ISTA HAY HASSANI

CCNA CCNA 2
Routers & Routing Basics

Rsum
Ralis par : BOUTAHIR Mounir

ISTA HH

CCNA 2

Sommaire :
Module 1 : Rseaux WAN & routeurs -------------------------------------------- 3

Module 2 : Introduction aux routeurs ------------------------------------------- 12

Module 3 : Configuration dun routeur ------------------------------------------ 18 Module 4 : Informations sur les autres quipements -------------------------- 24

Module 5 : Gestion de la plate-forme logicielle Cisco IOS -------------------- 31

Module 6 : Routage & Protocoles de routage ---------------------------------- 40

Module 7 : Protocoles de routage vecteur de distance ---------------------- 48

Module 8 : Messages de contrle & derreur TC/IP suite -------------------- 62

Module 9 : Dpannage de base dun routeur ------------------------------------ 71 Module 10 : TCP/IP (niveau intermdiaire) ----------------------------------- 83

Module 11 : Listes de contrle daccs (ACL) ---------------------------------- 91 Module 11+ : les ACL (Pratique) ----------------------------------------------- 102

ISTA HH

CCNA 2

Module 1

ISTA HH

CCNA 2

Introduction au rseau WAN :

Un rseau WAN est un rseau de communication de donnes qui couvre une zone gographique tendue, comme un dpartement, une rgion ou un pays par exemple.

Caractristiques :

Ils relient des quipements gographiquement loigns. Ils utilisent les services de porteuse d'oprateurs tels que RBOC (Regional Bell Operating Company), Sprint, MCI et VPM Internet Services, Inc. Ils utilisent divers types de connexions srie pour accder la bande passante.

Un rseau WAN fonctionne au niveau de la couche physique et de la couche liaison de donnes du modle de rfrence OSI. Les quipements utiliss dans un WAN :

Des routeurs, qui offrent de nombreux services, y compris linterconnexion. Le terme modems inclut des services dinterface de qualit voix, des units CSU/DSU servant dinterface pour les services T1-E1 Des serveurs de communication, qui concentrent les communications utilisateur entrantes et sortantes via le RTC.

ISTA HH

CCNA 2

Les protocoles de liaison de donnes WAN spcifient la faon dont les trames sont transportes entre les systmes sur une mme liaison. Il sagit notamment des protocoles conus pour fonctionner avec des services point point, multipoints et commuts multi-accs, tels que les services Frame Relay. Organismes grant les normes :

LUIT-T (Union Internationale des Tlcommunications Tlcommunications) LOrganisation internationale de normalisation (ISO). LInternet Engineering Task Force (IETF). LElectrical Industries Association (EIA).

Introduction aux routeurs dans un rseau WAN

Un routeur est un type spcial dordinateur. Il possde les mmes composants de base quun ordinateur de bureau standard. Il est dot dun processeur, de mmoire, dun systme de bus, ainsi que de diverses interfaces dentre/sortie. Les routeurs doivent tre quips dune plate-forme logicielle IOS (Internetworking Operating Software) pour excuter les fichiers de configuration. Ces fichiers contiennent les instructions et les paramtres qui contrlent le trafic entrant et sortant des routeurs.

Les principaux composants internes dun routeur :

UC: Le processeur (UC) excute les instructions du systme dexploitation IOS. Ses principales fonctions sont, entre autres, linitialisation du systme, le routage et le contrle de linterface rseau. La mmoire vive (RAM) ou DRAM :

elle contient les tables de routage. elle contient le cache ARP. elle contient la mmoire cache commutation rapide. elle effectue la mise en mmoire tampon des paquets (Mmoire dE/S partage). elle gre les files dattente de paquets. elle sert de mmoire temporaire pour le fichier de configuration. elle perd son contenu la mise hors tension ou au redmarrage du routeur.

La mmoire vive rmanente (NVRAM) :

elle assure le stockage du fichier de configuration de dmarrage, elle conserve son contenu la mise hors tension ou au redmarrage du routeur.

La mmoire flash :

elle contient limage du systme dexploitation (IOS),

ISTA HH

CCNA 2

elle permet de mettre jour le logiciel sans suppression ni remplacement de puces. elle conserve son contenu la mise hors tension ou au redmarrage du routeur, elle peut stocker plusieurs versions de la plate-forme logicielle IOS, elle constitue un type de ROM (EEPROM).

Lajout ou le remplacement des modules SIMM de mmoire flash ou des cartes PCMCIA permet de mettre niveau la quantit de mmoire flash. La mmoire morte (ROM) :

elle gre les instructions du test automatique de mise sous tension (POST). elle stocke le programme damorage (bootstrap) et le logiciel de systme de base. elle ncessite un remplacement des puces enfichables sur la carte mre pour procder aux mises jour logicielles.

Bus:

Les routeurs comportent un bus systme et un bus processeur. Le bus systme est utilis pour transfrer les paquets vers et depuis les interfaces. le bus processeur est utilis pour transfre les instructions et les donnes vers ou depuis les adresses mmoire spcifies.

Les interfaces :

elles connectent le routeur au rseau pour lentre et la sortie des paquets, elles peuvent se trouver sur la carte mre ou sur un module spar.

ISTA HH

CCNA 2

Les connexions externes des routeurs :

Le routeur possde trois types dinterfaces: LAN, WAN et Console/AUX. Les interfaces LAN (Ethernet ou Token Ring standard ). Les interfaces WAN (ports srie, RNIS et une unit de transmission de donnes (CSU). Les ports de gestion sont des ports srie utiliss pour la configuration initiale (Aux, Console ) ** les ports de gestion sont des ports srie asynchrones EIA-232.

Connexion des ports de gestion :

Pour le dpannage, il est prfrable d'utiliser le port console plutt que le port auxiliaire, car il permet par dfaut d'afficher les messages de dmarrage, de dbogage et les messages derreur du routeur.

ISTA HH

CCNA 2

Connexion des interfaces en mode console :

Le port console est un port de gestion qui fournit un accs hors bande au routeur. Il est utilis pour la configuration initiale du routeur, pour la surveillance, et pour les procdures de reprise aprs sinistre. Pour connecter le PC un routeur: 1. Configurez le logiciel dmulation de terminal sur le PC pour: Le port COM appropri 9600 bauds 8 bits de donnes Aucune parit 1 bit darrt Aucun contrle de flux 2. Connectez le connecteur RJ-45 du cble paires inverses au port console du routeur. 3. Connectez lautre extrmit du cble paires inverses ladaptateur RJ-45 DB-9. 4. Connectez ladaptateur DB-9 femelle un PC.

ISTA HH

CCNA 2

Connecteurs 8 broches sur les routeurs CISCO :

Types de rseau WAN :

ISTA HH

CCNA 2

Routeurs de rseaux LAN & WAN :

Bien quun routeur puisse servir pour segmenter des rseaux LAN, son utilisation premire est celle dune unit WAN. Les deux fonctions principales d'un routeur sont de slectionner le meilleur chemin pour les paquets et de commuter ces paquets vers l'interface approprie. Un interrseau correctement configur fournit les lments suivants :

un adressage cohrent de bout en bout. des adresses reprsentant les topologies rseau. une slection du meilleur chemin. un routage dynamique ou statique. la commutation.

Rle dun routeur dans un rseau WAN :

Les caractristiques qui distinguent un rseau WAN dun rseau LAN se situent en gnral au niveau de la couche physique et de la couche liaison de donnes. Autrement dit, les normes et les protocoles des couches 1 et 2 des rseaux WAN sont diffrents de ceux des mmes couches des rseaux LAN. La couche physique WAN dcrit linterface entre lETTD (quipement terminal de traitement de donnes) et lETCD (quipement de terminaison de circuit de donnes). En rgle gnrale, lETCD est le rseau du fournisseur daccs et lETTD, lunit connecte. Le rle principal d'un routeur dans un WAN n'est donc pas le routage, mais la compatibilit des connexions vers et entre les diverses normes physiques et de liaison de donnes dun rseau WAN. Normes et protocoles de la couche physique WAN:

EIA/TIA-232 V.24 V.35 X.21 RNIS T1, T3, E1 et E3 xDSL SONET

10

ISTA HH

CCNA 2

Normes et protocoles de la couche liaison de donnes WAN:

HDLC (High-level Data Link Control) Frame Relay PPP (protocole point point) SDLC (Synchronous Data Link Control) SLIP (Serial Line Internet Protocol) X.25 ATM

11

ISTA HH

CCNA 2

Module 2

12

ISTA HH

CCNA 2

Lobjectif de la plateplate-forme logicielle Cisco IOS

Cisco a nomm son systme dexploitation Cisco Internetwork Operating System ou Cisco IOS (pour les routeurs / commutateurs), LIOS fournit les services rseau suivants: fonctions de routage et de commutation de base accs fiable et scuris aux ressources en rseau volutivit du rseau.

Modes dinterface utilisateur des routeurs

LIOS fournit un service dinterprteur de commande baptis programme dexcution des commandes (EXEC). chaque entre de commande, le programme dexcution valide puis excute la commande. Par mesure de scurit, lIOS spare les sessions dexcution en deux niveaux daccs. Ces niveaux sont le mode utilisateur et le mode privilgi (enable). Le mode utilisateur nautorise quun nombre limit de commandes de surveillance de base visualisation seule . Le niveau utilisateur nautorise aucune commande susceptible de modifier la configuration du routeur Router> Le mode privilgi accde toutes les commandes du routeur. Protger par un mot de passe (et mme une ID utilisateur). Ainsi, seuls les utilisateurs autoriss peuvent accder au routeur Router# Remarque : Deux commandes permettent de dfinir un mot de passe daccs au mode privilgi: enable password et enable secret. Si les deux commandes sont utilises, la commande enable secret a prsance. CtrlCtrl-Z permet de retourner vers le mode privilgi.

13

ISTA HH

CCNA 2

Caractristiques de la plateplate-forme logicielle logicielle Cisco IOS

Cisco dveloppe diffrentes images IOS. Chaque image reprsente un jeu de fonctions adapt aux diffrentes plates-formes, aux ressources mmoire disponibles, ainsi quaux besoins du client. (La structure de commande de configuration de base reste identique). Show version pour vrifier limage en cours et la mmoire flash disponible.

... <output omitted> ... Cisco 1721 (68380) processor (revision C) with 3584K/512K bytes of memory.

Cette ligne indique quelle quantit de mmoire principale et de mmoire partage est installe dans le routeur. Show flash pour trouver la quantit de mmoire flash.

... <output omitted> ... 15998976 bytes total (10889728 bytes free)

Fonctionnement de la plateplate-forme logicielle Cisco IOS

Les quipements Cisco ISO possdent 3 environnements dexploitation ou modes distincts : Moniteur ROM Mmoire ROM amorable Cisco IOS

Le processus de dmarrage du routeur se charge normalement en mmoire RAM et excute lun de ces environnements dexploitation (selon la valeur du registre de configuration) Le moniteur ROM excute le processus de bootstrap et fournit des fonctions et des diagnostics de bas niveau. Il sert au redmarrage suite une panne systme et la rcupration des mots de passe perdus (accessible quau moyen dune connexion physique directe travers le port console). Le mode ROM amorable, seul un sous-ensemble limit des fonctions de lIOS est disponible. La mmoire ROM amorable permet les oprations dcriture en mmoire flash et est principalement utilise pour remplacer limage IOS qui est stocke en mmoire flash. Cisco IOS : la version complte de lIOS charg partir de la mmoire flash. Show version pour voir limage et la version de lIOS qui sexcute + le paramtre du registre de configuration Remarque : Sur certains quipements, lIOS est directement excut partir de la mmoire flash. Cependant, certains routeurs Cisco requirent le chargement dune copie de lIOS dans la mmoire RAM et son excution partir de celle-ci

14

ISTA HH

CCNA 2

Dmarrage Dmarrage initial des routeurs Cisco

Les routines de dmarrage effectuent les oprations suivantes : vrifier que le matriel de routeur a t test et est oprationnel (POST). trouver et charger lIOS. trouver et appliquer le fichier de configuration de dmarrage

1 le routeur excute un test POST en excutant les diagnostics chargs en mmoire ROM. (le fonctionnement de base du processeur, de la mmoire et des ports d'interface rseau). 2 le chargeur de bootstrap gnrique de la mmoire ROM sexcute pour initialiser lIOS selon la valeur du registre de configuration . Lorsque lIOS est charg et oprationnel, une liste des composants matriels et logiciels saffiche sur lcran. 3 Le fichier de configuration stock dans la mmoire NVRAM est charg dans la mmoire principale, puis il est excut ligne par ligne (protocoles, adresses, services ). Sinon (pas de fichier en NVRAM), le systme dexploitation recherche un serveur TFTP disponible. Sil nen trouve aucun, le dialogue de configuration (SETUP) est tabli.

Mode Setup :
Le mode SETUP a pour but de donner une configuration de base afin de dmarrer le routeur. Dans le mode setup, les rponses par dfaut apparaissent entre crochets [ ] la suite de la question. Appuyez sur la touche Entre pour accepter les valeurs par dfaut. CtrlCtrl-C mettre fin au processus SETUP.

A la fin, il faut savoir que toutes les interfaces sont administrativement dsactives

Indicateurs LED du routeur (informations de statut) :

Une LED dinterface indique lactivit de linterface correspondante. Si une interface est occupe en permanence, sa LED reste toujours allume. La LED OK de couleur verte situe droite du port AUX sallume lorsque le systme sinitialise correctement.

Examen du dmarrage initial initial dun routeur

La valeur configure en usine pour le registre de configuration est 0x2102, ce qui indique que le routeur doit tenter de charger lIOS selon les commandes Boot System

15

ISTA HH

CCNA 2

Lutilisateur peut dterminer la version bootstrap et la version de lIOS que le routeur utilise + le modle de routeur + le processeur + la quantit de mmoire + le nombre dinterfaces + les types dinterfaces + la quantit des mmoires NVRAM & flash. indique lutilisateur Le message NVRAM invalid, possibly due to write erase que ce routeur na pas encore t configur ou que la mmoire NVRAM a t efface

Aide au clavier dans linterface CLI du routeur

? Afficher la liste des commandes disponibles du mode courant. Linvite --More-- indique la prsence de plusieurs crans. Le bouton Entre Le bouton Espace Afficher la ligne suivante. Afficher lcran suivante.

Lindice ^ indique la position de lerreur. Le symbole du dollar $ indique que la ligne a t dplace vers la gauche.

Commandes ddition avance

L'interface utilisateur offre un mode d'dition avance vous permettant de modifier une ligne de commande au cours de la frappe (automatiquement activ).

Historique des commandes du routeur

La fonction d'historique des commandes vous permet d'accomplir les tches suivantes:

dfinir la capacit du tampon dhistorique des commandes. rappeler des commandes. dsactiver la fonction dhistorique des commandes.

Par dfaut, la fonction dhistorique des commandes est active et le systme enregistre 10 lignes de commandes dans son tampon (maximum 256).

16

ISTA HH

CCNA 2

Clock set

{heure} {date}

pour configurer lheure et la date du routeur.

Informations affiches par la la commande show version :

la version de lIOS et informations descriptives. la version de ROM du bootstrap. la version de la ROM amorable. le temps de fonctionnement du routeur. la dernire mthode de redmarrage. le fichier et lemplacement de limage systme. la plate-forme de routeur. la valeur du registre de configuration.

17

ISTA HH

CCNA 2

Module Module 3

18

ISTA HH

CCNA 2

Modes de commandes CLI :

Toutes les modifications de la configuration apportes sur un routeur Cisco sont effectues en mode de configuration globale.
Router#configure terminal Router(config)#

Voici quelques-uns des modes auquel vous pouvez accder partir du mode de configuration globale :

Configuration du nom dun routeur

Router(config)#hostname Tokyo Tokyo(config)#

Configuration des mots de passe dun routeur

La commande service passwordpassword-encryption applique un cryptage simple tous les mots de passe non crypts. La commande enable secret <password> utilise un puissant algorithme MD5 pour le cryptage.

19

ISTA HH

CCNA 2

Examen des commandes show

Plusieurs commandes show peuvent tre utilises pour examiner le contenu des fichiers du routeur ou pour le dpannage. Show interfaces Affiche les statistiques relatives toutes les interfaces du routeur. Affiche les caractristiques de linterface.

Show controllers serial Show clock Show hosts Show users

Indique l'heure dfinie sur le routeur Affiche une liste de noms et d'adresses d'htes se trouvant en mmoire cache Indique tous les utilisateurs connects au routeur

Show flash Affiche des informations sur la mmoire flash ainsi que la liste des fichiers IOS qui y sont stocks Show ARP ARP Affiche la table ARP du routeur

Show protocols Affiche ltat gnral et propre aux interfaces de tous les protocoles de couche 3 configurs. Show startupstartup-config Show runningrunning-config Affiche le contenu de la NVRAM. Affiche le contenu du fichier de configuration excut actuellement.

20

ISTA HH

CCNA 2

Configuration dune interface srie

Router(config)#interface serial {slot/port] Router(config-if)#ip address <ip address> <net mask> Router(config-if)#clock rate {valeur dhorloge} Router(config-if)#no shutdown slectionner linterface dfinir l@ IP + le masque sil sagit de lETCD activer linterface

Faire des changements de configuration

En cas derreur, vous pouvez corriger lenvironnement en effectuant une ou plusieurs des oprations suivantes: No {commande} dsactiver la commande. recharger le systme de la mmoire NVRAM.

Copy startupstartup-config runningrunning-config Copy tftp runningrunning-config Erase startupstartup-config

copier un fichier de configuration archiv via un serveur TFTP.

supprimer le fichier de configuration + Reload

21

ISTA HH

CCNA 2

Configuration dune interface Ethernet

Router(config)#interface {Type] {slot/port] Router(config-if)#ip address <ip address> <net mask> Router(config-if)#no shutdown slectionner linterface dfinir l@ IP + le masque activer linterface

Rsolution de nom dhte

La rsolution de nom dhte est le processus quutilise le systme informatique pour associer un nom dhte une adresse IP. Contrairement aux noms DNS, les noms dhtes ne sont significatifs que sur le routeur sur lequel ils sont configurs.
Router(config)#ip host {nom du routeur} {@1] {@2}

Configuration facultative: Descriptions dinterface

Il est indispensable dutiliser une description dinterface afin didentifier des informations importantes concernant cet interface.
Router(config-if)#description {commentaire}

Bannires de connexion
Une bannire de connexion saffiche lors de la connexion, et permet de transmettre un message destin tous les utilisateurs du routeur (pour les avertir, par exemple, dun arrt imminent du systme).
Router(config)#banner motd # le message ici

#.

Sauvegarde de la configuration et documentation

Les fichiers de configuration doivent tre stocks en tant que fichiers de sauvegarde pour parer toute ventualit.

22

ISTA HH

CCNA 2

Copie, dition et collage des configurations

Copy runningrunning-config config tftp serveur tftp Pour sauvegarder une copie de fichier de configuration sur un

Indiquer l@ IP du serveur tftp. Indiquer un nom pour le fichier. Confirmez vos choix. Copy tftp runningrunning-config serveur tftp Pour utiliser une copie de fichier de configuration stock sur un

Slectionner fichier dhte / ficher de rseau. Entrer l@ IP du serveur. Entrer le nom du fichier de configuration ou acceptez le nom par dfaut

23

ISTA HH

CCNA 2

Module 4

24

ISTA HH

CCNA 2

Introduction au protocole CDP

CDP (Cisco Discovery Protocol) est un protocole de couche 2 qui relie des mdias physiques de niveau infrieur et des protocoles de couche rseau de niveau suprieur. Il permet dobtenir des informations sur les quipements voisins. CDP est indpendant du mdia comme du protocole CDP Version 2 (CDPv2) est la version la plus rcente de ce protocole. Une trame CDP est de petite taille ne surchargeant pas les rseaux. Lors du dmarrage dun quipement Cisco, CDP dmarre de faon automatique et permet lquipement de dtecter les quipements voisins qui excutent comme lui ce protocole. Chaque quipement configur pour CDP envoie priodiquement des messages, appels annonces, aux quipements rseau directement connects. Les annonces contiennent galement des informations de dure de vie ou dure de conservation, indiquant pendant combien de temps les quipements rcepteurs doivent conserver les informations CDP avant de les liminer.

Informations obtenues avec CDP

Show cdp neighbors neighbors pour afficher les informations sur les rseaux directement connects.

25

ISTA HH

CCNA 2

CDP fournit des informations sur chaque quipement CDP voisin en transmettant des TLV (Type Length Value), cest--dire des blocs dinformations incorpors dans des annonces. Les TLV affiches par les commandes show cdp neighbors sont notamment:

lidentifiant linterface locale la dure de conservation la capacit la plate-forme lID du port

Les TLV suivantes ne sont comprises que dans CDPv2:

le nom de domaine de gestion VT le VLAN natif le mode Full-Duplex ou Half-Duplex

Mise en uvre, surveillance et maintenance du protocole CDP

26

ISTA HH

CCNA 2

La commande cdp enable est utilise pour activer CDP sur une interface particulire. Sur la version 10.3 de la plate-forme logicielle Cisco IOS, CDP est activ par dfaut. Toutefois, sur certaines interfaces, telles que les interfaces asynchrones, CDP est dsactiv par dfaut. No CDP run Pour dsactiver CDP au niveau global. No CDP enable dsactiver CDP en mode de configuration dinterface

Dpannage du protocole CDP

Introduction Telnet :
Telnet est un protocole de couche 7 du modle OSI sous forme dune commande EXEC de lIOS qui sert tablir une connexion distance. On peut utiliser Telnet pour se connecter des htes distants pour le but de : configurer des quipements rseau distance tester la connectivit (parce que Telnet offre un test complet) Telnet sappuie sur lutilisation du protocole TCP au niveau de la couche Transport. Les commandes Telnet peuvent tre excutes en mode utilisateur ou en mode privilgi

27

ISTA HH

CCNA 2

Etablir une session :

Utilisez lun des commandes suivantes pour tablir une session Telnet : Router> connect {@IP | Nom du routeur} Router> {nom du routeur} Router> {@IP du routeur} Router> telnet {@IP | Nom du routeur}

Vrifier la connexion Telnet :

Causes dchec de la connexion telnet : problmes spcifiques d'adressage Problmes attribution de noms Problmes dautorisation d'accs

Dans ce cas, essayez dexcuter la commande ping ou tracert (pour connaitre la cause)

Se dconnecter dune session Telnet :

Utilisez lun des commandes suivantes pour se dconnecter dune session Telnet : Router> logout Router> exit

Interruption dune session Telnet :

Pour interrompre une session sans la fermer : CtrlCtrl-ShiftShift-6, puis sur x
Revenir au prcdent routeur.

Pour afficher les connexions actives : show sessions

Pour reprendre la dernire session Telnet interrompue : la touche Entre

[Resuming connection 1 to 192.168.15.2 ... ]
la dernire connexion Entre

Pour reprendre une session prcise

resume {identifiant de connexion}

Pour se dconnecter dune session Telnet interrompue : disconnect {nom de routeur}

28

ISTA HH

CCNA 2

Le nombre de sessions ouvertes simultanment est dfini par la commande session limit

Tests de connectivit alternative Ping :

La commande ping permet de tester la connectivit de bout en bout. Cette opration peut tre excute en mode utilisateur ou en mode privilgi.

Les points d'exclamation (!) indiquent chaque cho russi. Un point (.) signifie que l'application de votre routeur a t temporise.

Traceroute :
La commande traceroute permet de tester chaque tape de lacheminement. Cette opration peut tre excute en mode utilisateur ou en mode privilgi. Si lun de ces routeurs est inaccessible, trois astrisques saffichent (*) la place du nom du routeur.

29

ISTA HH

CCNA 2

Show ip route :
Pour dterminer sil existe une entre correspondant au rseau cible dans la table de routage.

30

ISTA HH

CCNA 2

Module 5

31

ISTA HH

CCNA 2

tapes de la squence damorage du routeur

Comment un quipement Cisco localise et charge lIOS ?

Lordre suivant lequel le routeur cherche les informations de bootstrap est dtermin par la valeur du champ damorage du registre de configuration. Configonfig-register {valeur en hexa} config globale) Modifier la valeur du registre de configuration (mode de

Le registre de configuration est un registre de 16 bits qui se trouve dans la mmoire NVRAM. Les quatre derniers bits du registre de configuration forment le champ damorage (affich par la commande Show version)

Modification du champ damorage :

Il faut passer en mode moniteur ROM amorcer manuellement en entrant la commande b linvite du mode. Changer la valeur not X seulement 0xnnnX au registre de configuration selon le besoin.

32

ISTA HH

CCNA 2

Utilisation de la commande boot system

Les trois exemples suivants illustrent lutilisation de plusieurs commandes boot system pour prciser la squence damorage de secours de la plate-forme logicielle Cisco IOS

Si la mmoire NVRAM ne contient pas de commandes boot system. Par dfaut : Flash TFTP ROM

Dpannage dune panne damorage de lIOS :

Plusieurs lments peuvent tre lorigine du mauvais amorage dun routeur:

une instruction boot system manquante ou incorrecte. une valeur du registre de configuration est incorrecte limage flash est corrompue une panne matrielle

Pour identifier la source de limage damorage, tapez la commande show version et cherchez la ligne qui identifie la source de limage damorage.

system

Utilisez la commande show runningrunning-config et recherchez une instruction au dbut de la configuration. Examiner la dernire ligne du registre de configuration par show version

boot

Si le problme persiste, il se peut que le fichier dimage flash du routeur soit corrompu, Exemples :

open: read error...requested 0x4 bytes, got 0x0 trouble reading device magic number

33

ISTA HH

CCNA 2

boot: cannot open "flash:" boot: cannot determine first file name on device "flash:" Sinon panne matrielle.

Vue densemble du systme de fichiers IOS :

Les deux types de logiciels ncessaires pour fonctionner un routeur sont les systmes dexploitation et de configuration. Le fichier de lIOS occupe plusieurs mga-octets. Le fichier de configuration occupe quelques centaines quelques milliers doctets.

IFS :
compter de la version 12 de lIOS, les routeurs utilisent le systme de fichiers (IFS). LIFS fournit une mthode unique pour la gestion de lensemble des systmes de fichiers utiliss par un routeur (Systme de fichier de mmoire flash, des systmes de fichiers rseau (TFTP, RCP et FTP) et des systmes de fichier de lecture ou dcriture de donnes (NVRAM, configuration courante, ROM). IFS utilise la convention URL pour spcifier les fichiers sur les units du rseau. La convention URL identifie lemplacement des fichiers de configuration la suite du pointvirgule sous la forme [[[//emplacement]/rpertoire]/nomdefichier]. Prfixes les plus courants :

34

ISTA HH Exemples des commandes (diffrences) :

CCNA 2

Conventions dattribution de noms de lIOS :

Cisco utilise une convention dattribution de noms pour les fichiers IOS. Cette convention spcifie diffrents champs dans les noms.

35

ISTA HH

CCNA 2

Remarque : La troisime partie indique si lIOS est stock en mmoire flash dans un fichier compress et sil est transfrable. Une image transfrable est copie de la mmoire flash dans la mmoire RAM pour y tre excute. Une image non transfrable est directement excute dans la mmoire flash.

Gestion des fichiers de configuration : laide de TFTP :

Copy runningrunning-config tftp Copy tftp runningrunning-config pour sauvegarder une copie sur un serveur tftp Pour restaurer la copie sauvegarde.

Par copier-coller :
Capturer la configuration courante Pour capturer la configuration : 1. 2. 3. 4. 5. Slectionnez Transfert Slectionnez Capturer le texte Indiquez le nom du fichier texte Slectionnez Dmarrer pour commencer la capture du texte Affichez la configuration lcran en entrant show runningrunning-config Appuyez sur la barre d'espacement chaque fois que linvite - More apparat. Enregistrer dans un fichier texte Modifier le fichier.

Lorsque la configuration complte est affiche, arrtez la capture en procdant comme suit: 1. Slectionnez Transfert 2. Slectionnez Capturer le texte

36

ISTA HH 3. Slectionnez Arrter Vous devez modifier le fichier de configuration en supprimant :

show running-config Building configuration... Current configuration: - More Ainsi que les lignes qui suivent le mot End.

CCNA 2

la fin de chaque section dinterface, ajoutez la commande no shutdown. Vous pouvez ajouter des commentaires la configuration afin den expliquer certaines parties. Il suffit pour cela de placer un point dexclamation ! en dbut de ligne. La restauration : Erase startupstartup-config supprimer toute trace de configuration. Reload pour redmarrer le routeur.

Passez en mode de configuration globale du routeur. cliquez sur Transfert > Envoyer un fichier texte. Slectionnez le nom du fichier. Copy runningpour sauvegarder. running-config startupstartup-config

Gestion des images IOS via TFTP :

Copy flash tftp Copy tftp flash sauvegarder une copie de lIOS sur un serveur tftp (@IP + nom fichier) restaurer un IOS partir dun serveur tftp (@IP + nom fichier + formatage)

37

ISTA HH

CCNA 2

Gestion des images IOS via Xmodem

Si limage IOS en mmoire flash a t efface ou altre, il peut tre ncessaire de restaurer lIOS partir du mode moniteur ROM (ROMmon 1>). 1 Connatre la cause de laltration : dir flash 2 Si vous dtectez une image qui semble tre valide, tentez de dmarrer partir de cette image. boot flash: {nom de fichier} exemple : rommon 1>boot flash:c2600-is-mz.121-5 3 Utilisez la commande show version pour vrifier la valeur du registre de configuration 4 si le problme persiste vous devrez tlcharger un nouveau IOS ( laide de xmodem)

Comment tlcharger un IOS ?

Elments requises : Un PC contenant une copie du fichier IOS restaurer + Un cble console + un programme dmulation de terminal tel quHyper Terminal (la vitesse par dfaut de 9600 bps). Confreg pour modifier les paramtres de transfre (la vitesse jusqu 115200 bps) pour tlcharger un IOS partir du mode ROM Monitor

Xmodem -c {image_file_name}

Le -c indique dutiliser le code de redondance cyclique (CRC) pour contrler les erreurs.

38

ISTA HH Vous devez alors lancer le transfert partir de lHyperTerminal :

CCNA 2

Transfert > Envoyer un fichier + indiquez le nom/emplacement de limage, slectionnez Xmodem comme protocole, puis lancez le transfert. Avant de redmarrer le routeur, vous devez nouveau paramtrer la vitesse 9600 bps et le registre de configuration 0x2102 : #configconfig-register 0x2102

Variables denvironnement :
LIOS peut tre restaur partir dune session TFTP (le moyen le plus rapide) Les variables denvironnement fournissent une configuration minimale qui permet le transfert via TFTP de lIOS. Le transfert ROMmon TFTP ne fonctionne que sur le premier port LAN (un jeu simple de paramtres IP a t dfini pour cette interface). Pour dfinir une variable denvironnement ROMmon, vous devez taper le nom de la variable, le signe gal (=), puis la valeur de la variable.

Set

Pour vrifier les variables denvironnement ROMmon. pour dmarrer le tlchargement de lIOS

Tftpdnld i

pour redmarrer le routeur

39

ISTA HH

CCNA 2

Module 6

40

ISTA HH

CCNA 2

Prsentation du routage :
Le routage est le processus quun routeur utilise pour transmettre des paquets vers un rseau de destination. Un routeur prend des dcisions en fonction de ladresse IP de destination dun paquet. Lorsque les routeurs utilisent le routage dynamique, ces informations sont fournies par les autres routeurs. Lorsque le routage statique est utilis, un administrateur rseau configure manuellement les informations sur les rseaux distants.

Utilisation de la route statique

Puisquune route statique est configure manuellement, ladministrateur doit la configurer sur le routeur laide de la commande ip route Router(config)#ip route {rseau destination} {masque} {passerelle} {distance administrative} La passerelle : 1- Soit linterface de sortie du routeur local 2- Soit ladresse IP de linterface du saut suivant Exemple : Ou 1- Router(config)#ip route 10.0.0.0 255.0.0.0 20.0.0.1 2- Router(config)#ip route 10.0.0.0 255.0.0.0 S1

La distance administrative est un paramtre optionnel qui donne une mesure de la fiabilit de la route. Plus la valeur de la distance administrative est faible et plus la route est fiable. La distance administrative par dfaut est 1 quand on utilise une route statique (Entre 0 et 255). Show ip route {adresse} Pour vrifier la distance administrative dune route donne.

Remarque : Si le routeur ne peut pas atteindre linterface sortante qui est emprunte sur la route, la route nest pas installe dans la table de routage. Il est possible de configurer sur un routeur une route statique qui ne sera utilise quen cas dchec de la route acquise de faon dynamique attribuez une valeur de distance administrative suprieure celle du protocole de routage dynamique utilis.

Configuration de lacheminement par dfaut

Les routes par dfaut permettent de router des paquets dont les destinations ne correspondent aucune autre route de la table de routage. Router(config)#ip route 0.0.0.0 0.0.0.0 {passerelle} Si le paquet ne correspond pas une route plus spcifique de la table de routage, il sera achemin vers le rseau 0.0.0.0. 41

ISTA HH

CCNA 2

Vrification de la configuration de route statique

Show runningrunning-config permet de vrifier que la route statique a t entre correctement. Show ip route permet de sassurer que la route statique figure dans la table de routage.

Introduction aux protocoles de routage

Un protocole de routage est le systme de communication utilis entre les routeurs, il permet un routeur de partager avec dautres routeurs des informations sur les rseaux quil connat (mises jour des tables de routage). Un protocole rout sert diriger le trafic utilisateur. Il fournit suffisamment dinformations dans son adresse de couche rseau pour permettre lacheminement dun paquet dun hte un autre en fonction de la mthode dadressage.

Systmes autonomes
Un systme autonome est un ensemble de rseaux grs par un administrateur commun et partageant une stratgie de routage commune. Les systmes autonomes (AS) assurent la division de linterrseau global en rseaux plus petits et plus faciles grer L'InterNIC (Internet Network Information Center), un fournisseur de services ou encore un administrateur attribue un numro didentification chaque systme autonome. Ce numro est un nombre 16 bits (vitale pour la configuration dIGRP).

Fonctionnement du routage dynamique :

Le protocole de routage prend connaissance de toutes les routes disponibles. Il insre les meilleures routes dans la table de routage et supprime celles qui ne sont plus valides. Chaque fois que la topologie du rseau est modifie (la croissance, reconfiguration ou une panne), la base de connaissances du rseau doit galement tre modifie. Lorsque tous les routeurs dun interrseau reposent sur les mmes connaissances, on dit de linterrseau quil a converg. Une convergence rapide est prfrable, car elle rduit la priode au cours de laquelle les routeurs prennent des dcisions de routage incorrectes ou inefficaces.

Identification des classes des protocoles de routage

Il existe 2 grandes catgories : vecteur de distance tat de liens

42

ISTA HH

CCNA 2

Le routage vecteur de distance dtermine la direction (vecteur) et la distance jusqu une liaison quelconque de linterrseau. Lapproche tat de liens, galement appele routage par le chemin le plus court, recre la topologie exacte de l'intgralit du rseau.

Fonctions du protocole de routage vecteur de distance

Les algorithmes de routage vecteur de distance (algorithmes Bellman-Ford) transmettent rgulirement des copies de table de routage dun routeur lautre. Chaque routeur reoit lintgralit des tables de routage des routeurs voisins auxquels il est directement connect.

Lalgorithme cumule les distances afin de tenir jour la base de donnes contenant les informations sur la topologie du rseau. Chaque routeur voit uniquement ses voisins (ne connait pas la topologie exacte). La distance entre linterface et chaque rseau directement connect est gale 0.

43

ISTA HH

CCNA 2

Fonctions du protocole de routage tat de liens

Les algorithmes tat de liens (algorithme de Dijkstra ou algorithme SPF) grent une base de donnes complexe dinformations topologiques (complte sur les routeurs distants et leurs interconnexions). Le routage tat de liens utilise les lments suivants :

Mises jour de routage tat de liens (LSA) un petit paquet dinformations de routage qui est transmis entre les routeurs. Base de donnes topologique un ensemble dinformations rassembles partir des mises jour de routage tat de liens. Algorithme SPF Lalgorithme du plus court chemin dabord (SPF) est un calcul effectu sur la base de donnes qui gnre un arbre SPF. Tables de routage Une liste des chemins et des interfaces connus.

Processus de dcouverte du rseau pour le routage tat de liens

Modification topologique Le routeur gnre un paquet LSA Le routeur voisin reoit le paquet LSA BD topologique

Table de routage

Choisir les meilleures routes

Arbre SPF

Algorithme SPF

44

ISTA HH

CCNA 2

Considrations relatives au routage tat de liens:

Surcharge du systme (Processeurs) Mmoire requise. Consommation de bande passante

Vue d'ensemble des protocoles de routage

Un routeur dtermine le chemin que doit emprunter un paquet entre deux liaisons laide des deux fonctions de base suivantes:

la dtermination du chemin, la commutation.

Le routeur se sert de la table de routage pour dterminer le meilleur chemin et transmet ensuite le paquet en utilisant la fonction de commutation. Il utilise la portion rseau de ladresse pour slectionner le chemin. La commutation est le processus interne quutilise un routeur pour accepter un paquet sur une interface et le transmettre une deuxime interface sur le mme routeur.

Configuration de routage dynamique :

Router {protocole} {option} pour lancer le processus de routage (mode config globale) 45

ISTA HH

CCNA 2

Network {adresse rseau directement connecte} permet de dterminer les interfaces qui participeront l'envoi et la rception des mises jour du routage. Exemple : Router(config)#router rip Roouter(config-router)#network 172.16.0.0

Protocoles de routage:
Les protocoles suivants sont des exemples de protocoles de routage IP :

Le protocole RIP (Routing Internet Protocol) :

un protocole de routage vecteur de distance. Il utilise le nombre de sauts comme mtrique pour la slection du chemin. Si le nombre de sauts est suprieur 15, le paquet est limin. Par dfaut, les mises jour du routage sont diffuses toutes les 30 secondes.

Le protocole IGRP (Interior Gateway Routing Protocol)

un protocole propritaire dveloppe par Cisco. un protocole de routage vecteur de distance. La bande passante, la charge, le dlai et la fiabilit (une mtrique composite). Par dfaut, les mises jour du routage sont diffuses toutes les 90 secondes.

Le protocole OSPF (Open Shortest Path First)

un protocole de routage tat de liens. Cest un protocole de routage de norme ouverte Il utilise lalgorithme SPF pour calculer le cot le plus bas vers une destination. Les mises jour du routage sont diffuses mesure des modifications de topologie.

Le protocole EIGRP (Enhanced IGRP)

un protocole de routage vecteur de distance amlior (Cisco). Il utilise l'quilibrage de charge en cot diffrenci. Il utilise une combinaison de fonctions vecteur de distance et tat de liens. Il utilise lalgorithme DUAL (Diffusing Update Algorithm) pour calculer le chemin. Les mises jour du routage sont diffuses en mode multicast en utilisant ladresse 224.0.0.10 et sont dclenches par des modifications topologiques.

Le protocole BGP (Border Gateway Protocol)

Il s'agit d'un protocole de routage extrieur vecteur de distance. Il est utilis pour la connexion entre les FAI ou entre les FAI et les clients. Il est utilis pour acheminer le trafic Internet entre des systmes autonomes.

46

ISTA HH

CCNA 2

Protocole IGP & EGP :

IGP EGP Protocoles utiliss lintrieur dun Systme autonome. Protocoles utiliss entre les Systmes autonomes.

Les protocoles de passerelle extrieurs IP ncessitent les trois ensembles dinformations suivants pour que le routage puisse commencer :

Une liste des routeurs voisins avec lesquels changer des informations de routage. Une liste de rseaux annoncer comme tant directement accessibles. Le numro du systme autonome du routeur local.

47

ISTA HH

CCNA 2

Module 7

48

ISTA HH

CCNA 2

Problmes lis aux boucles de routage vecteur de distance

Convergence lente tables de routage incohrentes Des boucles de routage.

1. Supposons que le meilleur chemin du routeur C vers le rseau 1 passe par le routeur B (distance=3). 2. Lorsque le rseau 1 tombe en panne, le routeur E envoie une mise jour au routeur A. Ce dernier cesse dacheminer des paquets vers le rseau 1, mais les routeurs B, C et D continuent de les acheminer car ils nont pas encore t informs de la panne. Lorsque le routeur A transmet sa mise jour, les routeurs B et D cessent d'acheminer des paquets vers le rseau 1. Toutefois, le routeur C n'a toujours pas reu de mise jour. Pour lui, le rseau 1 est toujours accessible via le routeur B. 3. prsent, le routeur C envoie une mise jour priodique au routeur D pour lui indiquer un chemin vers le rseau 1 passant par le routeur B. Le routeur D modifie sa table de routage pour reflter cette information errone et la transmet au routeur A. Ce dernier la transmet son tour aux routeurs B et E, et ainsi de suite. Tous les paquets destins au rseau 1 gnrent alors une boucle partir du routeur C vers les routeurs B, A et D, qui revient au routeur C.

Solutions pour viter les boucles de routage : Dfinition d'une valeur maximale
Le principe : dfinir une valeur de mtrique maximale, le protocole de routage permet la boucle de routage d'exister jusqu' ce que la mtrique dpasse la valeur maximale autorise rseau considr inaccessible. Exemple : le RIP (valeur maximale = 15) la mtrique 16 (inaccessible)

49

ISTA HH

CCNA 2

La fonction split horizon

Le principe : Si une mise jour de routage relative au rseau 1 arrive du routeur A, le routeur B ou D n'est pas en mesure de renvoyer au routeur A les informations relatives au rseau 1. Rduire les informations de routage errones + rduire la charge de routage

Mode poison reverse

Le principe : le routeur dtectant une panne, passe en mode poison reverse en crant une entre de table de mtrique suprieure la mtrique maximale autorise (inaccessible) pour ce rseau. Lorsque les voisins reoivent un message poison reverse, ils renvoient au routeur dorigine une mise jour poison reverse (s'assurer que toutes les routes du segment ont bien reu les informations sur la route inaccessible).

Les mises jour dclenches

Le principe : Le routeur qui dtecte une modification topologique envoie immdiatement un message de mise jour aux routeurs adjacents qui, leur tour, gnrent des mises jour dclenches pour signaler la modification leurs routeurs voisins (sans attendre l'expiration du dlai du compteur de mise jour).

50

ISTA HH

CCNA 2

Compteurs de retenue
Le principe : Lorsqu'un routeur reoit une mise jour d'un routeur voisin lui indiquant qu'un rseau auparavant accessible est devenu inaccessible, il marque la route comme tant inaccessible et dclenche un compteur de retenue. Si, avant l'expiration du dlai de retenue (priode de gel), une mise jour provenant d'un autre routeur voisin indique une mtrique infrieure, elle est ignore. Disposer de plus de temps pour transmettre l'ensemble du rseau les informations relatives une modification perturbatrice.

Le protocole RIP : Introduction au RIP :

Le protocole RIP comprend 2 versions : RIP v1 et RIP v2 La version RIP v2 prsente les amliorations suivantes:

Possibilit de transmettre des informations supplmentaires. Mcanisme dauthentification. Prise en charge des masques de sous-rseau de longueur variable (VLSM).

Configuration du protocole RIP :

La commande router rip permet de slectionner le protocole RIP comme protocole de routage. La commande network permet dindiquer au routeur les interfaces sur lesquelles excuter RIP. Le protocole RIP envoie des messages de mise jour de routage intervalles rguliers. Les routeurs RIP conservent uniquement la meilleure route vers une destination mais ils peuvent galement grer plusieurs chemins de cot gal vers une destination. Router(config)#router rip Router(config-router)#network {numro-rseau} Active le processus de routage RIP Associe un rseau au processus RIP

51

ISTA HH Exemple :

CCNA 2

Utilisation de la commande ip classless

Absence de la commande ip classless : Par dfaut, un routeur suppose que tous les sous-rseaux dun rseau directement connect doivent se trouver dans la table de routage. Si un paquet reu comporte une adresse de destination inconnue dans un sous-rseau inconnu dun rseau directement attach, le routeur suppose que le sous-rseau nexiste pas. Le routeur abandonnera donc le paquet mme sil existe une route par dfaut. Avec lutilisation de la commande ip classless : Le routeur ignore les frontires entre les classes de rseaux au sein de sa table de routage et acheminer tout simplement les donnes vers la route par dfaut. La commande ip classless est active par dfaut partir de la version 11.3 de lIOS. pour activer la fonction ip classless Router(config)#ip classless Router(config)#no ip pour dsactiver la fonction ip classless ip classless

Problmes de configuration RIP frquents

Routage par rumeur Les routeurs doivent se fier aux routeurs voisins pour obtenir les informations rseau dont ils nont pas connaissance directement (RIP).

52

ISTA HH

CCNA 2

On rencontre des problmes de boucles de routage et de mtrique de mesure infinie. Router(config-if)#no ip splitsplit-horizon Pour dsactiver la fonction split horizon:

La valeur par dfaut du compteur de retenue RIP est de 180 secondes. Il est possible de diminuer le compteur de retenue pour amliorer la convergence. Dans lidal, il faudrait que la valeur du compteur corresponde au plus long temps de mise jour possible pour linterrseau. Pour changer lintervalle de mise jour : Router(config-router)#timers basic {update} {invalid} {holddown} {flush} [sleeptime] Pour dsactiver lenvoi des mises jour de routage vers certaines interfaces. Router(config-router)#passivepassive-interface {interface} Dans certains types de rseau (Frame Relay), le protocole RIP doit tre inform sur les autres RIP voisins. Pour cela. Router(config-router)#neighbor {IP du routeur voisin}

Configuration du routeur pour lenvoi et la rception des paquets :

Par dfaut, la plate-forme logicielle Cisco IOS reoit des paquets RIP Version 1 et 2 mais nenvoie que des paquets Version 1. Ladministrateur rseau peut configurer le routeur pour quil ne reoive et nenvoie que des paquets Version 1 ou pour quil nenvoie que des paquets Version 2. Globalement :

53

ISTA HH Sur une interface :

CCNA 2

Vrification de la configuration RIP

On utilise plusieurs commandes surtout : show ip route et show ip protocols Show ip protocols affiche les protocoles de routage utiliss pour lacheminement du trafic

Est-ce que RIP est configur ? Est-ce que les interfaces appropries envoient et reoivent des mises jour RIP ? Est-ce que le routeur annonce les rseaux appropris ?

Show ip route

Examinez les routes RIP signales par R.

R 192.168.3.0/24 {120/1} via 192.168.2.2, 00 :00 :07, Serial0/0 Des commandes supplmentaires permettent de vrifier RIP, par exemple: Show interface {interface} Show ip interface {interface} Show runningrunning-config

54

ISTA HH

CCNA 2

Dpannage des problmes de mise jour RIP

Debug ip rip permet dafficher les mises jour RIP lors de leur envoi et de leur rception.

Cette commande permet galement de diagnostiquer des sous-rseaux contigus ou des rseaux en double Des commandes supplmentaires permettent de rsoudre les problmes RIP : Show ip rip database Show ip protocols {summary} Show ip route Debug ip rip {events} Show ip interface brief

quilibrage de charge RIP

Lquilibrage de charge est un concept permettant un routeur de bnficier de plusieurs meilleurs chemins vers une destination donne. RIP est capable de grer un quilibrage de charge sur plus de six chemins de cot gal avec quatre chemins par dfaut. Par dfaut, BGP nautorise quun seul chemin vers une destination.

55

ISTA HH

CCNA 2

Show Show ip route

examiner les routes de cot gal.

Lastrisque (*) signale la route active utilise pour le nouveau trafic. Remarque : Lorsquun routeur apprend plusieurs routes vers un rseau spcifique, cest la route avec la distance administrative la plus courte qui est ajoute la table de routage. Pour modifier le nombre maximum de chemins parallles autoriss :
Router(config-router)#maximummaximum-paths

[nombre de 0 jusqu 6]

2 mthodes dquilibrage de charge : quilibrage de charge par paquet quilibrage de charge par destination (par dfaut)

56

ISTA HH

CCNA 2

Si le processus de commutation est activ, le routeur peut changer de chemin chaque nouveau paquet. Par dfaut la commutation Fast Switching est active une seule des routes sera mise en mmoire cache pour ladresse de destination et les paquets de la trame achemins vers un hte spcifique prendront tous le mme chemin. Les paquets en route vers un hte diffrent sur le mme rseau peuvent utiliser une autre route. No ip routeroute-cache pour dsactiver la commutation Fast Switching

Intgration des routes statiques avec le protocole RIP

Un routeur RIP peut recevoir une route par dfaut (passerelle de dernier recours) via une mise jour envoye par un autre routeur RIP. Le routeur peut aussi gnrer lui-mme la route par dfaut. Il est possible dindiquer quune route statique est moins recommande quune route apprise de faon dynamique (route statique flottante) si la distance administrative pas dfaut de la route statique est suprieure celle de la route dynamique. Remarque : Les routes statiques qui pointent vers une interface seront annonces via le routeur RIP propritaire de la route statique et ces routes seront propages via linterrseau. Redistribute static pour annoncer les routes statiques dans les mises jour RIP.

Lorsquune interface tombe en panne, toutes les routes statiques pointant vers cette interface sont supprimes de la table de routage IP.

Le protocole IGRP : Caractristiques du protocole IGRP :

Polyvalence : traiter automatiquement des topologies complexes. Flexibilit : la segmentation avec des caractristiques en termes de BP et de dlai volutivit : fonctionner sur des rseaux de trs grande taille

Mtriques du protocole IGRP :

Mtriques utiliss : Bande passante, Dlai, Charge, Fiabilit.

Bande passante : Valeur de bande passante la plus faible sur le chemin Dlai : Dlai d'interface global le long du chemin Fiabilit : Fiabilit de la liaison vers la destination Charge : Charge d'une liaison vers la destination, en bits par seconde.

57

ISTA HH IGRP utilise par dfaut la bande passante et le dlai comme mtriques. Show ip protocols pour afficher les mtriques du protocole IGRP.

CCNA 2

Les coefficients K1 K5 apparaissent sur le graphique. Ils sont utiliss par l'algorithme pour calculer la mtrique de routage IGRP. Par dfaut, K1 = K3 = 1 K2 = K4 = K5 = 0.

Routes IGRP :
Le protocole IGRP annonce trois types de routes:

58

ISTA HH

CCNA 2

Intrieure : sont des routes situes entre les sous-rseaux d'un rseau reli une interface de routeur. Si le rseau reli un routeur n'est pas divis en sous-rseaux, le protocole IGRP n'annonce pas les routes intrieures. Systme : sont les routes menant d'autres rseaux au sein d'un systme autonome. Elles ne contiennent pas d'information sur les sous-rseaux. Extrieure : sont des routes menant des rseaux extrieurs au systme autonome, et qui sont utilises lorsqu'une passerelle de dernier recours est envisage

Caractristiques de stabilit du protocole IGRP

Le protocole IGRP offre plusieurs fonctions conues pour amliorer sa stabilit, notamment : les Gels : Lorsqu'un routeur tombe en panne, les routeurs voisins le dtectent grce l'absence de messages de mise jour priodiques. Split Horizon. Poison reverse. Gestion des compteurs.

Les compteurs sont : un compteur de mise jour, un compteur de temporisation, un compteur de retenue et un compteur d'annulation. Le compteur de mise jour indique la frquence d'envoi des messages de mise jour du routage (par dfaut 90 secondes). Le compteur de temporisation indique le laps de temps au bout duquel un routeur doit dclarer une route non valide en l'absence de messages de mise jour la concernant (par dfaut 270 secondes). Le compteur de retenue indique le laps de temps pendant lequel les informations relatives aux routes non optimales sont ignores (par dfaut 280 secondes) Le compteur d'annulation indique le laps de temps devant s'couler avant la suppression d'une route dans la table de routage (par dfaut 630 secondes)

59

ISTA HH

CCNA 2

Configuration du protocole IGRP

Router(config)#router igrp

{numro de systme autonome} Router(config)#network {rseau directement connect} Exemple :

Migration de RIP vers IGRP

1. 2. 3. 4. show ip route pour vrifier le protocole RIP sur les routeurs convertir. Configurez le protocole IGRP sur les routeurs router rip Entrez la commande show ip protocols sur les routeurs. Entrez la commande show ip route sur les routeurs.

Vrification de la configuration IGRP

Show ip route Pour vrifier les routes IGRP signales par un I

I 192.168.3.0/24 {100/80135} via 192.168.2.2, 00 :00 :07, Serial0/0 Des commandes supplmentaires permettent de vrifier le protocole IGRP : Show interface {interface} Show runningrunning-config Show runningrunning-config interface interface {interface} Show runningrunning-config | begin interface {interface} Show runningrunning-config | begin igrp Show ip protocols

60

ISTA HH

CCNA 2

Dpannage du protocole IGRP

Debug ip igrp events

Debug ip igrp transactions

61

ISTA HH

CCNA 2

Module 8

62

ISTA HH

CCNA 2

Prsentation du protocole protocole ICMP :

ICMP (Internet Control Message Protocol) est le composant de la pile de protocoles TCP/IP qui rsout la limitation de base dIP garantir que les donnes sont achemines dans lventualit de problmes de communication rseau.

Signalement et correction des erreurs

LICMP est un protocole de signalement derreurs pour IP. Un routeur qui narrive pas router un paquet, il utilise ICMP destination inaccessible pour envoyer un message la station de travail (lorigine de paquet) lui indiquant que le paquet na pas pu tre achemin. Causes : - Lquipement metteur peut adresser le datagramme une adresse IP inexistante ou un quipement de destination qui est dconnect de son rseau. - une interface de connexion dun routeur est arrte ou sils ne disposent pas des informations ncessaires pour trouver le rseau de destination. - Dtection de routes excessivement longues. Remarque : LICMP ne signale ltat du paquet transmis qu lquipement dorigine.

Acheminement de message ICMP

Les messages ICMP sont encapsuls dans des datagrammes de la mme faon que toute autre donne laide dIP. Voici un datagramme ICMP en capsul dans un paquet IP :

Remarque : Les erreurs cres par les messages ICMP ne gnrent pas leurs propres messages ICMP. Il est ainsi possible quune erreur de transmission de datagramme ne soit jamais signale lmetteur des donnes.

Utilisation de requtes ping pour tester laccessibilit de la destination

Le protocole ICMP peut tre utilis pour tester la disponibilit dune destination particulire. La rponse dcho, confirme laccessibilit de la destination.

63

ISTA HH

CCNA 2

La demande dcho comprend une valeur de dure de vie (TTL). La dure de vie est un champ contenu dans len tte du paquet IP qui permet de limiter la transmission des paquets. A chaque fois quun routeur transmet un paquet il dcrmente la valeur TTL de un. Quand un routeur reoit un paquet avec un TTL gal 1, il ne transmet pas le paquet.

Messages ICMP : Format de message :

Tous les formats de messages ICMP commencent par ces trois champs:

Type : indique le type de message ICMP envoy Code : inclut des informations supplmentaires spcifiques au type de message Checksum (somme de contrle) : vrifier lintgrit des donnes

64

ISTA HH

CCNA 2

Types de messages ICMP :

Message Destination inaccessible

Codes dun message Destination inaccessible : La valeur du code indique la raison de la non transmission du paquet.

65

ISTA HH

CCNA 2

Un message destination inaccessible peut galement tre envoy lorsquil est ncessaire de fragmenter un paquet. Cest le cas en principe lorsquun datagramme est transmis dun rseau Token-Ring un rseau Ethernet. Des messages destination inaccessible peuvent galement tre gnrs si les services lis lIP tels que les services FTP ou les services Web ne sont pas disponibles.

Erreurs diverses :
Certains types derreurs au niveau de len-tte peuvent empcher les quipements qui traitent les datagrammes de les transmettre.

Remarque : Lorsque la valeur de code est 0, le champ pointeur indique loctet du datagramme qui a produit lerreur.

Messages de contrle TCP/IP Suite Prsentation :

Contrairement aux messages derreur, les messages de contrle ne rsultent pas de paquets perdus ou de conditions derreurs qui se produisent lors de la transmission de paquets. la place, ils sont utiliss pour informer les htes de conditions telles que la congestion du rseau ou de lexistence dune meilleure passerelle jusqu un rseau distant.

Demandes de redirection/modification ICMP

Ce type de message ne peut tre mis que par une passerelle. Les situations forceront lenvoi des messages ICMP redirect/change

Linterface via laquelle le paquet entre dans le routeur est la mme que celle par laquelle il ressort Le sous-rseau/rseau de ladresse IP origine est identique celui de ladresse IP du saut suivant du paquet rout. Le datagramme nest pas achemin lorigine. Le datagramme nest pas achemin lorigine. La route de redirection nest pas une autre redirection ICMP ou une route par dfaut.

66

ISTA HH Exemple :

CCNA 2

Lhte B envoie un paquet lhte C sur le rseau 10.0.0.0/8. Puisque lhte B nest pas directement connect au mme rseau, il transmet le paquet sa passerelle par dfaut, le routeur A. Le routeur A trouve la route approprie vers le rseau 10.0.0.0/8 en consultant sa table de routage. Il dtermine que le chemin vers le rseau emprunte la mme interface do provient la demande de transmission du paquet. Il transmet le paquet et envoie une demande de redirection/modification lhte B, lui indiquant dutiliser le routeur B comme passerelle pour acheminer toutes les futures demandes au rseau 10.0.0.0/8.

Paquet redirect/change :

Le champ Router Internet Address de la redirection ICMP est ladresse IP qui serait utilise comme passerelle par dfaut pour un rseau particulier.

67

ISTA HH

CCNA 2

Synchronisation dhorloge et estimation du temps de transit

Les htes de diffrents rseaux qui essaient de communiquer laide de logiciels qui requirent une synchronisation peuvent de ce fait rencontrer des problmes. Le type de message dhorodatage ICMP est conu pour viter ce problme. Le message de demande dhorodatage ICMP permet un hte de demander lheure courante de lhte distant. Lhte distant utilise un message de rponse dhorodatage ICMP pour rpondre la demande.

Le champ type dun message dhorodatage peut avoir la valeur - 13 (demande dhorodatage) - 14 (rponse dhorodatage). Horodatage de dpart est lheure laquelle lhte demandeur a envoy la demande. Horodatage de rception est lheure laquelle lhte de destination reoit la demande. Horodatage de transmission est renseign juste avant que la rponse ne soit retourne. Les horodatages sont calculs en nombres de millisecondes coules depuis zro heure, temps universel (UT). Remarque : des protocoles plus robustes tels que le NTP (Network Time Protocol), au niveau des couches suprieures, effectuent la synchronisation dhorloge de faon bien plus fiable.

Format de messages de demande dinformation

Les messages de demandes et de rponse dinformations ICMP taient initialement conus pour permettre lhte de dterminer son numro de rseau.

Le type 15 correspond un message de demande dinformation Le type 16 correspond un message de rponse dinformation.

Remarque : Ce type de message ICMP est aujourdhui considr comme obsolte. Dautres protocoles tels que BOOTP, RARP et DHCP utiliss pour obtenir les numros de rseau.

68

ISTA HH

CCNA 2

Requtes de masque dadresse

Si un hte ne connat pas le masque de sous-rseau, il peut envoyer une demande de masque dadresse au routeur local.

Le type 17 correspond un message demande de masque dadresse Le type 18 correspond un message de rponse de masque dadresse.

Message de dtection de routeur

Lorsquun hte dmarre sur le rseau et quil na pas t configur manuellement avec une passerelle par dfaut, il peut prendre connaissance des routeurs disponibles au travers du processus de dtection de routeur un message de sollicitation de routeur, en utilisant ladresse multicast 224.0.0.2 comme adresse de destination. Lorsquun routeur qui prend en charge le processus de dtection reoit le message de dtection de routeur, il retourne une annonce de routeur.

69

ISTA HH

CCNA 2

Messages de congestion et de contrle de flux

Si plusieurs ordinateurs tentent daccder simultanment la mme destination, lordinateur de destination risque dtre submerg La congestion peut se produire Entrane un abandon de paquets Ce message demande lmetteur de rduire le dbit de transmission des paquets. Dans la plupart des cas, la congestion sattnue en peu de temps, et lorigine peut augmenter le dbit tant quelle ne reoit pas dautres messages dpuisement de la source. La plupart des routeurs Cisco nenvoient pas ce type de message par dfaut, car il peut lui-mme contribuer la congestion du rseau.

70

ISTA HH

CCNA 2

Module 9

71

ISTA HH

CCNA 2

Examen de la table de routage Commande show ip route

Show ip route affiche le contenu de la table de routage IP.

Show ip route connected afficher les routes directement connects C Show ip route {address} affiche les entre routant cers une destination particulier. Show ip route rip afficher les routes RIP R Show ip route igrp afficher les routes IGRP I Show ip route static afficher les routes manuellement configurs.

Dtermination de la passerelle de dernier recours

Les routes par dfaut sont utilises lorsque le routeur est incapable dassocier un rseau de destination une entre spcifique de la table de routage. Avantage Les tables de routage ne sont pas encombres.

Un administrateur doit configurer au moins un routeur avec une route par dfaut. Ip route 0.0.0.0 0.0.0.0 {adresse passerelle / interface de sortie} Ou Ip defaultdefault-network network {adresse passerelle} La commande ip default-network s'utilise dans le systme d'adressage avec classes (classful), ce qui signifie que si le routeur a une route vers un sous-rseau entr par cette commande, il n'installera en fait que la route vers le rseau principal non segment. La commande show ip route affiche ce qui suit :
Gateway of last resort is 172.16.1.2 to network 0.0.0.0

Dtermination des adresses de couche 2 et 3

Ladresse de couche 3 est utilise pour acheminer le paquet du rseau source au rseau de destination. Les adresses IP dorigine et de destination restent identiques. Ladresse MAC change chaque saut ou routeur.

Dtermination de la distance administrative de la route

La distance administrative est un nombre qui mesure la fiabilit de la source des informations de route. Plus la distance administrative est petite, plus la source est fiable.

72

ISTA HH

CCNA 2

Dtermination de la mtrique de la route

La mtrique est une valeur qui mesure les avantages dune route. Plus cette valeur est petite, meilleur est le chemin. IGRP calcule la mtrique comme suite : Mtrique = [K1 * bande passante + (K2 * bande passante)/(256-charge) + K3*dlai] * [K5/(fiabilit + K4)] Les valeurs par dfaut des constantes sont K1 = K3 = 1 et K2 = K4 = K5 = 0. Mtrique = bande passante + dlai

Dtermination de la dernire mise jour de routage

Show ip route

Show ip protocols

73

ISTA HH Show ip rip database

CCNA 2

Observation de chemins multiples vers une destination

IGRP supporte l'quilibrage de charge de cot diffrent qui est mieux connu sous le nom de variance. Variance {n} Pour demander au routeur d'inclure aussi les routes avec une mtrique infrieure n fois la mtrique minimum pour la meilleure route pour cette destination n est une valeur entre 1 et 128

Tests rseau : Test sur la base des couches OSI

Les erreurs peuvent tre identifies au niveau de la couche 1 :

Cbles rompus Cbles dconnects Cbles raccords des ports inappropris Connexions instables Cbles inappropris (cbles console, croiss et droits) Problmes dmetteur-rcepteur Problmes de cblage ETCD Problmes de cblage ETTD Units hors tension

74

ISTA HH Les erreurs peuvent tre identifies au niveau de la couche 2 :

CCNA 2

Interfaces srie configures de faon incorrecte Interfaces Ethernet configures de faon incorrecte Ensemble dencapsulation inappropri Frquence dhorloge inapproprie pour les interfaces srie Problmes de carte rseau (NIC)

Les erreurs peuvent tre identifies au niveau de la couche 3 :

Protocole de routage non activ Protocole de routage incorrect activ Adresses IP incorrectes Masques de sous-rseau incorrects

Il est prfrable de commencer les tests par la couche 1, jusqu la couche 7 si ncessaire.

Utilisation dune approche structure du dpannage

Dpannage de la couche 1 laide des tmoins lumineux

Les tmoins lumineux sont des voyants qui signalent ltat dune interface (indiquer si le trafic est en cours de transmission (TX) ou reu (RX) + une connexion nest pas valide) Solution Mettez lunit hors tension et replacez la carte dinterface.

75

ISTA HH

CCNA 2

Vrifiez que tous les cbles appropris sont connects aux ports appropris. Vrifiez que tous les ports de concentrateur et de commutateur sont associs au rseau VLAN ou au domaine de collision appropri, et que les options de Spanning Tree correspondantes, entre autres, sont dfinies correctement. Remplacer lmetteur-rcepteur ci ncessaire. Assurez-vous galement que lunit est bien sous tension.

Dpannage de la couche 3 laide de la commande ping

La commande ping envoie un paquet l'hte de destination et attend un paquet de rponse de celui-ci. Les rsultats du protocole d'cho peuvent aider valuer la fiabilit chemin-hte et les dlais sur le chemin. Les informations affiches par la requte ping indiquent les temps minimum, moyen et maximum que prend un paquet de requtes ping pour trouver un systme donn et revenir.

Ping [protocole] {hte | adresse}

(mode privilgi et en mode utilisateur)

Lutilisation dune commande ping tendue indique au routeur dexcuter une gamme plus tendue doptions de test. Ping Entre (sans saisir dadresse IP).

Dpannage de la couche 7 laide de la commande Telnet

Telnet est un protocole de terminal virtuel qui permet de vrifier le logiciel de la couche application entre les stations dorigine et de destination. Une connexion Telnet russie indique que l'application de couche suprieure, ainsi que les services des couches infrieures, fonctionnent correctement. Lors la connexion via Telnet choue, vrifiez ce qui suit :

Une recherche DNS inverse sur ladresse du client peut-elle tre trouve ? Telnet ne puisse pas ngocier les options appropries debug telnet Telnet dsactiv ou t dplac vers un port autre que 23 sur le serveur de destination.

76

ISTA HH

CCNA 2

Dpannage des problmes de routeur Dpannage de la couche 1 laide de la commande show interfaces :
Show interfaces Pour vrifier ltat et les statistiques des interfaces.

Un extrait de la commande show interfaces Serial 0/0 :

Si un nombre croissant derreurs dentre apparat dans ces informations, plusieurs facteurs peuvent tre lorigine de ces erreurs. Certains problmes sont lis la couche 1:

quipement tlphonique dfectueux Ligne srie parasite Cble inappropri ou longueur de cble incorrecte Cble ou connexion endommag(e) 77

ISTA HH

CCNA 2

Unit CSU/DSU dfectueuse Matriel de routeur dfectueux

Le nombre de rinitialisations dinterface rsultent dun trop grand nombre de messages de test dactivit. Les problmes de couche 1 suivants peuvent tre lorigine :

Une ligne incorrecte entranant des transitions de porteuse Un problme matriel au niveau dune unit CSU/DSU ou dun commutateur

Remarque : Les statistiques refltent le fonctionnement du routeur depuis son dmarrage ou depuis la dernire remise zro des compteurs. Show version pour rechercher depuis quand le routeur est en service.

GAD uptime is 6 hours, 21 minutes Clear counters pour remettre les compteurs zro.

Ces compteurs devraient toujours tre effacs aprs rsolution dun problme dinterface.

Dpannage de la couche 2 laide de la commande show interfaces

Les messages de test dactivit sont des messages envoys par une unit du rseau une autre pour lui indiquer que le circuit virtuel existant entre les deux est toujours actif. Si linterface manque trois messages de test dactivit conscutifs, le protocole de ligne est considr comme inactif. Si linterface est active et que le protocole de ligne est dsactiv, un problme de couche 2 existe. Les causes possibles sont les suivantes:

Aucun message de test dactivit (keepalives) Aucune frquence dhorloge (clock rate) Aucune correspondance au niveau du type dencapsulation

Dpannage laide de la commande show cdp

Show cdp neighbors detail afficher des infos sur les units directement connectes

Si la couche physique fonctionne correctement, toutes les autres units Cisco directement connectes doivent tre affiches. Labsence dunit connue reflte probablement un problme au niveau de la couche 1.

Remarque : Pour des raisons de scurit, CDP doit tre configur uniquement sur des liaisons entre des units Cisco, et dsactiv sur les liaisons utilisateur qui ne sont pas grs localement

78

ISTA HH

CCNA 2

Dpannage laide de la commande traceroute

Les informations affiches par la commande traceroute indiquent le saut au niveau duquel le problme est survenu (*) Traceroute fournit galement des informations indiquant les performances relatives des liaisons. Le temps de parcours aller-retour (RTT) est le temps ncessaire pour envoyer un paquet et obtenir une rponse. Lchec dune rponse nest pas toujours synonyme de problme, car les messages ICMP ont pu tre limits en dbit ou filtrs au niveau du site hte (sur Internet). Traceroute envoie une squence de datagrammes UDP partir du routeur vers une adresse de port non valide sur lhte distant. Pour la premire squence de trois datagrammes envoye, la valeur du champ Dure de vie est dfinie sur un. Avec cette valeur, le datagramme est temporis au niveau du premier routeur sur le chemin. Ce routeur rpond ensuite en envoyant un message ICMP de dpassement du dlai indiquant que le datagramme a expir. Trois autres messages UDP sont prsent envoys, avec cette fois une valeur de dure de vie rgle sur 2. En consquence, le deuxime routeur renvoie des messages ICMP de dpassement du dlai. Ce processus se poursuit jusqu ce que les paquets atteignent rellement leur destination ou que le TTL maximum ait t atteint. La valeur maximale par dfaut de TTL pour traceroute est 30.

79

ISTA HH

CCNA 2

Dpannage des problmes de routage

Show ip route pour vrifier que le routeur dispose dune route pour un rseau. pour rechercher une erreur de configuration du protocole de routage.

Show ip protocols

La commande Show ip protocols permet didentifier les protocoles configurs, les rseaux annoncs, les interfaces envoyant des mises jour et les sources des mises jour.

Dpannage laide de la commande show controllers

Show controllers Intrt Exemple : Show controllers serial 0/0 interroge le circuit intgr, ou puce de contrleur, qui contrle les interfaces srie et affiche des informations sur linterface physique srie 0/0. Le rsultat varie dune puce de contrleur une autre. pour dterminer le type de cble connect sans avoir linspecter.

Reprer un type de cble incorrect ou un cble dfectueux

80

ISTA HH

CCNA 2

Prsentation des commandes debug

Debug pour afficher des vnements et des donnes dynamiques (en cours).

Ces vnements peuvent concerner le trafic sur une interface, les messages derreur gnrs par des nuds sur le rseau, les paquets de diagnostic propres un protocole et dautres donnes utiles pour le dpannage. Remarque : Le rsultat de la commande debug peut nuire aux performances, car il cre des surcharges sur le processeur susceptibles dinterrompre le fonctionnement normal du routeur. Debug all activer tous les vnements debug (utilise avec modration). No debug debug all ou Undebug Undebug all all dsactiver tous les vnements debug. Terminal monitor afficher les vnements debug au sein de la session telnet.

Timestamps permet de placer un horodatage sur un message de dboguage (lheure de lvnement de dboguage et le temps coul entre plusieurs vnements). Router(config)#service timestamps debug uptime Show version pour dterminer lintervalle de temps coul depuis la dernire occurrence de lvnement de dboguage. Show debugging afficher les vnements debug activs.

81

ISTA HH

CCNA 2

Router#clock set 15:46:00 3 May 2004

exemple pour rgler la date et lheure

Activer laffichage de lheure et la date darrive dun vnement. Router(config)#service timestamps debug datetime localtime Rgler lhorloge du routeur aprs chaque rechargement ou panne dalimentation lectrique Router(config)#service timestamps debug uptime Exemple :

82

ISTA HH

CCNA 2

Module 10 10

83

ISTA HH

CCNA 2

Fonctionnement du protocole TCP

La couche transport assure avec fiabilit le transport et la rgulation du flux de donnes depuis la source jusqu la destination. Pour cela, des fentres glissantes et des numros de squence sont utiliss, paralllement un processus de synchronisation qui garantit que chaque hte est prt communiquer

Synchronisation ou change en trois tapes

Le protocole TCP est orient connexion. Avant de transmettre des donnes, les deux htes excutent un processus de synchronisation pour tablir une connexion virtuelle pour chaque session entre les htes. Pour tablir une session TCP, lhte client va utiliser le numro de port bien connu du service quil dsire contacter et qui est fourni par lhte serveur. Pour tablir une connexion, les deux htes doivent synchroniser leurs numros de squence initiaux (ISN Initial Sequence Number). La squence de la synchronisation : 1. L'hte metteur (A) initie une connexion en envoyant un paquet SYN l'hte rcepteur (B) indiquant que son numro de squence initial ISN = X. 2. B reoit le paquet, enregistre que la squence de A = X, rpond par un accus de rception de X + 1 et indique que son numro de squence ISN = Y. L'accus X + 1 signifie que l'hte B a reu tous les octets jusqu' X inclus et qu'il attend l'arrive de X + 1. 3. L'hte A reoit le paquet de B, apprend que la squence de B est Y et rpond par un accus de Y + 1, qui met fin au processus de connexion:

84

ISTA HH Structure dun segment TCP

CCNA 2

Attaques par dni de service

Les attaques par dni de service sont destines refuser des services des htes lgitimes qui tentent dtablir des connexions. Linondation SYN est un type dattaque par dni de service Elle exploite le processus normal dchange en trois tapes et oblige les units cible envoyer un accus de rception des adresses source, qui ne compltent pas lchange en trois tapes.

Le pirate lance une synchronisation mais usurpe ladresse IP source. On parle de spoofing lorsque lunit rceptrice rpond une adresse IP inexistante et inaccessible, puis est place dans un tat dattente (mmoire) jusqu recevoir laccus de rception final de lunit mettrice consommer des ressources systme.

85

ISTA HH

CCNA 2

Pour se protger : diminuer le dlai dattente de connexion + augmenter la taille de la file dattente de connexion + utiliser un logiciel spcial.

Fentrage et taille de fentre

Les donnes doivent tre divises en segments plus petits pour permettre une meilleure transmission. TCP est responsable de la rpartition de ces donnes en segments. La taille de fentre dfinie la quantit de donnes qui peut tre transmise la fois avant que la destination ne rponde par un accus de rception. TCP utilise le fentrage pour ajuster de faon dynamique la taille des transmissions. Les quipements ngocient une taille de fentre. Remarque : La taille de la fentre peut tre module en fonction des accuss de rception.

Numros de squence
TCP applique des numros de squence aux segments de donnes transmis, de sorte que le rcepteur soit capable dassembler correctement les octets dans leur ordre dorigine. + Le rcepteur sassure quil a reu la totalit des donnes.

86

ISTA HH

CCNA 2

Accuss de rception positifs

Dans un segment TCP, le champ du numro de squence est suivi du champ du numro daccus de rception (lieu o seffectue le suivi des octets transmis et reus). TCP utilise une technique de retransmission et daccus de rception pour contrler le flux de donnes et confirmer larrive des donnes. Selon la technique PAR (Processus Accus de Rception), la source envoie un paquet, dmarre un compteur et attend un accus de rception avant denvoyer le paquet suivant, dans la mme session. Si le compteur arrive expiration avant que la source nait reu un accus de rception, celle-ci retransmet le paquet (avec un dbit plus lent) et redmarre le compteur. Remarque : Le protocole TCP utilise des accuss de rception prvisionnels dans lesquels le numro de laccus de rception indique le prochain octet attendu dans la session TCP. Exemple : lunit de destination ne reoit pas les trois octets (un dpassement de capacit des tampons), elle nenvoie pas daccus de rception lunit source sait que les octets doivent tre transmis de nouveau, un dbit plus lent. Rduction de la vitesse de transmission entre les htes + Fiabilit de la communication.

87

ISTA HH

CCNA 2

Fonctionnement du protocole UDP

Le protocole UDP permet une transmission de paquets non oriente connexion et sans garantie de remise conforme au niveau de la couche 4 du modle OSI. Le protocole UDP nutilise ni fentrage, ni accus de rception. Par consquent, les protocoles de couche application doivent assurer la dtection des erreurs.

Structure dun segment UDP

Port source : facultatif Port de destination dtermine lapplication laquelle un segment UDP est destin. Longueur : identifie le nombre doctets dans le segment UDP Somme de contrle : facultatif mais peut tre utilis pour garantir que les donnes nont pas t endommages pendant la transmission.

88

ISTA HH

CCNA 2

Ports de la couche transport Conversations multiples entre htes

Un numro de port doit tre associ la conversation entre les htes pour garantir que le paquet atteint le service appropri sur le serveur (un serveur qui joue plusieurs rles par exemple).

Les plages attribues aux numros de port sont les suivantes:

Les 1023 premiers ports sont des ports bien connus (dfinis par lIANA) Les ports enregistrs sont compris entre 1024 et 49151. Les ports compris entre 49152 et 65535 sont des ports dits dynamiques ou privs.

Ports de services
Un numro de port doit tre associ aux services excuts sur les htes pour que la communication soit possible. Exemple : FTP transmet des connexions TCP via les ports 20 et 21.

Ports de clients
Les ports source dfinis par le client sont dtermins de manire dynamique. En rgle gnrale, un client dtermine le port source en affectant de manire alatoire un numro suprieur 1023. Exemple : un client qui tente de communiquer avec un serveur Web Source Il utilise TCP et rgle le port de destination sur 80 et le port source sur 1045. Destination le paquet est transmis la couche transport, puis au service HTTP (80) + rpond la requte par un segment (port 80 comme source et port 1045 comme destination).

89

ISTA HH

CCNA 2

Exemple de sessions multiples entre des htes

Un hte peut tablir une connexion telnet sur le port 23 tout en surfant sur Internet via le port 80. Les adresses IP et MAC sont identiques car les paquets proviennent du mme hte. Chaque conversation ct source a besoin de son propre numro de port.

Comparaison des adresses MAC, des adresses IP et des numros de port

Les numros de port sont situs au niveau de la couche transport et sont desservis par la couche rseau. La couche rseau affecte ladresse logique (adresse IP) et est ensuite desservie par la couche liaison de donnes qui affecte ladresse physique (adresse MAC). Numro de port, adresse IP, adresse MAC, numro de port Analogie : Le processus sapparente lenvoi dune lettre normale. Sur une lettre, ladresse est compose dun nom, de la rue et de la ville. Ces lments sont comparables au numro de port, ladresse MAC et ladresse IP utiliss pour les donnes de rseau.

90

ISTA HH

CCNA 2

Module 11 11

91

ISTA HH

CCNA 2

Notions de base sur les ACL : Dfinition des listes de contrle daccs
Les listes de contrle daccs sont des listes de conditions qui sont appliques au trafic circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets accepter ou rejeter. Certaines conditions dans une ACL sont des adresses source et de destination, des protocoles et des numros de port de couche suprieure.

Grer le trafic + scuriser laccs dun rseau en entre comme en sortie. Des ACL peuvent tre cres pour tous les protocoles routs, tels quIP et IPX. Une ACL spare doit tre cre pour chaque direction : une pour le trafic entrant et une pour le trafic sortant. Exemple : Si le routeur a deux interfaces configures pour IP, AppleTalk et IPX, 12 listes daccs distinctes sont ncessaires : une liste pour chaque protocole, fois deux pour la direction (entre et sortie), fois deux pour le nombre d'interfaces. Les principales raisons pour crer des listes de contrle daccs :

Limiter le trafic rseau et accrotre les performances (limitant le trafic vido) Contrler le flux de trafic. (limiter larrive des mises jour de routage) Fournir un niveau de scurit daccs rseau de base. Les listes de contrle daccs permettent un hte daccder une section du rseau tout en empchant un autre hte davoir accs la mme section.

92

ISTA HH

CCNA 2

Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de routeur. (autoriser lacheminement des messages lectroniques et de bloquer tout le trafic via Telnet). Autoriser un administrateur contrler les zones auxquelles un client peut accder sur un rseau.

Fonctionnement des listes de contrle daccs

Lordre des instructions ACL est important. Cisco IOS teste le paquet par rapport chaque instruction de condition en partant du dbut de la liste jusqu la fin. Lorsquune condition est satisfaite dans la liste, le paquet est accept ou rejet et les autres instructions ne sont pas vrifies.

Remarque :

Si un paquet ne correspond aucune instruction dans lACL, le paquet est rejet. Ceci est le rsultat de

linstruction implicite deny

any la fin de chaque ACL.

Processus de routage dans un routeur Vrifier la correspondance (@ MAC) Rechercher une ACL sur linterface dentre Vrifier accepter ou rejeter le paquet Dterminer linterface de destination (table de routage) Si le paquet est accept router le paquet vers linterface de partance. Vrifier lACL sur linterface de destination accepter ou rejeter le paquet Vrifier lautorisation du paquet. Encapsuler le paquet (en trame) et lEnvoi lunit suivante.

93

ISTA HH

CCNA 2

Cration de listes de contrle daccs

Il existe diffrents types de listes de contrle daccs : standard, tendues, IPX et AppleTalk. Sur un routeur, vous devez identifier chaque liste en lui attribuant un numro unique.

Accessccess-list Pour crer et paramtrer les conditions dune ACL. Accessccess-group Pour assigner une ACL linterface qui convient Router(config)#accessaccess-list {n ACL} {permit | deny} {conditions} {n ACL} indique le type dACL {permit | deny} accepter ou refuser {conditions} liste des conditions de test Router(config-if)#{protocole}accessaccess-group {n ACL} {in | out} {in | out} indique sil sagit dun trafic entrant ou sortant dun routeur

Remarque : Une liste de contrle daccs contenant des instructions numrotes ne peut pas tre modifie. Elle doit tre supprime laide des instructions de lACL en utilisant la commande no accessaccess-list {n ACL} pour tre ensuite recre. Exemple :

Rgles doivent tre respectes lors de la cration et de lapplication des listes daccs :

Une liste daccs par direction et par protocole. Les listes daccs standard doivent tre appliques le plus prs possible de la destination. Les listes daccs tendues doivent tre appliques le plus prs possible de la source. 94

ISTA HH

CCNA 2

Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du routeur en regardant l'interface en question. Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin jusqu ce quune correspondance soit trouve. Si aucune correspondance nest dtecte, le paquet est refus. Il existe un refus implicite deny any la fin de toutes les listes de contrle daccs. Les htes spcifiques doivent tre rejets en premier, tandis que les groupes ou les filtres gnraux viennent en dernier. La condition de correspondance est examine en premier. Lacceptation ou le refus est examin UNIQUEMENT si la condition est vraie. Ne travaillez jamais avec une liste daccs qui est applique de manire active. Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis ajoutez les instructions correspondantes. Il nest pas possible dajouter et de supprimer des lignes spcifiques dans des listes daccs numrotes. Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du paquet rejet et limine le paquet dans la corbeille prvue cet effet. Soyez particulirement attentif lorsque vous supprimez une liste daccs (une instruction deny any peut tre applique par dfaut linterface et tout le trafic peut tre arrt). Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.

Rle du masque gnrique

Un masque gnrique est une quantit de 32 bits diviss en quatre octets. Les masques gnriques utilisent les uns et les zros binaires pour filtrer des adresses IP individuelles ou de groupes pour autoriser ou refuser un accs des ressources l'aide d'une adresse IP prcise. Le (0) implique que la valeur soit compare (correspondance parfaite exige), tandis que le (1) implique de bloquer la comparaison (correspondance exacte non exige). Deux mots-cls spciaux sont utiliss dans les listes de contrle daccs : any et host. Any remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque gnrique. Cette option tablit une correspondance avec toute adresse avec laquelle elle est compare. Host remplace le masque 0.0.0.0. Ce masque ncessite une correspondance parfaite entre tous les bits de ladresse ACL et ceux de ladresse du paquet. Avec cette option, une seule adresse concorde.

95

ISTA HH

CCNA 2

Remarque : Le masque de sous-rseaux et le masque gnrique reprsentent deux choses diffrentes mme s'ils sont tous les deux appliqus des adresses IP Exemple de calcul des masques gnriques et prise des dcisions : LACL configure Access-list 1 permit 172.16.0.0 0.0.255.255 Supposons quun paquet entrant de la source 172.17.1.1 @ IP (172.16.0.0) Masque gnrique (0.0.255.255) Valeur de correspondance 1 @ IP (172.17.1.1) Masque gnrique (0.0.255.255) Valeur de correspondance 2 Pas de correspondance : 10101100.00010000.00000000.00000000 : 00000000.00000000.xxxxxxxx.xxxxxxxx : 10101100.00010000.xxxxxxxx.xxxxxxxx : 10101100.00010001.00000001.00000001 : 00000000.00000000.xxxxxxxx.xxxxxxxx : 10101100.00010001.xxxxxxxx.xxxxxxxx

paquet refus.

Vrification des listes de contrle daccs

Show ip interface affiche les informations relatives linterface IP et indique si des listes de contrle daccs sont configures.

Show accessaccess-lists

affiche le contenu de toutes les listes de contrle daccs sur le routeur.

96

ISTA HH

CCNA 2

Show runningpermet galement dafficher les listes daccs dun routeur, ainsi running-config que les informations daffectation aux interfaces.

Listes de contrle daccs (ACL) Listes de contrle daccs standard

Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs.

La plage additionnelle (1300 1999) ACL IP expanses utilise afin de procurer un maximum de 798 nouvelles ACL standards (version 12.0)

Syntaxe complte de la commande ACL standard :

Router(config)#accessaccess-list

{n ACL} {deny | permit | remark} {source} {masque gnrique} [log]

{n ACL} indique le numro dACL (entre les plages 1 et 99 et 1300 et 1999 ) {permit | deny} accepter ou refuser remark ajouter un commentaire pour la comprhension (facultatif) {conditions} liste des conditions de test {source} adresse rseau ou lhte do provient le paquet. {masque gnrique} pour indiquer les bits comparer (facultatif) [log] Provoque un message de journalisation informatif au sujet du paquet correspondant lACL envoyer au port console.

97

ISTA HH Exemples :

CCNA 2

Remarque : Notez que la premire instruction ACL ne contient aucun masque gnrique. Dans le cas o aucune liste napparat, le masque par dfaut (0.0.0.0) est utilis.

Listes de contrle daccs tendues

Elles fournissent une plus grande gamme de contrle. Elles vrifient les adresses dorigine et de destination du paquet, mais peuvent aussi vrifier les protocoles et les numros de port. Exemple : Une liste de contrle daccs tendue peut autoriser le trafic de messagerie issu de linterface Fa0/0 vers des destinations S0/0 donnes tout en refusant des transferts de fichiers et des navigations sur le Web.

Pour une mme liste de contrle daccs, plusieurs instructions peuvent tre configures. (Vous pouvez dfinir autant dinstructions que vous le souhaitez, la seule limite tant la mmoire disponible sur le routeur). Syntaxe complte de la commande ACL tendue :

Oprateurs : Exemples :

eq = gale

gt = suprieur

lt = infrieur neq = non gale

98

ISTA HH

CCNA 2

Listes de contrle daccs nommes

Les listes de contrle daccs nommes IP ont t introduites (version 11.2), afin dattribuer des noms aux listes daccs standard et tendues la place des numros. Avantages :

Identifier de manire intuitive une liste daccs laide dun nom alphanumrique. LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures. Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir les supprimer, puis les reconfigurer.

Remarque : Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs. Syntaxe de la cration : Ip accessaccess-list {extended | standard} {nom de lACL}

Exemple :

Emplacement des listes de contrle daccs

Si le trafic est filtr, la liste de contrle daccs doit tre place lendroit o elle aura le plus grand impact sur les performances. La rgle gnrale est de placer les listes de contrle daccs tendues le plus prs possible de la source du trafic refus.

99

ISTA HH

CCNA 2

Pare-feu
Un pare-feu est une structure situe entre lutilisateur et le monde extrieur afin de protger le rseau interne des intrus. Exemple :

Dans larchitecture prsente, le routeur connect au rseau Internet, appel routeur externe, oblige tout le trafic entrant passer par la passerelle dapplication. Le routeur connect au rseau interne, appel routeur hte, accepte uniquement les paquets de la passerelle dapplication. En fait, la passerelle gre la livraison des services rseau vers le rseau interne et partir de celui-ci. Les listes de contrle daccs doivent tre utilises dans les routeurs pare-feu, lesquels sont souvent placs entre le rseau interne et un rseau externe Les listes de contrle daccs sont utilises sur un routeur situ entre deux sections du rseau pour contrler le trafic entrant ou sortant dune section particulire du rseau interne.

Restriction de laccs au terminal virtuel

Par dfaut, une liste daccs tendue pour le trafic Telnet sortant nempche pas le routeur de lancer des sessions Telnet. Lobjectif de laccs limit au terminal virtuel est daugmenter la scurit du rseau.

100

ISTA HH

CCNA 2

Exemple : Processus de cration de la liste de contrle daccs au terminal virtuel :

Vous devez prendre en compte les lments suivants lors de la configuration :

Lors du contrle de laccs une interface, un nom ou un numro peut tre utilis. Seules les listes daccs numrotes peuvent tre appliques des lignes virtuelles. Dfinissez des restrictions identiques sur toutes les lignes de terminal virtuel.

101

ISTA HH

CCNA 2

Module 11+ 11+

102

ISTA HH

CCNA 2

Cration des ACL - Gnralits

Pour crer une liste de contrle daccs, il faut : Crer la liste de contrle d'accs (accessaccess-list). Assigner cette ACL une interface (accessaccess-group) Structure gnrale dune ACL : Router(config)#accessaccess-list n ACL {permit|deny} instructions Router(config-if)#protocole accessaccess-group n ACL {in|out}

Les diffrents types dACL

Il existe 3 types de liste de contrle daccs : Les ACLs standards utilisent des spcifications dadresses simplifies (origine seulement) Les ACLs tendues utilisent des spcifications dadresses plus complexes et autorisent ou refusent des protocoles prcis. Les ACLs nommes peuvent tre soit standards, soit tendues (faciliter la comprhension)
Une seule liste de contrle d'accs est permise par port, par protocole et par direction, cest--dire quon ne peut pas par exemple dfinir deux ACLs sur linterface E0 pour le trafic IP sortant. Par contre, on peut dfinir deux ACLs pour le trafic IP mais, une pour le trafic entrant et lautre pour le trafic sortant

Numro des ACLs

Au moment de configurer les listes de contrle d'accs il faut identifier chaque liste de protocole en lui attribuant un numro unique.
Plage 1-99 100-199 600-699 800-899 900-999 1000-1099 Protocole IP standard IP tendue AppleTalk IPX standard IPX tendue IPX Service Advertising Protocol

Par exemple, si lon affecte le numro 30 une ACL, cela induit le fait que cette ACL sera de type standard et concernera le trafic IP.

Le masque gnrique
Un masque gnrique est jumel une adresse IP. Les chiffres 1 et 0 sont utiliss pour indiquer la faon de traiter les bits de l'adresse IP correspondante. 103

ISTA HH

CCNA 2

0 pour vrifier et 1 pour ne pas vrifier Exemple : On veut vrifier (autoriser ou refuser) les sous rseaux 172.30.16.0 172.30.31.0 Les deux premiers octets de ladresse IP sont identiques 16 en notation binaire: 0001 0000 31 en notation binaire: 0001 1111 Les bits commencent tre diffrents partir du 4me bit de ce 3me octet. A partir de l on met tous les bits 1 Le masque gnrique est alors 0.0.15.255

Cration dune ACL standard

Router(config)#accessaccess-list n_ACL {deny | permit} adresse dorigine masque gnrique Exemple :

On veut interdire au rseau Invit daccder au rseau Comptabilit .

Le numro de lACL est 1 : il sagit donc dune ACL ip standard Ladresse dorigine est 192.168.0 et le masque est 0.0.0.255 On note que les trois premiers octets du masque ne sont constitus que de 0 et que le dernier octet nest constitu que de 1. On vrifie donc exactement les trois premiers octets de ladresse dorigine, mais on ne soccupe pas du dernier octet. On a donc bien interdit (deny) tous les postes du rseau 192.168.0.0 La deuxime ligne indique dautoriser (permit) tout le reste (any)

104

ISTA HH

CCNA 2

Car noublions pas quil y a toujours une commande implicite deny any la fin des ACLs. La deuxime tape est daffecter cette ACL une interface du routeur.

On saperoit que le routeur qui a t choisi est Routeur_A. En effet avec les ACLs standards, comme on ne peut dfinir que ladresse dorigine, on place ces ACLs au plus prs de la destination. Si on avait mis cette ACL sur le routeur B on aurait interdit laccs partir de ce routeur, alors quon ne veut interdire que laccs au rseau Comptabilit . LACL est dfinie en out : on interdit donc le trafic (requte) provenant du rseau Invit sortir sur linterface du rseau Comptabilit .
Si on ne dfinit ni in ni out, la valeur out est prise par dfaut.

Cration dune ACL tendue

Router(config)# accessaccess-list n ACL {permit | deny} protocol adresse dorigine masque gnrique adresse destination masque gnrique operateur operande Operateur operande : lt, gt, eq ou neq suivi dun numro de port Lt pour lower than (plus petit que) Eq pour equal (gal ) Exemple : Gt pour greater than (plus grand que) Neq pour non equal (diffrent de)

105

ISTA HH On veut refuser au stagiaire daccder au serveur TFTP.

CCNA 2

On remarque que le mot host a t tap avant les adresses IP. Ce mot permet dviter de devoir taper le masque gnrique 0.0.0.0 aprs ladresse IP. eq tftp indique quil faut interdire le trafic tftp uniquement. Le protocole indiqu est UDP : UDP est le protocole qui supporte le service TFTP. La deuxime ligne indique quil faut autoriser tout le reste du trafic (IP) pour nimporte quelle source (any) vers nimporte quelle destination (le deuxime any). Assignons dsormais cette ACL :

On remarque que lACL a t place sur le routeur C, au plus proche de la source. Les ACLs tendues nous permettent de spcifier ladresse de destination, il est donc possible de bloquer au plus vite les paquets non dsirs, et dviter quils atteignent le routeur A, et donc de polluer la bande passante pour des paquets qui seront refuss.

Les ACL nommes.

Router(config)#accessaccess-list {standard | extended} nom_ACL Router_C(config-ext-nacl)# instructions Vous ne pouvez pas utiliser le mme nom dans le cas de listes de contrle d'accs multiples. Reprenons lexemple prcdent, on peut nommer cette ACL stagiaire : Router_C(config)# access-list extended Stagiaire Router_C(config-ext-nacl)#deny udp host 212.16.23.6 host 10.23.4.6 eq tftp Router_C(config-ext-nacl)#permit ip any any Router_C(config-if)# ip access-group Stagiaire out

Vrifier les ACLs configures :

Show accessaccess-lists pour afficher le contenu de toutes les listes de contrle d'accs. Show accessaccess-lists {n ACL} afficher le contenue dune liste bien prcise. 106