................................................................................................................................................17
II - Prliminaires ...........................................................................................................................................................18
III - Translation d'adresse source .................................................................................................................................19
IV - Translation d'adresse destination .........................................................................................................................20
PARTIE C LISTES DE CONTROLE D'ACCES.....................................................................................................21
I - Objectifs ..................................................................................................................................................................21
II - Prliminaires ...........................................................................................................................................................21
III - Listes de contrle d'accs standard.......................................................................................................................21
IV - Listes de contrle d'accs tendues .......................................................................................................................22
V - Mise en uvre des listes de contrle d'accs tendues pour l'accs FTP...........................................................22
VI - Annexes....................................................................................................................................................................23
PARTIE D MAINTENANCE DES ROUTEURS......................................................................................................27
I - Squence damorage du routeur..........................................................................................................................27
II - Rcupration de mot de passe ...............................................................................................................................27
III - Tlchargement dun nouvel IOS..........................................................................................................................28
Annexe 1 Dmarrage du routeur ...........................................................................................................................................29
Annexe 2 Le registre de configuration...................................................................................................................................30

Routage

TP Rseaux 2
me
anne 2007/2008
P Pa ar rt ti ie e A A P PR RO OT TO OC CO OL LE ES S D DE E R RO OU UT TA AG GE E
I - Introduction - Objectifs
Dans ces travaux pratiques, vous allez dcouvrir le fonctionnement des routeurs et leur configuration.
En rgle gnrale, un routeur est un micro-ordinateur ddi quip d'un processeur, d'un systme d'exploitation (Cisco
IOS), ainsi que de mmoire vive (RAM) et morte (ROM). Les routeurs sont dpourvus de disque dur, de clavier et de
moniteur. L'une des mthodes de configuration ou de programmation du routeur consiste le connecter directement
un PC ou un terminal passif. Le PC devient ainsi la console du routeur. Cette console vous offre la possibilit
d'entrer des commandes et de communiquer directement avec le routeur.
Au cours de ces travaux pratiques, vous allez travailler avec une station de travail Windows, quipe du programme
HyperTerminal (mulation de terminal).
Les notions abordes dans cette partie sont les suivantes :
La dcouverte du matriel et de l'IOS - La cration d'une configuration et sa sauvegarde - La mise en place de mot de
passe
La configuration des interfaces
La mise en place de routes statiques - La mise en place dalgorithmes de routage dynamique
Note : Dans tout le TP les exemples de lignes de commandes sont donns avec linvite : Routeur> quil convient de
remplacer par le nom convenable. De mme la lettre X doit tre remplace par la valeur convenable.
II - Cblage - dmarrage
1 - Prise en main
Le schma utilis est donn page suivante :
Cblage de la salle.
Le schma gnral de connexion rseau vous est fourni en ci-dessus.

Relier les routeurs par des cbles sries correctement interconnects.
Voir ce sujet lannexe 1. (Connexion dos dos de deux routeurs)

Ne pas connecter les liaisons Ethernet pour le moment.
MAIS relier chaque poste (Sortie COM1) au routeur (sortie Console)
Il faudra configurer sur le routeur, laccs distant Telnet avant de pouvoir y accder par le rseau.

Cable rseau
(droit)
Armoire
T33
Cblage salle
Prise
Console
Prise
COM1
Cble
Console

Configurer correctement les stations de travail.
On dfinira en particulier :
Ladresse IP et Le masque
La passerelle (Ladresse laquelle il faut envoyer les paquets destins un autre rseau local). Il sagit de linterface
du routeur auquel le rseau local sera reli.

Etablissement dune connexion console avec le routeur.
La connexion physique sopre laide dun cble console reliant le routeur (port console) au port srie dun PC.
Le logiciel utilis sera HyperTerminal.

Lancer la connexion pr configure. Quels sont les paramtres de liaison srie utiliss pour cette connexion ?

PC5A
152.77.65.179
LAB-A
152.77.65.176/28
S0/0
152.77.65.161
S0/1=DCE
152.77.65.165

E0/0
152.77.65.160/30
Tp Routage :
Schma gnral de cblage

Station : X.X.X.11
GW : X.X.X.1

FEDE
LAB-H
E0/0
S0/1/0=DCE
152.77.65.173

S0/0/0
152.77.65.169

152.77.65.177
152.77.65.178
152.77.65.168/30
152.77.65.172/30
152.77.65.164/30

PC5B
152.77.65.180
PC 1B
10.0.3.0/24
PC 1A
10.0.1.0/24
LAB-B
LAB-E
S0/0
10.0.2.1
S0/0=DCE
10.0.2.2

10.0.2.0/24
groupe 1
LAN-B
PC 2A
10.0.4.0/24
LAB-C
LAB-F
S0/1
152.77.65.166/29

S0/0
10.0.5.1
E0/0
10.0.5.0/24
LAN-C
PC 2B
10.0.6.0/24
10.0.7.0/24
S0/1
10.0.7.1
S0/0=DCE
10.0.5.2

PC 3A
192.168.1.0/24
LAB-D
LAB-G
S0/1=DCE
152.77.65.170

S0/0
192.168.2.1

192.168.2.0/24
LAN-D
PC 3B
E0/0
S0/0=DCE
192.168.2.2

E0/0
E0/0
E0/0
S0/1=DCE
152.77.65.162
E0/0
LAN-G
192.168.3.0/24
PC 4A
192.168.4.0/24
LAB-I
LAB-J
S0/1
152.77.65.174

S0/0
192.168.5.1

192.168.5.0/24
LAN-I
PC 4B
E0/0
192.168.7.0/24
S0/0=DCE
192.168.5.2

E0/0
LAN-J
192.168.6.0/24
LAN-F
LAN-E
S0/=DCE 1
10.0.7.2

groupe 2
groupe 3
groupe 4

2 - Mode setup
Au dmarrage, le routeur charge l'IOS (systme d'exploitation). Normalement, si le routeur est vierge de toute
configuration, il ne possde aucun fichier de dmarrage et choue au chargement du fichier startup-config. Il bascule
alors dans un mode particulier qui permet de lui fournir une configuration minimale (Mode Setup).
Le mode setup est un mode de dialogue interactif (mot de passe, interfaces etc ).
Nous n'allons pas l'utiliser ici. Quitter le mode setup en lisant attentivement les questions proposes.
Le routeur vous propose alors l'invite utilisateur et l'on peut passer en mode privilgi sans mot de passe.

Vous deviez rcuprer une invite du type routeur >.

La commande show version permet dobtenir des informations sur les matriels et logiciels prsents sur la machine.

Dterminer par la commande show ver les paramtres suivants :

Version de plate-forme logicielle
Nom du fichier image systme
Quelle est la quantit de RAM disponible ?
Quelle la quantit de mmoire NVRAM ?
Quelle est la quantit de mmoire FLASH ?

III - Interface utilisateur du routeur - les modes de configuration
1 - Les modes de configuration
Mode privilgi
Connectez-vous au routeur par la console srie, vous devez obtenir linvite utilisateur : routeur >.
Il est toujours possible dobtenir de laide par la commande ? qui permet de lister lensemble des commandes ou
options de commande disponibles tout instant.
Le mode utilisateur permet dexaminer la configuration du routeur mais en aucun cas de la modifier. Pour les tches
dadministration, il est ncessaire de passer en mode privilgi. Ceci seffectue par la commande :
routeur > enable passage en mode privilgi
routeur# Nouvelle invite de commande
Il est possible que le routeur vous demande un mot de passe pour accder ce mode.

Testez la commande suivante. En dduire les informations relatives la configuration IP des interfaces de votre
routeur.
routeur#show running-config Configuration courante.

Les diffrents modes de configuration
Pour utiliser un systme d'exploitation de routeur tels que Cisco IOS, vous devrez connatre les diffrents modes
d'utilisation qu'offre un routeur et leurs rles respectifs. La plupart des routeurs comportent les six modes principaux
suivants :

1. Mode utilisateur
2. Mode privilgi (ou mode Enable)
3. Mode de configuration globale
4. Mode de configuration du routeur
5. Mode de configuration d'interface
6. Mode de configuration des sous-interfaces

Au cours de ce TP, vous allez utiliser les six modes les plus frquents. Il existe deux autres modes moins souvent
utiliss : le mode RXBoot et le mode Setup. RXBoot est un mode de maintenance permettant de rcuprer des mots
de passe perdus. Le mode Setup, dj voqu, offre un dialogue interactif la console permettant l'utilisateur de
crer une configuration initiale de base.
Vous pouvez dterminer le mode actif en examinant l'invite. Chaque mode prsente une invite diffrente. Les
commandes sont disponibles ou non en fonction du mode actif. Si vous entrez un point d'interrogation (?), l'ensemble
des commandes disponibles s'affiche. L'erreur la plus frquente consiste entrer une commande non disponible dans
le mode actif. Vous devez bien connatre chaque mode et savoir l'activer ou le dsactiver.

Le tableau suivant indique quelle invite correspond chaque mode.
Description des diffrents
modes
Fonction
Invite
1. Mode utilisateur Examen limit du routeur.
Accs distance
nom-routeur>

2. Mode privilgi Commandes de
configuration simples
nom-routeur#

3. Mode de configuration
globale
Examen dtaill du
routeur, dbogage et essai.
Accs distance
nom-routeur (config) #

4. Mode de configuration du
routeur
Protocoles de routage
nom-routeur(config-router)#
5. Mode de configuration
d'interface
Dfinition des adresses IP
et des masques de sous-
rseau
nom-routeur(config-if)#

On ne peut accder aux diffrents modes que dans un ordre dtermin spcifi par le diagramme ci-dessus.
Mode utilisateur
Mode privilgi
Mode de
configuration
globale
Configuration
routeur
Configuration
Interface
Configuration
Sous-Interface

La commande show
La commande show est une commande dusage gnral qui permet dobtenir de nombreuses informations sur le systme.
Parmi les nombreuses commandes show disponibles, tester en particulier les commandes suivantes :

show running-config
dtermine l'tat actuel d'un routeur car elle affiche le fichier de la configuration
active, stock en mmoire RAM
show startup-config
Affiche les donnes du fichier de configuration de sauvegarde stock dans la
mmoire non volatile ou NVRAM. Ce fichier sert pour la configuration du
routeur lors du dmarrage de celui-ci ou de son redmarrage via la commande
reload . Il contient tous les paramtres d'interface dtaills du routeur.
show flash
sert connatre l'espace libre et l'espace utilis dans la mmoire flash. La
mmoire flash contient le fichier ou l'image de la plate-forme logicielle Cisco
IOS.
show arp
Visualise le mappage entre les adresses IP et les adresses d'interface.(Adresses
MAC)

Examinez galement la sortie des commandes suivantes, Quel est leur rle ?
show clock
show history
show users
2 - Copy running-config et startup-config
Lors du dmarrage, le routeur recopie le systme d'exploitation situ en mmoire flash vers la RAM. La configuration
est stocke dans un fichier de configuration nomm startup-config dans une mmoire non-volatile, la NVRAM. Cette
configuration est recopie en RAM dans un fichier appel running-config.
Lorsqu'on entre des commandes de configuration du routeur, on modifie le fichier running-config.

Testez les commandes suivantes dans l'ordre :

Routeur#show startup-config Visualise la configuration stocke en NVRAM.
Routeur#show running-config Visualise la configuration courante.
Routeur(config)#hostname LAB-X En mode de configuration globale, donner un nouveau nom au
routeur.
X est la lettre identifiant le routeur
LAB-X #Show running-config Visualise la configuration courante.
Observer la diffrence.
LAB-X #copy run start Sauvegarde la modification.
LAB-X #show startup-config Visualise la configuration stocke en NVRAM.
On peut vrifier que la modification a t prise en compte.
LAB-X #copy startup-config running-config Inutile ici mais connatre
Recharge la config de la NVRAM vers la RAM.
A l'issue de cette commande, les deux configurations sont
identiques.
IV - Configuration de base
Nous allons dans cette partie tablir une configuration de base du routeur et de ses interfaces. Normalement, aucune
configuration n'a t charge en mmoire la suite du paragraphe prcdent.
1 - Nom du routeur, mots de passe
Entrez en mode de configuration globale puis entrer les commandes suivantes :
Routeur(config)#hostname LAB-X Donner un nom au routeur de LAB-A LAB-G suivant le cas.
Routeur(config)#enable secret class Le mot de passe en mode privilgi sera class.
Routeur(config)#line con 0 Configuration de l'accs la console.
Routeur(config-line)#login Lors de la prochaine connexion en console un mot de passe sera
demand.
Routeur(config-line)#password toto Le mot de passe pour le mode console.
Routeur(config-line)#exit Retour au mode configuration globale.
Routeur(config)#line vty 0 4 Configuration des accs telnet (virtual terminal lines de 0 4).
Routeur(config-line)#login Mot de passe ncessaire pour se connecter par telnet.
Routeur(config-line)#password toto Ce mot de passe sera cisco.
Routeur(config-line)#exit
Routeur#exit
2 - Configuration des interfaces d'un routeur

Nous allons ici donner un exemple pour l'interface FastEthernet 0/0 du routeur LAB-B et l'interface serial 0/1 de ce
mme routeur. Il suffira d'adapter cet exemple aux autres interfaces et routeurs.

Passez tout d'abord en mode de configuration globale
Routeur(config)#interface fastEthernet 0/0 Entrer dans le mode de configuration d'interface pour
FastEthernet 0/1
Routeur(config-if)#description vers rseau LAN-B La commande description est facultative, elle permet de faire
apparatre une chane de caractres dans les fichiers de
configuration.
Routeur(config-if)#ip address 10.0.1.1 255.255.255.0 Dfinition de l'adresse IP de l'interface avec son masque
Routeur(config-if)#duplex auto Dtection automatique du mode full-duplex/simplex
Routeur(config-if)#speed auto Dtection automatique de dbit 10 ou 100 Mbits/s
Routeur(config-if)#exit Sortie
Routeur(config)#interface serial 0/1 Entrer dans le mode de configuration d'interface pour
Serial 0/0
Routeur(config-if)#description vers rseau AB La commande description introduit simplement un
commentaire dans le fichier de configuration
Routeur(config-if)#ip address 152.77.65.162 Adresse IP et masque de sous-rseau
Routeur(config-if)#clock rate 2000000 Frquence numrique d'horloge. Opration effectuer
seulement sur l'interface DCE.
Routeur(config-if)#no shutdown Active l'interface

D'autres options de la commande show sont utiles pour connatre l'tat des interfaces :

Show interface
Affiche des statistiques pour toutes les interfaces configures sur le routeur.

show protocol
visualise l'tat global et propre aux interfaces des protocoles configurs de
couche 3 (IP, IPX, etc.)

Grce la commande show interface FastEthernet 0/0, rcuprer les informations suivantes sur cette interface :

valeur du paramtre MTU
valeur du paramtre Reliability.
Nombre de runt ( = nombre de trames trop courtes reues) ?
Quest quun GIANT (= nombre de trames trop longues reues) ?

Grce la commande show interface serial 0/0, rcuprer les informations suivantes sur cette interface :
Adresse IP et masque de sous-rseau
Encapsulation utilise
Que signifie srial 0 is up , line protocol is up ? Si tout ce passe bien les interfaces doivent tre up et le
code "line protocol is up" devrait apparatre.

Attention ! Une interface srie ne peut passer l'tat actif que si les deux extrmits sont correctement configures.
En cas de problme, vrifier que la commande clockrate a bien t affecte l'interface utilise en ETCD .
La commande show ip route
Cette commande permet de visualiser la table de routage sous IP. La table de routage est llment central du
fonctionnement du routeur. Tester cette commande, quelles informations donne-t-elle pour le moment. ?

Routeur#sh ip route Affichage de la table de routage

Enfin sauvegarder la configuration par un copy run start
Les commandes ip host et show host
La commande ip host est un peu quivalente au fichier /etc/hosts sous UNIX. Ainsi pour dfinir un alias
alphanumrique une adresse IP, on peut crire :

Routeur(config)#ip host LAB-B 10.0.0.1.1 10.0.2.1 152.77.65.162 Association d'un nom une ou plusieurs adresses IP.

Effectuez l'opration pour un ou deux routeurs
Testez alors la commande show hosts.
3 - Connectivit du rseau local

SUPPRIMER LA LIAISON CONSOLE ET RELIER LA STATION DE TRAVAIL AU ROUTEUR.

Vrifier la connectivit vers le routeur depuis stations de travail
ping <adresse du routeur>.

ACCEDER AU ROUTEUR PAR TELNET

Vrifier la connectivit avec le ou les routeurs voisins avec des pings.
Vous devriez pouvoir joindre le ou les routeurs voisins mais pas les autres, de mme vos stations de travail peuvent
joindre leur passerelle mais pas plus. Voyez-vous une raison cela ?

Accs distance par telnet
Laccs au routeur par la console nest en gnral utilis que pour donner une configuration minimale au routeur
(adresse IP et masque). Il est alors possible daccder au routeur distance partir dun PC ou dun autre routeur.

A partir de votre routeur, connectez-vous un autre routeur, faites un show run. puis dconnectez-vous.
Routeur#telnet <routeur joindre> Contacter un routeur par telnet
Une autre mthode est utilisable si vous avez dfini le nom de l'hte distant joindre par la commande ip host. Il suffit
de taper le nom de cet hte et une commande telnet est automatiquement execute !

Routeur#LAB-B Contacter le routeur LAB-B par telnet
Le protocole Cisco Discovery protocole
Le protocole CDP (Cisco Discovery Protocol) recherche et affiche des informations sur des dispositifs Cisco
directement connects (routeurs et commutateurs). Il s'agit d'un protocole propritaire de Cisco, fonctionnant au
niveau de la couche liaison de donnes (couche 2) du modle de rfrence OSI. Il permet aux dispositifs qui excutent
des protocoles de couches rseau diffrents (IP ou IPX, par exemple) d'changer des informations. La fonction CDP
est lance automatiquement lors du dmarrage d'un dispositif.

Testez les commandes suivantes et notez les principales informations obtenues.

show cdp
paramtres gnraux de cdp
show cdp interface
permet dobtenir les informations utilises par le protocole CDP
pour la transmission des trames d'annonce et de recherche
show cdp neighbors
Donne des informations sur les appareillages CISCO excutant le
protocole CDP et communiquant avec la machine locale.
show cdp neighbors detail
pour afficher les mises jour CDP reues sur le serveur local.
Les compteurs sur les interfaces - Retour la commande show interface
La commande show interface affiche des statistiques de transmission des paquets qui refltent l'activit du routeur
depuis la dernire mise zro des compteurs.

Entrez la commande show interface pour votre routeur.

Relevez les informations suivantes pour toutes les interfaces utilises (selon disponibilit).

Interface Ethernet 0/0 Ethernet 0/1 Srie 0/0 Srie 0/1
Adresse matrielle
Entre de paquets
Sortie de paquets
Dernire mise zro
des compteurs

Il est possible de remettre zro les compteurs dune interface par la commande suivante :

clear counters Remet zro les compteurs statistiques des interfaces.

Testez la commande, vrifier que les compteurs ont bien t remis zro puis gnrer du trafic sur les interfaces en
question. Vrifier que les compteurs ont t incrments.
Examen de la table ARP
Le protocole ARP est utilis par les htes et les routeurs pour dterminer l'adresse Mac d'une machine dont on connat
l'adresse IP. Les informations ainsi collectes sont enregistres dans la table ARP.

Entrez la commande suivante :
Routeur#show arp Visualisation de la table ARP
Quelles sont les informations fournies par cette table ?

Il est parfois ncessaire lors de tests sur le rseau de mettre jour la table ARP. Cette opration est effectue l'aide
de la commande :

Routeur#clear arp Mise jour de la table ARP

4 - Sauvegarde de la configuration sous forme de fichier texte
Il est possible de sauvegarder le fichier de configuration du routeur dans un fichier texte et de recharger le routeur
partir de cette configuration. Pour cela plusieurs mthodes:
Sauvegarde par copier coller sous HyperTerminal.
Effectuer un show run puis slectionner la souris l'ensemble des lignes de commandes qui sont alors listes. Ouvrir
alors un diteur de texte en mode brut (Notepad par exemple) puis coller le contenu prcdent.

Pour recharger la configuration partir du fichier texte, passer en mode de configuration globale par conf terminal
puis coller le contenu du fichier prcdemment sauvegard.

Testez cette possibilit.
Sauvegarde sur un serveur TFTP
TFTP est un protocole de transfert de fichier extrmement simple souvent utilis pour sauvegarder des fichiers de
configuration, des images IOS
Cette mthode ncessite la prsence d'un serveur TFTP (ou dmon TFTPD sous Unix). (consultez votre professeur)
Assurez-vous tout d'abord que vous pouvez contacter ce serveur par un ping <adresse serveur tftp>.

PCX-A
Serveur TFTP
LAB-X

Pour sauvegarder le fichier de configuration courante, il suffit alors d'effectuer :
Routeur#copy run tftp Copie du fichier de configuration vers un serveur tftp
A l'invite qui suit, entrez l'adresse du serveur TFTP puis confirmez le nom du fichier par dfaut (du type
LAB-A-confg) ou proposez un autre nom.

Les points d'exclamation qui s'affichent confirment le bon droulement de l'opration.

Nous allons maintenant effectuer l'opration de rcupration.
Pour cela effacez la configuration de dmarrage par un erase startup-config. Puis redmarrer le routeur par reload.

Une fois que le routeur a redmarr, passer en mode privilgi puis entrez la commande suivante pour rcuprer le
fichier
Routeur#copy tftp run Demande de chargement de la configuration courante partir d'un
serveur TFTP.
Prciser l'invite l'adresse du serveur contacter puis le nom du
fichier charger.

Routeur#copy run start Sauvegarde la configuration en NVRAM.

V - Routage statique

Pour remplir sa fonction, le routeur dispose d'une table de routage qui indique en fonction de l'adresse de destination
des paquets, l'interface sur laquelle le paquet doit tre transmis, le routeur auquel le paquet doit tre transmis si le
destination ne peut tre jointe directement ainsi que la "qualit" de cette route sous forme d'une mtrique.

Lorsque les interfaces ont t correctement configures et actives, la table de routage contient dj les rfrences aux
rseaux directement connects.

Exemple :
C 172.16.8.0/24 is directly connected, FastEthernet 0/0
C 205.7.5.0/24 is directly connected, FastEthernet 0/1
Pour indiquer d'autres destinations, il est ncessaire d'indiquer au routeur les routes ajouter dans la table de routage.
Une route statique est une route entre par une ligne de commande par opposition aux routes dynamiques gres par
un protocole de routage.

La commande qui permet de prciser la route statique est :
Ip route <rseau joindre> < Masque de sous rseau> <adresse du routeur auquel on transmet le paquet>

Remarque :
Une telle route peut tre supprime par la commande
no ip route <rseau joindre> < Masque de sous rseau> <adresse du routeur auquel on transmet le paquet>

Nous pourrions configurer les routeurs avec des routes statiques, mais cela deviendrait trs vite fastidieux et
susceptible d'erreurs !

Notons cependant la commande qui permet dajouter une route par dfaut (utile dans la suite du TP) :
ip route 0.0.0.0 0.0.0.0 <adresse du routeur par dfaut>
VI - Routage dynamique avec RIP
L'algorithme de routage RIP (Routing Internet Protocol) est le plus simple et le plus ancien des protocoles de routage. C'est un
protocole vecteur de distance. C'est dire que chaque routeur change avec ses voisins sa propre table de routage ce qui
permet de loin en loin chaque routeur de dfinir des routes pour toute destination. En revanche, chaque routeur n'a qu'une
connaissance locale de la topologie du rseau; il connat seulement les routeurs voisins et les destinations que ceux-ci sont
capables de servir.
1 - Activation et configuration de RIP
Passer en mode de configuration globale, puis en mode de configuration de routeur RIP : L'exemple est donn pour le routeur
LAB-B.

Routeur(config)#router RIP Configuration de RIP
Routeur(config-router)#version 2 Version 2 du protocole qui autorise les adresse IP classless
Routeur config-router)#network 10.0.1.0 Rseau connect l'interface E0/1
Routeur(config-router)#network 152.77.65.160 Rseau connect serial 0/1
Routeur(config-router)#network 10.0.2.0 Rseau connect serial 0/0
Routeur(config-router)#no auto-summary Dsactive lagrgation de route demander des prcisions aux professeur
Routeur(config-router)#ctrl-Z Retour au mode privilgi
C'est tout ! Comme on le voit la configuration est extrmement simple mettre en uvre.
Sur les routeurs A et H, on ne publie pas le rseau public vers lextrieur !

Observer maintenant la table de routage par sh ip route. Des routes prcdes de la lettre R devraient apparatre
progressivement au fur et mesure que les diffrents routeurs sont configurs.

Observer attentivement la table de routage (mtriques, distance administrative, routes multiples) et vrifier sa cohrence.

Nous allons surveiller les changes RIP de deux manires :
Sur les routeurs : activer le mode debogage de RIP par
Routeur#debug ip rip Debogage de RIP
Des informations sur les paquets mis et reus sont alors visualises priodiquement.

!
Par ailleurs activer sur une station de votre rseau local le logiciel Ethereal et lui demander de surveiller tous le trafic (pas
de filtre) et laisser la capture active pendant au moins une minute. Vous devriez voir passer des paquets RIP sur UDP
(Port 520 vers port 520).
Que constatez-vous sur l'adresse de destination de ces paquets ?
2 - La commande traceroute
Cette commande bien connue dans le monde Unix est galement disponible sur les routeurs.
Tester cette commande avec un hte distant sur le rseau. Quelles informations cette commande permet-elle
dobtenir ?
Depuis les routeurs A et H, quelles sont les routes utilises pour joindre les rseaux LAN-C et LAN-D ?

. FAIRE VERIFIER.

Dbrancher maintenant les liens AC et HD au niveau des routeurs C et D,
Observer lvolution de la table de routage.
Depuis A et H les rseaux LAN-C et LAN-D sont-ils toujours accessibles ? Par quelle route

. FAIRE VERIFIER.
VII - Routage dynamique avec OSPF

Nous allons maintenant utiliser une autre technique de routage plus puissante et mieux adapte de grands rseaux,
mais plus complexe : OSPF.

Supprimer le routage RIP sur tous les routeurs :
Routeur(config)#no router rip Suppression de RIP

Soit le schma suivant :

PC5A
152.77.65.179
LAB-A
152.77.65.176/28
S0/0
152.77.65.161

S0/1=DCE
152.77.65.165

E0/0
152.77.65.160/30
Tp Routage :

Station : X.X.X.11
GW : X.X.X.1

FEDE
LAB-H
E0/0
S0/1/0=DCE
152.77.65.173

S0/0/0
152.77.65.169

152.77.65.177
152.77.65.178
152.77.65.168/30
152.77.65.172/30
152.77.65.164/30

PC5B
152.77.65.180
PC 1B
10.0.3.0/24
PC 1A
10.0.1.0/24
LAB-B
LAB-E
S0/0
10.0.2.1
S0/0=DCE
10.0.2.2

10.0.2.0/24
AREA 1
LAN-B
PC 2A
10.0.4.0/24
LAB-C
LAB-F
S0/1
152.77.65.166/30

S0/0
10.0.5.1
E0/0
10.0.5.0/24
LAN-C
PC 2B
10.0.6.0/24
10.0.7.0/24
S0/1
10.0.7.1
S0/0=DCE
10.0.5.2

PC 3A
192.168.1.0/24
LAB-D
LAB-G
S0/1=DCE
152.77.65.170

S0/0
192.168.2.1

192.168.2.0/24
AREA 2
LAN-D
PC 3B
E0/0
S0/0=DCE
192.168.2.2

E0/0
E0/0
E0/0
S0/1=DCE
152.77.65.162
E0/0
LAN-G
192.168.3.0/24
PC 4A
192.168.4.0/24
LAB-I
LAB-J
S0/1/0
152.77.65.174

S0/0/0
192.168.5.1

192.168.5.0/24
LAN-I
PC 4B
E0/0
192.168.7.0/24
S0/0/0=DCE
192.168.5.2
E0/0
LAN-J
192.168.6.0/24
LAN-F
LAN-E
S0/1=DCE 1
10.0.7.2

S0/1/0=DCE
192.168.7.2

S0/1
192.168.7.1


Vrifier la configurer des postes et des interfaces. Supprimer tout autre protocole de routage dynamique et les routes
statiques qui pourraient exister sur le rseau.
1 - Configuration du routage
Configuration des routeurs internes aux AREA (routeurs LAB-E LAB-F LAB-G LAB-J)

Dfinir comme pour tout autre protocole les rseaux directement connects (exemple pour LAB-F):
routeur(config)#router ospf 2 Activation du routage ospf (Le N est un
numero de process sans importance)
Routeur(config-routeur)#network 10.0.7.2 0.0.0.0 area 1
Routeur(config-routeur)# network 10.0.5.2 0.0.0.0 area 1
Dclaration des interfaces et de laire
dappartenance du routeur

ATTENTION : La commande network admet en paramtre les adresses IP des interfaces et non des valeurs dadresses rseau
Configuration des routeurs frontire ( ABRs : routeurs LAB-B LAB-C F LAB-D LAB-I)
(exemple pour LAB-B):
routeur(config)# router ospf 10
Idem ci-dessus
Routeur(config-routeur)# area 0 range 152.77.65.160 255.255.255.X
Routeur(config-routeur)#area 1 range 10.0.0.0 255.255.255.0
Ici on matrise pleinement les mcanismes
dagrgation de route ! X= ??????

La commande AREA RANGE est trs importante. Elle permet de prciser laire de rattachement de lABR ainsi que la taille
du masque utilis. Donc ladministrateur dfinit lui-mme les caractristiques de lagrgation de routes !
Seuls les ABRs peuvent (et doivent) appartenir plusieurs aires.
Configuration du routeur de frontire de systme autonome (ASBR Autonomous system Border Router: LAB-A)
routeur(config)# router ospf 10

2 - Accs Internet
Raliser sur LAB-A le cblage vers le rseau.
La route par dfaut devra tre propage par LAB-A sur tous les autres routeurs par les commandes suivantes :
Se rfrer pour cela aux prcdents Travaux Pratiques sur les routeurs.

LAB-A(config-routeur)#default-information originate always

Ces routeurs sont en outre chargs de
propager la route par dfaut
LAB-A(config)# ip route 0.0.0.0 0.0.0.0 152.77.65.254 La route par dfaut propager

Quelques commandes intressantes :

La table de routage permet de vrifier le rsultat du travail dOSPF (exemple simplifi): Ici sur LAB-H :
C 152.77.65.176/28 is directly connected, FastEthernet0/0
O 152.77.65.164/30 [110/65] via 152.77.65.177, 00:00:04, FastEthernet0/0
O 152.77.65.160/30 [110/65] via 152.77.65.177, 00:00:04, FastEthernet0/0
C 152.77.65.172/30 is directly connected, Serial0/1/0
C 152.77.65.168/30 is directly connected, Serial0/0/0
O IA 10.0.0.0 [110/129] via 152.77.65.177, 00:00:04, FastEthernet0/0
O IA 192.168.0.0/16 [110/128] via 152.77.65.174, 00:00:04, Serial0/1/0
[110/128] via 152.77.65.170, 00:00:04, Serial0/0/0
O*E2 0.0.0.0/0 [110/1] via 152.77.65.177, 00:00:04, FastEthernet0/0

Le premier travail effectu par chaque routeur lors de la mise en place des tables de routage est la dcouverte des voisins
immdiats de la mme aire laide de messages priodiques (messages Hello) indiquant les voisins connus.
Sur chaque routeur ces voisins peuvent tre affichs par :

Rseaux transmis
sous forme agrge
lintrieur de larea
Route vers
lextrieur du
systme autonome
Routeur#show ip ospf neighbor

Dans cette commande state indique le niveau dadjacence avec les voisins. Deux routeurs sont adjacents lorsquils ont atteint
ltat FULL. Leurs deux bases topologiques du rseau sont alors identiques.

Routeur#show ip ospf database

Chaque aire est affiche individuellement. La commande sort le contenu des LSA groups par type tels que dfini au
paragraphe II-3. Chaque lien contient les informations sur lidentit du lien.

Un analyseur rseau connect sur un poste permet galement de surveiller les messages HELLO diffuss sur les liens Ethernet.

Laccs lInternet ne fonctionne pas malgr tout. Quelle en est la raison ? Ce point sera trait dans la suite du
sujet mais sur une autre architecture.
3 - Scurisation des changes OSPF.
Chaque lien peut tre scuris par diffrents procds cryptographiques.
Nous allons tudier ici la scurisation par gnration dune empreinte.

Un numro de cl et une cl sont configurs sur chaque routeur. A partir du paquet OSPF envoyer au voisin et de la cl, on
gnre un message digest qui est ajout au paquet. La cl nest pas change sur le rseau, contrairement ce qui se
passerait avec un mot de passe.

Exemple de scurisation du lien LAB-D vers LAB-G :
Routeur(config)# interface Serial0
Routeur(config-if)#ip ospf message-digest-key 1 md5 pass3
Linterface utilise la cl pass3 pour gnrer
lempreinte md5
Cette cl porte le numro 1.
(il est possible dutiliser plusieurs cls de numros
diffrents, ceci peu tre utilis pour changer les cls
sans entraner de rupture de service)
Routeur(config)#routeur ospf 10
Routeur(config-router)# area 3 authentication message-digest La mthode dauthentification choisie est base sur
un calcul dempreinte

De la mme manire que ci-dessus, scuriser les liens B-E, C-F, D-G, I-J.

Annexe 1 - Connexion dos dos de deux routeurs
Un routeur est normalement utilis pour connecter un rseau local de plus ou moins grande taille des dorsales
(Rseaux de campus, Fournisseurs daccs, oprateurs de tlcommunication etc ). La liaison vers les rseaux
dorsaux peut tre de diffrents types mais on rencontrera trs frquemment des lignes synchrones haut dbit.
(Plusieurs Mbits/s). Cest la situation reprsente ci-dessous.
Founisseur daccs
synchrone
CSU/DSU
CSU/DSU
Rseau Local
Rseau Local

La liaison srie entre un routeur met en jeu deux types de matriels :
Cot Fournisseur de service, on trouve le CSU/DSU (Channel Service unit / data Service unit) qui est un DCE ou
ETCD (quipement terminal de circuit de donne). C'est cet quipement qui fixe la frquence d'horloge sur la
ligne.
Cot utilisateur on trouve le routeur qui est un DTE ou ETTD ( quipement terminal de traitement de donne).
Le dbit sur la ligne srie est rgl par une horloge (Cest une ligne synchrone) impose par l ETCD.

Dans le cadre des travaux pratiques, les routeurs seront directement interconnects. Ce qui impose que lun des
routeur fixe la frquence dhorloge et se comporte comme un DCE.

Rseau Local
Rseau Local
DCE
Cble avec connecteur
V35 Femelle

DTE
Cble avec connecteur
V35 Mle

On utilisera dans ce cas deux types de cbles diffrents permettant lun des routeurs de se connecter en DCE.
Les routeurs dtectent automatiquement le type de cble utilis.
Sur le DCE il conviendra de configurer linterface srie de manire prciser la frquence dhorloge par :
routeur(config-if)#clockrate <frquence utilise>
Annexe 2 - Complments sur les algorithmes de routage
1 - Les timers de lalgorithme de routage
Timers basic <T1> <T2> <T3> <T4>
T1 Mise jour Temps en secondes entre les changes de table de routage entre
les routeurs
T2 Invalidation Intervalle de temps au bout duquel une route est reconnue
invalide
T3 Temps de maintien dtat
de route
Temps minimum entre les mises jour dune route.

T4 Effacement Temps minimum au bout duquel une route peut tre efface de la
table de routage
Ex: timers basic 30 180 45 270
Dans cet exemple RIP, reoit des messages des routeurs toutes les 30 secondes, si au bout de 180 secondes il ne reoit
plus de confirmation pour une route, il la dclare invalide et diffuse un message spcial aux autres routeurs.
Il efface la route dfinitivement au bout de 270 secondes.
Une fois la route dclare, elle ne peut tre efface avant 45 secondes.
Remarque : Ces diffrentes temporisations influent sur le temps de convergence de RIP (temps au bout duquel
lensemble des tables de routage retrouve un tat stable aprs une modification). Il peut dans certains cas tre
dconseill de modifier les valeurs par dfaut.
2 - Distances administratives de quelques algorithmes de routage :

Interface
connecte
0 IS-IS

115
Route
statique
1 RIP 120
IGRP

100 EGP

140
OSPF

110 Inconnu 255
3 - Mtrique IGRP
La mtrique IGRP est calcule daprs la formule suivante :
( ) ( )
4
5
3
2
1
256
.
.
k R
k
D k
L
B k
B k M
IGRP
IGRP
IGRP IGRP
+
+ = avec
Min
IGRP
B
B
7
10
=

B
MIN
(unit Kbits/s)est la bande passante dfinie par le paramtre bandwidth des lignes sries (par dfaut
B
MIN
=1544 Kbits/s)
D
IGRP
(en multiple de 10 s) est la somme des dlais de tous segments traverss. Modifiable par la
commande Delay de configuration dinterface.
R=reliability est le taux de fiabilit cod sur 1 octet de 0 255
L est la charge mesure par IGRP code galement sur un octet.

4 - Elments sur la stabilit
Le temps de maintien
IGRP fournit un certain nombre dlments visant amliorer sa stabilit. Ceci inclus le maintien de route, le
clivage dhorizon, et les mise jour avec empoisonnement de route (poison reverse updates)
Le mcanisme de maintien (Holddown) est utilis pour empcher des messages de mise jour rguliers de rinstaller
une route devenue invalide.
Quand un routeur cesse de fonctionner, les routeurs voisins dtectent cela par un manque de rgularit des messages
de mise jour. Ces routeurs calculent alors de nouvelles routes et envoient des mises jour de routage pour informer
leurs propres voisins des changements.
Cette activit dclenche un flot de messages dclenchs de mise jour qui se propagent sur le rseau. Ces messages
dclenchs natteignent pas instantanment chaque nud du rseau. Ainsi, il est possible quun matriel qui n'a pas
t encore inform dun problme sur le rseau reoive un message de mise jour rgulier linformant dune route
dune route prtendument valide vers un nud qui en fait est en dfaut
Dans cette situation, ce matriel contient et ventuellement diffuse une information de routage incorrecte
Le mcanisme de maintien indique aux routeurs d ignorer les changements affectant une route pendant un certain
temps. La dure de maintien est habituellement calcule pour tre juste suprieure au temps ncessaire pour que
lensemble du rseau soit averti dun changement de topologie
Le clivage dhorizon
Le clivage dhorizon repose sur le principe selon lequel il est inutile d envoyer de linformation au sujet dune route
dans la direction depuis laquelle elle est venue. La figure ci dessous illustre cette rgle.

R2
Rseau A Rseau B
R1

Le routeur R1 prvient quil a une route vers le rseau A. Il ny a aucune raison pour le routeur R2 dinclure cette
route dans les mises jour quil enverra R1 car R1 est plus prs du rseau A
La rgle de clivage dhorizon dit que R2 doit supprimer cette route de toute information de mise jour quil envoie
R1. La rgle de clivage dhorizon aide prvenir les boucles de routage.
Considrons par exemple le cas dans lequel linterface vers le rseau A du routeur R1 tombe en panne. Sans clivage
dhorizon, R2 informe R1 quil connat une route vers le rseau A. Si R1 ne se mfie pas, il va considrer R2 comme
une route de secours vers le rseau A en remplacement de son propre accs direct, causant ainsi une boucle de
routage.
Bien que le mcanisme de maintien doive en principe empcher cela, le clivage dhorizon est implment dans IGRP
parce quil accrot la stabilit de lalgorithme
Empoisonnement de route
Le clivage dhorizon permet dempcher les boucles de routage entre routeurs adjacents, mais les mises jour avec
empoisonnement de routes sont ncessaires pour empcher des boucles de routage plus vastes. Laccroissement des
mtriques de routages indique gnralement la prsence de boucles de routage.
Des mises jour avec empoisonnement de routes sont envoyes pour invalider la route dans ce cas, cest dire que la
route est indique avec une mtrique infinie. Dans IGRP, des routes empoisonnes sont envoyes si la mtrique reue
augmente dun facteur 1,1 ou plus par rapport la mtrique de la route prsente dans la table de routage.

Annexe 3 - OSPF

OSPF est un protocole de routage dvelopp par lIETF pour des rseaux de taille moyenne (jusqu 500 routeurs).
Dans cette configuration chaque routeur doit entrer en relation avec ses voisins, dterminer le cot vers ceux-ci et
construire un LSP( link state packet). Le LSP est transmis tous les routeurs qui disposent ainsi dune base
dinformation sur lensemble du rseau. Chaque routeur partir de la connaissance du rseau maill calcule les routes
vers chaque destination et tablit un arbre de distribution selon lalgorithme de recherche SPF (shortest Path Find).
Comme la taille du rseau peut tre importante et que la quantit de ressource alloues sur le routeur pour les calculs
(mmoire, temps CPU) est proportionnelle la taille, OSPF met le plus souvent en uvre un routage hirarchique. Ce
dernier consiste dcouper le rseau en aires relies une aire centrale ( le Backbone). Ainsi les routeurs ne calculent
plus que les routes propres leur zone. Le reste du rseau tant rsum en une route par dfaut. Les aires sont relies
entre elles par des routeurs frontire : les ABR 5 Area border Router).

1 - Fonctionnement approfondi (A lire avant le TP)

OSPF est un protocole tats de liens. Un lien peut tre dfini comme une interface de routeur. Ltat de ce lien est
une description de linterface et de ses relations avec les routeurs voisins. Cette description comprendra par exemple
ladresse IP le masque , le type de rseau auquel linterface est connecte, les routeurs connects ce rseau
Lensemble des informations sur les liens constitue la base de donnes des tats de liens (Link State Data Base)

OSPF utilise un algorithme tats de liens pour construire le chemin le plus court vers toutes les destinations connues
A linitialisation ou chaque changement de linformation de routage, un routeur va gnrer un LSA (link
State Advertisement). Ce LSA contient lensemble des liens du routeur.
Tous les routeurs changent les LSA en mode inondation. Chaque routeur qui reoit un LSA en garde une
copie et doit le propager ces voisins.
Lorsque la base de donne de chaque routeur est complte, le routeur calcule le chemin le plus court vers
toutes les destinations (Algorithme de Dijkstra ). La table de routage est alors complte.
2 - Mtrique
Le cot dune lien est dfini par :
Bandwith
C
10
8
=

Ainsi la travers dun lien 10 Mbps Ethernet sera associe un cot de 10.
3 - Aires et ABRs
Comme mentionn plus haut, OSPF utilise le mode inondation pour changer les mises jour entre routeurs. Tous
changement dans linformation de routage est propag tous les routeurs. Les aires sont introduites pour limiter ce
fonctionnement un domaine restreint. Linondation et le calcul de plus court chemin sont limits lintrieur de
laire. Les aires sont connectes la dorsale (Backbone) par des routeurs frontires, les ABR (Area border Routers) .

AREA 1
AREA 2
AREA 3
Dorsale AREA 0
Systme Autonome 100
Systme Autonome 120

4 - Les LSA (link state advertisements)
Il existe diffrents types de LSA, que lon retrouve ensuite dans les bases de donnes OSPF. Les diffrents types de
LSP sont illustrs ci-dessous et obissent des rgles de propagation diffrentes.

Les liens routeurs (Router links) sont une indication de ltat des interfaces dun routeur. Ce type de LSP est gnr
par tous les routeurs.
Les liens dagrgations (Summary links) sont gnrs par les ABRs. Ils indiquent de manire rsume comment les
rseaux sont accessibles dans les diffrentes aires. Cet information est changes entre le backbone et les diffrentes
aires. Les ABRS doivent aussi indiquer les routes vers les ASBR (routeurs frontire vers les autres systmes
autonomes)
Les liens rseaux (Network links) sont gnrs par les routeurs dsigns (DR) sur un segment. Cette information
indique comment les routeurs sont relis dans le cas des rseaux accs multiple ( Ethernet par exemple)
Les liens externes (external links) indique les rseaux hors de lAS. Ces routes vers es rseaux sont injects dans
OSPF par redistribution au niveau des ASBR).

Router links
Summary links
Summary links
ASBR
External links

5 - Voisinage et adjacence.
Deux routeurs qui partagent un mme segment rseau deviennent voisins sous certaines conditions (mme aires,
authentification russie etc.). Les routeurs adjacents sont les routeurs qui procdent lchange des LSP et possdent
la mme base de donne. Les routeurs devient pleinement adjacents aprs de nombreuses tapes intermdiaires.

6 - Routes externes de type 1 ou 2
Les routes externes se divisent en deux catgories. Elles se distinguent par la faon dont la mtrique est calcule pour
chacune de ses routes. Le cot dune route de type 2 est le cot externe sans tenir compte du cot interne pour
rejoindre le rseau externe. Le cot dune route de type 2 est la somme du cot externe et du cot interne utilis pour
joindre cette route.

P Pa ar rt ti ie e B B T TR RA AN NS SL LA AT TI IO ON N D D' 'A AD DR RE ES SS SE E
I - Introduction
1 - Contexte
Il arrive frquemment qu'un rseau interne utilise des classes d'adresses prives, par exemple pour palier la pnurie de classes
d'adresses publiques. Les machines du rseau interne n'ayant pas d'adresse routable sur Internet, elles ne devraient en thorie
ne jamais pouvoir communiquer avec l'extrieur.
La solution ce problmes est la translation d'adresse (NAT : Network Address translation). En ralit, la NAT permet de
rsoudre de nombreux cas de figure diffrents:

L'puisement des adresses IP publiques :
Le rseau interne utilise des classes d'adresses prives non routables sur Internet. Les requtes vers l'extrieur sont alors prises
en charge par le routeur au nom des machines internes.

La fusion de rseaux qui utilisent des espaces d'adresse qui se recouvrent :
Si deux compagnies utilisent les classes d'adresses prives et que l'on doive fusionner leurs rseaux, il pourra s'avrer trs
coteux d'laborer un nouveau plan d'adressage. Dans une telle situation la NAT permet d'effectuer une traduction entre
rseaux dont les plages d'adresses se chevauchent.

L'quilibrage de charge :
Si plusieurs serveurs ralisent la mme fonction (service Web par ex.), la NAT peut tre utilise pour quilibrer le trafic entre
les diffrents serveurs. Vu des utilisateurs une seule adresse IP est utilise, le routeur se charge de redistribuer les requtes vers
les serveurs en partageant la charge de ces derniers.
2 - Terminologie NAT
Dans le cadre de la NAT, les rseaux peuvent tre de deux types : les rseaux internes et les rseaux externes. Les
rseaux internes sont des rseaux dont les adresses ne sont pas lgitimes, elles doivent tre traduites en des adresses lgitimes.
Les rseaux externes sont des rseaux dont les adresses IP sont considres comme lgitimes.

Les termes suivants sont utiliss :
Adresse interne locales: Ce sont des adresses IP des machines htes connectes sur le rseau interne. Ces adresses sont non
lgitimes et donc inconnues l'extrieur du rseau.
Adresse interne globales : Ce sont les adresses en lesquelles les adresses locales internes seront traduites. Ce sont les adresses
des machines, vu de lextrieur. Ces adresses doivent tre lgitimes. Bien souvent ce sera l'adresse du routeur cot rseau
externe.
Adresses externes locales : Ce sont les adresses des machines externes, vu du rseau interne.
Adresses externes globales : Ce sont les adresses ip des machines connectes l'extrieur du rseau. Ces adresses doivent
tre lgitimes.
Toutes ces notions ne sont pas systmatiquement appliques suivant le type de NAT utilis.

3 - Objectifs
Dans cette partie, nous allons considrer deux cas spcifiques :
- La translation de source (SNAT), utile pour raccorder un rseau interne l'extrieur et en particulier Internet
- La translation de destination (DNAT), pour permettre des machines externes d'accder aux serveurs du rseau
interne. Nous allons dmarrer un serveur WEB et un serveur FTP sur notre rseaux local (adresses prives) et
permettre aux machines externes daccder ces services.
II - Prliminaires
Le nouveau plan de rseau mettre en place est prsent ci-dessous.
Les rseaux en 10.X.X.X et 192.168.X.X sont maintenant considrs comme privs
LAB-A et LAB-H n'assurent pas le routage des plages d'adresses prives.
Chaque binme dispose de deux routeurs permettant l'interconnexion de deux LANs et leur raccordement Internet.

PC5A
152.77.65.179
LAB-A
152.77.65.176/28
S0/0
152.77.65.161
S0/1=DCE
152.77.65.165

E0/0
152.77.65.160/30
Tp Routage :

Station : X.X.X.11
GW : X.X.X.1

FEDE
LAB-H
E0/0
S0/1/0=DCE
152.77.65.173

S0/0/0
152.77.65.169

152.77.65.177
152.77.65.178
152.77.65.168/30
152.77.65.172/30
152.77.65.164/30

PC5B
152.77.65.180
PC 1B
10.0.3.0/24
PC 1A
10.0.1.0/24
LAB-B
LAB-E
S0/0
10.0.2.1
S0/0=DCE
10.0.2.2

10.0.2.0/24
Groupe 1
LAN-B
PC 2A
10.0.4.0/24
LAB-C
LAB-F
S0/1
152.77.65.166/29

S0/0
10.0.5.1
E0/0
10.0.5.0/24
LAN-C
PC 2B
10.0.6.0/24
S0/0=DCE
10.0.5.2

PC 3A
192.168.1.0/24
LAB-D
LAB-G
S0/1=DCE
152.77.65.170

S0/0
192.168.2.1

192.168.2.0/24
Groupe 3
LAN-D
PC 3B
E0/0
S0/0=DCE
192.168.2.2

E0/0
E0/0
E0/0
S0/1=DCE
152.77.65.162
E0/0
LAN-G
192.168.3.0/24
PC 4A
192.168.4.0/24
LAB-I
LAB-J
S0/1
152.77.65.174

S0/0
192.168.5.1

192.168.5.0/24
LAN-I
PC 4B
E0/0
S0/0=DCE
192.168.5.2

E0/0
LAN-J
192.168.6.0/24
LAN-F
LAN-E
IUT
FE0/1
152.77.65.222
152.77.65.192/26
152.77.65.254
Groupe 2
Groupe 4
FEDE 3
FEDE 4
FEDE 2
FEDE 1

Les routeurs LAB-B, LAB-C, LAB-D et LAB-I devront donc prendre en charge la translation d'adresse des
rseaux internes vers leur adresse publique.

CONFIGURER TOUS LES ROUTEURS SAUF LAB-A et LAB-H avec un protocole de routage simple
(RIP). Chaque binme est responsable de deux routeurs conformment au schma. Les rseaux internes
sont privs. On ne publie pas les rseaux publics vers lintrieur !

Configurer LAB-A (route par dfaut et routes vers FEDE 3 et FEDE 4.
Configurer LAB-H (route par dfaut vers LAB-A)

. FAIRE VERIFIER.


III - Translation d'adresse source
Cette opration est trs simple, il faut
- Prciser quelle interface appartient au rseau externe.
- Prciser quelle interface appartient au rseau interne.
- Dresser une liste des plages d'adresses translater.
- Activer la translation d'adresses.

Nous allons traiter l'exemple du routeur LAB-B :

Un rseau public externe est matrialis par les postes PC5A et PC5B :

Interface
externe Interface
interne
Interface
Interne
NAT
10.0.3.0
10.0.2.0/24
10.0.1.0/24
PC 5B
152.77.65.176./28
E0/1
PC 5A
LAB-A
Rseau priv Rseau public
LAB-H
LAB-B
10.0.2.0/24
NAT

LAB-B#conf t
LAB-B(config)#int serial 0/1
LAB-B(config-if)#ip nat outside Dclare l'interface Serial 0/1 comme externe :

LAB-B(config)#int fastEthernet 0/0
LAB-B(config-if)#ip nat inside Dclare l'interfaceEthernet 0/0 comme interne
LAB-B(config)#int serial 0/0
LAB-B(config-if)#ip nat inside Dclare l'interface serial 0/0 comme interne

Il faut maintenant dresser la liste des rseaux translater :
LAB-B(config)#access-list 1 permit 10.0.1.0 0.0.0.255 Autorise la translation du rseau 10.0.1.0
LAB-B(config)#access-list 1 permit 10.0.2.0 0.0.0.255 Etc .ou bien utiliser un masque mieux choisi
Rpter l'opration pour tous les sous-rseaux privs de votre rseau en les inscrivant dans la liste d'accs numro 1.
Attention, le masque rseau est remplac par un masque gnrique comme nous le verrons par la suite pour les listes
d'accs. Considrez simplement pour l'instant que les 0 et les 1 sont inverss dans le masque !

Enfin, activer la NAT par l'instruction suivante :
LAB-D(config)#ip nat inside source list 1 interface Serial0/1 overload

Effectuer quelques PING de l'intrieur vers l'extrieur. Pour vrifier que tout fonctionne.
Enfin on peut visualiser la table de translation d'adresses sur le routeur par la commande :

Routeur#show ip nat translations
Relever ici un exemple de ligne fournie par cette dernire commande :

Pro Inside global Inside local Outside local Outside global

. FAIRE VERIFIER.
IV - Translation d'adresse destination
Il s'agir maintenant de rsoudre le problme inverse : Comment autoriser les htes extrieurs communiquer avec une machine
interne au rseau et qui ne possde pas ce titre d'adresse globale externe ?
Considrons un routeur reli Internet avec une interface d'adresse publique et un rseau local avec une interface d'adresse
prive. Il vous suffit pour votre manipulation d'adapter le cas suivant :
Sur la machine serveur, dmarrer les serveurs WEB XITAMI. Ce petit serveur nous permettra de tester notre configuration
NAT.
Par exemple, sur le rseau du groupe 1 :

Interface
externe Interface
interne
Interface
Interne
NAT
10.0.3.0
10.0.2.0/24
10.0.1.0/24
PC 5B
152.77.65.176./28
E0/1
PC 5A
LAB-A
Rseau priv Rseau public
LAB-H
LAB-B
10.0.2.0/24
NAT
Serveur
Web
10.0.1.11

Les interfaces internes et externes ont dj t dfinies dans le paragraphe prcdent.
Il reste ouvrir l'accs aux serveurs du rseau interne depuis l'extrieur.

Nous allons dfinir un "pool" de machines ralisant la fonction de serveur web :

Routeur(config)#ip nat pool monserveur 10.0.1.11 10.0.1.11 netmask 255.255.255.0 type rotary

Notez bien que l'adresse du serveur est entre deux fois (il s'agit en fait d'une plage d'adresses et donc dans notre cas une seule
machine !)

Nous allons dfinir la liste des machines qui seront autorises se connecter sur ce serveur :
Routeur(config)#access-list 101 permit tcp any any eq 80

Enfin on active la translation d'adresses :
Routeur(config)#ip nat inside destination list 101 pool monserveur

C'est termin !!
Il reste vrifier que tout fonctionne bien.
C'est dire que les utilisateurs ont accs l'extrieur (Web DNS )
Et que les utilisateurs extrieurs ont accs votre serveur web. Pour cela, accdez au serveur WEB du rseau SERVEURS
depuis PC4A ou PC4B.

A l'aide de la commande sh ip nat translations, complter le tableau suivant par quelques exemples :

Pro Inside global Inside local Outside local Outside global

. FAIRE VERIFIER.

P Pa ar rt ti ie e C C L LI IS ST TE ES S D DE E C CO ON NT TR RO OL LE E D D' 'A AC CC CE ES S
I - Objectifs
Les routeurs sont chargs d'orienter le trafic en fonction de l'adresse IP. Ils sont amens pour cela examiner les
trames qu'ils collectent pour les rexpdier. Ils constituent donc l'emplacement idal pour assurer des fonctions de
scurit telles que le contrle des droits d'accs des rseaux en fonctions des adresses source et destination des
paquets.
Dans ce TP, nous allons voir comment crer des listes d'accs standard et tendues. Nous nous intresserons ici au
contrle du trafic IP mais les listes d'accs sont galement applicables d'autres protocoles comme IPX, AppleTalk
etc .

Pour implmenter correctement un mcanisme de contrle d'accs il faut :
Dterminer les exigences relatives aux listes mettre en place en fonction des besoins en matire scurit.
Crer la liste de contrle d'accs.
Appliquer la liste une interface du routeur.
S'assurer du bon fonctionnement de la liste de contrle d'accs.
II - Prliminaires
Avant dimplanter les listes daccs le rseau suivant doit tre oprationnel (un protocole de routage tel que RIP ou
IGRP sera implant).

Chaque groupe dispose de deux routeurs et de deux rseaux Ethernet conformment au schma suivant :

Rseau
daccs
FW
PCA

Serveur WEB

Serveur FTP

Rseau SERVEURS

Rseau USAGERS

PC 5B
152.77.65.176/28
LAB-A
E0/1
PC 5A
FW
dsigne suivant votre groupe le routeur LAB-B ou LAB-C ou LAB-D.
FW implmente dj des fonctions NAT dtailles dans la partie prcdente.
Le rseau SERVEURS dsigne suivant votre groupe le rseau LAN-B ou LAN-C LAN-D ou LAN-I.

ATTENTION, AVANT DE POURSUIVRE, LA TRANSLATION D'ADRESSE DOIT ETRE
OPERATIONNELLE.

Vous allez manipuler plusieurs access-lists dans cette partie. En aucun cas, il ne faut altrer celles qui
concernent la NAT.
III - Listes de contrle d'accs standard
Les listes d'accs standard peuvent contrler des paquets en fonctions de l'adresse IP source. Par consquent. Il faut
les placer sur le routeur le plus proche du rseau que l'on dsire protger.

Exemple (ne pas mettre en uvre)
On souhaite empcher le trafic IP en provenance de la machine PC5B d'accder au rseau LAN-C d'adresse rseau
10.0.4.0
La liste daccs sera cre sur le routeur LAB-C.

En mode de configuration globale, on cre une liste d'accs (numro 1)
Routeur(config)#access-list 2 deny host 152.77.65.180 refus de lhte
Routeur(config)#access-list 2 permit any Autorisation de tous les autres htes
Implicite : access-list 2 deny any rgle implicite toujours prsente en fin de liste
Routeur# show access-list. Contrle de la liste ainsi cre
Quel est lintrt de la deuxime rgle ?

Il faut ensuite associer cette liste une interface :
Routeur(config)#interface FastEthernet 0/0 Configuration de l'interface 0/0
Routeur(config-if)#ip access-group 2 out La liste d'accs N1 est associe l'interface en sortie

Remarque :
Les rgles de contrle d'accs sont traites squentiellement. Lorsqu'on ajoute une rgle, celle-ci se positionne donc
en dernire position. Il n'est pas possible d'insrer des commandes. Il faut dans ce cas liminer la liste d'accs et la
recrer en entier.
Mise en uvre
Interdisez lhte 152.77.65.180 laccs au rseau SERVEURS de votre groupe

Proposez les tests adquats et vrifiez le bon comportement de la liste de contrle daccs. Supprimer la liste

IV - Listes de contrle d'accs tendues
Les listes d'accs tendues offrent davantage de possibilits que les listes d'accs standard :
L'adresse source comme l'adresse destination peuvent tre contrles.
Il est possible de contrler le type de trafic (Numro de port sous IP, type de message ICMP)
Comme on peut tester l'adresse source, il est parfois prfrable de placer la liste d'accs au plus prs de la source des
requtes interdire afin d'viter que ces paquets n'encombrent inutilement le rseau.
Les listes d'accs tendues reoivent un numro de 100 199.

On souhaite empcher les requtes http en provenance de la machine PCB de votre groupe d'accder au rseau
SERVEURS de votre groupe.
Sur quel routeur et quelle interface doit-on associer la liste qui va tre cre ?

En mode de configuration globale. Crer une liste d'accs (numro 102).
Associer de la mme manire que prcdemment cette liste une interface.

Choisir des tests adquats et les mettre en uvre pour vrifier le bon fonctionnement de la liste de contrle
d'accs. (un serveur Web peut tre activ sur la machine PCA du rseau SERVEUR).

V - Mise en uvre des listes de contrle d'accs tendues pour l'accs FTP
Dtruire au pralable les listes prcdemment cres aux paragraphes III et IV et leurs associations des
interfaces SANS TOUCHER AUX LISTES QUI CONCERNENT LA TRANSLATION D'ADRESSE.

Vrifier que les serveurs WEB et FTP de votre rseau SERVEUR sont accessibles
Concevoir la liste d'accs qui rsulte de la politique de scurit suivante :


FW
Rseau SERVEURS

Rseau USAGERS

PC 1B
205.7.5.0/24
LAB-A
E0/1
PC 1A
Rseau
externe
Access-list 120
Place en sortie de
FastEthernet 0/0

Mettre en place la scurit interne pour les accs WEB et FTP depuis le rseau USAGERS.
Construire la liste 120 de manire que lextrieur et le rseau USAGERS ait accs au serveur WEB.
Complter la liste 120 de manire que le rseau USAGERS ait aussi accs au serveur FTP du rseau SERVEURS.
En cas de difficult, lancez un analyseur rseau sur les rseaux SERVEURS et USAGERS et tentez de trouver une
explication !
. FAIRE VERIFIER

(Optionnel en fonction du temps disponible) Si l'on s'en tient aux listes mises an places, les requtes DNS ne
fonctionnent sans soute plus, faire le ncessaire pour que la communication des diffrents postes avec le serveur DNS
de l'universit soit possible.
. FAIRE VERIFIER.

VI - Annexes
1 - Quelques Protocoles contrlables par access-list

Intervalle
IP 1 to 99
Extended IP 100 to 199
Ethernet type code 200 to 299
Ethernet address 700 to 799
AppleTalk 600 to 699
Source-route bridging (protocol type) 200 to 299
Source-route bridging (vendor code) 700 to 799
IPX 800 to 899
Extended IPX 900 to 999
IPX SAP 1000 to 1099
2 - access-list (IP standard)

!
LA NOTION DE MASQUE GENERIQUE UTILISEE POUR LA DEFINITION DES REGLES NEST PAS
EQUIVALENTE A CELLE DE MASQUE DE SOUS-RESEAU HABITUELLEMENT UTILISEE DANS LA
DEFINITION DES ADRESSES IP DE RESEAUX.

Pour dfinir une liste daccs IP standard, utiliser la version standard de la commande de configuration globale access-List.
access-list access-list-number {deny | permit} source [masque gnrique] [log]
no access-list access-list-number
Syntaxe

access-list-
number
Numro de la liste daccs. Nombre dcimal de 199 ou de 1300 1399.
deny Refuse laccs si la condition est vrifie
permit Autorise laccs si la condition est vrifie
source
Numro de rseau ou dhte depuis lequel le paquet est envoy.
Il existe deux mthodes pour spcifier la source
Utiliser une adresse IP sur 32 bits au format dcimal point.
Utiliser le mot cl any comme abrviation de la squence [source masque] 0.0.0.0
255.255.255.255
Masque
gnrique
(Optionnel) bits de masquage appliquer la source.
Chaque bit 0 indique que le bit correspondant dans ladresse IP du paquet doit correspondre
exactement au bit correspondant du champ source.
Chaque bit 1 indique que le bit correspondant dans ladresse IP du paquet nest pas pris en
compte dans le test de correspondance
Il existe deux mthodes pour spcifier le masque de source
Utiliser une adresse IP sur 32 bits au format dcimal point. Placer des 1 aux positions de
bits que vous souhaitez ignorer. Par exemple 0.0.255.255 indique que seuls les 16 premiers
bits seront tests.
255.255.255.255
Les bits de masque 1 ne sont pas ncessairement contigus. Par exemple, le masque 0.255.0.64
serait valide.

log
(Optionnel) Provoque lenvoi de message de log de niveau information pour tout paquet qui
vrifie la rgle. (Le niveau de log est contrl par la commande Logging console.
Le message inclus le numro daccess-list, si le paquet a t accept ou refus, ladresse source
ou le nombre de paquets). Le message est gnr pour le premier paquet concern puis
intervalle de 5 mn

Fonctionnement par dfaut
Une access-list est toujours termine par un refus implicite de tous les paquets

Exemples
La liste daccs standard suivante autorise laccs uniquement aux htes des trois rseaux spcifis. Le masque
sapplique la partie rseau des adresses spcifies
Tout hte non expressment autoris est refus.
access-list 1 permit 192.5.34.0 0.0.0.255
! (Note: Tous les autres paquets sont implicitement refuss)

La liste daccs standard suivante autorise laccs aux matriels dadresse IP comprise dans lintervalle10.29.2.64
10.29.2.127
Tous les paquets dont ladresse source ne vrifie pas cette proprit sont refuss
! (Note: Tous les autres paquets sont implicitement refuss)

Pour spcifier un grand nombre dadresses individuelles plus facilement, on peut omettre le masque si tous ses bits
sont 0. Les deux configurations suivantes sont quivalentes

access-list 2 permit 36.48.0.3
3 - access-list tendues
Pour dfinir une liste daccs tendue, utiliser la version tendue de la commande de configuration globale access-
list :
Pour retirer laccess-list , utiliser la forme no access-list access-list-number de cette commande.

Cas gnral :
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-
wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input]

TCP
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-
wildcard [operator port [port]] destination destination-wildcard [operator port [port]] [established] [precedence
precedence] [tos tos] [log | log-input]

User Datagram Protocol (UDP)
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit}udp source source-
wildcard [operator port [port]] destination destination-wildcard [operator port [port]] [precedence precedence] [tos
tos] [log | log-input]

Syntaxe

access-list-
number

deny Refuse laccs si la condition est vrifie
permit Autorise laccs si la condition est vrifie
protocol
Nom ou numro du protocole IP : Un des mots cls suivants eigrp, gre, icmp, igmp, igrp, ip,
ipinip, nos, ospf, pim, tcp, or udp, ou un entier dans lintervalle 0 255 reprsentant un numro
de protocole IP. Pour dsigner tous les protocoles ip (ICMP, TCP UDP ) utiliser le mot cl
IP
source
Numro de rseau ou dhte depuis lequel le paquet est envoy.
Il existe trois mthodes pour spcifier la source
Utiliser une adresse IP sur 32 bits au format dcimal point.
255.255.255.255
Utiliser le mot cl Host comme abrviation de la squence [source masque] = [source]
0.0.0.0.
source-
wildcard
(Optionnel) bits de masquage appliquer la source.
Chaque bit 0 indique que le bit correspondant dans ladresse IP du paquet doit correspondre
exactement au bit correspondant du champ source.
Chaque bit 1 indique que le bit correspondant dans ladresse IP du paquet nest pas pris en
compte dans le test de correspondance
Il existe trois mthodes pour spcifier le masque de source
Utiliser une adresse IP sur 32 bits au format dcimal point. Placer des 1 aux positions de
bits que vous souhaitez ignorer. Par exemple 0.0.255.255 indique que seuls les 16
premiers bits seront tests.
255.255.255.255
Utiliser le mot cl Host comme abrviation de la squence [source masque] = [source]
0.0.0.0.
Les bits de masque 1 ne sont pas ncessairement contigus. Par exemple, le masque
0.255.0.64 serait valide.
destination Mme rgles que pour le champ source
destination-
wildcard
Mme rgles que pour le champ masque gnrique source
tos tos (Optionnel) Filtrage par type de service,
icmp-type (Optionnel) Les paquets ICMP peuvent tre filtrs par type de message ICMP (de 0 255)
icmp-code
(Optionnel) Les paquets ICMP filtrs par type de message peuvent galement tre filtrs par
type de code de message (de 0 255)
operator
(Optionnel) Compare le port source ou destination. Les oprandes possibles sont :
lt (less than), gt (greater than), eq (equal), neq (not equal), and range (inclusive range).
Si ce champ est plac aprs le champ [source masque source], il concerne le champ source
Si ce champ est plac aprs le champ [dest masque dest], il concerne le champ destination.
Loprateur ncessite deux numros de ports. Tous les autres oprateurs ncessitent un seul
numro de port
port Numro de port (0 65536)
established
(Optionnel) Pour le protocole TCP seulement
Indique une connexion tablie. La correspondance est vraie si le paquet TCP possde les flags
vrais. La correspondance est fausse dans le cas dun paquet initial destin tablir la
connexion.
log (Optionnel) Provoque un message de log au sujet du paquet vrifiant la rgle

Fonctionnement par dfaut
Une access-list est toujours termine par un refus implicite de tous les paquets

Note : Aprs la cration dune access-list, Tous les ajouts suivants sont placs la fin de la liste. Il nest pas possible
de slectionner lemplacement dune rgle dans la liste.

Exemples :
Dans lexemple suivant, linterface srie 0 fait partie dun rseau classe B dadresse 128.88.0.0 et ladresse mail de
lhte est 128.88.1.2. Le mot cl established est utilis seulement pour le protocole TCP pour indiquer une
communication tablie. Il y a correspondance si le datagramme possde les flags ACK ou RST activs ce qui indique
que le paquet appartient une connexion tablie.

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
interface serial 0
ip access-group 102 in

Lexemple suivant autorise les paquets DNS et les requtes et rponses ICMP

access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
access-list 102 permit tcp any host 128.88.1.2 eq smtp
access-list 102 permit tcp any any eq domain
access-list 102 permit udp any any eq domain
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply

Lexemple suivant montre lutilisation des masques gnriques :
Les bits dadresse correspondants aux bits de masque 1 sont ignors durant les vrifications. Les bits dadresse
correspondant aux bits 0 du masque sont tests.
On autorise le rseau 131.108.0.0/24 mais on interdit tous les autres sous-rseaux de 131.108.0.0/16.

access-list 101 permit ip 131.108.0.0 0.0.0.255 any
access-list 101 deny ip 131.108.0.0 0.0.255.255 any
P Pa ar rt ti ie e D D M MA AI IN NT TE EN NA AN NC CE E D DE ES S R RO OU UT TE EU UR RS S
I - Squence damorage du routeur
Dans cette partie, vous allez effectuer des manipulations trs spcifiques au matriel CISCO concernant la
maintenance des routeurs. Ces oprations permettent de mieux apprhender le processus de dmarrage de la machine
Deux manipulations distinctes vont tre effectues :
Rcupration de mot de passe.
Changement de lIOS (Internetworking Oprating System)

Avant deffectuer le changement dIOS, il convient de sassurer que la nouvelle version pourra tre supporte par
notre plate-forme. Il faut galement bien comprendre les choix de la source de chargement de lIOS qui est effectu au
dmarrage
Consulter dabord lannexe 1 dtaillant les oprations de dmarrage du routeur.

LIOS est constitu dun fichier monolithique stock en mmoire flash et recopi au dmarrage dans la mmoire
RAM.
La version de ce fichier dpend du matriel utilis (famille de routeur), des composants installs (volume de mmoire
flash et RAM disponible) ainsi que des fonctionnalits attendues.

Les oprations effectues lors du dmarrage du systme sont conditionnes par un registre de configuration.

La commande show version permet de connatre des informations utiles sur limage IOS en cours dutilisation ainsi
que la valeur du registre de configuration.
Dterminer :
La version IOS et dautres informations
Le nom du fichier image
Le type de processeur et la quantit de RAM
La plate-forme (famille de routeurs)
La quantit de NVRAM
La quantit de mmoire flash
La valeur du registre de configuration
Quelle serait le rsultat de la commande suivante : (saider de lannexe 2)

Routeur(config)#config-register 0x2102

Lors du dmarrage, le routeur dtermine lui-mme le nom du fichier IOS charger en flash si le registre a t configur pour
ce type de dmarrage. Une commande supplmentaire peut tre ajoute dans le fichier de configuration pour spcifier
explicitement le nom du fichier charger.

Routeur(config)#boot system <option> <filename> <option> peut prendre la valeur flash TFTP ou ROM
<filename> est le nom du fichier charger
Routeur#copy run start Sauvegarder loption choisie !

II - Rcupration de mot de passe
Les mots de passe sont normalement stocks en NVRAM dans le fichier startup-config.
En cas de perte de mot de passe, il est possible de forcer de forcer un redmarrage du routeur sans lecture du fichier de
configuration et par consquent sans authentification. Il faut pour cela disposer dun accs console la machine. Dans
un environnement de production, il faut donc songer verrouiller laccs physique au routeur.

Vrifier la valeur actuelle du registre de configuration. Quelle est-elle ?

Nous allons procder au redmarrage du routeur, en supposant que nous ignorons le mot de passe. Il convient de bien
respecter les tapes suivantes : (lire lensemble de la procdure avant de commencer.

Etape 1 : Redmarrer le routeur

Etape 2 : Interrompre la squence damorage, dans les 60 secondes qui suivent le redmarrage du routeur. Pour cela, appuyer
simultanment sur les codes CTRL et PAUSE. Un caractre dinterruption est alors envoy au routeur.
Cette squence ne fonctionne quavec une version spciale dHyperTerminal tlcharge sur le site de lditeur de
ce logiciel (Hilgraeve). La version standard livre avec Windows ne fonctionne pas. Dautres squences de touches
peuvent tre utilises avec dautres terminaux consoles (cf. Site CISCO pour plus dinformations). A noter que
lancienne version de terminal livre avec Windows 3.1 fonctionnait parfaitement.
La squence CTRL PAUSE a pour effet de forcer le dmarrage du routeur en mode moniteur en ROM. Dans ce
mode, un mini systme dexploitation permet deffectuer quelques oprations essentielles telles que la modification
du registre de dmarrage et mme le tlchargement dune image IOS.

Etape 4 : Tapez alors la commande confreg linvite du routeur :
Rommon>confreg Modification du registre
Rpondre Y pour modifier la configuration du registre puis N toutes les questions SAUF la question ignore
system info config. En effet cette question vous demande si au dmarrage vous voulez ignorer le fichier de
configuration startup-config sauv en NVRAM. Rpondre Y.
Faire alors le ncessaire pour sauvegarder la nouvelle configuration puis redmarrer le routeur par reset.

Etape 5 : Aprs le dmarrage du routeur, passer en mode privilgi. Pourquoi aucun mot de passe nest-il requis ?

Etape 6 : Recharger le fichier de config par copy start run. On peut maintenant lister les mots de passe en clair. Quant aux
mots de passes crypts, ils ne peuvent tre dcods sans outil spcifique

Etape 7 : Normalement, on devrait cette tape attribuer un nouveau mot de passe. Pour ce TP, remettre le mot de passe class

Etape 8 : Il faut maintenant restaurer le registre de configuration puis sauvegarder la configuration. :
Pour cela :
Routeur(config)#config-register 0x2102 Restaurer le registre
Routeur# Copy run start

Etape 9 : Il ne reste plus qu vrifier que tout sest bien pass en redmarrant normalement le routeur
Routeur#reload redmarrage
III - Tlchargement dun nouvel IOS.
Les routeurs CISCO sont capables de rcuprer une image IOS sur un serveur TFTP. Cest la mthode que nous
allons employer ici.
Comment il a t indiqu plus haut, limage IOS est stocke en mmoire flash puis recopie au dmarrage en mmoire
RAM.
Pour simplifier nous allons travailler sur la connexion suivante :
PCX-A
Serveur TFTP
LAB-X

1 - Sauvegarde du fichier image IOS
La manipulation suivante a pour but de sauvegarder une image sur le serveur TFTP puis de la restaurer sur le routeur
CISCO.
Activer dabord le serveur TFTP sur le PC Hte PCXA ou X est votre numro de poste.
Vrifier par un ping la connectivit entre le routeur et le serveur TFTP.
La sauvegarde seffectue alors simplement en recopiant le fichier image IOS de la mmoire flash vers le serveur
TFTP par :

Routeur#copy flash tftp Copie de la mmoire flash vers un serveur tftp
Prciser alors le nom du fichier transfrer puis ladresse du serveur contacter et effectuer le transfert.

2 - Tlchargement dune image
Deux cas peuvent se prsenter : Soit le routeur est dans un tat cohrent et fonctionne normalement. On peut alors
tlcharger une nouvelle image afin de remplacer lancienne.

Il arrive galement que lon doive restaurer une image IOS altre sur un routeur. Dans ce cas le dmarrage normal
est impossible faute dimage correcte en mmoire flash.

Premier cas :
Ce cas est facile traiter. Il faut cependant souvent effacer lancienne version de lIOS :
Routeur#dir flash: Listing des fichiers prsents dans la mmoire flash
Routeur#erase flash Effacement de la mmoire flash
Routeur#copy tftp flash Chargement du fichier IOS depuis le serveur tftp

Il suffit alors de fournir les informations ncessaires et de lancer limportation du fichier IOS.
Redmarrer alors le routeur laide de la commande reload. Normalement, le routeur doit dmarrer avec la nouvelle
image systme.

Remarque :
La procdure dcrite ici est valable pour de nombreux produits CISCO. Nanmoins, des variantes peuvent exister et il
est trs conseill de consulter le site du fabricant AVANT deffacer la mmoire flash pour viter de mauvaises
surprises...

Si le chargement de la nouvelle image choue, cest que le routeur ne dispose pas dune image valide. Il bascule alors
en mode de fonctionnement moniteur en ROM. Et il ne reste plus qu tenter la mthode N2 !!!

Deuxime cas :
Le deuxime mode de chargement est voisin du premier sauf quil consiste effectuer le tlchargement TFTP depuis
le mode moniteur en ROM ... nettement moins ergonomique.
Pour tester ce mode, effacer la mmoire flash, puis redmarrer (commande reload). Limage IOS est alors perdue.

Que se passe-t-il au redmarrage ?

La commande pour tlcharger le fichier image est, sur les routeurs de la srie 2600, tftpdnld.
Tapez cette commande. Que se passe-t-il ?
En fait, vous rcuprez un cran daide qui vous donne toutes les informations ncessaires pour prparer le
tlchargement. A vous de jouer !!
Annexe 1 Dmarrage du routeur
Aprs le test automatique de mise sous tension, l'initialisation d'un routeur se droule selon les tapes suivantes :
tape 1 - Le bootstrap gnrique, en mmoire ROM, s'excute sur le processeur. Le bootstrap est une opration
simple et prdfinie qui charge des instructions. Celles-ci chargent leur tour d'autres instructions en
mmoire ou activent d'autres modes de configuration.

tape 2 - Le systme d'exploitation (l'IOS) peut tre install plusieurs endroits. Son emplacement est prcis dans
le champ d'amorage du registre de configuration. Si le champ indique un chargement partir de la
mmoire flash ou du rseau, les commandes boot system du fichier de configuration prcisent
l'emplacement exact de l'image.

tape 3 - L'image du systme d'exploitation est charge. Une fois charg et en fonction, le systme d'exploitation
recherche les composants matriels et logiciels puis affiche les rsultats sur la console.

tape 4 - Le fichier de configuration stock dans la mmoire NVRAM est charg dans la mmoire principale, puis il
est excut ligne par ligne. Les commandes de configuration lancent les processus de routage, fournissent
les adresses aux interfaces, dfinissent les caractristiques des mdias, etc.

tape 5 - Si la mmoire NVRAM ne contient pas de fichier de configuration valide, le systme d'exploitation
excute une routine de configuration initiale interactive appele dialogue de configuration du systme ou
dialogue setup.

Le mode setup n'est pas conu pour entrer des fonctions de protocole complexes dans le routeur. Utilisez ce mode
pour crer une configuration minimale, puis les commandes du mode de configuration (et non le mode setup) pour
excuter la plupart des tches de configuration de routeur.
Annexe 2 Le registre de configuration
Configuration par dfaut du registre : 0x2102

b15 b14 b13 b12 b11 b10 b9 b8 b7 b6 b5 b4 b3 b2 b1 b0
0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0

Configuration pour un dmarrage sans lecture du fichier de configuration : 0x2142

Bits Valeur Rle Commentaires
B1- B0
0-0 System bootstrap Prompt
0-1 Boot system from EPROM
1-0 Boot system from flash
Choix du mode de dmarrage
b12- 11
1-0 1200 bauds
1-1 2400 bauds
0-1 4800 bauds

0-0 9600 bauds
Dbit sur la ligne srie
b4 Fast Boot
b6 Ignore configuration on startup
b7 Enable OEM BIT
(ignore cisco startup message)

b8 Disable break key La commande break est ignore en mode
console
b13 boot rom if netboot fails Chercher un IOS en flash en cas d chec de
chargement sur un serveur tftp
b15 enable diagnostics and ignore nvram
b10 IP broadcast with all zeros Compatibilit avec certains systmes
b14 ip broadcast if no net number
b14-b10 Adresse de broadcast rsultante
<net><host>

0-0 <ones> <ones>
0-1 <zeros> <zeros>
1-0 <net> <zeros>

1-1 <net> <ones>
b9 do not use secondary bootstrap

TP Routage

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

TP Routage

Încărcat de

Drepturi de autor:

Formate disponibile

IUT Grenoble - Dpartement RT 1 / 30

Travaux pratiques routage

S-ar putea să vă placă și