Beruflich Dokumente
Kultur Dokumente
version du 14/5/2013
Manipulez le matriel avec la plus grande prcaution ! Ne tirez pas sur les prises !
30 minutes avant la fin de la sance, procdez la remise en tat du matriel :
sauver une copie de votre running-config et lajouter votre rapport dans une partie
intitule configuration de fin de sance
Dans ce sujet, il sera souvent fait rfrence au document de prparation du TP, quon appellera DP.
Reportez-vous aux sections concernes lorsque cest prcis.
Installation
Exercice 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
I.1 Cration du rapport sur le PC-IUT . . . . . . . . . . . . . . . .
Exercice 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
I.2 Prparation du PC-LAN . . . . . . . . . . . . . . . . . . . . .
I.2.A Dmontage de net-home . . . . . . . . . . . . . . . .
Exercice 3 . . . . . . . . . . . . . . . . . . . . . . . . .
I.2.B Suppression des routes et dbranchement du rseau
Exercice 4 . . . . . . . . . . . . . . . . . . . . . . . . .
I.2.C Cration (dune partie) du rapport sur le PC-LAN . . .
Exercice 5 . . . . . . . . . . . . . . . . . . . . . . . . .
I.2.D Lancement de la machine virtuelle . . . . . . . . . . .
Exercice 6 . . . . . . . . . . . . . . . . . . . . . . . . .
I.3 Dcouverte du matriel . . . . . . . . . . . . . . . . . . . . .
Exercice 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
6
7
7
7
8
8
8
8
9
9
9
9
10
10
Version du 14/5/2013
2/63
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
10
10
10
11
13
13
14
15
16
16
16
18
19
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
20
20
20
21
21
22
22
23
23
23
24
IV Conception Rseau
Exercice 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
24
V Configurations Rseau
V.1 Mise en place du LAN . . . . . . . . . . . . . . . .
V.1.A Cblage du LAN . . . . . . . . . . . . . . .
Exercice 20 . . . . . . . . . . . . . . . . . .
V.1.B Configuration de linterface LAN du routeur
Exercice 21 . . . . . . . . . . . . . . . . . .
V.1.C Configuration de linterface LAN du PC-LAN
Exercice 22 . . . . . . . . . . . . . . . . . .
V.2 Sauvegarde de la configuration par TFTP . . . . .
Exercice 23 . . . . . . . . . . . . . . . . . . . . . .
V.3 Accs la CLI par TELNET . . . . . . . . . . . . .
Exercice 24 . . . . . . . . . . . . . . . . . . . . . .
V.4 Accs linterface Web du routeur . . . . . . . . .
Exercice 25 . . . . . . . . . . . . . . . . . . . . . .
V.5 Raccordement et configuration ct WAN . . . . .
V.5.A Cblage de linterface WAN du routeur . . .
Exercice 26 . . . . . . . . . . . . . . . . . .
Exercice 27 . . . . . . . . . . . . . . . . . .
V.6 Configuration du routage sur le routeur . . . . . . .
Exercice 28 . . . . . . . . . . . . . . . . . . . . . .
V.7 Configuration de la rsolution DNS sur le routeur .
Exercice 29 . . . . . . . . . . . . . . . . . . . . . .
25
25
26
26
26
30
30
30
31
32
32
33
34
34
34
34
35
35
35
36
36
37
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3/63
Version du 14/5/2013
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
37
37
37
38
38
38
40
41
41
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
42
42
44
47
48
48
50
50
51
52
53
54
55
55
55
56
57
57
58
58
58
58
59
VIIIAnnexe
VIII.1Message ICMP de test daccessibilit et dtat (PING) . . . . . . . . . . . . . . . . . . .
63
63
VI Configuration du NAT/PAT
VI.1 Le PAT sur le routeur daccs vers Internet (RPAT) . . . . . . . . .
VI.2 Principes et terminologie du NAT . . . . . . . . . . . . . . . . . . .
VI.2.A Traductions inside et outside . . . . . . . . . . . . . . . . .
VI.2.B Variantes du NAT . . . . . . . . . . . . . . . . . . . . . . . .
VI.3 Configuration du PAT dynamique . . . . . . . . . . . . . . . . . . .
Exercice 34 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.4 Fonctionnement de la traduction dynamique PAT . . . . . . . . . .
VI.4.A Initiation dune traduction dynamique PAT . . . . . . . . . .
VI.4.B Traduction dynamique PAT des messages sortants . . . . .
VI.4.C Traduction dynamique PAT des messages entrants . . . . .
VI.5 PAT statique pour la redirection de port des connexions entrantes .
Exercice 35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.6 Scurisation des accs rseau . . . . . . . . . . . . . . . . . . . .
Exercice 36 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.7 Gestion et mise jour de la table des traductions . . . . . . . . . .
Exercice 37 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.8 Interactions entre le NAT et les autres protocoles . . . . . . . . . .
Exercice 38 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Version du 14/5/2013
4/63
Installation
Installez-vous la place que vous a communique votre enseignant. Votre espace de travail devrait ressembler
lune des prises de vues de la figure 1.
PCIUT
connect au rseau du dpartement
LAN du binme
cble console
F IGURE 2 Environnement de travail dun binme : le PC-IUT reste connect au rseau du dpartement et servira
administrer le routeur. Le PC-LAN sera reli au LAN du binme qui comprend un hub/switch et un routeur. Le
binme devra effectuer les cblages (en rouge). Le routeur devra tre connect au rseau gr par lenseignant
(ct WAN).
La figure 3 prsente un aperu du rseau qui sera form au cours du TP, en faisant abstraction du PC-IUT.
Lorganisation exacte est sensiblement diffrente dune salle de TP lautre. Les traits pais rouges de la figure
reprsentent les cblages que devront raliser les binmes : cblage des quipements de leur LAN et raccordement de leur routeur au rseau de lenseignant. Le rseau gr par lenseignant se trouve dans la partie basse
de la figure. Il comprend les switchs SW1, SW2 et SW3, ainsi que le routeur RPAT et le serveur TPSERVEUR.
Comme on le voit, le routeur RPAT permettra daccder Internet. Notons que les adresses IP de RPAT et de
C. Pain-Barre, A. Meyer et F. Dumas, 2010
5/63
Version du 14/5/2013
TPSERVEUR font partie des paramtres qui vous ont t remis et diffrent dun groupe lautre.
PCLAN
SW2
PCLAN
PCLAN
LAN Binme
PCLAN
LAN Binme
LAN Binme
LAN Binme
LAN Binme
PCLAN
LAN Binme
SW1
PCLAN
LAN Binme
PCLAN
PCLAN
LAN Binme
PCLAN
LAN Binme
LAN Binme
PCLAN
PCLAN
LAN Binme
PCLAN
LAN Binme
PCLAN
LAN Binme
LAN Binme
PCLAN
SW3
RPAT
TPSERVEUR
Internet
F IGURE 3 Topologie physique globale du rseau du TP. La partie du bas est gre par lenseignant. Les binmes
devront raliser les cblages en traits pais rouges.
La position des binmes na pas dimportance. Malgr la topologie physique apparente de la figure 3, le
rseau gr par lenseignant a en ralit une topologie logique bien diffrente car il est form de 4 vlans : VLAN
10, VLAN 20, VLAN 30 et VLAN 40, comme le montre la figure 4. chaque vlan a t attribu un bloc dadresses
IP, qui figure dans vos paramtres. Les vlans sont partags entre les 3 switchs SW1 SW3 qui sont relis par
INFO - IUT Aix-en-Provence
Version du 14/5/2013
VLAN 10
...
PCLAN
VLAN 20
PCLAN
...
LAN Binme
PCLAN
LAN Binme
...
PCLAN
LAN Binme
PCLAN
LAN Binme
LAN Binme
PCLAN
6/63
LAN Binme
VLAN 30
RPAT
TPSERVEUR
VLAN 40
Internet
F IGURE 4 Topologie logique du rseau du TP. Les binmes dun mme vlan sont rpartis dans la salle de TP.
des trunks 802.1Q. RPAT appartient ces 4 vlans, alors que TPSERVEUR nappartient quau VLAN 40. Leurs
adresses dans les vlans correspondants sont prcises dans les paramtres. Les paramtres dun binme indiquent
le numro de leur vlan dappartenance.
Tout ceci sera clarifi plus tard. Retenons que les binmes appartenant un mme vlan peuvent tre
quelconques, ne sont pas forcment situs physiquement cte cte, ni forcment relis au mme
switch du rseau de lenseignant.
Exercice 1 (Checklist)
Vrifier que votre espace de travail est bien quip des lments suivants :
1 routeur de marque CISCO, parmi les sries 1700, 2500 et 2600, accompagn de son alimentation :
1 cble dalimentation standard pour les routeurs "rackables" (modle 1760 de la srie 1700 et tous
les modles des sries 2500 et 2600) ;
1 alimentation spcifique pour les modles 1720 et 1721 (petits routeurs dentreprise) de la srie
1700 ;
C. Pain-Barre, A. Meyer et F. Dumas, 2010
7/63
Version du 14/5/2013
1 Hub ou un Switch dune marque quelconque (CISCO, 3Com, D-Link, . . .) avec 1 cble dalimentation
standard ;
1 cble console DB-9/RJ-45 (gnralement de couleur bleu clair) ;
3 cbles droits de catgorie 5 ou suprieure dont 1 de longueur significative (entre 3 et 10 mtres).
1 gobelet (!) qui servira ranger les attaches des cbles afin dviter de les garer. . .
Lespace de travail doit tre restitu dans le mme tat en fin de sance, propre, les cbles correctement enrouls et attachs, le PC-LAN rebranch sur le rseau et le routeur rinitialis. Les
binmes ne respectant pas ces consignes seront pnaliss ! Merci de manipuler le matriel avec
prcaution.
Dmarrer les 2 PC sous Linux et se loger (on peut utiliser le mme nom dutilisateur sur les 2 PC).
I.1
Un rapport et un certain nombre de fichiers seront remettre lenseignant, de prfrence par courrier lectronique, une adresse quil prcisera. Le PC-IUT pourra servir cet envoi car il reste connect au rseau du
dpartement. La rdaction du rapport doit se faire de prfrence sur le PC-IUT. Les fichiers remettre crs sur
le PC-LAN devront tre dposs sur le PC-IUT, soit par cl USB, soit via le rseau si lavancement du binme le
permet.
Exercice 2 (cration du rapport)
Sur le PC-IUT, ouvrir OpenOffice.org Writer (menu Applications Bureautique) et commencer la rdaction de votre rapport en faisant figurer vos noms, prnoms, numro de groupe et de binme. Lenregistrer sous
le nom groupe-binome-Nom1 _Nom2 -pciut.odt o Nom1 et Nom2 sont vos noms.
I.2
prcise les informations rendre, soit dans le rapport, soit dans un fichier
Prparation du PC-LAN
Le PC-LAN va tre dconnect du rseau de lIUT pour tre raccord au LAN que vous formerez. Mais avant,
il faut prendre un minimum de prcautions. . .
INFO - IUT Aix-en-Provence
I.2.A
Version du 14/5/2013
8/63
Dmontage de net-home
Comme vous le savez srement, votre rpertoire net-home est un montage SAMBA (type CIFS) de votre espace de stockage hberg par les serveurs de luniversit. Vous ny aurez plus accs une fois le PC-LAN dbranch
du rseau du dpartement. Afin de ne pas risquer de corrompre le montage, il vaut mieux le dsactiver.
Exercice 3 (dmontage de net-home)
Sur un terminal du PC-LAN :
1. vrifier les montages actuels des systmes de fichiers en tapant :
$ mount
I.2.B
Avant de dbrancher le PC-LAN du rseau, nous allons supprimer ses routes afin de rduire le trafic quil
pourrait mettre dans le LAN que vous formerez. En effet, comme nous le verrons dans la section suivante, ce
nest pas vraiment le PC-LAN que vous connecterez votre LAN, mais une machine virtuelle quil excutera.
Exercice 4 (arrt rseau du PC-LAN)
Sur un terminal du PC-LAN :
1. afficher la liste des routes connues en tapant :
$ /sbin/route -n
2. supprimer les routes en levant temporairement vos privilges pour excuter noroute avec la commande
suivante :
$ sudo noroute
9/63
Version du 14/5/2013
I.2.C
Une partie des informations communiquer proviendra du PC-LAN. Pour les prsenter, il nous faut crer un
second rapport sur le PC-LAN, quil faudra ensuite remettre aussi, ainsi que les fichiers qui y auront t gnrs.
Exercice 5 (cration dune partie du rapport sur le PC-LAN)
Sur le PC-LAN, crer le fichier groupe-binome-Nom1 _Nom2 -pclan.odt avec OpenOffice.org Writer
et commencer par faire figurer la mention PCLAN, ainsi que vos noms, prnoms, numro de groupe et de binme.
I.2.D
Ce rapport ne devrait tre utilis que pour les rponses relatives aux informations prsentes uniquement
sur le PC-LAN.
Sur votre session sur le PC-LAN, vous tes un utilisateur sans possibilit dadministration, comme dhabitude
(do les utilisations de sudo). Vous ne pouvez (et ne devez) donc pas administrer directement ce PC, notamment
sa configuration rseau. Cela dit, grce VirtualBox, nous allons y excuter une machine virtuelle Linux, sous
laquelle vous serez root. Dans cette machine virtuelle (VM), vous pourrez utiliser toutes les commandes dadministration ncessaires pour lintgrer dans le LAN que vous allez constituer. Nous navons pas encore besoin
dadministrer cette VM, mais nous la crons maintenant car sa cration prend du temps.
Pour tre raccorde votre LAN, la VM est cre avec une carte rseau virtuelle relie par un bridge
(pont virtuel) la carte rseau du PC-LAN. Cela lui donne la possibilit dmettre des trames avec
sa propre adresse MAC en utilisant la carte rseau de lhte, mais aussi den recevoir, sans gner le
systme hte qui peut continuer mettre et recevoir ses propres trames. En supprimant les routes du
systme hte, nous avons limit ses intentions dmettre des trames. . .
3. cliquer sur Ok aux diffrentes fentres dinformation affiches (sur la capture du clavier et de la souris)
lorsque le systme dmarre sous Linux Debian/Lenny ;
4. sur la machine virtuelle (VM), se loger graphiquement en tant que root (mot de passe <re>zo++).
Cliquer sur Suivant au message davertissement ;
5.
sur la VM, ouvrir un terminal. Taper la commande adquate pour vrifier ladresse MAC de la carte
rseau. Lindiquer dans le rapport.
ou
I.3
Version du 14/5/2013
10/63
Dcouverte du matriel
Retirer avec prcaution le routeur de son emplacement et linspecter de tous les cts. Sur le rapport
du PC-IUT, indiquer les lments suivants :
Par dfaut, vos rponses doivent tre incluses dans le rapport du PC-IUT sil ne sagit pas dinformations prsentent (uniquement) sur le PC-LAN. Ne pas rpartir les rponses un exercice
sur les 2 rapports !
II
II.1
Utilisation de la console
Nous allons procder la mise en place de la console, partir de laquelle nous prendrons le contrle du
routeur.
1. Les slots inoccups ont un simple cache, sans connecteur.
11/63
Version du 14/5/2013
Attention aux cbles si vous dplacez les PCs ! Il peut tre plus simple de passer de lautre ct
de la table pour se connecter au port srie.
2. Un menu saffiche. Utiliser les flches pour choisir Configurer le port srie :
3. Le sous-menu affich rsume les paramtres actuels dont certains doivent tre modifis :
4. Taper A pour spcifier le port srie adquat (voir les paramtres utiliser dans DP, section 4.II.A,
page 22), puis valider le changement par Entre
5. Taper E pour modifier les paramtres de communication. Le sous-menu correspondant devrait tre :
INFO - IUT Aix-en-Provence
Version du 14/5/2013
12/63
Modifier les paramtres pour obtenir 9600 8N1. Valider les changements en tapant Entre
6. Taper nouveau Entre pour revenir au menu principal
7. Puis, choisir "Sortir" afin de commencer la simulation du terminal
8. Dmarrer le routeur. Les premiers messages du routeur devraient apparatre (voir DP, section 4.II.B,
page 22). Si, aprs quelques secondes, toujouts rien nest affich, teindre le routeur et revoir le cblage
et les paramtres de minicom
9. Le routeur est plus ou moins long avant dtre oprationnel. Attendre quil affiche le prompt (tel que
Router> ou 2600-2>) ou un message vous invitant taper sur Entre (auquel cas, taper Entre
pour afficher le prompt), signifiant quon est en mode utilisateur (user mode)
Il peut arriver que laffichage du prompt passe inaperu suite laffichage de messages dinformation (lignes commenant par %). Si le prompt nest toujours pas apparent aprs un temps
significatif dinactivit du routeur, taper Entre , ce qui devrait le faire afficher.
Si le routeur vous demande (en anglais) si vous voulez entrer dans le menu de configuration, rpondre no !
cela devrait chouer car vous ntes pas en mode privilgi (enable mode)
11. Tenter dentrer en mode privilgi. Sans le mot de passe, vous chouerez, et le rsultat doit tre similaire
celui-ci :
Router>enable
Password: taper quelque chose Entre
Password: taper quelque chose Entre
Password: taper quelque chose Entre
% Bad secrets
Router>
Lentre en mode privilgi doit chouer (sinon, le routeur a une mauvaise configuration).
Si elle russit, taper exit pour revenir au mode utilisateur, et continuer comme si vous naviez
pas accs au mode privilgi.
13/63
II.2
Version du 14/5/2013
La console tant oprationnelle, on va se familiariser avec la CLI et son aide intgre qui est aussi disponible
en mode utilisateur.
Exercice 10 (facilits de la CLI)
Se rfrer DP, section 3.IV, page 17 pour la pagination et section 3.V, page 17 pour les diffrentes aides
manipules ci-aprs :
1. Sur la CLI, taper :
Routeur>?
pour afficher la liste des commandes disponibles en mode utilisateur. Comme il y en a de nombreuses,
cette liste est pagine ;
Pour la pagination, Espace fait passer la page suivante ; Entre fait avancer dune
ligne ; et toute autre touche termine la pagination.
2. Puis taper :
Routeur>sh Tabulation
Pour voir les paramtres que prend la commande show. nouveau, la liste est longue et pagine car la
sortie occupe plus de 24 lignes
4. Puis taper :
Router>show v?
Il sagit dune criture raccourcie de la commande show version, qui aurait pu mme
scrire sh ve
qui devrait complter la commande en show version, qui a t excute prcdemment avec un nom
court
INFO - IUT Aix-en-Provence
Version du 14/5/2013
14/63
Parmi elles, il y a <cr> qui indique quon peut terminer la commande. Il y a aussi le pipe | qui permet
de filtrer 2 laffichage.
8.
Complter la commande avec le pipe | pour ne faire afficher que les lignes contenant Boot. Reporter
dans le rapport la commande correspondante et son rsultat.
Aide : aprs le pipe, ajouter un espace puis utiliser laide pour afficher la liste des possibilits
de filtrage de laffichage.
9. Procder de la mme faon pour connatre les utilisations possibles des commandes traceroute et telnet.
II.3
Ne pas hsiter par la suite utiliser laide fournie avec ?, ainsi que les noms courts, le rappel des
commandes avec les flches et lutilisation de la tabulation. Cela vous vitera de commettre des erreurs,
notamment de frappe, parfois dramatiques. . .
Avant de commencer la configuration du routeur, nous allons dabord en relever les caractristiques principales
matrielles et logicielles. La commande show version que nous avons excute prcdemment est disponible
dans les modes utilisateur et privilgi, et permet dafficher une partie des informations qui nous intressent.
Comme nous lavons vu, la sortie de show version est pagine car elle dpasse 24 lignes. Lexemple qui suit
explique certaines des informations quelle affiche. Nous nous en inspirerons pour lexercice qui suit.
Exemple 1
La figure 5 prsente le rsultat de la commande show version excute sur un routeur quelconque. Les informations mises en vidence par les cadres, en commenant en haut, sont les suivantes :
La version de lIOS :
C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
2. le pipe est ici en lui-mme une sorte de filtre, analogue lutilisation dun tube avec grep sous Unix, mais bien plus limit.
15/63
Version du 14/5/2013
Router>show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 27-Apr-04 19:01 by miwang
Image text-base: 0x8000808C, data-base: 0x80A1FECC
ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
ROM: C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
System returned to ROM by reload
System image file is "flash:c2600-i-mz.122-28.bin"
cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory
Processor board ID JAD05190MTZ (4292891495)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
1 FastEthernet/IEEE 802.3 interface(s)
1 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
F IGURE 5 Affichage des informations obtenues avec show version, comment dans lexemple 1.
CISCO produit rgulirement des nouvelles versions de son IOS pour les diffrents modles de sa
gamme, en y ajoutant de nouvelles fonctionnalits et en corrigeant des bugs. Par exemple, pour les
seuls routeurs de la gamme 2501-2525 le nombre de versions dIOS disponibles a fini par dpasser les
6000 !
Pour un routeur donn, ladministrateur choisit lIOS en fonction de diffrents paramtres : les fonctionnalits voulues et le matriel supporter, la taille de la mmoire flash et la taille de la RAM.
Pour trouver limage IOS adquate, ladministrateur CISCO peut employer le CISCO Feature Navigator sur le site web de CISCO (http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp).
Version du 14/5/2013
16/63
7. la taille de la flash
8. la valeur du registre de configuration (de la forme 0xvaleur-en-hexa). Nous aurons besoin de cette valeur
par la suite.
II.4
Nous avons obtenu prcdemment les informations principales sur le routeur. Nous allons pousser un peu plus
nos connaissances sur celui-ci, notamment sur ses espaces de stockage ainsi que sur ses interfaces rseau.
II.4.A
Le routeur possde 2 espaces de stockage (voir DP, section 2.IV, page 10) : la flash, plutt destine contenir le(s) fichier(s) image(s) de lIOS, et la NVRAM, plutt destine accueillir des fichiers de configuration,
notamment la startup-config. Nous allons relever le contenu de ces espaces.
Exercice 12 (prise dinformations sur la flash et la NVRAM)
1. Depuis le mode courant (utilisateur), taper la commande :
Router#enable
i
2.
Nous verrons dans la section VII une procdure de prise de contrle du routeur oprer quand
on ne dispose pas de son mot de passe.
3.
ou en abrg, simplement :
sh start
5. La commande show ne peut afficher que le fichier startup-config (et dautres informations comme la
running-config), alors que la commande more sert afficher un fichier quelconque. Faire afficher
le contenu du fichier startup-config, cette fois en tapant :
Router#more nvram:startup-config
6. Puis, faire afficher le contenu du fichier startup-config.defaut, qui devrait tre une sauvegarde de
startup-config, en tapant :
Router#more nvram:startup-config.defaut
7. Visualiser la configuration actuelle du routeur (celle actuellement prsente dans sa RAM) en tapant :
Router#show running-config
ou en abrg, simplement :
sh run
17/63
Version du 14/5/2013
Notons que lorsque lIOS pose une question telle quune demande de confirmation comme
dans la commande prcdente, il indique entre crochets la rponse par dfaut. Si elle convient,
il suffit de la valider en tapant Entre .
La rinitialisation dun espace de stockage se fait avec la commande erase. Dans certaines
versions dIOS, elle peut aussi tre utilise pour supprimer un fichier donn en paramtre,
mais ce nest pas recommand, car on risque deffacer de manire irrversible tous les fichiers
prsents sur lespace de stockage, ce quon remarque (tardivement) dans les messages affichs :
Router#erase startup-config
Erasing ... will remove all files! Continue? [confirm] Entre
[OK]
Erase of nvram: complete
YS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
9. Afficher le contenu du fichier startup-config avec show. En ralit, il na pas vraiment t effac
mais rduit son strict minimum (il aurait t vid en utilisant erase) :
Router#sh start
Using 5 out of 29688 bytes
end
10. La configuration actuelle (running-config) est encore dans la RAM. La sauvegarder en crasant le
fichier startup-config en tapant :
Router#copy run start
Router#sh start
De faon gnrale lors des manipulations des fichiers, prendre bien soin de taper correctement les noms de fichiers car un effacement de la flash (et de limage quelle contient)
est (trop) vite arriv, rendant le routeur HS !
11. Aussi, le fichier startup-config.defaut prsent en NVRAM tait une sauvegarde de lancien
startup-config. Restituer startup-config comme une copie de startup-config.defaut en
tapant :
Router#copy nvram:startup-config.defaut start
Version du 14/5/2013
18/63
Router>show interfaces
FastEthernet0 is up, line protocol is down
Hardware is Lance, address is 0002.163e.0320 (bia 0002.163e.0320)
MTU 1500 bytes, BW 100000 Kbit , DLY 100 usec, rely 255/255, load 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00,
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
...
Serial0 is administratively down, line protocol is down (disabled)
Hardware is HD64570
MTU 1500 bytes, BW 128 Kbit , DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
...
Ethernet0 is administratively down, line protocol is down (disabled)
Hardware is Lance, address is 0001.63b1.a82d (bia 0001.63b1.a82d)
MTU 1500 bytes, BW 10000 Kbit , DLY 1000 usec, rely 255/255, load 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 10BaseT
...
F IGURE 6 Affichage des informations obtenues avec show interfaces, comment dans lexemple 2.
II.4.B
Les informations sur les interfaces rseau du routeur peuvent tre obtenues en mode utilisateur ou privilgi en
utilisant la commande show interfaces. Les informations affiches sont de diffrentes natures et relatives
diffrentes couches du modle OSI.
Exemple 2
La figure 6 prsente un exemple daffichage obtenu par la commande show interfaces sur un routeur
quelconque. Il y a un paragraphe par interface, chacun commenant par le nom IOS de linterface. Ce nom a la
forme gnrale :
type[slot/]numero
o type est le type dinterface, slot est le numro du slot dextension et numero est le numro de linterface
(sur la carte). La partie slot/ ne figure pas forcment, notamment lorsquil ny a quune interface sur la carte
dextension. Les informations particulirement intressantes sont en gras et encadres. Elles diffrent selon le
type de linterface. Sur la figure, on dduit quil y a 3 interfaces rseau, chacune correspondant une interface
intgre la carte mre ou une interface fournie par une carte dextension (NM ou WIC) :
FastEthernet0 : interface Ethernet (numro 0) active (up), mais le cble rseau est dbranch
(line protocol is down). Son adresse MAC figure aprs address o il faut enlever le premier
19/63
Version du 14/5/2013
00. Au format standard, cette adresse est donc 02:16:3e:03:20. La partie bia... donne la vritable
adresse MAC de linterface, car on peut lui demander den utiliser une autre. Le MTU utilis est 1500 octets et le dbit maximum (BW pour BandWidth) de linterface est de 100 Mbit/s. Enfin, linterface est
du type 100BaseTX/FX, actuellement configure pour ngocier le duplex et le dbit (Auto-duplex,
Auto Speed).
Serial0 : interface srie (numro 0) dsactive (administratively down) ce qui fait que la liaison lest aussi (line protocol is down (disabled)). Elle na pas dadresse MAC. Le MTU
utilis est 1500 et son dbit maximum est 128 Kbit/s
Ethernet0 : interface Ethernet (numro 0) 10Base-T dsactive, en half-duplex, dadresse MAC
01:63:b1:a8:2d, de MTU 1500 et de dbit max 10 Mbit/s. On note une diffrence de dbit max avec
la FastEthernet.
Si lon connecte linterface FastEthernet0 un quipement rseau actif (hub, switch), un message
dinformation apparat notifiant lvnement :
%LINEPROTO-5-UPDOWN : ... Interface FastEthernet0/0, changed state to up.
Les diffrentes interfaces et cartes ventuelles qui nous intressent effectivement (type Ethernet ou Srie) dont
peuvent disposer vos routeurs sont recenses dans DP, section 2.II, page 8 et section 2.III, page 9.
Les noms IOS des interfaces peuvent aussi tre abrgs. Par exemple, on pourra utiliser :
fa0 la place de FastEthernet0
e0 la place de Ethernet0
s0 la place de Serial0
fa0/0 la place de FastEthernet0/0
etc.
En mode privilgi, utiliser la commande show interfaces pour afficher les informations sur les
interfaces de votre routeur
2.
Utiliser la commande show interfaces description pour nobtenir que le statut des interfaces. En principe, elles devraient toutes apparatre comme dsactives (statut administratively down). Si
des interfaces ne le sont pas, noter leur nom car on les dsactivera plus tard.
3.
En vous basant sur les informations releves lexercice 7, page 10, associer les interfaces physiques
que vous avez repres aux noms IOS obtenus par les commandes prcdentes, et remplir le tableau
suivant, contenant une ligne par interface :
nom sur routeur et emplacement
...
...
nom IOS
...
...
type
...
...
dbit max
...
...
MTU
...
...
adresse MAC
...
...
Version du 14/5/2013
20/63
o lemplacement est soit la carte mre soit une carte dextension (NM ou WIC) ; le type est Ethernet,
Srie ou autre ; et ladresse MAC nest prciser que pour les interfaces Ethernet.
Pour remplir le tableau, vous pouvez demander dafficher les informations sur une interface en particulier
en indiquant son nom IOS la suite de show interfaces :
Router#show interfaces nom-interface
Par exemple :
Router#sh int e0
III
La premire action de ladministrateur srieux doit tre la configuration dun mot de passe pour protger laccs au mode privilgi de la CLI, ainsi que la dsactivation des services et interfaces inutiles. Nous constaterons
plus tard que le mot de passe nest pas une scurit absolue car il faut aussi physiquement protger laccs au
routeur, mais il ajoute un certain degr de scurit et rend beaucoup plus difficile tout accs non autoris. Ne pas
mettre un mot de passe est grossirement ngligent.
III.1
LIOS CISCO actuel prend en compte deux types de mots de passe : secret et password. Pour des raisons
de scurit, les nouveaux IOS nutilisent en principe que le mot de passe secret (appel aussi enable secret)
qui est crypt dans la configuration. Pour des raisons de compatibilit le mot de passe password existe toujours
mais est enregistr en clair.
Les mots de passe se dfinissent dans le mode de configuration globale. Le mot de passe secret est dfini
par la commande :
Router(config)#enable secret secret-password
21/63
Version du 14/5/2013
5. Vrifier le mot de passe (secret). Pour cela, passer nouveau en mode privilgi et entrer le mot de passe
secret lorsquil vous est demand :
Router>enable
Password:
Router#
6. Faire afficher la configuration actuelle du routeur avec la commande show running-config (ou sh
run en abrg).
7.
III.2
Sauvegarde de la configuration
Version du 14/5/2013
22/63
4. En mode privilgi (et non pas en mode de configuration globale), procder une sauvegarde de la
running-config dans la startup-config en tapant :
Router#copy run start
Destination filename [startup-config] ?
o le mot de passe attendu devrait tre cette fois celui que vous avez modifi (et sauv)
III.3
En fin de sance, le routeur du binme doit tre restitu dans son tat dorigine du dbut de
TP. Pour cela, il faudra penser restaurer la startup-config en copiant (avec copy) le fichier
nvram:startup-config.defaut dans la startup-config.
Les routeurs (et les commutateurs) CISCO peuvent proposer de nombreux services, dont certains sont parfois
activs par dfaut. Il y en a de trs utiles, mais dautres sont au contraire gnants et/ou peuvent savrer dangereux pour la scurit des routeurs. Par ailleurs, la dsactivation de services inutiles rduit aussi la consommation
mmoire et processeur, rendant le routeur plus performant.
Le fait de dsactiver un service permet en outre dviter quil soit attaqu par un pirate qui en exploite une
faille. Cest dautant plus vrai pour certains services facilitent la vie des pirates, comme le protocole CDP (CISCO
Discovery Protocol) qui liste les priphriques CISCO voisins. De nombreux sites sur Internet recensent les failles
rencontres sur les diffrentes versions du CISCO IOS.
Exercice 16 (dsactivation des services inutiles)
Il y a de nombreux services possibles selon la version de lIOS, activs ou non par dfaut. Ceux que nous
souhaitons dsactiver (au moins dans un premier temps) sont :
les services rseaux basiques (echo, discard, chargen, ...)
les services BOOTP et DHCP (y compris relais), FINGER, HTTP, HTTPS et CDP
le service de configuration distance
le service Source Routing
la rsolution DNS qui, dans un premier temps, peut savrer gnante
dont certains seront ractivs lorsque nous en aurons besoin.
1.
Se placer en mode de configuration globale et taper les commandes suivantes afin de dsactiver les
services inutiles, en fournissant les traces des commandes tapes partir du mode privilgi :
Certaines de ces commandes se rapportent des fonctionnalits que nous navons pas mentionnes. Certains services sont peut-tre dj dsactivs. Dautres services ne sont peut-tre
pas reconnus, ce qui provoque une erreur sans gravit. Cela dpend du modle du routeur et de
la version du IOS. Continuer la dsactivation des autres services.
23/63
Version du 14/5/2013
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
2.
aaa new-model
service pad
service tcp-small-servers
service udp-small-servers
service dhcp
cdp run
ip bootp server
ip finger
ip http server
ip http secure-server
mop enabled
ip source-route
ip proxy-arp
ip redirects
ip domain-lookup
III.4
En principe, nous avons constat lexercice 13 page 19 que toutes les interfaces rseau du routeur sont
dsactives. En effet, laisser des interfaces inutilises mais actives peut tre source dennuis et/ou dattaque surtout
pour les interfaces cbles.
Exercice 17 (vrification des interfaces)
La dsactivation dune interface se fait dans le mode de configuration de linterface en question (voir DP,
section 3.I.D, pour lentre dans ce mode), en spcifiant la commande shutdown.
Les interfaces dsactives sont administratively down, ce quon peut vrifier en utilisant show interfaces
(suivi ou non du nom dune interface), ainsi quavec show interfaces description. Nanmoins, nous allons aussi vrifier la configuration courante et celle de dmarrage :
1. Afficher la running-config et vrifier que toutes les interfaces sont configures en shutdown
2. Faire de mme avec la startup-config
3. Pour toutes les interfaces qui ne sont pas dsactives (voir running-config), entrer dans le mode de
configuration dinterface correspondant et les dsactiver avec shutdown ;
4. Si des interfaces ont t ainsi manuellement dsactives, sauver la configuration avec copy run start
III.5
Le changement du nom du routeur se fait avec la commande hostname en mode de configuration globale.
Bien que cela ait peu dintrt dans notre cas, ce changement modifie le prompt ce qui permet un adminsitrateur,
qui se connecte distance sur diffrents routeurs, de se reprer plus facilement.
INFO - IUT Aix-en-Provence
Version du 14/5/2013
24/63
o nom-routeur est le nom donner au routeur dont le format doit tre le nom quil avait (exemple
2500-2) suivi du groupe et du binme : par exemple, 2500-2-G1-B3 pour le binme 3 du groupe 1.
2. Sauvegarder la configuration.
IV
Conception Rseau
Il est temps de se pencher effectivement sur la partie "rseau". Mais avant de procder la configuration
effective du matriel, nous allons travailler sur papier et nous pencher dun peu plus prs sur lorganisation du
rseau mis en place et son plan dadressage.
Exercice 19 (conception rseau)
Aucune configuration ni aucun cblage ne sont encore demands dans cet exercice, o lon travaille exclusivement sur papier.
1. Situer votre routeur et votre rseau local (LAN) sur le schma global du rseau de la figure 3 de la page 5
(o seul figure votre PC-LAN et non le PC-IUT), qui devra tre mis en place pour le TP et apprhender
lenvironnement du rseau gr par lenseignant, notamment en situant le switch de bout de table (parmi
SW1, SW2 et SW3) sur lequel vous connecterez plus tard votre routeur.
2. Choix des interfaces : votre routeur devra tre connect en Ethernet la fois ct WAN et ct LAN.
Choisir comme interface LAN de votre routeur, linterface Ethernet qui admet le plus grand dbit. En
effet, lessentiel du trafic rseau est suppos tre local dans un LAN. Linterface WAN de votre routeur
devra tre choisie comme une interface Ethernet admettant ventuellement un dbit moindre.
On pourra revenir sur ce choix de linterface LAN en cas dimpossibilit technique (peu probable).
3. (Adresses dans le LAN) Le bloc dadresses attribu votre LAN, et que vous devez grer, est indiqu
dans vos paramtres. Dans votre LAN, ladresse attribuer votre routeur doit tre la plus grande adresse
de station de votre bloc, alors que celle (de la VM) du PC-LAN devra tre la plus petite 3 .
4. (Adresses ct WAN) Ct WAN (partie du rseau du TP gre par lenseignant), chaque binme devra
raccorder son routeur au switch (SW1, SW2 ou SW3) prsent en tte de sa range de tables. Les paramtres du binme indiquent le vlan auquel doit appartenir son routeur. Pour cela, le routeur devra tre
connect un port adquat du switch, que lenseignant a dj pralablement plac en mode access dans
ce vlan. Vos paramtres listent, pour chacun de ces switch, les vlans actifs et les ports correspondants.
3. Il sagit dune restriction de lnonc car on peut attribuer nimporte quelle adresse valide nimporte quel quipement du rseau,
si elle nest pas dj utilise.
25/63
Version du 14/5/2013
Les trois switchs sont relis par des trunks 802.1q et partagent donc les vlans. Il en rsulte que les routeurs de certains binmes, mme raccords des switchs diffrents, peuvent appartenir au mme vlan.
Autrement dit, des routeurs de binmes quelconques appartiennent au mme vlan et doivent possder une
adresse IP (distincte) prise dans le bloc dadresses affect ce vlan (cf. paramtres).
Le routeur RPAT, gr par lenseignant, appartient tous les vlans, et possde dj une adresse IP dans
chacun de leur bloc (cf. paramtres).
Chaque binme doit maintenant dduire ladresse que son routeur doit possder ct WAN en suivant
scrupuleusement les contraintes suivantes :
ladresse retenue pour le binme doit tre disponible. On ne peut pas prendre une adresse dj utilise
soit par RPAT, soit par le routeur dun autre binme. Consultez vos paramtres pour voir le bloc
dadresses du VLAN de raccordement et en dduire la plage dadresses utilisables ;
ladresse retenue doit tre la plus petite possible. Si plusieurs binmes appartiennent au mme vlan
(cf. paramtres), leur numro de binme indique dtermine lordre croissant des adresses retenues (le
binme de plus petit numro doit avoir la plus petite adresse disponible du bloc). Attention, suivre
cette rgle mme si des binmes manquent !
5.
Noter sur le schma les adresses attribuer au routeur (cts LAN et WAN) et au PC-LAN, ainsi que
les masques associs. Indiquer pour le routeur le nom IOS des interfaces associes. Noter ces informations
dans le rapport.
6.
crire les tables de routage (contenant les colonnes destination, masque et routeur) que devront avoir
le PC-LAN et votre routeur pour pouvoir accder Internet. Indiquer aussi les routes menant aux LANs
des binmes partageant votre vlan. Faire aussi figurer dans les tables les rseaux directement accessibles,
bien que les routes directes soient automatiquement ajoutes lors de la configuration des interfaces. . .
V
V.1
Penser la route par dfaut (IP 0.0.0.0 et masque 0.0.0.0) pour le routage direction
Internet (WAN). Ladresse du routeur utiliser la route par dfaut de votre routeur est celle de
RPAT dans votre vlan.
Configurations Rseau
Mise en place du LAN
Votre binme doit mettre en place un LAN form de votre routeur, dun hub/switch et (de la VM) du PC-LAN,
tel que schmatis dans la figure 7. Il pourra ventuellement accueillir plus tard dautres PC ou VM. Dans cette
section, vous allez cbler et configurer les quipements du LAN.
LAN du binme
interface LAN
Routeur
Hub/Switch
PCLAN (VM)
F IGURE 7 Topologie physique et cblage du LAN du binme, correspondant aux traits rouges pais.
V.1.A
Version du 14/5/2013
26/63
Cblage du LAN
V.1.B
Dans cette section, nous allons configurer linterface LAN du routeur. Dans la CLI, la configuration et lactivation dune interface se fait dans le mode de configuration de linterface (voir DP, section 3.I.D, page 15).
Pour entrer dans ce mode, il faut spcifier le nom IOS de linterface configurer :
Router>enable
Router#configure terminal
Router(config)#interface nom-interface
Router(config-if)#
On doit configurer linterface aux niveaux (couches OSI) 1-2 (pour la partie Ethernet) et 3 (partie IP). Aux
niveaux 1 et 2, nous devons prendre en considration le matriel que nous utilisons, sachant :
quil y a diffrents types de hub/switch (10 Mbit/s en half-duplex, FastEthernet en full-duplex) ;
que les routeurs possdent diffrents types dinterfaces des routeurs (FastEthernet 100Base-TX fullduplex ou auto-ngociation, Ethernet 10Base-T half-duplex ou full-duplex) ;
Lidal est que les interfaces du routeur fonctionnent au mieux de leurs capacits : leur plus haut dbit
et en full-duplex si possible. Alors que les cartes Ethernet modernes dtectent les caractristiques de la liaison
Ethernet et sadaptent cette liaison, ce nest pas le cas de la plupart des cartes de nos routeurs. Il est ncessaire
dadapter les caractristiques physiques des interfaces Ethernet lquipement utilis.
Pour cela, nous disposons de commandes pour la configuration de niveaux 1 et 2 dans le mode configuration
de linterface, prcises dans ce qui suit.
Selon linterface (et lIOS), certaines de ces commandes peuvent ne pas tre disponibles. Dans ce cas,
les caractristiques correspondantes ne sont pas modifiables.
4. Prfrer les 6 premiers ports du hub/switch car ils ont t tests et sont oprationnels. . .
27/63
Version du 14/5/2013
Notons que selon le cas, il est possible de laisser le routeur configurer automatiquement le
mode duplex, par ngociation. Cela se fait en configurant linterface avec :
Router(config-if)#duplex auto
mais comme nous ne ferons aucune configuration automatique, nous ne lutiliserons pas. . .
Configuration de niveaux 1 et 2 spcifique Ethernet :
Router(config-if)#speed debit
pour fixer le dbit de la liaison. Dans notre cas, debit devrait valoir 10 ou 100. Utiliser laide de la CLI
pour voir les paramtres disponibles.
Notons nouveau que dans certains cas, speed admet comme argument auto, signifiant
quon laisse le routeur ngocier la vitesse de la liaison. Nous nutiliserons pas non plus cette
facilit.
Il est inutile dessayer de faire fonctionner une carte Ethernet 10BaseT en 100 Mbit/s ! !
Version du 14/5/2013
28/63
Vrification de la configuration :
Une fois une interface configure et active, on peut vrifier que tout fonctionne correctement en utilisant la
commande ping (echange de messages ICMP de type ECHO) dans le mode privilgi ou utilisateur en spcifiant
ladresse IP (ou ventuellement le nom) dun hte (ou routeur) connect ce rseau (et correctement configur) :
Router#ping adresse-cible
o adresse-cible est ladresse (ou le nom) de lhte cible. En retour on obtient un taux de rponse pour lenvoi
de 5 messages ICMP ECHO REQUEST. Si ce taux est nul, il y a un problme quelque part.
Noubliez pas dutiliser laide contextuelle de la CLI pour voir chaque fois les paramtres possibles.
Exemple 3
(Configuration dune interface Ethernet) Supposons que lon connecte une interface FastEthernet
10/100Base-TX du routeur un Hub/Switch 10Base-T (ce qui nest pas forcment votre cas). Supposons que
ce rseau de raccordement a pour bloc dadresses 139.124.187.0/24. Dans un premier temps, on va configurer linterface aux niveaux 1 et 2 :
Router#show interfaces FastEthernet0
FastEthernet0 is administratively down, line protocol is down
Hardware is PQUICC_FEC, address is 0011.93ca.ffb5 (bia 0011.93ca.ffb5)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
...
on voit que linterface est inactive et doit pouvoir ngocier la vitesse et le mode duplex, ce que nous ne
laisserons pas faire dans le TP.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0
Router(config-if)#no shutdown
Router(config-if)#exit
*Apr 17 09:46:51.895: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up
Router(config)#
*Apr 17 09:46:59.643: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet
Router(config)#exit
Router#
*Apr 17 09:47:09.739: 05-configurations_reseauYS-5-CONFIG_I: Configured from console by
Router#show interfaces FastEthernet0
FastEthernet0 is up, line protocol is up
...
Half-duplex, 10Mb/s, 100BaseTX/FX
...
29/63
Version du 14/5/2013
on a juste activ linterface par le no shutodown et laiss la ngociation se faire. Linterface sest
configure. Cependant, il arrive que la ngociation se fasse la baisse alors quon aurait pu obtenir des
caractristiques plus importantes. Dans notre cas, le full-duplex est possible et on va lactiver ! Puisque
nous ne voulons pas nous plus que la vitesse soit ngocie, nous la spcifions aussi dans ce qui suit.
Router#configure terminal
Enter configuration commands, one per line.
Router(config)#interface FastEthernet0
Router(config-if)#speed 10
Router(config-if)#full-duplex
Router(config-if)# CTRL + Z
Router#sh int fa0
FastEthernet0 is up, line protocol is up
...
Full-duplex, 10Mb/s, 100BaseTX/FX
...
Dans le mode de configuration de linterface, on configure aussi la couche IP avec les paramtres voulus (on
aurait pu tout faire la fois) :
Router#conf ter
Router(config)#int f0
Router(config-if)#ip address 139.124.187.50 255.255.255.0
Router(config-if)#ip broadcast-address 139.124.187.255
Router(config-if)# CTRL + Z
Router#sh int fa0
FastEthernet0 is up, line protocol is up
...
Internet address is 139.124.187.50/24
...
Router#show ip interface fa0
FastEthernet0 is up, line protocol is up
Internet address is 139.124.187.50/24
Broadcast address is 139.124.187.255
...
En supposant que ce rseau comporte une station (ou un routeur) oprationnel dadresse 139.124.187.25, on
peut vrifier la configuration avec un ping :
Router#ping 139.124.187.25
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 139.124.187.25, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Version du 14/5/2013
30/63
Pour annuler une commande, il faut la faire prcder du mot-cl no dans le mme mode. Par exemple,
on peut annuler laffectation de ladresse prcdente en tapant :
Router(config-if)#no ip address 139.124.187.50 255.255.255.0
ou encore par :
Router(config-if)#no ip address
Raliser la configuration de linterface LAN du routeur (niveaux 1-2 et 3) et lactiver. Ne pas laisser
de configuration automatique de la vitesse et du mode duplex, et essayer de la configurer manuellement
au mieux, de prfrence en 100 Mbit et en full-duplex. Vrifier chaque tentative si linterface est up
(line protocol) et revoir la baisse la configuration si ce nest pas le cas. Fournir la trace des commandes
de configuration que vous avez effectivement retenues, en justifiant vos choix.
2.
Explorer et vrifier la configuration de linterface avec les commandes suivantes tapes en mode
privilgi (fournir les traces de leur longue sortie en les sparant clairement) :
show
show
show
show
show
interfaces nom-interface
interfaces nom-interface summary
interfaces nom-interface description
ip interface nom-interface
protocols nom-interface
Il se peut que le Hub/Switch soit plac dans un mode forc et incompatible avec linterface
du routeur, cause du branchement du PC. Si la liaison reste down en ayant test toutes
les possibilits, dbrancher temporairement le cble rseau du PC et recommencer. Si a ne
marche toujours pas, le signaler lenseignant.
V.1.C
Nous allons maintenant configurer linterface rseau de la machine virtuelle pour lintgrer effectivement dans
le LAN du binme.
Exercice 22 (configuration de linterface (de la VM) du PC-LAN)
31/63
1.
Version du 14/5/2013
En vous basant sur vos rponses lexercice 19 (page 24), procder la configuration de linterface
(de la VM) du PC-LAN (se reporter DP, section 6.I pour la configuration dune interface rseau sous
Linux)
2.
3.
Par la suite, PC-LAN fera rfrence la VM. Si besoin, pour prciser quil sagit effectivement
du PC-LAN et non de notre VM, nous parlerons alors du systme hte du PC-LAN.
partir dun terminal du PC-LAN, tenter denvoyer un ping votre routeur. Revoir le cblage et les
configurations (routeur et PC-LAN) si cela ne va pas
partir du routeur, envoyer un ping au PC-LAN
4. Excuter Wireshark sur le PC-LAN (menu Applications Internet), et capturer les trames (cf. DP
section 8 pour une documentation sur Wireshark).
5.
Vider le cache ARP du PC-LAN. Afficher le cache ARP pour vrifier quil est vide. Fournir les traces.
6. Refaire un ping du PC-LAN vers le routeur. Arrter la capture quand 5 requtes ping ont t mises (et
les rponses reues).
7.
Sauvegarder (menu File Save As) les trames captures dans le fichier 22-ping_lan_all.pcap
8.
Faire une capture dcran montrant les trames captures, nomme 22-ping_lan_all.png
9.
V.2
Filtrer laffichage de Wireshark pour ne garder que les trames relatives au ping. Sauver ces trames
dans le fichier 22-ping_lan_filtre.pcap. Pour cela, cliquer sur le bouton Displayed dans la bote
de dialogue de sauvegarde afin de ne sauver que les trames affiches et non pas celles captures.
Il nest peut tre pas inutile dutiliser Wireshark pour charger les fichiers sauvs et sassurer que
leur contenu est conforme ce qui est demand. Aussi, penser joindre les fichiers demands dans le
rapport (cf. DP, sections 5.III et 5.IV pour les possibilits de rcupration des fichiers de la VM). Il
vaut peut-tre mieux le faire au fur et mesure, plutt que de le faire en urgence la fin en risquant
doublier quelque chose. . .
Jusqu maintenant, la sauvegarde de la configuration active (stocke dans la RAM) consistait la copier dans
le fichier startup-config sur la NVRAM. Ainsi la configuration restait conserve pour le prochain redmarrage du routeur. Seulement, cette sauvegarde est effectue sur le routeur lui-mme ! Si la startup-config est
modifie par quelquun dautre (ou perdue suite une panne du matriel ou par une erreur de saisie) vous navez
plus rien. Nous allons sauvegarder la configuration sur le PC-LAN avec TFTP.
Se reporter DP, section 7 page 29 pour plus dinformations sur lutilisation dun serveur TFTP sous
Linux et le transfert de fichier avec le routeur.
Depuis la CLI du routeur, la sauvegarde sur un serveur TFTP se fait de la mme manire que la sauvegarde
locale (mais vous seront demands ladresse IP du serveur TFTP et le nom sous lequel on souhaite enregistrer le
fichier sur le serveur TFTP) :
Routeur#copy running-config tftp
Routeur#copy running-config tftp:nom-copie
Version du 14/5/2013
32/63
Cette fonction de copie permet le transfert dans les deux sens ; vous pouvez copier la running-config (ou
la startup-config) vers le serveur TFTP, mais aussi copier un fichier de configuration partir du serveur
TFTP vers la running-config ou la startup-config du routeur.
Exercice 23 (transferts par TFTP)
1.
Transfrer la configuration courante sur le serveur TFTP dj actif sur le PC-LAN en la nommant
23-running-config. Fournir le fichier.
2. Sur le PC-LAN, aller dans le rpertoire /srv/tftp et copier le fichier dans 23-run.new
3.
Avec gedit, modifier ladresse IP LAN du routeur dans 23-run.new et lui donner une autre adresse
dans le LAN. Sauver le fichier (et le fournir). Indiquer ladresse choisie.
4. Depuis le routeur, copier (via TFTP) dans la running-config (qui nest pas dans la nvram ni dans la
flash ! !) le contenu de ce fichier 23-run.new.
Cette opration risque de mettre le routeur HS si vous fates des erreurs. En aucun cas il
ne faut sauver dans la flash !
Afficher la nouvelle configuration sur le routeur pour vrifier le changement dadresse du routeur.
5.
Depuis le PC-LAN, faire un ping vers votre routeur (et qui doit russir)
6.
7.
V.3
Puisque notre routeur et notre PC possdent maintenant une adresse IP, nous pouvons lgitimement penser
accder au routeur via le rseau. Essayez de le contacter avec telnet depuis un terminal (de la machine virtuelle)
du PC-LAN.
La rponse ngative vient du fait quun routeur CISCO naccepte une connexion sur son interface telnet que
si elle a t active et quun mot de passe a t dfini pour celle-ci. Il va donc falloir encore utiliser un peu la
console pour la configuration de ce mot de passe (qui est un compltement indpendant du secret ou password du
mode privilgi).
Un accs distance est vu comme un terminal rseau par le routeur. Ces terminaux sont dnomms des VTY
(Virtual Terminal). Pour configurer le mot de passe du terminal telnet, il faut entrer dans le mode de configuration
de cette interface en tapant line vty 0 4 depuis le mode de configuration globale. Le prompt devrait alors
changer pour devenir (config-line)# :
C. Pain-Barre, A. Meyer et F. Dumas, 2010
33/63
Version du 14/5/2013
Router#conf ter
Router(config)#line vty 0 4
Router(config-line)#password mon-vty-password
Router(config-line)#login
Router(config-line)#end
Router#
une fois dans la configuration du VTY, on peut entrer un le mot de passe mon-vty-password (avec la commande password) et activer la possibilit de se connecter (avec la commande login sans paramtre)
Une fois connect par TELNET, on peut afficher sur le routeur les sessions TELNET en cours avec la commande show user.
Lorsquon est connect la console, on ne figure pas dans la liste affiche par show user.
Certaines configurations qui suivront pourront tre fates si besoin via TELNET, notamment
lorsquon voudra rserver la console du "debugging".
i
5.
Arrter la capture de Wireshark. Sauver les trames captures dans le fichier 24-telnet_all.pcap
8.
Parmi les dernires trames captures, certaines transportent dans comme donnes (champ Data) du
message TELNET un (seul) caractre du mot de passe (non chiffr !). Retrouver ces trames. Attention,
il peut arriver que Wireshark peut considrer tort que des checksums sont errons et nanalyse pas
compltement une trame. Dans ce cas, le message TELNET nest pas retrouv par Wireshark, mais on
peut voir le caractre de ce message apparaissant comme dernier caractre dans la zone de visualisation
ASCII de la trame (zone du bas de linterface). Slectionner les trames correspondantes et sauver cette
slection sous le nom 24-telnet_password.pcap
i
9.
Version du 14/5/2013
34/63
On comprend pourquoi les connexions par TELNET travers Internet ne sont pas du tout
recommandes. . .
V.4
Le serveur Web nest pas toujours disponible. Cela dpend du modle de routeur et de sa version dIOS. Le
serveur HTTP se configure partir du mode de configuration globale :
Router#conf ter
Router(config)#ip http server
Router(config)#ip http port 80
Router(config)#exit
Router#
2. Sur le PC-LAN, ouvrir le navigateur Web Iceweasel (Applications Internet) et tester laccs HTTP
au routeur. Le mot de passe demand est le mot de passe secret.
Pour indiquer un navigateur sur quel port se connecter si ce nest celui par dfaut, il faut le
prciser dans lURL qui doit avoir la forme suivante :
[http://]hote:port
3.
V.5
Le serveur HTTP du routeur permet de raliser des tches dadministration distance. Cliquer sur le
lien de monitoring du routeur et faire afficher sa running-config. Fournir la capture dcran (du dbut)
de la page affichant la running-config dans le fichier 25-http.png
Le LAN tant oprationnel, nous allons dans cette section nous intresser le relier au reste du rseau du
TP, gr par lenseignant, tel que schmatis sur la figure 3 de la page 5. Rappelons que ce rseau est form des
switchs SW1, SW2 et SW3, placs en tte des ranges de tables, dun serveur TPSERVEUR, et du routeur RPAT
qui permet laccs Internet. Pour cela, il nous faut cbler puis configurer linterface WAN du routeur du binme.
V.5.A
La figure 8 prsente par des traits pais rouges, le cblage ct WAN quun binme quelconque doit encore
raliser dans lexercice suivant, en se raccordant au switch de sa range de tables. Cependant, le port auquel le
binme doit se raccorder nest pas quelconque puisquil doit appartenir au vlan auquel le binme est affect (cf.
paramtres).
C. Pain-Barre, A. Meyer et F. Dumas, 2010
35/63
Version du 14/5/2013
SW(1, 2 ou 3)
LAN Binme
cblage WAN
interface WAN
Routeur
PCLAN
reste du rseau du TP
F IGURE 8 Topologie physique et cblage ct WAN du routeur dun binme quelconque, correspondant aux
traits pais rouges.
Exercice 26 (cblage de linterface WAN du routeur du binme)
En se basant sur vos paramtres, trouver un port disponible sur votre switch de raccordement, qui soit plac
dans votre vlan. Utiliser le cble Ethernet de longueur significative afin de procder au cblage de linterface
WAN de votre routeur ce port.
Exercice 27 (configuration de linterface WAN du routeur)
1.
Raliser la configuration (niveaux 1-2 et 3) de linterface WAN de votre routeur et lactiver. Fournir
les commandes ncessaires en justifiant vos choix.
2.
Depuis votre routeur, envoyer un ping (ladresse approprie de) RPAT. En cas dchec rpt,
reprendre la configuration de linterface (et fournir les bonnes commandes)
3.
interfaces nom-interface
interfaces nom-interface summary
interfaces nom-interface description
ip interface nom-interface
protocols nom-interface
4. Pour terminer la configuration IP, enregistrer la configuration actuelle avec copy run start
5.
Supposons que lon raccorde maintenant un hub 10 Mbit/s fonctionnant en half-duplex sur linterface
FastEthernet0 du routeur. Quelles sont les commandes ncessaires pour configurer cette interface
sur le routeur (configuration des couches 1 et 2) si on est en mode utilisateur ?
V.6
Pour le moment, le routeur ne sert pas grand chose. Il ne peut mme pas envoyer un ping vers TPSERVEUR
et encore moins vers Internet. Nous allons configurer son routage dans lexercice 28. Prsentons avant comment
procder.
Tout dabord il faudra sassurer dactiver le routage sur le routeur avec la commande suivante tape en mode
de configuration globale :
INFO - IUT Aix-en-Provence
Version du 14/5/2013
36/63
Router(config)#ip routing
La configuration de la table de routage est simple : on ajoute ligne par ligne les destinations qui nous intressent (les lignes pour des routes directes sont gnres automatiquement par le systme lors de la configuration
de linterface).
Exemple
Si lon doit ajouter la route suivante :
Destination
150.151.152.0
Masque
255.255.255.0
Interface
Serial0
Routeur
195.196.20.254
et on utilise :
Router(config)#no ip route 150.151.152.0 255.255.255.0 Serial0 195.196.20.254
. . . pour lenlever.
Ltat de la table de routage est affich avec :
Router#show ip route
V.7
En vous basant sur la conception rseau faite sur papier, configurer correctement les routes de votre
routeur, en incluant celles vers les LANs des binmes partageant votre vlan
Essayer denvoyer un ping TPSERVEUR. En cas dchec rpt, revoir la table de routage
Essayer denvoyer un ping ladresse 139.124.182.99 (ladresse dinfodoc). En cas dchec
rpt, revoir la table de routage.
Essayer denvoyer un ping la station 64.170.98.47 (station hbergeant le serveur web de
www.rfc-editor.org). En cas dchec rpt, revoir la table de routage
Vrifier la table de routage en mode privilgi avec la commande show ip route. Fournir la sortie
cran. Indiquer clairement quelles sont les entres qui ont t gnres automatiquement.
Essayer denvoyer un ping la station infodoc.aix.univ-amu.fr.
Expliquer pourquoi le ping prcdent na pas fonctionn.
Bien que cela nous sera probablement peu utile, il est agrable de pouvoir se servir des noms DNS des htes
sur le routeur. Pour permettre une rsolution de noms sur le routeur (notamment sur la CLI), il est ncessaire dindiquer le ou les serveur(s) DNS utiliser par le systme de rsolution des noms (resolver) dIOS, ventuellement
de prciser un domaine de recherche par dfaut, et dactiver le service de rsolution.
Exemple 4
Router(config)#ip name-server 139.124.187.10 139.124.187.3 150.151.152.153
Router(config)#ip domain name nom-domaine
Router(config)#ip domain-lookup
37/63
Version du 14/5/2013
la premire commande liste les serveurs DNS utiliser, dans lordre de prfrence. La seconde indique
que la recherche des noms courts doit se faire par dfaut dans le nom de domaine indiqu, et la dernire
active la rsolution DNS. Si tout va bien on pourra utiliser des noms la place des adresses IP.
Vrifier la rsolution DNS en envoyant un ping vers infodoc.aix.univ-amu.fr partir du routeur. Cela
doit fonctionner
4.
Vrifier la rsolution DNS en envoyant un ping vers www.rfc-editor.org partir du routeur. Cela doit
fonctionner
V.8
Le PC-LAN nest pas encore vraiment oprationnel au niveau rseau : sa table de routage nest pas encore
configure.
Exercice 30 (configuration du routage et du DNS sur le PC-LAN)
1.
Se rfrer DP, section 6.II page 28 pour configurer la table de routage de la machine virtuelle du
PC A
2. Depuis le PC-LAN, vrifier dans un premier temps avec un ping que vous pouvez toujours joindre votre
routeur. . .
3.
Depuis le PC-LAN, effectuer un ping vers un routeur (configur) dun binme partageant votre vlan.
Cela doit fonctionner.
4. Depuis le PC-LAN, essayer deffectuer un ping vers ladresse 139.124.182.99. Cela doit chouer !
5.
6.
Depuis le PC-LAN, effectuer un ping vers le routeur RPAT (utiliser son adresse la plus approprie).
Cela doit chouer !
Donner des raisons plausibles (et claires) de ces 2 checs. Sont-ils normaux ?
V.9
La rsolution DNS est au moins aussi souhaitable sur une station de travail que sur un routeur. Cest ce que
nous allons paramtrer.
INFO - IUT Aix-en-Provence
Version du 14/5/2013
38/63
myrouteur
rpat
o adresse-routeur est ladresse IP de votre routeur dans le LAN et adresse-routeur-internet est ladresse
IP (approprie) de RPAT.
Sauver le fichier.
2.
3.
quil y a de serveurs DNS utiliser (voir exercice 29), puis ajouter la ligne :
search aix.univ-amu.fr
Sauver le fichier.
4. Depuis le PC-LAN, essayer de faire un ping de infodoc puis de www.rfc-editor.org
5.
V.10
Aide : la rsolution DNS nest pas opre par votre routeur mais par les serveurs mentionns
de le fichier. Essayer de les "pinguer" aussi. . .
Nous allons configurer un serveur DHCP sur le routeur puis demander au PC-LAN de se configurer par DHCP.
V.10.A
Lallocation (ou attribution) dynamique consiste attribuer une adresse IP non utilise un client qui en fait
la demande.
Exemple 5
Soit le rseau dadresse 195.196.20.0/24 prsent la figure 9 sur lequel le routeur
195.196.20.254/24 doit faire office de serveur DHCP : et o les adresses IP 195.196.20.250
195.196.20.254 ne doivent pas tre alloues dynamiquement : elles sont dj utilises par des stations,
ou sont attribuer statiquement (voir section suivante). Une configuration possible du routeur pourrait tre la
suivante :
39/63
Version du 14/5/2013
195.196.20.0/24
195.196.20.254 (Ethernet0)
routeur CISCO
PC (client DHCP)
Router#show running-config
...
ip dhcp excluded-address 195.196.20.250 195.196.20.254
!
ip dhcp pool my-pool
network 195.196.20.0 255.255.255.0
dns-server 195.196.20.1 195.196.110.10 150.151.152.3
domain-name un.domaine.fr
default-router 195.196.20.254
lease 0 2
!
interface Ethernet0
ip address 195.196.20.254 255.255.255.0
duplex auto
speed auto
no shutdown
!
service dhcp
...
Version du 14/5/2013
40/63
le domaine DNS par dfaut est un.domaine.fr. Pour un client DHCP, cela correspondant au champ
search de /etc/resolv.conf
le routeur par dfaut est 195.196.20.254
la dure du bail est fixe 0 jour et 2 heures
la configuration de linterface du routeur sur le rseau 195.196.20.0/24
lactivation du service DHCP
Sur le routeur, passer dabord en mode configuration globale. Puis, utiliser la commande
Router(config)#ip dhcp excluded-address d
ebut-adr-exclue [ fin-adr-exclue]
pour exclure du "pool" dadresses alloues dynamiquement, celles qui ne doivent pas ltre (et uniquement
celles-ci). Ne permettre lattribution que des adresses se terminant entre 100 et 150 dans votre LAN.
Le paramtre fin-adr-exclue est optionnel. Sil est manquant, seule debut-adr-exclue est exclue. Vous
pouvez utiliser plusieurs fois cette commande, sil y a plusieurs plages ou adresses exclure. Fournir les
commandes tapes.
2. Passer ensuite en mode dhcp pool configuration avec la commande :
Router(config)#ip dhcp pool nom-pool
Configurer ce pool en adaptant les paramtres de lexemple prcdent votre environnement (plage
dadresses IP, serveur DNS, nom de domaine, routeur par dfaut et dure de bail), sachant que les serveurs
DNS utiliser et le nom de domaine sont ceux de lexercice prcdent, et que le bail doit durer 2,5 jours.
Fournir les commandes (et le pool).
10.
Depuis le PC-LAN, effectuer un ping vers un routeur (configur) dun binme partageant votre vlan.
Cela doit fonctionner.
11.
41/63
12.
Version du 14/5/2013
V.10.B
Lease expiration
Mar 01 2010 02:28 AM
Type
Automatic
Linconvnient avec lallocation dynamique dadresse est quon ne sait jamais trop quelle adresse on va obtenir, puisque le serveur DHCP nous donnera la premire disponible. Cest parfois gnant et on peut souhaiter que
le serveur nous attribue toujours la mme adresse : cest lallocation statique.
Cette allocation particulire de type BOOTP demande ce que le serveur soit configur pour reconnatre
des clients en particulier, en se basant sur leur adresse MAC, et leur allouer toujours la mme adresse. Sur un
routeur CISCO, il faut dfinir un pool par client "statique".
Exemple 6
Supposons que le routeur/serveur DHCP prcdent doit attribuer statiquement ladresse 195.196.20.250
la station possdant ladresse MAC 00:21:9b:df:db:f9, alors en plus du pool prcdent, on peut ajouter
un autre pool pour cette allocation :
ip dhcp pool pool-toto
host 195.196.20.250 255.255.255.0
hardware-address 0021.9bdf.dbf9
client-name ordidetoto
o lon voit que ladresse MAC du client est au "format CISCO", et le paramtre client-name communique au client son nom court (information ignore par dfaut par le client). Les mmes paramtres que prcdemment peuvent tre dfinis dans ce pool, mais puisque le paramtre host indique une adresse IP appartenant au
rseau indiqu en paramtre network du pool prcdent (my-pool), lensemble des paramtres de my-pool
sont hrits par ce pool (mais peuvent tre redfinis).
On remarque que ladresse alloue statiquement est une des adresses qui avaient t exclues de lensemble des adresses allouables dynamiquement.
o interface est linterface qui a t configure par DHCP. Observer les messages sur la console du routeur.
INFO - IUT Aix-en-Provence
2.
Version du 14/5/2013
42/63
Sur le routeur, dsactiver le debugage des vnements DHCP en annulant la commande qui la activ.
3. Sur le routeur, dfinir un pool statique pour le PC-LAN en lui associant ladresse quil avait avant (cf.
exercice 19 page 24) avec une allocation pour une dure de 5 jours
4. Sur le PC-LAN, lancer une capture de toutes les trames avec Wireshark
5. Sur le PC-LAN, configurer nouveau linterface par DHCP avec dhclient
6.
Sassurer que ladresse obtenue est celle attendue. Fournir le rsultat de ifconfig, la partie de
/var/lib/dhcp3/dhclient.leases concernant linterface ainsi configure, le rsultat de show ip
dhcp binding et enfin la partie du show run qui concerne DHCP (uniquement)
7.
8.
Depuis le PC-LAN, effectuer un ping vers un routeur (configur) dun binme partageant votre vlan.
Cela doit fonctionner.
9.
Depuis le PC-LAN, effectuer un ping vers le routeur RPAT. Cela doit encore chouer. Nous rglerons
a la section suivante.
VI
Arrter la capture des trames. Filtrer pour ne retenir que les trames concernant DHCP. Faire une
capture dcran nomme 33-dhcp.png. Sauver ces trames dans le fichier 33-dhcp.pcap.
Configuration du NAT/PAT
Vous avez pu constater que la discussion entre le PC-LAN et Internet nest pas possible. Il ne parvient mme
pas joindre RPAT ! En fait, il peut tout fait envoyer un datagramme un hte dInternet ou RPAT. Cest
la rponse qui ne peut lui revenir ! En effet, la rponse a pour adresse de destination celle du PC-LAN. Cest
une adresse dans votre LAN et ces adresses font partie des plages dadresses prives non routables sur Internet
(RFC 1918 et RFC 3927) : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 et 169.254.0.0/16. En
clair, ni RPAT ni les autres routeurs dInternet ne sont censs connatre lemplacement de votre LAN priv et les
rponses ventuelles sont perdues.
Mais vous avez pu aussi constater que votre routeur a accs Internet, alors quil utilise lui aussi une adresse
prive ct WAN (dans le bloc 192.168.0.0/16). Ceci parce que le NAT/PAT est activ sur RPAT pour
permettre aux quipements du rseau du TP (ceux des vlans), mais pas vos LAN, de communiquer avec Internet.
Afin de permettre laccs Internet aux stations de votre LAN, vous devrez configurer le NAT/PAT sur votre
propre routeur.
VI.1
Dans ce qui suit, nous simplifions quelque peu la nature du rseau du TP en considrant quil sagit
dun unique rseau 192.168.0.0/16, sans vlan, et que RPAT y possde seulement ladresse
192.168.255.254.
Avant dentrer dans les dtails, prsentons ds maintenant ce que fait RPAT vers Internet. Sa situation est
illustre par la figure 10. Il met en uvre le PAT (Port Address Tranlsation) contraction de NAPT (Network
Address and Port Translation), soit en franais traduction dadresse rseau et de port . Le PAT est aussi appel
single address NAT ou encore port-level multiplexed NAT , une variante du NAT (Network Address
Translation), en franais traduction dadresse rseau . Aujourdhui, le terme NAT (ou aliasing) est souvent
C. Pain-Barre, A. Meyer et F. Dumas, 2010
43/63
Version du 14/5/2013
LAN du binme
LAN du binme
"rseau"
LAN du binme
RPAT
Internet
192.168.255.254
139.124.187.94
LAN du binme
192.168.0/16
LAN du binme
LAN du binme
F IGURE 10 Schma simplifi du rseau du TP, et emplacement de RPAT sur le chemin dInternet.
utilis pour dsigner lensemble des techniques NAT y compris le PAT.
Vu dInternet, le rseau 192.168.0.0/16 nexiste pas, et donc aucun des vlans du TP. Seule est connue (et
routable) ladresse IP publique de RPAT (voir paramtres), qui est reli au rseau du dpartement : considrons
que cest 139.124.187.94. Pour permettre aux quipements du rseau 192.168.0.0/16 de communiquer
avec lextrieur, ce dernier doit modifier les messages envoys afin que les rponses puissent revenir.
Exemple 7
Suivons un exemple pour en comprendre le principe. Dans les schmas, on utilisera les abrviations suivantes :
AS : adresse IP source ; AD : adresse IP destination ; PS : port TCP source et PD : port TCP destination.
1. lhte 192.168.0.1 du rseau priv envoie un message TCP de port source 10000 direction du port
25 (serveur SMTP) de lhte 165.87.29.11 dInternet :
IP
TCP
AS : 192.168.0.1
PS : 10000
AD : 165.87.29.11
PD : 25
RPAT
Internet
192.168.0.1
LAN 192.168.0.0/16
192.168.255.254
139.124.187.94
165.87.29.11
2. arriv au routeur daccs vers Internet, celui-ci remplace ladresse source du datagramme par la sienne
139.124.187.94 et le port source par le port 15000, met jour sa table de traductions PAT, puis
route le datagramme vers Internet :
RPAT
IP
TCP
AS : 139.124.187.94
PS : 15000
AD : 165.87.29.11
PD : 25
Internet
LAN 192.168.0.0/16
192.168.0.1
192.168.255.254
139.124.187.94
165.87.29.11
Version du 14/5/2013
44/63
192.168.255.254
139.124.187.94
Internet
LAN 192.168.0.0/16
192.168.0.1
165.87.29.11
IP
RPAT
TCP
AS : 165.87.29.11
PS : 25
AD : 139.124.187.94
PD : 15000
4. arrive au routeur daccs vers Internet, celui-ci consulte sa table PAT, qui lui dit de remplacer ladresse
139.124.187.94 et le port 15000 par 192.168.0.1 et 10000. Puis il route le datagramme sur le
rseau 192.168.0.0/16 :
LAN 192.168.0.0/16
192.168.255.254
139.124.187.94
Internet
192.168.0.1
165.87.29.11
IP
TCP
AS : 165.87.29.11
PS : 25
AD : 192.168.0.1
PD : 10000
RPAT
5. la rponse parvient alors 192.168.0.1 et est remise lapplication utilisant le port TCP 10000.
Lexemple prcdent montre une partie dune communication TCP. Ce peut tre aussi une communication
UDP ou ICMP. Le routeur PAT traduit (translate) les adresses IP et les ports afin que ne sortent vers Internet que
des datagrammes ayant pour adresse source son adresse publique, et que les rponses revenant soient correctement
achemines vers leurs destinataires rels du LAN. Cest exactement les oprations des *Box que les FAI mettent
disposition des particuliers.
VI.2
Le NAT (Network Address Translation) ou traduction dadresse rseau a t propos en 1994 dans la
RFC 1631 5 comme solution court terme face au manque dadresses IPv4, le temps de mettre au point IPv6
et de le dployer. Le NAT a des inconvnients parce quil contredit le principe selon lequel les adresses IP des
datagrammes doivent tre celles des extrmits du dialogue. Il complique alors considrablement les communications pour certains protocoles (DNS, FTP, peer-to-peer, authentification/chiffrement, . . .). Mais ses avantages
sont tels quil sera probablement encore utilis aprs le dploiement dIPv6, qui se fait du cop sans prcipitation.
Lobjectif principal du NAT tait de permettre aux adresses IP publiques dtre partages par un grand nombre
de priphriques rseau qui utiliseraient des adresses IP nayant pas de signification dans Internet (en particulier,
les adresses prives dfinies dans la RFC 1918).
Le cas le plus courant aujourdhui est celui de notre routeur PAT : avec une seule adresse IP publique permettre
une multitude dhtes (LAN) avec des adresses prives de communiquer avec Internet. Cest le type de NAT
utilis sur pratiquement tous les routeurs 6 DSL de type SOHO/PME, tels que les *Box.
5. Des versions plus actuelles sont les RFC 1663 et RFC 3022.
6. La quasi-totalit des routeurs du march incluent les fonctionnalits NAT/PAT (et firewall).
45/63
Version du 14/5/2013
Si plusieurs PC de votre LAN (socit ou domicile) doivent accder simultanment Internet, alors
que votre FAI (Fournisseur dAccs Internet) ne vous fournit quune seule adresse IP publique, vous
tes obligs de mettre en place un NAT/PAT.
Dans la terminologie du NAT (issue de CISCO mais adopte par la communaut rseau), on fait la distinction
entre :
les adresses globales (ou publiques) sont les adresses routables (sur Internet) car elles ont une signification porte globale (pour lensemble dInternet). Elles sont attribues (indirectement) par lIANA.
les adresses locales qui nont un sens que localement, pour les htes du LAN
La diffrence se situe sur lendroit o ces adresses sont utilises dans les messages :
lintrieur (inside), appel Site NAT, on utilise des adresses locales
lextrieur (outside), cest dire le WAN, on utilise des adresses globales.
La NATBox (ou routeur NAT) est la frontire entre ces mondes (et ces adresses), le seul point de passage :
adresses locales
adresses globales
NATBox
Site NAT
Internet
Intrieur (inside)
Extrieur (outside)
Exemple 8
Dans lexemple prcdent, 192.168.0.1 est une adresse locale alors que 139.124.187.94 est une
adresse globale. En revanche, ladresse 165.87.29.11 est la fois locale et globale, car elle apparat dans les
messages lintrieur et lextrieur du Site NAT. Cela sera clarifi par la suite.
Tous les messages franchissant la frontire inside/outside passent forcment par la NATBox qui en traduit les
adresses :
pour les messages sortants (inside outside) :
les adresses locales sont traduites en adresses globales
pour les messages entrants (inside outside) :
les adresses globales sont traduites en adresses locales
adresses locales
adresses globales
NATBox
Site NAT
adresses locales
Intrieur (inside)
INFO - IUT Aix-en-Provence
Internet
adresses globales
Extrieur (outside)
C. Pain-Barre, A. Meyer et F. Dumas, 2010
Version du 14/5/2013
46/63
Le NAT/PAT nest concern que par les messages passant cette frontire. Les messages restant du ct
inside ne sont pas soumis au NAT. De mme que ceux qui restent du ct outside.
Site NAT
Internet
Intrieur (inside)
Extrieur (outside)
Dans le cas normal (hors overlapping), les adresses externes ne sont pas traduites (adresse locale
externe adresse globale externe).
Exemple 9
Reprenons encore lexemple du dbut de cette section :
192.168.0.1 est une adresse locale interne ;
47/63
Version du 14/5/2013
VI.2.A
Les traductions oprer dpendent des situtations, et les routeurs NAT professionnels peuvent tre configurs
pour oprer des traductions prcises :
traduction inside : traduire les adresses internes (inside)
AS : adresse locale interne
sortant
Site NAT
Internet
sortant
Site NAT
Internet
En temps normal, cette traduction nest pas opre. Et si elle lest, cest quon doit aussi oprer une
traduction inside pour traiter loverlapping.
les deux traductions la fois afin de traiter loverlapping (voir plus loin).
Loverlapping
Loverlapping (ou chevauchement dadresses) se caractrise par une intersection non vide des adresses locales
internes et des adresses globales externes. En clair, des stations du Site NAT ont des adresses qui appartiennent
aussi des stations du WAN.
Exemple 10
Si au lieu de ladresse 192.168.0.0/16 en interne, on avait utilis 165.87.0.0/16 et attribu ladresse
165.87.29.11 une station du LAN, alors on ne saurait plus lintrieur du Site NAT ce que reprsente
cette adresse. La NATBox devrait alors pratiquer les traductions inside et outside, pour notamment modifier les
adresses globales externes (lgitimes) qui sont dj utilises (sans lgitimit) en interne. Par exemple, la station
externe 165.87.29.11 serait "vue" dans le Site NAT comme ayant ladresse 10.0.0.1. Cest tout le sens
des adresses locales externes.
Cette situation est plutt exceptionnelle (voir des exemples dans le cours), et pose de nombreux problmes.
Elle ne sapplique pas ce TP. Vous naurez besoin que de la traduction inside.
INFO - IUT Aix-en-Provence
VI.2.B
Version du 14/5/2013
48/63
Variantes du NAT
Les *Box des FAI ralisent des traduction PAT dynamiques si plusieurs ordinateurs du foyer doivent
avoir accs Internet. Elles permettent aussi le PAT statique.
Nous allons nous concentrer sur le PAT (appel overloading par CISCO), dabord dynamique puis
statique.
VI.3
Le routeur RPAT daccs Internet doit oprer une traduction inside : quand un message le traverse dans
le sens inside outside, il doit traduire (remplacer) les adresses 7 locales internes en adresses globales internes.
Il doit faire la traduction inverse quand un message le traverse dans le sens outside inside.
Il ne dispose que dune seule adresse globale interne, 139.124.187.94. Cest ladresse de son interface
Ethernet0/0, ct externe (WAN). Son interface interne est Ethernet0/1 dadresse 192.168.255.254.
Il doit traduire les adresses du rseau 192.168.0.0/16 :
RPAT
192.168.0.0/16
Ethernet0/1
192.168.255.254
(adresse locale interne)
Intrieur (inside)
Ethernet0/0
139.124.187.94
(adresse globale interne)
Internet
Extrieur (outside)
7. On verra par la suite que adresse est prendre dans un sens plus large car cela comprend le port.
49/63
Version du 14/5/2013
La configuration du PAT dynamique se fait dans les quelques lignes extraites de sa running-config, figurant ci-dessous :
interface Ethernet0/1
ip address 192.168.255.254
ip nat inside
...
interface Ethernet0/0
ip address 139.124.187.94
ip nat outside
...
...
...
Les diffrentes tapes suivre pour la configuration PAT dynamique sont les suivantes :
1. Dfinition des interfaces inside et outside en mode de configuration dinterface :
(a) pour linterface inside :
Router(config)#interface nom-interface-inside
Router(config-if)#ip nat inside
2. En mode de configuration globale, dfinition dun filtre dadresses IP par une access-list (ACL) qui
caractrise les adresses locales internes soumises au NAT/PAT :
access-list num
ero-ACL
o :
numero-ACL est le numro dune ACL, compris entre 1 et 99
Une ACL est un filtre. Quand une commande prcise une ACL, elle ne sera applique
que pour les datagrammes passant ce filtre. Les ACL comprises entre 1 et 99 sont les IP
standard access-list (les plus basiques) : elles nexaminent que les adresses IP sources des
datagrammes. Par dfaut, les ACL sont vierges (vides), et aucun datagramme ne peut passer le filtre correspondant. La commande ci-dessus permet (permit) aux datagrammes,
dont ladresse source correspond ce qui suit, de passer le filtre de lACL numero-ACL.
IP-source et wildcard-mask, conjointement, reprsentent les adresses sources des datagrammes retenir. Mais attention ! wildcard-mask nest pas un masque de sous-rseau, cest mme son inverse :
les bits 0 indiquent la partie de ladresse IP source du datagramme comparer avec la valeur IPsource, alors que ceux 1 indiquent les bits ignorer
3. En mode de configuration globale, activation de la traduction PAT inside.
ip nat inside source list ACL-number interface nom-interface-outside overload
qui se traduit par : faire du PAT inside sur les messages entrant par une interface dclare comme
inside et sortant par une interface dclare comme outside, et dont ladresse source concorde avec
le filtre de lACL ACL-number. Traduire (to translate) le message en utilisant ladresse globale interne de
linterface nom-interface-outside (WAN). Plus prcismment :
INFO - IUT Aix-en-Provence
Version du 14/5/2013
50/63
ip nat inside active la traduction NAT inside, et, overload, sa variante PAT
source list ACL-number filtre les messages traduire par lACL ACL-number
interface nom-interface-outside indique linterface outside dont il faut utiliser ladresse globale
interne pour la traduction
Si lon dispose dun ensemble dadresses globales internes, on peut remplacer cette partie
de la commande par pool nom-pool, o nom-pool est le nom du pool dadresses, dfini
avec ip nat pool.
En dpit des apparences, les messages seront traduits dans les deux sens. Les adresses internes sont
traduites de local en global pour les messages sortants (inside outside). Elles sont traduites de
global en local pour les messages entrants (outside inside)
VI.4
Nous prendrons le cas de notre routeur RPAT simplifi (quon appellera aussi NATBox) : une seule adresse
globale interne doit tre partage par un ensemble de stations du site NAT. Pour cela, la NATBox doit raliser une
traduction interne dynamique PAT. Avec le PAT, la NATBox ne traduit pas seulement les adresses IP mais doit
traduire des adresses dapplication.
Le PAT traduit des adresses dapplication locales en adresses dapplication globales (internes et externes), et inversement.
La NATBox tient compte et traduit les informations des protocoles utilisant IP : TCP, UDP et ICMP. Pour
TCP et UDP, elle doit traduire les ports utiliss. Pour ICMP, cela dpend du message.
En tendant ainsi les informations utilises, elle ne garde pas seulement trace de la station interne qui dialogue avec Internet mais plutt du dialogue lui-mme, travers les adresses des applications impliques dans ce
dialogue.
C. Pain-Barre, A. Meyer et F. Dumas, 2010
51/63
VI.4.A
Version du 14/5/2013
Pour une traduction interne dynamique PAT, la cration dune traduction dynamique na lieu qu
linitiative dune station interne, lorsquelle entame un dialogue avec une station externe. Quand une application (interne) initie un dialogue avec une application (station) externe, le message parvient la NATBox qui
identifie lapplication (interne) par son adresse locale interne, le protocole (TCP, UDP, ICMP) et le port local 8
interne source du message. La NATBox traduit ladresse locale interne en adresse globale interne. Le port local
interne est aussi traduit en port global interne. La traduction modifie sa valeur si une autre application interne
utilisant le mme protocole et le mme port source est dj en train de dialoguer. Dans ce cas, le port global
interne est choisi parmi les ports du protocole considr qui sont libres sur la NATBox.
La NATBox doit alors grer une table de traduction dynamique PAT dans laquelle figurent les protocoles
(TCP, UDP, ICMP) et les ports. Sur un routeur CISCO, cette table possde 5 colonnes : Protocol, Inside global,
Inside local, Outside global et Outside local, o :
Protocol est lun des protocoles TCP, UDP ou ICMP
Inside global a la forme addresse-globale-interne:port-global-interne
Inside local a la forme addresse-locale-interne:port-local-interne
Outside global a la forme addresse-globale-externe:port-global-externe
Outside local a la forme addresse-locale-externe:port-local-externe
Le schma complet des traductions PAT oprables est :
(source)
ALI:PLI
(dest.)
ALE:PLE
Proto
Proto
message sortant
(source)
AGI:PGI
(dest.)
AGE:PGE
NATBox
(source)
ALE:PLE
(dest.)
ALI:PLI
Internet
Proto
Proto
Site NAT
(source)
AGE:PGE
(dest.)
AGI:PGI
message entrant
Intrieur (inside)
Extrieur (outside)
Notre routeur PAT est configur pour oprer une traduction inside : les adresses internes (Inside) sont remplaces de local en global quand le message le traverse pour aller vers lextrieur, et inversement pour un message
entrant. Parce que cest inutile dans notre cas (pas doverlapping), il nest pas configur pour oprer une traduction outside, o les adresses externes (Outside) sont (aussi) traduites.
La table de traduction dun routeur CISCO est visible en mode privilgi avec la commande :
Router#show ip nat translations
Exemple 11
En reprenant lexemple du routeur PAT (cf. section VI.1), la traduction opre apparatrait ainsi :
8. Par abus de langage, nous utiliserons port mme pour un message ICMP. On verra le traitement particulier de ICMP plus loin.
Version du 14/5/2013
Inside local
192.168.0.1:10000
...
Outside local
165.87.29.11:25
...
52/63
Outside global
165.87.29.11:25
...
Nous voyons les traductions effectues (seulement) sur les adresses internes. On remarque que le port 10000
a t traduit en port 15000, probablement parce quune station interne utilise dj le port TCP 10000 dans
un dialogue en cours avec une station externe. Si cette station est 192.168.0.21 et quelle dialogue avec le
serveur POP3 (port 110) de la machine 124.2.96.28, alors la ligne suivante apparat aussi dans cette table :
tcp
VI.4.B
139.124.187.94:10000
192.168.0.21:10000
124.2.96.28:110
124.2.96.28:110
On vient de le voir, pour une traduction interne, ce sont les messages sortants (inside outside) qui sont
lorigine de la cration dune traduction dynamique. Mais pour un dialogue donn entre une application interne et
une application externe, seul le premier message sortant cre une traduction dynamique, et donc une entre dans
la table des traductions. Les autres messages sortants de ce dialogue sont traduits conformment cette entre.
Plus prcisment, lorquun message sortant se prsente la NATBox, celle-ci cherche dans sa table de traductions le dialogue correspondant, cest dire une entre o Protocole correspond celui du message, o Inside
local correspond sa source (adresse et port) et o Outside local correspond sa destination (adresse et port).
Sil en existe une, le message est traduit en remplaant les champs correspondant Inside local par ceux figurant en Inside global. Les informations Outside seraient traduites aussi de local en global si la NATBox oprait
aussi un NAT outside.
Sinon, il sagit dun nouveau dialogue et une nouvelle traduction (nouvelle entre) est cre.
Exemple 12
On continue lexemple prcdent, o le dialogue a t initit par lapplication interne utilisant le
port TCP 10000 de la station 192.168.0.1, et o lapplication externe utilise le port 25 de la station 165.87.29.11. Quand lapplication externe envoie dautres messages de ce dialogue, ceux-ci ont
192.168.0.1 comme adresse locale interne, TCP comme protocole et 10000 comme port source. Quand
ces messages passent par la NATBox pour sortir, elle se rend compte que la table contient une entre (TCP)
avec pour Inside local 192.168.0.1:10000, et traduit ces messages avec lInside global correspondant
(139.124.187.94:15000).
Dautre part, si une application interne (identifie par une adresse locale interne, un protocole, et un port) a
initi des dialogues simultanment avec plusieurs applications externes, alors la table de traduction contient autant
dentres quil y a de dialogues en cours. Chez CISCO, si le protocole utilis est UDP ou ICMP, le routeur garde
le mme Inside global pour chacune de ces entres. Mais si le protocole est TCP, le routeur cre une nouvelle
traduction dynamique pour chacune de ces entres en associant, chaque Inside local, un nouvel Inside global
(la mme adresse globale interne mais un port global diffrent).
Ce comportement des routeurs CISCO est un peu surprenant. En thorie, la NATBox pourrait utiliser
le mme Inside global pour les mmes Inside local. Sils ne le font pas, ce doit tre par ce que cela
leur facilite la tche. . .
53/63
Version du 14/5/2013
Exemple 13
Si lapplication interne prcdente initie, partir du mme port, un nouveau dialogue avec lapplication externe (serveur FTP) utilisant le port 21 de la station 85.110.28.91, alors que le dialogue prcdent est toujours
en cours, alors on aura une table qui ressemble (si le port global 15001 tait libre) :
Router#show ip nat translations
Pro
Inside global
tcp
139.124.187.94:15000
tcp
139.124.187.94:15001
Inside local
192.168.0.1:10000
192.168.0.1:10000
Outside local
165.87.29.11:25
85.110.28.91:21
Outside global
165.87.29.11:25
85.110.28.91:21
o lon voit quune nouvelle entre a bien t cre, avec un Inside global qui diffre du prcdent par le port
global utilis. Mais si le protocole est UDP, on peut trs bien avoir plusieurs entres ayant le mme couple Inside
global et Inside local :
Router#show ip nat translations
Pro
Inside global
udp
139.124.187.94:22000
udp
139.124.187.94:22000
VI.4.C
Inside local
192.168.0.1:22000
192.168.0.1:22000
Outside local
138.142.18.5:13
76.34.151.39:7
Outside global
138.142.18.5:13
76.34.151.39:7
Dans le cadre dune traduction interne, les messages entrants (outside inside) ne peuvent pas crer
de nouvelle traduction dynamique. Lorsquils arrivent la NATBox, celle-ci recherche dans sa table le dialogue
correspondant, cest dire une entre o Protocole correspond celui du message, o Outside global correspond
sa source (adresse et port) et o Inside global correspond sa destination (adresse et port).
Sil elle en trouve une, le message est traduit en remplaant les informations Inside de global en local (les
adresses Outside seraient traduites aussi si la NATBox oprait aussi un NAT outside).
Si elle nen trouve pas, le message est purement et simplement rejet (un message derreur ICMP est ventuellement renvoy). De cette faon, le NAT introduit un certain niveau de scurit : les stations du LAN ne sont
pas directement accessibles de lextrieur sauf pour les dialogues en cours, qui rappelons-le sont tablis
linitiative des stations internes 9 . Ainsi, une NATBox est un peu un pare-feu. En revanche, en matire de scurit, il ne sagit toutefois que dune option qui ne peut remplacer un vritable pare-feu avec un filtrage pertinent
des communications TCP/IP (par exemple pour fournir une protection contre les communications abusives dun
Cheval de Troie).
Exemple 14
En tenant compte de la table de lexemple prcdent, un message entrant ne sera accept que sil correspond
lune des quatre entres (en comptant UDP). Le triplet Protocole, Inside global et Outside global doit concider
avec les champs du message. Seuls seront donc accepts :
les messages TCP dadresse source 165.87.29.11 et port source 25, et dadresse destination
139.124.187.94 et port destination 15000
les messages TCP dadresse source 85.110.28.91 et port source 21, et dadresse destination
139.124.187.94 et port destination 15001
9. Nous verrons plus loin quon peut tablir des correspondances de ports TCP/UDP pour raliser ce quon appelle communment
la redirection de ports (port redirection ou port forwarding) pour les connexions entrantes (traduction PAT statique).
Version du 14/5/2013
54/63
les messages UDP dadresse source 138.142.18.5 et port source 13, et dadresse destination
139.124.187.94 et port destination 22000
les messages UDP dadresse source 76.34.151.39 et port source 7, et dadresse destination
139.124.187.94 et port destination 22000
VI.5
Nous avons vu prcdemment que les connexions et sessions TCP/IP entrantes sont rejetes par la NATBox.
Alors, que faire si une socit souhaite mettre en place un serveur de messagerie (SMTP) ou un serveur Web
(HTTP) derrire le NAT ? A priori, en utilisant le NAT sur votre routeur Internet, cette station ne sera jamais
accessible partir de lextrieur.
La solution pour permettre une connexion entrante au travers dun NAT est la mise en place dune redirection
de port (port redirection, ou port forwarding). Il sagit dune traduction PAT statique base sur ladresse dun port
TCP ou UDP. Souvent, la redirection de port est aussi appel virtual serveur ou virtual application.
Exemple 15
Dans lexemple suivant (Live Box dOrange), une redirection de port est dfinie pour rendre un serveur Web
(derrire le NAT) accessible partir de lextrieur :
port externe
80
protocole
tcp
adresse locale
192.168.11.1
Certains routeurs PAT plus sophistiqus dont le ntrepermettent une redirection la fois plus dtaille et
plus restrictive, comme le montre lexemple suivant :
adresse IP
source externe
80.139.53.71
port externe
(ou plage de ports)
86318632
protocole(s)
tcp,udp
adresse IP
interne
192.168.11.1
port interne
(ou plage de ports)
56315632
Dans cet exemple, uniquement les datagrammes provenant de ladresse IP 80.139.53.71 vhiculant des paquets TCP ou UDP, dont le port de destination est 8631 ou 8632, sont traduits vers ladresse
192.168.11.1. Le port de destination 8631 est traduit vers 5631 et le port de destination 8632 est traduit
vers 5632. La traduction inverse est opre pour les datagrammes destination de 80.139.53.71, provenant
de 192.168.11.1 et dont le port source est 5631 ou 5632.
Sur un routeur CISCO, sur lequel le PAT est activ en utilisant la seule adresse publique de linterface
Ethernet0, la redirection de port pour un serveur HTTP, FTP et un serveur SMTP hbergs par lhte
192.168.11.5 du LAN, peut tre configure comme suit :
ip nat inside source static tcp 192.168.11.5 21 interface Ethernet0 21
ip nat inside source static tcp 192.168.11.5 25 interface Ethernet0 25
ip nat inside source static tcp 192.168.11.5 80 interface Ethernet0 80
Pour un serveur FTP interne, il est parfois ncessaire dinformer la NATBox quelle doit suivre la communication TCP au niveau de la couche application (couches 5-7 du modle TCP/IP simplifi) en ajoutant le paramtre
C. Pain-Barre, A. Meyer et F. Dumas, 2010
55/63
Version du 14/5/2013
extendable la fin de la commande (ceci concerne en vrit que quelques anciens modles des routeurs
CISCO). La NAT box des CISCO 1720/1721 (IOS version 12.3) suit la couche application du protocole FTP par
dfaut et le paramtre extendable nest pas ncessaire.
Exercice 35 (redirection de ports)
Dans vos paramtres sont indiques les redirections vous concernant configures sur le routeur daccs vers
Internet. Ainsi, les connexions TCP entrantes ( destination de ladresse publique de RPAT) sur les ports mentionns en colonne Port WAN et vous concernant sont traduites et rediriges vers les ports mentionns en colonne
Port LAN vers ladresse WAN de votre routeur :
1.
Quelles sont les rgles qui ont t utilises pour votre binme ?
2. Configurer votre routeur pour quil opre une redirection de port pour les connexions entrantes (donc
destination de ladresse WAN de votre routeur) sur ces ports (redirigs par RPAT) vers les ports TCP 22,
Fournir les commandes correspondantes.
23 et 80 du PC-LAN.
3.
Depuis un nagivateur sur le PC-IUT, afficher la page dacceuil du serveur Web qui est dj actif sur le
PC-LAN. Faire une capture dcran et la nommer 35-staticpat-http.png
4.
Depuis un terminal sur le PC-IUT, se connecter au serveur SSH du PC-LAN (se connecter en tant que
root). Faire une capture dcran et la nommer 35-staticpat-ssh.png
5. Depuis un terminal du PC-LAN, installer un serveur TELNET en tapant (simplement) les commandes
suivantes :
# apt-get update
# apt-get install telnetd
6.
Depuis un terminal sur le PC-IUT, se connecter au serveur TELNET du PC-LAN (se connecter en tant
que toto). Faire une capture dcran et la nommer 35-staticpat-telnet.png
7. Sauver la configuration
VI.6
Nous souhaitons maintenant scuriser les accs aux serveurs du PC-LAN, de la manire suivante :
tout Internet doit pouvoir accder son serveur Web ;
seules les stations des rseaux 139.124.187.0/24 et 192.168.0.0/16 doivent pouvoir accder
son serveur SSH ;
seul PC-IUT doit avoir accs son serveur TELNET.
Pour cela, votre routeur doit faire office de pare-feu (firewall). Il ne dispose que des fonctionnalits dun parefeu sans tat (stateless firewall) mais cela sera suffisant. Il doit filtrer les datagrammes qui proviennent dInternet
et destination des ports des serveurs de PC-LAN. Pour cela, il faut tablir une ACL tendue, puis configurer
linterface LAN du routeur pour quelles ne laissent passer que les datagrammes satisfaisant cette ACL.
Exercice 36 (scurisation des accs aux serveurs)
Demander lenseignant des prcisions sur la manire doprer et configurer le routeur pour scuriser laccs.
Demander lenseignant de valider cet exercice.
VI.7
Version du 14/5/2013
56/63
Afin de retirer des entres de la table dassociation, et librer les adresses globales internes et les ports globaux
internes quelle utilise, la NATBox doit maintenir un tat des "sessions" en cours, savoir :
les connexions TCP
les dialogues UDP
les dialogues ICMP (ping essentiellement)
et dceler la fin de ces sessions. Cest un problme auquel il ny a pas de solution "transparente".
Une session (connexion) TCP sera considre termine dans lun des cas suivants :
les deux cts ont envoy leur segment FIN
un ct envoy un segment RST
mais rien ne dit quils lont reu. Sur un routeur CISCO, la connexion est considre comme close 60 secondes
aprs lune de ces situations.
Pour une "session" UDP ou ICMP, cest dpendant des applications ! Elle est considre close si aucun datagramme la concernant nest reu par la NATBox pendant un certain temps, qui est configurable sur la NATBox.
La NATBox peut aussi disposer dun module reconnaissant des applications utilisatrices de ces protocoles pour
reconnatre ce type de sessions.
Le commandes suivantes sont utilises pour configurer la dure de vie dune association de traduction dynamique
sur le routeur :
Router(config)#ip
Router(config)#ip
Router(config)#ip
Router(config)#ip
Router(config)#ip
nat
nat
nat
nat
nat
translation
translation
translation
translation
translation
udp-timeout secondes
tcp-timeout secondes
finrst-timeout secondes
icmp-timeout secondes
dns-timeout secondes
o secondes indique le temps aprs lequel, si aucun message de la session ne se prsente, celle-ci sera considre
comme termine.
Un paramtrage plus fin est aussi possible, en prcisant un timeout pour un protocole donn (TCP ou
UDP) et pour des ports donns.
Nous avons dj vu que pour afficher la table de traduction (et vrifier que tout fonctionne), il fallait utiliser la
commande suivante en mode privilgi :
Router#show ip nat translations
On peut galement afficher les traductions opres en temps rel sur la console (mais il deviendra un peu difficile
de travailler dessus) avec :
Router#debug ip nat
57/63
Version du 14/5/2013
Pour cette question, travailler sur le routeur via TELNET afin de garder la console libre pour
afficher les messages du debugging.
5.
Utiliser le pipe pour nafficher que les traductions des messages TCP. Fournir la commande.
Modifier la dure de vie des entres de la table de traduction : 20 minutes pour le protocole TCP,
seulement 5 secondes pour UDP, ICMP et DNS. Fournir les commandes.
8. Dboguer la traduction en affichant les informations de la traduction en temps rel sur la console
9. Sur le PC-LAN, lancer une capture de toutes les trames avec Wireshark
10. Sur le PC-LAN, ouvrir dans un navigateur lURL http://TPSERVEUR/index.php, o TPSERVEUR
est remplacer par son adresse.
11. Faire aussitt une copie dcran des informations de debugging de la console du routeur et la nommer
37-debug-pat.png.
12.
13.
14. Laffichage de la page Web a ncessit lenvoi/rception de plusieurs datagrammes IP, vhiculant les
messages TCP du protocole HTTP. Pour le premier datagramme mis par le PC-LAN contenant la requte
HTTP, et le premier datagramme reu en rponse, fournir ladresse IP source, ladresse IP destination, le
port source, le port destination et le protocole de couche 4, contenu dans ces datagrammes lorsque ceuxci ont circul ct LAN et ct WAN. En effet, vous avez tous les lments pour dduire les traductions
opres par votre routeur. Il y a donc 4 datagrammes prciser (requte ct LAN et ct WAN ; rponse
ct WAN et ct LAN).
VI.8
La traduction opre par le NAT/PAT doit tre transparente, autant pour les ordinateurs que les protocoles
de TCP/IP. Or, la modification des adresses/ports source et destination nest pas anodine pour de nombreux
protocoles comme IP, ICMP, TCP, UDP, FTP, etc. :
IP inclut les adresses IP dans le calcul du checksum
TCP et UDP les incluent aussi dans le calcul de leur checksum (pseudo en-tte)
TCP et UDP y incluent aussi les ports et les donnes
INFO - IUT Aix-en-Provence
Version du 14/5/2013
58/63
ICMP ne fournit pas de ports (problme pour le PAT). Les messages derreur ICMP (types 3 5 et 11)
contiennent toutefois les en-ttes IP et TCP/UDP des datagrammes en cause et peuvent donc tre traduits.
Les messages ICMP de demande (ECHO 10 , Horodatage, etc.) contiennent un identificateur. Lidentificateur (ainsi que ladresse locale interne) est traduit par un identificateur global comme sil sagissait dun
port.
FTP envoie, dans la commande PORT et en rponse de la commande PASV, une adresse IP et un port
TCP utiliser pour tablir une connexion de donnes. Ils doivent tre traduits, ce qui modifie le segment
TCP qui transporte ce message.
La NAT box doit en tenir compte et modifier tous les messages des protocoles qui utilisent les
adresses quelle traduit !
Il en dcoule que le NAT/PAT complique lutilisation des protocoles utilisant les adresses et les ports dans leurs
messages. Les NATBox savent en gnral traduire les messages des protocoles classiques. Mais elles peuvent tre
incompatibles avec des protocoles moins "standard", comme le protocole GRE (couche 4), utilis par le protocole
PTPP (Point To Point Protocol) qui permet de crer des tunnels VPN (accs distance scuris).
Exercice 38 (Dialogue ICMP au travers dun routeur NAT/PAT)
1. Vider la table de traduction de votre routeur NAT
2. Augmenter la dure de vie des associations de la table de traduction pour les messages ICMP (par exemple
10 min)
3. Lancer une capture par Wireshark sur le PC-LAN
4. partir du PC-LAN, envoyer un ping (message ICMP de type ECHO) partir de votre station vers
TPSERVEUR en utilisant deux paquets ICMP (ping -c 2 . . .)
5.
Arrter la capture. Sauver les 4 trames (2 fois un message cho et la rponse cho) concernant les
messages ICMP dans le fichier 38-pat-icmp.pcap
6.
Fournir les valeurs des 5 premiers champs de chaque message ICMP (voir annexe).
7.
8.
VII
VII.1
En dduire les 5 champs des deux premiers messages ICMP circulant du ct WAN de votre routeur
PAT (la premire requte et la premire rponse)
Il arrive quon doive prendre le contrle dun routeur dont on ne possde pas le mot de passe. . .
59/63
Version du 14/5/2013
1. Prendre soin de bien avoir sauvegard sa configuration, notamment sur votre serveur TFTP, puis demander
votre enseignant de changer le mot de passe de votre routeur.
2. teindre puis rallumer le routeur
3. Tenter de visualiser la startup-config (notamment en tentant de rentrer dans le mode privilgi). Vous
ne pouvez plus faire grand chose. . .
Le mot de passe du routeur fait partie de la configuration : il est enregistr (et chiffr) dans le fichier
startup-config. Nous allons faire dmarrer le routeur en ignorant ce fichier, comme sil avait une confi-
La procdure de rcupration dun mot de passe est gnralement dcrite dans le chapitre Recovering
a Lost Enable Password 11 du manuel qui accompagne le matriel CISCO. En principe, lobjectif de
cette procdure est de conserver la configuration actuelle du routeur tout en rinitialisant le mot de
passe.
Dans les grandes lignes, cette procdure est la suivante (ne pas la suivre pour le moment) :
1. dmarrer en mode monitoring de la ROM afin de changer la valeur du registre de configuration pour ignorer
la startup-config au dmarrage ;
2. redmarrer le routeur et laisser lIOS se charger jusqu obtenir le prompt de la CLI
3. entrer en mode privilgi : la startup-config ayant t ignore, la running-config (configuration
courante) est vierge, sans mot de passe
4. copier la startup-config dans la running-config. Le routeur a maintenant comme configuration
courante, celle quil aurait eu sil navait pas ignor la startup-config. La diffrence est que lon se
trouve en mode privilgi, ce qui aurait ncessit de connatre le mot de passe ;
5. changer le mot de passe
6. copier la running-config dans la startup-config. On aura donc simplement chang le mot de passe.
7. modifier le registre de configuration pour dmarrer en prenant en compte la startup-config
8. redmarrer le routeur
Exercice 40 (rinitialisation du routeur)
Nous avons besoin de la valeur du registre de configuration (0xvaleur-en-hexa) releve lexercice 11, page 15. Assurez-vous de lavoir fait.
Cette partie est trs dlicate. La moindre erreur peut rendre le routeur HS ! Fates surtout attention lorsque vous modifiez la valeur du registre de configuration (taper lentement, ne pas
copier-coller) et dans les noms des fichiers que vous copiez (un mauvais nom et la copie risque
dcraser la flash).
Version du 14/5/2013
60/63
taper Ctrl + A puis F pour envoyer un break. Rpter plusieurs fois cette squence pour tre sr
que le routeur reoive le break au bon moment. Le routeur dmarre alors en mode monitoring de la
ROM. En fonction du modle de routeur, diffrentes invites sont possibles (rommon 1 >, rom 1
> ou simplement >) :
System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 2003 by cisco Systems, Inc.
PC = 0xfff0c93c, Vector = 0x500, SP = 0xff0027a0
PC = 0xfff0c93c, Vector = 0x500, SP = 0xff002780
C1700 platform with 65536 Kbytes of main memory
PC = 0xfff0c93c, Vector = 0x500, SP = 0x8000486c
monitor: command "boot" aborted due to user interrupt
rommon 1 >
Dans les deux cas, le routeur rpond par un message indiquant quil faut redmarrer pour que cela
ait un effet :
You must reset or power cycle for new config to take effect
61/63
Version du 14/5/2013
ce quoi, rpondre no
Ici, le routeur indique les rponses possibles entre crochets "[yes/no]". Quand
il nen propose quune, cest celle par dfaut qui est retenue si on ne tape que sur
Entre . Faites attention de bien rpondre "no" cette question car selon lIOS, il
se peut que la proposition soit "[yes]". Si vous entrez par mgarde dans le dialogue
de configuration, teignez le routeur et attendre quelques secondes pour le rallumer.
(b) linvite du mode utilisateur (user mode), taper enable puis Entre pour passer en mode
privilgi :
Router>enable
Le mot de passe nest pas demand car il nexiste pas. On peut observer quon est bien en mode
privilgi car le prompt se termine maintenant par # :
Router#
Laffichage de la configuration est pagin, comme tous les affichages excdant 25 lignes.
INFO - IUT Aix-en-Provence
Version du 14/5/2013
62/63
4. Restauration de la valeur du registre de configuration En mode de configuration globale, restaurer la valeur du registre de configuration en tapant :
Router(config)#config-register 0xvaleur-en-hexa
o 0xvaleur-en-hexa est la valeur du registre de configuration, releve au cours de lexercice 11, page 15
5. Taper Ctrl + Z ou exit pour quitter le mode de configuration globale et revenir au mode privilgi
6. Redmarrage
(a) Vrifier que le registre a bien t chang en tapant :
Router#show version
(c) Aprs le redmarrage, entrer en mode privilgi et faire afficher la configuration courante :
Router>enable
Router#show running-config
Si le mot de passe nest pas accept, cest que vous avez srement omis de copier prcdemment la running-config dans la startup-config. Vous devez reprendre
lexercice zro !
(eh oui, il faut bien lire lnonc. . .)
63/63
VIII
VIII.1
Version du 14/5/2013
Annexe
Message ICMP de test daccessibilit et dtat (PING)
Ces messages ICMP, utiliss notamment par la commande ping, ont le format suivant :
8 bits
8 bits
16 bits
Type (0 ou 8)
Code (0)
Total de Contrle
Identificateur
Numro de squence
Donnes optionnelles
...
Format du message ICMP dECHO
o les champs ont la signification suivante :
Type : (8 bits) Sa valeur indique sil sagit dune demande ou dune rponse dECHO :
0 : rponse une demande dECHO
8 : demande dECHO
Identificateur : (16 bits)
Permet lindentification (unique) de la demande. Puisque plusieurs demandes dECHO peuvent tre transmises un mme ordinateur, ce champ permettra de distinguer les rponses. Par exemple, on peut utiliser
deux fois ping en mme temps sur deux terminaux destination dun seul ordinateur. Les deux processus
ping recevront toutes les rponses et utiliseront ce champ pour distinguer les rponses qui les concernent.
En cas de PAT, ce champ est utilis et traduit comme un port TCP ou UDP.