ECOLE NATIONALE

DE L'AVIATION CIVILE

TP accès réseau à distance :

Le protocole SLIP - le NAT

CE TP ILLUSTRERA

1 Présentation de l’environnement

2 La mise en place d’une connexion SLIP

3 La translation d’adresse, le NAT

PARTIE 1 : Présentation de l’environnement

Chaque îlot de quatre machines est équipé d’une baie Risor avec quatre hubs, deux switchs ethernet, et
quatre routeurs Cisco. Vous disposez également de câbles RJ45 : les câbles rouges sont croisés, les
autres sont droits.

Pour ce TP il vous faudra travailler en quadrinôme (à vous de vous coordonner). La partie SLIP
nécessite 4 stations Linux ; les îlots sont connectés avec l'armoire de brassage dans un coin de la salle
(4 liaisons séries/îlot). Il est important de NE PAS VISSER les connectiques séries pour ne pas user
prématurément les prises et leurs fixations !

Pour la partie NAT, chaque îlot dispose de trois PC Linux, d'un PC windows pour la configuration et
est doté de deux HUBs Ethernet ainsi que de deux SWITCHs Ethernet et un routeur Firewall CISCO
PIX.

Pour la partie SLIP et la configuration initiale du PIX, on utilisera le port série de votre machine.
Certains Pcs disposent d'un adaptateur USB-Port série (lié sous linux à /dev/ttyUSB0 et sous windows
à COM4), d'autres ont un port série connecté directement à la carte mère du PC (associé à /dev/ttyS0
et COM1).

Toutes les commandes réseau (ifconfig, wireshark...) doivent être exécutées en tant que ROOT. Le
mot de passe vous sera communiqué au début du TP. Attention: en tant que ROOT vous pouvez
endommager gravement votre système et hypothéquer le bon déroulement de votre TP, il est donc
nécessaire de réfléchir avant d’exécuter toute commande en tant qu’utilisateur ROOT.

Le compte-rendu devra faire apparaître en clair le nom des 3 autres membres du quadrinôme, le
nom/numéro de l'îlot, la séquence des commandes que vous aurez réalisées ainsi que les captures
d’écran des situations que vous jugerez utiles de mentionner par écrit. Toute commande ou capture
d’écran devra être justifiée et son fonctionnement explicité avec soin. De plus, il est nécessaire de se
rappeler qu'un petit schéma est souvent mieux qu'un long discours...

Commandes utiles et tests de connectivité

Vous testerez la connectivité entre les différentes machines à l’aide de Wireshark et des commandes :
• ping -Rn <adresse>
• traceroute –n <adresse>
• pour obtenir des informations sur une commande en ligne : man commande

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 1 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

PARTIE 2 : Mise en place d'une connexion SLIP

1 Topologie au niveau réseau

La topologie que vous devrez mettre en œuvre est définie dans la figure suivante :

Il est important de noter que ce schéma présente « globalement » ce qui est attendu. Toutefois, dans la
salle de TP, les interfaces eth0 sont utilisées pour les connexions à Internet ; il vous faudra donc
utiliser eth1 à la place. De plus, le « sens de transmission des paquets » désigne le sens par lequel
doivent passer les paquets uniquement lorsque la destination du paquet n'est pas un PC directement
connecté au PC émetteur. Ainsi, les paquets allant de PC1 à PC4 doivent passer par la liaison série
tandis que les paquets allant de PC1 à PC2 ou autre doivent passer par la liaison ethernet.

1. Justifiez le plan d'adressage et les équipements physiques choisis pour mettre en

oeuvre cette topologie.
2. Décrivez et justifiez votre plan de routage.
3. Quel est le TTL minimum pour contacter n'importe quel ordinateur de votre îlot ? Quel
est le TTL par défaut utilisé pour les paquets émis d'une station Linux ? (Justifier)

2 Configuration de l’interface slip

La première étape permet de déclarer l'utilisation d'un lien slip utilisant le port série 1 (ttyS0)
# slattach -p slip -s 38400 /dev/ttyS0 &
Cette commande permet de créer une interface réseau associée au port série 1. Vous récupérerez le
nom de cette interface virtuelle à l’aide de la commande ifconfig (--help vous donnera la liste des
options de cette commande dans laquelle se trouve l'option permettant d'afficher toutes les interfaces,
y compris celles désactivées).
Il faut ensuite configurer cette interface (à vous d'adapter les adresses IP)
# ifconfig <iface_name> <local IP> pointopoint <remote IP> up
Ceci permet de créer un lien point à point entre les deux machines. Les adresses IP correspondent aux

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 2 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

points d'entrée du tunnel slip. Cette commande crée également une route. A vous de vérifier si elle
répond aux contraintes posées et à modifier les tables de routage si nécessaire.

3 Test de la connectivité

N'oubliez pas de noter dans le compte-rendu toutes les étapes que vous aurez réalisées et
leur justification ainsi que tous les problèmes éventuels auquels vous aurez été confrontés et
leur résolution.

3.1 Lancez une capture sous Wireshark sur chacun des 4 PC

3.2 Testez la connectivité des machines. Que pouvez-vous observer sur les captures ?

3.3 Sans modifier la table de routage, testez la connectivité en forçant les paquets allant
de PC1 vers PC3 à passer par PC4 pour les requêtes et les réponses (cf « man ping »). Que
se passe-t-il alors ?

3.4 Testez la performance de votre liaison à l’aide de la commande iperf :

• Sur PC1, lancer la commande iperf –s
• Sur PC3, lancer la commande iperf –c <@IP PC1> -i 1 –r -m (justifier l'intérêt -ou
l'inutilité- des paramètres de cette ligne de commande)
• Le résultat vous semble-t-il cohérent ? Vérifiez-le à l’aide du menu statistic de
Wireshark.

Remarque: Si vous n'arrivez pas à tester la performance sur l'anneau complet, précisez-en
les raisons et testez les performances de chaque liaison point à point pour estimer ce que
vous auriez dû obtenir.

3.5 Représenter de manière synthétique à l'aide d'un diagramme le cheminement des

paquets et y indiquer les informations pertinentes

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 3 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

PARTIE 3a : Translation d’adresses avec un parefeu Cisco

1. Objectifs

Nous vous proposons de mettre en place la configuration réseau présentée dans le schéma suivant pour
ainsi illustrer la fonctionnalité de translation d’adresse. Nous allons ainsi accéder à un serveur FTP en
faisant appel successivement à la fonction de NAT dynamique puis de NAT statique. Dans ce dernier
cas nous aborderons aussi la notion de serveur virtuel.

L’objectif de la configuration du CISCO PIX va être de mettre en place une translation d’adresse entre
le réseau Confiance et le serveur FTP situé sur le réseau Mefiance :

MEFIANCE

Eth0

Eth1

Au préalable, sur la machine qui va servir de serveur ftp assurez-vous que le serveur FTP 3CDaemon
sous Windows est prêt et qu’il est possible d’établir un début de connexion FTP.

2. Configuration du réseau

Afin de faciliter le déploiement de cette fonctionnalité réseau nous allons utiliser le système CISCO
PIX et son interface graphique ASDM. Ce firewall matériel de haut niveau permettra de déployer
aisément le NAT entre nos différents réseaux logiques.

Au préalable, prenez connaissance de la configuration du PIX en mode commande à l’aide de

l’hyperterminal, d’un câble série et du poste sous Windows XP.

Remarque IMPORTANTE : il n’y a pas de mot de passe ENABLE sur le CISCO PIX, ne modifiez jamais ce
mot de passe pendant tous les TPs que vous réaliserez sur cet équipement.

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 4 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

Après avoir activé le mode d'administration, récupérer (à l’aide de la commande « show running-
config ») d’une part, les adresses IP des deux interfaces configurées sur le CISCO PIX pour pouvoir
construire la topologie réseau adéquate et configurer vos PCs avec le bon plan d’adressage. Récupérez,
d’autre part, l’adresse de la machine qui est autorisée à se connecter sur l’interface CONFIANCE du
PIX via le protocole HTTP. Utiliser cette adresse pour configurer le poste Windows XP. Pour
information, chaque PIX suit un plan d’adressage spécifique.

Pour ce qui est des interfaces des PC Linux utilisez les commandes « ifconfig » et « route » pour créer
deux réseaux logiques différents à l’aide de deux des PCs Linux de l’ilot sur lequel vous travaillez.
Reportez-vous au schéma précédent pour ce qui est adresses réseaux des différents réseaux logiques
(Confiance et Mefiance).

Avant de positionner la règle de NAT sur le CISCO PIX il est nécessaire de valider les adresses des
interfaces Ethernet 0 et Ethernet 1 du CISCO PIX de façon à faire communiquer deux PC Linux
appartenant à des réseaux logiques différents (Confiance et Mefiance). Pour la configuration
graphique des interfaces du PIX reportez vous à l’annexe A. La configuration se fait à partir du poste
Windows XP de l'îlot qui sera connecté dans le réseau Confiance.

A ce moment du TP vous devez avoir une configuration réseau fonctionnelle qui permette à vos
machines Linux et Windows XP de communiquer à travers le CISCO PIX.

3. NAT dynamique
Pour créer une règle de translation d’adresse avec ASDM, il faut se positionner dans le menu
Configuration, NAT et utiliser le bouton Add :

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 5 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

Dans ce cas il s’agit donc d’une translation d’adresse dynamique de l’adresse source, donc
celle du client FTP situé sur le réseau confiance.

 Dans la rubrique « Source Host/Network » qui apparaît sur le schéma suivant, quelle
interface faut-il choisir ?

 Quelle adresse faut-il choisir ? Vous pouvez utiliser le bouton Browse.

 Dans la rubrique « Translate Address on Interface » quelle interface faut-il choisir ?

Avant d’assigner la plage d’adresse de translation dynamique, il faut créer cette plage
avec le bouton Manage Pools prévu à cet effet :

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 6 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

MEFIANCE

1 – Il faut choisir l’interface qui possède la plage d’adresse, celle du côté de laquelle on va
trouver ces adresses
2 – Donner un identifiant à cette plage
3 – Spécifier que l’on veut créer un intervalle d’adresses.
4 – Préciser cet intervalle.

 Procédez sachant que l’intervalle d’adresse est 10.0.1.1 – 10.0.1.50. Faire Apply.

Lancez une capture wireshark à partir de votre machine serveur ftp.

 Tester le bon déroulement en faisant un ftp à partir d’une machine de confiance et

vérifiez sur wireshark quelles sont les adresses utilisées.

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 7 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

4. Nat statique

Nous allons maintenant changer la règle de NAT pour mettre en évidence le principe de la translation
d’adresse statique et la notion de serveur virtuel.

MEFIANCE

192.168.2.101

MEFIANCE

confiance

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 8 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

 Supprimez d’abord la règle créée au §3, puis ajoutez une règle de NAT statique sui-
vant le schéma précédent et en consultant le tableau suivant pour les adresses virtuelles
du serveur (adresse à adapter en fonction du plan d’adressage choisi dans le paragraphe
relatif à la configuration du réseau).

îlots Ilot 1 Ilot 2 Ilot 3 Ilot 4

Adresse virtuelle 192.168.2.101 192.168.2.102 192.168.2.103 192.168.2.104
du serveur FTP

 Relancez une capture wireshark sur le serveur ftp Mefiance.

Tester le bon déroulement en faisant un ftp à destination de l’adresse virtuelle du serveur à
partir d’une machine de confiance et vérifiez sur wireshark quelles sont les adresses utilisées.

 Testez maintenant en faisant un ftp à destination de l’adresse réelle du serveur à

partir d’une machine de méfiance.
Remarque : en terminant cette section veillez à bien supprimer la règle NAT que vous avez ra-
joutée dans le PIX et sauvegardez dans la « flash memory » la configuration « initiale ».
Faites valider ce point par l’instructeur avant de lancer la sauvegarde.

PARTIE 3b : Translation d’adresses avec un Linux paramétré en routeur

L'objectif de cette partie finale est de mettre en place une translation d'adresse de n'importe quel type
(SNAT statique, DNAT dynamique, PAT, Masquerade...) sur un PC équipé du système
d'exploitation Linux. Vous utiliserez pour cela 4 PC Linux.

• Chercher (sur l'Internet, dans les pages de manuel de Linux sur le module netfilter ou/et la
commande en ligne iptables) comment effectuer ce NAT. A préparer AVANT le TP ! Faire
apparaître sur le compte-rendu les commandes

• Mettre en place le NAT. Quel type de NAT avez-vous choisi ? Expliquer rapidement le
principe, l'utilité, le fonctionnement.

• Le tester et prouver son fonctionnement correct à l'aide du programme Wireshark

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 9 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

ANNEXE A
Configuration pix en mode graphique
1) Lancement de ASDM
 Sur la machine Windows, fermer le terminal série.
 Vérifiez (si besoin changez) que le « Java Runtime Environment » (JRE) utilisé sur le
système est bien la version 1.5, sinon l'interface ASDM refusera de se lancer. Pour cela,
allez dans les paramètres Windows, cliquez sur Java, sélectionnez l'onglet Java, bouton Affi-
cher, et cochez UNIQUEMENT la JRE 1.5 (décochez la 1.6 si elle est cochée).

 Lancez Internet Explorer et saisir l’url : https://192.168.n.1 (Il semble que Firefox ne
fonctionne pas)
Le cisco PIX vous envoie son certificat X509, acceptez le.

 Faire OK à la fenêtre pop sans rien saisir.

 Activez le bouton “Run ASDM as a Java Applet”

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 10 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

2) Première utilisation
 Saisissez l’adresse IP de votre firewall et laissez le username et le password vide, si
tout va bien, vous devez trouver l’interface de gestion du cisco Pix.

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 11 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE

La page d’accueil (home) vous donne des informations.

ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 12 8 nov. 2010