Documente Academic
Documente Profesional
Documente Cultură
DE L'AVIATION CIVILE
CE TP ILLUSTRERA
1 Présentation de l’environnement
Pour ce TP il vous faudra travailler en quadrinôme (à vous de vous coordonner). La partie SLIP
nécessite 4 stations Linux ; les îlots sont connectés avec l'armoire de brassage dans un coin de la salle
(4 liaisons séries/îlot). Il est important de NE PAS VISSER les connectiques séries pour ne pas user
prématurément les prises et leurs fixations !
Pour la partie NAT, chaque îlot dispose de trois PC Linux, d'un PC windows pour la configuration et
est doté de deux HUBs Ethernet ainsi que de deux SWITCHs Ethernet et un routeur Firewall CISCO
PIX.
Pour la partie SLIP et la configuration initiale du PIX, on utilisera le port série de votre machine.
Certains Pcs disposent d'un adaptateur USB-Port série (lié sous linux à /dev/ttyUSB0 et sous windows
à COM4), d'autres ont un port série connecté directement à la carte mère du PC (associé à /dev/ttyS0
et COM1).
Toutes les commandes réseau (ifconfig, wireshark...) doivent être exécutées en tant que ROOT. Le
mot de passe vous sera communiqué au début du TP. Attention: en tant que ROOT vous pouvez
endommager gravement votre système et hypothéquer le bon déroulement de votre TP, il est donc
nécessaire de réfléchir avant d’exécuter toute commande en tant qu’utilisateur ROOT.
Le compte-rendu devra faire apparaître en clair le nom des 3 autres membres du quadrinôme, le
nom/numéro de l'îlot, la séquence des commandes que vous aurez réalisées ainsi que les captures
d’écran des situations que vous jugerez utiles de mentionner par écrit. Toute commande ou capture
d’écran devra être justifiée et son fonctionnement explicité avec soin. De plus, il est nécessaire de se
rappeler qu'un petit schéma est souvent mieux qu'un long discours...
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 1 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
Il est important de noter que ce schéma présente « globalement » ce qui est attendu. Toutefois, dans la
salle de TP, les interfaces eth0 sont utilisées pour les connexions à Internet ; il vous faudra donc
utiliser eth1 à la place. De plus, le « sens de transmission des paquets » désigne le sens par lequel
doivent passer les paquets uniquement lorsque la destination du paquet n'est pas un PC directement
connecté au PC émetteur. Ainsi, les paquets allant de PC1 à PC4 doivent passer par la liaison série
tandis que les paquets allant de PC1 à PC2 ou autre doivent passer par la liaison ethernet.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 2 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
points d'entrée du tunnel slip. Cette commande crée également une route. A vous de vérifier si elle
répond aux contraintes posées et à modifier les tables de routage si nécessaire.
3 Test de la connectivité
N'oubliez pas de noter dans le compte-rendu toutes les étapes que vous aurez réalisées et
leur justification ainsi que tous les problèmes éventuels auquels vous aurez été confrontés et
leur résolution.
3.2 Testez la connectivité des machines. Que pouvez-vous observer sur les captures ?
3.3 Sans modifier la table de routage, testez la connectivité en forçant les paquets allant
de PC1 vers PC3 à passer par PC4 pour les requêtes et les réponses (cf « man ping »). Que
se passe-t-il alors ?
Remarque: Si vous n'arrivez pas à tester la performance sur l'anneau complet, précisez-en
les raisons et testez les performances de chaque liaison point à point pour estimer ce que
vous auriez dû obtenir.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 3 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
1. Objectifs
Nous vous proposons de mettre en place la configuration réseau présentée dans le schéma suivant pour
ainsi illustrer la fonctionnalité de translation d’adresse. Nous allons ainsi accéder à un serveur FTP en
faisant appel successivement à la fonction de NAT dynamique puis de NAT statique. Dans ce dernier
cas nous aborderons aussi la notion de serveur virtuel.
L’objectif de la configuration du CISCO PIX va être de mettre en place une translation d’adresse entre
le réseau Confiance et le serveur FTP situé sur le réseau Mefiance :
MEFIANCE
Eth0
Eth1
Au préalable, sur la machine qui va servir de serveur ftp assurez-vous que le serveur FTP 3CDaemon
sous Windows est prêt et qu’il est possible d’établir un début de connexion FTP.
2. Configuration du réseau
Afin de faciliter le déploiement de cette fonctionnalité réseau nous allons utiliser le système CISCO
PIX et son interface graphique ASDM. Ce firewall matériel de haut niveau permettra de déployer
aisément le NAT entre nos différents réseaux logiques.
Remarque IMPORTANTE : il n’y a pas de mot de passe ENABLE sur le CISCO PIX, ne modifiez jamais ce
mot de passe pendant tous les TPs que vous réaliserez sur cet équipement.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 4 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
Après avoir activé le mode d'administration, récupérer (à l’aide de la commande « show running-
config ») d’une part, les adresses IP des deux interfaces configurées sur le CISCO PIX pour pouvoir
construire la topologie réseau adéquate et configurer vos PCs avec le bon plan d’adressage. Récupérez,
d’autre part, l’adresse de la machine qui est autorisée à se connecter sur l’interface CONFIANCE du
PIX via le protocole HTTP. Utiliser cette adresse pour configurer le poste Windows XP. Pour
information, chaque PIX suit un plan d’adressage spécifique.
Pour ce qui est des interfaces des PC Linux utilisez les commandes « ifconfig » et « route » pour créer
deux réseaux logiques différents à l’aide de deux des PCs Linux de l’ilot sur lequel vous travaillez.
Reportez-vous au schéma précédent pour ce qui est adresses réseaux des différents réseaux logiques
(Confiance et Mefiance).
Avant de positionner la règle de NAT sur le CISCO PIX il est nécessaire de valider les adresses des
interfaces Ethernet 0 et Ethernet 1 du CISCO PIX de façon à faire communiquer deux PC Linux
appartenant à des réseaux logiques différents (Confiance et Mefiance). Pour la configuration
graphique des interfaces du PIX reportez vous à l’annexe A. La configuration se fait à partir du poste
Windows XP de l'îlot qui sera connecté dans le réseau Confiance.
A ce moment du TP vous devez avoir une configuration réseau fonctionnelle qui permette à vos
machines Linux et Windows XP de communiquer à travers le CISCO PIX.
3. NAT dynamique
Pour créer une règle de translation d’adresse avec ASDM, il faut se positionner dans le menu
Configuration, NAT et utiliser le bouton Add :
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 5 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
Dans ce cas il s’agit donc d’une translation d’adresse dynamique de l’adresse source, donc
celle du client FTP situé sur le réseau confiance.
Dans la rubrique « Source Host/Network » qui apparaît sur le schéma suivant, quelle
interface faut-il choisir ?
Avant d’assigner la plage d’adresse de translation dynamique, il faut créer cette plage
avec le bouton Manage Pools prévu à cet effet :
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 6 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
MEFIANCE
1 – Il faut choisir l’interface qui possède la plage d’adresse, celle du côté de laquelle on va
trouver ces adresses
2 – Donner un identifiant à cette plage
3 – Spécifier que l’on veut créer un intervalle d’adresses.
4 – Préciser cet intervalle.
Procédez sachant que l’intervalle d’adresse est 10.0.1.1 – 10.0.1.50. Faire Apply.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 7 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
4. Nat statique
Nous allons maintenant changer la règle de NAT pour mettre en évidence le principe de la translation
d’adresse statique et la notion de serveur virtuel.
MEFIANCE
192.168.2.101
MEFIANCE
confiance
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 8 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
Supprimez d’abord la règle créée au §3, puis ajoutez une règle de NAT statique sui-
vant le schéma précédent et en consultant le tableau suivant pour les adresses virtuelles
du serveur (adresse à adapter en fonction du plan d’adressage choisi dans le paragraphe
relatif à la configuration du réseau).
• Chercher (sur l'Internet, dans les pages de manuel de Linux sur le module netfilter ou/et la
commande en ligne iptables) comment effectuer ce NAT. A préparer AVANT le TP ! Faire
apparaître sur le compte-rendu les commandes
• Mettre en place le NAT. Quel type de NAT avez-vous choisi ? Expliquer rapidement le
principe, l'utilité, le fonctionnement.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 9 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
ANNEXE A
Configuration pix en mode graphique
1) Lancement de ASDM
Sur la machine Windows, fermer le terminal série.
Vérifiez (si besoin changez) que le « Java Runtime Environment » (JRE) utilisé sur le
système est bien la version 1.5, sinon l'interface ASDM refusera de se lancer. Pour cela,
allez dans les paramètres Windows, cliquez sur Java, sélectionnez l'onglet Java, bouton Affi-
cher, et cochez UNIQUEMENT la JRE 1.5 (décochez la 1.6 si elle est cochée).
Lancez Internet Explorer et saisir l’url : https://192.168.n.1 (Il semble que Firefox ne
fonctionne pas)
Le cisco PIX vous envoie son certificat X509, acceptez le.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 10 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
2) Première utilisation
Saisissez l’adresse IP de votre firewall et laissez le username et le password vide, si
tout va bien, vous devez trouver l’interface de gestion du cisco Pix.
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 11 8 nov. 2010
ECOLE NATIONALE
DE L'AVIATION CIVILE
ENAC / CNS / R
FONTAINE / LARRIEU / VARET Page 12 8 nov. 2010