TP Routage

IUT Grenoble - Dpartement RT 1 / 30 Travaux pratiques routage

.

PARTIE A PROTOCOLES DE ROUTAGE..............................................................................................................2 I - Introduction - Objectifs............................................................................................................................................2

II - Cblage - dmarrage ................................................................................................................................................2

III - Interface utilisateur du routeur - les modes de configuration ..............................................................................4

IV - Configuration de base ..............................................................................................................................................5

V - Routage statique .......................................................................................................................................................9

VI - Routage dynamique avec RIP..................................................................................................................................9

VII - Routage dynamique avec OSPF ............................................................................................................................10

Annexe 1 - Connexion dos dos de deux routeurs ..................................................................................................................12

Annexe 2 - Complments sur les algorithmes de routage .......................................................................................................13

Annexe 3 - OSPF ........................................................................................................................................................................14

PARTIE B TRANSLATION D'ADRESSE ..............................................................................................................17 I - Introduction ............................................................................................................................................................17

II - Prliminaires ...........................................................................................................................................................18

III - Translation d'adresse source .................................................................................................................................19

IV - Translation d'adresse destination .........................................................................................................................20

PARTIE C LISTES DE CONTROLE D'ACCES .....................................................................................................21 I - Objectifs ..................................................................................................................................................................21

II - Prliminaires ...........................................................................................................................................................21

III - Listes de contrle d'accs standard.......................................................................................................................21

IV - Listes de contrle d'accs tendues .......................................................................................................................22

V - Mise en uvre des listes de contrle d'accs tendues pour l'accs FTP...........................................................22

VI - Annexes....................................................................................................................................................................23

PARTIE D MAINTENANCE DES ROUTEURS......................................................................................................27 I - Squence damorage du routeur..........................................................................................................................27

II - Rcupration de mot de passe ...............................................................................................................................27

III - Tlchargement dun nouvel IOS..........................................................................................................................28

Annexe 1 Dmarrage du routeur ...........................................................................................................................................29

Annexe 2 Le registre de configuration...................................................................................................................................30

Routage

TP Rseaux 2me anne 2007/2008


PPaarrttiiee AA PPRROOTTOOCCOOLLEESS DDEE RROOUUTTAAGGEE

I - Introduction - Objectifs Dans ces travaux pratiques, vous allez dcouvrir le fonctionnement des routeurs et leur configuration.

En rgle gnrale, un routeur est un micro-ordinateur ddi quip d'un processeur, d'un systme d'exploitation (Cisco

IOS), ainsi que de mmoire vive (RAM) et morte (ROM). Les routeurs sont dpourvus de disque dur, de clavier et de

moniteur. L'une des mthodes de configuration ou de programmation du routeur consiste le connecter directement

un PC ou un terminal passif. Le PC devient ainsi la console du routeur. Cette console vous offre la possibilit

d'entrer des commandes et de communiquer directement avec le routeur.

Au cours de ces travaux pratiques, vous allez travailler avec une station de travail Windows, quipe du programme

HyperTerminal (mulation de terminal).

Les notions abordes dans cette partie sont les suivantes :

La dcouverte du matriel et de l'IOS - La cration d'une configuration et sa sauvegarde - La mise en place de mot de

passe

La configuration des interfaces

La mise en place de routes statiques - La mise en place dalgorithmes de routage dynamique

Note : Dans tout le TP les exemples de lignes de commandes sont donns avec linvite : Routeur> quil convient de remplacer par le nom convenable. De mme la lettre X doit tre remplace par la valeur convenable.

II - Cblage - dmarrage

1 - Prise en main Le schma utilis est donn page suivante :

Cblage de la salle.

Le schma gnral de connexion rseau vous est fourni en ci-dessus.

Relier les routeurs par des cbles sries correctement interconnects.

Voir ce sujet lannexe 1. (Connexion dos dos de deux routeurs)

Ne pas connecter les liaisons Ethernet pour le moment.

MAIS relier chaque poste (Sortie COM1) au routeur (sortie Console)

Il faudra configurer sur le routeur, laccs distant Telnet avant de pouvoir y accder par le rseau.

Cable rseau

(droit)

Armoire

T33

Cblage salle

Prise

Console

Prise

COM1

Cble

Console

Configurer correctement les stations de travail.

On dfinira en particulier :

Ladresse IP et Le masque

La passerelle (Ladresse laquelle il faut envoyer les paquets destins un autre rseau local). Il sagit de linterface

du routeur auquel le rseau local sera reli.


Etablissement dune connexion console avec le routeur.

La connexion physique sopre laide dun cble console reliant le routeur (port console) au port srie dun PC.

Le logiciel utilis sera HyperTerminal.

Lancer la connexion pr configure. Quels sont les paramtres de liaison srie utiliss pour cette connexion ?

PC5A

152.77.65.179

LAB-A

152.77.65.176/28

S0/0 152.77.65.161

S0/1=DCE 152.77.65.165

E0/0

152.77.65.160/30

Tp Routage :

Schma gnral de cblage

Station : X.X.X.11 GW : X.X.X.1

FEDE

LAB-H

E0/0

S0/1/0=DCE 152.77.65.173

S0/0/0 152.77.65.169

152.77.65.177

152.77.65.178

152.77.65.168/30

152.77.65.172/30

152.77.65.164/30

PC5B

152.77.65.180

PC 1B

10.0.3.0/24

PC 1A

10.0.1.0/24

LAB-B LAB-E S0/0

10.0.2.1

S0/0=DCE 10.0.2.2

10.0.2.0/24

groupe 1

LAN-B

PC 2A

10.0.4.0/24

LAB-C LAB-F

S0/1

152.77.65.166/29

S0/0 10.0.5.1

E0/0

10.0.5.0/24

LAN-C

PC 2B

10.0.6.0/24

10.0.7.0/24

S0/1

10.0.7.1

S0/0=DCE 10.0.5.2

PC 3A

192.168.1.0/24

LAB-D LAB-G

S0/1=DCE 152.77.65.170

S0/0 192.168.2.1

192.168.2.0/24

LAN-D

PC 3B

E0/0

S0/0=DCE 192.168.2.2

E0/0

E0/0

E0/0

S0/1=DCE 152.77.65.162

E0/0

LAN-G

192.168.3.0/24

PC 4A

192.168.4.0/24

LAB-I LAB-J

S0/1

152.77.65.174

S0/0 192.168.5.1

192.168.5.0/24

LAN-I

PC 4B

E0/0

192.168.7.0/24

S0/0=DCE 192.168.5.2

E0/0 LAN-J

192.168.6.0/24

LAN-F

LAN-E

S0/=DCE 1 10.0.7.2

groupe 2

groupe 3

groupe 4

2 - Mode setup Au dmarrage, le routeur charge l'IOS (systme d'exploitation). Normalement, si le routeur est vierge de toute

configuration, il ne possde aucun fichier de dmarrage et choue au chargement du fichier startup-config. Il bascule alors dans un mode particulier qui permet de lui fournir une configuration minimale (Mode Setup). Le mode setup est un mode de dialogue interactif (mot de passe, interfaces etc ).

Nous n'allons pas l'utiliser ici. Quitter le mode setup en lisant attentivement les questions proposes. Le routeur vous propose alors l'invite utilisateur et l'on peut passer en mode privilgi sans mot de passe.

Vous deviez rcuprer une invite du type routeur >.

La commande show version permet dobtenir des informations sur les matriels et logiciels prsents sur la machine.

Dterminer par la commande show ver les paramtres suivants :

Version de plate-forme logicielle

Nom du fichier image systme

Quelle est la quantit de RAM disponible ?

Quelle la quantit de mmoire NVRAM ?

Quelle est la quantit de mmoire FLASH ?


III - Interface utilisateur du routeur - les modes de configuration

1 - Les modes de configuration

Mode privilgi

Connectez-vous au routeur par la console srie, vous devez obtenir linvite utilisateur : routeur >. Il est toujours possible dobtenir de laide par la commande ? qui permet de lister lensemble des commandes ou options de commande disponibles tout instant.

Le mode utilisateur permet dexaminer la configuration du routeur mais en aucun cas de la modifier. Pour les tches

dadministration, il est ncessaire de passer en mode privilgi. Ceci seffectue par la commande : routeur > enable passage en mode privilgi routeur# Nouvelle invite de commande

Il est possible que le routeur vous demande un mot de passe pour accder ce mode.

Testez la commande suivante. En dduire les informations relatives la configuration IP des interfaces de votre

routeur.

routeur#show running-config Configuration courante.

Les diffrents modes de configuration

Pour utiliser un systme d'exploitation de routeur tels que Cisco IOS, vous devrez connatre les diffrents modes

d'utilisation qu'offre un routeur et leurs rles respectifs. La plupart des routeurs comportent les six modes principaux

suivants :

1. Mode utilisateur

2. Mode privilgi (ou mode Enable)

3. Mode de configuration globale

4. Mode de configuration du routeur

5. Mode de configuration d'interface

6. Mode de configuration des sous-interfaces

Au cours de ce TP, vous allez utiliser les six modes les plus frquents. Il existe deux autres modes moins souvent

utiliss : le mode RXBoot et le mode Setup. RXBoot est un mode de maintenance permettant de rcuprer des mots de passe perdus. Le mode Setup, dj voqu, offre un dialogue interactif la console permettant l'utilisateur de

crer une configuration initiale de base.

Vous pouvez dterminer le mode actif en examinant l'invite. Chaque mode prsente une invite diffrente. Les

commandes sont disponibles ou non en fonction du mode actif. Si vous entrez un point d'interrogation (?), l'ensemble

des commandes disponibles s'affiche. L'erreur la plus frquente consiste entrer une commande non disponible dans

le mode actif. Vous devez bien connatre chaque mode et savoir l'activer ou le dsactiver.

Le tableau suivant indique quelle invite correspond chaque mode.

Description des diffrents

modes

Fonction Invite

1. Mode utilisateur Examen limit du routeur.

Accs distance

nom-routeur>

2. Mode privilgi Commandes de

configuration simples

nom-routeur#

3. Mode de configuration

globale

Examen dtaill du

routeur, dbogage et essai.

Accs distance

nom-routeur (config) #

4. Mode de configuration du

routeur

Protocoles de routage nom-routeur(config-router)#

5. Mode de configuration

d'interface

Dfinition des adresses IP

et des masques de sous-

rseau

nom-routeur(config-if)#

On ne peut accder aux diffrents modes que dans un ordre dtermin spcifi par le diagramme ci-dessus.

Mode utilisateur

Mode privilgi

Mode de

configuration

globale

Configuration

routeur

Configuration

Interface

Configuration

Sous-Interface


La commande show

La commande show est une commande dusage gnral qui permet dobtenir de nombreuses informations sur le systme.

Parmi les nombreuses commandes show disponibles, tester en particulier les commandes suivantes :

show running-config dtermine l'tat actuel d'un routeur car elle affiche le fichier de la configuration

active, stock en mmoire RAM show startup-config Affiche les donnes du fichier de configuration de sauvegarde stock dans la

mmoire non volatile ou NVRAM. Ce fichier sert pour la configuration du

routeur lors du dmarrage de celui-ci ou de son redmarrage via la commande

reload . Il contient tous les paramtres d'interface dtaills du routeur. show flash sert connatre l'espace libre et l'espace utilis dans la mmoire flash. La

mmoire flash contient le fichier ou l'image de la plate-forme logicielle Cisco

IOS. show arp Visualise le mappage entre les adresses IP et les adresses d'interface.(Adresses

MAC)

Examinez galement la sortie des commandes suivantes, Quel est leur rle ?

show clock show history show users

2 - Copy running-config et startup-config Lors du dmarrage, le routeur recopie le systme d'exploitation situ en mmoire flash vers la RAM. La configuration

est stocke dans un fichier de configuration nomm startup-config dans une mmoire non-volatile, la NVRAM. Cette configuration est recopie en RAM dans un fichier appel running-config. Lorsqu'on entre des commandes de configuration du routeur, on modifie le fichier running-config.

Testez les commandes suivantes dans l'ordre :

Routeur#show startup-config Visualise la configuration stocke en NVRAM. Routeur#show running-config Visualise la configuration courante. Routeur(config)#hostname LAB-X En mode de configuration globale, donner un nouveau nom au

routeur.

X est la lettre identifiant le routeur

LAB-X #Show running-config Visualise la configuration courante. Observer la diffrence.

LAB-X #copy run start Sauvegarde la modification. LAB-X #show startup-config Visualise la configuration stocke en NVRAM.

On peut vrifier que la modification a t prise en compte.

LAB-X #copy startup-config running-config Inutile ici mais connatre Recharge la config de la NVRAM vers la RAM.

A l'issue de cette commande, les deux configurations sont

identiques.

IV - Configuration de base Nous allons dans cette partie tablir une configuration de base du routeur et de ses interfaces. Normalement, aucune

configuration n'a t charge en mmoire la suite du paragraphe prcdent.

1 - Nom du routeur, mots de passe Entrez en mode de configuration globale puis entrer les commandes suivantes :

Routeur(config)#hostname LAB-X Donner un nom au routeur de LAB-A LAB-G suivant le cas. Routeur(config)#enable secret class Le mot de passe en mode privilgi sera class. Routeur(config)#line con 0 Configuration de l'accs la console. Routeur(config-line)#login Lors de la prochaine connexion en console un mot de passe sera

demand.

Routeur(config-line)#password toto Le mot de passe pour le mode console. Routeur(config-line)#exit Retour au mode configuration globale. Routeur(config)#line vty 0 4 Configuration des accs telnet (virtual terminal lines de 0 4). Routeur(config-line)#login Mot de passe ncessaire pour se connecter par telnet. Routeur(config-line)#password toto Ce mot de passe sera cisco.


Routeur(config-line)#exit Routeur#exit

2 - Configuration des interfaces d'un routeur

Nous allons ici donner un exemple pour l'interface FastEthernet 0/0 du routeur LAB-B et l'interface serial 0/1 de ce

mme routeur. Il suffira d'adapter cet exemple aux autres interfaces et routeurs.

Passez tout d'abord en mode de configuration globale

Routeur(config)#interface fastEthernet 0/0 Entrer dans le mode de configuration d'interface pour FastEthernet 0/1

Routeur(config-if)#description vers rseau LAN-B La commande description est facultative, elle permet de faire apparatre une chane de caractres dans les fichiers de

configuration.

Routeur(config-if)#ip address 10.0.1.1 255.255.255.0 Dfinition de l'adresse IP de l'interface avec son masque Routeur(config-if)#duplex auto Dtection automatique du mode full-duplex/simplex Routeur(config-if)#speed auto Dtection automatique de dbit 10 ou 100 Mbits/s Routeur(config-if)#exit Sortie Routeur(config)#interface serial 0/1 Entrer dans le mode de configuration d'interface pour

Serial 0/0

Routeur(config-if)#description vers rseau AB La commande description introduit simplement un commentaire dans le fichier de configuration

Routeur(config-if)#ip address 152.77.65.162 Adresse IP et masque de sous-rseau Routeur(config-if)#clock rate 2000000 Frquence numrique d'horloge. Opration effectuer

seulement sur l'interface DCE. Routeur(config-if)#no shutdown Active l'interface

D'autres options de la commande show sont utiles pour connatre l'tat des interfaces :

Show interface Affiche des statistiques pour toutes les interfaces configures sur le routeur.

show protocol visualise l'tat global et propre aux interfaces des protocoles configurs de

couche 3 (IP, IPX, etc.)

Grce la commande show interface FastEthernet 0/0, rcuprer les informations suivantes sur cette interface :

valeur du paramtre MTU

valeur du paramtre Reliability.

Nombre de runt ( = nombre de trames trop courtes reues) ?

Quest quun GIANT (= nombre de trames trop longues reues) ?

Grce la commande show interface serial 0/0, rcuprer les informations suivantes sur cette interface : Adresse IP et masque de sous-rseau

Encapsulation utilise

Que signifie srial 0 is up , line protocol is up ? Si tout ce passe bien les interfaces doivent tre up et le code "line protocol is up" devrait apparatre.

Attention ! Une interface srie ne peut passer l'tat actif que si les deux extrmits sont correctement configures. En cas de problme, vrifier que la commande clockrate a bien t affecte l'interface utilise en ETCD .

La commande show ip route

Cette commande permet de visualiser la table de routage sous IP. La table de routage est llment central du

fonctionnement du routeur. Tester cette commande, quelles informations donne-t-elle pour le moment. ?

Routeur#sh ip route Affichage de la table de routage

Enfin sauvegarder la configuration par un copy run start

Les commandes ip host et show host

La commande ip host est un peu quivalente au fichier /etc/hosts sous UNIX. Ainsi pour dfinir un alias alphanumrique une adresse IP, on peut crire :


Routeur(config)#ip host LAB-B 10.0.0.1.1 10.0.2.1 152.77.65.162 Association d'un nom une ou plusieurs adresses IP.

Effectuez l'opration pour un ou deux routeurs

Testez alors la commande show hosts.

3 - Connectivit du rseau local

SUPPRIMER LA LIAISON CONSOLE ET RELIER LA STATION DE TRAVAIL AU ROUTEUR.

Vrifier la connectivit vers le routeur depuis stations de travail

ping .

ACCEDER AU ROUTEUR PAR TELNET

Vrifier la connectivit avec le ou les routeurs voisins avec des pings.

Vous devriez pouvoir joindre le ou les routeurs voisins mais pas les autres, de mme vos stations de travail peuvent

joindre leur passerelle mais pas plus. Voyez-vous une raison cela ?

Accs distance par telnet Laccs au routeur par la console nest en gnral utilis que pour donner une configuration minimale au routeur

(adresse IP et masque). Il est alors possible daccder au routeur distance partir dun PC ou dun autre routeur.

A partir de votre routeur, connectez-vous un autre routeur, faites un show run. puis dconnectez-vous. Routeur#telnet Contacter un routeur par telnet

Une autre mthode est utilisable si vous avez dfini le nom de l'hte distant joindre par la commande ip host. Il suffit

de taper le nom de cet hte et une commande telnet est automatiquement execute !

Routeur#LAB-B Contacter le routeur LAB-B par telnet

Le protocole Cisco Discovery protocole

Le protocole CDP (Cisco Discovery Protocol) recherche et affiche des informations sur des dispositifs Cisco

directement connects (routeurs et commutateurs). Il s'agit d'un protocole propritaire de Cisco, fonctionnant au

niveau de la couche liaison de donnes (couche 2) du modle de rfrence OSI. Il permet aux dispositifs qui excutent

des protocoles de couches rseau diffrents (IP ou IPX, par exemple) d'changer des informations. La fonction CDP

est lance automatiquement lors du dmarrage d'un dispositif.

Testez les commandes suivantes et notez les principales informations obtenues.

show cdp paramtres gnraux de cdp show cdp interface permet dobtenir les informations utilises par le protocole CDP

pour la transmission des trames d'annonce et de recherche show cdp neighbors Donne des informations sur les appareillages CISCO excutant le

protocole CDP et communiquant avec la machine locale. show cdp neighbors detail pour afficher les mises jour CDP reues sur le serveur local.

Les compteurs sur les interfaces - Retour la commande show interface

La commande show interface affiche des statistiques de transmission des paquets qui refltent l'activit du routeur

depuis la dernire mise zro des compteurs.

Entrez la commande show interface pour votre routeur.

Relevez les informations suivantes pour toutes les interfaces utilises (selon disponibilit).

Interface Ethernet 0/0 Ethernet 0/1 Srie 0/0 Srie 0/1 Adresse matrielle

Entre de paquets

Sortie de paquets

Dernire mise zro

des compteurs

Il est possible de remettre zro les compteurs dune interface par la commande suivante :

clear counters Remet zro les compteurs statistiques des interfaces.


Testez la commande, vrifier que les compteurs ont bien t remis zro puis gnrer du trafic sur les interfaces en

question. Vrifier que les compteurs ont t incrments.

Examen de la table ARP

Le protocole ARP est utilis par les htes et les routeurs pour dterminer l'adresse Mac d'une machine dont on connat

l'adresse IP. Les informations ainsi collectes sont enregistres dans la table ARP.

Entrez la commande suivante :

Routeur#show arp Visualisation de la table ARP Quelles sont les informations fournies par cette table ?

Il est parfois ncessaire lors de tests sur le rseau de mettre jour la table ARP. Cette opration est effectue l'aide

de la commande :

Routeur#clear arp Mise jour de la table ARP

4 - Sauvegarde de la configuration sous forme de fichier texte Il est possible de sauvegarder le fichier de configuration du routeur dans un fichier texte et de recharger le routeur

partir de cette configuration. Pour cela plusieurs mthodes:

Sauvegarde par copier coller sous HyperTerminal.

Effectuer un show run puis slectionner la souris l'ensemble des lignes de commandes qui sont alors listes. Ouvrir alors un diteur de texte en mode brut (Notepad par exemple) puis coller le contenu prcdent.

Pour recharger la configuration partir du fichier texte, passer en mode de configuration globale par conf terminal puis coller le contenu du fichier prcdemment sauvegard.

Testez cette possibilit.

Sauvegarde sur un serveur TFTP

TFTP est un protocole de transfert de fichier extrmement simple souvent utilis pour sauvegarder des fichiers de

configuration, des images IOS

Cette mthode ncessite la prsence d'un serveur TFTP (ou dmon TFTPD sous Unix). (consultez votre professeur)

Assurez-vous tout d'abord que vous pouvez contacter ce serveur par un ping .

PCX-A

Serveur TFTPLAB-X

Pour sauvegarder le fichier de configuration courante, il suffit alors d'effectuer :

Routeur#copy run tftp Copie du fichier de configuration vers un serveur tftp A l'invite qui suit, entrez l'adresse du serveur TFTP puis confirmez le nom du fichier par dfaut (du type

LAB-A-confg) ou proposez un autre nom.

Les points d'exclamation qui s'affichent confirment le bon droulement de l'opration.

Nous allons maintenant effectuer l'opration de rcupration.

Pour cela effacez la configuration de dmarrage par un erase startup-config. Puis redmarrer le routeur par reload.

Une fois que le routeur a redmarr, passer en mode privilgi puis entrez la commande suivante pour rcuprer le

fichier

Routeur#copy tftp run Demande de chargement de la configuration courante partir d'un serveur TFTP.

Prciser l'invite l'adresse du serveur contacter puis le nom du

fichier charger.

Routeur#copy run start Sauvegarde la configuration en NVRAM.


V - Routage statique

Pour remplir sa fonction, le routeur dispose d'une table de routage qui indique en fonction de l'adresse de destination

des paquets, l'interface sur laquelle le paquet doit tre transmis, le routeur auquel le paquet doit tre transmis si le

destination ne peut tre jointe directement ainsi que la "qualit" de cette route sous forme d'une mtrique.

Lorsque les interfaces ont t correctement configures et actives, la table de routage contient dj les rfrences aux

rseaux directement connects.

Exemple :

C 172.16.8.0/24 is directly connected, FastEthernet 0/0

C 205.7.5.0/24 is directly connected, FastEthernet 0/1 Pour indiquer d'autres destinations, il est ncessaire d'indiquer au routeur les routes ajouter dans la table de routage.

Une route statique est une route entre par une ligne de commande par opposition aux routes dynamiques gres par

un protocole de routage.

La commande qui permet de prciser la route statique est :

Ip route < Masque de sous rseau>

Remarque : Une telle route peut tre supprime par la commande

no ip route < Masque de sous rseau>

Nous pourrions configurer les routeurs avec des routes statiques, mais cela deviendrait trs vite fastidieux et

susceptible d'erreurs !

Notons cependant la commande qui permet dajouter une route par dfaut (utile dans la suite du TP) :

ip route 0.0.0.0 0.0.0.0

VI - Routage dynamique avec RIP L'algorithme de routage RIP (Routing Internet Protocol) est le plus simple et le plus ancien des protocoles de routage. C'est un

protocole vecteur de distance. C'est dire que chaque routeur change avec ses voisins sa propre table de routage ce qui permet de loin en loin chaque routeur de dfinir des routes pour toute destination. En revanche, chaque routeur n'a qu'une

connaissance locale de la topologie du rseau; il connat seulement les routeurs voisins et les destinations que ceux-ci sont

capables de servir.

1 - Activation et configuration de RIP Passer en mode de configuration globale, puis en mode de configuration de routeur RIP : L'exemple est donn pour le routeur

LAB-B.

Routeur(config)#router RIP Configuration de RIP Routeur(config-router)#version 2 Version 2 du protocole qui autorise les adresse IP classless Routeur config-router)#network 10.0.1.0 Rseau connect l'interface E0/1 Routeur(config-router)#network 152.77.65.160 Rseau connect serial 0/1 Routeur(config-router)#network 10.0.2.0 Rseau connect serial 0/0 Routeur(config-router)#no auto-summary Dsactive lagrgation de route demander des prcisions aux professeur Routeur(config-router)#ctrl-Z Retour au mode privilgi C'est tout ! Comme on le voit la configuration est extrmement simple mettre en uvre.

Sur les routeurs A et H, on ne publie pas le rseau public vers lextrieur !

Observer maintenant la table de routage par sh ip route. Des routes prcdes de la lettre R devraient apparatre progressivement au fur et mesure que les diffrents routeurs sont configurs.

Observer attentivement la table de routage (mtriques, distance administrative, routes multiples) et vrifier sa cohrence.

Nous allons surveiller les changes RIP de deux manires :

Sur les routeurs : activer le mode debogage de RIP par

Routeur#debug ip rip Debogage de RIP Des informations sur les paquets mis et reus sont alors visualises priodiquement.

!


Par ailleurs activer sur une station de votre rseau local le logiciel Ethereal et lui demander de surveiller tous le trafic (pas de filtre) et laisser la capture active pendant au moins une minute. Vous devriez voir passer des paquets RIP sur UDP

(Port 520 vers port 520).

Que constatez-vous sur l'adresse de destination de ces paquets ?

2 - La commande traceroute Cette commande bien connue dans le monde Unix est galement disponible sur les routeurs.

Tester cette commande avec un hte distant sur le rseau. Quelles informations cette commande permet-elle

dobtenir ?

Depuis les routeurs A et H, quelles sont les routes utilises pour joindre les rseaux LAN-C et LAN-D ?

. FAIRE VERIFIER. Dbrancher maintenant les liens AC et HD au niveau des routeurs C et D, Observer lvolution de la table de routage.

Depuis A et H les rseaux LAN-C et LAN-D sont-ils toujours accessibles ? Par quelle route

. FAIRE VERIFIER.

VII - Routage dynamique avec OSPF

Nous allons maintenant utiliser une autre technique de routage plus puissante et mieux adapte de grands rseaux,

mais plus complexe : OSPF.

Supprimer le routage RIP sur tous les routeurs :

Routeur(config)#no router rip Suppression de RIP

Soit le schma suivant :

PC5A

152.77.65.179

LAB-A

152.77.65.176/28

S0/0 152.77.65.161

S0/1=DCE 152.77.65.165

E0/0

152.77.65.160/30

Tp Routage :



FEDE

LAB-H

E0/0

S0/1/0=DCE 152.77.65.173

S0/0/0 152.77.65.169

152.77.65.177

152.77.65.178

152.77.65.168/30

152.77.65.172/30

152.77.65.164/30

PC5B

152.77.65.180

PC 1B

10.0.3.0/24

PC 1A

10.0.1.0/24

LAB-B LAB-E S0/0

10.0.2.1

S0/0=DCE 10.0.2.2

10.0.2.0/24

AREA 1

LAN-B

PC 2A

10.0.4.0/24

LAB-C LAB-F

S0/1

152.77.65.166/30

S0/0 10.0.5.1

E0/0

10.0.5.0/24

LAN-C

PC 2B

10.0.6.0/24

10.0.7.0/24

S0/1

10.0.7.1

S0/0=DCE 10.0.5.2

PC 3A

192.168.1.0/24

LAB-D LAB-G

S0/1=DCE 152.77.65.170

S0/0 192.168.2.1

192.168.2.0/24

AREA 2

LAN-D

PC 3B

E0/0

S0/0=DCE 192.168.2.2

E0/0

E0/0

E0/0

S0/1=DCE 152.77.65.162

E0/0

LAN-G

192.168.3.0/24

PC 4A

192.168.4.0/24

LAB-I LAB-J

S0/1/0

152.77.65.174

S0/0/0 192.168.5.1

192.168.5.0/24

LAN-I

PC 4B

E0/0

192.168.7.0/24

S0/0/0=DCE 192.168.5.2

E0/0 LAN-J

192.168.6.0/24

LAN-F

LAN-E

S0/1=DCE 1 10.0.7.2

S0/1/0=DCE 192.168.7.2

S0/1

192.168.7.1


Vrifier la configurer des postes et des interfaces. Supprimer tout autre protocole de routage dynamique et les routes

statiques qui pourraient exister sur le rseau.

1 - Configuration du routage

Configuration des routeurs internes aux AREA (routeurs LAB-E LAB-F LAB-G LAB-J)

Dfinir comme pour tout autre protocole les rseaux directement connects (exemple pour LAB-F):

routeur(config)#router ospf 2 Activation du routage ospf (Le N est un numero de process sans importance)

Routeur(config-routeur)#network 10.0.7.2 0.0.0.0 area 1 Routeur(config-routeur)# network 10.0.5.2 0.0.0.0 area 1

Dclaration des interfaces et de laire

dappartenance du routeur

ATTENTION : La commande network admet en paramtre les adresses IP des interfaces et non des valeurs dadresses rseau

Configuration des routeurs frontire ( ABRs : routeurs LAB-B LAB-C F LAB-D LAB-I)

(exemple pour LAB-B):

routeur(config)# router ospf 10 Routeur(config-routeur)#network 152.77.65.162 0.0.0.0 area 0 Routeur(config-routeur)#network 10.0.1.1 0.0.0.0 area 1 Routeur(config-routeur)#network 10.0.2.1 0.0.0.0 area 1

Idem ci-dessus

Routeur(config-routeur)# area 0 range 152.77.65.160 255.255.255.X Routeur(config-routeur)#area 1 range 10.0.0.0 255.255.255.0

Ici on matrise pleinement les mcanismes

dagrgation de route ! X= ??????

La commande AREA RANGE est trs importante. Elle permet de prciser laire de rattachement de lABR ainsi que la taille

du masque utilis. Donc ladministrateur dfinit lui-mme les caractristiques de lagrgation de routes !

Seuls les ABRs peuvent (et doivent) appartenir plusieurs aires.

Configuration du routeur de frontire de systme autonome (ASBR Autonomous system Border Router: LAB-A)

routeur(config)# router ospf 10 Routeur(config-routeur)#network 152.77.65.161 0.0.0.0 area 0 Routeur(config-routeur)#network 152.77.65.165 0.0.0.0 area 0 Routeur(config-routeur)#network 152.77.65.167 0.0.0.0 area 0

2 - Accs Internet Raliser sur LAB-A le cblage vers le rseau.

La route par dfaut devra tre propage par LAB-A sur tous les autres routeurs par les commandes suivantes :

Se rfrer pour cela aux prcdents Travaux Pratiques sur les routeurs.

LAB-A(config-routeur)#default-information originate always

Ces routeurs sont en outre chargs de

propager la route par dfaut

LAB-A(config)# ip route 0.0.0.0 0.0.0.0 152.77.65.254 La route par dfaut propager

Quelques commandes intressantes : La table de routage permet de vrifier le rsultat du travail dOSPF (exemple simplifi): Ici sur LAB-H :

C 152.77.65.176/28 is directly connected, FastEthernet0/0

O 152.77.65.164/30 [110/65] via 152.77.65.177, 00:00:04, FastEthernet0/0

O 152.77.65.160/30 [110/65] via 152.77.65.177, 00:00:04, FastEthernet0/0

C 152.77.65.172/30 is directly connected, Serial0/1/0

C 152.77.65.168/30 is directly connected, Serial0/0/0

O IA 10.0.0.0 [110/129] via 152.77.65.177, 00:00:04, FastEthernet0/0

O IA 192.168.0.0/16 [110/128] via 152.77.65.174, 00:00:04, Serial0/1/0

[110/128] via 152.77.65.170, 00:00:04, Serial0/0/0

O*E2 0.0.0.0/0 [110/1] via 152.77.65.177, 00:00:04, FastEthernet0/0

Le premier travail effectu par chaque routeur lors de la mise en place des tables de routage est la dcouverte des voisins

immdiats de la mme aire laide de messages priodiques (messages Hello) indiquant les voisins connus.

Sur chaque routeur ces voisins peuvent tre affichs par :

Rseaux transmis

sous forme agrge

lintrieur de larea

Route vers

lextrieur du

systme autonome


Routeur#show ip ospf neighbor

Dans cette commande state indique le niveau dadjacence avec les voisins. Deux routeurs sont adjacents lorsquils ont atteint

ltat FULL. Leurs deux bases topologiques du rseau sont alors identiques.

Routeur#show ip ospf database

Chaque aire est affiche individuellement. La commande sort le contenu des LSA groups par type tels que dfini au

paragraphe II-3. Chaque lien contient les informations sur lidentit du lien.

Un analyseur rseau connect sur un poste permet galement de surveiller les messages HELLO diffuss sur les liens Ethernet.

Laccs lInternet ne fonctionne pas malgr tout. Quelle en est la raison ? Ce point sera trait dans la suite du sujet mais sur une autre architecture.

3 - Scurisation des changes OSPF. Chaque lien peut tre scuris par diffrents procds cryptographiques.

Nous allons tudier ici la scurisation par gnration dune empreinte.

Un numro de cl et une cl sont configurs sur chaque routeur. A partir du paquet OSPF envoyer au voisin et de la cl, on

gnre un message digest qui est ajout au paquet. La cl nest pas change sur le rseau, contrairement ce qui se

passerait avec un mot de passe.

Exemple de scurisation du lien LAB-D vers LAB-G :

Routeur(config)# interface Serial0 Routeur(config-if)#ip ospf message-digest-key 1 md5 pass3

Linterface utilise la cl pass3 pour gnrer

lempreinte md5

Cette cl porte le numro 1.

(il est possible dutiliser plusieurs cls de numros

diffrents, ceci peu tre utilis pour changer les cls

sans entraner de rupture de service)

Routeur(config)#routeur ospf 10 Routeur(config-router)# area 3 authentication message-digest La mthode dauthentification choisie est base sur

un calcul dempreinte

De la mme manire que ci-dessus, scuriser les liens B-E, C-F, D-G, I-J.

Annexe 1 - Connexion dos dos de deux routeurs Un routeur est normalement utilis pour connecter un rseau local de plus ou moins grande taille des dorsales

(Rseaux de campus, Fournisseurs daccs, oprateurs de tlcommunication etc ). La liaison vers les rseaux

dorsaux peut tre de diffrents types mais on rencontrera trs frquemment des lignes synchrones haut dbit.

(Plusieurs Mbits/s). Cest la situation reprsente ci-dessous.

Founisseur daccs

synchrone

CSU/DSUCSU/DSU

Rseau LocalRseau Local

La liaison srie entre un routeur met en jeu deux types de matriels :

Cot Fournisseur de service, on trouve le CSU/DSU (Channel Service unit / data Service unit) qui est un DCE ou

ETCD (quipement terminal de circuit de donne). C'est cet quipement qui fixe la frquence d'horloge sur la

ligne.

Cot utilisateur on trouve le routeur qui est un DTE ou ETTD ( quipement terminal de traitement de donne).

Le dbit sur la ligne srie est rgl par une horloge (Cest une ligne synchrone) impose par l ETCD.

Dans le cadre des travaux pratiques, les routeurs seront directement interconnects. Ce qui impose que lun des

routeur fixe la frquence dhorloge et se comporte comme un DCE.


Rseau Local

Rseau Local

DCE

Cble avec connecteur

V35 Femelle

DTE

Cble avec connecteur

V35 Mle

On utilisera dans ce cas deux types de cbles diffrents permettant lun des routeurs de se connecter en DCE.

Les routeurs dtectent automatiquement le type de cble utilis.

Sur le DCE il conviendra de configurer linterface srie de manire prciser la frquence dhorloge par :

routeur(config-if)#clockrate

Annexe 2 - Complments sur les algorithmes de routage

1 - Les timers de lalgorithme de routage Timers basic T1 Mise jour Temps en secondes entre les changes de table de routage entre

les routeurs

T2 Invalidation Intervalle de temps au bout duquel une route est reconnue

invalide

T3 Temps de maintien dtat

de route

Temps minimum entre les mises jour dune route.

T4 Effacement Temps minimum au bout duquel une route peut tre efface de la

table de routage

Ex: timers basic 30 180 45 270 Dans cet exemple RIP, reoit des messages des routeurs toutes les 30 secondes, si au bout de 180 secondes il ne reoit

plus de confirmation pour une route, il la dclare invalide et diffuse un message spcial aux autres routeurs.

Il efface la route dfinitivement au bout de 270 secondes.

Une fois la route dclare, elle ne peut tre efface avant 45 secondes.

Remarque : Ces diffrentes temporisations influent sur le temps de convergence de RIP (temps au bout duquel lensemble des tables de routage retrouve un tat stable aprs une modification). Il peut dans certains cas tre

dconseill de modifier les valeurs par dfaut.

2 - Distances administratives de quelques algorithmes de routage :

Interface

connecte

0 IS-IS

115

Route

statique

1 RIP 120

IGRP

100 EGP

140

OSPF

110 Inconnu 255

3 - Mtrique IGRP La mtrique IGRP est calcule daprs la formule suivante :

( ) ( )45

32

1256

..

kR

kDk

L

BkBkM IGRP

IGRPIGRPIGRP +

+

+= avec Min

IGRPB

B710

=

BMIN (unit Kbits/s)est la bande passante dfinie par le paramtre bandwidth des lignes sries (par dfaut

BMIN=1544 Kbits/s)

DIGRP (en multiple de 10 s) est la somme des dlais de tous segments traverss. Modifiable par la commande Delay de configuration dinterface.

R=reliability est le taux de fiabilit cod sur 1 octet de 0 255

L est la charge mesure par IGRP code galement sur un octet.


4 - Elments sur la stabilit

Le temps de maintien

IGRP fournit un certain nombre dlments visant amliorer sa stabilit. Ceci inclus le maintien de route, le clivage dhorizon, et les mise jour avec empoisonnement de route (poison reverse updates) Le mcanisme de maintien (Holddown) est utilis pour empcher des messages de mise jour rguliers de rinstaller

une route devenue invalide.

Quand un routeur cesse de fonctionner, les routeurs voisins dtectent cela par un manque de rgularit des messages

de mise jour. Ces routeurs calculent alors de nouvelles routes et envoient des mises jour de routage pour informer

leurs propres voisins des changements.

Cette activit dclenche un flot de messages dclenchs de mise jour qui se propagent sur le rseau. Ces messages

dclenchs natteignent pas instantanment chaque nud du rseau. Ainsi, il est possible quun matriel qui n'a pas

t encore inform dun problme sur le rseau reoive un message de mise jour rgulier linformant dune route

dune route prtendument valide vers un nud qui en fait est en dfaut

Dans cette situation, ce matriel contient et ventuellement diffuse une information de routage incorrecte

Le mcanisme de maintien indique aux routeurs d ignorer les changements affectant une route pendant un certain

temps. La dure de maintien est habituellement calcule pour tre juste suprieure au temps ncessaire pour que

lensemble du rseau soit averti dun changement de topologie

Le clivage dhorizon

Le clivage dhorizon repose sur le principe selon lequel il est inutile d envoyer de linformation au sujet dune route

dans la direction depuis laquelle elle est venue. La figure ci dessous illustre cette rgle.

R2

Rseau A Rseau B

R1

Le routeur R1 prvient quil a une route vers le rseau A. Il ny a aucune raison pour le routeur R2 dinclure cette

route dans les mises jour quil enverra R1 car R1 est plus prs du rseau A

La rgle de clivage dhorizon dit que R2 doit supprimer cette route de toute information de mise jour quil envoie

R1. La rgle de clivage dhorizon aide prvenir les boucles de routage.

Considrons par exemple le cas dans lequel linterface vers le rseau A du routeur R1 tombe en panne. Sans clivage

dhorizon, R2 informe R1 quil connat une route vers le rseau A. Si R1 ne se mfie pas, il va considrer R2 comme

une route de secours vers le rseau A en remplacement de son propre accs direct, causant ainsi une boucle de

routage.

Bien que le mcanisme de maintien doive en principe empcher cela, le clivage dhorizon est implment dans IGRP

parce quil accrot la stabilit de lalgorithme

Empoisonnement de route

Le clivage dhorizon permet dempcher les boucles de routage entre routeurs adjacents, mais les mises jour avec

empoisonnement de routes sont ncessaires pour empcher des boucles de routage plus vastes. Laccroissement des

mtriques de routages indique gnralement la prsence de boucles de routage.

Des mises jour avec empoisonnement de routes sont envoyes pour invalider la route dans ce cas, cest dire que la

route est indique avec une mtrique infinie. Dans IGRP, des routes empoisonnes sont envoyes si la mtrique reue

augmente dun facteur 1,1 ou plus par rapport la mtrique de la route prsente dans la table de routage.

Annexe 3 - OSPF

OSPF est un protocole de routage dvelopp par lIETF pour des rseaux de taille moyenne (jusqu 500 routeurs).

Dans cette configuration chaque routeur doit entrer en relation avec ses voisins, dterminer le cot vers ceux-ci et

construire un LSP( link state packet). Le LSP est transmis tous les routeurs qui disposent ainsi dune base

dinformation sur lensemble du rseau. Chaque routeur partir de la connaissance du rseau maill calcule les routes

vers chaque destination et tablit un arbre de distribution selon lalgorithme de recherche SPF (shortest Path Find).

Comme la taille du rseau peut tre importante et que la quantit de ressource alloues sur le routeur pour les calculs

(mmoire, temps CPU) est proportionnelle la taille, OSPF met le plus souvent en uvre un routage hirarchique. Ce

dernier consiste dcouper le rseau en aires relies une aire centrale ( le Backbone). Ainsi les routeurs ne calculent


plus que les routes propres leur zone. Le reste du rseau tant rsum en une route par dfaut. Les aires sont relies

entre elles par des routeurs frontire : les ABR 5 Area border Router).

1 - Fonctionnement approfondi (A lire avant le TP)

OSPF est un protocole tats de liens. Un lien peut tre dfini comme une interface de routeur. Ltat de ce lien est

une description de linterface et de ses relations avec les routeurs voisins. Cette description comprendra par exemple

ladresse IP le masque , le type de rseau auquel linterface est connecte, les routeurs connects ce rseau

Lensemble des informations sur les liens constitue la base de donnes des tats de liens (Link State Data Base)

OSPF utilise un algorithme tats de liens pour construire le chemin le plus court vers toutes les destinations connues

A linitialisation ou chaque changement de linformation de routage, un routeur va gnrer un LSA (link

State Advertisement). Ce LSA contient lensemble des liens du routeur.

Tous les routeurs changent les LSA en mode inondation. Chaque routeur qui reoit un LSA en garde une

copie et doit le propager ces voisins.

Lorsque la base de donne de chaque routeur est complte, le routeur calcule le chemin le plus court vers

toutes les destinations (Algorithme de Dijkstra ). La table de routage est alors complte.

2 - Mtrique Le cot dune lien est dfini par :

BandwithC 10

8

=

Ainsi la travers dun lien 10 Mbps Ethernet sera associe un cot de 10.

3 - Aires et ABRs Comme mentionn plus haut, OSPF utilise le mode inondation pour changer les mises jour entre routeurs. Tous changement dans linformation de routage est propag tous les routeurs. Les aires sont introduites pour limiter ce fonctionnement un domaine restreint. Linondation et le calcul de plus court chemin sont limits lintrieur de laire. Les aires sont connectes la dorsale (Backbone) par des routeurs frontires, les ABR (Area border Routers) .

AREA 1 AREA 2

AREA 3

Dorsale AREA 0

Systme Autonome 100

Systme Autonome 120

4 - Les LSA (link state advertisements) Il existe diffrents types de LSA, que lon retrouve ensuite dans les bases de donnes OSPF. Les diffrents types de

LSP sont illustrs ci-dessous et obissent des rgles de propagation diffrentes.

Les liens routeurs (Router links) sont une indication de ltat des interfaces dun routeur. Ce type de LSP est gnr

par tous les routeurs.

Les liens dagrgations (Summary links) sont gnrs par les ABRs. Ils indiquent de manire rsume comment les

rseaux sont accessibles dans les diffrentes aires. Cet information est changes entre le backbone et les diffrentes

aires. Les ABRS doivent aussi indiquer les routes vers les ASBR (routeurs frontire vers les autres systmes

autonomes)


Les liens rseaux (Network links) sont gnrs par les routeurs dsigns (DR) sur un segment. Cette information

indique comment les routeurs sont relis dans le cas des rseaux accs multiple ( Ethernet par exemple)

Les liens externes (external links) indique les rseaux hors de lAS. Ces routes vers es rseaux sont injects dans

OSPF par redistribution au niveau des ASBR).

Router links

Summary links

Summary links

ASBR

External links

5 - Voisinage et adjacence. Deux routeurs qui partagent un mme segment rseau deviennent voisins sous certaines conditions (mme aires,

authentification russie etc.). Les routeurs adjacents sont les routeurs qui procdent lchange des LSP et possdent

la mme base de donne. Les routeurs devient pleinement adjacents aprs de nombreuses tapes intermdiaires.

6 - Routes externes de type 1 ou 2 Les routes externes se divisent en deux catgories. Elles se distinguent par la faon dont la mtrique est calcule pour

chacune de ses routes. Le cot dune route de type 2 est le cot externe sans tenir compte du cot interne pour

rejoindre le rseau externe. Le cot dune route de type 2 est la somme du cot externe et du cot interne utilis pour

joindre cette route.


PPaarrttiiee BB TTRRAANNSSLLAATTIIOONN DD''AADDRREESSSSEE

I - Introduction

1 - Contexte Il arrive frquemment qu'un rseau interne utilise des classes d'adresses prives, par exemple pour palier la pnurie de classes

d'adresses publiques. Les machines du rseau interne n'ayant pas d'adresse routable sur Internet, elles ne devraient en thorie

ne jamais pouvoir communiquer avec l'extrieur.

La solution ce problmes est la translation d'adresse (NAT : Network Address translation). En ralit, la NAT permet de

rsoudre de nombreux cas de figure diffrents:

L'puisement des adresses IP publiques : Le rseau interne utilise des classes d'adresses prives non routables sur Internet. Les requtes vers l'extrieur sont alors prises

en charge par le routeur au nom des machines internes.

La fusion de rseaux qui utilisent des espaces d'adresse qui se recouvrent : Si deux compagnies utilisent les classes d'adresses prives et que l'on doive fusionner leurs rseaux, il pourra s'avrer trs

coteux d'laborer un nouveau plan d'adressage. Dans une telle situation la NAT permet d'effectuer une traduction entre

rseaux dont les plages d'adresses se chevauchent.

L'quilibrage de charge : Si plusieurs serveurs ralisent la mme fonction (service Web par ex.), la NAT peut tre utilise pour quilibrer le trafic entre

les diffrents serveurs. Vu des utilisateurs une seule adresse IP est utilise, le routeur se charge de redistribuer les requtes vers

les serveurs en partageant la charge de ces derniers.

2 - Terminologie NAT Dans le cadre de la NAT, les rseaux peuvent tre de deux types : les rseaux internes et les rseaux externes. Les

rseaux internes sont des rseaux dont les adresses ne sont pas lgitimes, elles doivent tre traduites en des adresses lgitimes.

Les rseaux externes sont des rseaux dont les adresses IP sont considres comme lgitimes.

Les termes suivants sont utiliss :

Adresse interne locales: Ce sont des adresses IP des machines htes connectes sur le rseau interne. Ces adresses sont non lgitimes et donc inconnues l'extrieur du rseau.

Adresse interne globales : Ce sont les adresses en lesquelles les adresses locales internes seront traduites. Ce sont les adresses des machines, vu de lextrieur. Ces adresses doivent tre lgitimes. Bien souvent ce sera l'adresse du routeur cot rseau

externe.

Adresses externes locales : Ce sont les adresses des machines externes, vu du rseau interne. Adresses externes globales : Ce sont les adresses ip des machines connectes l'extrieur du rseau. Ces adresses doivent tre lgitimes.

Toutes ces notions ne sont pas systmatiquement appliques suivant le type de NAT utilis.


3 - Objectifs Dans cette partie, nous allons considrer deux cas spcifiques :

- La translation de source (SNAT), utile pour raccorder un rseau interne l'extrieur et en particulier Internet

- La translation de destination (DNAT), pour permettre des machines externes d'accder aux serveurs du rseau

interne. Nous allons dmarrer un serveur WEB et un serveur FTP sur notre rseaux local (adresses prives) et

permettre aux machines externes daccder ces services.

II - Prliminaires Le nouveau plan de rseau mettre en place est prsent ci-dessous.

Les rseaux en 10.X.X.X et 192.168.X.X sont maintenant considrs comme privs

LAB-A et LAB-H n'assurent pas le routage des plages d'adresses prives. Chaque binme dispose de deux routeurs permettant l'interconnexion de deux LANs et leur raccordement Internet.

PC5A

152.77.65.179

LAB-A

152.77.65.176/28

S0/0 152.77.65.161

S0/1=DCE 152.77.65.165

E0/0

152.77.65.160/30

Tp Routage :



FEDE

LAB-H

E0/0

S0/1/0=DCE 152.77.65.173

S0/0/0 152.77.65.169

152.77.65.177

152.77.65.178

152.77.65.168/30

152.77.65.172/30

152.77.65.164/30

PC5B

152.77.65.180

PC 1B

10.0.3.0/24

PC 1A

10.0.1.0/24

LAB-B LAB-E S0/0

10.0.2.1

S0/0=DCE 10.0.2.2

10.0.2.0/24

Groupe 1

LAN-B

PC 2A

10.0.4.0/24

LAB-C LAB-F

S0/1

152.77.65.166/29

S0/0 10.0.5.1

E0/0

10.0.5.0/24

LAN-C

PC 2B

10.0.6.0/24 S0/0=DCE

10.0.5.2

PC 3A

192.168.1.0/24

LAB-D LAB-G

S0/1=DCE 152.77.65.170

S0/0 192.168.2.1

192.168.2.0/24

Groupe 3

LAN-D

PC 3B

E0/0

S0/0=DCE 192.168.2.2

E0/0

E0/0

E0/0

S0/1=DCE 152.77.65.162

E0/0

LAN-G

192.168.3.0/24

PC 4A

192.168.4.0/24

LAB-I LAB-J

S0/1

152.77.65.174

S0/0 192.168.5.1

192.168.5.0/24

LAN-I

PC 4B

E0/0

S0/0=DCE 192.168.5.2

E0/0 LAN-J

192.168.6.0/24

LAN-F

LAN-E

IUT

FE0/1

152.77.65.222

152.77.65.192/26

152.77.65.254

Groupe 2

Groupe 4

FEDE 3

FEDE 4

FEDE 2

FEDE 1

Les routeurs LAB-B, LAB-C, LAB-D et LAB-I devront donc prendre en charge la translation d'adresse des rseaux internes vers leur adresse publique. CONFIGURER TOUS LES ROUTEURS SAUF LAB-A et LAB-H avec un protocole de routage simple

(RIP). Chaque binme est responsable de deux routeurs conformment au schma. Les rseaux internes sont privs. On ne publie pas les rseaux publics vers lintrieur !

Configurer LAB-A (route par dfaut et routes vers FEDE 3 et FEDE 4.

Configurer LAB-H (route par dfaut vers LAB-A)

. FAIRE VERIFIER.


III - Translation d'adresse source Cette opration est trs simple, il faut

- Prciser quelle interface appartient au rseau externe.

- Prciser quelle interface appartient au rseau interne.

- Dresser une liste des plages d'adresses translater.

- Activer la translation d'adresses.

Nous allons traiter l'exemple du routeur LAB-B :

Un rseau public externe est matrialis par les postes PC5A et PC5B :

Interface

externe Interface

interne

Interface

Interne

NAT

10.0.3.0

10.0.2.0/24

10.0.1.0/24

PC 5B

152.77.65.176./28

E0/1

PC 5A

LAB-A

Rseau priv Rseau public

LAB-H

LAB-B

10.0.2.0/24

NAT

LAB-B#conf t

LAB-B(config)#int serial 0/1

LAB-B(config-if)#ip nat outside Dclare l'interface Serial 0/1 comme externe :

LAB-B(config)#int fastEthernet 0/0

LAB-B(config-if)#ip nat inside Dclare l'interfaceEthernet 0/0 comme interne LAB-B(config)#int serial 0/0

LAB-B(config-if)#ip nat inside Dclare l'interface serial 0/0 comme interne

Il faut maintenant dresser la liste des rseaux translater :

LAB-B(config)#access-list 1 permit 10.0.1.0 0.0.0.255 Autorise la translation du rseau 10.0.1.0 LAB-B(config)#access-list 1 permit 10.0.2.0 0.0.0.255 Etc .ou bien utiliser un masque mieux choisi

Rpter l'opration pour tous les sous-rseaux privs de votre rseau en les inscrivant dans la liste d'accs numro 1. Attention, le masque rseau est remplac par un masque gnrique comme nous le verrons par la suite pour les listes d'accs. Considrez simplement pour l'instant que les 0 et les 1 sont inverss dans le masque !

Enfin, activer la NAT par l'instruction suivante :

LAB-D(config)#ip nat inside source list 1 interface Serial0/1 overload

Effectuer quelques PING de l'intrieur vers l'extrieur. Pour vrifier que tout fonctionne.

Enfin on peut visualiser la table de translation d'adresses sur le routeur par la commande :

Routeur#show ip nat translations Relever ici un exemple de ligne fournie par cette dernire commande :

Pro Inside global Inside local Outside local Outside global

. FAIRE VERIFIER.


IV - Translation d'adresse destination Il s'agir maintenant de rsoudre le problme inverse : Comment autoriser les htes extrieurs communiquer avec une machine

interne au rseau et qui ne possde pas ce titre d'adresse globale externe ?

Considrons un routeur reli Internet avec une interface d'adresse publique et un rseau local avec une interface d'adresse

prive. Il vous suffit pour votre manipulation d'adapter le cas suivant :

Sur la machine serveur, dmarrer les serveurs WEB XITAMI. Ce petit serveur nous permettra de tester notre configuration

NAT.

Par exemple, sur le rseau du groupe 1 :

Interface

externe Interface

interne

Interface

Interne

NAT

10.0.3.0

10.0.2.0/24

10.0.1.0/24

PC 5B

152.77.65.176./28

E0/1

PC 5A

LAB-A

Rseau priv Rseau public

LAB-H

LAB-B

10.0.2.0/24

NAT

Serveur Web

10.0.1.11

Les interfaces internes et externes ont dj t dfinies dans le paragraphe prcdent.

Il reste ouvrir l'accs aux serveurs du rseau interne depuis l'extrieur.

Nous allons dfinir un "pool" de machines ralisant la fonction de serveur web :

Routeur(config)#ip nat pool monserveur 10.0.1.11 10.0.1.11 netmask 255.255.255.0 type rotary

Notez bien que l'adresse du serveur est entre deux fois (il s'agit en fait d'une plage d'adresses et donc dans notre cas une seule

machine !)

Nous allons dfinir la liste des machines qui seront autorises se connecter sur ce serveur :

Routeur(config)#access-list 101 permit tcp any any eq 80

Enfin on active la translation d'adresses :

Routeur(config)#ip nat inside destination list 101 pool monserveur

C'est termin !!

Il reste vrifier que tout fonctionne bien.

C'est dire que les utilisateurs ont accs l'extrieur (Web DNS )

Et que les utilisateurs extrieurs ont accs votre serveur web. Pour cela, accdez au serveur WEB du rseau SERVEURS

depuis PC4A ou PC4B.

A l'aide de la commande sh ip nat translations, complter le tableau suivant par quelques exemples :

Pro Inside global Inside local Outside local Outside global

. FAIRE VERIFIER.


PPaarrttiiee CC LLIISSTTEESS DDEE CCOONNTTRROOLLEE DD''AACCCCEESS

I - Objectifs Les routeurs sont chargs d'orienter le trafic en fonction de l'adresse IP. Ils sont amens pour cela examiner les

trames qu'ils collectent pour les rexpdier. Ils constituent donc l'emplacement idal pour assurer des fonctions de

scurit telles que le contrle des droits d'accs des rseaux en fonctions des adresses source et destination des

paquets.

Dans ce TP, nous allons voir comment crer des listes d'accs standard et tendues. Nous nous intresserons ici au

contrle du trafic IP mais les listes d'accs sont galement applicables d'autres protocoles comme IPX, AppleTalk

etc .

Pour implmenter correctement un mcanisme de contrle d'accs il faut :

Dterminer les exigences relatives aux listes mettre en place en fonction des besoins en matire scurit.

Crer la liste de contrle d'accs.

Appliquer la liste une interface du routeur.

S'assurer du bon fonctionnement de la liste de contrle d'accs.

II - Prliminaires Avant dimplanter les listes daccs le rseau suivant doit tre oprationnel (un protocole de routage tel que RIP ou

IGRP sera implant).

Chaque groupe dispose de deux routeurs et de deux rseaux Ethernet conformment au schma suivant :

Rseau

daccs

FW

PCA

Serveur WEB

Serveur FTP

Rseau SERVEURS

Rseau USAGERS

PC 5B

152.77.65.176/28

LAB-A

E0/1

PC 5A

FW

dsigne suivant votre groupe le routeur LAB-B ou LAB-C ou LAB-D.

FW implmente dj des fonctions NAT dtailles dans la partie prcdente. Le rseau SERVEURS dsigne suivant votre groupe le rseau LAN-B ou LAN-C LAN-D ou LAN-I.

ATTENTION, AVANT DE POURSUIVRE, LA TRANSLATION D'ADRESSE DOIT ETRE OPERATIONNELLE. Vous allez manipuler plusieurs access-lists dans cette partie. En aucun cas, il ne faut altrer celles qui concernent la NAT.

III - Listes de contrle d'accs standard Les listes d'accs standard peuvent contrler des paquets en fonctions de l'adresse IP source. Par consquent. Il faut

les placer sur le routeur le plus proche du rseau que l'on dsire protger.


Exemple (ne pas mettre en uvre)

On souhaite empcher le trafic IP en provenance de la machine PC5B d'accder au rseau LAN-C d'adresse rseau

10.0.4.0

La liste daccs sera cre sur le routeur LAB-C.

En mode de configuration globale, on cre une liste d'accs (numro 1)

Routeur(config)#access-list 2 deny host 152.77.65.180 refus de lhte Routeur(config)#access-list 2 permit any Autorisation de tous les autres htes Implicite : access-list 2 deny any rgle implicite toujours prsente en fin de liste Routeur# show access-list. Contrle de la liste ainsi cre

Quel est lintrt de la deuxime rgle ?

Il faut ensuite associer cette liste une interface :

Routeur(config)#interface FastEthernet 0/0 Configuration de l'interface 0/0 Routeur(config-if)#ip access-group 2 out La liste d'accs N1 est associe l'interface en sortie

Remarque : Les rgles de contrle d'accs sont traites squentiellement. Lorsqu'on ajoute une rgle, celle-ci se positionne donc

en dernire position. Il n'est pas possible d'insrer des commandes. Il faut dans ce cas liminer la liste d'accs et la

recrer en entier.

Mise en uvre

Interdisez lhte 152.77.65.180 laccs au rseau SERVEURS de votre groupe

Proposez les tests adquats et vrifiez le bon comportement de la liste de contrle daccs. Supprimer la liste

IV - Listes de contrle d'accs tendues Les listes d'accs tendues offrent davantage de possibilits que les listes d'accs standard :

L'adresse source comme l'adresse destination peuvent tre contrles.

Il est possible de contrler le type de trafic (Numro de port sous IP, type de message ICMP)

Comme on peut tester l'adresse source, il est parfois prfrable de placer la liste d'accs au plus prs de la source des

requtes interdire afin d'viter que ces paquets n'encombrent inutilement le rseau.

Les listes d'accs tendues reoivent un numro de 100 199.

On souhaite empcher les requtes http en provenance de la machine PCB de votre groupe d'accder au rseau SERVEURS de votre groupe.

Sur quel routeur et quelle interface doit-on associer la liste qui va tre cre ?

En mode de configuration globale. Crer une liste d'accs (numro 102).

Associer de la mme manire que prcdemment cette liste une interface.

Choisir des tests adquats et les mettre en uvre pour vrifier le bon fonctionnement de la liste de contrle

d'accs. (un serveur Web peut tre activ sur la machine PCA du rseau SERVEUR).

V - Mise en uvre des listes de contrle d'accs tendues pour l'accs FTP Dtruire au pralable les listes prcdemment cres aux paragraphes III et IV et leurs associations des interfaces SANS TOUCHER AUX LISTES QUI CONCERNENT LA TRANSLATION D'ADRESSE. Vrifier que les serveurs WEB et FTP de votre rseau SERVEUR sont accessibles Concevoir la liste d'accs qui rsulte de la politique de scurit suivante :


FW

Rseau SERVEURS

Rseau USAGERS

PC 1B

205.7.5.0/24

LAB-A

E0/1

PC 1A

Rseau

externe Access-list 120

Place en sortie de

FastEthernet 0/0

Mettre en place la scurit interne pour les accs WEB et FTP depuis le rseau USAGERS.

Construire la liste 120 de manire que lextrieur et le rseau USAGERS ait accs au serveur WEB.

Complter la liste 120 de manire que le rseau USAGERS ait aussi accs au serveur FTP du rseau SERVEURS.

En cas de difficult, lancez un analyseur rseau sur les rseaux SERVEURS et USAGERS et tentez de trouver une

explication !

. FAIRE VERIFIER

(Optionnel en fonction du temps disponible) Si l'on s'en tient aux listes mises an places, les requtes DNS ne

fonctionnent sans soute plus, faire le ncessaire pour que la communication des diffrents postes avec le serveur DNS

de l'universit soit possible.

. FAIRE VERIFIER.

VI - Annexes

1 - Quelques Protocoles contrlables par access-list

Intervalle IP 1 to 99

Extended IP 100 to 199

Ethernet type code 200 to 299

Ethernet address 700 to 799

AppleTalk 600 to 699

Source-route bridging (protocol type) 200 to 299

Source-route bridging (vendor code) 700 to 799

IPX 800 to 899

Extended IPX 900 to 999

IPX SAP 1000 to 1099

2 - access-list (IP standard)

! LA NOTION DE MASQUE GENERIQUE UTILISEE POUR LA DEFINITION DES REGLES NEST PAS EQUIVALENTE A CELLE DE MASQUE DE SOUS-RESEAU HABITUELLEMENT UTILISEE DANS LA DEFINITION DES ADRESSES IP DE RESEAUX.

Pour dfinir une liste daccs IP standard, utiliser la version standard de la commande de configuration globale access-List. access-list access-list-number {deny | permit} source [masque gnrique] [log] no access-list access-list-number

Syntaxe

access-list-

number Numro de la liste daccs. Nombre dcimal de 199 ou de 1300 1399.


deny Refuse laccs si la condition est vrifie permit Autorise laccs si la condition est vrifie

source

Numro de rseau ou dhte depuis lequel le paquet est envoy.

Il existe deux mthodes pour spcifier la source

Utiliser une adresse IP sur 32 bits au format dcimal point.

Utiliser le mot cl any comme abrviation de la squence [source masque] 0.0.0.0

255.255.255.255

Masque

gnrique

(Optionnel) bits de masquage appliquer la source.

Chaque bit 0 indique que le bit correspondant dans ladresse IP du paquet doit correspondre

exactement au bit correspondant du champ source.

Chaque bit 1 indique que le bit correspondant dans ladresse IP du paquet nest pas pris en

compte dans le test de correspondance

Il existe deux mthodes pour spcifier le masque de source

Utiliser une adresse IP sur 32 bits au format dcimal point. Placer des 1 aux positions de

bits que vous souhaitez ignorer. Par exemple 0.0.255.255 indique que seuls les 16 premiers

bits seront tests.


255.255.255.255

Les bits de masque 1 ne sont pas ncessairement contigus. Par exemple, le masque 0.255.0.64

serait valide.

log

(Optionnel) Provoque lenvoi de message de log de niveau information pour tout paquet qui

vrifie la rgle. (Le niveau de log est contrl par la commande Logging console. Le message inclus le numro daccess-list, si le paquet a t accept ou refus, ladresse source

ou le nombre de paquets). Le message est gnr pour le premier paquet concern puis

intervalle de 5 mn

Fonctionnement par dfaut Une access-list est toujours termine par un refus implicite de tous les paquets

Exemples La liste daccs standard suivante autorise laccs uniquement aux htes des trois rseaux spcifis. Le masque

sapplique la partie rseau des adresses spcifies

Tout hte non expressment autoris est refus.

access-list 1 permit 192.5.34.0 0.0.0.255



! (Note: Tous les autres paquets sont implicitement refuss)

La liste daccs standard suivante autorise laccs aux matriels dadresse IP comprise dans lintervalle10.29.2.64

10.29.2.127

Tous les paquets dont ladresse source ne vrifie pas cette proprit sont refuss


! (Note: Tous les autres paquets sont implicitement refuss)

Pour spcifier un grand nombre dadresses individuelles plus facilement, on peut omettre le masque si tous ses bits

sont 0. Les deux configurations suivantes sont quivalentes

access-list 2 permit 36.48.0.3


3 - access-list tendues Pour dfinir une liste daccs tendue, utiliser la version tendue de la commande de configuration globale access-

list :

Pour retirer laccess-list , utiliser la forme no access-list access-list-number de cette commande.

Cas gnral : access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] TCP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-wildcard [operator port [port]] destination destination-wildcard [operator port [port]] [established] [precedence precedence] [tos tos] [log | log-input]


User Datagram Protocol (UDP) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit}udp source source-wildcard [operator port [port]] destination destination-wildcard [operator port [port]] [precedence precedence] [tos tos] [log | log-input]

Syntaxe access-list-

number

deny Refuse laccs si la condition est vrifie permit Autorise laccs si la condition est vrifie

protocol

Nom ou numro du protocole IP : Un des mots cls suivants eigrp, gre, icmp, igmp, igrp, ip,

ipinip, nos, ospf, pim, tcp, or udp, ou un entier dans lintervalle 0 255 reprsentant un numro

de protocole IP. Pour dsigner tous les protocoles ip (ICMP, TCP UDP ) utiliser le mot cl

IP

source

Numro de rseau ou dhte depuis lequel le paquet est envoy.

Il existe trois mthodes pour spcifier la source

Utiliser une adresse IP sur 32 bits au format dcimal point.


255.255.255.255

Utiliser le mot cl Host comme abrviation de la squence [source masque] = [source]

0.0.0.0.

source-

wildcard

(Optionnel) bits de masquage appliquer la source.

Chaque bit 0 indique que le bit correspondant dans ladresse IP du paquet doit correspondre

exactement au bit correspondant du champ source.

Chaque bit 1 indique que le bit correspondant dans ladresse IP du paquet nest pas pris en

compte dans le test de correspondance

Il existe trois mthodes pour spcifier le masque de source

Utiliser une adresse IP sur 32 bits au format dcimal point. Placer des 1 aux positions de

bits que vous souhaitez ignorer. Par exemple 0.0.255.255 indique que seuls les 16

premiers bits seront tests.


255.255.255.255

Utiliser le mot cl Host comme abrviation de la squence [source masque] = [source]

0.0.0.0.

Les bits de masque 1 ne sont pas ncessairement contigus. Par exemple, le masque

0.255.0.64 serait valide.

destination Mme rgles que pour le champ source destination-

wildcard Mme rgles que pour le champ masque gnrique source

tos tos (Optionnel) Filtrage par type de service, icmp-type (Optionnel) Les paquets ICMP peuvent tre filtrs par type de message ICMP (de 0 255)

icmp-code (Optionnel) Les paquets ICMP filtrs par type de message peuvent galement tre filtrs par

type de code de message (de 0 255)

operator

(Optionnel) Compare le port source ou destination. Les oprandes possibles sont :

lt (less than), gt (greater than), eq (equal), neq (not equal), and range (inclusive range).

Si ce champ est plac aprs le champ [source masque source], il concerne le champ source

Si ce champ est plac aprs le champ [dest masque dest], il concerne le champ destination.

Loprateur ncessite deux numros de ports. Tous les autres oprateurs ncessitent un seul

numro de port

port Numro de port (0 65536)

established

(Optionnel) Pour le protocole TCP seulement

Indique une connexion tablie. La correspondance est vraie si le paquet TCP possde les flags

vrais. La correspondance est fausse dans le cas dun paquet initial destin tablir la

connexion.

log (Optionnel) Provoque un message de log au sujet du paquet vrifiant la rgle Fonctionnement par dfaut Une access-list est toujours termine par un refus implicite de tous les paquets

Note : Aprs la cration dune access-list, Tous les ajouts suivants sont placs la fin de la liste. Il nest pas possible de slectionner lemplacement dune rgle dans la liste.


Exemples : Dans lexemple suivant, linterface srie 0 fait partie dun rseau classe B dadresse 128.88.0.0 et ladresse mail de

lhte est 128.88.1.2. Le mot cl established est utilis seulement pour le protocole TCP pour indiquer une communication tablie. Il y a correspondance si le datagramme possde les flags ACK ou RST activs ce qui indique

que le paquet appartient une connexion tablie.

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 established access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25 interface serial 0 ip access-group 102 in

Lexemple suivant autorise les paquets DNS et les requtes et rponses ICMP

access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established access-list 102 permit tcp any host 128.88.1.2 eq smtp access-list 102 permit tcp any any eq domain access-list 102 permit udp any any eq domain access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply

Lexemple suivant montre lutilisation des masques gnriques :

Les bits dadresse correspondants aux bits de masque 1 sont ignors durant les vrifications. Les bits dadresse

correspondant aux bits 0 du masque sont tests.

On autorise le rseau 131.108.0.0/24 mais on interdit tous les autres sous-rseaux de 131.108.0.0/16.

access-list 101 permit ip 131.108.0.0 0.0.0.255 any access-list 101 deny ip 131.108.0.0 0.0.255.255 any


PPaarrttiiee DD MMAAIINNTTEENNAANNCCEE DDEESS RROOUUTTEEUURRSS

I - Squence damorage du routeur Dans cette partie, vous allez effectuer des manipulations trs spcifiques au matriel CISCO concernant la

maintenance des routeurs. Ces oprations permettent de mieux apprhender le processus de dmarrage de la machine

Deux manipulations distinctes vont tre effectues :

Rcupration de mot de passe.

Changement de lIOS (Internetworking Oprating System)

Avant deffectuer le changement dIOS, il convient de sassurer que la nouvelle version pourra tre supporte par

notre plate-forme. Il faut galement bien comprendre les choix de la source de chargement de lIOS qui est effectu au

dmarrage

Consulter dabord lannexe 1 dtaillant les oprations de dmarrage du routeur.

LIOS est constitu dun fichier monolithique stock en mmoire flash et recopi au dmarrage dans la mmoire

RAM.

La version de ce fichier dpend du matriel utilis (famille de routeur), des composants installs (volume de mmoire

flash et RAM disponible) ainsi que des fonctionnalits attendues.

Les oprations effectues lors du dmarrage du systme sont conditionnes par un registre de configuration.

La commande show version permet de connatre des informations utiles sur limage IOS en cours dutilisation ainsi

que la valeur du registre de configuration.

Dterminer :

La version IOS et dautres informations

Le nom du fichier image

Le type de processeur et la quantit de RAM

La plate-forme (famille de routeurs)

La quantit de NVRAM

La quantit de mmoire flash

La valeur du registre de configuration

Quelle serait le rsultat de la commande suivante : (saider de lannexe 2)

Routeur(config)#config-register 0x2102

Lors du dmarrage, le routeur dtermine lui-mme le nom du fichier IOS charger en flash si le registre a t configur pour

ce type de dmarrage. Une commande supplmentaire peut tre ajoute dans le fichier de configuration pour spcifier

explicitement le nom du fichier charger.

Routeur(config)#boot system peut prendre la valeur flash TFTP ou ROM est le nom du fichier charger

Routeur#copy run start Sauvegarder loption choisie !

II - Rcupration de mot de passe Les mots de passe sont normalement stocks en NVRAM dans le fichier startup-config.

En cas de perte de mot de passe, il est possible de forcer de forcer un redmarrage du routeur sans lecture du fichier de

configuration et par consquent sans authentification. Il faut pour cela disposer dun accs console la machine. Dans

un environnement de production, il faut donc songer verrouiller laccs physique au routeur.


Vrifier la valeur actuelle du registre de configuration. Quelle est-elle ?

Nous allons procder au redmarrage du routeur, en supposant que nous ignorons le mot de passe. Il convient de bien

respecter les tapes suivantes : (lire lensemble de la procdure avant de commencer.

Etape 1 : Redmarrer le routeur

Etape 2 : Interrompre la squence damorage, dans les 60 secondes qui suivent le redmarrage du routeur. Pour cela, appuyer simultanment sur les codes CTRL et PAUSE. Un caractre dinterruption est alors envoy au routeur.

Cette squence ne fonctionne quavec une version spciale dHyperTerminal tlcharge sur le site de lditeur de

ce logiciel (Hilgraeve). La version standard livre avec Windows ne fonctionne pas. Dautres squences de touches

peuvent tre utilises avec dautres terminaux consoles (cf. Site CISCO pour plus dinformations). A noter que

lancienne version de terminal livre avec Windows 3.1 fonctionnait parfaitement.

La squence CTRL PAUSE a pour effet de forcer le dmarrage du routeur en mode moniteur en ROM. Dans ce mode, un mini systme dexploitation permet deffectuer quelques oprations essentielles telles que la modification

du registre de dmarrage et mme le tlchargement dune image IOS.

Etape 4 : Tapez alors la commande confreg linvite du routeur : Rommon>confreg Modification du registre Rpondre Y pour modifier la configuration du registre puis N toutes les questions SAUF la question ignore system info config. En effet cette question vous demande si au dmarrage vous voulez ignorer le fichier de configuration startup-config sauv en NVRAM. Rpondre Y.

Faire alors le ncessaire pour sauvegarder la nouvelle configuration puis redmarrer le routeur par reset.

Etape 5 : Aprs le dmarrage du routeur, passer en mode privilgi. Pourquoi aucun mot de passe nest-il requis ?

Etape 6 : Recharger le fichier de config par copy start run. On peut maintenant lister les mots de passe en clair. Quant aux mots de passes crypts, ils ne peuvent tre dcods sans outil spcifique

Etape 7 : Normalement, on devrait cette tape attribuer un nouveau mot de passe. Pour ce TP, remettre le mot de passe class Etape 8 : Il faut maintenant restaurer le registre de configuration puis sauvegarder la configuration. :

Pour cela :

Routeur(config)#config-register 0x2102 Restaurer le registre

Routeur# Copy run start

Etape 9 : Il ne reste plus qu vrifier que tout sest bien pass en redmarrant normalement le routeur Routeur#reload redmarrage

III - Tlchargement dun nouvel IOS. Les routeurs CISCO sont capables de rcuprer une image IOS sur un serveur TFTP. Cest la mthode que nous

allons employer ici.

Comment il a t indiqu plus haut, limage IOS est stocke en mmoire flash puis recopie au dmarrage en mmoire

RAM.

Pour simplifier nous allons travailler sur la connexion suivante :

PCX-A

Serveur TFTPLAB-X

1 - Sauvegarde du fichier image IOS La manipulation suivante a pour but de sauvegarder une image sur le serveur TFTP puis de la restaurer sur le routeur

CISCO.

Activer dabord le serveur TFTP sur le PC Hte PCXA ou X est votre numro de poste.

Vrifier par un ping la connectivit entre le routeur et le serveur TFTP.

La sauvegarde seffectue alors simplement en recopiant le fichier image IOS de la mmoire flash vers le serveur

TFTP par :

Routeur#copy flash tftp Copie de la mmoire flash vers un serveur tftp


Prciser alors le nom du fichier transfrer puis ladresse du serveur contacter et effectuer le transfert.

2 - Tlchargement dune image Deux cas peuvent se prsenter : Soit le routeur est dans un tat cohrent et fonctionne normalement. On peut alors

tlcharger une nouvelle image afin de remplacer lancienne.

Il arrive galement que lon doive restaurer une image IOS altre sur un routeur. Dans ce cas le dmarrage normal

est impossible faute dimage correcte en mmoire flash.

Premier cas : Ce cas est facile traiter. Il faut cependant souvent effacer lancienne version de lIOS :

Routeur#dir flash: Listing des fichiers prsents dans la mmoire flash Routeur#erase flash Effacement de la mmoire flash Routeur#copy tftp flash Chargement du fichier IOS depuis le serveur tftp

Il suffit alors de fournir les informations ncessaires et de lancer limportation du fichier IOS.

Redmarrer alors le routeur laide de la commande reload. Normalement, le routeur doit dmarrer avec la nouvelle

image systme.

Remarque :

La procdure dcrite ici est valable pour de nombreux produits CISCO. Nanmoins, des variantes peuvent exister et il

est trs conseill de consulter le site du fabricant AVANT deffacer la mmoire flash pour viter de mauvaises

surprises...

Si le chargement de la nouvelle image choue, cest que le routeur ne dispose pas dune image valide. Il bascule alors

en mode de fonctionnement moniteur en ROM. Et il ne reste plus qu tenter la mthode N2 !!!

Deuxime cas : Le deuxime mode de chargement est voisin du premier sauf quil consiste effectuer le tlchargement TFTP depuis

le mode moniteur en ROM ... nettement moins ergonomique.

Pour tester ce mode, effacer la mmoire flash, puis redmarrer (commande reload). Limage IOS est alors perdue.

Que se passe-t-il au redmarrage ?

La commande pour tlcharger le fichier image est, sur les routeurs de la srie 2600, tftpdnld. Tapez cette commande. Que se passe-t-il ?

En fait, vous rcuprez un cran daide qui vous donne toutes les informations ncessaires pour prparer le

tlchargement. A vous de jouer !!

Annexe 1 Dmarrage du routeur Aprs le test automatique de mise sous tension, l'initialisation d'un routeur se droule selon les tapes suivantes :

tape 1 - Le bootstrap gnrique, en mmoire ROM, s'excute sur le processeur. Le bootstrap est une opration simple et prdfinie qui charge des instructions. Celles-ci chargent leur tour d'autres instructions en

mmoire ou activent d'autres modes de configuration.

tape 2 - Le systme d'exploitation (l'IOS) peut tre install plusieurs endroits. Son emplacement est prcis dans le champ d'amorage du registre de configuration. Si le champ indique un chargement partir de la

mmoire flash ou d

Documents

TP Routage