Vous êtes sur la page 1sur 201

Ce document est la proprit exclusive de Cisco Systems, Inc.

Lautorisation dimprimer et de copier ce document nest autorise que pour une distribution non commerciale et lutilisation de ce document est exclusivement rserve aux formateurs du cours CCNA Exploration : Accs au rseau tendu, en tant que partie intgrante du programme officiel Cisco Networking Academy.

Travaux pratiques 1.4.1 : travaux pratiques : rvision avance


Diagramme de topologie

Table dadressage Priphrique Interface


Fa0/1 Fa0/1.10 R1 Fa0/1.12 Fa0/1.13 S0/0/0 Fa0/1 Fa0/1.12 R2 Fa0/1.20 S0/0/0 S0/0/1 R3 Fa0/1

Adresse IP
N/D 192.168.10.1 10.12.12.1 10.13.13.1 10.1.1.1 N/D 10.12.12.2 192.168.20.1 10.1.1.2 10.2.2.1 N/D

Masque de sous-rseau
N/D 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.252 N/D 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 N/D

Passerelle par dfaut


N/D N/D N/D N/D N/D N/D N/D N/D N/D N/D N/D

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 4

CCNA Exploration Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Fa0/1.13 Fa0/1.30 S0/0/1 Comm1 Comm2 Comm3 PC1 PC3 VLAN10 VLAN20 VLAN30 Carte rseau Carte rseau

10.13.13.3 192.168.30.1 10.2.2.2 192.168.10.2 192.168.20.2 192.168.30.2 192.168.10.10 192.168.30.10

255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

N/D N/D N/D 192.168.10.1 192.168.20.1 192.168.30.1 192.168.10.1 192.168.30.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer le protocole Spanning Tree Configurer les serveurs et le client VTP Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs Configurer le routage RIP sur tous les routeurs Configurer le routage OSPF sur tous les routeurs Configurer le routage EIGRP sur tous les routeurs

Scnario
Au cours de ces travaux pratiques, vous allez examiner les concepts de routage et de commutation. Essayez cependant de travailler de faon autonome. Si vous prouvez des difficults, reportez-vous au cours prcdent. Remarque : il nest pas conseill dutiliser la configuration de trois protocoles de routage distincts (RIP, OSPF et EIGRP) pour acheminer le mme rseau. En effet, cette pratique est des moins recommandes, et elle ne devrait pas tre mise en uvre dans un rseau de production. Elle a t adopte ici pour vous permettre dexaminer les principaux protocoles de routage et pour illustrer le concept de distance administrative.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression des configurations existantes sur les routeurs

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 4

CCNA Exploration Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Tche 2 : excution des configurations de base des priphriques


Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2, Comm3, en respectant les consignes suivantes : Configurez le nom dhte. Dsactivez la recherche DNS. Configurez un mot de passe pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions de consoles. Configurez la connexion synchrone. Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Tche 3 : configuration et activation dadresses srie et Ethernet


tape 1 : configuration des interfaces sur R1, R2 et R3 tape 2 : vrification de ladressage IP et des interfaces tape 3 : configuration de linterface VLAN de gestion sur Comm1, Comm2 et Comm3 tape 4 : configuration des interfaces Ethernet PC1 et PC3 tape 5 : test de la connectivit entre les ordinateurs

Tche 4 : configuration du protocole STP


tape 1 : configuration systmatique de Comm1 en tant que racine tape 2 : vrification de la dfinition de Comm1 en tant que racine

Tche 5 : configuration de VTP


tape 1 : configuration de Comm1 en tant que serveur VTP et cration dun nom de domaine et dun mot de passe tape 2 : configuration de Comm2 et de Comm3 en tant que clients VTP, affects dun nom de domaine et dun mot de passe tape 3 : vrification de la configuration

Tche 6 : configuration des rseaux locaux virtuels


tape 1 : configuration de Comm1 avec les rseaux locaux virtuels tape 2 : vrification que Comm2 et Comm3 ont reu les configurations VLAN de Comm1 tape 3 : attribution de ports aux rseaux locaux virtuels appropris

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 4

CCNA Exploration Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Tche 7 : configuration du routage RIP


tape 1 : configuration du routage RIP sur R1, R2 et R3 tape 2 : test de la connectivit avec la commande ping tape 3 : vrification de la table de routage

Tche 8 : configuration du routage OSPF


tape 1 : configuration du routage RIP sur R1, R2 et R3 tape 2 : vrification du remplacement des routes RIP par les routes OSPF en raison dune distance administrative infrieure

En quoi l'activation du protocole OSPF affecte-t-elle les dcisions de routage ?

____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________


tape 3 : vrification de lactivation du protocole RIP

Tche 9 : configuration du routage EIGRP


tape 1 : configuration du routage EIGRP sur R1, R2 et R3 tape 2 : vrification du remplacement des routes OSPF par les routes EIGRP en raison dune distance administrative infrieure tape 3 : vrification de lactivation du protocole OSPF

Tche 10 : documentation des configurations des routeurs Tche 11 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 4

Travaux pratiques 2.5.1 : configuration de base du protocole PPP


Diagramme de topologie

Table dadressage Priphrique


R1

Interface
Fa0/1 S0/0/0 Lo0 S0/0/0 S0/0/1 Fa0/1 S0/0/1 Carte rseau Carte rseau

Adresse IP
192.168.10.1 10.1.1.1 209.165.200.225 10.1.1.2 10.2.2.1 192.168.30.1 10.2.2.2 192.168.10.10 192.168.30.10

Masque de sous-rseau
255.255.255.0 255.255.255.252 255.255.255.224 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0

Passerelle par dfaut


N/D N/D N/D N/D N/D N/D N/D 192.168.10.1 192.168.30.1

R2

R3 PC1 PC3

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer le routage OSPF sur tous les routeurs Configurer lencapsulation PPP sur toutes les interfaces srie Comprendre le fonctionnement des commandes debug ppp negotiation et debug ppp packet Remplacer lencapsulation PPP par lencapsulation HDLC sur les interfaces srie Interrompre volontairement une encapsulation PPP et la restaurer Configurer lauthentification PPP laide des protocoles PAP et CHAP interrompre volontairement lauthentification PPP PAP et CHAP et la restaurer

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation PPP sur les liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous apprendrez galement restaurer lencapsulation HDLC des liaisons srie. Observez bien le rsultat affich par le routeur lorsque vous interrompez volontairement lencapsulation PPP. Cela vous aidera dans les travaux pratiques de dpannage associs ce chapitre. Enfin, vous apprendrez configurer lauthentification PPP laide des protocoles PAP et CHAP.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose des interfaces requises, comme illustr sur le diagramme de topologie. Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces saffichent diffremment. tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom dhte du routeur. Dsactivez la recherche DNS. Configurez un mot de passe pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions de consoles.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Configurez la connexion synchrone. Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Tche 3 : configuration et activation dadresses srie et Ethernet


tape 1 : configuration des interfaces sur R1, R2 et R3 Configurez les interfaces des routeurs R1, R2 et R3 avec les adresses IP de la table dadressage figurant au dbut des travaux pratiques. Veillez inclure la frquence dhorloge sur les interfaces srie DCE. tape 2 : vrification de ladressage IP et des interfaces Utilisez la commande show ip interface brief pour vrifier que ladressage IP est correct et que les interfaces sont actives. Lorsque vous aurez termin, veillez enregistrer la configuration actuelle dans la mmoire NVRAM du routeur. tape 3 : configuration des interfaces Ethernet de PC1 et PC3 Configurez les interfaces Ethernet de PC1 et PC3 avec les adresses IP et les passerelles par dfaut provenant de la table dadressage. tape 4 : test de la configuration par lenvoi dune requte ping entre le PC et la passerelle par dfaut

Tche 4 : configuration du protocole OSPF sur les routeurs


Si vous souhaitez revoir les commandes OSPF, consultez la section Exploration 2, module 11. tape 1 : activation du routage OSPF sur R1, R2 et R3 Utilisez la commande router OSPF avec lID de processus 1. Veillez annoncer correctement les rseaux. R1(config)#router ospf 1 R1(config-router)#network 192.168.10.0 0.0.0.255 area 0 R1(config-router)#network 10.1.1.0 0.0.0.3 area 0 *Aug 17 17:49:14.689: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from LOADING to FULL, Loading Done R1(config-router)# R2(config)#router ospf 1 R2(config-router)#network 10.1.1.0 0.0.0.3 area 0 *Aug 17 17:48:40.645: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done R2(config-router)#network 10.2.2.0 0.0.0.3 area 0 R2(config-router)#network 209.165.200.224 0.0.0.31 area 0 R2(config-router)# *Aug 17 17:57:44.729: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-router)# R3(config)#router ospf 1 R3(config-router)#network 10.2.2.0 0.0.0.3 area 0 *Aug 17 17:58:02.017: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Serial0/0/1 from LOADING to FULL, Loading Done R3(config-router)#network 192.168.30.0 0.0.0.255 area 0 R3(config-router)# tape 2 : vrification de la connectivit sur lensemble du rseau Utilisez les commandes show ip route et ping pour vrifier la connectivit. R1#show ip route <rsultat omis> O C O C O C 192.168.30.0/24 [110/1563] via 10.1.1.2, 00:33:56, Serial0/0/0 192.168.10.0/24 is directly connected, FastEthernet0/1 209.165.200.0/32 is subnetted, 1 subnets 209.165.200.225 [110/782] via 10.1.1.2, 00:33:56, Serial0/0/0 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.1.2/32 is directly connected, Serial0/0/0 10.2.2.0/30 [110/1562] via 10.1.1.2, 00:33:56, Serial0/0/0 10.1.1.0/30 is directly connected, Serial0/0/0

R1#ping 192.168.30.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms R1# R2#show ip route <rsultat omis> O O C C C C C 192.168.30.0/24 [110/782] via 10.2.2.2, 00:33:04, Serial0/0/1 192.168.10.0/24 [110/782] via 10.1.1.1, 00:33:04, Serial0/0/0 209.165.200.0/27 is subnetted, 1 subnets 209.165.200.224 is directly connected, Loopback0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks 10.2.2.2/32 is directly connected, Serial0/0/1 10.2.2.0/30 is directly connected, Serial0/0/1 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.1/32 is directly connected, Serial0/0/0

R2#ping 192.168.30.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R2#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R2#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

R3#show ip route <rsultat omis> C O O C O C 192.168.30.0/24 is directly connected, FastEthernet0/1 192.168.10.0/24 [110/1563] via 10.2.2.1, 00:32:01, Serial0/0/1 209.165.200.0/32 is subnetted, 1 subnets 209.165.200.225 [110/782] via 10.2.2.1, 00:32:01, Serial0/0/1 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.2.2.0/30 is directly connected, Serial0/0/1 10.1.1.0/30 [110/1562] via 10.2.2.1, 00:32:01, Serial0/0/1 10.2.2.1/32 is directly connected, Serial0/0/1

R3#ping 209.165.200.225 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 209.165.200.225, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R3#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms R3#

Tche 5 : configuration de lencapsulation PPP sur les interfaces srie


tape 1 : utilisation de la commande show interface pour vrifier que le protocole HDLC est lencapsulation srie par dfaut R1#show interface serial0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <rsultat omis> R2#show interface serial 0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <rsultat omis> R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Internet address is 10.2.2.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <rsultat omis> R3#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <rsultat omis> tape 2 : utilisation des commandes de dbogage sur R1 et R2 pour constater les effets de la configuration du protocole PPP R1#debug ppp negotiation PPP protocol negotiation debugging is on R1#debug ppp packet PPP packet display debugging is on R1# R2#debug ppp negotiation PPP protocol negotiation debugging is on R2#debug ppp packet PPP packet display debugging is on R2# tape 3 : remplacement de lencapsulation HDCL des interfaces srie par lencapsulation PPP Modifiez le type dencapsulation sur la liaison entre R1 et R2, puis observez les effets. Si vous commencez recevoir trop de donnes de dbogage, utilisez la commande undebug all pour dsactiver les oprations de dbogage. R1(config)#interface serial 0/0/0 R1(config-if)#encapsulation ppp R1(config-if)# *Aug 17 19:02:53.412: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached R1(config-if)# *Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is DOWN, Setup *Aug 17 19:02:53.416: Se0/0/0 PPP: Using default call direction *Aug 17 19:02:53.416: Se0/0/0 PPP: Treating connection as a dedicated line *Aug 17 19:02:53.416: Se0/0/0 PPP: Session handle[E4000001] Session id[0] *Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open *Aug 17 19:02:53.424: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10 *Aug 17 19:02:53.424: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE) R1(config-if)# *Aug 17 19:02:55.412: Se0/0/0 PPP: Outbound cdp packet dropped *Aug 17 19:02:55.432: Se0/0/0 LCP: TIMEout: State REQsent *Aug 17 19:02:55.432: Se0/0/0 LCP: O CONFREQ [REQsent] id 2 len 10 *Aug 17 19:02:55.432: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE) *Aug 17 19:02:56.024: Se0/0/0 PPP: I pkt type 0x008F, datagramsize 24

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

link[illegal] *Aug 17 19:02:56.024: Se0/0/0 UNKNOWN(0x008F): Non-NCP packet, discarding R1(config-if)# *Aug 17 19:02:57.252: Se0/0/0 PPP: I pkt type 0x000F, datagramsize 84 link[illegal] *Aug 17 19:02:57.252: Se0/0/0 UNKNOWN(0x000F): Non-NCP packet, discarding *Aug 17 19:02:57.448: Se0/0/0 LCP: TIMEout: State REQsent *Aug 17 19:02:57.448: Se0/0/0 LCP: O CONFREQ [REQsent] id 3 len 10 *Aug 17 19:02:57.448: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE) R1(config-if)# *Aug 17 19:02:58.412: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R2(config)#interface serial 0/0/0 R2(config-if)#encapsulation ppp R2(config-if)# *Aug 17 19:06:48.848: Se0/0/0 PPP: Phase is DOWN, Setup *Aug 17 19:06:48.848: Se0/0/0 PPP: Using default call direction *Aug 17 19:06:48.848: Se0/0/0 PPP: Treating connection as a dedicated line *Aug 17 19:06:48.848: Se0/0/0 PPP: Session handle[C6000001] Session id[0] *Aug 17 19:06:48.848: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open *Aug 17 19:06:48.856: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10 *Aug 17 19:06:48.856: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) *Aug 17 19:06:48.860: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14 link[ppp] *Aug 17 19:06:48.860: Se0/0/0 LCP: I CONFACK [REQsent] id 1 len 10 R2(config-if)# *Aug 17 19:06:48.860: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) R2(config-if)# *Aug 17 19:06:50.864: Se0/0/0 LCP: TIMEout: State ACKrcvd *Aug 17 19:06:50.864: Se0/0/0 LCP: O CONFREQ [ACKrcvd] id 2 len 10 *Aug 17 19:06:50.864: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) *Aug 17 19:06:50.868: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14 link[ppp] *Aug 17 19:06:50.868: Se0/0/0 LCP: I CONFREQ [REQsent] id 61 len 10 *Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BDB9A8 (0x050663BDB9A8) *Aug 17 19:06:50.868: Se0/0/0 LCP: O CONFACK [REQsent] id 61 len 10 *Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BDB9A8 (0x050663BDB9A8) *Aug 17 19:06:50.868: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14 link[ppp] *Aug 17 19:06:50.868: Se0/0/0 LCP: I CONFACK [ACKsent] id 2 len 10 *Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) *Aug 17 19:06:50.868: Se0/0/0 LCP: State is Open *Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is FORWARDING, Attempting Forward *Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is ESTABLISHING, Finish LCP *Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is UP *Aug 17 19:06:50.872: Se0/0/0 IPCP: O CONFREQ [Closed] id 1 len 10 *Aug 17 19:06:50.872: Se0/0/0 IPCP: Address 10.1.1.2 (0x03060A010102) *Aug 17 19:06:50.872: Se0/0/0 CDPCP: O CONFREQ [Closed] id 1 len 4 *Aug 17 19:06:50.872: Se0/0/0 PPP: Process pending ncp packets *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8021, datagramsize 14 link[ip] *Aug 17 19:06:50.876: Se0/0/0 IPCP: I CONFREQ [REQsent] id 1 len 10 *Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.1 (0x03060A010101) *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8207, datagramsize 8 link[cdp]
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

*Aug 17 19:06:50.876: Se0/0/0 IPCP: O CONFACK [REQsent] id 1 len 10 *Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.1 (0x03060A010101) *Aug 17 19:06:50.876: Se0/0/0 CDPCP: I CONFREQ [REQsent] id 1 len 4 *Aug 17 19:06:50.876: Se0/0/0 CDPCP: O CONFACK [REQsent] id 1 len 4 *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8021, datagramsize 14 link[ip] *Aug 17 19:06:50.876: Se0/0/0 IPCP: I CONFACK [ACKse R2(config-if)#nt] id 1 len 10 *Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.2 (0x03060A010102) *Aug 17 19:06:50.876: Se0/0/0 IPCP: State is Open *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8207, datagramsize 8 link[cdp] *Aug 17 19:06:50.876: Se0/0/0 IPCP: Install route to 10.1.1.1 *Aug 17 19:06:50.880: Se0/0/0 CDPCP: I CONFACK [ACKsent] id 1 len 4 *Aug 17 19:06:50.880: Se0/0/0 CDPCP: State is Open *Aug 17 19:06:50.880: Se0/0/0 PPP: O pkt type 0x0021, datagramsize 80 *Aug 17 19:06:50.880: Se0/0/0 IPCP: Add link info for cef entry 10.1.1.1 *Aug 17 19:06:50.884: Se0/0/0 PPP: I pkt type 0x0021, datagramsize 80 link[ip] *Aug 17 19:06:51.848: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)# *Aug 17 19:06:51.888: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 1 len 12 magic 0x63BDB9A8 *Aug 17 19:06:51.888: Se0/0/0 LCP-FS: O ECHOREP [Open] id 1 len 12 magic 0x63BD388C <rsultat omis> *Aug 17 19:07:00.936: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done Que se passe-t-il lorsque lune des extrmits de la liaison srie est encapsule avec le protocole PPP et lautre extrmit avec le protocole HDLC ? _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ Par quelles tapes le protocole PPP passe-t-il si lautre extrmit de la liaison srie sur R2 est configure via lencapsulation PPP ? _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

_____________________________________________________________________ _____________________________________________________________________ Que se passe-t-il lorsque lencapsulation PPP est configure sur chaque extrmit de la liaison srie ? _____________________________________________________________________ _____________________________________________________________________

tape 4 : dsactivation de la fonction de dbogage Dsactivez la fonction de dbogage si vous navez pas encore utilis la commande undebug all. R1#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off R1# R2#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off R2# tape 5 : remplacement de lencapsulation HDLC par lencapsulation PPP aux deux extrmits de la liaison srie entre R2 et R3 R2(config)#interface serial0/0/1 R2(config-if)#encapsulation ppp R2(config-if)# *Aug 17 20:02:08.080: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached R2(config-if)# *Aug 17 20:02:13.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# *Aug 17 20:02:58.564: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 17 20:03:03.644: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-if)# *Aug 17 20:03:46.988: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R3(config)#interface serial 0/0/1 R3(config-if)#encapsulation ppp R3(config-if)# *Aug 17 20:04:27.152: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up *Aug 17 20:04:30.952: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Quand le protocole de ligne sur la liaison srie est-il activ et quand la contigut OSPF est-elle restaure ? _____________________________________________________________________ _____________________________________________________________________ tape 6 : vrification de lactivation de lencapsulation PPP sur les interfaces srie R1#show interface serial0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: CDPCP, IPCP, loopback not set <rsultat omis> R2#show interface serial 0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: CDPCP, IPCP, loopback not set <rsultat omis> R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: CDPCP, IPCP, loopback not set <rsultat omis> R3#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: CDPCP, IPCP, loopback not set <rsultat omis>

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Tche 7 : interruption et restauration de lencapsulation PPP


En interrompant volontairement lencapsulation PPP, vous en saurez plus sur les messages derreur gnrs. Cela vous aidera ultrieurement dans les travaux pratiques de dpannage. tape 1 : rtablissement de lencapsulation HDLC par dfaut des deux interfaces srie de R2 R2(config)#interface serial 0/0/0 R2(config-if)#encapsulation hdlc R2(config-if)# *Aug 17 20:36:48.432: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached *Aug 17 20:36:49.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R2(config-if)# *Aug 17 20:36:51.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)#interface serial 0/0/1 *Aug 17 20:37:14.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R2(config-if)#encapsulation hdlc R2(config-if)# *Aug 17 20:37:17.368: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached *Aug 17 20:37:18.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# *Aug 17 20:37:20.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 17 20:37:44.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# En quoi linterruption dlibre dune configuration est-elle utile ? _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________

Pourquoi les deux interfaces srie sont-elles dsactives, actives, puis dsactives de nouveau ? _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Outre lutilisation de la commande encapsulation hdlc, comment peut-on remplacer lencapsulation PPP dune interface srie par lencapsulation HDLC par dfaut ? (Indice : la rponse cette question est lie la commande no.) _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________

tape 2 : rtablissement de lencapsulation PPP des deux interfaces srie de R2 R2(config)#interface s0/0/0 R2(config-if)#encapsulation ppp *Aug 17 20:53:06.612: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)#interface s0/0/1 *Aug 17 20:53:10.856: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done R2(config-if)#encapsulation ppp *Aug 17 20:53:23.332: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 17 20:53:24.916: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-if)#

Tche 8 : configuration de lauthentification PPP


tape 1 : configuration de lauthentification PPP laide du protocole PAP sur la liaison srie reliant R1 et R2 R1(config)#username R1 password cisco R1(config)#int s0/0/0 R1(config-if)#ppp authentication pap R1(config-if)# *Aug 22 18:58:57.367: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R1(config-if)# *Aug 22 18:58:58.423: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached R1(config-if)#ppp pap sent-username R2 password cisco

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Que se passe-t-il lorsque lauthentification PPP, via le protocole PAP, est configure sur une seule extrmit de la liaison srie ? _____________________________________________________________________ _____________________________________________________________________ R2(config)#username R2 password cisco R2(config)#interface Serial0/0/0 R2(config-if)#ppp authentication pap R2(config-if)#ppp pap sent-username R1 password cisco R2(config-if)# *Aug 23 16:30:33.771: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)# *Aug 23 16:30:40.815: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done R2(config-if)# Que se passe-t-il lorsque lauthentification PPP, via le protocole PAP, est configure sur chaque extrmit de la liaison srie ? _____________________________________________________________________ _____________________________________________________________________ tape 2 : configuration de lauthentification PPP, via le protocole CHAP, sur la liaison srie reliant R2 et R3 Dans le cas dune authentification PAP, le mot de passe nest pas chiffr. Mme sil vaut mieux utiliser ce type dauthentification plutt que de nen utiliser aucune, il est prfrable de chiffrer le mot de passe transmis sur la liaison. Le protocole CHAP chiffre le mot de passe. R2(config)#username R3 password cisco R2(config)#int s0/0/1 R2(config-if)#ppp authentication chap R2(config-if)# *Aug 23 18:06:00.935: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# *Aug 23 18:06:01.947: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached R2(config-if)# R3(config)#username R2 password cisco *Aug 23 18:07:13.074: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R3(config)#int s0/0/1 R3(config-if)# *Aug 23 18:07:22.174: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3(config-if)#ppp authentication chap R3(config-if)#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 13 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Vous pouvez constater que ltat du protocole de ligne de linterface srie 0/0/1 passe UP (activ) avant mme que linterface ne soit configure pour lauthentification CHAP. Pouvezvous en dterminer la raison ? _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ tape 3 : examen du rsultat du dbogage Pour mieux comprendre le processus CHAP, consultez le rsultat de la commande debug ppp authentication sur R2 et R3. Arrtez ensuite linterface Serial 0/0/1 sur R2, puis excutez la commande no shutdown sur linterface Serial 0/0/1 sur R2. R2#debug ppp authentication PPP authentication debugging is on R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int s0/0/1 R2(config-if)#shutdown R2(config-if)# *Aug 23 18:19:21.059: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached R2(config-if)# *Aug 23 18:19:23.059: %LINK-5-CHANGED: Interface Serial0/0/1, changed state to administratively down *Aug 23 18:19:24.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)#no shutdown *Aug *Aug *Aug *Aug *Aug up *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 18:19:55.059: 18:19:55.059: 18:19:55.059: 18:19:55.059: 18:19:55.063: 18:19:55.063: 18:19:55.067: 18:19:55.067: 18:19:55.067: 18:19:55.067: 18:19:55.071: 18:19:55.071: 18:19:55.071: 18:19:55.071: 18:19:55.075: 18:19:55.075: 18:19:55.075: 18:19:55.075: 18:19:55.075: 18:19:55.075: 18:19:55.075: 18:19:55.079: 18:19:56.075: Se0/0/1 PPP: Using default call direction Se0/0/1 PPP: Treating connection as a dedicated line Se0/0/1 PPP: Session handle[5B000005] Session id[49] Se0/0/1 PPP: Authorization required %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to Se0/0/1 CHAP: O CHALLENGE id 48 len 23 from "R2" Se0/0/1 CHAP: I CHALLENGE id 2 len 23 from "R3" Se0/0/1 CHAP: Using hostname from unknown source Se0/0/1 CHAP: Using password from AAA Se0/0/1 CHAP: O RESPONSE id 2 len 23 from "R2" Se0/0/1 CHAP: I RESPONSE id 48 len 23 from "R3" Se0/0/1 PPP: Sent CHAP LOGIN Request Se0/0/1 PPP: Received LOGIN Response PASS Se0/0/1 PPP: Sent LCP AUTHOR Request Se0/0/1 PPP: Sent IPCP AUTHOR Request Se0/0/1 LCP: Received AAA AUTHOR Response PASS Se0/0/1 IPCP: Received AAA AUTHOR Response PASS Se0/0/1 CHAP: O SUCCESS id 48 len 4 Se0/0/1 CHAP: I SUCCESS id 2 len 4 Se0/0/1 PPP: Sent CDPCP AUTHOR Request Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS Se0/0/1 PPP: Sent IPCP AUTHOR Request %LINEPROTO-5-UPDOWN: Line protocol on Interface

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 14 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Serial0/0/1, changed state to up R2(config-if)# *Aug 23 18:20:05.135: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R3#debug ppp authentication PPP authentication debugging is on R3# *Aug 23 18:19:04.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to down R3# *Aug 23 18:19:04.494: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached *Aug 23 18:19:05.494: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R3# *Aug 23 18:19:36.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to up *Aug 23 18:19:36.494: Se0/0/1 PPP: Using default call direction *Aug 23 18:19:36.494: Se0/0/1 PPP: Treating connection as a dedicated line *Aug 23 18:19:36.494: Se0/0/1 PPP: Session handle[3C000034] Session id[52] *Aug 23 18:19:36.494: Se0/0/1 PPP: Authorization required *Aug 23 18:19:36.498: Se0/0/1 CHAP: O CHALLENGE id 2 len 23 from "R3" *Aug 23 18:19:36.502: Se0/0/1 CHAP: I CHALLENGE id 48 len 23 from "R2" *Aug 23 18:19:36.502: Se0/0/1 CHAP: Using hostname from unknown source *Aug 23 18:19:36.506: Se0/0/1 CHAP: Using password from AAA *Aug 23 18:19:36.506: Se0/0/1 CHAP: O RESPONSE id 48 len 23 from "R3" *Aug 23 18:19:36.506: Se0/0/1 CHAP: I RESPONSE id 2 len 23 from "R2" R3# *Aug 23 18:19:36.506: Se0/0/1 PPP: Sent CHAP LOGIN Request *Aug 23 18:19:36.506: Se0/0/1 PPP: Received LOGIN Response PASS *Aug 23 18:19:36.510: Se0/0/1 PPP: Sent LCP AUTHOR Request *Aug 23 18:19:36.510: Se0/0/1 PPP: Sent IPCP AUTHOR Request *Aug 23 18:19:36.510: Se0/0/1 LCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:36.510: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:36.510: Se0/0/1 CHAP: O SUCCESS id 2 len 4 *Aug 23 18:19:36.510: Se0/0/1 CHAP: I SUCCESS id 48 len 4 *Aug 23 18:19:36.514: Se0/0/1 PPP: Sent CDPCP AUTHOR Request *Aug 23 18:19:36.514: Se0/0/1 PPP: Sent IPCP AUTHOR Request *Aug 23 18:19:36.514: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS R3# *Aug 23 18:19:37.510: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R3# *Aug 23 18:19:46.570: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 15 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Tche 9 : interruption dlibre et restauration de lauthentification PPP via le protocole CHAP


tape 1 : interruption de lauthentification PPP laide du protocole CHAP Sur la liaison srie reliant R2 et R3, activez le protocole dauthentification PAP pour linterface srie 0/0/1. R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int s0/0/1 R2(config-if)#ppp authentication pap R2(config-if)#^Z R2# *Aug 24 15:45:47.039: %SYS-5-CONFIG_I: Configured from console by console R2#copy run start Destination filename [startup-config]? Building configuration... [OK] R2#reload Lactivation du protocole dauthentification PAP sur linterface srie 0/0/1 provoque-t-elle une interruption de lauthentification entre R2 et R3 ? _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ tape 2 : restauration de lauthentification PPP avec le protocole CHAP sur la liaison srie Notez quil nest pas ncessaire de recharger le routeur pour que ces modifications soient prises en compte. R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int s0/0/1 R2(config-if)#ppp authentication chap R2(config-if)# *Aug 24 15:50:00.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 24 15:50:07.467: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-if)# tape 3 : interruption volontaire de lauthentification PPP avec le protocole CHAP par le changement du mot de passe de R3 R3#conf t Enter configuration commands, one per line. End with CNTL/Z. R3(config)#username R2 password cisco R3(config)#^Z R3# *Aug 24 15:54:17.215: %SYS-5-CONFIG_I: Configured from console by console
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 16 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

R3#copy run start Destination filename [startup-config]? Building configuration... [OK] R3#reload

Une fois le rechargement termin, quel est ltat du protocole de ligne sur linterface srie 0/0/1 ? _____________________________________________________________________ _____________________________________________________________________ tape 4 : restauration de lauthentification PPP avec le protocole CHAP par le changement du mot de passe de R3 R3#conf t Enter configuration commands, one per line. End with CNTL/Z. R3(config)#username R2 password cisco R3(config)# *Aug 24 16:11:10.679: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R3(config)# *Aug 24 16:11:19.739: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3(config)#

Tche 10 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations. R1#show run !<rsultat omis> ! hostname R1 ! ! enable secret class ! ! ! no ip domain lookup ! username R1 password 0 cisco ! ! ! interface FastEthernet0/1 ip address 192.168.10.1 255.255.255.0 no shutdown ! ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 encapsulation ppp clockrate 64000

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 17 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

ppp authentication pap ppp pap sent-username R2 password 0 cisco no shutdown ! ! ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 ! ! banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R2#show run !<rsultat omis> ! hostname R2 ! ! enable secret class ! ! no ip domain lookup ! username R3 password 0 cisco username R2 password 0 cisco ! ! ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 encapsulation ppp ppp authentication pap ppp pap sent-username R1 password 0 cisco no shutdown !

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 18 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 encapsulation ppp clockrate 64000 ppp authentication chap no shutdown ! ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 network 209.165.200.224 0.0.0.31 area 0 ! ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R3#show run !<rsultat omis> ! hostname R3 ! ! enable secret class ! ! ! no ip domain lookup ! username R2 password 0 cisco ! ! ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no shutdown ! ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 encapsulation ppp ppp authentication chap no shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 19 sur 20

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

! router ospf 1 network 10.2.2.0 0.0.0.3 area 0 network 192.168.30.0 0.0.0.255 area 0 ! ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end

Tche 11 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 20 sur 20

Travaux pratiques 2.5.2 : configuration avance du protocole PPP


Diagramme de topologie

Table dadressage Priphrique


R1

Interface
Fa0/1 S0/0/0 S0/0/1 Lo0

Adresse IP
10.0.0.1 172.16.0.1 172.16.0.9 209.165.200.161 172.16.0.2 172.16.0.5

Masque de sous-rseau
255.255.255.128 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.252 255.255.255.252

Passerelle par dfaut


N/D N/D N/D N/D N/D N/D

R2

S0/0/0 S0/0/1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 4

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

Fa0/1 R3 S0/0/0 S0/0/1 PC1 PC3 Carte rseau Carte rseau

10.0.0.129 172.16.0.10 172.16.0.6 10.0.0.10 10.0.0.139

255.255.255.128 255.255.255.252 255.255.255.252 255.255.255.128 255.255.255.128

N/D N/D N/D 10.0.0.1 10.0.0.129

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer le routage OSPF sur tous les routeurs Configurer lencapsulation PPP sur toutes les interfaces srie Faire passer lencapsulation des interfaces srie de PPP HDLC Interrompre volontairement une encapsulation PPP et la restaurer Configurer lauthentification PPP laide du protocole CHAP Interrompre volontairement et restaurer lauthentification PPP via le protocole CHAP.

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation PPP sur les liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous configurerez galement lauthentification PPP CHAP. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques Configuration PPP de base. Essayez cependant de travailler de faon autonome, sans y avoir recours.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom dhte du routeur. Dsactivez la recherche DNS. Configurez un mot de passe pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions de consoles. Configurez la connexion synchrone. Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 4

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

Tche 3 : configuration et activation dadresses srie et Ethernet


tape 1 : configuration des interfaces sur R1, R2 et R3 tape 2 : vrification de ladressage IP et des interfaces tape 3 : configuration des interfaces Ethernet de PC1 et PC3 tape 4 : test de la connectivit entre les ordinateurs

Tche 4 : configuration du protocole OSPF sur les routeurs


tape 1 : activation du routage OSPF sur les routeurs tape 2 : vrification de la connectivit sur lensemble du rseau

Tche 5 : configuration de lencapsulation PPP sur les interfaces srie


tape 1 : configuration du protocole PPP sur les interfaces srie des trois routeurs tape 2 : vrification que toutes les interfaces srie utilisent lencapsulation PPP

Tche 6 : interruption et restauration volontaire de lencapsulation PPP


tape 1 : choix dune mthode dinterruption de lencapsulation PPP sur le rseau tape 2 : restauration dune connectivit complte sur le rseau tape 3 : vrification de la connectivit complte sur le rseau

Tche 7 : configuration de lauthentification PPP via le processus CHAP


tape 1 : configuration de lauthentification PPP, via le processus CHAP, sur toutes les liaisons srie tape 2 : vrification de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie

Tche 8 : interruption dlibre et restauration de lauthentification PPP via le protocole CHAP


tape 1 : choix dune mthode dinterruption de lauthentification PPP, via le protocole CHAP, sur une ou plusieurs liaisons srie tape 2 : vrification de la rupture de lauthentification PPP avec le protocole CHAP tape 3 : restauration de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie tape 4 : vrification de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 4

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

Tche 9 : documentation des configurations des routeurs Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 4

Travaux pratiques 2.5.3 : dpannage de la configuration PPP


Diagramme de topologie

Table dadressage Priphrique Interface


Fa0/1 R1 S0/0/0 S0/0/1 Lo0 R2 S0/0/0 S0/0/1

Adresse IP
10.0.0.1 172.16.0.1 172.16.0.9 209.165.200.161 172.16.0.2 172.16.0.5

Masque de sous-rseau
255.255.255.128 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.252 255.255.255.252

Passerelle par dfaut


N/D N/D N/D N/D N/D N/D

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 6

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

Fa0/1 R3 S0/0/0 S0/0/1 PC1 PC3 Carte rseau Carte rseau

10.0.0.129 172.16.0.10 172.16.0.6 10.0.0.10 10.0.0.139

255.255.255.128 255.255.255.252 255.255.255.252 255.255.255.128 255.255.255.128

N/D N/D N/D 10.0.0.1 10.0.0.129

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Charger les routeurs avec les scripts fournis Dtecter et corriger des erreurs rseau Documenter le rseau corrig

Scnario
Les routeurs de votre socit ont t configurs par un ingnieur rseau peu expriment. La prsence de plusieurs erreurs dans la configuration a provoqu des problmes de connectivit. Votre responsable vous demande de dtecter les erreurs de configuration et de les corriger, puis de dcrire le travail ralis. En utilisant vos connaissances en matire de protocole PPP, ainsi que des mthodes de vrification standard, dtectez les erreurs et corrigez-les. Veillez ce que toutes les liaisons srie utilisent lauthentification PPP CHAP et vrifiez que tous les rseaux sont accessibles.

Tche 1 : chargement des routeurs avec les scripts fournis


R1 enable configure terminal ! hostname R1 ! ! enable secret class ! ! ! no ip domain lookup ! username R2 password 0 cisco ! ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.255.255.128 shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 6

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

duplex auto speed auto ! interface FastEthernet0/1 duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.0.1 255.255.255.248 no fair-queue clockrate 64000 ! interface Serial0/0/1 ip address 172.16.0.2 255.255.255.252 encapsulation ppp ppp authentication pap ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.127 area 0 network 172.16.0.8 0.0.0.3 area 0 ! ip classless ! ip http server ! ! control-plane ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R2 enable configure terminal ! hostname R2 ! ! enable secret class ! ! no ip domain lookup
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 6

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

! username R1 password 0 cisco username R3 password 0 class ! ! ! interface Loopback0 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 209.165.200.161 255.255.255.224 shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.0.2 255.255.255.252 encapsulation ppp no fair-queue ppp authentication chap ! interface Serial0/0/1 ip address 172.16.0.2 255.255.255.252 ! router ospf 1 log-adjacency-changes network 172.16.0.0 0.0.0.3 area 0 network 172.16.0.4 0.0.0.3 area 0 network 209.165.200.128 0.0.0.31 area 0 ! ip classless ! ip http server ! ! control-plane ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 6

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

R3 enable configure terminal ! hostname R3 ! ! enable secret class ! ! no ip domain lookup ! username R1 password 0 cisco username R3 password 0 cisco ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.0.129 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.0.10 255.255.255.252 no fair-queue clockrate 64000 ! interface Serial0/0/1 encapsulation ppp ppp authentication pap ! router ospf 1 log-adjacency-changes network 10.0.0.128 0.0.0.127 area 0 network 192.16.0.4 0.0.0.3 area 0 network 192.16.0.8 0.0.0.3 area 0 ! ip classless ! ip http server ! ! control-plane ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 6

CCNA Exploration Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end

Tche 2 : recherche et correction des erreurs sur le rseau Tche 3 : documentation du rseau corrig
Une fois que vous avez corrig toutes les erreurs et test la connectivit du rseau, documentez la configuration finale de chaque priphrique.

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 6

Travaux pratiques 3.5.1 : Frame Relay de base


Diagramme de topologie

Table dadressage Priphrique


R1

Interface
Fa0/0 S0/0/1 S0/0/1 Lo 0 VLAN1 Carte rseau

Adresse IP
192.168.10.1 10.1.1.1 10.1.1.2 209.165.200.225 192.168.10.2 192.168.10.10

Masque de sous-rseau
255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.0

Passerelle par dfaut


N/D N/D N/D N/D 192.168.10.1 192.168.10.1

R2 Comm1 PC1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer le routage EIGRP sur tous les routeurs Configurer lencapsulation Frame Relay sur toutes les interfaces srie Configurer un routeur en tant que commutateur Frame Relay Comprendre le rsultat des commandes show frame-relay Connatre les effets de la commande debug frame-relay lmi Interrompre volontairement une liaison Frame Relay et la restaurer Remplacer lencapsulation Frame Relay par dfaut Cisco par une encapsulation de type IETF Remplacer linterface de supervision locale (LMI) Frame Relay Cisco par une interface ANSI Configurer une sous-interface Frame Relay

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation Frame Relay sur les liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous apprendrez galement configurer un routeur en tant que commutateur Frame Relay. Des normes Cisco et des normes ouvertes sappliquent Frame Relay. Nous allons passer en revue ces deux types de norme. Portez une attention particulire la section des travaux pratiques dans laquelle vous interrompez volontairement les configurations du protocole Frame Relay. Cela vous aidera dans les travaux pratiques de dpannage associs ce chapitre.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des interfaces indiques dans la topologie. Les travaux pratiques relatifs au protocole Frame Relay comportent deux liens DCE sur le mme routeur, la diffrence des autres travaux pratiques dExploration 4. Assurez-vous que votre cblage soit conforme au diagramme de topologie. Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces saffichent diffremment. tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1 et R2, ainsi que le commutateur Comm1, conformment aux instructions suivantes : Configurez le nom dhte du routeur. Dsactivez la recherche DNS. Configurez un mot de passe pour le mode dexcution privilgi. Configurez une bannire de message du jour.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Configurez un mot de passe pour les connexions de consoles. Configurez un mot de passe pour les connexions de terminaux virtuels (vty). Configurez des adresses IP sur les routeurs R1 et R2. Important : laissez les interfaces sries dsactives. Activez le systme autonome (AS) 1 du protocole EIGRP sur les routeurs R1 et R2 pour tous les rseaux.

enable configure terminal no ip domain-lookup enable secret class banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! ! ! line console 0 logging synchronous password cisco login ! line vty 0 4 password cisco login end copy running-config startup-config

!R1 interface serial 0/0/1 ip address 10.1.1.1 255.255.255.252 shutdown !Les interfaces sries doivent rester dsactives jusqu ce que le !commutateur Frame Relay soit configur. interface fastethernet 0/0 ip address 192.168.10.1 255.255.255.0 no shutdown router eigrp 1 no auto-summary network 10.0.0.0 network 192.168.10.0 !

!R2 interface serial 0/0/1 ip address 10.1.1.2 255.255.255.252 shutdown !Les interfaces sries doivent rester dsactives jusqu ce que le !commutateur Frame Relay soit configur.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

interface loopback 0 ip address 209.165.200.225 255.255.255.224 router eigrp 1 no auto-summary network 10.0.0.0 network 209.165.200.0 !

Tche 3 : configuration du protocole Frame Relay


Vous allez prsent configurer une liaison de base Frame Relay point point entre les routeurs 1 et 2. Vous devez tout dabord configurer le commutateur FR en tant que commutateur Frame Relay, puis crer des identificateurs de connexion de liaisons de donnes (DLCI). Que signifie DLCI ? _________________________________________________________________________ Quelle est la fonction dun DLCI ? _____________________________________________________________________________ _____________________________________________________________________________ Quest-ce quun PVC et comment est-il utilis ? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ tape 1 : configuration dun commutateur FR en tant que commutateur Frame Relay et cration dun PVC entre les routeurs R1 et R2 Cette commande permet dactiver globalement la commutation Frame Relay sur le routeur, lui permettant de transfrer des trames sur la base du DLCI entrant plutt que sur une adresse IP : Commutateur-FR(config)#frame-relay switching Remplacez le type dencapsulation de linterface par le type Frame Relay. Tout comme HDLC ou PPP, le protocole Frame Relay est un protocole de couche liaison de donnes qui dfinit le tramage du trafic de la couche 2. Commutateur-FR(config)#interface serial 0/0/0 Commutateur-FR(config)#clock rate 64000 Commutateur-FR(config-if)#encapsulation frame-relay La modification du type dinterface en DCE indique au routeur denvoyer des messages de veille linterface de supervision locale et permet Frame Relay dacheminer des instructions appliquer. Il nest pas possible de configurer des PVC entre deux interfaces DTE Frame Relay laide de la commande frame-relay route. Commutateur-FR(config-if)#frame-relay intf-type dce

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Remarque : les types dinterface Frame Relay ne doivent pas forcment correspondre au type de linterface physique sous-jacente. Une interface srie ETTD physique peut faire office dinterface DCE Frame Relay et une interface DCE physique peut faire office dinterface ETTD Frame Relay. Configurez le routeur pour quil transfre le trafic entrant sur linterface srie 0/0/0 avec DLCI 102 vers linterface srie 0/0/1 avec un DLCI de sortie dfini sur 201. Commutateur-FR(config-if)#frame-relay route 102 interface serial 0/0/1 201 Commutateur-FR(config-if)#no shutdown La configuration suivante permet la cration de deux PVC : la premire, entre le routeur R1 et le routeur R2 (DLCI 102) et la seconde, entre le routeur R2 et le routeur R1 (DLCI 201). Vous pouvez vrifier la configuration laide de la commande show frame-relay pvc. Commutateur-FR(config-if)#interface serial 0/0/1 Commutateur-FR(config)#clock rate 64000 Commutateur-FR(config-if)#encapsulation frame-relay Commutateur-FR(config-if)#frame-relay intf-type dce Commutateur-FR(config-if)#frame-relay route 201 interface serial 0/0/0 102 Commutateur-FR(config-if)#no shutdown Commutateur-FR#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DCE) Local Switched Unused Active 0 0 0 Inactive 0 1 0 Deleted 0 0 0 Static 0 0 0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/0 input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:03:33, last time pvc status changed 00:00:19 PVC Statistics for interface Serial0/0/1 (Frame Relay DCE) Local Switched Unused Active 0 0 0 Inactive 0 1 0 Deleted 0 0 0 Static 0 0 0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:02:02, last time pvc status changed 00:00:18 Remarquez le 1 dans la colonne Inactive. Aucun point dextrmit na t configur pour le PVC cr. Le commutateur Frame Relay le dtecte et marque alors le PVC comme tant inactif. Excutez la commande show frame-relay route. Elle vous indique toutes les routes Frame Relay existantes, leurs interfaces, leurs DLCI et leurs tats. Il sagit de la route de couche 2, quemprunte le trafic du protocole Frame Relay via le rseau. Ne le confondez pas avec le routage IP de la couche 3. Commutateur-FR#show frame-relay route Input Intf Serial0/0/0 Serial0/0/1 Input Dlci 102 201 Output Intf Serial0/0/1 Serial0/0/0 Output Dlci 201 102 Status inactive inactive

tape 2 : configuration du routeur R1 pour Frame Relay Le protocole de rsolution dadresse inverse (ARP inverse) permet aux extrmits distantes dune liaison Frame Relay de se dcouvrir de manire dynamique et offre une mthode dynamique de mappage dadresses IP avec des DLCI. Malgr lutilit du protocole ARP inverse, il n'est pas toujours fiable. La meilleure pratique consiste mapper les adresses IP avec les DLCI, de manire statique, puis de dsactiver lARP inverse. R1(config)#interface serial 0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#no frame-relay inverse-arp quoi sert de mapper une adresse IP avec un DCLI ? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ La commande frame-relay map mappe de manire statique une adresse IP vers un DLCI. Outre le mappage de ladresse IP vers un DLCI, le logiciel Cisco IOS permet le mappage de plusieurs adresses de protocole de couche 3. Le mot cl broadcast de la commande ci-aprs envoie le trafic multidiffusion ou de diffusion destin cette liaison sur le DLCI. La plupart des protocoles de routage ncessitent le mot cl broadcast pour fonctionner correctement sur Frame Relay. Vous pouvez utiliser le mot cl broadcast pour plusieurs DLCI sur la mme interface. Le trafic est alors rpliqu sur lensemble des PVC.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast Le DLCI est-il mapp avec ladresse IP locale ou avec celle de lautre extrmit du PVC ? _____________________________________________________________________________

R1(config-if)#no shutdown Pourquoi la commande no shutdown doit-elle tre utilise aprs la commande no frame-relay inverse-arp ? _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________

tape 3 : configuration du routeur R2 pour Frame Relay R2(config)#interface serial 0/0/1 R2(config-if)#encapsulation frame-relay R2(config-if)#no frame-relay inverse-arp R2(config-if)#frame-relay map ip 10.1.1.1 201 broadcast R2(config-if)#no shutdown ce stade, vous recevez des messages indiquant lactivation des interfaces et ltablissement de la contigut du voisinage du protocole EIGRP. R1#*Sep 9 17:05:08.771: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency R2#*Sep 9 17:05:47.691: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1 (Serial0/0/1) is up: new adjacency La commande show ip route affiche des tables de routage compltes. R1 : R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

C D C

192.168.10.0/24 is directly connected, FastEthernet0/0 209.165.200.0/24 [90/20640000] via 10.1.1.2, 00:00:07, Serial0/0/1 10.0.0.0/30 is subnetted, 1 subnets 10.1.1.0 is directly connected, Serial0/0/1

R2 : R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

D C C

192.168.10.0/24 [90/20514560] via 10.1.1.1, 00:26:03, Serial0/0/1 209.165.200.0/27 is subnetted, 1 subnets 209.165.200.224 is directly connected, Loopback0 10.0.0.0/30 is subnetted, 1 subnets 10.1.1.0 is directly connected, Serial0/0/1

Tche 4 : vrification de la configuration


prsent, vous devez tre en mesure denvoyer une requte ping de R1 vers R2 Il est possible que les PVC ne soient activs que quelques secondes aprs le dmarrage des interfaces. Vous pouvez galement voir les routages EIGRP de chaque routeur. tape 1 : transmission dune requte ping R1 et R2 Vrifiez que vous pouvez envoyer une requte ping R2, partir de R1. R1#ping 10.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms R2#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms tape 2 : accs aux informations relatives aux PVC La commande show frame-relay pvc affiche les informations relatives lensemble des PVC configurs sur le routeur. Les rsultats incluent galement le DLCI associ.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

R1 : R1#show frame-relay pvc PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Local Switched Unused Active 1 0 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 5 output pkts 5 in bytes 520 out bytes 520 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 10:26:41, last time pvc status changed 00:01:04 R2 : R2#show frame-relay pvc PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Local Switched Unused Active 1 0 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 5 output pkts 5 in bytes 520 out bytes 520 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 10:25:31, last time pvc status changed 00:00:00 Commutateur-FR : Commutateur-FR#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DCE) Local Switched Unused Active 0 1 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 10:27:00, last time pvc status changed 00:04:03 tape 3 : vrification des mappages Frame Relay La commande show frame-relay map affiche les informations relatives aux mappages statique et dynamique des adresses de couche 3 avec les identificateurs DLCI. Le protocole ARP inverse tant dsactiv, seuls les mappages statiques sont utiliss. R1 : R1#show frame-relay map Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static, CISCO, status defined, active

R2 : R2#show frame-relay map Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static, CISCO, status defined, active Commutateur FR : Le commutateur FR fait office de priphrique de couche 2. Il nest donc pas ncessaire de mapper les adresses de couche 3 avec les DLCI de couche 2. tape 4 : dbogage de linterface LMI Frame Relay Quelle est la fonction de linterface LMI sur un rseau Frame Relay ? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ Quelles sont les trois types dinterface LMI ? _____________________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Avec quel identificateur DLCI linterface LMI fonctionne-t-elle ? _____________________________________________________________________________

Excutez la commande debug frame-relay lmi. Les rsultats affichent des informations dtailles sur toutes les donnes de linterface LMI. Les messages de veille sont envoys toutes les 10 secondes. Par consquent, vous allez probablement devoir attendre avant quun rsultat ne saffiche. Les rsultats du dbogage affichent deux paquets LMI : le premier sortant (envoy) et le deuxime entrant. R1#debug frame-relay lmi Frame Relay LMI debugging is on Displaying all Frame Relay LMI data R1# *Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up *Aug 24 06:19:15.920: datagramstart = 0xE73F24F4, datagramsize = 13 *Aug 24 06:19:15.920: FR encap = 0xFCF10309 *Aug 24 06:19:15.920: 00 75 01 01 00 03 02 C4 C3 *Aug 24 06:19:15.920: *Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21 *Aug 24 06:19:15.924: RT IE 1, length 1, type 0 *Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196 *Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0 R1#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off Notez que les rsultats affichent un paquet LMI sortant, comportant le numro de squence 196. Le dernier message LMI reu du commutateur Frame Relay portait le numro de squence 195.

*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up


Cette ligne indique un message LMI entrant, provenant du commutateur Frame Relay, et destination de R1, et portant le numro de squence 196.

*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21


Le commutateur Frame Relay la envoy sous le numro de squence 196 (myseq) et le dernier message LMI que celui-ci a reu de R1 portait le numro de squence 196 (yourseq).

*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196


DLCI 102 est le seul identificateur DLCI prsent sur la liaison. Actuellement, son tat est actif.

*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0 Tche 4 : dpannage du protocole Frame Relay
Divers outils de dpannage sont mis votre disposition pour rsoudre les problmes de connectivit lis au protocole Frame Relay. Pour vous familiariser avec le processus de dpannage, interrompez la connexion Frame Relay tablie plus tt, puis rtablissez-la.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

tape 1 : suppression du mappage de trame de R1 R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#no frame-relay map ip 10.1.1.2 102 broadcast Linstruction de mappage de trame tant maintenant supprime de R1, essayez denvoyer une requte ping au routeur R1 depuis R2. Aucune rponse ne vous parviendra. R2#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Par ailleurs, des messages de console doivent vous informer de l'tat activ, puis dsactiv de la contigit du EIGRP. R1(config-if)#*Sep 9 17:28:36.579: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is down: Interface Goodbye received R1(config-if)#*Sep 9 17:29:320.583: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency R1(config-if)#*Sep 9 17:32:37.095: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded R2#*Sep 9 17:29:15.359: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1 (Serial0/0/1) is down: holding time expired Excutez la commande debug ip icmp sur R1 : R1#debug ip icmp ICMP packet debugging is on Envoyez une nouvelle requte ping linterface srie de R1. Le message de dbogage suivant saffiche sur R1 : R2#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R1#*Sep 9 17:42:13.415: ICMP: echo R1#*Sep 9 17:42:15.411: ICMP: echo R1#*Sep 9 17:42:17.411: ICMP: echo R1#*Sep 9 17:42:19.411: ICMP: echo R1#*Sep 9 17:42:21.411: ICMP: echo reply reply reply reply reply sent, sent, sent, sent, sent, src src src src src 10.1.1.1, 10.1.1.1, 10.1.1.1, 10.1.1.1, 10.1.1.1, dst dst dst dst dst 10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.2

Le paquet ICMP, issu de R2, atteint R1, comme lillustre ce message de dbogage. Pourquoi la requte ping a-t-elle chou ? _____________________________________________________________________________ _____________________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Lexcution de la commande show frame-relay map renvoie une ligne vide. R1#show frame-relay map R1# Dsactivez tous les dbogages laide de la commande undebug all, puis rexcutez la commande frame-relay map ip, mais sans utiliser le mot cl broadcast. R1#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#frame-relay map ip 10.1.1.2 102 R2#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/41/44 ms Remarquez alors que les requtes ping aboutissent, la contigut EIGRP continue osciller (entre ltat dsactiv et activ). R1(config-if)#*Sep 9 17:47:58.375: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency R1(config-if)#*Sep 9 17:51:02.887: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded R1(config-if)#*Sep 9 17:51:33.175: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency R1(config-if)#*Sep 9 17:54:37.687: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded Pourquoi la contigut EIGRP continue-t-elle osciller ? _____________________________________________________________________________ _____________________________________________________________________________ Remplacez linstruction de mappage du protocole Frame Relay, puis intgrez le mot cl broadcast. Vrifiez que la table de routage est restaure et que vous disposez dune connectivit de bout en bout. R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco. Page 13 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

route C D C

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static o - ODR, P - periodic downloaded static route

Gateway of last resort is not set 192.168.10.0/24 is directly connected, FastEthernet0/0 209.165.200.0/27 is subnetted, 1 subnets 209.165.200.224 [90/20640000] via 10.1.1.2, 00:00:05, Serial0/0/1 10.0.0.0/30 is subnetted, 1 subnets 10.1.1.0 is directly connected, Serial0/0/1

tape 2 : modification du type dencapsulation Frame Relay Le logiciel Cisco IOS prend en charge deux types dencapsulation Frame Relay : lencapsulation Cisco par dfaut et IETF, base sur des normes. Remplacez lencapsulation Frame Relay de linterface serial0/0/1 sur R2 par IETF. R2(config-if)#encapsulation frame-relay ietf Notez que linterface ne se dsactive pas. Cela peut vous surprendre. Les routeurs Cisco peuvent interprter correctement des trames Frame Relay utilisant lencapsulation Frame Relay Cisco par dfaut ou lencapsulation Frame Relay de la norme IETF. Si votre rseau est entirement constitu de routeurs Cisco, il nexiste aucune diffrence, que vous utilisiez lencapsulation Frame Relay Cisco par dfaut ou celle de la norme IETF. Les routeurs Cisco prennent en charge ces deux types de trames entrantes. Toutefois, si vous disposez de routeurs de fournisseurs diffrents utilisant le protocole Frame Relay, vous devez utiliser la norme IETF. La commande encapsulation frame-relay ietf force le routeur Cisco encapsuler ses trames sortantes en utilisant la norme IETF. Cette norme peut tre comprise par le routeur dun autre fournisseur. R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation FRAME-RELAY IETF, loopback not set <rsultat omis> Commutateur-FR#show int s0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation FRAME-RELAY, loopback not set Remarquez que les deux commandes show interface affichent des rsultats diffrents. Remarquez galement que la contigut EIGRP est encore ltat activ. Bien que le commutateur FR et R2 utilisent des types dencapsulation diffrents, ils continuent acheminer le trafic. Remplacez le type dencapsulation par le type par dfaut : R2(config-if)#encapsulation frame-relay

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 14 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

tape 3 : changement du type de linterface LMI Sur R2, remplacez le type de linterface LMI par ANSI. R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface serial 0/0/1 R2(config-if)#encapsulation frame-relay R2(config-if)#frame-relay lmi-type ansi R2(config-if)#^Z R2#copy run start Destination filename [startup-config]? Building configuration... [OK] *Sep 9 18:41:08.351: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down *Sep 9 18:41:08.351: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1 (Serial0/0/1) is down: interface down R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is down R2#show frame-relay lmi LMI Statistics for interface Serial0/0/1 (Frame Relay DTE) LMI TYPE = ANSI Invalid Unnumbered info 0 Invalid Prot Disc 0 Invalid dummy Call Ref 0 Invalid Msg Type 0 Invalid Status Message 0 Invalid Lock Shift 0 Invalid Information ID 0 Invalid Report IE Len 0 Invalid Report Request 0 Invalid Keep IE Len 0 Num Status Enq. Sent 1391 Num Status msgs Rcvd 1382 Num Update Status Rcvd 0 Num Status Timeouts 10 Last Full Status Req 00:00:27 Last Full Status Rcvd 00:00:27 Si vous poursuivez lexcution de la commande show frame-relay lmi, vous remarquerez laugmentation du temps mis en vidence. Au bout de 60 secondes, linterface passe ltat activ/dsactiv car R2 et le commutateur FR nchangent plus de messages de veille ou toutes autres informations dtat de liens. Excutez la commande debug frame-relay lmi. Remarquez que les paquets LMI ne saffichent plus par paires. Lorsque tous les messages LMI sortants sont consigns, aucun message entrant ne saffiche. En effet, R2 attend linterface LMI ANSI et le commutateur FR envoie linterface LMI Cisco. R2#debug frame-relay lmi

*Aug 25 04:34:25.774: Serial0/0/1(out): StEnq, myseq 20, yourseen 0,


DTE down *Aug 25 04:34:25.774: datagramstart = 0xE73F2634, datagramsize = 14 *Aug 25 04:34:25.774: FR encap = 0x00010308 *Aug 25 04:34:25.774: 00 75 95 01 01 00 03 02 14 00 *Aug 25 04:34:25.774: Laissez le dbogage activ et restaurez le type LMI de Cisco sur R2. R2(config-if)#frame-relay lmi-type cisco *Aug 25 04:42:45.774: Serial0/0/1(out): StEnq, myseq 2, yourseen 1, DTE down *Aug 25 04:42:45.774: datagramstart = 0xE7000D54, datagramsize = 13

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 15 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

*Aug 25 04:42:45.774: FR encap = 0xFCF10309 *Aug 25 04:42:45.774: 00 75 01 01 01 03 02 02 01 *Aug 25 04:42:45.774: *Aug 25 04:42:45.778: Serial0/0/1(in): Status, myseq 2, pak size 21 *Aug 25 04:42:45.778: RT IE 1, length 1, type 0 *Aug 25 04:42:45.778: KA IE 3, length 2, yourseq 2 , myseq 2 *Aug 25 04:42:45.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0 *Aug 25 04:42:55.774: Serial0/0/1(out): StEnq, myseq 3, yourseen 2, DTE up *Aug 25 04:42:55.774: datagramstart = 0xE7001614, datagramsize = 13 *Aug 25 04:42:55.774: FR encap = 0xFCF10309 *Aug 25 04:42:55.774: 00 75 01 01 01 03 02 03 02 *Aug 25 04:42:55.774: *Aug 25 04:42:55.778: Serial0/0/1(in): Status, myseq 3, pak size 21 *Aug 25 04:42:55.778: RT IE 1, length 1, type 0 *Aug 25 04:42:55.778: KA IE 3, length 2, yourseq 1 , myseq 3 *Aug 25 04:42:55.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0 *Aug 25 04:42:56.774: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up Comme vous pouvez le constater, le numro de squence de linterface LMI a t redfini sur 1 et R2 commence comprendre les messages de linterface LMI provenant du commutateur FR. Une fois que le commutateur Frame relay et R2 ont russi changer des messages LMI, ltat de linterface devient activ.

Tche 5 : configuration dune sous-interface Frame Relay


Frame Relay prend en charge deux types de sous-interfaces : point point et point multipoint. Les sous-interfaces point multipoint prennent en charge les topologies daccs multiples non-broadcast. Par exemple, une topologie Hub and Spoke peut utiliser une sous-interface point multipoint. Au cours de ces travaux pratiques, vous apprendrez crer une sous-interface point point. tape 1 : cration dun circuit PVC entre R1 et R2 sur le commutateur Frame Relay Commutateur-FR(config)#interface serial 0/0/0 Commutateur-FR(config-if)#frame-relay route 112 interface serial 0/0/1 212 Commutateur-FR(config-if)#interface serial 0/0/1 Commutateur-FR(config-if)#frame-relay route 212 interface serial 0/0/0 112 tape 2 : cration et configuration dune sous-interface point point sur R1 Crez une sous-interface 112 en tant quinterface point point. Vous devez dfinir lencapsulation Frame Relay sur linterface physique avant de pouvoir crer des sous-interfaces. R1(config)#interface serial 0/0/1.112 point-to-point R1(config-subif)#ip address 10.1.1.5 255.255.255.252 R1(config-subif)#frame-relay interface-dlci 112 tape 3 : cration et configuration dune sous-interface point point sur R2 R2(config)#interface serial 0/0/1.212 point-to-point R2(config-subif)#ip address 10.1.1.6 255.255.255.252 R2(config-subif)#frame-relay interface-dlci 212

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 16 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

tape 4 : vrification de la connectivit Vous devez tre en mesure denvoyer une requte ping sur le nouveau circuit PVC. R1#ping 10.1.1.6 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.6, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms R2#ping 10.1.1.5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.5, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms Vous pouvez galement vrifier la configuration laide des commandes show frame-relay pvc et show frame-relay map de la tche 4. R1 : R1#show frame-relay pvc PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Local Switched Unused Active 2 0 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 319 output pkts 279 in bytes 20665 out bytes 16665 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 193 out bcast bytes 12352 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 04:43:35, last time pvc status changed 01:16:05 DLCI = 112, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1.112 input pkts 15 output pkts 211 in bytes 2600 out bytes 17624 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 200 out bcast bytes 16520 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:19:16, last time pvc status changed 00:18:56

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 17 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

R2 : R2#show frame-relay pvc PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Local Switched Unused Active 2 0 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 331 output pkts 374 in bytes 19928 out bytes 24098 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 331 out bcast bytes 21184 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 05:22:55, last time pvc status changed 01:16:36 DLCI = 212, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1.212 input pkts 217 output pkts 16 in bytes 18008 out bytes 2912 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 6 out bcast bytes 1872 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:19:37, last time pvc status changed 00:18:57 Commutateur-FR : Commutateur-FR#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DCE) Local Switched Unused Active 0 2 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 input pkts 335 output pkts 376 in bytes 20184 out bytes 24226 dropped pkts 2 in pkts dropped 2 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 18 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

30 second output rate 0 bits/sec, 0 packets/sec switched pkts 333 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 2 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 05:23:43, last time pvc status changed 01:18:32 DLCI = 112, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 input pkts 242 output pkts 18 in bytes 20104 out bytes 3536 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 242 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:21:41, last time pvc status changed 00:21:22 PVC Statistics for interface Serial0/0/1 (Frame Relay DCE) Local Switched Unused Active 0 2 0 Inactive 0 0 0 Deleted 0 0 0 Static 0 0 0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 376 output pkts 333 in bytes 24226 out bytes 20056 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 376 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 05:23:14, last time pvc status changed 01:39:39 DLCI = 212, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 18 out bytes 20168 output pkts 243 dropped pkts 0 in bytes 3536 in pkts dropped 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 19 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 18 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:21:36, last time pvc status changed 00:21:20 R1 : R1#show frame-relay map Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static, broadcast, CISCO, status defined, active Serial0/0/1.112 (up): point-to-point dlci, dlci 112(0x70,0x1C00), broadcast status defined, active R2 : R2#show frame-relay map Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static, broadcast, CISCO, status defined, active Serial0/0/1.212 (up): point-to-point dlci, dlci 212(0xD4,0x3440), broadcast status defined, active Commutateur-FR : Commutateur-FR#show frame-relay route Input Intf Serial0/0/0 Serial0/0/0 Serial0/0/1 Serial0/0/1 Input Dlci 102 112 201 212 Output Intf Serial0/0/1 Serial0/0/1 Serial0/0/0 Serial0/0/0 Output Dlci 201 212 102 112 Status active active active active

Effectuez prsent le dbogage de linterface LMI Frame Relay. R1#debug frame-relay lmi *Aug up *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug 25 05:58:50.902: Serial0/0/1(out): StEnq, myseq 136, yourseen 135, DTE 25 25 25 25 25 25 25 25 05:58:50.902: 05:58:50.902: 05:58:50.902: 05:58:50.902: 05:58:50.906: 05:58:50.906: 05:58:50.906: 05:58:50.906: datagramstart = 0xE7000354, datagramsize = 13 FR encap = 0xFCF10309 00 75 01 01 00 03 02 88 87 Serial0/0/1(in): Status, myseq 136, pak size 29 RT IE 1, length 1, type 0 KA IE 3, length 2, yourseq 136, myseq 136 PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 20 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

*Aug 25 05:58:50.906: PVC IE 0x7 , length 0x6 , dlci 112, status 0x2 , bw 0 Notez que deux DLCI figurent dans le message de linterface LMI provenant du commutateur Frame Relay vers R1. R2#debug frame-relay lmi *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug *Aug 25 25 25 25 25 25 25 25 25 25 06:08:35.774: 06:08:35.774: 06:08:35.774: 06:08:35.774: 06:08:35.774: 06:08:35.778: 06:08:35.778: 06:08:35.778: 06:08:35.778: 06:08:35.778: Serial0/0/1(out):StEnq, myseq 7,yourseen 4,DTE up datagramstart = 0xE73F28B4, datagramsize = 13 FR encap = 0xFCF10309 00 75 01 01 00 03 02 07 04 Serial0/0/1(in): Status, myseq 7, pak size 29 RT IE 1, length 1, type 0 KA IE 3, length 2, yourseq 5 , myseq 7 PVC IE 0x7,length 0x6, dlci 201, status 0x2, bw 0 PVC IE 0x7,length 0x6, dlci 212, status 0x2, bw 0

Configurations finales
R1#show run <rsultat omis> ! hostname R1 enable secret class no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 no shutdown ! interface Serial0/0/1 ip address 10.1.1.1 255.255.255.252 encapsulation frame-relay frame-relay map ip 10.1.1.2 102 broadcast no frame-relay inverse-arp no shutdown ! interface Serial0/0/1.112 point-to-point ip address 10.1.1.5 255.255.255.252 frame-relay interface-dlci 112 ! router eigrp 1 network 10.0.0.0 network 192.168.10.0 no auto-summary ! ! banner motd ^CUnauthorized access prohibited, violators will be prosecuted to the full extent of the law.^C ! line con 0 password cisco logging synchronous login line aux 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 21 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

line vty 0 4 login password cisco ! end R2#show run <rsultat omis> ! hostname R2 ! ! enable secret class ! ! no ip domain lookup ! ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! ! interface Serial0/0/1 ip address 10.1.1.2 255.255.255.252 encapsulation frame-relay clockrate 64000 frame-relay map ip 10.1.1.1 201 broadcast no frame-relay inverse-arp frame-relay lmi-type cisco no shutdown ! interface Serial0/0/1.212 point-to-point ip address 10.1.1.6 255.255.255.252 frame-relay interface-dlci 212 ! router eigrp 1 network 10.0.0.0 network 209.165.200.224 0.0.0.31 no auto-summary ! ! line con 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 22 sur 23

Exploration 4 Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Commutateur-FR#show run <rsultat omis> ! hostname Commutateur-FR ! enable secret class ! no ip domain lookup frame-relay switching ! ! ! ! interface Serial0/0/0 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 102 interface frame-relay route 112 interface no shutdown ! interface Serial0/0/1 no ip address encapsulation frame-relay frame-relay intf-type dce frame-relay route 201 interface frame-relay route 212 interface no shutdown ! ! line con 0 password cisco login line aux 0 line vty 0 4 password cisco login ! end

Serial0/0/1 201 Serial0/0/1 212

Serial0/0/0 102 Serial0/0/0 112

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 23 sur 23

Travaux pratiques 3.5.2 : exercice de configuration de frame relay


Diagramme de topologie

Table dadressage
Priphrique R1 R2 PC1 PC3 Interface Fa0/1 S0/0/0 Fa0/1 S0/0/1 Carte rseau Carte rseau Adresse IP 172.16.1.254 10.1.2.1 172.16.2.254 10.1.2.2 172.16.1.1 172.16.2.1 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D 172.16.1.254 172.16.2.254

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 4

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 : exercice de configuration de frame relay

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer le routage EIGRP sur tous les routeurs Configurer lencapsulation Frame Relay sur toutes les interfaces srie Configurer un circuit virtuel permanent (PVC) Frame Relay Interrompre volontairement un circuit virtuel permanent (PVC) Frame Relay et le restaurer Configurer des sous-interfaces Frame Relay Interrompre volontairement le circuit PVC et le restaurer

Scnario
Au cours de ces travaux pratiques, vous allez configurer le protocole Frame Relay via le rseau indiqu dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques Protocole Frame Relay de base. Essayez cependant de travailler en parfaite autonomie.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom dhte du routeur. Dsactivez la recherche DNS. Configurez un mot de passe pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions de consoles. Configurez la connexion synchrone. Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 4

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 : exercice de configuration de frame relay

Tche 3 : configuration dadresses IP


tape 1 : configuration dadresses IP sur toutes les liaisons en fonction de la table dadressage tape 2 : vrification de ladressage IP et des interfaces tape 3 : activation des interfaces Ethernet des routeurs R1 et R2, mais non des interfaces sries tape 4 : configuration des interfaces Ethernet de PC1 et PC3 tape 5 : vrification de la connectivit entre les PC et leurs routeurs locaux

Tche 4 : configuration du protocole EIGRP sur les routeurs R1 et R2


tape 1 : activation du protocole EIGRP sur les routeurs R1 et R2 de tous les sous-rseaux

Tche 5 : configuration du PVC Frame Relay entre R1 et R2


tape 1 : configuration des interfaces sur un commutateur FR pour crer le circuit PVC entre R1 et R2 Utilisez les identificateurs de connexion de liaisons de donnes (DLCI) figurant dans le diagramme de topologie. tape 2 : configuration des interfaces physiques sur R1 et R2 pour permettre une encapsulation Frame Relay Ne dcouvrez pas automatiquement les adresses IP lextrmit des liaisons. Une fois la configuration termine, activez la liaison. tape 3 : configuration des cartes Frame Relay sur R1 et R2 laide des identificateurs DLCI appropris, et activation de la diffusion sur les identificateurs DLCI tape 4 : vrification de la connectivit de bout en bout via le PC1 et le PC2

Tche 6 : interruption volontaire et restauration du PVC


tape 1 : interruption du PVC entre R1 et R2 selon les mthodes choisies tape 2 : restauration dune connectivit complte sur le rseau tape 3 : vrification de la connectivit complte sur le rseau

Tche 7 : configuration de sous-interfaces Frame Relay


tape 1 : suppression de ladresse IP et de la configuration de la carte Frame Relay depuis les interfaces physiques de R1 et R2 tape 2 : configuration des sous-interfaces point--point de Frame Relay sur R1 et R2, avec les mmes adresses IP et les identificateurs DLCI utiliss prcdemment sur les interfaces physiques tape 3 : vrification de la connectivit de bout en bout

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 4

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 : exercice de configuration de frame relay

Tche 8 : interruption volontaire et restauration du PVC


tape 1 : interruption du PVC laide dune mthode diffrente de celle utilise lors de la tche 6 tape 2 : restauration du PVC tape 3 : vrification de la connectivit de bout en bout

Tche 9 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 4

Travaux pratiques 3.5.3 : dpannage de Frame Relay Diagramme de topologie

Table dadressage
Priphrique Interface Lo0 S0/0/0 R2 Lo0 S0/0/1 Adresse IP 172.18.11.254 172.18.221.1 172.18.111.254 172.18.221.2 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 Passerelle par dfaut N/D N/D N/D N/D

R1

Objectif pdagogique
Mettre en pratique les comptences en matire de dpannage dun rseau Frame Relay

Scnario
Au cours de ces travaux pratiques, vous apprendrez dpanner un environnement Frame Relay mal configur. Chargez les configurations suivantes dans les routeurs ou faites-vous aider par votre formateur. Localisez et corrigez toutes les erreurs figurant dans les configurations et tablissez une connectivit de bout en bout. La configuration finale obtenue doit correspondre au diagramme de topologie, ainsi qu la table dadressage. Tous les mots de passe sont dfinis sur cisco, lexception du mot de passe enable secret, dfini sur class.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 5

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression des configurations existantes sur les routeurs tape 3 : importation des configurations Routeur 1 ! hostname R1 ! enable secret class ! no ip domain lookup ! ! ! ! interface Loopback0 ip address 172.18.11.254 255.255.255.0 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/1 no ip address shutdown no fair-queue clockrate 125000 ! interface Serial0/0/0 ip address 172.18.221.1 255.255.255.252 encapsulation frame-relay frame-relay map ip 172.18.221.2 678 broadcast no frame-relay inverse-arp no shutdown ! router eigrp 1 network 172.18.221.0 network 172.18.11.0 no auto-summary ! ! ! line con 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 5

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

password cisco logging synchronous line aux 0 line vty 0 4 password cisco login ! end Routeur 2 ! hostname R2 ! enable secret class ! no ip domain lookup ! interface Loopback0 ip address 172.18.111.254 255.255.255.0 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown no fair-queue ! interface Serial0/0/1 ip address 172.18.221.2 255.255.255.252 encapsulation frame-relay clockrate 125000 frame-relay map ip 172.18.221.1 181 no frame-relay inverse-arp frame-relay lmi-type ansi ! router eigrp 1 network 172.18.221.0 network 172.18.111.0 no auto-summary ! ! ! line con 0 password cisco logging synchronous line aux 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 5

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

line vty 0 4 login ! end Commutateur FR : ! hostname Commutateur FR ! ! enable secret class ! ! ! no ip domain lookup frame-relay switching ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address encapsulation frame-relay no fair-queue clockrate 125000 frame-relay intf-type dce frame-relay route 182 interface Serial0/0/1 181 no shutdown ! interface Serial0/0/1 no ip address clockrate 125000 encapsulation frame-relay frame-relay intf-type dce no shutdown ! ! ! ! line con 0 password cisco logging synchronous line aux 0 line vty 0 4
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 5

CCNA Exploration Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

password cisco login ! end

Tche 2 : dpannage et rparation de la connexion Frame Relay entre R1 et R2 Tche 3 : documentation des configurations des routeurs
Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 5

Travaux pratiques 4.6.1 : configuration de base de la scurit


Diagramme de topologie

Table dadressage
Priphrique R1 Interface Fa0/1 S0/0/0 Fa0/1 S0/0/0 S0/0/1 Lo0 Fa0/1 S0/0/1 VLAN10 VLAN20 Adresse IP 192.168.10.1 10.1.1.1 192.168.20.1 10.1.1.2 10.2.2.1 209.165.200.225 192.168.30.1 10.2.2.2 192.168.10.2 192.168.30.2 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D N/D N/D N/D

R2

R3 Comm1 Comm3

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

PC1 PC3 Serveur TFTP

Carte rseau Carte rseau Carte rseau

192.168.10.10 192.168.30.10 192.168.20.254

255.255.255.0 255.255.255.0 255.255.255.0

192.168.10.1 192.168.30.1 192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer la scurit de base des ports Dsactiver les services et interfaces Cisco inutiliss Protger les rseaux d'entreprise contre des principales attaques externes et internes Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de fichiers Cisco Configurer et utiliser Cisco SDM (Security Device Manager) et SDM Express pour dfinir la scurit de base dun routeur Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer les paramtres de scurit de base du rseau. Pour ce faire, vous utiliserez le rseau illustr sur le diagramme de topologie. Vous apprendrez galement configurer la scurit dun routeur de trois manires : en utilisant linterface de ligne de commande (ILC), la fonction de scurit automatique, ou Cisco SDM. Enfin, vous apprendrez grer le logiciel Cisco IOS.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des interfaces indiques dans la topologie. Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront diffremment. tape 2 : suppression des configurations existantes sur les routeurs

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Tche 2 : excution des configurations de routeur de base


tape 1 : configuration des routeurs Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom d'hte du routeur conformment au diagramme de topologie. Dsactivez la recherche DNS. Configurez une bannire de message du jour. Configurez les adresses IP sur R1, R2 et R3. Activez la version 2 du protocole RIP sur l'ensemble des routeurs de tous les rseaux. Crez une interface de bouclage sur R2 afin de simuler une connexion Internet. Configurez un serveur TFTP sur R2. Vous pouvez tlcharger le logiciel serveur TFTP partir de : http://tftpd32.jounin.net/

tape 2 : configuration des interfaces Ethernet Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques. tape 3 : test de la configuration dun PC par lenvoi dune commande ping la passerelle par dfaut, partir de chaque PC et du serveur TFTP

Tche 3 : scurisation du routeur par rapport aux accs non autoriss


tape 1 : configuration des mots de passe scuriss et authentification AAA Configurez des mots de passe scuriss sur R1 laide dune base de donnes locale. Dans ces travaux pratiques, le mot de passe utiliser est ciscoccna. R1(config)#enable secret ciscoccna Comment la configuration dun mot de passe enable secret contribue-t-elle protger un routeur dune attaque ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ La commande username permet de dfinir un nom d'utilisateur et un mot de passe, enregistrs localement sur le routeur. Par dfaut, le niveau de privilge de lutilisateur est dfini sur 0 (le niveau daccs le plus bas). Vous pouvez modifier le niveau daccs assign un utilisateur en ajoutant le mot cl privilege 0 15 avant le mot cl password. R1(config)#username ccna password ciscoccna La commande aaa permet dactiver le protocole AAA (Authentication, Authorization and Accounting : authentification, autorisation et comptabilisation) de manire globale sur le routeur. Cette commande est utilise lors de la connexion au routeur. R1(config)#aaa new-model

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Vous pouvez crer une liste dauthentification qui est consulte lorsquun utilisateur tente de se connecter au priphrique, une fois que vous laurez applique aux lignes vty et aux lignes de la console. Le mot cl local indique que la base de donnes de lutilisateur est enregistre localement sur le routeur. R1(config)#aaa authentication login LOCAL_AUTH local Les commandes suivantes indiquent au routeur que les utilisateurs qui tentent de se connecter doivent tre authentifis via la liste que vous venez de crer. R1(config)#line console 0 R1(config-lin)#login authentication LOCAL_AUTH R1(config-lin)#line vty 0 4 R1(config-lin)#login authentication LOCAL_AUTH Dans la section de configuration en cours suivante, quel lment vous semble non scuris ? R1#show run <rsultat omis> ! enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1 ! aaa new-model ! aaa authentication login LOCAL_AUTH local ! username ccna password 0 ciscoccna ! <rsultat omis> ! banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! line con 0 logging synchronous login authentication LOCAL_AUTH line aux 0 line vty 0 4 login authentication LOCAL_AUTH ! __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________

Pour appliquer un chiffrement simple sur les mots de passe, entrez la commande suivante en mode de configuration globale : R1(config)#service password-encryption Pour vrifier cela, excutez la commande show run.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R1#show run service password-encryption ! enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1 ! aaa new-model ! aaa authentication login LOCAL_AUTH local ! username ccna password 7 0822455D0A1606141C0A <rsultat omis> ! banner motd ^CCUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! line con 0 logging synchronous login authentication LOCAL_AUTH line aux 0 line vty 0 4 login authentication LOCAL_AUTH ! tape 2 : protection des lignes de console et des lignes VTY Vous pouvez faire en sorte que le routeur dconnecte une ligne qui a t inactive pendant une priode donne. Si un ingnieur rseau est connect un priphrique rseau, quil est appel et quil part subitement, cette commande permet de le dconnecter automatiquement au bout de la priode indique. Les commandes suivantes permettent la dconnexion dune ligne au bout de 5 minutes. R1(config)#line console 0 R1(config-lin)#exec-timeout 5 0 R1(config-lin)#line vty 0 4 R1(config-lin)#exec-timeout 5 0 La commande suivante permet dempcher les tentatives de connexion en force. Le routeur bloque les tentatives de connexion pendant 5 minutes si un utilisateur effectue 2 tentatives de connexion sans y parvenir au bout de 2 minutes. Pour rpondre aux objectifs de ces travaux pratiques, la dure dfinie est particulirement courte. Une action supplmentaire consiste consigner chaque tentative de ce type. R1(config)#login block-for 300 attempt 2 within 120 R1(config)#security authentication failure rate 5 log Pour vrifier cela, essayez de vous connecter R1, partir de R2, via le protocole Telnet laide dun nom dutilisateur et dun mot de passe incorrects. Sur R2 : R2#telnet 10.1.1.1 Trying 10.1.1.1 ... Open Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law User Access Verification Username: cisco Password:

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

% Authentication failed User Access Verification Username: cisco Password: % Authentication failed [Connection to 10.1.1.1 closed by foreign host] R2#telnet 10.1.1.1 Trying 10.1.1.1 ... % Connection refused by remote host Sur R1 : *Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 12:40:11 UTC Mon Sep 10 2007

Tche 4 : scurisation de laccs au rseau


tape 1 : prvention de la propagation dune mise jour de routage RIP Quelle machine peut recevoir des mises jour de routage RIP sur un segment de rseau au niveau duquel le protocole RIP est activ ? Sagit-il de la configuration la plus approprie ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ La commande passive-interface empche les routeurs denvoyer des mises jour de routage toutes les interfaces, except celles configures pour participer ces mises jour. Cette commande doit tre excute lors de la configuration du protocole RIP. La premire commande permet de dfinir toutes les interfaces en mode passif (linterface reoit uniquement les mises jour de routage RIP). La deuxime commande permet de rtablir le mode actif pour certaines interfaces (qui peuvent alors envoyer et recevoir des mises jour RIP). R1 R1(config)#router rip R1(config-router)#passive-interface default R1(config-router)#no passive-interface s0/0/0 R2 R2(config)#router rip R2(config-router)#passive-interface default R2(config-router)#no passive-interface s0/0/0 R2(config-router)#no passive-interface s0/0/1 R3 R3(config)#router rip R3(config-router)#passive-interface default R3(config-router)#no passive-interface s0/0/1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 2 : prvention de la rception non autorise des mises jour RIP Pour scuriser le protocole RIP, vous devez tout dabord bloquer les mises jour RIP inutiles. Vous devez ensuite protger les mises jour RIP au moyen dun mot de passe. Pour ce faire, vous devez dabord configurer la cl utiliser. R1(config)#key chain RIP_KEY R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco Ces informations doivent tre ajoutes tous les routeurs destins recevoir des mises jour RIP. R2(config)#key chain RIP_KEY R2(config-keychain)#key 1 R2(config-keychain-key)#key-string cisco R3(config)#key chain RIP_KEY R3(config-keychain)#key 1 R3(config-keychain-key)#key-string cisco Pour utiliser la cl, vous devez configurer chacune des interfaces participant aux mises jour RIP. Ces interfaces sont celles qui ont t prcdemment actives laide de la commande no passive-interface. R1 R1(config)#int s0/0/0 R1(config-if)#ip rip authentication mode md5 R1(config-if)#ip rip authentication key-chain RIP_KEY ce stade, R1 ne reoit plus les mises jour RIP issues de R2, tant donn que ce dernier nest pas encore configur pour utiliser une cl permettant les mises jour de routage. Vous pouvez observer cette situation sur R1, en excutant la commande show ip route et en vrifiant quaucune route provenant de R2 ne figure dans la table de routage. Effacez les routes IP laide de la commande clear ip route * ou attendez lexpiration de leur dlais dattente. R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, *-candidate default, U-per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C C 10.0.0.0/8 is variably subnetted, 1 subnets, 1 masks 10.1.1.0/24 is directly connected, Serial0/0/0 192.168.10.0 is directly connected, Serial0/0/0

Pour utiliser lauthentification de routage, vous devez configurer R2 et R3. Notez que chaque interface active doit tre configure. R2 R2(config)#int s0/0/0 R2(config-if)#ip rip authentication mode md5 R2(config-if)#ip rip authentication key-chain RIP_KEY R2(config)#int s0/0/1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R2(config-if)#ip rip authentication mode md5 R2(config-if)#ip rip authentication key-chain RIP_KEY R3 R3(config)#int s0/0/1 R3(config-if)#ip rip authentication mode md5 R3(config-if)#ip rip authentication key-chain RIP_KEY tape 3 : vrification du fonctionnement du routage RIP Une fois les trois routeurs configurs en vue dutiliser lauthentification de routage, les tables de routage doivent nouveau tre alimentes avec toutes les routes RIP. prsent, R1 doit disposer de toutes les routes via RIP. Vrifiez cela laide de la commande show ip route. R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, *-candidate default, U-per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set R C R R C 192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/0 192.168.10.0/24 is directly connected, FastEthernet0/1 192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0 10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks 10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/0 10.1.1.0/24 is directly connected, Serial0/0/0

Tche 5 : consignation des activits via le protocole SNMP (Simple Network Management Protocol)
tape 1 : configuration de la consignation via le protocole SNMP vers le serveur syslog Il peut tre utile deffectuer une consignation via SNMP dans le cadre de la surveillance de lactivit dun rseau. Les informations ainsi consignes peuvent tre envoyes vers un serveur syslog du rseau, o elles peuvent tre analyses et archives. Soyez prudent lorsque vous configurez une consignation (syslog) sur le routeur. Lors du choix de lhte de consignation, rappelez-vous que ce dernier doit tre connect un rseau fiable ou protg, ou bien une interface de routeur ddie ou isole. Au cours de ces travaux pratiques, vous apprendrez configurer lordinateur PC1 en tant que serveur syslog pour R1. Utilisez la commande logging pour slectionner ladresse IP du priphrique vers lequel les messages SNMP sont envoys. Dans lexemple suivant, ladresse IP de PC1 est utilise. R1(config)#logging 192.168.10.10 Remarque : si vous souhaitez consulter les messages syslog, le logiciel syslog doit tre install et excut sur PC1. Dans ltape suivante, vous allez dfinir le niveau de gravit des messages envoyer au serveur syslog.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 2 : configuration du niveau de gravit SNMP Le niveau des messages SNMP peut tre ajust afin de permettre ladministrateur de dterminer les types de messages envoys au priphrique syslog. Les routeurs prennent en charge diffrents niveaux de consignation. Il existe huit niveaux, allant de 0 (Urgence, le systme est instable) 7 (Dbogage, des messages contenant des informations sur le routeur sont envoys). Pour configurer les niveaux de gravit, utilisez le mot cl associ chaque niveau, comme indiqu dans le tableau ci-dessous. Niveau de gravit 0 1 2 3 4 5 6 7 Mot cl emergencies alerts critical errors warnings notifications informational debugging Description Systme inutilisable Action immdiate requise Conditions critiques Conditions derreur Conditions davertissement Condition normale mais sensible Messages informatifs Messages de dbogage

La commande logging trap permet de dfinir le niveau de gravit. Le niveau de gravit inclut le niveau spcifi et tout ce qui figure au-dessous (du niveau normal au niveau de gravit spcifi). Dfinissez R1 sur le niveau 4 pour capturer des messages avec des niveaux de gravit 4, 5, 6 et 7. R1(config)#logging trap warnings Quel est le danger de dfinir un niveau de gravit trop lev ou trop faible ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________

Remarque : si vous avez install le logiciel syslog sur PC1, lancez-le et consultez les messages gnrs.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Tche 6 : dsactivation des services rseau Cisco inutiliss


tape 1 : dsactivation des interfaces inutilises Pourquoi est-il ncessaire de dsactiver les interfaces inutilises sur les priphriques rseau ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ Dans le diagramme de topologie, vous pouvez voir que R1 ne doit utiliser que les interfaces S0/0/0 et Fa0/1. Toutes les autres interfaces sur R1 doivent tre dsactives sur le plan administratif, laide de la commande de configuration dinterface shutdown. R1(config)#interface fastethernet0/0 R1(config-if)#shutdown R1(config-if)# interface s0/0/1 R1(config-if)#shutdown *Sep 10 13:40:240.887: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down *Sep 10 13:40:250.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down Pour vrifier si toutes les interfaces inactives de R1 ont bien t dsactives, utilisez la commande show ip interface brief. Les interfaces dsactives manuellement sont rpertories comme tant dsactives sur le plan administratif. R1#sh ip interface brief Interface IP-Address FastEthernet0/0 unassigned FastEthernet0/1 192.168.10.1 Serial0/0/0 10.1.0.1 Serial0/0/1 unassigned OK? YES YES YES YES Method unset manual manual unset Status Protocol administratively down down up up up up administratively down down

tape 2 : dsactivation des services globaux inutiliss De nombreux services ne sont pas requis dans la plupart des rseaux modernes. Si les services inutiliss restent activs, les ports restent ouverts et peuvent alors tre utiliss pour compromettre un rseau. Dsactivez tous les services inutiliss sur R1. R1(config)#no R1(config)#no R1(config)#no R1(config)#no R1(config)#no R1(config)#no R1(config)#no R1(config)#no R1(config)#no R1(config)#no service pad service finger service udp-small-server service tcp-small-server ip bootp server ip http server ip finger ip source-route ip gratuitous-arps cdp run

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 3 : dsactivation des services dinterface inutiliss Les commandes ci-aprs sont saisies au niveau de linterface et doivent tre appliques chaque interface sur R1. R1(config-if)#no R1(config-if)#no R1(config-if)#no R1(config-if)#no R1(config-if)#no R1(config-if)#no ip redirects ip proxy-arp ip unreachables ip directed-broadcast ip mask-reply mop enabled

Quel type dattaque la dsactivation des commandes IP redirects, IP unreachables et IP directed broadcasts peut-elle empcher ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ tape 4 : utilisation de la fonction AutoSecure pour scuriser un routeur Cisco laide dune seule commande en mode CLI (Interface de ligne de commande), la fonction AutoSecure vous permet de dsactiver les services IP communs pouvant tre exploits par des attaques rseau et dactiver des fonctions et des services IP pouvant tre utiles dans la protection dun rseau lors dune attaque. La fonction AutoSecure simplifie la configuration de la scurit dun routeur et renforce la configuration de ce mme routeur. Elle vous permet dappliquer plus rapidement les mmes fonctions de scurit que celles que vous venez dappliquer (sauf pour la scurisation du protocole RIP) un routeur. Comme vous avez dj scuris R1, utilisez la commande auto secure sur R3. R3#auto secure --- AutoSecure Configuration --*** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure Is this router connected to internet? [no]: yes Enter the number of interfaces facing the internet [1]: 1 Interface FastEthernet0/0 FastEthernet0/1 Serial0/0/0 Serial0/0/1 IP-Address unassigned 192.168.30.1 unassigned 10.2.2.2 OK? YES YES YES YES Method unset manual manual manual Status down up down up Protocol down up down up

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Enter the interface name that is facing the internet: Serial0/0/1 Securing Management plane services... Disabling service finger Disabling service pad Disabling udp & tcp small servers Enabling service password encryption Enabling service tcp-keepalives-in Enabling service tcp-keepalives-out Disabling the cdp protocol Disabling the bootp server Disabling the http server Disabling the finger service Disabling source routing Disabling gratuitous arp Enable secret is either not configured or Is the same as enable password Enter the new enable password: ciscoccna Confirm the enable password: ciscoccna Enter the new enable password: ccnacisco Confirm the enable password: ccnacisco Configuration of local user database Enter the username: ccna Enter the password: ciscoccna Confirm the password: ciscoccna Configuring AAA local authentication Configuring Console, Aux and VTY lines for local authentication, exec-timeout, and transport Securing device against Login Attacks Configure the following parameters Blocking Period when Login Attack detected: 300 Maximum Login failures with the device: 5 Maximum time period for crossing the failed login attempts: 120 Configure SSH server? Yes Enter domain-name: cisco.com Configuring interface specific AutoSecure services Disabling the following ip services on all interfaces: no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply Disabling mop on Ethernet interfaces Securing Forwarding plane services... Enabling CEF (This might impact the memory requirements for your platform) Enabling unicast rpf on all interfaces connected to internet
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Configure CBAC firewall feature: no Tcp intercept feature is used prevent tcp syn attack On the servers in the network. Create autosec_tcp_intercept_list To form the list of servers to which the tcp traffic is to be observed Enable TCP intercept feature: yes This is the configuration generated: no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps no ip identd security passwords min-length 6 security authentication failure rate 10 log enable password 7 070C285F4D061A061913 username ccna password 7 045802150C2E4F4D0718 aaa new-model aaa authentication login local_auth local line con 0 login authentication local_auth exec-timeout 5 0 transport output telnet line aux 0 login authentication local_auth exec-timeout 10 0 transport output telnet line vty 0 4 login authentication local_auth transport input telnet line tty 1 login authentication local_auth exec-timeout 15 0 line tty 192 login authentication local_auth exec-timeout 15 0 login block-for 300 attempts 5 within 120 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone logging facility local2 logging trap debugging service sequence-numbers logging console critical logging buffered interface FastEthernet0/0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 13 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface FastEthernet0/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface Serial0/0/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/0/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/1/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/1/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply ip cef access-list 100 permit udp any any eq bootpc interface Serial0/0/1 ip verify unicast source reachable-via rx allow-default 100 ip tcp intercept list autosec_tcp_intercept_list ip tcp intercept drop-mode random ip tcp intercept watch-timeout 15 ip tcp intercept connection-timeout 3600 ip tcp intercept max-incomplete low 450 ip tcp intercept max-incomplete high 550 ! end Apply this configuration to running-config? [yes]:yes The name for the keys will be: R3.cisco.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 14 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R3# 000045: *Nov 16 15:39:10.991 UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device Comme vous pouvez le constater, la fonction AutoSecure permet une configuration plus rapide quune configuration ligne par ligne. Toutefois, la configuration manuelle prsente galement des avantages, que nous aborderons dans les travaux pratiques relatifs au dpannage. Lorsque vous utilisez la fonction AutoSecure, il se peut que vous dsactiviez un service dont vous avez besoin. Soyez toujours trs prudent et dterminez soigneusement les services dont vous avez besoin avant dutiliser AutoSecure.

Tche 7 : gestion de Cisco IOS et des fichiers de configuration


tape 1 : affichage des fichiers IOS Cisco IOS est le logiciel qui permet aux routeurs de fonctionner. Il se peut que votre routeur dispose de suffisamment de mmoire pour stocker plusieurs images Cisco IOS. Il est important de savoir quels fichiers sont stocks sur votre routeur. Excutez la commande show flash pour afficher le contenu de la mmoire flash de votre routeur. Attention : soyez trs prudent lorsque vous excutez des commandes impliquant la mmoire flash. Une erreur dans la saisie dune commande peut entraner la suppression de limage Cisco IOS. R2#show flash -#- --length-1 13937472 2 1821 3 4734464 4 833024 5 1052160 -----date/time-----May 05 2007 21:25:14 May 05 2007 21:40:28 May 05 2007 21:41:02 May 05 2007 21:41:24 May 05 2007 21:41:48 path +00:00 +00:00 +00:00 +00:00 +00:00

c1841-ipbase-mz.124-1c.bin sdmconfig-18xx.cfg sdm.tar es.tar common.tar

8679424 bytes available (23252992 bytes used) En parcourant cette liste, vous pouvez dj dterminer les lments suivants : Limage est destine un routeur 1841 (c1841-ipbase-mz.124-1c.bin). Le routeur utilise une image de base IP (c1841-ipbase-mz.124-1c.bin). La version du logiciel Cisco IOS est 12.4(1c) (c1841-ipbase-mz.124-1c.bin). SDM est install sur ce priphrique (sdmconfig-18xx.cfg, sdm.tar).

Vous pouvez utiliser la commande dir all pour afficher tous les fichiers sur le routeur. R2#dir all Directory of archive:/ No files in directory No space information available Directory of system:/ 3 1 2 dr-x -rwdr-x 0 979 0 <no date> <no date> <no date> memory running-config vfiles

No space information available Directory of nvram:/

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 15 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

189 190 191 1

-rw----rw-rw-

979 5 979 0

<no <no <no <no

date> date> date> date>

startup-config private-config underlying-config ifIndex-table

196600 bytes total (194540 bytes free) Directory of flash:/ 1 -rw- 13937472 2 -rw1821 3 -rw- 4734464 4 -rw833024 5 -rw- 1052160 6 -rw1038 7 -rw102400 8 -rw491213 9 rw398305 10 -rw- 1684577 k9.pkg May May May May May May May May May May 05 05 05 05 05 05 05 05 05 05 2007 2007 2007 2007 2007 2007 2007 2007 2007 2007 20:08:50 20:25:00 20:25:38 20:26:02 20:26:30 20:26:56 20:27:20 20:27:50 20:29:08 20:28:32 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 c1841-ipbase-mz.124-1c.bin sdmconfig-18xx.cfg sdm.tar es.tar common.tar home.shtml home.tar 128MB.sdf sslclient-win-1.1.0.154.pkg securedesktop-ios-3.1.1.27-

31932416 bytes total (8679424 bytes free) tape 2 : transfert des fichiers via le protocole TFTP Le protocole TFTP est utilis lors de larchivage et de la mise jour du logiciel Cisco IOS dun priphrique. Cependant, dans ces travaux pratiques, nous nutilisons pas des fichiers Cisco IOS rels car toute erreur commise lors de la saisie dune commande peut entraner la suppression de limage Cisco IOS du priphrique. la fin de cette section, vous trouverez un exemple de transfert TFTP de fichiers Cisco IOS. Pourquoi est-il important de disposer dune version actualise du logiciel Cisco IOS ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ Lors dun transfert de fichiers via TFTP, il est important de vrifier la communication entre le serveur TFTP et le routeur. Pour ce faire, excutez une requte ping entre ces deux priphriques. Pour commencer le transfert du logiciel Cisco IOS, crez un fichier nomm test sur le serveur TFTP, dans le dossier racine TFTP. Ce fichier peut tre vide, car cette tape sert uniquement illustrer les tapes effectues. Chaque programme TFTP stocke les fichiers dans un emplacement diffrent. Consultez le fichier daide du serveur TFTP pour dterminer le dossier racine. partir de R1, procdez lextraction du fichier et enregistrez-le dans la mmoire flash. R2#copy tftp flash Address or name of remote host []? 192.168.20.254 (adresse IP du serveur TFTP) Source filename []? Test (nom du fichier que vous avez cr et enregistr sur le serveur TFTP) Destination filename [test]? test-server (nom arbitrairement attribu au fichier lors de son enregistrement sur le routeur) Accessing tftp://192.168.20.254/test... Loading test from 192.168.20.254 (via FastEthernet0/1): ! [OK - 1192 bytes]

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 16 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

1192 bytes copied in 0.424 secs (2811 bytes/sec) Vrifiez lexistence du fichier dans la mmoire flash laide de la commande show flash. R2#show flash -#- --length-1 13937472 2 1821 3 4734464 4 833024 5 1052160 6 1038 7 102400 8 491213 9 1684577 10 398305 11 1192 -----date/time-----May 05 2007 21:13:20 May 05 2007 21:29:36 May 05 2007 21:30:14 May 05 2007 21:30:42 May 05 2007 21:31:10 May 05 2007 21:31:36 May 05 2007 21:32:02 May 05 2007 21:32:30 May 05 2007 21:33:16 May 05 2007 21:33:50 Sep 12 2007 07:38:18 path +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00

c1841-ipbase-mz.124-1c.bin sdmconfig-18xx.cfg sdm.tar es.tar common.tar home.shtml home.tar 128MB.sdf securedesktop-ios-3.1.1.27-k9.pkg sslclient-win-1.1.0.154.pkg test-server

8675328 bytes available (23257088 bytes used) Les routeurs peuvent galement agir comme des serveurs TFTP. Cela peut tre utile si un priphrique a besoin dune image et que lun de vos priphriques utilise dj cette image. Configurons R2 en tant que serveur TFTP de R1. Notez que les images Cisco IOS sont spcifiques aux plates-formes de routeur et aux besoins en matire de mmoire. Soyez prudent lorsque vous transfrez une image Cisco IOS dun routeur lautre. La syntaxe de commande est la suivante : tftp-server nvram: [nomfichier1 [alias nomfichier2] La commande ci-aprs permet de configurer R2 en tant que serveur TFTP. R2 envoie son fichier de configuration de dmarrage aux priphriques qui le demandent, via TFTP (nous utilisons la configuration de dmarrage pour une question de simplicit). Le mot-cl alias permet aux priphriques de demander le fichier en utilisant lalias test au lieu du nom de fichier complet. R2(config)#tftp-server nvram:startup-config alias test prsent, nous pouvons demander le fichier partir de R2 en utilisant R1. R1#copy tftp flash Address or name of remote host []? 10.1.1.2 Source filename []? test Destination filename []? test-router Accessing tftp://10.1.1.2/test... Loading test from 10.1.1.2 (via Serial0/0/0): ! [OK - 1192 bytes] 1192 bytes copied in 0.452 secs (2637 bytes/sec) Vrifiez une nouvelle fois que le fichier test a t correctement copi laide de la commande show flash. R1#show flash -#- --length-1 13937472 2 1821 3 4734464 4 833024 5 1052160 6 1038 -----date/time-----May 05 2007 21:13:20 May 05 2007 21:29:36 May 05 2007 21:30:14 May 05 2007 21:30:42 May 05 2007 21:31:10 May 05 2007 21:31:36 path +00:00 +00:00 +00:00 +00:00 +00:00 +00:00

c1841-ipbase-mz.124-1c.bin sdmconfig-18xx.cfg sdm.tar es.tar common.tar home.shtml

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 17 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

7 8 9 10 11 12

102400 491213 1684577 398305 1192 1192

May May May May Sep Sep

05 05 05 05 12 12

2007 2007 2007 2007 2007 2007

21:32:02 21:32:30 21:33:16 21:33:50 07:38:18 07:51:04

+00:00 +00:00 +00:00 +00:00 +00:00 +00:00

home.tar 128MB.sdf securedesktop-ios-3.1.1.27-k9.pkg sslclient-win-1.1.0.154.pkg test-server test-router

8671232 bytes available (23261184 bytes used) prsent, supprimez les fichiers inutiles de la mmoire flash de R1, pour viter dutiliser trop despace mmoire. Soyez particulirement prudent lorsque vous effectuez cette opration ! La suppression accidentelle de la mmoire flash vous obligerait rinstaller lensemble de limage IOS du routeur. Si le routeur vous invite supprimer la mmoire flash, via erase flash, cela indique quil se passe quelque chose danormal. Il est extrmement rare de devoir supprimer l'ensemble de la mmoire flash. Le seul cas lgitime o cela peut se produire est lors de la mise niveau du systme IOS vers une grande image IOS. Si linvite erase flash saffiche comme dans lexemple, ARRTEZ IMMDIATEMENT. Ne validez PAS. Demandez IMMDIATEMENT laide de votre formateur. Erase flash: ?[confirm] no R1#delete flash:test-server Delete filename [test-server]? Delete flash:test? [confirm] R1#delete flash:test-router Delete filename [test-router]? Delete flash:test-router? [confirm] Vrifiez que les fichiers ont t supprims laide de la commande show flash. Ceci est seulement un exemple. Neffectuez pas cette tche. R1#show flash -#- --length-1 13937472 2 1821 3 4734464 4 833024 5 1052160 6 1038 7 102400 8 491213 9 1684577 10 398305 -----date/time-----May 05 2007 21:13:20 May 05 2007 21:29:36 May 05 2007 21:30:14 May 05 2007 21:30:42 May 05 2007 21:31:10 May 05 2007 21:31:36 May 05 2007 21:32:02 May 05 2007 21:32:30 May 05 2007 21:33:16 May 05 2007 21:33:50 path +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00

c1841-ipbase-mz.124-1c.bin sdmconfig-18xx.cfg sdm.tar es.tar common.tar home.shtml home.tar 128MB.sdf securedesktop-ios-3.1.1.27-k9.pkg sslclient-win-1.1.0.154.pkg

8679424 bytes available (23252992 bytes used) Voici un exemple de transfert TFTP dun fichier dimage Cisco IOS. Neffectuez PAS cet exemple sur vos routeurs. Lisez-le simplement. R1#copy tftp flash Address or name of remote host []? 10.1.1.2 Source filename []? c1841-ipbase-mz.124-1c.bin Destination filename []? flash:c1841-ipbase-mz.124-1c.bin Accessing tftp://10.1.1.2/c1841-ipbase-mz.124-1c.bin...

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 18 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Loading c1841-ipbase-mz.124-1c.bin from 10.1.1.2 (via Serial0/0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <rsultat omis> !!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 13937472 bytes] 13937472 bytes copied in 1113.948 secs (12512 bytes/sec) tape 3 : restauration dun mot de passe laide de ROMmon Si, pour une raison quelconque, vous ne parvenez plus accder un priphrique car vous ignorez, avez perdu ou oubli le mot de passe, vous pouvez encore y accder en modifiant le registre de configuration. Le registre de configuration indique au routeur la configuration charger lors du dmarrage. Dans le registre de configuration, vous pouvez demander au routeur de dmarrer partir dune configuration vierge, non protge par un mot de passe. Pour modifier le registre de configuration, la premire tape consiste afficher le paramtre actuel, laide de la commande show version. Ces oprations sont excutes sur le routeur R3. R3#show version Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Tue 25-Oct-05 17:10 by evmiller ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) R3 uptime is 25 minutes System returned to ROM by reload at 08:56:50 UTC Wed Sep 12 2007 System image file is "flash:c1841-ipbase-mz.124-1c.bin" Cisco 1841 (revision 7.0) with 114688K/16384K bytes of memory. Processor board ID FTX1118X0BN 2 FastEthernet interfaces 2 Low-speed serial(sync/async) interfaces DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 La seconde tape consiste recharger le routeur et appuyer sur la touche Pause, lors du dmarrage. Lemplacement de la touche Pause est diffrente dun ordinateur lautre. En gnral, elle se trouve dans le coin suprieur droit du clavier. Une pause permet au priphrique de basculer en mode appel ROMmon. Dans ce mode, il nest pas ncessaire que le priphrique ait accs un fichier dimage Cisco IOS. R3#reload Proceed with reload? [confirm] *Sep 12 08:27:280.670: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command. System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 19 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

GIO ASIC version 0x127 c1841 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Readonly ROMMON initialized rommon 1 >

Modifiez la valeur du registre de configuration par une valeur permettant de charger la configuration initiale du routeur. Cette configuration ne dispose pas de mot de passe configur, mais elle prend en charge les commandes Cisco IOS. Dfinissez la valeur du registre de configuration sur 0x2142. rommon 1 > confreg 0x2142 La valeur du registre tant modifie, vous pouvez dmarrer le priphrique laide de la commande reset. rommon 2 > reset program load complete, entry point: 0x8000f000, size: 0xcb80 program load complete, entry point: 0x8000f000, size: 0xcb80 program load complete, entry point: 0x8000f000, size: 0xd4a9a0 Self decompressing the image : ########################################################### ############################################################################# # [OK] <rsultat omis> --- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! tape 4 : restauration du routeur prsent, copiez la configuration de dmarrage vers la configuration en cours, restaurez cette configuration, puis rtablissez le registre de configuration sa valeur par dfaut (0x2102). Pour copier la configuration de dmarrage de la mmoire NVRAM vers la mmoire en cours, entrez la commande copy startup-config running-config. Attention : ne saisissez pas la commande copy running-config startup-config, car vous risquez de supprimer la configuration de dmarrage. Router#copy startup-config running-config Destination filename [running-config]? {enter} 2261 bytes copied in 0.576 secs (3925 bytes/sec) R3#:show running-config <rsultat omis> enable secret 5 $1$31P/$cyPgoxc0R9y93Ps/N3/kg. ! <rsultat omis> !

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 20 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

key chain RIP_KEY key 1 key-string 7 01100F175804 username ccna password 7 094F471A1A0A1411050D ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown duplex auto speed auto ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY ! <rsultat omis> ! line con 0 exec-timeout 5 0 logging synchronous login authentication transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end Dans cette configuration, la commande shutdown saffiche sur toutes les interfaces, car ces interfaces sont toutes fermes. Le plus important est que vous puissiez voir les mots de passe (enable, enable secret, VTY, console) au format chiffr ou non. Vous pouvez rutiliser les mots de passe non chiffrs. Vous devez remplacer les mots de passe chiffrs par un nouveau mot de passe. R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#enable secret ciscoccna R3(config)#username ccna password ciscoccna Excutez la commande no shutdown sur chaque interface que vous souhaitez utiliser.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 21 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R3(config)#interface FastEthernet0/1 R3(config-if)#no shutdown R3(config)#interface Serial0/0/0 R3(config-if)#no shutdown Vous pouvez excuter une commande show ip interface brief afin de confirmer que la configuration de votre interface est correcte. Chacune des interfaces que vous souhaitez utiliser doit afficher up . R3#show ip interface brief Interface IP-Address FastEthernet0/0 unassigned FastEthernet0/1 192.168.30.1 Serial0/0/0 10.2.2.2 Serial0/0/1 unassigned OK? YES YES YES YES Method NVRAM NVRAM NVRAM NVRAM Status Protocol administratively down down up up up up administratively down down

Entrez la commande config-register valeur du registre de configuration. La variable valeur du registre de configuration peut tre la valeur que vous avez note ltape 3 ou 0x2102. Enregistrez la configuration en cours. R3(config)#config-register 0x2102 R3(config)#end R3#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Quels sont les inconvnients dune rcupration de mot de passe ? __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________

Tche 8 : utilisation de SDM pour la scurisation dun routeur


Au cours de cette tche, vous allez utiliser SDM (Security Device Manager) et linterface utilisateur graphique pour scuriser le routeur R2. Lutilisation de SDM est plus rapide que la saisie de chaque commande et vous permet davantage de contrle que la fonction AutoSecure. Vrifiez si SDM est install sur le routeur : R2#show flash -#- --length-1 13937472 2 1821 3 4734464 4 833024 5 1052160 6 1038 7 102400 8 491213 9 1684577 10 398305 11 2261 12 2506 -----date/time-----Sep 12 2007 08:31:42 May 05 2007 21:29:36 May 05 2007 21:30:14 May 05 2007 21:30:42 May 05 2007 21:31:10 May 05 2007 21:31:36 May 05 2007 21:32:02 May 05 2007 21:32:30 May 05 2007 21:33:16 May 05 2007 21:33:50 Sep 25 2007 23:20:16 Sep 26 2007 17:11:58 path +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00

c1841-ipbase-mz.124-1c.bin sdmconfig-18xx.cfg sdm.tar es.tar common.tar home.shtml home.tar 128MB.sdf securedesktop-ios-3.1.1.27-k9.pkg sslclient-win-1.1.0.154.pkg Tr(RIP) save.txt

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 22 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Si SDM Nest PAS install sur le routeur, vous devez linstaller pour continuer la procdure. Pour ce faire, demandez les instructions votre formateur. tape 1 : connexion R2 via le serveur TFTP Crez un nom dutilisateur et un mot de passe sur R2. R2(config)#username ccna password ciscoccna Activez le serveur scuris http sur R2, puis connectez-vous R2 laide dun navigateur Web sur le serveur TFTP. R2(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R2(config)# *Nov 16 16:01:07.763: %SSH-5-ENABLED: SSH 1.99 has been enabled *Nov 16 16:01:08.731: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate R2(config)#end R2#copy run start partir du serveur TFTP, ouvrez un navigateur Web et accdez https://192.168.20.1/. Connectez-vous avec le nom dutilisateur et le mot de passe crs prcdemment : Nom dutilisateur : ccna Mot de passe : ciscoccna Slectionnez lapplication Cisco Router and Security Device Manager. Ouvrez Internet Explorer et entrez ladresse IP de R2 dans la barre dadresse. Une nouvelle fentre souvre. Assurez-vous que tous les bloqueurs de fentre publicitaire intempestive sont dsactivs sur votre navigateur. Assurez-vous galement que JAVA est bien install et mis jour.

Une fois le chargement effectu, une nouvelle fentre SDM souvre.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 23 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 2 : accs la fonction daudit de scurit Cliquez sur le bouton Configure dans la partie suprieure gauche de la fentre.

Cliquez ensuite sur Security Audit, dans le panneau de gauche.

Une autre fentre souvre.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 24 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 3 : excution dun audit de scurit

Une brve prsentation de la fonction daudit de scurit saffiche. Cliquez sur Next pour ouvrir la fentre de configuration de linterface de la fonction daudit de scurit, Security Audit Interface configuration.

Une interface doit tre dfinie sur Outside (Untrusted) (non fiable) si vous ne pouvez garantir la lgitimit du trafic issu de cette interface. Dans cet exemple, les interfaces FastEthernet0/1 et Serial0/1/0 ne sont pas fiables. Dune part, Serial0/1/0 est directement connect Internet. Dautre part, Fastethernet0/1 est connect la partie accs au rseau. Un trafic illgitime peut donc sinfiltrer. Aprs avoir dfini les interfaces sur Outside (extrieure) et Inside (intrieure), cliquez sur Next. Une nouvelle fentre souvre, indiquant que SDM est en train deffectuer un audit de scurit.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 25 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Comme vous pouvez le constater, la configuration par dfaut nest pas scurise. Cliquez sur le bouton Close pour continuer. tape 4 : application des paramtres au routeur

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 26 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez sur le bouton Fix All pour appliquer toutes les corrections de scurit proposes. Ensuite, cliquez sur le bouton Next.

Configurez un message de bannire utiliser comme message du jour pour le routeur, puis cliquez sur Next.

Dterminez ensuite le niveau de gravit des journaux de droutement que le routeur devra envoyer au serveur syslog. Dans ce scnario, le niveau de gravit est dfini sur le dbogage. Cliquez sur Next pour afficher un rcapitulatif des modifications sur le point dtre apportes au routeur.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 27 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 5 : validation de la configuration du routeur

Aprs avoir vrifi les modifications sur le point dtre effectues, cliquez sur Finish.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 28 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez sur OK pour quitter SDM.

Tche 9 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 29 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Annexe : installation de SDM


Diagramme de topologie

Scnario
Au cours de ces travaux pratiques, vous allez prparer laccs au routeur via Cisco Security Device Manager (SDM), laide de commandes de base, afin dtablir une connectivit entre SDM et le routeur. Vous installerez ensuite lapplication SDM en local sur votre PC hte. Enfin, vous installerez SDM dans la mmoire flash dun routeur.

tape 1 : prparation
Pour commencer ces travaux pratiques, supprimez toutes les configurations existantes et rechargez les priphriques. Une fois les priphriques rechargs, dfinissez les noms d'hte appropris. Vrifiez si le commutateur est correctement configur, de sorte que le routeur et lhte soient situs sur le mme rseau local virtuel. Par dfaut, tous les ports du commutateur sont assigns au rseau local virtuel VLAN 1. Assurez-vous que votre PC dispose de la configuration minimale requise pour la prise en charge de SDM. SDM peut tre install sur un PC excutant lun des systmes dexploitation suivants : Microsoft Windows ME Microsoft Windows NT 4.0 Workstation avec Service Pack 4 Microsoft Windows XP Professionnel Microsoft Windows 2003 Server (Standard Edition) Microsoft Windows 2000 Professionnel avec Service Pack 4

Remarque : Windows 2000 Advanced Server nest pas pris en charge. En outre, un navigateur Web utilisant SUN JRE version 1.4 ou ultrieure, ou un navigateur ActiveX, doit tre activ.

tape 2 : prparation du routeur pour SDM


Pour commencer, crez, sur le routeur, un nom dutilisateur et un mot de passe que vous utiliserez pour SDM. Cette connexion doit bnficier dun niveau de privilge dfini sur 15, afin de permettre SDM de modifier des paramtres de configuration sur le routeur. R1(config)# username ciscosdm privilege 15 password 0 ciscosdm Laccs HTTP au routeur doit tre configur pour permettre lexcution de SDM. Si votre image le prend en charge (vous devez disposer dune image IOS qui prend en charge la fonction de chiffrement), vous devez galement activer un accs HTTPS scuris, laide de la commande ip http secure-server. Lactivation du protocole HTTPS se rpercute sur les cls de chiffrement
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 30 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

RSA. Cela est normal. Assurez-vous galement que le serveur HTTP utilise la base donnes locale lors du processus dauthentification. R1(config)# ip http server R1(config)# ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled *Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate R1(config)# ip http authentication local Pour terminer, configurez les lignes de terminal virtuel du routeur afin de procder lauthentification par lintermdiaire de la base de donnes dauthentification locale. Autorisez lentre de lignes de terminal virtuel via les protocoles Telnet et SSH. R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input telnet ssh

tape 3 : configuration de ladressage


Configurez linterface Fast Ethernet sur le routeur, avec ladresse IP indique sur le diagramme. Si vous avez dj configur ladresse IP adquate, ignorez cette tape. R1(config)# interface fastethernet0/0 R1(config-if)# ip address 192.168.10.1 255.255.255.0 R1(config-if)# no shutdown Attribuez ensuite une adresse IP au PC. Si le PC dispose dj dune adresse IP dans le mme sous-rseau que le routeur, vous pouvez ignorer cette tape. Excutez une requte ping sur linterface Ethernet de R1 depuis le PC. Vous devez recevoir des rponses. Dans le cas contraire, vrifiez le rseau local virtuel des ports de commutation, ainsi que ladresse IP et le masque de sous-rseau de chaque priphrique connect au commutateur.

tape 4 : extraction de SDM sur lhte


prsent, le routeur est configur pour tre accessible partir de SDM et la connectivit est tablie entre le routeur et le PC. Vous pouvez ds lors configurer le routeur laide de SDM. Vous devez commencer par lextraction du fichier zip de SDM vers un rpertoire de votre disque dur. Dans cet exemple, nous utilisons le rpertoire C:\sdm\ . Vous pouvez bien entendu utiliser le chemin de votre choix. Le logiciel SDM est quasiment prt pour la configuration du routeur. La dernire tape consiste linstaller sur le PC.

tape 5 : installation de lapplication SDM sur le PC


Double-cliquez sur le programme excutable setup.exe pour ouvrir lassistant dinstallation. Une fois lassistant affich, cliquez sur Next. Acceptez les termes du contrat de licence, puis cliquez sur Next.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 31 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Sur lcran suivant, choisissez un emplacement dinstallation de SDM parmi les trois emplacements proposs.

Vous pouvez installer lapplication SDM sur lordinateur, sans la placer dans la mmoire flash du routeur, vous pouvez l'installer sur le routeur sans affecter lordinateur ou vous pouvez linstaller la fois sur le routeur et sur l'ordinateur. Ces diffrents types dinstallation sont trs similaires. Si vous ne souhaitez pas installer SDM sur votre ordinateur, passez directement ltape 7. Sinon, cliquez sur This Computer, puis sur Next. Utilisez le rpertoire de destination par dfaut, puis cliquez nouveau sur Next. Cliquez sur Install pour dmarrer linstallation. Le logiciel procde linstallation, puis une dernire bote de dialogue vous invite lancer SDM. Activez la case cocher Launch Cisco SDM, puis cliquez sur Finish.

tape 6 : excution de SDM depuis l'ordinateur


Si vous avez activ loption Launch Cisco SDM lors de ltape 5, lapplication SDM doit se lancer depuis le programme dinstallation. Dans le cas contraire, ou si vous excutez SDM sans lavoir install, cliquez sur licne Cisco SDM sur le bureau. La bote de dialogue de dmarrage de lapplication SDM saffiche. Renseignez ladresse IP du routeur, indique dans le diagramme, en tant quadresse IP du priphrique. Si vous avez activ le serveur scuris HTTP lors de ltape 2, activez la case cocher This device has HTTPS enabled and I want to use it.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 32 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez sur Yes lorsque le message davertissement de scurit saffiche. Sachez quau dbut, Internet Explorer peut bloquer lapplication SDM. Vous devez alors lautoriser ou modifier les paramtres de scurit dInternet Explorer pour pouvoir lutiliser. Selon la version dInternet Explorer que vous utilisez, lun de ces paramtres est tout particulirement important pour excuter SDM en local. Ce paramtre se trouve dans le menu Outils, sous Options Internet. Cliquez sur longlet Avanc, puis sous len-tte Scurit, activez la case cocher Autoriser le contenu actif sexcuter dans les fichiers de la zone Ordinateur local. Entrez le nom dutilisateur et le mot de passe que vous avez crs auparavant.

Vous pouvez tre amen accepter un certificat provenant de ce routeur. Pour continuer, acceptez le certificat. Entrez ensuite le nom dutilisateur et le mot de passe du routeur, puis cliquez sur Yes.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 33 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

SDM procde la lecture de la configuration partir du routeur. Si la configuration ne prsente aucune erreur, vous pourrez accder au tableau de bord de lapplication de SDM. Si la configuration affiche vous semble correcte, cela signifie que vous avez russi configurer SDM et vous y connecter. Les informations affiches peuvent varier en fonction de la version de SDM utilise.

tape 7 : installation de SDM sur le routeur


Effectuez les instructions de ltape 6 jusqu ce que linvite prsente dans la figure suivante saffiche. Lorsque cette fentre saffiche, cliquez sur Cisco Router pour installer SDM dans la mmoire flash du routeur. Si vous ne souhaitez pas installer SDM dans la mmoire flash du routeur, ou si lespace disponible en mmoire flash est insuffisant, nessayez pas dinstaller SDM sur le routeur. Entrez les informations relatives au routeur afin de permettre au programme dinstallation dinstaller SDM sur le routeur et dy accder distance.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 34 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cisco SDM se connecte au routeur. Certains messages consigns dans la console peuvent safficher. Cela est normal. Jan 14 16:15:26.367: %SYS-5-CONFIG_I: Configured from console by ciscosdm on vty0 (192.168.10.50) Choisissez Typical comme type dinstallation, puis cliquez sur Next. Conservez les options dinstallation par dfaut, puis cliquez sur Next.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 35 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez enfin sur Install pour lancer le processus dinstallation. Au cours de linstallation, dautres messages peuvent tre consigns dans la console. Le processus dinstallation peut prendre un certain temps (observez les horodatages affichs sur la sortie de la console pour estimer la dure du processus sur un Cisco 2811). La dure du processus varie selon le modle du routeur. Jan 14 16:19:40.795: %SYS-5-CONFIG_I: Configured from console by ciscosdm on vty0 (192.168.10.50) la fin de linstallation, vous tes invit lancer SDM sur le routeur. Avant deffectuer cette opration, accdez la console et excutez la commande show flash:. Notez tous les fichiers stocks par SDM dans la mmoire flash. Avant linstallation, le premier fichier, cest--dire limage IOS, tait le seul rpertori. R1# show flash: CompactFlash directory: File Length Name/status 1 38523272 c2800nm-advipservicesk9-mz.124-9.T1.bin 2 1038 home.shtml 3 1823 sdmconfig-2811.cfg 4 102400 home.tar 5 491213 128MB.sdf 6 1053184 common.tar 7 4753408 sdm.tar 8 1684577 securedesktop-ios-3.1.1.27-k9.pkg 9 398305 sslclient-win-1.1.0.154.pkg 10 839680 es.tar [47849552 bytes used, 16375724 available, 64225276 total] 62720K bytes of ATA CompactFlash (Read/Write)

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 36 sur 37

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 8 : excution de lapplication SDM partir du routeur


Ouvrez Internet Explorer et accdez ladresse URL https://<IP address>/ ou http://<IP address>/ , selon que vous avez ou non activ le serveur scuris HTTP au cours de ltape 2. Lorsque vous tes invit accepter le certificat, cliquez sur Yes. Ignorez les avertissements lis la scurit et cliquez sur Run. Entrez le nom dutilisateur et le mot de passe que vous avez configurs au cours de ltape 2.

SDM procde la lecture de la configuration partir du routeur. Une fois le chargement de la configuration actuelle du routeur termin, la page daccueil de Cisco SDM saffiche. Si la configuration affiche vous semble correcte, cela signifie que vous avez russi configurer SDM et vous y connecter. Les informations affiches peuvent tre diffrentes de celles qui figurent dans lillustration suivante, selon le numro de modle du routeur, la version de lIOS, etc.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 37 sur 37

Travaux pratiques 4.6.2 : configuration avance de la scurit


Diagramme de topologie

Table dadressage
Priphrique R1 Interface Fa0/1 S0/0/1 Fa0/1 S0/0/1 Lo0 Fa0/1 S0/0/1 S0/0/0 VLAN10 VLAN30 Carte rseau Carte rseau Carte rseau Adresse IP 192.168.10.1 10.1.1.1 192.168.20.1 10.2.2.1 209.165.200.225 192.168.30.1 10.2.2.2 10.1.1.2 192.168.10.2 192.168.30.2 192.168.10.10 192.168.30.10 192.168.20.254 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D N/D N/D N/D 192.168.10.1 192.168.30.1 192.168.20.1

R2

R3 Comm1 Comm3 PC1 PC3 Serveur TFTP

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 4

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Excuter les tches de configuration de base dun routeur Configurer et activer des interfaces Configurer la scurit de base des ports Dsactiver les services et interfaces Cisco inutiliss Protger les rseaux d'entreprise contre des principales attaques externes et internes Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de fichiers Cisco Configurer et utiliser Cisco SDM (Security Device Manager) pour dfinir la scurit de base dun routeur

Scnario
Au cours de ces travaux pratiques, vous apprendrez configurer la scurit au moyen du rseau indiqu dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques sur la scurit de base. Essayez cependant de travailler en parfaite autonomie. Dans le cadre de cet exercice, nactivez pas la protection par mot de passe et vitez de vous connecter aux lignes de console, afin dviter toute dconnexion accidentelle. Vous devez toutefois scuriser la ligne de console par dautres moyens. Dans ces travaux pratiques, le mot de passe utiliser est ciscoccna.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


tape 1 : configuration des routeurs Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom d'hte du routeur conformment au diagramme de topologie. Dsactivez la recherche DNS. Configurez une bannire de message du jour. Configurez les adresses IP sur les interfaces des routeurs R1, R2 et R3. Activez le protocole RIPv2 sur tous les routeurs de tous les rseaux. Crez une interface de bouclage sur R2 afin de simuler une connexion Internet. Crez des rseaux locaux virtuels sur les commutateurs Comm1 et Comm3, puis configurez les interfaces intgrer aux rseaux locaux virtuels. Configurez le routeur R3 afin dassurer une connectivit scurise SDM. Installez SDM sur PC3 ou R3, si ce nest dj fait.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 4

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

tape 2 : configuration des interfaces Ethernet Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques. tape 3 : test de la configuration du PC via lenvoi dune requte ping la passerelle par dfaut de chaque PC et du serveur TFPT

Tche 3 : scurisation de laccs aux routeurs


tape 1 : configuration dune authentification AAA et de mots de passe scuriss l'aide d'une base de donnes locale Crez un mot de passe scuris pour laccs au routeur. Crez le nom dutilisateur ccna, stocker localement sur le routeur. Configurez le routeur de manire utiliser la base de donnes dauthentification locale. Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna. tape 2 : scurisation de la console et des lignes vty Configurez la console, ainsi que les lignes vty, de manire refuser laccs aux utilisateurs saisissant un mot de passe et un nom dutilisateur incorrects, et ce deux reprises en lespace de 2 minutes. Bloquez toute tentative de connexion supplmentaire pendant 5 minutes. tape 3 : vrification du refus des tentatives de connexion, une fois le nombre maximal de tentatives autoris atteint

Tche 4 : scurisation de laccs au rseau


tape 1 : scurisation du protocole de routage RIP Nenvoyez pas de mises jour RIP aux routeurs non tributaires du rseau (tous les routeurs non mentionns dans ce scnario). Authentifiez les mises jour RIP et cryptez-les. tape 2 : vrification du fonctionnement du routage RIP

Tche 5 : consignation des activits via le protocole SNMP (Simple Network Management Protocol)
tape 1 : configuration de la connexion SNMP au serveur syslog via l'adresse 192.168.10.250 sur tous les priphriques tape 2 : consignation de tous les messages avec un niveau de gravit 4 sur le serveur syslog

Tche 6 : dsactivation des services rseau Cisco inutiliss


tape 1 : dsactivation des interfaces inutilises de tous les priphriques tape 2 : dsactivation des services globaux inutiliss sur R1 tape 3 : dsactivation des services dinterface inutiliss sur R1 tape 4 : utilisation de la fonction AutoSecure pour scuriser R2 Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 4

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Tche 7 : gestion de Cisco IOS et des fichiers de configuration


tape 1 : identification de lemplacement du fichier running-config dans la mmoire du routeur tape 2 : transfert du fichier running-config de R1 vers R2 via le serveur TFTP tape 3 : interruption et restauration de R1 via ROMmon Copiez, puis collez, les commandes suivantes sur R1. Restaurez R1 ensuite, via ROMmon. line vty 0 4 exec-timeout 0 20 line console 0 exec-timeout 0 20 end copy run start exit

tape 4 : depuis R2, restauration de la configuration enregistre dans R1, via le serveur TFTP tape 5 : suppression de la configuration enregistre depuis R2

Tche 8 : scurisation de R2 via SDM


tape 1 : connexion R2 via PC1 tape 2 : accs la fonction d'audit de scurit tape 3 : excution dun audit de scurit tape 4 : dfinition des paramtres appliquer au routeur tape 5 : validation de la configuration du routeur

Tche 9 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 4

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit


Diagramme de topologie

Table dadressage
Priphrique R1 R2 Interface Fa0/1 S0/0/1 Fa0/1 S0/0/1 Lo0 Fa0/1 S0/0/1 S0/0/0 VLAN10 VLAN30 Carte rseau Carte rseau Carte rseau Adresse IP 192.168.10.1 10.1.1.1 192.168.20.1 10.2.2.1 209.165.200.225 192.168.30.1 10.2.2.2 10.1.1.2 192.168.10.2 192.168.30.2 192.168.10.10 192.168.30.10 192.168.20.254 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D N/D N/D N/D 192.168.10.1 192.168.30.1 192.168.20.1

R3 Comm1 Comm3 PC1 PC3 Serveur TFTP

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et rinitialiser tous les routeurs dans leur tat par dfaut Charger les routeurs avec les scripts fournis Identifier et corriger toutes les erreurs rseau Documenter le rseau corrig

Scnario
Votre entreprise vient dengager un nouvel ingnieur rseau qui a cr des problmes de scurit au niveau du rseau du fait derreurs de configuration et domissions. Votre responsable vous demande de corriger les erreurs commises par le nouvel ingnieur lors de la configuration des routeurs. Lorsque vous corrigez les erreurs, vrifiez que tous les priphriques sont bien scuriss, et veillez ce que ces priphriques et les rseaux restent accessibles aux administrateurs. Tous les routeurs doivent tre accessibles via lapplication SDM depuis PC1. Pour vrifier quun priphrique est scuris, utilisez des outils appropris tels que Telnet et la commande ping. Toute utilisation non autorise de ces outils devra tre bloque, mais assurez-vous galement qu'une utilisation autorise de ces outils soit possible. Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe.

Tche 1 : chargement des routeurs avec les scripts fournis


Chargez les configurations suivantes dans les priphriques de la topologie. R1 : no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login LOCAL_AUTH local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

mmi snmp-timeout 180 ip subnet-zero no ip source-route no ip gratuitous-arps ip cef ! no ip dhcp use vrf connected ! no ip bootp server ! key chain RIP_KEY key 1 key-string cisco username ccna password ciscoccna ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.10.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no shutdown ! ! interface Serial0/0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown no fair-queue clockrate 125000 ! interface Serial0/0/1 ip address 10.1.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no shutdown ! interface Serial0/1/0 no ip address no ip redirects no ip unreachables

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

no ip proxy-arp no shutdown clockrate 2000000 ! interface Serial0/1/1 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown ! router rip version 2 passive-interface default no passive-interface Serial0/0/0 network 10.0.0.0 network 192.168.10.0 no auto-summary ! ip classless ! no ip http server ! logging 192.168.10.150 no cdp run ! line con 0 exec-timeout 5 0 logging synchronous transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 5 0 logging synchronous login authentication local_auth ! end R2 : no service pad service timestamps debug datetime msec service timestamps log datetime msec ! hostname R2 ! security authentication failure rate 10 log security passwords min-length 6 ! aaa new-model !

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

aaa authentication login local_auth local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no ip source-route no ip gratuitous-arps ip cef ! no ip dhcp use vrf connected ! no ip bootp server ! ! username ccna password ciscoccna ! ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast duplex auto speed auto no shutdown ! interface Serial0/0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown no fair-queue ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 no ip redirects

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

no ip unreachables no ip proxy-arp no ip directed-broadcast ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY clockrate 128000 no shutdown ! interface Serial0/1/0 ip address 209.165.200.224 255.255.255.224 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast no shutdown ! interface Serial0/1/1 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown clockrate 2000000 ! router rip version 2 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.20.0 no auto-summary ! ip classless ! no ip http server ! logging trap debugging logging 192.168.10.150 ! line con 0 exec-timeout 5 0 logging synchronous transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 0 0 logging synchronous login authentication local_auth transport input telnet ! end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

R3 : no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login local_auth local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero no ip source-route no ip gratuitous-arps ip cef ! ! no ip dhcp use vrf connected ! no ip bootp server ! key chain RIP_KEY key 1 key-string Cisco ! interface FastEthernet0/0 no ip address no ip redirects no ip proxy-arp no ip directed-broadcast duplex auto speed auto shutdown ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

no shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast clockrate 125000 ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast ! router rip version 2 passive-interface default passive-interface Serial0/0/0 passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.30.0 no auto-summary ! ip classless ! no ip http server ! logging trap debugging logging 192.168.10.150 no cdp run ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 9

CCNA Exploration Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Tche 2 : dtection et correction de toutes les erreurs rseau


En utilisant les mthodes de dpannage standard, recherchez, documentez et corrigez les erreurs. Remarque : lorsque vous dpannez un rseau de production dfaillant, sachez que de petites erreurs peuvent tre lorigine de dysfonctionnements. Vrifiez en premier lieu lorthographe et la casse des mots de passe, des cls et des noms de chanes de cls, ainsi que des noms de listes dauthentification. Les dfaillances sont souvent dues au non-respect dune casse ou un terme mal orthographi. La mthode recommande consiste commencer par les tapes de base avant de procder aux tapes suivantes. Vrifiez dabord si les noms et les cls correspondent. Ensuite, si la configuration utilise une liste ou une chane de cls, vrifiez si llment rfrenc existe rellement et sil est le mme sur tous les priphriques. Pour garantir que la configuration est exactement la mme, il est recommand deffectuer cette configuration une premire fois sur un priphrique, puis de la copier et de la coller dans lautre priphrique. En outre, lorsque vous envisagez de dsactiver ou de limiter des services, dterminez quoi servent ces services et s'ils sont ncessaires. Dterminez galement les informations que le routeur doit envoyer, ainsi que les personnes qui doivent les recevoir et celles qui ne doivent pas les recevoir. Enfin, dfinissez les oprations que les utilisateurs peuvent effectuer grce ces services, et si vous souhaitez les autoriser effectuer ces oprations. En rgle gnrale, vous devez prendre les mesures ncessaires afin dviter tout abus dun service.

Tche 3 : documentation du rseau corrig Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 9

Travaux pratiques 5.5.1 : listes de contrle daccs de base


Diagramme de topologie

Table dadressage Priphrique


R1

Interface
Fa0/0 Fa0/1 S0/0/0 Fa0/1

Adresse IP
192.168.10.1 192.168.11.1 10.1.1.1 192.168.20.1 10.1.1.2 10.2.2.1 209.165.200.225 192.168.30.1 10.2.2.2 192.168.10.2

Masque de sous-rseau
255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.0

Passerelle par dfaut

R2

S0/0/0 S0/0/1 Lo0

R3 Comm1

Fa0/1 S0/0/1 Vlan1

192.168.10.1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Comm2 Comm3 PC1 PC2 PC3 Serveur Web

Vlan1 Vlan1 Carte rseau Carte rseau Carte rseau Carte rseau

192.168.11.2 192.168.30.2 192.168.10.10 192.168.11.10 192.168.30.10 192.168.20.254

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

192.168.11.1 192.168.30.1 192.168.10.1 192.168.11.1 192.168.30.1 192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Concevoir des listes de contrle daccs nommes standard et tendues Appliquer des listes de contrle daccs nommes standard et tendues Tester des listes de contrle daccs nommes standard et tendues Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer la scurit dun rseau de base laide des listes de contrle daccs. Vous appliquerez des listes de contrles d'accs standard et tendues.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose des interfaces requises, comme illustr sur le diagramme de topologie. Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. Si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront diffremment. Certaines commandes peuvent tre diffrentes ou ne pas exister sur danciens routeurs ou des versions du systme IOS antrieures la version 12.4. tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en respectant les consignes suivantes : Configurez le nom d'hte du routeur conformment au diagramme de topologie. Dsactivez la recherche DNS. Configurez un mot de passe class pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe cisco pour les connexions de consoles. Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Configurez des adresses IP et des masques sur tous les priphriques. Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux. Configurez une interface en mode boucl sur R2 pour simuler le FAI. Configurez des adresses IP pour linterface VLAN 1 sur chaque commutateur. Configurez chaque commutateur avec la passerelle par dfaut approprie. Vrifiez l'intgralit de la connectivit IP laide de la commande ping.

Tche 3 : configuration dune liste de contrle daccs standard


Les listes de contrle daccs standard ne peuvent filtrer le trafic quen fonction de ladresse IP source. Il est gnralement recommand de configurer une liste de contrle daccs standard aussi proche que possible de la destination. Dans cette tche, vous allez configurer une liste de contrle daccs standard. La liste de contrle daccs est conue pour bloquer le trafic provenant du rseau 192.168.11.0/24 correspondant la salle de travaux pratiques des participants, et ce afin de lempcher daccder des rseaux locaux sur R3. Cette liste est applique en entre, sur linterface srie de R3. Noubliez pas que chaque liste de contrle daccs comporte une instruction deny all implicite. Cette dernire bloque tous les trafics qui ne correspondent aucune instruction de la liste. Cest la raison pour laquelle il est ncessaire d'ajouter linstruction permit any la fin de la liste. Avant de configurer et dappliquer cette liste, veillez vrifier la connectivit depuis PC1 (ou linterface Fa0/1 sur R1) vers PC3 (ou linterface Fa0/1 sur R3). Les tests de connectivit doivent aboutir avant dappliquer cette liste. tape 1 : cration de la liste de contrle daccs sur le routeur R3 En mode de configuration globale, crez une liste de contrle daccs standard nomme STND-1. R3(config)#ip access-list standard STND-1 En mode de configuration de liste de contrle daccs standard, ajoutez une instruction charge de refuser tous les paquets dont ladresse source est 192.168.11.0/24 et dajouter un message dans la console pour chaque paquet correspondant. R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log Autorisez le reste du trafic. R3(config-std-nacl)#permit any tape 2 : application de la liste de contrle daccs Appliquez la liste de contrle daccs STND-1 pour filtrer les paquets entrant dans R3, par le biais de linterface srie 0/0/1. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 in R3(config-if)#end R3#copy run start

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs Avant de tester la liste de contrle daccs, assurez-vous que la console de R3 est visible. De cette manire, vous pouvez visualiser les messages du journal de la liste daccs lorsque le paquet est refus. Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. La liste de contrle daccs tant conue pour bloquer le trafic dont ladresse source fait partie du rseau 192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requtes ping vers le PC3. Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/1 sur R1, vers linterface Fa0/1 sur R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.11.1 U.U.U Success rate is 0 percent (0/5) Le message suivant doit safficher sur la console de R3 : *Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0 0.0.0.0 -> 192.168.11.1, 1 packet En mode dexcution privilgi sur R3, lancez la commande show access-lists. Une sortie similaire la suivante saffiche. Chaque ligne dune liste de contrle daccs possde un compteur associ, qui affiche le nombre de paquets correspondants la rgle. Standard IP access list STND-1 10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches) 20 permit any (25 matches) Lobjectif de cette liste tait de bloquer les htes du rseau 192.168.11.0/24. Tous les autres htes, notamment ceux du rseau 192.168.10.0/24, doivent tre autoriss accder aux rseaux sur R3. Effectuez un autre test depuis PC1 vers PC3 pour vrifier que ce trafic nest pas bloqu. Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/0 sur R1, vers linterface Fa0/1 sur R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]:

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms

Tche 4 : configuration dune liste de contrle daccs tendue


Lorsque vous souhaitez bnficier dun contrle plus prcis, vous pouvez utiliser une liste de contrle daccs tendue. Les listes de contrle daccs tendues peuvent filtrer le trafic en fonction dautres critres que ladresse source. Ainsi, le filtrage peut tre bas sur le protocole, ladresse IP source, ladresse IP de destination, le numro de port source et le numro de port de destination. Une autre stratgie mise en place pour ce rseau indique que les priphriques du rseau local 192.168.10.0/24 ne peuvent accder quaux rseaux internes. Les ordinateurs de ce rseau local ne sont pas autoriss accder Internet. Par consquent, ces utilisateurs ne doivent pas pouvoir accder ladresse IP 209.165.200.225. Cette exigence sappliquant la source et la destination, il est ncessaire dutiliser une liste de contrle daccs tendue. Cette tche consiste configurer une liste de contrle daccs tendue sur R1, qui sera charge dempcher le trafic en provenance dun priphrique du rseau 192.168.10.0 /24 daccder lhte 209.165.200.255 (lISP simul). Cette liste de contrle daccs sera applique en sortie de linterface srie 0/0/0 de R1. Pour appliquer de faon optimale des listes de contrle daccs tendues, il est conseill de les placer aussi prs que possible de la source. Avant de commencer, vrifiez que vous pouvez envoyer une requte ping vers 209.165.200.225 depuis le PC1. tape 1 : configuration dune liste de contrle daccs tendue nomme En mode de configuration globale, crez une liste de contrle daccs tendue nomme EXTEND-1. R1(config)#ip access-list extended EXTEND-1 Vous remarquerez que linvite du routeur change pour indiquer que le routeur est prsent en mode de configuration de liste de contrle daccs tendue. partir de cette invite, ajoutez les instructions ncessaires pour bloquer le trafic provenant du rseau 192.168.10.0 /24 destination de lhte. Utilisez le mot cl host lors de la dfinition de la destination. R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 Noubliez pas que linstruction implicite deny all bloque lensemble du trafic si vous najoutez pas dinstruction permit supplmentaire. Ajoutez linstruction permit pour vous assurer que dautres trafics ne sont pas bloqus. R1(config-ext-nacl)#permit ip any any tape 2 : application de la liste de contrle daccs Dans le cas de listes de contrle daccs standard, la meilleure solution consiste placer la liste aussi prs que possible de la destination. En revanche, les listes de contrle daccs tendues sont souvent places prs de la source. La liste EXTEND-1 sera place sur linterface srie et filtrera le trafic sortant. R1(config)#interface serial 0/0/0 R1(config-if)#ip access-group EXTEND-1 out log R1(config-if)#end R1#copy run start

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs partir de PC1, envoyez une requte ping linterface de bouclage du routeur R2. Ces tests doivent chouer, car lensemble du trafic provenant du rseau 192.168.10.0 /24 est filtr lorsque la destination est 209.165.200.225. Si la destination correspond une autre adresse, les envois de requtes ping doivent aboutir. Pour le vrifier, envoyez des requtes ping vers R3 partir dun priphrique du rseau 192.168.10.0/24. Remarque : la fonctionnalit de la commande ping tendue sur R1 ne peut pas tre utilise pour tester cette liste de contrle daccs car le trafic est issu de R1 et nest jamais test sur la liste de contrle daccs applique linterface srie R1. Vous pouvez effectuer une vrification approfondie en entrant la commande show ip access-list sur R1 aprs lenvoi de la requte ping. R1#show ip access-list Extended IP access list EXTEND-1 10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches) 20 permit ip any any

Tche 5 : contrle de laccs aux lignes vty par le biais dune liste de contrle daccs standard
Il est gnralement conseill de restreindre laccs aux lignes vty du routeur pour ladministration distance. Une liste de contrle daccs peut tre applique aux lignes vty afin de limiter laccs des htes ou des rseaux spcifiques. Cette tche consiste configurer une liste de contrle daccs standard autorisant les htes de deux rseaux accder aux lignes vty. Les autres htes se voient refuser laccs. Vrifiez que vous pouvez tablir un accs Telnet vers R2 partir de R1 et de R3. tape 1 : configuration de la liste de contrle daccs. Configurez une liste de contrle daccs standard nomme sur R2 pour autoriser le trafic provenant des rseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez la liste de contrle daccs le nom Task-5. R2(config)#ip access-list standard TASK-5 R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3 R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255 tape 2 : application de la liste de contrle daccs Accdez au mode de configuration de ligne pour les lignes vty 0 4. R2(config)#line vty 0 4 Utilisez la commande access-class pour appliquer la liste de contrle daccs aux lignes vty , dans le sens entrant. Vous remarquerez que cette commande diffre de la commande utilise pour appliquer des listes de contrle daccs aux autres interfaces. R2(config-line)#access-class TASK-5 in R2(config-line)#end R2#copy run start

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs tablissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas dadresse IP prsente dans la plage dadresses rpertorie dans les instructions dautorisation de la liste de contrle daccs TASK-5. Les tentatives de connexion sont censes chouer. R1# telnet 10.1.1.2 Trying 10.1.1.2 % Connection refused by remote host tablissez une connexion Telnet avec R2 depuis R3. Vous tes alors invit entrer le mot de passe des lignes vty. R3# telnet 10.1.1.2 Trying 10.1.1.2 Open CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law. User Access Verification Password: Pourquoi les tentatives de connexion partir dautres rseaux chouent-elles alors que ces rseaux ne sont pas explicitement rpertoris dans la liste de contrle daccs ? _________________________________________________________________________________ _________________________________________________________________________________

Tche 6 : dpannage des listes de contrle daccs


Lorsquune liste de contrle daccs est mal configure, applique une interface inadquate ou dans un sens incorrect, le trafic rseau peut tre affect de manire imprvisible. tape 1 : suppression dune liste de contrle daccs STND-1 partir de S0/0/1 de R3 Vous avez prcdemment cr et appliqu une liste de contrle daccs standard nomme sur R3. Utilisez la commande show running-config pour afficher la liste de contrle daccs et sa position. Vous devriez remarquer quune liste de contrle daccs appele STND-1 a t configure et applique en entre de linterface srie 0/0/1. Souvenez-vous que cette liste a t conue pour empcher lensemble du trafic dont ladresse source provient du rseau 192.168.11.0/24 daccder au rseau local de R3. Pour supprimer la liste de contrle daccs, accdez au mode de configuration dinterface de linterface srie 0/0/1 de R3. Utilisez la commande no ip access-group STND-1 in pour supprimer la liste de contrle daccs de linterface. R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group STND-1 in Utilisez la commande show running-config pour vrifier que la liste de contrle daccs a bien t supprime de linterface srie 0/0/1. tape 2 : application de la liste de contrle daccs STND-1 en sortie de linterface S0/0/1 Pour comprendre limportance du sens de filtrage des listes de contrle daccs, appliquez nouveau la liste STND-1 linterface srie 0/0/1. Cette fois, la liste de contrle daccs filtrera le trafic sortant et non le trafic entrant. Pensez utiliser le mot cl out lors de lapplication de la liste de contrle daccs. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 out

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. Vous pouvez galement envoyer une requte ping tendue partir de R1. Vous remarquerez que cette fois, lenvoi de requtes ping aboutit et que les compteurs de la liste de contrle daccs ne sont pas modifis. Pour le vrifier, entrez la commande show ip access-list sur R3. tape 4 : restauration de la configuration dorigine de la liste de contrle daccs Supprimez la liste de contrle daccs applique en sortie et appliquez-la nouveau en entre. R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group STND-1 out R3(config-if)#ip access-group STND-1 in tape 5 : application de la tche TASK-5 linterface srie Serial 0/0/0 dentre de R2 R2(config)#interface serial 0/0/0 R2(config-if)#ip access-group TASK-5 in tape 6 : test de la liste de contrle daccs partir de R1 ou des rseaux qui y sont connects, essayez de communiquer avec un priphrique connect R2 ou R3. Vous remarquerez que toutes les communications sont bloques, mais que cette fois les compteurs de liste de contrle daccs ne sont pas incrments. Cela est d la prsence dune instruction deny all (refuser tout) implicite la fin de chaque liste de contrle daccs. Cette instruction deny bloque tous les trafics entrants de linterface srie Serial 0/0/0 provenant dune autre source que R3. Cela a pour principale consquence que les routes provenant de R1 seront supprimes de la table de routage. Les messages similaires ce qui suit doivent safficher sur les consoles de R1 et R2. Notez que la dsactivation de la relation de voisinage du protocole OSPF peut prendre un certain temps. *Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired Lorsque vous recevez ce message, excutez la commande show ip route sur R1 et R2 pour afficher les routes ayant t supprimes de la table de routage. Supprimez la liste de contrle daccs TASK-5 de linterface, puis enregistrez vos configurations. R2(config)#interface serial 0/0/0 R2(config-if)#no ip access-group TASK-5 in R2(config)#exit R2#copy run start

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 7 : documentation des configurations des routeurs Configurations


Routeur 1 hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip access-group EXTEND-1 out clockrate 64000 no shutdown ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ip access-list extended EXTEND-1 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 permit ip any any ! banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 password cisco login ! Routeur 2 hostname R2 ! enable secret class ! no ip domain lookup !

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 no shutdown ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 clockrate 125000 no shutdown ! router ospf 1 no auto-cost network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 network 192.168.20.0 0.0.0.255 area 0 network 209.165.200.224 0.0.0.31 area 0 ! ip access-list standard TASK-5 permit 10.2.2.0 0.0.0.3 permit 192.168.30.0 0.0.0.255 ! banner motd ^Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 access-class TASK-5 in password cisco login ! Routeur 3 hostname R3 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no shutdown ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 ip access-group STND-1 out no shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 11

CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

! router ospf 1 network 10.0.0.0 0.255.255.255 area 0 network 192.168.30.0 0.0.0.255 area 0 ! ip access-list standard STND-1 deny 192.168.11.0 0.0.0.255 log permit any ! banner motd ^Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 password cisco login ! end

Tche 8 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 11

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs


Diagramme de topologie

Table dadressage
Priphrique R1 Interface S0/0/0 Fa0/1 S0/0/0 R2 S0/0/1 Lo 0 R3 PC 1 PC 3 S0/0/1 Fa0/1 Carte rseau Carte rseau Adresse IP 10.1.0.1 10.1.1.254 10.1.0.2 10.3.0.1 10.13.205.1 10.3.0.2 10.3.1.254 10.1.1.1 10.3.1.1 Masque de sous-rseau 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.0.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 10.1.1.254 10.3.1.254 Passerelle par dfaut

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 3

Exploration 4 Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Concevoir des listes de contrle daccs nommes standard et tendues Appliquer des listes de contrle daccs nommes standard et tendues Tester des listes de contrle daccs nommes standard et tendues Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose des interfaces requises, comme illustr sur le diagramme de topologie. Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600. tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de base des routeurs


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes : Configurez le nom dhte du routeur. Dsactivez la recherche DNS. Configurez un mot de passe pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions de consoles. Configurez un mot de passe pour les connexions de terminaux virtuels (vty). Configurez les adresses IP sur tous les priphriques. Crez une interface de bouclage sur R2. Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux. Vrifiez l'intgralit de la connectivit IP laide de la commande ping.

Tche 3 : configuration de listes de contrle daccs standard


Configurez des listes de contrle daccs nommes standard sur les lignes vty de R1 et R3, de sorte que les htes directement connects leurs sous-rseaux FastEthernet puissent y accder en Telnet. Refusez et consignez toute autre tentative de connexion. Documentez vos procdures de test. __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________ __________________________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 3

Exploration 4 Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

Tche 4 : configuration de listes de contrle daccs tendues


En utilisant les listes de contrle daccs tendues sur R2, suivez les instructions ci-dessous : Les salles dans lesquelles les participants effectuent les travaux pratiques utilisent les rseaux locaux connects R1 et R3. Ladministrateur rseau a remarqu que les participants samusaient jouer en rseau avec dautres participants distants via le rseau tendu. Assurezvous que la liste de contrle daccs rend impossible laccs au rseau local de R3 via le rseau local associ R1, et vice versa. Soyez prcis dans vos instructions afin de ne pas affecter tout nouveau rseau local associ R1 ou R3. Autorisez tout trafic OSPF. Autorisez le trafic ICMP vers les interfaces locales de R2. Tout trafic rseau destination du port TCP 80 doit tre autoris. Tout autre trafic doit tre refus et consign. Tout type de trafic non spcifi ci-dessus doit tre refus.

Remarque : vous devrez peut-tre utiliser plusieurs listes daccs pour effectuer cette configuration. Vrifiez la configuration effectue et documentez les procdures de test. Pourquoi lordre des instructions concernant les listes daccs savre-t-il important ? __________________________________________________________________________________ __________________________________________________________________________________

Tche 5 : vrification dune liste de contrle daccs


Testez chaque protocole auquel vous dsirez refuser laccs et assurez-vous que le trafic autoris na, en revanche, aucune difficult daccs.

Tche 6 : documentation des configurations des routeurs Tche 7 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 3

Travaux pratiques 5.5.3 : dpannage des listes de contrle daccs


Diagramme de topologie

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 3

CCNA Exploration Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 : dpannage des listes de contrle daccs

Table dadressage
Priphrique R1 Interface S0/0/0 Fa0/1 S0/0/0 R2 S0/0/1 Lo 0 R3 PC 1 PC 3 S0/0/1 Fa0/1 Carte rseau Carte rseau Adresse IP 10.1.0.1 10.1.1.254 10.1.0.2 10.3.0.5 10.13.205.1 10.3.0.6 10.3.1.254 10.1.1.1 10.3.1.1 Masque de sous-rseau 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.0.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 10.1.1.254 10.3.1.254 Passerelle par dfaut

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Charger les routeurs avec les scripts fournis Dtecter et corriger des erreurs rseau Documenter le rseau corrig

Scnario
Vous travaillez pour un fournisseur de services rgional dont les clients ont t rcemment exposs plusieurs violations de scurit. Des mesures de scurit ont t mises en uvre, mais elles nont pas rpondu aux besoins spcifiques des clients. Votre dpartement a t charg dexaminer la configuration, deffectuer des tests et dapporter les modifications requises pour scuriser les routeurs des clients. Assurez-vous que vos configurations finales respectent les stratgies de scurit suivantes : Les clients R1 et R3 exigent que seuls les PC locaux aient accs aux lignes vty. Consignez toutes les tentatives daccs aux lignes vty effectues au moyen dautres priphriques. Lenvoi et la rception de trafic entre les rseaux directement connects R1 et R3 sont interdits. Tous les autres types de trafics destination et en provenance de R1 et R3 sont autoriss.

Un nombre minimum dinstructions de listes de contrle daccs doit tre utilis et appliqu en entre aux interfaces srie R2. Le protocole OSPF permet de distribuer les informations de routage. Tous les mots de passe, lexception du mot de passe enable secret, sont dfinis sur cisco. Le mot de passe enable secret est dfini sur class.

Tche 1 : chargement des routeurs avec les scripts fournis


Instructor note: These commands can be loaded into the router by the instructor or by the students. They are not included in the student version of the lab.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 3

CCNA Exploration Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 : dpannage des listes de contrle daccs

Tche 2 : recherche et correction des erreurs sur le rseau


Identifiez et corrigez toutes les erreurs de configuration. Documentez les tapes du processus de dpannage du rseau et notez chaque erreur dtecte. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________

Tche 3 : documentation du rseau corrig


Une fois que vous avez corrig toutes les erreurs et test la connectivit du rseau, documentez la configuration finale de chaque priphrique.

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 3

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT


Diagramme de topologie

Table dadressage
Priphrique Interface S0/0/0 R1 Fa0/0 Fa0/1 S0/0/0 R2 S0/0/1 Fa0/0 FAI S0/0/1 Adresse IP 10.1.1.1 192.168.10.1 192.168.11.1 10.1.1.2 209.165.200.225 192.168.20.254 209.165.200.226 Masque de sous-rseau 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Prparer le rseau Effectuer des configurations de routeur de base Configurer un serveur DHCP Cisco IOS Configurer le routage statique et le routage par dfaut Configurer la fonction NAT statique Configurer la fonction NAT dynamique laide dun pool dadresses Configurer la surcharge de la fonction NAT

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Scnario
Au cours de ces travaux pratiques, vous allez configurer les services DHCP et IP NAT. Un routeur joue le rle de serveur DHCP. Lautre routeur transmet les requtes DHCP au serveur. Vous apprendrez galement configurer des traductions dadresses de rseau (NAT) statique et dynamique ainsi que la surcharge de traduction dadresses de rseau. Une fois les configurations termines, vous vrifierez la connectivit entre les adresses internes et externes.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition quil soit quip des interfaces indiques dans la topologie. Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600. Certaines commandes peuvent tre diffrentes ou ne pas exister sur les anciens routeurs. tape 2 : suppression de toutes les configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


Configurez les routeurs R1, R2 et FAI conformment aux instructions suivantes : Configurez le nom dhte du priphrique. Dsactivez la recherche DNS. Configurez un mot de passe de mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions console. Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty). Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront attribuer des adresses IP par le service DHCP. Activez OSPF en utilisant lID de processus 1 sur R1 et R2. Nannoncez pas le rseau 209.165.200.224/27.

Remarque : au lieu de relier un serveur R2, vous pouvez configurer une interface de bouclage sur R2 de faon utiliser ladresse IP 192.168.20.254/24. De cette faon, il nest pas ncessaire de configurer linterface Fast Ethernet.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Tche 3 : configuration de PC1 et PC2 pour la rception dune adresse IP via le protocole DHCP
Sur un PC Windows, cliquez sur Dmarrer -> Panneau de configuration -> Connexions rseau -> Connexion au rseau local. Cliquez avec le bouton droit sur licne Connexion au rseau local et slectionnez Proprits.

Faites dfiler la page vers le bas et mettez en surbrillance Protocole Internet (TCP/IP). Cliquez sur le bouton Proprits.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Vrifiez que le bouton Obtenir une adresse IP automatiquement est slectionn.

Une fois que ces oprations ont t effectues pour les ordinateurs PC1 et PC2, ces derniers peuvent recevoir une adresse IP transmise par un serveur DHCP.

Tche 4 : configuration dun serveur DHCP Cisco IOS


Le logiciel Cisco IOS prend en charge une configuration de serveur DHCP appele Easy IP. Lobjectif de ces travaux pratiques est que les priphriques prsents sur les rseaux 192.168.10.0/24 et 192.168.11.0/24 demandent R2 des adresses IP via le protocole DHCP. tape 1 : exclusion des adresses attribues de manire statique Le serveur DHCP suppose que toutes les adresses IP dun groupe dadresses DHCP peuvent tre affectes des clients DHCP. Vous devez spcifier les adresses IP que le serveur DHCP ne peut affecter aux clients. Il sagit gnralement dadresses statiques rserves linterface des routeurs, la console de gestion des commutateurs, aux serveurs et aux imprimantes du rseau local. La commande ip dhcp excluded-address empche le routeur dattribuer les adresses IP prsentes dans la plage configure. Les commandes suivantes excluent les dix premires adresses IP de chacun des pools des rseaux locaux connects R1. Ces adresses ne seront pas affectes des clients DHCP. R2(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10 R2(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.10 tape 2 : configuration du pool Crez le pool DHCP laide de la commande ip dhcp pool et nommez-le R1Fa0. R2(config)#ip dhcp pool R1Fa0 Spcifiez le sous-rseau utiliser lors de lattribution des adresses IP. Les pools DHCP sont associs automatiquement une interface, en fonction de linstruction rseau. Le routeur joue dsormais le rle de serveur DHCP et distribue les adresses du sous-rseau 192.168.10.0/24, en commenant par 192.168.10.1. R2(dhcp-config)#network 192.168.10.0 255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Configurez le routeur par dfaut et le serveur de noms de domaine du rseau. Les clients reoivent ces paramtres via le protocole DHCP, de mme quune adresse IP. R2(dhcp-config)#dns-server 192.168.11.5 R2(dhcp-config)#default-router 192.168.10.1 Remarque : aucun serveur DNS nest disponible ladresse 192.168.11.5. Cette commande est configure uniquement des fins pdagogiques. tant donn que les priphriques du rseau 192.168.11.0/24 requirent galement que R2 leur fournissent des adresses, vous devez crer un pool distinct pour rpondre leurs besoins. Les commandes utilises sont similaires celles prsentes ci-dessus : R2(config)#ip dhcp pool R1Fa1 R2(dhcp-config)#network 192.168.11.0 255.255.255.0 R2(dhcp-config)#dns-server 192.168.11.5 R2(dhcp-config)#default-router 192.168.11.1 tape 3 : test du protocole DHCP Vrifiez si les ordinateurs PC1 et PC2 ont reu automatiquement une adresse IP. Sur chaque PC, cliquez sur Dmarrer -> Excuter -> cmd -> ipconfig

Quels sont les rsultats du test ? ____________________________________ Comment interprter les rsultats ? _________________________________________ tape 4 : configuration dun agent relais DHCP Les services rseaux tels que le protocole DHCP fonctionnent via les diffusions de couche 2. Si les priphriques fournissant ces services se trouvent sur un sous-rseau diffrent de celui des clients, ils ne peuvent pas recevoir les paquets de diffusion. tant donn que le serveur DHCP et les clients DHCP ne figurent pas sur le mme sous-rseau, vous devez configurer R1 pour quil transmette les messages de diffusion DHCP R2, qui correspond au serveur DHCP, laide de la commande de configuration dinterface ip helper-address. Notez que la commande ip helper-address doit tre configure sur chaque interface concerne. R1(config)#interface fa0/0 R1(config-if)#ip helper-address 10.1.1.2 R1(config)#interface fa0/1 R1(config-if)#ip helper-address 10.1.1.2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

tape 5 : mission et renouvellement des adresses IP sur PC1 et PC2 Selon que les PC ont t utiliss ou non dans dautres travaux pratiques ou que vous les avez connects ou non Internet, ils ont peut-tre dj reu automatiquement une adresse IP transmise par un autre serveur DHCP. Vous devez supprimer cette adresse IP laide des commandes ipconfig /release et ipconfig /renew.

tape 6 : vrification de la configuration DHCP Il existe plusieurs mthodes de vrification de la configuration du serveur DHCP. Excutez la commande ipconfig sur les ordinateurs PC1 et PC2 pour vrifier quils ont reu une adresse IP de faon dynamique. Vous pouvez ensuite entrer des commandes sur le routeur pour obtenir des informations supplmentaires. La commande show ip dhcp binding renvoie des informations sur les adresses DHCP actuellement attribues. Ainsi, les informations suivantes, renvoyes par la commande, indiquent que ladresse IP 192.168.10.11 a t associe ladresse MAC 3031.632e.3537.6563. Le bail IP expire le 14 septembre 2007 19:33:00. R1#show ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Hardware address/ User name 192.168.10.11 0063.6973.636f.2d30. Sep 14 2007 07:33 PM 3031.632e.3537.6563. 2e30.3634.302d.566c. 31

Type Automatic

La commande show ip dhcp pool affiche des informations concernant tous les pools DHCP actuellement configurs sur le routeur. Dans le rsultat ci-aprs, le pool R1Fa0 est configur sur R1. Lune des adresses a t loue partir de ce pool. Le prochain client mettant une demande dadresse recevra ladresse 192.168.10.12. R2#show ip dhcp pool Pool R1Fa0 : Utilization mark (high/low) : 100 / 0 Subnet size (first/next) : 0 / 0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index IP address range 192.168.10.12 192.168.10.1 - 192.168.10.254

Leased addresses 1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

La commande debug ip dhcp server events peut savrer extrmement utile pour rsoudre les problmes lis aux baux DHCP avec un serveur DHCP Cisco IOS. Les informations de dbogage affiches sur R1 suite la connexion dun hte sont les suivantes. La partie en surbrillance indique que ladresse 192.168.10.12 et le masque 255.255.255.0 sont attribus au client par le protocole DHCP. *Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER: *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 *Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool class: *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 *Sep 13 21:04:18.072: DHCPD: there is no address pool for 192.168.11.1. *Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER: R1# *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 *Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool class: *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 R1# *Sep 13 21:04:20.072: DHCPD: Ajout de liaisons larbre de base (192.168.10.12) *Sep 13 21:04:20.072: DHCPD: Ajout de liaisons larbre de base *Sep 13 21:04:20.072: DHCPD: assigned IP address 192.168.10.12 to client 0063.6973.636f.2d30.3031.632e.3537.6563.2e30.3634.302d.566c.31. *Sep 13 21:04:20.072: DHCPD: Sending notification of ASSIGNMENT: *Sep 13 21:04:20.072: DHCPD: address 192.168.10.12 mask 255.255.255.0 *Sep 13 21:04:20.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:20.072: DHCPD: lease time remaining (secs) = 86400 *Sep 13 21:04:20.076: DHCPD: Sending notification of ASSIGNMENT: *Sep 13 21:04:20.076: DHCPD: address 192.168.10.12 mask 255.255.255.0 R1# *Sep 13 21:04:20.076: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:20.076: DHCPD: lease time remaining (secs) = 86400

Tche 5 : configuration du routage statique et du routage par dfaut


FAI fait appel au routage statique pour acccder aux rseaux situs au-del de R2. Cependant, avant denvoyer le trafic vers FAI, R2 traduit les adresses prives en adresses publiques. Par consquent, il est ncessaire de configurer sur FAI les adresses publiques impliques dans la configuration de la traduction dadresses de rseau de R2. Indiquez la route statique suivante sur FAI : FAI(config)#ip route 209.165.200.240 255.255.255.240 serial 0/0/1 Cette route statique comprend toutes les adresses usage publique attribues R2. Configurez une route par dfaut sur R2 et propagez-la dans OSPF. R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.200.226 R2(config)#router ospf 1 R2(config-router)#default-information originate

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Attendez que R1 apprenne la route par dfaut transmise par R2, puis consultez la table de routage de R1. Vous pouvez galement supprimer le contenu de la table de routage laide de la commande clear ip route *. Une route par dfaut pointant vers R2 doit figurer dans la table de routage de R1. partir de R1, envoyez une requte ping vers linterface srie 0/0/1 de FAI (209 165 200 226). En principe, cette requte ping doit aboutir. Envisagez un dpannage en cas dchec.

Tche 6 : configuration de la traduction dadresses de rseau (NAT) statique


tape 1 : mappage statique dune adresse IP publique une adresse IP prive Les htes externes situs derrire FAI peuvent accder au serveur interne connect R2. Dsignez de manire statique ladresse IP publique 209.165.200.254 comme adresse utiliser lors de la traduction dadresses de rseau pour associer les paquets ladresse IP prive du serveur interne, ladresse 192.168.20.254. R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254 tape 2 : dsignation des interfaces de traduction dadresses de rseau internes et externes Pour que la traduction dadresses de rseau puisse fonctionner, vous devez dsigner les interfaces internes et les interfaces externes. R2(config)#interface serial 0/0/1 R2(config-if)#ip nat outside R2(config-if)#interface fa0/0 R2(config-if)#ip nat inside Remarque : si vous utilisez un serveur interne simul, affectez la commande ip nat inside linterface de bouclage. tape 3 : vrification de la configuration de la traduction dadresses de rseau statique partir dFAI, envoyez une requte ping vers ladresse IP publique 209.165.200.254.

Tche 7 : configuration dun pool dadresses pour la traduction dadresses de rseau dynamique
Tandis que la fonction NAT statique fournit un mappage permanent entre une adresse interne et une adresse publique spcifique, la fonction NAT dynamique mappe des adresses IP prives avec des adresses publiques. Ces adresses IP publiques proviennent dun pool NAT (pool de traduction dadresses de rseau). tape 1 : dfinition dun pool dadresses globales Crez un pool dadresses utiliser pour la traduction des adresses source correspondantes. La commande suivante cre un pool appel MY-NAT-POOL, qui convertit les adresses correspondantes en une adresse IP disponible dans la plage 209.165.200.241 - -209 165 200 246. R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

tape 2 : cration dune liste de contrle daccs tendue permettant didentifier les adresses internes traduites R2(config)#ip access-list extended NAT R2(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any R2(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any tape 3 : tablissement dune traduction de source dynamique par association du pool la liste de contrle daccs Un routeur peut disposer de plusieurs pools de traduction dadresses de rseau et de plusieurs listes de contrle daccs. La commande suivante indique au routeur le pool dadresses qui doit tre utilis pour convertir les htes autoriss par la liste de contrle daccs. R2(config)#ip nat inside source list NAT pool MY-NAT-POOL tape 4 : dsignation des interfaces de traduction dadresses de rseau internes et externes Vous avez dj dsign les interfaces internes et externes de votre configuration de traduction dadresses de rseau statique. Ajoutez maintenant linterface srie connecte R1 comme interface interne. R2(config)#interface serial 0/0/0 R2(config-if)#ip nat inside tape 5 : vrification de la configuration Envoyez une requte ping au routeur FAI partir de PC1 ou de linterface Fast Ethernet de R1, en utilisant une commande ping tendue. Vrifiez ensuite la fonction NAT en excutant les commandes show ip nat translations et show ip nat statistics sur R2. R2#show ip nat translations Pro Inside global Inside local icmp 209.165.200.241:4 192.168.10.1:4 --- 209.165.200.241 192.168.10.1 --- 209.165.200.254 192.168.20.254 Outside local 209.165.200.226:4 ----Outside global 209.165.200.226:4 -----

R2#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 0 extended) Outside interfaces: Serial0/0/1 Inside interfaces: Serial0/0/0, Loopback0 Hits: 23 Misses: 3 CEF Translated packets: 18, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: -- Inside Source [Id: 1] access-list NAT pool MY-NAT-POOL refcount 1 pool MY-NAT-POOL: netmask 255.255.255.248 start 209.165.200.241 end 209.165.200.246 type generic, total addresses 6, allocated 1 (16%), misses 0 Queued Packets: 0 Pour rsoudre les problmes relatifs la fonction NAT, vous pouvez utiliser la commande debug ip nat. Activez la commande de dbogage de la fonction NAT et rexcutez la commande ping partir de PC1. R2#debug ip nat IP NAT debugging is on

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

R2# *Sep *Sep *Sep *Sep *Sep *Sep *Sep *Sep *Sep *Sep R2#

13 13 13 13 13 13 13 13 13 13

21:15:02.215: 21:15:02.231: 21:15:02.247: 21:15:02.263: 21:15:02.275: 21:15:02.291: 21:15:02.307: 21:15:02.323: 21:15:02.335: 21:15:02.351:

NAT*: NAT*: NAT*: NAT*: NAT*: NAT*: NAT*: NAT*: NAT*: NAT*:

s=192.168.10.11->209.165.200.241, d=209.165.200.226 s=209.165.200.226, d=209.165.200.241->192.168.10.11 s=192.168.10.11->209.165.200.241, d=209.165.200.226 s=209.165.200.226, d=209.165.200.241->192.168.10.11 s=192.168.10.11->209.165.200.241, d=209.165.200.226 s=209.165.200.226, d=209.165.200.241->192.168.10.11 s=192.168.10.11->209.165.200.241, d=209.165.200.226 s=209.165.200.226, d=209.165.200.241->192.168.10.11 s=192.168.10.11->209.165.200.241, d=209.165.200.226 s=209.165.200.226, d=209.165.200.241->192.168.10.11

[25] [25] [26] [26] [27] [27] [28] [28] [29] [29]

Tche 8 : configuration de la surcharge de la fonction NAT


Dans lexemple prcdent, que se passerait-il si vous deviez utiliser un nombre dadresses IP publiques suprieur aux six adresses autorises dans le pool ? __________________________________________________________________________________

Grce au suivi des numros de port, la fonction de surcharge de traduction dadresses de rseau permet plusieurs utilisateurs internes de rutiliser une adresse IP publique. Dans le cadre de cette tche, vous supprimerez le pool et linstruction de mappage configurs au cours de la tche prcdente. Vous configurerez ensuite la surcharge de traduction dadresses de rseau sur R2, de manire ce que toutes les adresses IP internes soient traduites en une adresse associe linterface S0/0/1 de R2 lors de la connexion un priphrique externe. tape 1 : suppression du pool de traduction dadresses de rseau et de linstruction de mappage Utilisez les commandes suivantes pour supprimer le pool de traduction dadresses de rseau et lassociation la liste de contrle daccs. R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 Si vous recevez le message suivant, effacez vos traductions dadresses de rseau. %Pool MY-NAT-POOL in use, cannot destroy R2#clear ip nat translation * tape 2 : configuration de la traduction dadresses de port sur R2 laide de ladresse IP publique de linterface srie 0/0/1 La configuration est similaire une traduction dadresses de rseau dynamique, mais au lieu dun pool dadresses, cest le mot cl interface qui est utilis pour identifier ladresse IP externe. Par consquent, aucun pool de traduction dadresses de rseau nest dfini. Le mot cl overload permet dajouter le numro de port la traduction. Comme vous avez dj configur une liste de contrle daccs pour identifier les adresses IP internes traduire ainsi que les interfaces internes et externes, il ne vous reste plus qu configurer la commande suivante : R2(config)#ip nat inside source list NAT interface S0/0/1 overload

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

tape 3 : vrification de la configuration Envoyez une requte ping au routeur FAI partir de PC1 ou de linterface Fast Ethernet de R1, en utilisant une commande ping tendue. Vrifiez ensuite la fonction NAT en excutant les commandes show ip nat translations et show ip nat statistics sur R2. R2#show ip nat translations Pro Inside global Inside local icmp 209.165.200.225:6 192.168.10.11:6 --- 209.165.200.254 192.168.20.254 Outside local 209.165.200.226:6 --Outside global 209.165.200.226:6 ---

R2#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Outside interfaces: Serial0/0/1 Inside interfaces: Serial0/0/0, Loopback0 Hits: 48 Misses: 6 CEF Translated packets: 46, CEF Punted packets: 0 Expired translations: 5 Dynamic mappings: -- Inside Source [Id: 2] access-list NAT interface Serial0/0/1 refcount 1 Queued Packets: 0 Remarque : au cours de la tche prcdente, vous auriez pu ajouter le mot cl overload la commande ip nat inside source list NAT pool MY-NAT-POOL pour autoriser plus de six utilisateurs simultans.

Tche 9 : consignation des informations relatives au rseau


Excutez la commande show run sur chaque routeur et capturez les configurations. R1#show run <rsultat omis> ! hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip helper-address 10.1.1.2 no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 ip helper-address 10.1.1.2 no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 125000 ! interface Serial0/0/1 no ip address shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ! banner motd ^C *********************************** !!!AUTHORIZED ACCESS ONLY!!! *********************************** ^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 exec-timeout 0 0 password cisco logging synchronous login line vty 0 4 exec-timeout 0 0 password cisco logging synchronous login ! end R2#show run ! hostname R2 ! ! enable secret class ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.10.1 192.168.10.10 ip dhcp excluded-address 192.168.11.1 192.168.11.10 ! ip dhcp pool R1Fa0 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.11.5 ! ip dhcp pool R1Fa1 network 192.168.11.0 255.255.255.0 dns-server 192.168.11.5 default-router 192.168.11.1 ! no ip domain lookup ! interface Loopback0 ip address 192.168.20.254 255.255.255.0 ip nat inside
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

ip virtual-reassembly ! ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ip nat inside ip virtual-reassembly ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ip nat outside ip virtual-reassembly clock rate 125000 ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.20.0 0.0.0.255 area 0 default-information originate ! ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! ! no ip http server no ip http secure-server ip nat inside source list NAT interface Serial0/0/1 overload ip nat inside source static 192.168.20.254 209.165.200.254 ! ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any permit ip 192.168.11.0 0.0.0.255 any ! ! banner motd ^C *********************************** !!!AUTHORIZED ACCESS ONLY!!! *********************************** ^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 exec-timeout 0 0 password cisco logging synchronous login

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 13 sur 14

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

line vty 0 4 exec-timeout 0 0 password cisco logging synchronous login ! end

FAI#show run <rsultat omis> ! hostname FAI ! enable secret class ! no ip domain lookup ! interface Serial0/0/1 ip address 209.165.200.226 255.255.255.252 no shutdown ! ! ! ip route 209.165.200.240 255.255.255.240 Serial0/0/1 ! banner motd ^C *********************************** !!!AUTHORIZED ACCESS ONLY!!! *********************************** ^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 exec-timeout 0 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 14 sur 14

Travaux pratiques 7.4.2 : configuration avance de DHCP et NAT


Diagramme de topologie

Table dadressage
Priphrique Interface S0/0/0 R1 Fa0/0 Fa0/1 S0/0/0 R2 S0/0/1 Fa0/0 FAI S0/0/1 Adresse IP 172.16.0.1 172.16.10.1 172.16.11.1 172.16.0.2 209.165.201.1 172.16.20.1 209.165.201.2 Masque de sous-rseau 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Prparer le rseau Effectuer des configurations de routeur de base Configurer un serveur DHCP Cisco IOS Configurer le routage statique et le routage par dfaut Configurer la fonction NAT statique Configurer la fonction NAT dynamique laide dun pool dadresses Configurer la surcharge de la fonction NAT

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 4

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 : configuration avance de DHCP et NAT

Scnario
Dans le cadre de cet exercice, vous apprendrez configurer les services dadressage IP sur le rseau reprsent dans le diagramme de topologie. Si vous avez besoin daide, reportez-vous aux travaux pratiques consacrs la configuration des paramtres de base des services DHCP et NAT. Essayez cependant de travailler en parfaite autonomie.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des interfaces indiques dans la topologie. Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600. tape 2 : suppression de toutes les configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


Configurez les routeurs R1, R2 et FAI conformment aux instructions suivantes : Configurez le nom dhte du priphrique. Dsactivez la recherche DNS. Configurez un mot de passe de mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe pour les connexions console. Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty). Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront attribuer des adresses IP par le service DHCP. Activez OSPF en utilisant lID de processus 1 sur R1 et R2. Nannoncez pas le rseau 209.165.200.224/27.

Remarque : Au lieu de relier un serveur R2, vous pouvez configurer une interface de bouclage sur R2 de faon utiliser ladresse IP 192.168.20.254/24. De cette faon, il nest pas ncessaire de configurer linterface Fast Ethernet.

Tche 3 : configuration dun serveur DHCP Cisco IOS


Configurez le routeur R2 en tant que serveur DHCP pour les deux rseaux locaux (LAN) du routeur R1. tape 1 : exclusion des adresses attribues de manire statique Excluez les trois premires adresses de chaque pool. tape 2 : configuration du pool DHCP Crez deux pools DHCP. Attribuez au premier pool le nom R1_LAN10 pour le rseau 172.16.10.0/24 et attribuez au deuxime pool le nom R1_LAN11 pour le rseau 172.16.11.0/24. Pour chaque pool, configurez une passerelle par dfaut et un serveur DNS simul, ladresse 172.16.20.254.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 4

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 : configuration avance de DHCP et NAT

tape 3 : configuration de lagent relais DHCP Configurez des commandes helper-address de sorte que les broadcasts envoys par un client soient achemins vers le serveur DHCP. tape 4 : vrification de la configuration DHCP

Tche 4 : configuration du routage statique et du routage par dfaut


Sur FAI, configurez une route statique pour le rseau 209.165.201.0/27. Utilisez largument exit interface. Configurez une route par dfaut sur R2 et propagez-la dans OSPF. Utilisez ladresse IP du tronon suivant comme argument.

Tche 5 : configuration de la traduction dadresses de rseau (NAT) statique


tape 1 : mappage statique dune adresse IP publique une adresse IP prive Associez de manire statique ladresse IP du serveur interne ladresse publique 209.165.201.30. tape 2 : dsignation des interfaces de traduction dadresses de rseau internes et externes tape 3 : vrification de la configuration de la traduction dadresses de rseau statique

Tche 6 : configuration dun pool dadresses pour la traduction dadresses de rseau dynamique
tape 1 : dfinition dun pool dadresses globales Crez un pool appel NAT_POOL pour les adresses IP 209.165.201.9 209.165.201.14 en utilisant le masque de sous-rseau /29. tape 2 : cration dune liste de contrle daccs standard permettant didentifier les adresses internes traduites Utilisez le nom NAT_ACL et autorisez tous les htes relis aux deux rseaux locaux sur R1.

tape 3 : activation de la source de traduction dynamique Associez le pool de traduction dadresses de rseau la liste de contrle daccs et autorisez la surcharge de traduction dadresses de rseau. tape 4 : dsignation des interfaces de traduction dadresses de rseau internes et externes Vrifiez si les interfaces de traduction dadresses de rseau internes et externes sont correctement dfinies. tape 5 : vrification de la configuration

Tche 7 : consignation des informations relatives au rseau


Excutez la commande show run sur chaque routeur et capturez les configurations.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 4

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 : configuration avance de DHCP et NAT

Tche 8 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 4

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT


Diagramme de topologie

Table dadressage
Priphrique Interface S0/0/0 R1 Fa0/0 Fa0/1 S0/0/0 R2 S0/0/1 Fa0/0 FAI S0/0/1 Adresse IP 172.16.0.1 172.16.10.1 172.16.11.1 172.16.0.2 209.165.201.1 172.16.20.1 209.165.201.2 Masque de sous-rseau 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Prparer le rseau Charger les routeurs avec les scripts fournis Dtecter et corriger des erreurs rseau Documenter le rseau corrig

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 5

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

Scnario
Les routeurs R1 et R2 de votre socit ont t configurs par un ingnieur rseau peu expriment. La prsence de plusieurs erreurs dans la configuration a provoqu des problmes de connectivit. Votre esponsable vous demande de dtecter les erreurs de configuration et de les corriger, puis de dcrire le travail ralis. En utilisant vos connaissances en matire de services DHCP et NAT, ainsi que des mthodes de vrification standard, dtectez les erreurs et corrigez-les. Vrifiez que tous les clients disposent dune connectivit complte. Le FAI a t correctement configur. Assurez-vous que le rseau prend en charge les conditions suivantes : 1. Le routeur R2 doit faire office de serveur DHCP pour les rseaux 172.16.10.0/24 et 172.16.11.0/24, connects au routeur R1. 2. Tous les PC connects au routeur R1 doivent recevoir une adresse IP dans le rseau appropri via le protocole DHCP. 3. Le trafic provenant des rseaux locaux de R1, entrant dans linterface srie Serial 0/0/0 et sortant de linterface srie Serial 0/0/1 de R2, doit recevoir une traduction NAT avec un pool dadresses fourni par le FAI. 4. Le serveur interne doit tre accessible partir des rseaux externes laide de ladresse IP 209.165.201.30 et partir des rseaux internes laide de ladresse IP 172.16.20.254.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie tape 2 : suppression de toutes les configurations existantes sur les routeurs tape 3 : importation des configurations

R1 hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 172.16.10.1 255.255.255.0 ip helper-address 172.16.0.2 no shutdown ! interface FastEthernet0/1 ip address 172.16.11.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 172.16.0.1 255.255.255.252 clock rate 125000 no shutdown ! router rip version 2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 5

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

network 172.16.0.0 no auto-summary ! banner motd $AUTHORIZED ACCESS ONLY$ ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end R2 hostname R2 ! enable secret class ! ip dhcp excluded-address 172.16.10.1 172.16.10.3 ip dhcp excluded-address 172.16.10.1 172.16.11.3 ! ip dhcp pool R1_LAN10 network 172.16.10.0 255.255.255.0 dns-server 172.16.20.254 ! ip dhcp pool R1_LAN11 network 172.16.11.0 255.255.255.0 dns-server 172.16.20.254 ! no ip domain lookup ! interface FastEthernet0/0 ip address 172.16.20.1 255.255.255.0 ip nat inside no shutdown ! interface Serial0/0/0 ip address 172.16.0.2 255.255.255.252 no shutdown ! interface Serial0/0/1 ip address 209.165.201.1 255.255.255.252 ip nat outside clock rate 125000 no shutdown ! router rip version 2 network 172.16.0.0 default-information originate

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 5

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

no auto-summary ! ip route 0.0.0.0 0.0.0.0 209.165.201.2 ! ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL overload ! ip access-list standard NAT_ACL permit 172.16.10.0 0.0.0.255 ! banner motd $AUTHORIZED ACCESS ONLY$ ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end FAI hostname FAI ! enable secret class ! interface Serial0/0/1 ip address 209.165.201.2 255.255.255.252 no shutdown ! ip route 0.0.0.0 0.0.0.0 Serial0/0/1 ! banner motd $AUTHORIZED ACCESS ONLY$ ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 5

CCNA Exploration Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

Tche 2 : recherche et correction des erreurs sur le rseau


Lorsque le rseau est correctement configur : Les ordinateurs PC1 et PC2 doivent tre en mesure de recevoir des adresses IP depuis le pool DHCP appropri, comme lindique la commande ipconfig. En outre, une commande show ip dhcp bindings excute sur le routeur R2 doit indiquer que les deux PC ont reu des adresses IP. Les requtes ping envoyes depuis les ordinateurs PC1 et PC2 au FAI doivent recevoir une traduction NAT avec surcharge, comme indiqu par la commande show ip nat translations sur le routeur R2. Les requtes ping envoyes depuis le serveur interne au FAI doivent recevoir la traduction NAT statique indique dans la topologie. Pour le vrifier, utilisez la commande show ip nat translations. Lenvoi dune requte ping depuis le FAI ladresse globale du serveur interne doit aboutir. Les requtes ping envoyes depuis le FAI au routeur R1 ne doivent recevoir aucune traduction dadresses de rseau (NAT), comme indiqu par la commande show ip nat translations ou debug ip nat sur le routeur R2.

Tche 3 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 5

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1


Diagramme de topologie

Table dadressage
Priphrique Interface Fa0/0 Fa0/1 S0/0/0 S0/0/1 Fa0/1 S0/0/0 S0/0/1 Lo0 Fa0/1 Fa0/1.11 Fa0/1.30 S0/0/0 S0/0/1 VLAN10 VLAN11 Adresse IP 192.168.10.1 192.168.11.1 10.1.1.1 10.3.3.1 192.168.20.1 10.1.1.2 10.2.2.1 209.165.200.225 N/D 192.168.11.3 192.168.30.1 10.3.3.2 10.2.2.2 Protocole DHCP 192.168.11.2 Masque de sous-rseau 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 N/D 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D 209.165.200.226 N/D N/D N/D N/D N/D N/D N/D

R1

R2

R3

Comm1 Comm2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

Comm3 PC1 PC2 PC3 Serveur TFTP

VLAN30 Carte rseau Carte rseau Carte rseau Carte rseau

192.168.30.2 192.168.10.10 192.168.11.10 192.168.30.10 192.168.20.254

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

N/D 192.168.10.1 192.168.11.1 192.168.30.1 192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Charger les routeurs et les commutateurs avec les scripts fournis Identifier et corriger toutes les erreurs rseau Documenter le rseau corrig

Scnario
Vous tes charg de corriger les erreurs de configuration du rseau de la socit. Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe. Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques prcdents.

Conditions requises
Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle du rseau local virtuel VLAN 30. Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2. La liaison srie entre les routeurs R1 et R2 est de type Frame Relay. Assurez-vous que chaque routeur peut envoyer une requte ping sa propre interface Frame Relay. La liaison srie entre R2 et R3 utilise lencapsulation HDLC. La liaison srie entre R1 et R3 utilise le protocole PPP. La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP. En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise.

Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique. Indice : R2# telnet 10.1.1.1 /source-interface loopback 0 Trying 10.1.1.1 ... % Connection refused by remote host Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres routeurs. Les protocoles de routage doivent tre scuriss. Tous les routeurs RIP doivent utiliser lauthentification MD5. R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie directement connecte.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/0. Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP. Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP auprs du service DHCP de R1. Cela concerne notamment Comm1. R1 doit tre accessible via SDM. Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les priphriques.

Tche 1 : chargement des routeurs avec les scripts fournis


!-----------------------------------------! R1 !-----------------------------------------no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret 5 ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup ! ! username R3 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY encapsulation frame-relay
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

clockrate 128000 frame-relay map ip 10.1.1.1 201 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp no shutdown ! interface Serial0/0/1 ip address 10.3.3.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY encapsulation ppp ppp authentication chap no shutdown ! ! router rip version 2 passive-interface default network 192.168.10.0 network 192.168.11.0 no auto-summary ! ip classless ! no ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !-----------------------------------------! R2 !-----------------------------------------no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

! aaa authentication login LOCAL_AUTH local aaa session-id common ! ip cef ! no ip domain lookup ! key chain RIP_KEY key 1 key-string cisco username ccna password 0 ciscoccna ! interface Loopback0 description Simulated ISP Connection ip address 209.165.200.245 255.255.255.224 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat outside duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside encapsulation frame-relay no keepalive frame-relay map ip 10.1.1.1 201 broadcast no frame-relay inverse-arp ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.0 ip access-group R3-telnet in ip nat inside ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY clockrate 128000 ! ! router rip version 2 passive-interface default no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.20.0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

default-information originate no auto-summary ! ip classless ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list NAT interface FastEthernet0/0 overload ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet permit ip any any ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !-----------------------------------------! R3 !-----------------------------------------no service password-encryption ! hostname R3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model ! ip cef
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

! no ip domain lookup ! key chain RIP_KEY key 1 key-string cisco username R1 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/1 no shutdown ! interface FastEthernet0/1.11 encapsulation dot1Q 11 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status ! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-spoofing in no snmp trap link-status ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp clockrate 125000 ppp authentication chap ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 ! router rip version 2 passive-interface default no passive-interface FastEthernet0/1.11 no passive-interface FastEthernet0/1.30 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.11.0 network 192.168.30.0 no auto-summary ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY in exec-timeout 15 0 logging synchronous login local ! end !----------------------------------------! Comm1 !----------------------------------------no service password-encryption ! hostname Comm1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 ! interface GigabitEthernet0/1 shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm2 !----------------------------------------no service password-encryption ! hostname Comm2 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 24576 spanning-tree vlan 30 priority 28672 ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 11
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0 no ip route-cache ! ip http server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm3 !----------------------------------------no service password-encryption ! hostname Comm3 ! security passwords min-length 6 enable secret ciscoccna
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

! no aaa new-model vtp domain CCNA_troubleshooting vtp mode server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 28672 spanning-tree vlan 30 priority 24576 ! vlan internal allocation policy ascending ! ! interface FastEthernet0/1 switchport trunk allowed vlan 30 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30 ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end

Tche 2 : dtection et correction de toutes les erreurs rseau Tche 3 : vrification de la conformit aux conditions requises Tche 4 : documentation du rseau corrig Tche 5 : remise en tat
Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Autres configurations
!-----------------------------------------! R1 !-----------------------------------------no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret 5 ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup frame-relay switching ! ! username R3 password 0 ciscoccna username ccna password 0 ciscoccna !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY encapsulation frame-relay clockrate 128000 frame-relay map ip 10.1.1.1 201 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp no shutdown frame-relay intf-type dce ! interface Serial0/0/1 ip address 10.3.3.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY encapsulation ppp ppp authentication chap no shutdown ! ! router rip version 2 passive-interface default network 10.0.0.0 network 192.168.10.0 network 192.168.11.0 no auto-summary ! ip classless ! no ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 13 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !-----------------------------------------! R2 !-----------------------------------------no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login LOCAL_AUTH local aaa session-id common ! ip cef ! no ip domain lookup ! key chain RIP_KEY key 1 key-string cisco username ccna password 0 ciscoccna ! interface Loopback0 description Simulated ISP Connection ip address 209.165.200.245 255.255.255.224 ! interface FastEthernet0/0 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat outside duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside encapsulation frame-relay
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 14 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

no keepalive frame-relay map ip 10.1.1.1 201 broadcast frame-relay map ip 10.1.1.2 201 no frame-relay inverse-arp ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.0 ip access-group R3-telnet in ip nat inside ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY clockrate 128000 ! ! router rip version 2 passive-interface default no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.20.0 default-information originate no auto-summary ! ip classless ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list NAT interface FastEthernet0/0 overload ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet permit ip any any ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 15 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !-----------------------------------------! R3 !-----------------------------------------no service password-encryption ! hostname R3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model ! ip cef ! no ip domain lookup ! key chain RIP_KEY key 1 key-string cisco username R1 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/1 no shutdown ! interface FastEthernet0/1.11 encapsulation dot1Q 11 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status ! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-spoofing in no snmp trap link-status ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp clockrate 125000 ppp authentication chap ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 ! router rip
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 16 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

version 2 passive-interface default no passive-interface FastEthernet0/0,11 no passive-interface FastEthernet0/0,30 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.11.0 network 192.168.30.0 no auto-summary ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY in exec-timeout 15 0 logging synchronous login local ! end !----------------------------------------! Comm1 !----------------------------------------no service password-encryption ! hostname Comm1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 17 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm2 !----------------------------------------no service password-encryption ! hostname Comm2 !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 18 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent

vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 24576 spanning-tree vlan 30 priority 28672 ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 19 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

no ip route-cache ! ip http server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm3 !----------------------------------------no service password-encryption ! hostname Comm3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_troubleshooting vtp mode server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 28672 spanning-tree vlan 30 priority 24576 ! vlan internal allocation policy ascending ! ! interface FastEthernet0/1 switchport trunk allowed vlan 30 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 20 sur 21

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30 ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 21 sur 21

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2


Diagramme de topologie

Table dadressage
Priphrique Interface Fa0/0 Fa0/1 S0/0/0 S0/0/1 Fa0/1 S0/0/0 S0/0/1 Lo0 Fa0/1 Fa0/1.11 Fa0/1.30 S0/0/0 S0/0/1 VLAN10 VLAN11 VLAN30 Adresse IP 192.168.10.1 192.168.11.1 10.1.1.1 10.3.3.1 192.168.20.1 10.1.1.2 10.2.2.1 209.165.200.225 N/D 192.168.11.3 192.168.30.1 10.3.3.2 10.2.2.2 Protocole DHCP 192.168.11.2 192.168.30.2 Masque de sous-rseau 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 N/D 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D 209.165.200.226 N/D N/D N/D N/D N/D N/D N/D N/D

R1

R2

R3

Comm1 Comm2 Comm3

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

PC1 PC2 PC3 Serveur TFTP

Carte rseau Carte rseau Carte rseau Carte rseau

Protocole DHCP 192.168.11.10 192.168.30.10 192.168.20.254

255.255.255.0 255.255.255.0 255.255.255.0

192.168.11.1 192.168.30.1 192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Charger les routeurs et les commutateurs avec les scripts fournis Identifier et corriger toutes les erreurs rseau Documenter le rseau corrig

Scnario
Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin dempcher tout verrouillage accidentel. Dans ces travaux pratiques, le mot de passe utiliser est ciscoccna. Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques prcdents.

Conditions requises
Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle du rseau local virtuel VLAN 30. Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2. La liaison srie entre les routeurs R1 et R2 est de type Frame Relay. La liaison srie entre R2 et R3 utilise lencapsulation HDLC. La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP. En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise. Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique. Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres routeurs. Les protocoles de routage doivent tre utiliss de manire scurise. Le protocole EIGRP est utilis dans ce scnario. R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie directement connecte. R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/1. Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP. Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP auprs du service DHCP de R1. Cela concerne notamment Comm1. Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les priphriques.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

Tche 1 : chargement des routeurs avec les scripts fournis


!-----------------------------------------! R1 !-----------------------------------------no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup frame-relay switching ! username R2 password ciscoccna username ccna password ciscoccna ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip access-group Anti-spoofing out duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 duplex auto speed auto no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 encapsulation frame-relay no keepalive clockrate 128000 frame-relay map ip 10.1.1.1 201 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp frame-relay intf-type dce no shutdown ! interface Serial0/0/1 ip address 10.3.3.1 255.255.255.0 encapsulation ppp ppp authentication chap no shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

! ! router eigrp 10 passive-interface default no passive-interface FastEthernet0/0 no passive-interface FastEthernet0/1 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.1.1.0 0.0.0.255 network 10.2.2.0 0.0.0.255 network 192.168.10.0 0.0.0.255 network 192.168.11.0 0.0.0.255 no auto-summary ! ip route 0.0.0.0 0.0.0.0 10.1.1.2 ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !-----------------------------------------! R2 !-----------------------------------------no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login local_auth local aaa session-id common ! ip cef ! no ip domain lookup !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

username ccna password 0 ciscoccna ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ip access-group private in ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat outside no shutdown ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ip nat inside encapsulation frame-relay no keepalive frame-relay map ip 10.1.1.1 201 broadcast frame-relay map ip 10.1.1.2 201 no frame-relay inverse-arp no shutdown ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 ip nat inside clockrate 128000 no shutdown ! ! router eigrp 100 passive-interface default no passive-interface FastEthernet0/1 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 no passive interface lo0 network 10.1.1.0 0.0.0.3 network 10.2.2.0 0.0.0.3 network 192.168.20.0 0.0.0.255 network 209.165.200.0 0.0.0.7 no auto-summary ! ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list NAT interface FastEthernet0/0 overload ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 ip access-list standard private deny 127.0.0.1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

deny 10.0.0.0 0.255.255.255 deny 172.16.0.0 0.15.255.255 deny 192.168.0.0 0.0.255.255 permit any ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !-----------------------------------------! R3 !-----------------------------------------no service password-encryption ! hostname R3 ! security passwords min-length 6 ! no aaa new-model ! ip cef ! no ip domain lookup ! username R1 password ciscoccna username ccna password ciscoccna ! interface FastEthernet0/1 no shutdown ! interface FastEthernet0/1.11 encapsulation dot1Q 11 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-Spoofin in no shutdown ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp ppp authentication pap ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 no shutdown ! router eigrp 10 network 10.3.3.0 0.0.0.3 network 10.2.2.0 0.0.0.3 network 192.168.11.0 0.0.0.255 network 192.168.30.0 0.0.0.255 no auto-summary ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY out exec-timeout 15 0 logging synchronous login local ! end !----------------------------------------! Comm1 !----------------------------------------no service password-encryption
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

! hostname Comm1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

no login ! end !----------------------------------------! Comm2 !----------------------------------------no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Comm2 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode Client vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode mst spanning-tree extend system-id spanning-tree vlan 30 priority 4096 ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0 no ip route-cache ! ip http server ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm3 !----------------------------------------no service password-encryption ! hostname Comm3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode Server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 4096 vlan internal allocation policy ascending ! Vlan 11,30 ! interface FastEthernet0/1 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 11

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

switchport mode access ! interface FastEthernet0/3 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30 ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end

Tche 2 : dtection et correction de toutes les erreurs rseau Tche 3 : vrification de la conformit aux conditions requises Tche 4 : documentation du rseau corrig Tche 5 : remise en tat
Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 11

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3


Diagramme de topologie

Table dadressage
Priphrique Interface Fa0/0 Fa0/1 S0/0/0 S0/0/1 Fa0/1 S0/0/0 S0/0/1 Lo0 Fa0/1 Fa0/1.11 Fa0/1.30 S0/0/0 S0/0/1 VLAN10 VLAN11 VLAN30 Adresse IP 192.168.10.1 192.168.11.1 10.1.1.1 10.3.3.1 192.168.20.1 10.1.1.2 10.2.2.1 209.165.200.225 N/D 192.168.11.3 192.168.30.1 10.3.3.2 10.2.2.2 Protocole DHCP 192.168.11.2 192.168.30.2 Masque de sous-rseau 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 N/D 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 Passerelle par dfaut N/D N/D N/D N/D N/D N/D N/D 209.165.200.226 N/D N/D N/D N/D N/D N/D N/D N/D

R1

R2

R3

Comm1 Comm2 Comm3

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

PC1 PC2 PC3 Serveur TFTP

Carte rseau Carte rseau Carte rseau Carte rseau

192.168.10.10 192.168.11.10 192.168.30.10 192.168.20.254

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

192.168.10.1 192.168.11.1 192.168.30.1 192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Cbler un rseau conformment au diagramme de topologie Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres par dfaut Charger les routeurs et les commutateurs avec les scripts fournis Identifier et corriger toutes les erreurs rseau Documenter le rseau corrig

Scnario
Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe. Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques prcdents.

Conditions requises
Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle du rseau local virtuel VLAN 30. Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2. La liaison srie entre les routeurs R1 et R2 est de type Frame Relay. La liaison srie entre R2 et R3 utilise lencapsulation HDLC. La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP. En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise. Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique. Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres routeurs. Les protocoles de routage doivent tre utiliss de manire scurise. Le protocole OSPF est utilis dans ce scnario. R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie directement connecte. R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/1. Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP. Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP auprs du service DHCP de R1. Cela concerne notamment Comm1. Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les priphriques.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

Tche 1 : chargement des routeurs avec les scripts fournis


!-----------------------------------------! R1 !-----------------------------------------no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.11.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup ! ip dhcp excluded-address 192.168.10.2 192.168.10.254 ! frame-relay switching ! username R3 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 duplex auto speed auto no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 encapsulation frame-relay no keepalive clockrate 128000 frame-relay map ip 10.1.1.1 201 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp frame-relay intf-type dce no shutdown !

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

interface Serial0/0/1 ip address 10.3.3.1 255.255.255.252 encapsulation ppp ppp authentication chap no shutdown ! interface Serial0/1/0 no ip address shutdown clockrate 2000000 ! interface Serial0/1/1 no ip address shutdown ! router ospf 1 log-adjacency-changes passive-interface FastEthernet0/0 network 10.1.1.0 0.0.0.255 area 0 network 10.2.2.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !-----------------------------------------! R2 !-----------------------------------------no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

aaa authentication login local_auth local aaa session-id common ! ip cef ! no ip domain lookup ! username ccna password 0 ciscoccna ! interface Loopback0 ip address 209.165.200.245 255.255.255.224 ip access-group private in ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat inside duplex auto speed auto ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ip nat outside encapsulation frame-relay no keepalive frame-relay map ip 10.1.1.1 201 broadcast frame-relay map ip 10.1.1.2 201 no frame-relay inverse-arp ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 ip access-group R3-telnet in ip nat outside ! ! router ospf 1 passive-interface FastEthernet0/1 network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 ! ip classless ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list nat interface FastEthernet0/0 ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

ip access-list standard private deny 127.0.0.1 deny 10.0.0.0 0.255.255.255 deny 172.0.0.0 0.31.255.255 deny 192.168.0.0 0.0.255.255 permit any ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet permit ip any any ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !-----------------------------------------! R3 !-----------------------------------------no service password-encryption ! hostname R3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model ! ip cef ! no ip domain lookup ! username R1 password ciscoccna username ccna password ciscoccna ! interface FastEthernet0/1 no ip address duplex auto speed auto no shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

! interface FastEthernet0/1.11 encapsulation dot1Q 12 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status ! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-spoofing in ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp clockrate 125000 ppp authentication chap no shutdown ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 encapsulation lapb no shutdown ! router ospf 1 passive-interface FastEthernet0/1.30 network 10.2.2.0 0.0.0.3 area 1 network 10.3.3.0 0.0.0.3 area 1 network 192.168.11.0 0.0.0.255 area 1 network 192.168.30.0 0.0.0.255 area 1 ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY in exec-timeout 15 0 logging synchronous login local
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

! end !----------------------------------------! Comm1 !----------------------------------------no service password-encryption ! hostname Comm1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server !

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm2 !----------------------------------------no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Comm2 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode client vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 24576 spanning-tree vlan 30 priority 28672 ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk allowed vlan 11,30 switchport mode trunk !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0 no ip route-cache ! ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------! Comm3 !----------------------------------------no service password-encryption ! hostname Comm3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode Server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 28672 spanning-tree vlan 30 priority 24576 ! vlan internal allocation policy ascending !
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 10 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

vlan 30 ! interface FastEthernet0/1 switchport trunk allowed vlan 11 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30 ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 12

CCNA Exploration Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

Tche 2 : dtection et correction de toutes les erreurs rseau Tche 3 : vrification de la conformit aux conditions requises
Les contraintes de temps ne permettant pas daborder le dpannage de problmes couvrant tous les sujets, seul un certain nombre de sujets sont censs poser problme dans le cadre de cet exercice. Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier le respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque condition requise, tel quune commande show ou debug.

Tche 4 : documentation du rseau corrig Tche 5 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 12