Académique Documents
Professionnel Documents
Culture Documents
CCNA CCNA 2
Routers & Routing Basics
Rsum
Ralis par : BOUTAHIR Mounir
ISTA HH
CCNA 2
Sommaire :
Module 1 : Rseaux WAN & routeurs -------------------------------------------- 3
Module 3 : Configuration dun routeur ------------------------------------------ 18 Module 4 : Informations sur les autres quipements -------------------------- 24
Module 9 : Dpannage de base dun routeur ------------------------------------ 71 Module 10 : TCP/IP (niveau intermdiaire) ----------------------------------- 83
Module 11 : Listes de contrle daccs (ACL) ---------------------------------- 91 Module 11+ : les ACL (Pratique) ----------------------------------------------- 102
ISTA HH
CCNA 2
Module 1
ISTA HH
CCNA 2
Caractristiques :
Ils relient des quipements gographiquement loigns. Ils utilisent les services de porteuse d'oprateurs tels que RBOC (Regional Bell Operating Company), Sprint, MCI et VPM Internet Services, Inc. Ils utilisent divers types de connexions srie pour accder la bande passante.
Un rseau WAN fonctionne au niveau de la couche physique et de la couche liaison de donnes du modle de rfrence OSI. Les quipements utiliss dans un WAN :
Des routeurs, qui offrent de nombreux services, y compris linterconnexion. Le terme modems inclut des services dinterface de qualit voix, des units CSU/DSU servant dinterface pour les services T1-E1 Des serveurs de communication, qui concentrent les communications utilisateur entrantes et sortantes via le RTC.
ISTA HH
CCNA 2
Les protocoles de liaison de donnes WAN spcifient la faon dont les trames sont transportes entre les systmes sur une mme liaison. Il sagit notamment des protocoles conus pour fonctionner avec des services point point, multipoints et commuts multi-accs, tels que les services Frame Relay. Organismes grant les normes :
LUIT-T (Union Internationale des Tlcommunications Tlcommunications) LOrganisation internationale de normalisation (ISO). LInternet Engineering Task Force (IETF). LElectrical Industries Association (EIA).
elle contient les tables de routage. elle contient le cache ARP. elle contient la mmoire cache commutation rapide. elle effectue la mise en mmoire tampon des paquets (Mmoire dE/S partage). elle gre les files dattente de paquets. elle sert de mmoire temporaire pour le fichier de configuration. elle perd son contenu la mise hors tension ou au redmarrage du routeur.
elle assure le stockage du fichier de configuration de dmarrage, elle conserve son contenu la mise hors tension ou au redmarrage du routeur.
La mmoire flash :
ISTA HH
CCNA 2
elle permet de mettre jour le logiciel sans suppression ni remplacement de puces. elle conserve son contenu la mise hors tension ou au redmarrage du routeur, elle peut stocker plusieurs versions de la plate-forme logicielle IOS, elle constitue un type de ROM (EEPROM).
Lajout ou le remplacement des modules SIMM de mmoire flash ou des cartes PCMCIA permet de mettre niveau la quantit de mmoire flash. La mmoire morte (ROM) :
elle gre les instructions du test automatique de mise sous tension (POST). elle stocke le programme damorage (bootstrap) et le logiciel de systme de base. elle ncessite un remplacement des puces enfichables sur la carte mre pour procder aux mises jour logicielles.
Bus:
Les routeurs comportent un bus systme et un bus processeur. Le bus systme est utilis pour transfrer les paquets vers et depuis les interfaces. le bus processeur est utilis pour transfre les instructions et les donnes vers ou depuis les adresses mmoire spcifies.
Les interfaces :
elles connectent le routeur au rseau pour lentre et la sortie des paquets, elles peuvent se trouver sur la carte mre ou sur un module spar.
ISTA HH
CCNA 2
ISTA HH
CCNA 2
ISTA HH
CCNA 2
ISTA HH
CCNA 2
un adressage cohrent de bout en bout. des adresses reprsentant les topologies rseau. une slection du meilleur chemin. un routage dynamique ou statique. la commutation.
10
ISTA HH
CCNA 2
HDLC (High-level Data Link Control) Frame Relay PPP (protocole point point) SDLC (Synchronous Data Link Control) SLIP (Serial Line Internet Protocol) X.25 ATM
11
ISTA HH
CCNA 2
Module 2
12
ISTA HH
CCNA 2
13
ISTA HH
CCNA 2
... <output omitted> ... Cisco 1721 (68380) processor (revision C) with 3584K/512K bytes of memory.
Cette ligne indique quelle quantit de mmoire principale et de mmoire partage est installe dans le routeur. Show flash pour trouver la quantit de mmoire flash.
... <output omitted> ... 15998976 bytes total (10889728 bytes free)
Le processus de dmarrage du routeur se charge normalement en mmoire RAM et excute lun de ces environnements dexploitation (selon la valeur du registre de configuration) Le moniteur ROM excute le processus de bootstrap et fournit des fonctions et des diagnostics de bas niveau. Il sert au redmarrage suite une panne systme et la rcupration des mots de passe perdus (accessible quau moyen dune connexion physique directe travers le port console). Le mode ROM amorable, seul un sous-ensemble limit des fonctions de lIOS est disponible. La mmoire ROM amorable permet les oprations dcriture en mmoire flash et est principalement utilise pour remplacer limage IOS qui est stocke en mmoire flash. Cisco IOS : la version complte de lIOS charg partir de la mmoire flash. Show version pour voir limage et la version de lIOS qui sexcute + le paramtre du registre de configuration Remarque : Sur certains quipements, lIOS est directement excut partir de la mmoire flash. Cependant, certains routeurs Cisco requirent le chargement dune copie de lIOS dans la mmoire RAM et son excution partir de celle-ci
14
ISTA HH
CCNA 2
1 le routeur excute un test POST en excutant les diagnostics chargs en mmoire ROM. (le fonctionnement de base du processeur, de la mmoire et des ports d'interface rseau). 2 le chargeur de bootstrap gnrique de la mmoire ROM sexcute pour initialiser lIOS selon la valeur du registre de configuration . Lorsque lIOS est charg et oprationnel, une liste des composants matriels et logiciels saffiche sur lcran. 3 Le fichier de configuration stock dans la mmoire NVRAM est charg dans la mmoire principale, puis il est excut ligne par ligne (protocoles, adresses, services ). Sinon (pas de fichier en NVRAM), le systme dexploitation recherche un serveur TFTP disponible. Sil nen trouve aucun, le dialogue de configuration (SETUP) est tabli.
Mode Setup :
Le mode SETUP a pour but de donner une configuration de base afin de dmarrer le routeur. Dans le mode setup, les rponses par dfaut apparaissent entre crochets [ ] la suite de la question. Appuyez sur la touche Entre pour accepter les valeurs par dfaut. CtrlCtrl-C mettre fin au processus SETUP.
A la fin, il faut savoir que toutes les interfaces sont administrativement dsactives
15
ISTA HH
CCNA 2
Lutilisateur peut dterminer la version bootstrap et la version de lIOS que le routeur utilise + le modle de routeur + le processeur + la quantit de mmoire + le nombre dinterfaces + les types dinterfaces + la quantit des mmoires NVRAM & flash. indique lutilisateur Le message NVRAM invalid, possibly due to write erase que ce routeur na pas encore t configur ou que la mmoire NVRAM a t efface
Lindice ^ indique la position de lerreur. Le symbole du dollar $ indique que la ligne a t dplace vers la gauche.
dfinir la capacit du tampon dhistorique des commandes. rappeler des commandes. dsactiver la fonction dhistorique des commandes.
Par dfaut, la fonction dhistorique des commandes est active et le systme enregistre 10 lignes de commandes dans son tampon (maximum 256).
16
ISTA HH
CCNA 2
Clock set
{heure} {date}
la version de lIOS et informations descriptives. la version de ROM du bootstrap. la version de la ROM amorable. le temps de fonctionnement du routeur. la dernire mthode de redmarrage. le fichier et lemplacement de limage systme. la plate-forme de routeur. la valeur du registre de configuration.
17
ISTA HH
CCNA 2
Module Module 3
18
ISTA HH
CCNA 2
Voici quelques-uns des modes auquel vous pouvez accder partir du mode de configuration globale :
19
ISTA HH
CCNA 2
Indique l'heure dfinie sur le routeur Affiche une liste de noms et d'adresses d'htes se trouvant en mmoire cache Indique tous les utilisateurs connects au routeur
Show flash Affiche des informations sur la mmoire flash ainsi que la liste des fichiers IOS qui y sont stocks Show ARP ARP Affiche la table ARP du routeur
Show protocols Affiche ltat gnral et propre aux interfaces de tous les protocoles de couche 3 configurs. Show startupstartup-config Show runningrunning-config Affiche le contenu de la NVRAM. Affiche le contenu du fichier de configuration excut actuellement.
20
ISTA HH
CCNA 2
21
ISTA HH
CCNA 2
Bannires de connexion
Une bannire de connexion saffiche lors de la connexion, et permet de transmettre un message destin tous les utilisateurs du routeur (pour les avertir, par exemple, dun arrt imminent du systme).
Router(config)#banner motd # le message ici
#.
22
ISTA HH
CCNA 2
Indiquer l@ IP du serveur tftp. Indiquer un nom pour le fichier. Confirmez vos choix. Copy tftp runningrunning-config serveur tftp Pour utiliser une copie de fichier de configuration stock sur un
Slectionner fichier dhte / ficher de rseau. Entrer l@ IP du serveur. Entrer le nom du fichier de configuration ou acceptez le nom par dfaut
23
ISTA HH
CCNA 2
Module 4
24
ISTA HH
CCNA 2
25
ISTA HH
CCNA 2
CDP fournit des informations sur chaque quipement CDP voisin en transmettant des TLV (Type Length Value), cest--dire des blocs dinformations incorpors dans des annonces. Les TLV affiches par les commandes show cdp neighbors sont notamment:
26
ISTA HH
CCNA 2
La commande cdp enable est utilise pour activer CDP sur une interface particulire. Sur la version 10.3 de la plate-forme logicielle Cisco IOS, CDP est activ par dfaut. Toutefois, sur certaines interfaces, telles que les interfaces asynchrones, CDP est dsactiv par dfaut. No CDP run Pour dsactiver CDP au niveau global. No CDP enable dsactiver CDP en mode de configuration dinterface
Introduction Telnet :
Telnet est un protocole de couche 7 du modle OSI sous forme dune commande EXEC de lIOS qui sert tablir une connexion distance. On peut utiliser Telnet pour se connecter des htes distants pour le but de : configurer des quipements rseau distance tester la connectivit (parce que Telnet offre un test complet) Telnet sappuie sur lutilisation du protocole TCP au niveau de la couche Transport. Les commandes Telnet peuvent tre excutes en mode utilisateur ou en mode privilgi
27
ISTA HH
CCNA 2
Dans ce cas, essayez dexcuter la commande ping ou tracert (pour connaitre la cause)
28
ISTA HH
CCNA 2
Le nombre de sessions ouvertes simultanment est dfini par la commande session limit
Les points d'exclamation (!) indiquent chaque cho russi. Un point (.) signifie que l'application de votre routeur a t temporise.
Traceroute :
La commande traceroute permet de tester chaque tape de lacheminement. Cette opration peut tre excute en mode utilisateur ou en mode privilgi. Si lun de ces routeurs est inaccessible, trois astrisques saffichent (*) la place du nom du routeur.
29
ISTA HH
CCNA 2
Show ip route :
Pour dterminer sil existe une entre correspondant au rseau cible dans la table de routage.
30
ISTA HH
CCNA 2
Module 5
31
ISTA HH
CCNA 2
Le registre de configuration est un registre de 16 bits qui se trouve dans la mmoire NVRAM. Les quatre derniers bits du registre de configuration forment le champ damorage (affich par la commande Show version)
Il faut passer en mode moniteur ROM amorcer manuellement en entrant la commande b linvite du mode. Changer la valeur not X seulement 0xnnnX au registre de configuration selon le besoin.
32
ISTA HH
CCNA 2
Si la mmoire NVRAM ne contient pas de commandes boot system. Par dfaut : Flash TFTP ROM
une instruction boot system manquante ou incorrecte. une valeur du registre de configuration est incorrecte limage flash est corrompue une panne matrielle
Pour identifier la source de limage damorage, tapez la commande show version et cherchez la ligne qui identifie la source de limage damorage.
system
Utilisez la commande show runningrunning-config et recherchez une instruction au dbut de la configuration. Examiner la dernire ligne du registre de configuration par show version
boot
Si le problme persiste, il se peut que le fichier dimage flash du routeur soit corrompu, Exemples :
open: read error...requested 0x4 bytes, got 0x0 trouble reading device magic number
33
ISTA HH
CCNA 2
boot: cannot open "flash:" boot: cannot determine first file name on device "flash:" Sinon panne matrielle.
IFS :
compter de la version 12 de lIOS, les routeurs utilisent le systme de fichiers (IFS). LIFS fournit une mthode unique pour la gestion de lensemble des systmes de fichiers utiliss par un routeur (Systme de fichier de mmoire flash, des systmes de fichiers rseau (TFTP, RCP et FTP) et des systmes de fichier de lecture ou dcriture de donnes (NVRAM, configuration courante, ROM). IFS utilise la convention URL pour spcifier les fichiers sur les units du rseau. La convention URL identifie lemplacement des fichiers de configuration la suite du pointvirgule sous la forme [[[//emplacement]/rpertoire]/nomdefichier]. Prfixes les plus courants :
34
CCNA 2
35
ISTA HH
CCNA 2
Remarque : La troisime partie indique si lIOS est stock en mmoire flash dans un fichier compress et sil est transfrable. Une image transfrable est copie de la mmoire flash dans la mmoire RAM pour y tre excute. Une image non transfrable est directement excute dans la mmoire flash.
Par copier-coller :
Capturer la configuration courante Pour capturer la configuration : 1. 2. 3. 4. 5. Slectionnez Transfert Slectionnez Capturer le texte Indiquez le nom du fichier texte Slectionnez Dmarrer pour commencer la capture du texte Affichez la configuration lcran en entrant show runningrunning-config Appuyez sur la barre d'espacement chaque fois que linvite - More apparat. Enregistrer dans un fichier texte Modifier le fichier.
Lorsque la configuration complte est affiche, arrtez la capture en procdant comme suit: 1. Slectionnez Transfert 2. Slectionnez Capturer le texte
36
CCNA 2
la fin de chaque section dinterface, ajoutez la commande no shutdown. Vous pouvez ajouter des commentaires la configuration afin den expliquer certaines parties. Il suffit pour cela de placer un point dexclamation ! en dbut de ligne. La restauration : Erase startupstartup-config supprimer toute trace de configuration. Reload pour redmarrer le routeur.
Passez en mode de configuration globale du routeur. cliquez sur Transfert > Envoyer un fichier texte. Slectionnez le nom du fichier. Copy runningpour sauvegarder. running-config startupstartup-config
37
ISTA HH
CCNA 2
Xmodem -c {image_file_name}
Le -c indique dutiliser le code de redondance cyclique (CRC) pour contrler les erreurs.
38
CCNA 2
Transfert > Envoyer un fichier + indiquez le nom/emplacement de limage, slectionnez Xmodem comme protocole, puis lancez le transfert. Avant de redmarrer le routeur, vous devez nouveau paramtrer la vitesse 9600 bps et le registre de configuration 0x2102 : #configconfig-register 0x2102
Variables denvironnement :
LIOS peut tre restaur partir dune session TFTP (le moyen le plus rapide) Les variables denvironnement fournissent une configuration minimale qui permet le transfert via TFTP de lIOS. Le transfert ROMmon TFTP ne fonctionne que sur le premier port LAN (un jeu simple de paramtres IP a t dfini pour cette interface). Pour dfinir une variable denvironnement ROMmon, vous devez taper le nom de la variable, le signe gal (=), puis la valeur de la variable.
Set
Pour vrifier les variables denvironnement ROMmon. pour dmarrer le tlchargement de lIOS
Tftpdnld i
39
ISTA HH
CCNA 2
Module 6
40
ISTA HH
CCNA 2
Prsentation du routage :
Le routage est le processus quun routeur utilise pour transmettre des paquets vers un rseau de destination. Un routeur prend des dcisions en fonction de ladresse IP de destination dun paquet. Lorsque les routeurs utilisent le routage dynamique, ces informations sont fournies par les autres routeurs. Lorsque le routage statique est utilis, un administrateur rseau configure manuellement les informations sur les rseaux distants.
La distance administrative est un paramtre optionnel qui donne une mesure de la fiabilit de la route. Plus la valeur de la distance administrative est faible et plus la route est fiable. La distance administrative par dfaut est 1 quand on utilise une route statique (Entre 0 et 255). Show ip route {adresse} Pour vrifier la distance administrative dune route donne.
Remarque : Si le routeur ne peut pas atteindre linterface sortante qui est emprunte sur la route, la route nest pas installe dans la table de routage. Il est possible de configurer sur un routeur une route statique qui ne sera utilise quen cas dchec de la route acquise de faon dynamique attribuez une valeur de distance administrative suprieure celle du protocole de routage dynamique utilis.
ISTA HH
CCNA 2
Systmes autonomes
Un systme autonome est un ensemble de rseaux grs par un administrateur commun et partageant une stratgie de routage commune. Les systmes autonomes (AS) assurent la division de linterrseau global en rseaux plus petits et plus faciles grer L'InterNIC (Internet Network Information Center), un fournisseur de services ou encore un administrateur attribue un numro didentification chaque systme autonome. Ce numro est un nombre 16 bits (vitale pour la configuration dIGRP).
42
ISTA HH
CCNA 2
Le routage vecteur de distance dtermine la direction (vecteur) et la distance jusqu une liaison quelconque de linterrseau. Lapproche tat de liens, galement appele routage par le chemin le plus court, recre la topologie exacte de l'intgralit du rseau.
Lalgorithme cumule les distances afin de tenir jour la base de donnes contenant les informations sur la topologie du rseau. Chaque routeur voit uniquement ses voisins (ne connait pas la topologie exacte). La distance entre linterface et chaque rseau directement connect est gale 0.
43
ISTA HH
CCNA 2
Mises jour de routage tat de liens (LSA) un petit paquet dinformations de routage qui est transmis entre les routeurs. Base de donnes topologique un ensemble dinformations rassembles partir des mises jour de routage tat de liens. Algorithme SPF Lalgorithme du plus court chemin dabord (SPF) est un calcul effectu sur la base de donnes qui gnre un arbre SPF. Tables de routage Une liste des chemins et des interfaces connus.
Table de routage
Arbre SPF
Algorithme SPF
44
ISTA HH
CCNA 2
Le routeur se sert de la table de routage pour dterminer le meilleur chemin et transmet ensuite le paquet en utilisant la fonction de commutation. Il utilise la portion rseau de ladresse pour slectionner le chemin. La commutation est le processus interne quutilise un routeur pour accepter un paquet sur une interface et le transmettre une deuxime interface sur le mme routeur.
ISTA HH
CCNA 2
Network {adresse rseau directement connecte} permet de dterminer les interfaces qui participeront l'envoi et la rception des mises jour du routage. Exemple : Router(config)#router rip Roouter(config-router)#network 172.16.0.0
Protocoles de routage:
Les protocoles suivants sont des exemples de protocoles de routage IP :
un protocole de routage vecteur de distance. Il utilise le nombre de sauts comme mtrique pour la slection du chemin. Si le nombre de sauts est suprieur 15, le paquet est limin. Par dfaut, les mises jour du routage sont diffuses toutes les 30 secondes.
un protocole propritaire dveloppe par Cisco. un protocole de routage vecteur de distance. La bande passante, la charge, le dlai et la fiabilit (une mtrique composite). Par dfaut, les mises jour du routage sont diffuses toutes les 90 secondes.
un protocole de routage tat de liens. Cest un protocole de routage de norme ouverte Il utilise lalgorithme SPF pour calculer le cot le plus bas vers une destination. Les mises jour du routage sont diffuses mesure des modifications de topologie.
un protocole de routage vecteur de distance amlior (Cisco). Il utilise l'quilibrage de charge en cot diffrenci. Il utilise une combinaison de fonctions vecteur de distance et tat de liens. Il utilise lalgorithme DUAL (Diffusing Update Algorithm) pour calculer le chemin. Les mises jour du routage sont diffuses en mode multicast en utilisant ladresse 224.0.0.10 et sont dclenches par des modifications topologiques.
Il s'agit d'un protocole de routage extrieur vecteur de distance. Il est utilis pour la connexion entre les FAI ou entre les FAI et les clients. Il est utilis pour acheminer le trafic Internet entre des systmes autonomes.
46
ISTA HH
CCNA 2
Les protocoles de passerelle extrieurs IP ncessitent les trois ensembles dinformations suivants pour que le routage puisse commencer :
Une liste des routeurs voisins avec lesquels changer des informations de routage. Une liste de rseaux annoncer comme tant directement accessibles. Le numro du systme autonome du routeur local.
47
ISTA HH
CCNA 2
Module 7
48
ISTA HH
CCNA 2
1. Supposons que le meilleur chemin du routeur C vers le rseau 1 passe par le routeur B (distance=3). 2. Lorsque le rseau 1 tombe en panne, le routeur E envoie une mise jour au routeur A. Ce dernier cesse dacheminer des paquets vers le rseau 1, mais les routeurs B, C et D continuent de les acheminer car ils nont pas encore t informs de la panne. Lorsque le routeur A transmet sa mise jour, les routeurs B et D cessent d'acheminer des paquets vers le rseau 1. Toutefois, le routeur C n'a toujours pas reu de mise jour. Pour lui, le rseau 1 est toujours accessible via le routeur B. 3. prsent, le routeur C envoie une mise jour priodique au routeur D pour lui indiquer un chemin vers le rseau 1 passant par le routeur B. Le routeur D modifie sa table de routage pour reflter cette information errone et la transmet au routeur A. Ce dernier la transmet son tour aux routeurs B et E, et ainsi de suite. Tous les paquets destins au rseau 1 gnrent alors une boucle partir du routeur C vers les routeurs B, A et D, qui revient au routeur C.
Solutions pour viter les boucles de routage : Dfinition d'une valeur maximale
Le principe : dfinir une valeur de mtrique maximale, le protocole de routage permet la boucle de routage d'exister jusqu' ce que la mtrique dpasse la valeur maximale autorise rseau considr inaccessible. Exemple : le RIP (valeur maximale = 15) la mtrique 16 (inaccessible)
49
ISTA HH
CCNA 2
50
ISTA HH
CCNA 2
Compteurs de retenue
Le principe : Lorsqu'un routeur reoit une mise jour d'un routeur voisin lui indiquant qu'un rseau auparavant accessible est devenu inaccessible, il marque la route comme tant inaccessible et dclenche un compteur de retenue. Si, avant l'expiration du dlai de retenue (priode de gel), une mise jour provenant d'un autre routeur voisin indique une mtrique infrieure, elle est ignore. Disposer de plus de temps pour transmettre l'ensemble du rseau les informations relatives une modification perturbatrice.
Possibilit de transmettre des informations supplmentaires. Mcanisme dauthentification. Prise en charge des masques de sous-rseau de longueur variable (VLSM).
51
ISTA HH Exemple :
CCNA 2
52
ISTA HH
CCNA 2
On rencontre des problmes de boucles de routage et de mtrique de mesure infinie. Router(config-if)#no ip splitsplit-horizon Pour dsactiver la fonction split horizon:
La valeur par dfaut du compteur de retenue RIP est de 180 secondes. Il est possible de diminuer le compteur de retenue pour amliorer la convergence. Dans lidal, il faudrait que la valeur du compteur corresponde au plus long temps de mise jour possible pour linterrseau. Pour changer lintervalle de mise jour : Router(config-router)#timers basic {update} {invalid} {holddown} {flush} [sleeptime] Pour dsactiver lenvoi des mises jour de routage vers certaines interfaces. Router(config-router)#passivepassive-interface {interface} Dans certains types de rseau (Frame Relay), le protocole RIP doit tre inform sur les autres RIP voisins. Pour cela. Router(config-router)#neighbor {IP du routeur voisin}
53
CCNA 2
Est-ce que RIP est configur ? Est-ce que les interfaces appropries envoient et reoivent des mises jour RIP ? Est-ce que le routeur annonce les rseaux appropris ?
Show ip route
R 192.168.3.0/24 {120/1} via 192.168.2.2, 00 :00 :07, Serial0/0 Des commandes supplmentaires permettent de vrifier RIP, par exemple: Show interface {interface} Show ip interface {interface} Show runningrunning-config
54
ISTA HH
CCNA 2
Cette commande permet galement de diagnostiquer des sous-rseaux contigus ou des rseaux en double Des commandes supplmentaires permettent de rsoudre les problmes RIP : Show ip rip database Show ip protocols {summary} Show ip route Debug ip rip {events} Show ip interface brief
55
ISTA HH
CCNA 2
Lastrisque (*) signale la route active utilise pour le nouveau trafic. Remarque : Lorsquun routeur apprend plusieurs routes vers un rseau spcifique, cest la route avec la distance administrative la plus courte qui est ajoute la table de routage. Pour modifier le nombre maximum de chemins parallles autoriss :
Router(config-router)#maximummaximum-paths
[nombre de 0 jusqu 6]
2 mthodes dquilibrage de charge : quilibrage de charge par paquet quilibrage de charge par destination (par dfaut)
56
ISTA HH
CCNA 2
Si le processus de commutation est activ, le routeur peut changer de chemin chaque nouveau paquet. Par dfaut la commutation Fast Switching est active une seule des routes sera mise en mmoire cache pour ladresse de destination et les paquets de la trame achemins vers un hte spcifique prendront tous le mme chemin. Les paquets en route vers un hte diffrent sur le mme rseau peuvent utiliser une autre route. No ip routeroute-cache pour dsactiver la commutation Fast Switching
Lorsquune interface tombe en panne, toutes les routes statiques pointant vers cette interface sont supprimes de la table de routage IP.
Polyvalence : traiter automatiquement des topologies complexes. Flexibilit : la segmentation avec des caractristiques en termes de BP et de dlai volutivit : fonctionner sur des rseaux de trs grande taille
Bande passante : Valeur de bande passante la plus faible sur le chemin Dlai : Dlai d'interface global le long du chemin Fiabilit : Fiabilit de la liaison vers la destination Charge : Charge d'une liaison vers la destination, en bits par seconde.
57
ISTA HH IGRP utilise par dfaut la bande passante et le dlai comme mtriques. Show ip protocols pour afficher les mtriques du protocole IGRP.
CCNA 2
Les coefficients K1 K5 apparaissent sur le graphique. Ils sont utiliss par l'algorithme pour calculer la mtrique de routage IGRP. Par dfaut, K1 = K3 = 1 K2 = K4 = K5 = 0.
Routes IGRP :
Le protocole IGRP annonce trois types de routes:
58
ISTA HH
CCNA 2
Intrieure : sont des routes situes entre les sous-rseaux d'un rseau reli une interface de routeur. Si le rseau reli un routeur n'est pas divis en sous-rseaux, le protocole IGRP n'annonce pas les routes intrieures. Systme : sont les routes menant d'autres rseaux au sein d'un systme autonome. Elles ne contiennent pas d'information sur les sous-rseaux. Extrieure : sont des routes menant des rseaux extrieurs au systme autonome, et qui sont utilises lorsqu'une passerelle de dernier recours est envisage
Les compteurs sont : un compteur de mise jour, un compteur de temporisation, un compteur de retenue et un compteur d'annulation. Le compteur de mise jour indique la frquence d'envoi des messages de mise jour du routage (par dfaut 90 secondes). Le compteur de temporisation indique le laps de temps au bout duquel un routeur doit dclarer une route non valide en l'absence de messages de mise jour la concernant (par dfaut 270 secondes). Le compteur de retenue indique le laps de temps pendant lequel les informations relatives aux routes non optimales sont ignores (par dfaut 280 secondes) Le compteur d'annulation indique le laps de temps devant s'couler avant la suppression d'une route dans la table de routage (par dfaut 630 secondes)
59
ISTA HH
CCNA 2
I 192.168.3.0/24 {100/80135} via 192.168.2.2, 00 :00 :07, Serial0/0 Des commandes supplmentaires permettent de vrifier le protocole IGRP : Show interface {interface} Show runningrunning-config Show runningrunning-config interface interface {interface} Show runningrunning-config | begin interface {interface} Show runningrunning-config | begin igrp Show ip protocols
60
ISTA HH
CCNA 2
61
ISTA HH
CCNA 2
Module 8
62
ISTA HH
CCNA 2
Remarque : Les erreurs cres par les messages ICMP ne gnrent pas leurs propres messages ICMP. Il est ainsi possible quune erreur de transmission de datagramme ne soit jamais signale lmetteur des donnes.
63
ISTA HH
CCNA 2
La demande dcho comprend une valeur de dure de vie (TTL). La dure de vie est un champ contenu dans len tte du paquet IP qui permet de limiter la transmission des paquets. A chaque fois quun routeur transmet un paquet il dcrmente la valeur TTL de un. Quand un routeur reoit un paquet avec un TTL gal 1, il ne transmet pas le paquet.
Type : indique le type de message ICMP envoy Code : inclut des informations supplmentaires spcifiques au type de message Checksum (somme de contrle) : vrifier lintgrit des donnes
64
ISTA HH
CCNA 2
Codes dun message Destination inaccessible : La valeur du code indique la raison de la non transmission du paquet.
65
ISTA HH
CCNA 2
Un message destination inaccessible peut galement tre envoy lorsquil est ncessaire de fragmenter un paquet. Cest le cas en principe lorsquun datagramme est transmis dun rseau Token-Ring un rseau Ethernet. Des messages destination inaccessible peuvent galement tre gnrs si les services lis lIP tels que les services FTP ou les services Web ne sont pas disponibles.
Erreurs diverses :
Certains types derreurs au niveau de len-tte peuvent empcher les quipements qui traitent les datagrammes de les transmettre.
Remarque : Lorsque la valeur de code est 0, le champ pointeur indique loctet du datagramme qui a produit lerreur.
Linterface via laquelle le paquet entre dans le routeur est la mme que celle par laquelle il ressort Le sous-rseau/rseau de ladresse IP origine est identique celui de ladresse IP du saut suivant du paquet rout. Le datagramme nest pas achemin lorigine. Le datagramme nest pas achemin lorigine. La route de redirection nest pas une autre redirection ICMP ou une route par dfaut.
66
ISTA HH Exemple :
CCNA 2
Lhte B envoie un paquet lhte C sur le rseau 10.0.0.0/8. Puisque lhte B nest pas directement connect au mme rseau, il transmet le paquet sa passerelle par dfaut, le routeur A. Le routeur A trouve la route approprie vers le rseau 10.0.0.0/8 en consultant sa table de routage. Il dtermine que le chemin vers le rseau emprunte la mme interface do provient la demande de transmission du paquet. Il transmet le paquet et envoie une demande de redirection/modification lhte B, lui indiquant dutiliser le routeur B comme passerelle pour acheminer toutes les futures demandes au rseau 10.0.0.0/8.
Paquet redirect/change :
Le champ Router Internet Address de la redirection ICMP est ladresse IP qui serait utilise comme passerelle par dfaut pour un rseau particulier.
67
ISTA HH
CCNA 2
Le champ type dun message dhorodatage peut avoir la valeur - 13 (demande dhorodatage) - 14 (rponse dhorodatage). Horodatage de dpart est lheure laquelle lhte demandeur a envoy la demande. Horodatage de rception est lheure laquelle lhte de destination reoit la demande. Horodatage de transmission est renseign juste avant que la rponse ne soit retourne. Les horodatages sont calculs en nombres de millisecondes coules depuis zro heure, temps universel (UT). Remarque : des protocoles plus robustes tels que le NTP (Network Time Protocol), au niveau des couches suprieures, effectuent la synchronisation dhorloge de faon bien plus fiable.
Le type 15 correspond un message de demande dinformation Le type 16 correspond un message de rponse dinformation.
Remarque : Ce type de message ICMP est aujourdhui considr comme obsolte. Dautres protocoles tels que BOOTP, RARP et DHCP utiliss pour obtenir les numros de rseau.
68
ISTA HH
CCNA 2
Le type 17 correspond un message demande de masque dadresse Le type 18 correspond un message de rponse de masque dadresse.
69
ISTA HH
CCNA 2
70
ISTA HH
CCNA 2
Module 9
71
ISTA HH
CCNA 2
Show ip route connected afficher les routes directement connects C Show ip route {address} affiche les entre routant cers une destination particulier. Show ip route rip afficher les routes RIP R Show ip route igrp afficher les routes IGRP I Show ip route static afficher les routes manuellement configurs.
Un administrateur doit configurer au moins un routeur avec une route par dfaut. Ip route 0.0.0.0 0.0.0.0 {adresse passerelle / interface de sortie} Ou Ip defaultdefault-network network {adresse passerelle} La commande ip default-network s'utilise dans le systme d'adressage avec classes (classful), ce qui signifie que si le routeur a une route vers un sous-rseau entr par cette commande, il n'installera en fait que la route vers le rseau principal non segment. La commande show ip route affiche ce qui suit :
Gateway of last resort is 172.16.1.2 to network 0.0.0.0
72
ISTA HH
CCNA 2
Show ip protocols
73
CCNA 2
Cbles rompus Cbles dconnects Cbles raccords des ports inappropris Connexions instables Cbles inappropris (cbles console, croiss et droits) Problmes dmetteur-rcepteur Problmes de cblage ETCD Problmes de cblage ETTD Units hors tension
74
CCNA 2
Interfaces srie configures de faon incorrecte Interfaces Ethernet configures de faon incorrecte Ensemble dencapsulation inappropri Frquence dhorloge inapproprie pour les interfaces srie Problmes de carte rseau (NIC)
Protocole de routage non activ Protocole de routage incorrect activ Adresses IP incorrectes Masques de sous-rseau incorrects
Il est prfrable de commencer les tests par la couche 1, jusqu la couche 7 si ncessaire.
75
ISTA HH
CCNA 2
Vrifiez que tous les cbles appropris sont connects aux ports appropris. Vrifiez que tous les ports de concentrateur et de commutateur sont associs au rseau VLAN ou au domaine de collision appropri, et que les options de Spanning Tree correspondantes, entre autres, sont dfinies correctement. Remplacer lmetteur-rcepteur ci ncessaire. Assurez-vous galement que lunit est bien sous tension.
Lutilisation dune commande ping tendue indique au routeur dexcuter une gamme plus tendue doptions de test. Ping Entre (sans saisir dadresse IP).
Une recherche DNS inverse sur ladresse du client peut-elle tre trouve ? Telnet ne puisse pas ngocier les options appropries debug telnet Telnet dsactiv ou t dplac vers un port autre que 23 sur le serveur de destination.
76
ISTA HH
CCNA 2
Dpannage des problmes de routeur Dpannage de la couche 1 laide de la commande show interfaces :
Show interfaces Pour vrifier ltat et les statistiques des interfaces.
Si un nombre croissant derreurs dentre apparat dans ces informations, plusieurs facteurs peuvent tre lorigine de ces erreurs. Certains problmes sont lis la couche 1:
quipement tlphonique dfectueux Ligne srie parasite Cble inappropri ou longueur de cble incorrecte Cble ou connexion endommag(e) 77
ISTA HH
CCNA 2
Le nombre de rinitialisations dinterface rsultent dun trop grand nombre de messages de test dactivit. Les problmes de couche 1 suivants peuvent tre lorigine :
Une ligne incorrecte entranant des transitions de porteuse Un problme matriel au niveau dune unit CSU/DSU ou dun commutateur
Remarque : Les statistiques refltent le fonctionnement du routeur depuis son dmarrage ou depuis la dernire remise zro des compteurs. Show version pour rechercher depuis quand le routeur est en service.
GAD uptime is 6 hours, 21 minutes Clear counters pour remettre les compteurs zro.
Ces compteurs devraient toujours tre effacs aprs rsolution dun problme dinterface.
Aucun message de test dactivit (keepalives) Aucune frquence dhorloge (clock rate) Aucune correspondance au niveau du type dencapsulation
Si la couche physique fonctionne correctement, toutes les autres units Cisco directement connectes doivent tre affiches. Labsence dunit connue reflte probablement un problme au niveau de la couche 1.
Remarque : Pour des raisons de scurit, CDP doit tre configur uniquement sur des liaisons entre des units Cisco, et dsactiv sur les liaisons utilisateur qui ne sont pas grs localement
78
ISTA HH
CCNA 2
79
ISTA HH
CCNA 2
Show ip protocols
La commande Show ip protocols permet didentifier les protocoles configurs, les rseaux annoncs, les interfaces envoyant des mises jour et les sources des mises jour.
80
ISTA HH
CCNA 2
Ces vnements peuvent concerner le trafic sur une interface, les messages derreur gnrs par des nuds sur le rseau, les paquets de diagnostic propres un protocole et dautres donnes utiles pour le dpannage. Remarque : Le rsultat de la commande debug peut nuire aux performances, car il cre des surcharges sur le processeur susceptibles dinterrompre le fonctionnement normal du routeur. Debug all activer tous les vnements debug (utilise avec modration). No debug debug all ou Undebug Undebug all all dsactiver tous les vnements debug. Terminal monitor afficher les vnements debug au sein de la session telnet.
Timestamps permet de placer un horodatage sur un message de dboguage (lheure de lvnement de dboguage et le temps coul entre plusieurs vnements). Router(config)#service timestamps debug uptime Show version pour dterminer lintervalle de temps coul depuis la dernire occurrence de lvnement de dboguage. Show debugging afficher les vnements debug activs.
81
ISTA HH
CCNA 2
Activer laffichage de lheure et la date darrive dun vnement. Router(config)#service timestamps debug datetime localtime Rgler lhorloge du routeur aprs chaque rechargement ou panne dalimentation lectrique Router(config)#service timestamps debug uptime Exemple :
82
ISTA HH
CCNA 2
Module 10 10
83
ISTA HH
CCNA 2
84
CCNA 2
Le pirate lance une synchronisation mais usurpe ladresse IP source. On parle de spoofing lorsque lunit rceptrice rpond une adresse IP inexistante et inaccessible, puis est place dans un tat dattente (mmoire) jusqu recevoir laccus de rception final de lunit mettrice consommer des ressources systme.
85
ISTA HH
CCNA 2
Pour se protger : diminuer le dlai dattente de connexion + augmenter la taille de la file dattente de connexion + utiliser un logiciel spcial.
Numros de squence
TCP applique des numros de squence aux segments de donnes transmis, de sorte que le rcepteur soit capable dassembler correctement les octets dans leur ordre dorigine. + Le rcepteur sassure quil a reu la totalit des donnes.
86
ISTA HH
CCNA 2
87
ISTA HH
CCNA 2
Port source : facultatif Port de destination dtermine lapplication laquelle un segment UDP est destin. Longueur : identifie le nombre doctets dans le segment UDP Somme de contrle : facultatif mais peut tre utilis pour garantir que les donnes nont pas t endommages pendant la transmission.
88
ISTA HH
CCNA 2
Les 1023 premiers ports sont des ports bien connus (dfinis par lIANA) Les ports enregistrs sont compris entre 1024 et 49151. Les ports compris entre 49152 et 65535 sont des ports dits dynamiques ou privs.
Ports de services
Un numro de port doit tre associ aux services excuts sur les htes pour que la communication soit possible. Exemple : FTP transmet des connexions TCP via les ports 20 et 21.
Ports de clients
Les ports source dfinis par le client sont dtermins de manire dynamique. En rgle gnrale, un client dtermine le port source en affectant de manire alatoire un numro suprieur 1023. Exemple : un client qui tente de communiquer avec un serveur Web Source Il utilise TCP et rgle le port de destination sur 80 et le port source sur 1045. Destination le paquet est transmis la couche transport, puis au service HTTP (80) + rpond la requte par un segment (port 80 comme source et port 1045 comme destination).
89
ISTA HH
CCNA 2
90
ISTA HH
CCNA 2
Module 11 11
91
ISTA HH
CCNA 2
Notions de base sur les ACL : Dfinition des listes de contrle daccs
Les listes de contrle daccs sont des listes de conditions qui sont appliques au trafic circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets accepter ou rejeter. Certaines conditions dans une ACL sont des adresses source et de destination, des protocoles et des numros de port de couche suprieure.
Grer le trafic + scuriser laccs dun rseau en entre comme en sortie. Des ACL peuvent tre cres pour tous les protocoles routs, tels quIP et IPX. Une ACL spare doit tre cre pour chaque direction : une pour le trafic entrant et une pour le trafic sortant. Exemple : Si le routeur a deux interfaces configures pour IP, AppleTalk et IPX, 12 listes daccs distinctes sont ncessaires : une liste pour chaque protocole, fois deux pour la direction (entre et sortie), fois deux pour le nombre d'interfaces. Les principales raisons pour crer des listes de contrle daccs :
Limiter le trafic rseau et accrotre les performances (limitant le trafic vido) Contrler le flux de trafic. (limiter larrive des mises jour de routage) Fournir un niveau de scurit daccs rseau de base. Les listes de contrle daccs permettent un hte daccder une section du rseau tout en empchant un autre hte davoir accs la mme section.
92
ISTA HH
CCNA 2
Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de routeur. (autoriser lacheminement des messages lectroniques et de bloquer tout le trafic via Telnet). Autoriser un administrateur contrler les zones auxquelles un client peut accder sur un rseau.
Remarque :
Si un paquet ne correspond aucune instruction dans lACL, le paquet est rejet. Ceci est le rsultat de
Processus de routage dans un routeur Vrifier la correspondance (@ MAC) Rechercher une ACL sur linterface dentre Vrifier accepter ou rejeter le paquet Dterminer linterface de destination (table de routage) Si le paquet est accept router le paquet vers linterface de partance. Vrifier lACL sur linterface de destination accepter ou rejeter le paquet Vrifier lautorisation du paquet. Encapsuler le paquet (en trame) et lEnvoi lunit suivante.
93
ISTA HH
CCNA 2
Accessccess-list Pour crer et paramtrer les conditions dune ACL. Accessccess-group Pour assigner une ACL linterface qui convient Router(config)#accessaccess-list {n ACL} {permit | deny} {conditions} {n ACL} indique le type dACL {permit | deny} accepter ou refuser {conditions} liste des conditions de test Router(config-if)#{protocole}accessaccess-group {n ACL} {in | out} {in | out} indique sil sagit dun trafic entrant ou sortant dun routeur
Remarque : Une liste de contrle daccs contenant des instructions numrotes ne peut pas tre modifie. Elle doit tre supprime laide des instructions de lACL en utilisant la commande no accessaccess-list {n ACL} pour tre ensuite recre. Exemple :
Rgles doivent tre respectes lors de la cration et de lapplication des listes daccs :
Une liste daccs par direction et par protocole. Les listes daccs standard doivent tre appliques le plus prs possible de la destination. Les listes daccs tendues doivent tre appliques le plus prs possible de la source. 94
ISTA HH
CCNA 2
Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du routeur en regardant l'interface en question. Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin jusqu ce quune correspondance soit trouve. Si aucune correspondance nest dtecte, le paquet est refus. Il existe un refus implicite deny any la fin de toutes les listes de contrle daccs. Les htes spcifiques doivent tre rejets en premier, tandis que les groupes ou les filtres gnraux viennent en dernier. La condition de correspondance est examine en premier. Lacceptation ou le refus est examin UNIQUEMENT si la condition est vraie. Ne travaillez jamais avec une liste daccs qui est applique de manire active. Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis ajoutez les instructions correspondantes. Il nest pas possible dajouter et de supprimer des lignes spcifiques dans des listes daccs numrotes. Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du paquet rejet et limine le paquet dans la corbeille prvue cet effet. Soyez particulirement attentif lorsque vous supprimez une liste daccs (une instruction deny any peut tre applique par dfaut linterface et tout le trafic peut tre arrt). Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.
95
ISTA HH
CCNA 2
Remarque : Le masque de sous-rseaux et le masque gnrique reprsentent deux choses diffrentes mme s'ils sont tous les deux appliqus des adresses IP Exemple de calcul des masques gnriques et prise des dcisions : LACL configure Access-list 1 permit 172.16.0.0 0.0.255.255 Supposons quun paquet entrant de la source 172.17.1.1 @ IP (172.16.0.0) Masque gnrique (0.0.255.255) Valeur de correspondance 1 @ IP (172.17.1.1) Masque gnrique (0.0.255.255) Valeur de correspondance 2 Pas de correspondance : 10101100.00010000.00000000.00000000 : 00000000.00000000.xxxxxxxx.xxxxxxxx : 10101100.00010000.xxxxxxxx.xxxxxxxx : 10101100.00010001.00000001.00000001 : 00000000.00000000.xxxxxxxx.xxxxxxxx : 10101100.00010001.xxxxxxxx.xxxxxxxx
paquet refus.
Show accessaccess-lists
96
ISTA HH
CCNA 2
Show runningpermet galement dafficher les listes daccs dun routeur, ainsi running-config que les informations daffectation aux interfaces.
La plage additionnelle (1300 1999) ACL IP expanses utilise afin de procurer un maximum de 798 nouvelles ACL standards (version 12.0)
{n ACL} indique le numro dACL (entre les plages 1 et 99 et 1300 et 1999 ) {permit | deny} accepter ou refuser remark ajouter un commentaire pour la comprhension (facultatif) {conditions} liste des conditions de test {source} adresse rseau ou lhte do provient le paquet. {masque gnrique} pour indiquer les bits comparer (facultatif) [log] Provoque un message de journalisation informatif au sujet du paquet correspondant lACL envoyer au port console.
97
ISTA HH Exemples :
CCNA 2
Remarque : Notez que la premire instruction ACL ne contient aucun masque gnrique. Dans le cas o aucune liste napparat, le masque par dfaut (0.0.0.0) est utilis.
Pour une mme liste de contrle daccs, plusieurs instructions peuvent tre configures. (Vous pouvez dfinir autant dinstructions que vous le souhaitez, la seule limite tant la mmoire disponible sur le routeur). Syntaxe complte de la commande ACL tendue :
Oprateurs : Exemples :
eq = gale
gt = suprieur
98
ISTA HH
CCNA 2
Identifier de manire intuitive une liste daccs laide dun nom alphanumrique. LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures. Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir les supprimer, puis les reconfigurer.
Remarque : Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs. Syntaxe de la cration : Ip accessaccess-list {extended | standard} {nom de lACL}
Exemple :
99
ISTA HH
CCNA 2
Pare-feu
Un pare-feu est une structure situe entre lutilisateur et le monde extrieur afin de protger le rseau interne des intrus. Exemple :
Dans larchitecture prsente, le routeur connect au rseau Internet, appel routeur externe, oblige tout le trafic entrant passer par la passerelle dapplication. Le routeur connect au rseau interne, appel routeur hte, accepte uniquement les paquets de la passerelle dapplication. En fait, la passerelle gre la livraison des services rseau vers le rseau interne et partir de celui-ci. Les listes de contrle daccs doivent tre utilises dans les routeurs pare-feu, lesquels sont souvent placs entre le rseau interne et un rseau externe Les listes de contrle daccs sont utilises sur un routeur situ entre deux sections du rseau pour contrler le trafic entrant ou sortant dune section particulire du rseau interne.
100
ISTA HH
CCNA 2
Lors du contrle de laccs une interface, un nom ou un numro peut tre utilis. Seules les listes daccs numrotes peuvent tre appliques des lignes virtuelles. Dfinissez des restrictions identiques sur toutes les lignes de terminal virtuel.
101
ISTA HH
CCNA 2
102
ISTA HH
CCNA 2
Par exemple, si lon affecte le numro 30 une ACL, cela induit le fait que cette ACL sera de type standard et concernera le trafic IP.
Le masque gnrique
Un masque gnrique est jumel une adresse IP. Les chiffres 1 et 0 sont utiliss pour indiquer la faon de traiter les bits de l'adresse IP correspondante. 103
ISTA HH
CCNA 2
0 pour vrifier et 1 pour ne pas vrifier Exemple : On veut vrifier (autoriser ou refuser) les sous rseaux 172.30.16.0 172.30.31.0 Les deux premiers octets de ladresse IP sont identiques 16 en notation binaire: 0001 0000 31 en notation binaire: 0001 1111 Les bits commencent tre diffrents partir du 4me bit de ce 3me octet. A partir de l on met tous les bits 1 Le masque gnrique est alors 0.0.15.255
Le numro de lACL est 1 : il sagit donc dune ACL ip standard Ladresse dorigine est 192.168.0 et le masque est 0.0.0.255 On note que les trois premiers octets du masque ne sont constitus que de 0 et que le dernier octet nest constitu que de 1. On vrifie donc exactement les trois premiers octets de ladresse dorigine, mais on ne soccupe pas du dernier octet. On a donc bien interdit (deny) tous les postes du rseau 192.168.0.0 La deuxime ligne indique dautoriser (permit) tout le reste (any)
104
ISTA HH
CCNA 2
Car noublions pas quil y a toujours une commande implicite deny any la fin des ACLs. La deuxime tape est daffecter cette ACL une interface du routeur.
On saperoit que le routeur qui a t choisi est Routeur_A. En effet avec les ACLs standards, comme on ne peut dfinir que ladresse dorigine, on place ces ACLs au plus prs de la destination. Si on avait mis cette ACL sur le routeur B on aurait interdit laccs partir de ce routeur, alors quon ne veut interdire que laccs au rseau Comptabilit . LACL est dfinie en out : on interdit donc le trafic (requte) provenant du rseau Invit sortir sur linterface du rseau Comptabilit .
Si on ne dfinit ni in ni out, la valeur out est prise par dfaut.
105
CCNA 2
On remarque que le mot host a t tap avant les adresses IP. Ce mot permet dviter de devoir taper le masque gnrique 0.0.0.0 aprs ladresse IP. eq tftp indique quil faut interdire le trafic tftp uniquement. Le protocole indiqu est UDP : UDP est le protocole qui supporte le service TFTP. La deuxime ligne indique quil faut autoriser tout le reste du trafic (IP) pour nimporte quelle source (any) vers nimporte quelle destination (le deuxime any). Assignons dsormais cette ACL :
On remarque que lACL a t place sur le routeur C, au plus proche de la source. Les ACLs tendues nous permettent de spcifier ladresse de destination, il est donc possible de bloquer au plus vite les paquets non dsirs, et dviter quils atteignent le routeur A, et donc de polluer la bande passante pour des paquets qui seront refuss.