FR EWAN ILM v40

Ce document est la proprit exclusive de Cisco Systems, Inc.
Lautorisation dimprimer et de copier ce document nest autorise

que pour une distribution non commerciale et lutilisation de ce document
est exclusivement rserve aux formateurs du cours CCNA Exploration :
Accs au rseau tendu, en tant que partie intgrante du programme officiel
Cisco Networking Academy.
Travaux pratiques 1.4.1 : travaux pratiques : rvision avance

(version du formateur)
Diagramme de topologie
Table dadressage
Priphrique
R1
R2
Interface
Adresse IP
Masque de
sous-rseau
Passerelle
par dfaut
Fa0/1
N/D
N/D
N/D
Fa0/1.10
192.168.10.1
255.255.255.0
N/D
Fa0/1.12
10.12.12.1
255.255.255.0
N/D
Fa0/1.13
10.13.13.1
255.255.255.0
N/D
S0/0/0
10.1.1.1
255.255.255.252
N/D
Fa0/1
N/D
N/D
N/D
Fa0/1.12
10.12.12.2
255.255.255.0
N/D
Fa0/1.20
192.168.20.1
255.255.255.0
N/D
S0/0/0
10.1.1.2
255.255.255.252
N/D
S0/0/1
10.2.2.1
255.255.255.252
N/D
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.
Page 1 sur 26
CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3
Travaux pratiques 1.4.1 : rvision avance
Fa0/1
N/D
N/D
N/D
Fa0/1.13
10.13.13.3
255.255.255.0
N/D
Fa0/1.30
192.168.30.1
255.255.255.0
N/D
S0/0/1
10.2.2.2
255.255.255.252
N/D
Comm1
VLAN10
192.168.10.2
255.255.255.0
192.168.10.1
Comm2
VLAN20
192.168.20.2
255.255.255.0
192.168.20.1
Comm3
VLAN30
192.168.30.2
255.255.255.0
192.168.30.1
PC1
Carte rseau
192.168.10.10
255.255.255.0
192.168.10.1
PC3
Carte rseau
192.168.30.10
255.255.255.0
192.168.30.1
R3
Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :
Cbler un rseau conformment au diagramme de topologie
Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres

par dfaut
Excuter les tches de configuration de base dun routeur
Configurer et activer des interfaces
Configurer le protocole Spanning Tree
Configurer les serveurs et le client VTP
Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs
Configurer le routage RIP sur tous les routeurs
Configurer le routage OSPF sur tous les routeurs
Configurer le routage EIGRP sur tous les routeurs
Scnario
Au cours de ces travaux pratiques, vous allez examiner les concepts de routage et de commutation.
Essayez cependant de travailler de faon autonome. Si vous prouvez des difficults, reportez-vous au
cours prcdent.
Remarque : il nest pas conseill dutiliser la configuration de trois protocoles de routage distincts (RIP,
OSPF et EIGRP) pour acheminer le mme rseau. En effet, cette pratique est des moins recommandes,
et elle ne devrait pas tre mise en uvre dans un rseau de production. Elle a t adopte ici pour vous
permettre dexaminer les principaux protocoles de routage et pour illustrer le concept de distance
administrative.
Tche 1 : prparation du rseau

tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression des configurations existantes sur les routeurs
Page 2 sur 26
CCNA Exploration
Tche 2 : excution des configurations de base des priphriques

Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2, Comm3,
en respectant les consignes suivantes :
Configurez le nom dhte.
Dsactivez la recherche DNS.
Configurez un mot de passe pour le mode dexcution privilgi.
Configurez une bannire de message du jour.
Configurez un mot de passe pour les connexions de consoles.
Configurez la connexion synchrone.
Configurez un mot de passe pour les connexions de terminaux virtuels (vty).
enable
configure terminal
no ip domain-lookup
enable secret class
banner motd ^CUnauthorized access strictly prohibited and prosecuted
to the full extent of the law^C
!
!
line con 0
exec-timeout 0 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config startup-config
Tche 3 : configuration et activation dadresses srie et Ethernet

tape 1 : configuration des interfaces sur R1, R2 et R3
R1
!
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
ip address 10.12.12.1 255.255.255.0
!
Page 3 sur 26
CCNA Exploration
ip address 10.13.13.1 255.255.255.0
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no shutdown
clock rate 64000
!
R2
!
no ip address
no shutdown
!
ip address 10.12.12.2 255.255.255.0
no snmp trap link-status
!
ip address 192.168.20.1 255.255.255.0
!
ip address 10.1.1.2 255.255.255.252
no shutdown
!
ip address 10.2.2.1 255.255.255.252
clock rate 64000
no shutdown
R3
no ip address
no shutdown
!
ip address 10.13.13.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
ip address 10.2.2.2 255.255.255.252
no shutdown
!
Page 4 sur 26
CCNA Exploration
tape 2 : vrification de ladressage IP et des interfaces

R1#show ip interface brief
Interface
IP-Address
Protocol
FastEthernet0/0
unassigned
FastEthernet0/1
unassigned
FastEthernet0/1.10
192.168.10.1
FastEthernet0/1.12
10.12.12.1
FastEthernet0/1.13
10.13.13.1
Serial0/0/0
10.1.1.1
Serial0/0/1
unassigned
Serial0/1/0
unassigned
Serial0/1/1
unassigned
Interface
IP-Address
Protocol
FastEthernet0/0
unassigned
FastEthernet0/1
unassigned
FastEthernet0/1.12
10.12.12.2
FastEthernet0/1.20
192.168.20.1
Serial0/0/0
10.1.1.2
Serial0/0/1
10.2.2.1
Interface
IP-Address
Protocol
FastEthernet0/0
unassigned
FastEthernet0/1
unassigned
FastEthernet0/1.10
192.168.30.1
FastEthernet0/1.13
10.13.13.3
Serial0/0/0
unassigned
Serial0/0/1
10.2.2.2
OK? Method Status

YES
YES
YES
YES
YES
YES
YES
YES
YES
unset
unset
manual
manual
manual
unset
unset
unset
unset
administratively
up
up
up
up
up
administratively
administratively
administratively
down down
up
up
up
up
up
down down
down down
down down
OK? Method Status

YES
YES
YES
YES
YES
YES
unset
manual
manual
manual
manual
manual
administratively down down

up
up
up
up
up
up
up
up
up
up
OK? Method Status

YES
YES
YES
YES
YES
YES
unset
manual
manual
manual
unset
manual

up
up
up
up
up
up
up
up
tape 3 : configuration de linterface VLAN de gestion sur Comm1, Comm2 et Comm3

Comm1(config)#interface vlan10
Comm1(config-if)#ip address 192.168.10.2 255.255.255.0
tape 4 : configuration des interfaces Ethernet PC1 et PC3
tape 5 : test de la connectivit entre les ordinateurs
Page 5 sur 26
CCNA Exploration
Tche 4 : configuration du protocole STP

tape 1 : configuration systmatique de Comm1 en tant que racine
Comm1(config)#spanning-tree vlan 1-1000 root primary
tape 2 : vrification de la dfinition de Comm1 en tant que racine
Comm1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: VLAN0001
Extended system ID
is enabled
Portfast Default
is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default
is disabled
EtherChannel misconfig guard is enabled
UplinkFast
is disabled
BackboneFast
is disabled
Configured Pathcost method used is short
Name
Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ---------VLAN0001
0
0
0
2
2
---------------------- -------- --------- -------- ---------- ---------1 vlans
0
0
0
7
7
Tche 5 : configuration de VTP

tape 1 : configuration de Comm1 en tant que serveur VTP et cration dun nom de domaine
et dun mot de passe
Comm1(config)#vtp mode server
Setting device to VTP SERVER mode
Comm1(config)#vtp domain cisco
Changing VTP domain name from NULL to cisco
Comm1(config)#vtp password cisco
Setting device VLAN database password to cisco
tape 2 : configuration de Comm2 et de Comm3 en tant que clients VTP, affects dun nom
de domaine et dun mot de passe
Comm2(config)#vtp mode client
Setting device to VTP CLIENT mode
Comm3(config)#vtp mode client
Setting device to VTP CLIENT mode
Page 6 sur 26
CCNA Exploration
tape 3 : vrification de la configuration

Comm1#show vtp status
VTP Version
: 2
Configuration Revision
: 0
Maximum VLANs supported locally : 255
Number of existing VLANs
: 10
VTP Operating Mode
: Server
VTP Domain Name
: cisco
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
VTP Traps Generation
: Disabled
MD5 digest
: 0x97 0xB7 0xCF 0xD2 0xDD 0x77 0x88 0x34
Configuration last modified by 0.0.0.0 at 3-1-93 00:25:29
Local updater ID is 192.168.10.2 on interface Vl10 (lowest numbered VLAN
interface found)
Comm2#show vtp stat
VTP Version
: 2
: 0
: 10
VTP Operating Mode
: Client
VTP Domain Name
: cisco
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
: Disabled
MD5 digest
: 0xE7 0xD7 0x24 0xC0 0x33 0x80 0xF7 0xAA
Comm3#show vtp status
VTP Version
: 2
: 0
: 10
VTP Operating Mode
: Client
VTP Domain Name
: cisco
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
: Disabled
MD5 digest
: 0xE7 0xD7 0x24 0xC0 0x33 0x80 0xF7 0xAA
Tche 6 : configuration des rseaux locaux virtuels

tape 1 : configuration de Comm1 avec les rseaux locaux virtuels
Comm1(config)# vlan 10,12,13,20,30
tape 2 : vrification que Comm2 et Comm3 ont reu les configurations VLAN de Comm1
Comm1#show vlan brief
VLAN Name
Status
Ports
---- -------------------------------- --------- ----------------------------1
default
active
Fa0/2, Fa0/3, Fa0/4, Fa0/5
Page 7 sur 26
CCNA Exploration
Fa0/6, Fa0/7, Fa0/8,Fa0/9

Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16,Fa0/17
Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24
10
12
13
20
30
1002
1003
1004
1005
VLAN0010
VLAN0012
VLAN0013
VLAN0020
VLAN0030
fddi-default
token-ring-default
fddinet-default
trnet-default
active
active
active
active
active
act/unsup
act/unsup
act/unsup
act/unsup

VLAN Name
Status
Ports
---- -------------------------------- --------- ----------------------------1
default
active
Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8,Fa0/9
Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16,Fa0/17
Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/2
10
VLAN0010
active
12
VLAN0012
active
13
VLAN0013
active
20
VLAN0020
active
30
VLAN0030
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
VLAN Name
Status
Ports
---- -------------------------------- --------- ----------------------------1
default
active
Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8,Fa0/9
Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16,Fa0/17
Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/2
10
VLAN0010
active
12
VLAN0012
active
13
VLAN0013
active
20
VLAN0020
active
30
VLAN0030
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
Page 8 sur 26
CCNA Exploration
tape 3 : attribution de ports aux rseaux locaux virtuels appropris

Comm1 :
switchport trunk allowed vlan 10,12,13
switchport mode trunk
!
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/1
switchport trunk allowed vlan 1,12
!
!
Comm2 :
switchport trunk allowed vlan
!
!
!
Comm2 :
!
!
!
12,20
12
13,30
13
Tche 7 : configuration du routage RIP

tape 1 : configuration du routage RIP sur R1, R2 et R3
R1
!
router rip
version 2
no auto-summary
Page 9 sur 26
CCNA Exploration
network 10.0.0.0
network 192.168.10.0
!
R2
!
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.20.0
!
R3
!
router rip
version 2
not auto-summary
network 10.0.0.0
network 192.168.30.0
tape 2 : test de la connectivit avec la commande ping
R1 :
R1#ping 10.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 10.2.2.1
!!!!!
R1#ping 10.2.2.2
!!!!!
R1#ping 10.12.12.2
!!!!!
R1#ping 10.13.13.3
!!!!!
R1#ping 192.168.10.2
Page 10 sur 26
CCNA Exploration

!!!!!
R1#ping 192.168.10.10
!!!!!
R1#ping 192.168.20.1
!!!!!
R1#ping 192.168.20.2
!!!!!
R1#ping 192.168.30.1
!!!!!
R1#ping 192.168.30.2
!!!!!
R1#ping 192.168.30.10
!!!!!
R2 :
R2#ping 10.1.1.1
Sending 5, 100-byte ICMP Echos to 10.1.1., timeout is 2 seconds:
!!!!!
R2#ping 10.2.2.2
!!!!!
R2#ping 10.12.12.1
Page 11 sur 26
CCNA Exploration
!!!!!
R2#ping 10.13.13.1
!!!!!
R2#ping 10.13.13.3
!!!!!
R2#ping 192.168.10.1
!!!!!
R2#ping 192.168.10.2
!!!!!
R2#ping 192.168.10.10
!!!!!
R3#ping 192.168.20.2
!!!!!
R2#ping 192.168.30.1
!!!!!
R2#ping 192.168.30.2
!!!!!
R2#ping 192.168.30.10
!!!!!
Page 12 sur 26
CCNA Exploration
R3 :
R3#ping 10.1.1.1
!!!!!
R3#ping 10.1.1.2
!!!!!
R3#ping 10.2.2.1
!!!!!
R3#ping 10.12.12.1
!!!!!
R3#ping 10.12.12.2
!!!!!
R3#ping 10.13.13.1
!!!!!
R3#ping 192.168.10.1
!!!!!
R3#ping 192.168.10.2
!!!!!
R3#ping 192.168.10.10
!!!!!
R3#ping 192.168.20.1
Page 13 sur 26
CCNA Exploration

!!!!!
R3#ping 192.168.20.2
!!!!!
R3#ping 192.168.30.2
!!!!!
R3#ping 192.168.30.10
!!!!!
tape 3 : vrification de la table de routage

R1#sh ip route
<rsultat omis>
R
C
R
C
C
R
C
192.168.30.0/24 [120/1] via 10.13.13.3, 00:00:03, FastEthernet0/1.13

192.168.10.0/24 is directly connected, FastEthernet0/1.10
[120/1] via 10.1.1.2, 00:00:13, Serial0/0/0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
[120/1] via 10.12.12.2, 00:00:00, FastEthernet0/1.12
[120/1] via 10.1.1.2, 00:00:13, Serial0/0/0
10.1.1.0/30 is directly connected, Serial0/0/0
R2#sh ip route
<rsultat omis>
Gateway of last resort is not set
R
R
C
R
C
C
C
192.168.30.0/24 [120/1] via 10.2.2.2, 00:00:05, Serial0/0/1

[120/1] via 10.1.1.1, 00:00:17, Serial0/0/0
[120/1] via 10.2.2.2, 00:00:05, Serial0/0/1
[120/1] via 10.1.1.1, 00:00:17, Serial0/0/0
Page 14 sur 26
CCNA Exploration
R3#sh ip route
<rsultat omis>
C
R
R
C
R
C
R

192.168.20.0/24 [120/1] via 10.2.2.1, 00:00:10, Serial0/0/1
[120/1] via 10.2.2.1, 00:00:10, Serial0/0/1
[120/1] via 10.2.2.1, 00:00:10, Serial0/0/1
Tche 8 : configuration du routage OSPF

tape 1 : configuration du routage RIP sur R1, R2 et R3
R1
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
!
R2
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
!
R3
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
tape 2 : vrification du remplacement des routes RIP par les routes OSPF en raison dune
distance administrative infrieure
R1#show ip route
<rsultat omis>
O
C
O

Page 15 sur 26
CCNA Exploration
C
C
O
C

[110/782] via 10.12.12.2, 00:00:13, FastEthernet0/1.12
R2#show ip route
<rsultat omis>
O
O
C
O
C
C
C

R3#show ip route
<rsultat omis>
C
O
O
C
O
C
O
192.168.30.0/24 is directly connected, FastEthernet0/0,30

En quoi l'activation du protocole OSPF affecte-t-elle les dcisions de routage ?
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Avant lactivation du protocole OSPF, les routeurs utilisaient le chemin dot du plus petit nombre de
sauts. Par exemple, R3 utilisait son interface Serial0/0/0 pour atteindre le sous-rseau 192.168.20.0 car
il tait distant dun seul saut. Aprs lactivation du protocole OSPF, le chemin emprunt est le plus rapide.
Dans lexemple prcdent, R3 utilise Fast Ethernet 0/0.13 pour atteindre le sous-rseau 192.168.20.0.
tape 3 : vrification de lactivation du protocole RIP
R1#show ip rip database
10.0.0.0/8
auto-summary
10.1.1.0/30
directly connected, Serial0/0/0
10.12.12.0/24
directly connected, FastEthernet0/1.12
10.13.13.0/24
192.168.10.0/24
auto-summary
192.168.10.0/24
Page 16 sur 26
CCNA Exploration

10.0.0.0/8
auto-summary
10.1.1.0/30
10.2.2.0/30
10.12.12.0/24
192.168.20.0/24
auto-summary
192.168.20.0/24
10.0.0.0/8
auto-summary
10.2.2.0/30
10.13.13.0/24
192.168.30.0/24
auto-summary
192.168.30.0/24
Tche 9 : configuration du routage EIGRP

tape 1 : configuration du routage EIGRP sur R1, R2 et R3
R1
!
router eigrp 10
no auto-summary
network 10.1.1.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 10.13.13.0 0.0.0.255
network 192.168.10.0
!
R2
!
router eigrp 10
no auto-summary
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 192.168.20.0
!
R3
!
router eigrp 10
no auto-summary
network 10.2.2.0 0.0.0.3
network 10.13.13.0 0.0.0.255
network 192.168.30.0
!
tape 2 : vrification du remplacement des routes OSPF par les routes EIGRP en raison dune
distance administrative infrieure
R1#show ip route
<rsultat omis>
Page 17 sur 26
CCNA Exploration
D
C
D

C
C
D
10.2.2.0/30 [90/20514560] via 10.13.13.3, 00:00:24,
FastEthernet0/1.13
[90/20514560] via 10.12.12.2, 00:00:24,
FastEthernet0/1.12
C
R2#show ip route
<rsultat omis>
D
D
C
D
C
C
C

R3#show ip route
<rsultat omis>
C
D
D
192.168.30.0/24 is directly connected, FastEthernet0/0,30

C
D
C
D
10.1.1.0/30 [90/20514560] via 10.13.13.1, 00:00:08,
FastEthernet0/0.13
tape 3 : vrification de lactivation du protocole OSPF
R1#sh ip ospf database
OSPF Router with ID (192.168.10.1) (Process ID 1)
Router Link States (Area 0)
Link ID
192.168.10.1
192.168.20.1
192.168.30.1
ADV Router
192.168.10.1
192.168.20.1
192.168.30.1
Age
1038
1039
1048
Seq#
0x80000005
0x80000004
0x80000003
Checksum
0x0056F6
0x00B9F7
0x00C99A
Link count
5
6
4
Net Link States (Area 0)

Link ID
10.12.12.2
10.13.13.3
ADV Router
192.168.20.1
192.168.10.1
Age
1039
1052
Seq#
Checksum
0x80000001 0x004D5A
0x80000001 0x003175

Page 18 sur 26
CCNA Exploration

Link ID
192.168.10.1
192.168.20.1
192.168.30.1
ADV Router
192.168.10.1
192.168.20.1
192.168.30.1
Age
1084
1083
1092
Seq#
0x80000005
0x80000004
0x80000003
Checksum
0x0056F6
0x00B9F7
0x00C99A
Link count
5
6
4

Link ID
10.12.12.2
10.13.13.13
ADV Router
192.168.20.1
192.168.10.1
Age
1083
1098
Seq#
Checksum
0x80000001 0x004D5A
0x80000001 0x003175

Link ID
192.168.10.1
192.168.20.1
192.168.30.1
ADV Router
192.168.10.1
192.168.20.1
192.168.30.1
Age
1135
1135
1143
Seq#
0x80000005
0x80000004
0x80000003
Checksum
0x0056F6
0x00B9F7
0x00C99A
Link count
5
6
4

Link ID
10.12.12.2
10.13.13.3
ADV Router
192.168.20.1
192.168.10.1
Age
1136
1149
Seq#
Checksum
0x80000001 0x004D5A
0x80000001 0x003175
Tche 10 : documentation des configurations des routeurs

R1
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
no ip domain lookup
!
no ip address
shutdown
!
no ip address
no shutdown
!
ip address 192.168.10.1 255.255.255.0
Page 19 sur 26
CCNA Exploration
!
ip address 10.12.12.1 255.255.255.0
!
ip address 10.13.13.1 255.255.255.0
!
ip address 10.1.1.1 255.255.255.0
no fair-queue
clockrate 64000
no shutdown
!
no ip address
shutdown
!
router eigrp 10
network 10.1.1.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 10.13.13.0 0.0.0.255
network 192.168.10.0
no auto-summary
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary
!!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
Page 20 sur 26
CCNA Exploration
R2
R2#show run
!<rsultat omis>
!
hostname R2
!
enable secret class
!
no ip domain lookup
!
no ip address
shutdown
!
no ip address
no shutdown
!
ip address 192.168.20.1 255.255.255.0
!
ip address 10.12.12.2 255.255.255.0
!
ip address 10.1.1.2 255.255.255.0
no shutdown
!
ip address 10.2.2.1 255.255.255.0
no shutdown
!
router eigrp 10
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 192.168.20.0
no auto-summary
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
no auto-summary
!
Page 21 sur 26
CCNA Exploration

!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
no ip domain lookup
!
!
no ip address
shutdown
!
no ip address
no shutdown
!
ip address 10.13.13.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
no ip address
shutdown
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
no shutdown
!
router eigrp 10
network 10.2.2.0 0.0.0.3
network 10.13.13.0 0.0.0.255
Page 22 sur 26
CCNA Exploration
network 192.168.30.0
no auto-summary
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
End
Comm1#show run
!<rsultat omis>
!
hostname Comm1
!
!
enable secret class
!
!
no ip domain lookup
!
vlan 10,12,13,20,30
!
spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree vlan 1-1000 priority 24576
!
vtp mode server
vtp domain cisco
vtp password cisco
!
switchport trunk allowed vlan 10,12,13
!
switchport access 10
Page 23 sur 26
CCNA Exploration

!
switchport trunk allowed vlan 12
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
End
Comm2#show run
!<rsultat omis>
hostname Comm2
!
enable secret class
!
no ip domain lookup
!
!
vtp mode client
vtp domain cisco
vtp password cisco
!
!
!
!
!
line con 0
Page 24 sur 26
CCNA Exploration
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
End
Comm3#show run
!<rsultat omis>
!
hostname Comm3
!
enable secret class
!
no ip domain lookup
!
!
!
vtp mode client
vtp domain cisco
vtp password cisco
!
!
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
Page 25 sur 26
CCNA Exploration
Tche 11 : remise en tat

Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes
habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).
Page 26 sur 26
Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Table dadressage
Priphrique
R1
R2
R3
PC1
PC3
Interface
Adresse IP
Fa0/1
S0/0/0
Lo0
S0/0/0
S0/0/1
Fa0/1
S0/0/1
Carte rseau
Carte rseau
192.168.10.1
10.1.1.1
209.165.200.225
10.1.1.2
10.2.2.1
192.168.30.1
10.2.2.2
192.168.10.10
192.168.30.10
Masque de
255.255.255.0
sous-rseau
Passerelle
par N/D
dfaut
255.255.255.252
255.255.255.224
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
N/D
N/D
N/D
N/D
N/D
N/D
192.168.10.1
192.168.30.1
Page 1 sur 23
CCNA Exploration
Accs au rseau tendu : protocole PPP

par dfaut
Configurer lencapsulation PPP sur toutes les interfaces srie
Comprendre le fonctionnement des commandes debug ppp negotiation et debug ppp packet
Remplacer lencapsulation PPP par lencapsulation HDLC sur les interfaces srie
Interrompre volontairement une encapsulation PPP et la restaurer
Configurer lauthentification PPP laide des protocoles PAP et CHAP
interrompre volontairement lauthentification PPP PAP et CHAP et la restaurer
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation PPP sur les
liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous apprendrez galement
restaurer lencapsulation HDLC des liaisons srie. Observez bien le rsultat affich par le routeur
lorsque vous interrompez volontairement lencapsulation PPP. Cela vous aidera dans les travaux
pratiques de dpannage associs ce chapitre. Enfin, vous apprendrez configurer lauthentification
PPP laide des protocoles PAP et CHAP.

Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose
des interfaces requises, comme illustr sur le diagramme de topologie.
Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions
des interfaces saffichent diffremment.
Tche 2 : configuration de base dun routeur

Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :
Configurez le nom dhte du routeur.
Page 2 sur 23
CCNA Exploration
enable
configure terminal
no ip domain-lookup
enable secret class
!
!
line con 0
exec-timeout 0 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config starting-config

Configurez les interfaces des routeurs R1, R2 et R3 avec les adresses IP de la table dadressage figurant
au dbut des travaux pratiques. Veillez inclure la frquence dhorloge sur les interfaces srie DCE.
R1
!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
no shutdown
clock rate 64000
R2
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
!
ip address 10.1.1.2 255.255.255.252
no shutdown
!
ip address 10.2.2.1 255.255.255.252
Page 3 sur 23
CCNA Exploration
clock rate 64000

no shutdown
R3
!
ip address 192.168.30.1 255.255.255.0
no shutdown
!
ip address 10.2.2.2 255.255.255.252
no shutdown
Utilisez la commande show ip interface brief pour vrifier que ladressage IP est correct et que
les interfaces sont actives.
Interface
IP-Address
OK? Method Status
Protocol
FastEthernet0/0
unassigned
YES NVRAM
FastEthernet0/1
192.168.10.1
YES manual up
up
Serial0/0/0
10.1.1.1
YES manual up
up
Serial0/0/1
unassigned
YES NVRAM

Interface
IP-Address
OK? Method Status
Protocol
FastEthernet0/0
unassigned
YES NVRAM
FastEthernet0/1
unassigned
YES NVRAM
Serial0/0/0
10.1.1.2
YES manual up
up
Serial0/0/1
10.2.2.1
YES manual up
up
Loopback0
209.165.200.225YES manual up
up

Interface
IP-Address
FastEthernet0/0 unassigned
OK? Method Status

YES NVRAM
Protocol
FastEthernet0/1 192.168.30.1 YES manual up

Serial0/0/0
unassigned
YES NVRAM
Serial0/0/1
10.2.2.2
YES manual up
up

up
Lorsque vous aurez termin, veillez enregistrer la configuration actuelle dans la mmoire NVRAM
du routeur.
Page 4 sur 23
CCNA Exploration
tape 3 : configuration des interfaces Ethernet de PC1 et PC3

Configurez les interfaces Ethernet de PC1 et PC3 avec les adresses IP et les passerelles par dfaut
provenant de la table dadressage.
tape 4 : test de la configuration par lenvoi dune requte ping entre le PC et la passerelle
par dfaut
Tche 4 : configuration du protocole OSPF sur les routeurs

Si vous souhaitez revoir les commandes OSPF, consultez la section Exploration 2, module 11.
tape 1 : activation du routage OSPF sur R1, R2 et R3
Utilisez la commande router OSPF avec lID de processus 1. Veillez annoncer correctement les
rseaux.
R1(config)#router ospf 1
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0
*Aug 17 17:49:14.689: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/0 from LOADING to FULL, Loading Done
R1(config-router)#
R2(config-router)#
R2(config-router)#
R3(config-router)#
tape 2 : vrification de la connectivit sur lensemble du rseau
Utilisez les commandes show ip route et ping pour vrifier la connectivit.
R1#show ip route
<rsultat omis>
O
C
O
C
O
C
192.168.30.0/24 [110/1563] via 10.1.1.2, 00:33:56, Serial0/0/0

192.168.10.0/24 is directly connected, FastEthernet0/1
209.165.200.0/32 is subnetted, 1 subnets
209.165.200.225 [110/782] via 10.1.1.2, 00:33:56, Serial0/0/0
10.2.2.0/30 [110/1562] via 10.1.1.2, 00:33:56, Serial0/0/0
Page 5 sur 23
CCNA Exploration
R1#ping 192.168.30.1
!!!!!
R1#
R2#show ip route
<rsultat omis>
O
O
C
C
C
C
C
192.168.30.0/24 [110/782] via 10.2.2.2, 00:33:04, Serial0/0/1

192.168.10.0/24 [110/782] via 10.1.1.1, 00:33:04, Serial0/0/0
209.165.200.224 is directly connected, Loopback0
R2#ping 192.168.30.1
!!!!!
R2#ping 192.168.10.1
!!!!!
R2#
R3#show ip route
<rsultat omis>
C
O
O
C
O
C

192.168.10.0/24 [110/1563] via 10.2.2.1, 00:32:01, Serial0/0/1
209.165.200.225 [110/782] via 10.2.2.1, 00:32:01, Serial0/0/1
10.1.1.0/30 [110/1562] via 10.2.2.1, 00:32:01, Serial0/0/1
R3#ping 209.165.200.225
!!!!!
Page 6 sur 23
CCNA Exploration
R3#ping 192.168.10.1
!!!!!
R3#
Tche 5 : configuration de lencapsulation PPP sur les interfaces srie

tape 1 : utilisation de la commande show interface pour vrifier que le protocole HDLC
est lencapsulation srie par dfaut
R1#show interface serial0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.1.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
<rsultat omis>
R2#show interface serial 0/0/0
<rsultat omis>
<rsultat omis>
<rsultat omis>
Page 7 sur 23
CCNA Exploration
tape 2 : utilisation des commandes de dbogage sur R1 et R2 pour constater les effets de
la configuration du protocole PPP
R1#debug ppp negotiation
PPP protocol negotiation debugging is on
R1#debug ppp packet
PPP packet display debugging is on
R1#
R2#debug ppp negotiation
PPP protocol negotiation debugging is on
R2#debug ppp packet
PPP packet display debugging is on
R2#
tape 3 : remplacement de lencapsulation HDCL des interfaces srie par lencapsulation PPP
Modifiez le type dencapsulation sur la liaison entre R1 et R2, puis observez les effets. Si vous
commencez recevoir trop de donnes de dbogage, utilisez la commande undebug all pour
dsactiver les oprations de dbogage.
R1(config)#interface serial 0/0/0
R1(config-if)#encapsulation ppp
R1(config-if)#
Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached
R1(config-if)#
*Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is DOWN, Setup
*Aug 17 19:02:53.416: Se0/0/0 PPP: Using default call direction
*Aug 17 19:02:53.416: Se0/0/0 PPP: Treating connection as a dedicated line
*Aug 17 19:02:53.416: Se0/0/0 PPP: Session handle[E4000001] Session id[0]
*Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open
*Aug 17 19:02:53.424: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10
*Aug 17 19:02:53.424: Se0/0/0 LCP:
MagicNumber 0x63B994DE (0x050663B994DE)
R1(config-if)#
*Aug 17 19:02:55.412: Se0/0/0 PPP: Outbound cdp packet dropped
*Aug 17 19:02:55.432: Se0/0/0 LCP: TIMEout: State REQsent
*Aug 17 19:02:55.432: Se0/0/0 LCP: O CONFREQ [REQsent] id 2 len 10
*Aug 17 19:02:55.432: Se0/0/0 LCP:
*Aug 17 19:02:56.024: Se0/0/0 PPP: I pkt type 0x008F, datagramsize 24
link[illegal]
*Aug 17 19:02:56.024: Se0/0/0 UNKNOWN(0x008F): Non-NCP packet, discarding
R1(config-if)#
*Aug 17 19:02:57.252: Se0/0/0 PPP: I pkt type 0x000F, datagramsize 84
link[illegal]
*Aug 17 19:02:57.252: Se0/0/0 UNKNOWN(0x000F): Non-NCP packet, discarding
*Aug 17 19:02:57.448: Se0/0/0 LCP: TIMEout: State REQsent
*Aug 17 19:02:57.448: Se0/0/0 LCP: O CONFREQ [REQsent] id 3 len 10
*Aug 17 19:02:57.448: Se0/0/0 LCP:
R1(config-if)#
*Aug 17 19:02:58.412: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to down
R2(config-if)#
Page 8 sur 23
CCNA Exploration
*Aug 17 19:06:48.848: Se0/0/0

*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.856: Se0/0/0
*Aug 17 19:06:48.856: Se0/0/0
*Aug 17 19:06:48.860: Se0/0/0
link[ppp]
*Aug 17 19:06:48.860: Se0/0/0
R2(config-if)#
*Aug 17 19:06:48.860: Se0/0/0
R2(config-if)#
*Aug 17 19:06:50.864: Se0/0/0
*Aug 17 19:06:50.864: Se0/0/0
*Aug 17 19:06:50.864: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
link[ppp]
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
link[ppp]
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[ip]
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[cdp]
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[ip]
*Aug 17 19:06:50.876: Se0/0/0
R2(config-if)#nt] id 1 len 10
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[cdp]
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.880: Se0/0/0
*Aug 17 19:06:50.880: Se0/0/0
*Aug 17 19:06:50.880: Se0/0/0
PPP:
PPP:
PPP:
PPP:
PPP:
LCP:
LCP:
PPP:
Phase is DOWN, Setup

Using default call direction
Treating connection as a dedicated line
Session handle[C6000001] Session id[0]
Phase is ESTABLISHING, Active Open
O CONFREQ [Closed] id 1 len 10
MagicNumber 0x63BD388C (0x050663BD388C)
I pkt type 0xC021, datagramsize 14
LCP: I CONFACK [REQsent] id 1 len 10

LCP:
LCP: TIMEout: State ACKrcvd

LCP: O CONFREQ [ACKrcvd] id 2 len 10
LCP:
PPP: I pkt type 0xC021, datagramsize 14
LCP: I CONFREQ [REQsent] id 61 len 10
LCP:
MagicNumber 0x63BDB9A8 (0x050663BDB9A8)
LCP: O CONFACK [REQsent] id 61 len 10
LCP:
MagicNumber 0x63BDB9A8 (0x050663BDB9A8)
PPP: I pkt type 0xC021, datagramsize 14
LCP: I CONFACK [ACKsent] id 2 len 10
LCP:
LCP: State is Open
PPP: Phase is FORWARDING, Attempting Forward
PPP: Phase is ESTABLISHING, Finish LCP
PPP: Phase is UP
IPCP: O CONFREQ [Closed] id 1 len 10
IPCP:
Address 10.1.1.2 (0x03060A010102)
CDPCP: O CONFREQ [Closed] id 1 len 4
PPP: Process pending ncp packets
PPP: I pkt type 0x8021, datagramsize 14
IPCP: I CONFREQ [REQsent] id 1 len 10
IPCP:
Address 10.1.1.1 (0x03060A010101)
IPCP: O CONFACK [REQsent] id 1 len 10
IPCP:
Address 10.1.1.1 (0x03060A010101)
CDPCP: I CONFREQ [REQsent] id 1 len 4
CDPCP: O CONFACK [REQsent] id 1 len 4
IPCP: I CONFACK [ACKse
IPCP:
Address 10.1.1.2 (0x03060A010102)
IPCP: State is Open
IPCP: Install route to 10.1.1.1
CDPCP: I CONFACK [ACKsent] id 1 len 4
CDPCP: State is Open
PPP: O pkt type 0x0021, datagramsize 80
Page 9 sur 23
CCNA Exploration
*Aug 17 19:06:50.880: Se0/0/0 IPCP: Add link info for cef entry 10.1.1.1
*Aug 17 19:06:50.884: Se0/0/0 PPP: I pkt type 0x0021, datagramsize 80
link[ip]
Serial0/0/0, changed state to up
R2(config-if)#
*Aug 17 19:06:51.888: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 1 len 12 magic
0x63BDB9A8
*Aug 17 19:06:51.888: Se0/0/0 LCP-FS: O ECHOREP [Open] id 1 len 12 magic
0x63BD388C
<rsultat omis>
Que se passe-t-il lorsque lune des extrmits de la liaison srie est encapsule avec
le protocole PPP et lautre extrmit avec le protocole HDLC ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
La liaison est dsactive et la contigut OSPF est interrompue. Le protocole PPP tente
toujours dtablir une connexion avec lextrmit oppose de la liaison. Cependant, tant
donn quil continue recevoir un paquet non NCP, il supprime le paquet et ntablit pas
la liaison.
Par quelles tapes le protocole PPP passe-t-il si lautre extrmit de la liaison srie sur R2
est configure via lencapsulation PPP ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Le protocole PPP passe par les phases suivantes :
DOWN
ESTABLISHING, Active Open
LCP State is Open
Page 10 sur 23
CCNA Exploration
ESTABLISHING, Finish LCP

UP
Que se passe-t-il lorsque lencapsulation PPP est configure sur chaque extrmit de la liaison srie ?
_____________________________________________________________________
_____________________________________________________________________
La liaison est active et la contigut OSPF est restaure.
tape 4 : dsactivation de la fonction de dbogage

Dsactivez la fonction de dbogage si vous navez pas encore utilis la commande undebug all.
R1#undebug all
Port Statistics for unclassified packets is not turned on.
All possible debugging has been turned off
R1#
R2#undebug all
R2#
tape 5 : remplacement de lencapsulation HDLC par lencapsulation PPP aux deux extrmits
de la liaison srie entre R2 et R3
R2(config)#interface serial0/0/1
R2(config-if)#
R2(config-if)#
R2(config-if)#
R2(config-if)#
R2(config-if)#
R3(config-if)#
Page 11 sur 23
CCNA Exploration
Quand le protocole de ligne sur la liaison srie est-il activ et quand la contigut OSPF
est-elle restaure ?
_____________________________________________________________________
_____________________________________________________________________
Uniquement lorsque les deux extrmits de la liaison srie sont encapsules avec le protocole PPP.
tape 6 : vrification de lactivation de lencapsulation PPP sur les interfaces srie
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
<rsultat omis>
<rsultat omis>
<rsultat omis>
<rsultat omis>
Page 12 sur 23
CCNA Exploration
Tche 7 : interruption et restauration de lencapsulation PPP

En interrompant volontairement lencapsulation PPP, vous en saurez plus sur les messages derreur
gnrs. Cela vous aidera ultrieurement dans les travaux pratiques de dpannage.
tape 1 : rtablissement de lencapsulation HDLC par dfaut des deux interfaces srie de R2
R2(config-if)#encapsulation hdlc
R2(config-if)#
R2(config-if)#
R2(config-if)#interface serial 0/0/1
R2(config-if)#encapsulation hdlc
R2(config-if)#
R2(config-if)#
R2(config-if)#
R2(config-if)#
En quoi linterruption dlibre dune configuration est-elle utile ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Les diffrentes mthodes dinterruption volontaire dun protocole permettent de comprendre
comment ce protocole pourrait tre involontairement interrompu. Cela savrera trs utile
lorsque vous devrez rsoudre des problmes dans les travaux pratiques de dpannage.
Pourquoi les deux interfaces srie sont-elles dsactives, actives, puis dsactives de
nouveau ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Page 13 sur 23
CCNA Exploration
Les interfaces sont dabord dsactives en raison de la non-concordance de leurs types

dencapsulation. Elles sont ensuite ractives pour quelles tentent de rtablir une connexion.
Si les interfaces ne parviennent pas rtablir la connexion, elles sont nouveau dsactives.
Outre lutilisation de la commande encapsulation hdlc, comment peut-on remplacer
lencapsulation PPP dune interface srie par lencapsulation HDLC par dfaut ? (Indice :
la rponse cette question est lie la commande no.)
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
R2(config-if)#no encapsulation ppp
R2(config-if)#interface serial 0/0/1
R2(config-if)#no encapsulation ppp
tape 2 : rtablissement de lencapsulation PPP des deux interfaces srie de R2
R2(config)#interface s0/0/0
R2(config-if)#interface s0/0/1
R2(config-if)#
R2(config-if)#
Tche 8 : configuration de lauthentification PPP

tape 1 : configuration de lauthentification PPP laide du protocole PAP sur la liaison srie
reliant R1 et R2
R1(config)#username R1 password cisco
R1(config)#int s0/0/0
R1(config-if)#ppp authentication pap
R1(config-if)#
R1(config-if)#
Page 14 sur 23
CCNA Exploration

R1(config-if)#ppp pap sent-username R2 password cisco
Que se passe-t-il lorsque lauthentification PPP, via le protocole PAP, est configure sur
une seule extrmit de la liaison srie ?
_____________________________________________________________________
_____________________________________________________________________
Le protocole de ligne de linterface Serial 0/0/0 est dsactiv et la contigut OSPF passe
ltat dsactiv (DOWN).
R2(config)#interface Serial0/0/0
R2(config-if)#ppp pap sent-username R1 password cisco
R2(config-if)#
R2(config-if)#
R2(config-if)#
Que se passe-t-il lorsque lauthentification PPP, via le protocole PAP, est configure sur chaque
extrmit de la liaison srie ?
_____________________________________________________________________
_____________________________________________________________________
Le protocole de ligne de linterface Serial 0/0/0 est activ et la contigut OSPF est tablie.
tape 2 : configuration de lauthentification PPP, via le protocole CHAP, sur la liaison srie
reliant R2 et R3
Dans le cas dune authentification PAP, le mot de passe nest pas chiffr. Mme sil vaut mieux utiliser
ce type dauthentification plutt que de nen utiliser aucune, il est prfrable de chiffrer le mot de passe
transmis sur la liaison. Le protocole CHAP chiffre le mot de passe.
R2(config-if)#ppp authentication chap
R2(config-if)#
R2(config-if)#
R2(config-if)#
Page 15 sur 23
CCNA Exploration

R3(config-if)#
R3(config-if)#
Vous pouvez constater que ltat du protocole de ligne de linterface srie 0/0/1 passe UP
(activ) avant mme que linterface ne soit configure pour lauthentification CHAP. Pouvezvous en dterminer la raison ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Le protocole CHAP peut effectuer une authentification sens unique ou bidirectionnelle. Ainsi,
la liaison est active lorsque le nom dutilisateur et le mot de passe corrects sont configurs.
tape 3 : examen du rsultat du dbogage
Pour mieux comprendre le processus CHAP, consultez le rsultat de la commande debug ppp
authentication sur R2 et R3. Arrtez ensuite linterface Serial 0/0/1 sur R2, puis excutez la commande
no shutdown sur linterface Serial 0/0/1 sur R2.
R2#debug ppp authentication
PPP authentication debugging is on
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config-if)#shutdown
R2(config-if)#
R2(config-if)#
*Aug 23 18:19:23.059: %LINK-5-CHANGED: Interface Serial0/0/1, changed state
to administratively down
R2(config-if)#no shutdown
*Aug
*Aug
*Aug
*Aug
*Aug
up
*Aug
*Aug
*Aug
*Aug
23
23
23
23
23
18:19:55.059:
18:19:55.059:
18:19:55.059:
18:19:55.059:
18:19:55.063:
Se0/0/1 PPP: Using default call direction

Se0/0/1 PPP: Treating connection as a dedicated line
Se0/0/1 PPP: Session handle[5B000005] Session id[49]
Se0/0/1 PPP: Authorization required
%LINK-3-UPDOWN: Interface Serial0/0/1, changed state to
23
23
23
23
18:19:55.063:
18:19:55.067:
18:19:55.067:
18:19:55.067:
Se0/0/1
Se0/0/1
Se0/0/1
Se0/0/1
CHAP:
CHAP:
CHAP:
CHAP:
O CHALLENGE id
I CHALLENGE id
Using hostname
Using password
48 len 23 from "R2"

2 len 23 from "R3"
from unknown source
from AAA
Page 16 sur 23
CCNA Exploration
*Aug 23 18:19:55.067: Se0/0/1 CHAP: O RESPONSE id 2 len 23 from "R2"

*Aug 23 18:19:55.071: Se0/0/1 CHAP: I RESPONSE id 48 len 23 from "R3"
*Aug 23 18:19:55.071: Se0/0/1 PPP: Sent CHAP LOGIN Request
*Aug 23 18:19:55.071: Se0/0/1 PPP: Received LOGIN Response PASS
*Aug 23 18:19:55.071: Se0/0/1 PPP: Sent LCP AUTHOR Request
*Aug 23 18:19:55.075: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Aug 23 18:19:55.075: Se0/0/1 LCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:55.075: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:55.075: Se0/0/1 CHAP: O SUCCESS id 48 len 4
*Aug 23 18:19:55.075: Se0/0/1 CHAP: I SUCCESS id 2 len 4
*Aug 23 18:19:55.075: Se0/0/1 PPP: Sent CDPCP AUTHOR Request
*Aug 23 18:19:55.075: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS
R2(config-if)#
R3#debug ppp authentication
PPP authentication debugging is on
R3#
*Aug 23 18:19:04.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to
down
R3#
R3#
*Aug 23 18:19:36.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to
up
*Aug 23 18:19:36.494: Se0/0/1 PPP: Using default call direction
*Aug 23 18:19:36.494: Se0/0/1 PPP: Treating connection as a dedicated line
*Aug 23 18:19:36.494: Se0/0/1 PPP: Session handle[3C000034] Session id[52]
*Aug 23 18:19:36.494: Se0/0/1 PPP: Authorization required
*Aug 23 18:19:36.498: Se0/0/1 CHAP: O CHALLENGE id 2 len 23 from "R3"
*Aug 23 18:19:36.502: Se0/0/1 CHAP: I CHALLENGE id 48 len 23 from "R2"
*Aug 23 18:19:36.502: Se0/0/1 CHAP: Using hostname from unknown source
*Aug 23 18:19:36.506: Se0/0/1 CHAP: Using password from AAA
*Aug 23 18:19:36.506: Se0/0/1 CHAP: O RESPONSE id 48 len 23 from "R3"
*Aug 23 18:19:36.506: Se0/0/1 CHAP: I RESPONSE id 2 len 23 from "R2"
R3#
*Aug 23 18:19:36.506: Se0/0/1 PPP: Sent CHAP LOGIN Request
*Aug 23 18:19:36.506: Se0/0/1 PPP: Received LOGIN Response PASS
*Aug 23 18:19:36.510: Se0/0/1 PPP: Sent LCP AUTHOR Request
*Aug 23 18:19:36.510: Se0/0/1 LCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:36.510: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:36.510: Se0/0/1 CHAP: O SUCCESS id 2 len 4
*Aug 23 18:19:36.510: Se0/0/1 CHAP: I SUCCESS id 48 len 4
*Aug 23 18:19:36.514: Se0/0/1 PPP: Sent CDPCP AUTHOR Request
*Aug 23 18:19:36.514: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS
R3#
Page 17 sur 23
CCNA Exploration

R3#
R3#
Tche 9 : interruption dlibre et restauration de lauthentification PPP via

le protocole CHAP
tape 1 : interruption de lauthentification PPP laide du protocole CHAP
Sur la liaison srie reliant R2 et R3, activez le protocole dauthentification PAP pour linterface
srie 0/0/1.
R2#conf t
R2(config-if)#^Z
R2#
*Aug 24 15:45:47.039: %SYS-5-CONFIG_I: Configured from console by console
R2#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R2#reload
Lactivation du protocole dauthentification PAP sur linterface srie 0/0/1 provoque-t-elle
une interruption de lauthentification entre R2 et R3 ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Oui. Vrifiez la dsactivation du protocole en utilisant la commande show ip interface brief.
Si vous ne rechargez pas le routeur, le protocole de ligne reste activ.
R2#show ip int brief

Interface
IP-Address
Serial0/0/0
10.1.1.2
Serial0/0/1
10.2.2.1
Serial0/1/0
unassigned
Serial0/1/1
unassigned
Loopback0
209.165.200.225
OK?
YES
YES
YES
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
NVRAM
NVRAM
NVRAM
Status
administratively
administratively
up
up
administratively
administratively
up
Protocol
down down
down down
up
down
down down
down down
up
Page 18 sur 23
CCNA Exploration
tape 2 : restauration de lauthentification PPP avec le protocole CHAP sur la liaison srie
Notez quil nest pas ncessaire de recharger le routeur pour que ces modifications soient prises
en compte.
R2#conf t
R2(config-if)#
R2(config-if)#
R2(config-if)#
tape 3 : interruption volontaire de lauthentification PPP avec le protocole CHAP par le
changement du mot de passe de R3
R3#conf t
R3(config)#^Z
R3#
*Aug 24 15:54:17.215: %SYS-5-CONFIG_I: Configured from console by console
R3#copy run start
[OK]
R3#reload
Une fois le rechargement termin, quel est ltat du protocole de ligne sur linterface srie 0/0/1 ?
_____________________________________________________________________
_____________________________________________________________________
Dsactiv (Down). Procdez la vrification en utilisant la commande show ip interface brief.
R3#show ip int brief
Interface
IP-Address
FastEthernet0/1 192.168.30.1
Serial0/0/0
unassigned
Serial0/0/1
10.2.2.2
OK?
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
Status
Protocol
up
up
up
down
tape 4 : restauration de lauthentification PPP avec le protocole CHAP par le changement du mot
de passe de R3
R3#conf t
R3(config)#
Page 19 sur 23
CCNA Exploration

R3(config)#
R3(config)#

Excutez la commande show run sur chaque routeur et capturez les configurations.
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
!
no ip domain lookup
!
username R1 password 0 cisco
!
!
!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
!
ip address 10.1.1.1 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication pap
ppp pap sent-username R2 password 0 cisco
no shutdown
!
!
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
Page 20 sur 23
CCNA Exploration
line vty 0 4
password cisco
login
!
end
R2#show run
!<rsultat omis>
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
!
!
ip address 10.1.1.2 255.255.255.252
encapsulation ppp
ppp pap sent-username R1 password 0 cisco
no shutdown
!
ip address 10.2.2.1 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 209.165.200.224 0.0.0.31 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
Page 21 sur 23
CCNA Exploration
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
!
!
no ip domain lookup
!
!
!
!
ip address 192.168.30.1 255.255.255.0
no shutdown
!
!
ip address 10.2.2.2 255.255.255.252
encapsulation ppp
no shutdown
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 192.168.30.0 0.0.0.255 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
Page 22 sur 23
CCNA Exploration

endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).
Page 23 sur 23
Travaux pratiques 2.5.2 : configuration avance du protocole PPP

Table dadressage
Priphrique
R1
R2
Interface
Adresse IP
Masque de
sous-rseau
Passerelle
par dfaut
Fa0/1
10.0.0.1
255.255.255.128
N/D
S0/0/0
172.16.0.1
255.255.255.252
N/D
S0/0/1
172.16.0.9
255.255.255.252
N/D
Lo0
209.165.200.161
255.255.255.224
N/D
S0/0/0
172.16.0.2
255.255.255.252
N/D
S0/0/1
172.16.0.5
255.255.255.252
N/D
Page 1 sur 14
CCNA Exploration
Fa0/1
10.0.0.129
255.255.255.128
N/D
S0/0/0
172.16.0.10
255.255.255.252
N/D
S0/0/1
172.16.0.6
255.255.255.252
N/D
PC1
Carte rseau
10.0.0.10
255.255.255.128
10.0.0.1
PC3
Carte rseau
10.0.0.139
255.255.255.128
10.0.0.129
R3

par dfaut
Configurer lencapsulation PPP sur toutes les interfaces srie
Faire passer lencapsulation des interfaces srie de PPP HDLC
Interrompre volontairement une encapsulation PPP et la restaurer
Configurer lauthentification PPP laide du protocole CHAP
Interrompre volontairement et restaurer lauthentification PPP via le protocole CHAP.
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation PPP sur les
liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous configurerez galement
lauthentification PPP CHAP. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques
Configuration PPP de base. Essayez cependant de travailler de faon autonome, sans y avoir recours.


Page 2 sur 14
CCNA Exploration
enable
configure terminal
no ip domain-lookup
enable secret class
!
!
line con 0
exec-timeout 0 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config starting-config

R1
!
ip address 10.0.0.1 255.255.255.128
no shutdown
!
ip address 172.16.0.1 255.255.255.252
no shutdown
clock rate 64000
!
ip address 172.16.0.9 255.255.255.252
no shutdown
R2
!
interface Loopback0
ip address 209.165.200.161 255.255.255.224
!
!
ip address 172.16.0.2 255.255.255.252
no shutdown
!
ip address 172.16.0.5 255.255.255.252
clock rate 64000
no shutdown
Page 3 sur 14
CCNA Exploration
R3
!
ip address 10.0.0.129 255.255.255.128
no shutdown
!
ip address 172.16.0.10 255.255.255.252
no shutdown
!
ip address 172.16.0.6 255.255.255.252
clock rate 64000
no shutdown
Interface
IP-Address
Serial0/0/0
172.16.0.1
Serial0/0/1
172.16.0.9
OK?
YES
YES
YES
YES
Method
manual
manual
manual
manual
Status
Protocol
up
up
up
up
up
up

Interface
IP-Address
Serial0/0/0
172.16.0.2
Serial0/0/1
172.16.0.5
Loopback0
209.165.200.161
OK?
YES
YES
YES
YES
YES
Method
unset
unset
manual
manual
manual
Status
Protocol
up
up
up
up
up
up

Interface
IP-Address
Serial0/0/0
172.16.0.10
Serial0/0/1
172.16.0.6
OK?
YES
YES
YES
YES
Method
unset
manual
manual
manual
Status
Protocol
up
up
up
up
up
up

tape 4 : test de la connectivit entre les ordinateurs
Tche 4 : configuration du protocole OSPF sur les routeurs

tape 1 : activation du routage OSPF sur les routeurs
R1
!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
R2
!
Page 4 sur 14
CCNA Exploration
router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.160 0.0.0.31 area 0
!
R3
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
tape 2 : vrification de la connectivit sur lensemble du rseau
R1#show ip route
<rsultat omis>
C
O
C
O
C
O

172.16.0.8 is directly connected, Serial0/0/1
172.16.0.4 [110/1562] via 172.16.0.10, 00:09:11, Serial0/0/1
[110/1562] via 172.16.0.2, 00:09:11, Serial0/0/0
209.165.200.161 [110/782] via 172.16.0.2, 00:09:11, Serial0/0/0
10.0.0.0 is directly connected, FastEthernet0/1
10.0.0.128 [110/782] via 172.16.0.10, 00:09:11, Serial0/0/1
R1#ping 209.165.200.161
!!!!!
R1#ping 10.0.0.129
!!!!!
R2#show ip route
<rsultat omis>
O
C
C
C
O
O

172.16.0.8 [110/1562] via 172.16.0.6, 00:12:42, Serial0/0/1
[110/1562] via 172.16.0.1, 00:12:42, Serial0/0/0
10.0.0.0 [110/782] via 172.16.0.1, 00:12:42, Serial0/0/0
10.0.0.128 [110/782] via 172.16.0.6, 00:12:42, Serial0/0/1
Page 5 sur 14
CCNA Exploration
R2#ping 10.0.0.1
!!!!!
R2#ping 10.0.0.129
!!!!!
R3#show ip route
<rsultat omis>
C
C
O
O
O
C
172.16.0.0/30
172.16.0.8
172.16.0.4
172.16.0.0
is subnetted, 3 subnets
is directly connected, Serial0/0/0
is directly connected, Serial0/0/1
[110/1562] via 172.16.0.9, 00:14:14, Serial0/0/0
[110/1562] via 172.16.0.5, 00:14:14, Serial0/0/1
209.165.200.161 [110/782] via 172.16.0.5, 00:14:14, Serial0/0/1
10.0.0.0 [110/782] via 172.16.0.9, 00:14:14, Serial0/0/0
10.0.0.128 is directly connected, FastEthernet0/1
R3#ping 209.165.200.161
!!!!!
R3#ping 10.0.0.1
!!!!!
Tche 5 : configuration de lencapsulation PPP sur les interfaces srie

tape 1 : configuration du protocole PPP sur les interfaces srie des trois routeurs
R1
encapsulation ppp
!
encapsulation ppp
Page 6 sur 14
CCNA Exploration
R2
encapsulation ppp
!
encapsulation ppp
R3
encapsulation ppp
!
encapsulation ppp
tape 2 : vrification que toutes les interfaces srie utilisent lencapsulation PPP
R1
R2
Page 7 sur 14
CCNA Exploration
R3
Tche 6 : interruption et restauration volontaire de lencapsulation PPP

tape 1 : choix dune mthode dinterruption de lencapsulation PPP sur le rseau
R1
encapsulation hdlc
R2
encapsulation hdlc
R3
encapsulation hdlc
tape 2 : restauration dune connectivit complte sur le rseau
R1
encapsulation ppp
R2
encapsulation ppp
R3
encapsulation ppp
Page 8 sur 14
CCNA Exploration
tape 3 : vrification de la connectivit complte sur le rseau

R1#show ip route
R2#show ip route
R3#show ip route
username R2 password cisco
interface serial0/0/0
Tche 7 : configuration de lauthentification PPP via le processus CHAP

tape 1 : configuration de lauthentification PPP, via le processus CHAP, sur toutes les
liaisons srie
R1
R2
R3
tape 2 : vrification de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie
Interface
IP-Address
Serial0/0/0
172.16.0.1
Serial0/0/1
172.16.0.9
OK?
YES
YES
YES
YES

Interface
IP-Address
OK? Method Status

Protocol
YES unset administratively down down
Method
manual
manual
manual
manual
Status
Protocol
up
up
up
up
up
up
Page 9 sur 14
CCNA Exploration
Serial0/0/0
172.16.0.2
Serial0/0/1
172.16.0.5
Loopback0
209.165.200.161
YES
YES
YES
YES
unset
manual
manual
manual

up
up
up
up
up
up

Interface
IP-Address
Serial0/0/0
172.16.0.10
Serial0/0/1
172.16.0.6
OK?
YES
YES
YES
YES
Method
unset
manual
manual
manual
Status
Protocol
up
up
up
up
up
up
Tche 8 : interruption dlibre et restauration de lauthentification PPP via le

protocole CHAP
tape 1 : choix dune mthode dinterruption de lauthentification PPP, via le protocole CHAP,
sur une ou plusieurs liaisons srie
R1#conf t
R1(config-if)#no ppp authentication chap
R1(config-if)#interface serial0/0/1
R1(config-if)#no ppp authentication chap
R1(config-if)#^Z
R1#copy running-config startup-config
[OK]
R1#reload
tape 2 : vrification de la rupture de lauthentification PPP avec le protocole CHAP
Interface
IP-Address
Serial0/0/0
172.16.0.1
Serial0/0/1
172.16.0.9
OK?
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
Status
Protocol
up
up
up
down
up
down
tape 3 : restauration de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie
R1#conf t
R1(config-if)#interface serial0/0/1
R1(config-if)#^Z
R1#
tape 4 : vrification de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie
Interface
IP-Address
OK? Method Status
Protocol
Page 10 sur 14
CCNA Exploration
FastEthernet0/0
FastEthernet0/1
Serial0/0/0
Serial0/0/1
unassigned
10.0.0.1
172.16.0.1
172.16.0.9
YES
YES
YES
YES
NVRAM
NVRAM
NVRAM
NVRAM

up
up
up
up
up
up

R1
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
ip address 10.0.0.1 255.255.255.128
no shutdown
!
ip address 172.16.0.1 255.255.255.252
encapsulation ppp
clockrate 64000
no shutdown
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
no shutdown
!
!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
Page 11 sur 14
CCNA Exploration
login
line aux 0
line vty 0 4
password cisco
login
!
end
R2
R2#show run
!<rsultat omis>
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
!
interface Loopback0
ip address 209.165.200.161 255.255.255.224
!
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
no shutdown
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
clockrate 64000
no shutdown
!
!
router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.160 0.0.0.31 area 0
!
!
!
line con 0
exec-timeout 0 0
Page 12 sur 14
CCNA Exploration
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
ip address 10.0.0.129 255.255.255.128
no shutdown
!
ip address 172.16.0.10 255.255.255.252
encapsulation ppp
clockrate 64000
no shutdown
!
ip address 172.16.0.6 255.255.255.252
encapsulation ppp
no shutdown
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
Page 13 sur 14
CCNA Exploration
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Page 14 sur 14
Travaux pratiques 2.5.3 : dpannage de la configuration PPP

Table dadressage
Priphrique
R1
R2
Interface
Adresse IP
Masque de
sous-rseau
Passerelle par
dfaut
Fa0/1
10.0.0.1
255.255.255.128
N/D
S0/0/0
172.16.0.1
255.255.255.252
N/D
S0/0/1
172.16.0.9
255.255.255.252
N/D
Lo0
209.165.200.161
255.255.255.224
N/D
S0/0/0
172.16.0.2
255.255.255.252
N/D
S0/0/1
172.16.0.5
255.255.255.252
N/D
Page 1 sur 10
CCNA Exploration
Travaux pratiques 2.5.3 : dpannage de la configuration de PPP
Fa0/1
10.0.0.129
255.255.255.128
N/D
S0/0/0
172.16.0.10
255.255.255.252
N/D
S0/0/1
172.16.0.6
255.255.255.252
N/D
PC1
Carte rseau
10.0.0.10
255.255.255.128
10.0.0.1
PC3
Carte rseau
10.0.0.139
255.255.255.128
10.0.0.129
R3

par dfaut
Charger les routeurs avec les scripts fournis
Dtecter et corriger des erreurs rseau
Documenter le rseau corrig
Scnario
Les routeurs de votre socit ont t configurs par un ingnieur rseau peu expriment. La prsence
de plusieurs erreurs dans la configuration a provoqu des problmes de connectivit. Votre responsable
vous demande de dtecter les erreurs de configuration et de les corriger, puis de dcrire le travail ralis.
En utilisant vos connaissances en matire de protocole PPP, ainsi que des mthodes de vrification
standard, dtectez les erreurs et corrigez-les. Veillez ce que toutes les liaisons srie utilisent
lauthentification PPP CHAP et vrifiez que tous les rseaux sont accessibles.
Tche 1 : chargement des routeurs avec les scripts fournis

[Note au formateur : les commandes manquantes ou mal configures sont affiches en rouge.]
R1
enable
configure terminal
!
hostname R1
!
!
enable secret class
!
!
!
no ip domain lookup
!
!Cette commande a t omise.
!
!
!
Page 2 sur 10
CCNA Exploration
ip address 10.0.0.1 255.255.255.128
!Une erreur courante de configuration de rseaux est de placer la bonne
!configuration au mauvais endroit. Dans ce cas, une analyse dtaille du
!diagramme rvle que FastEthernet0/1 est suppos avoir cette adresse IP.
shutdown
duplex auto
speed auto
!
ip address 10.0.0.1 255.255.255.128
duplex auto
speed auto
!
ip address 172.16.0.1 255.255.255.248
!Masque de sous-rseau incorrect. Le masque de sous-rseau correct
!est 255.255.255.252
no fair-queue
clockrate 64000
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
!Lauthentification PAP PPP a t configure par erreur au lieu de CHAP
!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
network 172.16.0.0 0.0.0.3 area 0
!Un sous-rseau incorrect a t annonc dans OSPF
!
ip classless
!
ip http server
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
Page 3 sur 10
CCNA Exploration
end
R2
enable
configure terminal
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
!R11 a t entr la place de R1. Il sagit dune erreur courante en
!configuration.
username R3 password 0 class
!
!
!
interface Loopback0
no ip address
ip address 209.165.200.161 255.255.255.224
!Ladresse IP correcte a t indique sur la mauvaise
!interface (FastEthernet0/1).
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 209.165.200.161 255.255.255.224
ip address 10.0.0.1 255.255.255.128
!Une analyse dtaille du diagramme de topologie fait apparatre que
!ladresse IP correcte a t indique sur la mauvause interface.
!Cette adresse IP appartient linterface Loopback0.
shutdown
duplex auto
speed auto
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
no fair-queue
!
ip address 172.16.0.2 255.255.255.252
!Lencapsulation srie par dfaut HDLC est reste. Les commandes suivantes
!ont t oublies :
encapsulation ppp
Page 4 sur 10
CCNA Exploration
clockrate 64000
!
router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.128 0.0.0.31 area 0
network 209.165.200.160 0.0.0.31 area 0
!Un sous-rseau incorrect a t indiqu dans OSPF pour le rseau 209.
ip classless
!
ip http server
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
enable
configure terminal
!
hostname R3
!
!
enable secret class
!
!
no ip domain lookup
!
username R3 password 0 ciscco
!Nouvelle faute de frappe. Cette fois-ci, il sagit du mot de passe.
!
!
no ip address
shutdown
duplex auto
Page 5 sur 10
CCNA Exploration
speed auto
!
ip address 10.0.0.129 255.255.255.0
ip address 10.0.0.129 255.255.255.128
!De nombreux travaux pratiques utilisent le sous-rseau /24, il est donc
!facile de taper ce sous-rseau par habitude, sans vrifier le diagramme.
duplex auto
speed auto
!
ip address 172.16.0.10 255.255.255.252
no fair-queue
clockrate 64000
!PPP et CHAP ne sont PAS configurs sur cette interface. Les commandes
!suivantes ont t oublies :
encapsulation ppp
!
no ip address
ip address 172.16.0.6 255.255.255.252
encapsulation ppp
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 192.16.0.4 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 192.16.0.8 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
ip classless
!
ip http server
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
Page 6 sur 10
CCNA Exploration
Tche 2 : recherche et correction des erreurs sur le rseau

En utilisant les mthodes de dpannage standard, recherchez, documentez et corrigez les erreurs.
Remarque : lors du dpannage dun rseau de production, si la tche de configuration consiste
configurer PPP via le protocole CHAP et que cela ne fonctionne pas, commencez par vrifier la
configuration PPP avec le protocole CHAP. Cependant, dans les configurations rseau interrompues
effectues lors de ces travaux pratiques, cela ne permet que la restauration partielle du rseau. Il est
frquent que des ingnieurs rseau trs expriments se concentrent uniquement sur la tche de
configuration principale lors du dpannage, sans vrifier les lments de base. Les adresses rseau
sont-elles saisies correctement ? Les sous-rseaux sont-ils saisis correctement ? Le routage de base
fonctionne-t-il ? Si le fait de saxer sur la tche de dpannage principale permet de rsoudre le problme,
cest une bonne chose. Sinon, les lments de base doivent tre vrifis. Cette mthodologie de
dpannage est la plus logique.
Tche 3 : documentation du rseau corrig

Une fois que vous avez corrig toutes les erreurs et test la connectivit du rseau, documentez la
configuration finale de chaque priphrique.
R1
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
ip address 10.0.0.1 255.255.255.128
no shutdown
!
ip address 172.16.0.1 255.255.255.252
encapsulation ppp
clockrate 64000
no shutdown
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
no shutdown
!
Page 7 sur 10
CCNA Exploration
!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R2
R2#show run
!<rsultat omis>
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
!
interface Loopback0
ip address 209.165.200.161 255.255.255.224
!
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
no shutdown
!
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
clockrate 64000
Page 8 sur 10
CCNA Exploration
no shutdown
!
!
router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.160 0.0.0.31 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
!
no ip domain lookup
!
!
!
ip address 10.0.0.129 255.255.255.128
no shutdown
!
ip address 172.16.0.10 255.255.255.252
encapsulation ppp
clockrate 64000
no shutdown
!
ip address 172.16.0.6 255.255.255.252
encapsulation ppp
Page 9 sur 10
CCNA Exploration
no shutdown
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Page 10 sur 10
Travaux pratiques 3.5.1 : Frame Relay de base (version du formateur)

Table dadressage
Interface
Adresse IP
Masque de
sous-rseau
Passerelle
par dfaut
Fa0/0
192.168.10.1
255.255.255.0
N/D
S0/0/1
10.1.1.1
255.255.255.252
N/D
S0/0/1
10.1.1.2
255.255.255.252
N/D
Lo 0
209.165.200.225
255.255.255.224
N/D
Comm1
VLAN1
192.168.10.2
255.255.255.0
192.168.10.1
PC1
Carte rseau
192.168.10.10
255.255.255.0
192.168.10.1
Priphrique
R1
R2
Page 1 sur 24
Exploration 4
Accs au rseau tendu : Frame Relay
Travaux pratiques 3.5.1 : protocole Frame Relay de base

par dfaut
Configurer lencapsulation Frame Relay sur toutes les interfaces srie
Configurer un routeur en tant que commutateur Frame Relay
Comprendre le rsultat des commandes show frame-relay
Connatre les effets de la commande debug frame-relay lmi
Interrompre volontairement une liaison Frame Relay et la restaurer
Remplacer lencapsulation Frame Relay par dfaut Cisco par une encapsulation de type IETF
Remplacer linterface de supervision locale (LMI) Frame Relay Cisco par une interface ANSI
Configurer une sous-interface Frame Relay
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation Frame Relay
sur les liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous apprendrez
galement configurer un routeur en tant que commutateur Frame Relay. Des normes Cisco et des
normes ouvertes sappliquent Frame Relay. Nous allons passer en revue ces deux types de norme.
Portez une attention particulire la section des travaux pratiques dans laquelle vous interrompez
volontairement les configurations du protocole Frame Relay. Cela vous aidera dans les travaux
pratiques de dpannage associs ce chapitre.

Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip
des interfaces indiques dans la topologie. Les travaux pratiques relatifs au protocole Frame Relay
comportent deux liens DCE sur le mme routeur, la diffrence des autres travaux pratiques
dExploration 4. Assurez-vous que votre cblage soit conforme au diagramme de topologie.
Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions
des interfaces saffichent diffremment.

Configurez les routeurs R1 et R2, ainsi que le commutateur Comm1, conformment aux instructions suivantes :
Page 2 sur 24
Exploration 4
Configurez des adresses IP sur les routeurs R1 et R2.

Important : laissez les interfaces sries dsactives.
Activez le systme autonome (AS) 1 du protocole EIGRP sur les routeurs R1 et R2 pour tous
les rseaux.
enable
configure terminal
no ip domain-lookup
enable secret class
banner motd ^CUnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law^C
!
!
!
line console 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config startup-config
!R1
interface serial 0/0/1
ip address 10.1.1.1 255.255.255.252
shutdown
!Les interfaces sries doivent rester dsactives jusqu ce que le
!commutateur Frame Relay soit configur.
interface fastethernet 0/0
ip address 192.168.10.1 255.255.255.0
no shutdown
router eigrp 1
no auto-summary
network 10.0.0.0
network 192.168.10.0
!
!R2
ip address 10.1.1.2 255.255.255.252
shutdown
!Les interfaces sries doivent rester dsactives jusqu ce que le
!commutateur Frame Relay soit configur.
Page 3 sur 24
Exploration 4
interface loopback 0
ip address 209.165.200.225 255.255.255.224
router eigrp 1
no auto-summary
network 10.0.0.0
network 209.165.200.0
!
Tche 3 : configuration du protocole Frame Relay

Vous allez prsent configurer une liaison de base Frame Relay point point entre les routeurs 1 et 2.
Vous devez tout dabord configurer le commutateur FR en tant que commutateur Frame Relay, puis crer
des identificateurs de connexion de liaisons de donnes (DLCI).
Que signifie DLCI ?
_________________________________________________________________________
Data-link connection identifier : identificateur de connexion de liaisons de donnes
Quelle est la fonction dun DLCI ?
_____________________________________________________________________________
_____________________________________________________________________________
Un DLCI est une adresse de couche 2 mappe avec une adresse IP de couche 3.
Quest-ce quun PVC et comment est-il utilis ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
Un PVC est un circuit virtuel permanent, c'est--dire une connexion de couche 2, cre entre des points
dextrmit travers un nuage Frame Relay. Il peut exister plusieurs circuits virtuels permanents par
interface physique, ce qui permet de multiples connexions point point ou des connexions point
multipoints.
tape 1 : configuration dun commutateur FR en tant que commutateur Frame Relay et cration
dun PVC entre les routeurs R1 et R2
Cette commande permet dactiver globalement la commutation Frame Relay sur le routeur, lui permettant
de transfrer des trames sur la base du DLCI entrant plutt que sur une adresse IP :
Commutateur-FR(config)#frame-relay switching
Remplacez le type dencapsulation de linterface par le type Frame Relay. Tout comme HDLC ou PPP,
le protocole Frame Relay est un protocole de couche liaison de donnes qui dfinit le tramage du trafic
de la couche 2.
Commutateur-FR(config)#interface serial 0/0/0
Commutateur-FR(config)#clock rate 64000
Commutateur-FR(config-if)#encapsulation frame-relay
Page 4 sur 24
Exploration 4
La modification du type dinterface en DCE indique au routeur denvoyer des messages de veille
linterface de supervision locale et permet Frame Relay dacheminer des instructions appliquer.
Il nest pas possible de configurer des PVC entre deux interfaces DTE Frame Relay laide de la
commande frame-relay route.
Commutateur-FR(config-if)#frame-relay intf-type dce
Remarque : les types dinterface Frame Relay ne doivent pas forcment correspondre au type de
linterface physique sous-jacente. Une interface srie ETTD physique peut faire office dinterface DCE
Frame Relay et une interface DCE physique peut faire office dinterface ETTD Frame Relay.
Configurez le routeur pour quil transfre le trafic entrant sur linterface srie 0/0/0 avec DLCI 102 vers
linterface srie 0/0/1 avec un DLCI de sortie dfini sur 201.
Commutateur-FR(config-if)#frame-relay route 102 interface serial 0/0/1 201
Commutateur-FR(config-if)#no shutdown
La configuration suivante permet la cration de deux PVC : la premire, entre le routeur R1 et le routeur
R2 (DLCI 102) et la seconde, entre le routeur R2 et le routeur R1 (DLCI 201). Vous pouvez vrifier la
configuration laide de la commande show frame-relay pvc.
Commutateur-FR(config-if)#interface serial 0/0/1
Commutateur-FR(config)#clock rate 64000
Commutateur-FR(config-if)#encapsulation frame-relay
Commutateur-FR(config-if)#frame-relay intf-type dce
Commutateur-FR(config-if)#no shutdown
Commutateur-FR#show frame-relay pvc
PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)
Local
Switched
Unused
Active
0
0
0
Inactive
0
1
0
Deleted
0
0
0
Static
0
0
0
DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE =

Serial0/0/0
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 0
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 00:03:33, last time pvc status changed 00:00:19
Active
Inactive
Deleted
Static
Page 5 sur 24
Exploration 4
Local
Switched
Unused
0
0
0
0
1
0
0
0
0
0
0
0
DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE =

Serial0/0/1
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 0
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Remarquez le 1 dans la colonne Inactive. Aucun point dextrmit na t configur pour le PVC cr.
Le commutateur Frame Relay le dtecte et marque alors le PVC comme tant inactif.
Excutez la commande show frame-relay route. Elle vous indique toutes les routes Frame Relay
existantes, leurs interfaces, leurs DLCI et leurs tats. Il sagit de la route de couche 2, quemprunte
le trafic du protocole Frame Relay via le rseau. Ne le confondez pas avec le routage IP de la couche 3.
Commutateur-FR#show frame-relay route
Input Intf
Serial0/0/0
Serial0/0/1
Input Dlci
102
201
Output Intf
Serial0/0/1
Serial0/0/0
Output Dlci
201
102
Status
inactive
inactive
tape 2 : configuration du routeur R1 pour Frame Relay

Le protocole de rsolution dadresse inverse (ARP inverse) permet aux extrmits distantes dune liaison
Frame Relay de se dcouvrir de manire dynamique et offre une mthode dynamique de mappage
dadresses IP avec des DLCI. Malgr lutilit du protocole ARP inverse, il n'est pas toujours fiable.
La meilleure pratique consiste mapper les adresses IP avec les DLCI, de manire statique, puis
de dsactiver lARP inverse.
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay inverse-arp
quoi sert de mapper une adresse IP avec un DCLI ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
Page 6 sur 24
Exploration 4
Quand le routeur doit acheminer un trafic vers une adresse IP, via une liaison Frame Relay, il doit
indiquer au commutateur de trame le PVC que le trafic doit traverser. Un commutateur de trame
abandonne tout trafic reu, dpourvu dun DCLI dans len-tte, car il na aucun moyen de dterminer
la manire d'acheminer les donnes.
La commande frame-relay map mappe de manire statique une adresse IP vers un DLCI. Outre le
mappage de ladresse IP vers un DLCI, le logiciel Cisco IOS permet le mappage de plusieurs adresses de
protocole de couche 3. Le mot cl broadcast de la commande ci-aprs envoie le trafic multidiffusion ou de
diffusion destin cette liaison sur le DLCI. La plupart des protocoles de routage ncessitent le mot cl
broadcast pour fonctionner correctement sur Frame Relay. Vous pouvez utiliser le mot cl broadcast
pour plusieurs DLCI sur la mme interface. Le trafic est alors rpliqu sur lensemble des PVC.
R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast
Le DLCI est-il mapp avec ladresse IP locale ou avec celle de lautre extrmit du PVC ?
_____________________________________________________________________________
Le DLCI est mapp avec ladresse IP de lextrmit distante du PVC.
Pourquoi la commande no shutdown doit-elle tre utilise aprs la commande no frame-relay
inverse-arp ?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Si vous saisissez dabord la commande no shutdown, le protocole ARP inverse risque dindiquer au
protocole Frame Relay les mappages de la couche 2 avec la couche 3, ce qui nest peut-tre pas ce
que vous souhaitez. Si vous dsactivez le protocole ARP inverse de Frame Relay avant dexcuter
la commande no shutdown, vous assurez que seules les connexions mappes de manire statique
voulues font partie des mappages Frame Relay.
tape 3 : configuration du routeur R2 pour Frame Relay
R2(config-if)#no frame-relay inverse-arp
ce stade, vous recevez des messages indiquant lactivation des interfaces et ltablissement de
la contigut du voisinage du protocole EIGRP.
R1#*Sep 9 17:05:08.771: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2
(Serial0/0/1) is up: new adjacency
(Serial0/0/1) is up: new adjacency
Page 7 sur 24
Exploration 4
La commande show ip route affiche des tables de routage compltes.

R1 :
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static
route
o - ODR, P - periodic downloaded static route
C
D
C

209.165.200.0/24 [90/20640000] via 10.1.1.2, 00:00:07, Serial0/0/1
R2 :
R2#show ip route
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
D
C
C
192.168.10.0/24 [90/20514560] via 10.1.1.1, 00:26:03, Serial0/0/1

Tche 4 : vrification de la configuration

prsent, vous devez tre en mesure denvoyer une requte ping de R1 vers R2 Il est possible que
les PVC ne soient activs que quelques secondes aprs le dmarrage des interfaces. Vous pouvez
galement voir les routages EIGRP de chaque routeur.
tape 1 : transmission dune requte ping R1 et R2
Vrifiez que vous pouvez envoyer une requte ping R2, partir de R1.
R1#ping 10.1.1.2
Page 8 sur 24
Exploration 4
!!!!!
R2#ping 10.1.1.1
!!!!!
tape 2 : accs aux informations relatives aux PVC
La commande show frame-relay pvc affiche les informations relatives lensemble des PVC configurs
sur le routeur. Les rsultats incluent galement le DLCI associ.
R1 :
R1#show frame-relay pvc
PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)
Local
Switched
Unused
Active
1
0
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1
input pkts 5
output pkts 5
in bytes 520
out bytes 520
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
R2 :
Local
Switched
Unused
Active
1
0
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0
input pkts 5
out bytes 520
out pkts dropped 0
in FECN pkts 0
out BECN pkts 0
out bcast pkts 0
output pkts 5
in bytes 520
dropped pkts 0
in pkts dropped 0
out bytes dropped 0
in BECN pkts 0
out FECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast bytes 0
Page 9 sur 24
Exploration 4

Commutateur-FR :
Local
Switched
Unused
Active
0
1
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0
DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/0
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 0
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Local
Switched
Unused
Active
0
1
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0

Serial0/0/1
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 0
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Page 10 sur 24
Exploration 4
tape 3 : vrification des mappages Frame Relay
La commande show frame-relay map affiche les informations relatives aux mappages statique et
dynamique des adresses de couche 3 avec les identificateurs DLCI. Le protocole ARP inverse tant
dsactiv, seuls les mappages statiques sont utiliss.
R1 :
R1#show frame-relay map
Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static,
CISCO, status defined, active
R2 :
Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static,
Commutateur FR :
Le commutateur FR fait office de priphrique de couche 2. Il nest donc pas ncessaire de mapper
les adresses de couche 3 avec les DLCI de couche 2.
tape 4 : dbogage de linterface LMI Frame Relay
Quelle est la fonction de linterface LMI sur un rseau Frame Relay ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
La LMI ou interface de supervision locale est un protocole de signalement permettant lchange
dinformations entre un routeur et un commutateur Frame Relay. Linterface LMI permet dchanger
des informations relatives aux messages de veille, ltat du PVC (activ, dsactiv, supprim, non
utilis), ainsi quaux adresses IP (lorsque le protocole ARP inverse est activ).
Quelles sont les trois types dinterface LMI ?
_____________________________________________________________________________
ansi, cisco, q933a
Avec quel identificateur DLCI linterface LMI fonctionne-t-elle ?
_____________________________________________________________________________
1023
Excutez la commande debug frame-relay lmi. Les rsultats affichent des informations dtailles
sur toutes les donnes de linterface LMI. Les messages de veille sont envoys toutes les 10 secondes.
Par consquent, vous allez probablement devoir attendre avant quun rsultat ne saffiche.
Page 11 sur 24
Exploration 4
Les rsultats du dbogage affichent deux paquets LMI : le premier sortant (envoy) et le deuxime
entrant.
R1#debug frame-relay lmi
Frame Relay LMI debugging is on
Displaying all Frame Relay LMI data
R1#
*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE
up
*Aug 24 06:19:15.920: datagramstart = 0xE73F24F4, datagramsize = 13
*Aug 24 06:19:15.920: FR encap = 0xFCF10309
*Aug 24 06:19:15.920: 00 75 01 01 00 03 02 C4 C3
*Aug 24 06:19:15.920:
*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21
*Aug 24 06:19:15.924: RT IE 1, length 1, type 0
*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196
*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0
R1#undebug all
Notez que les rsultats affichent un paquet LMI sortant, comportant le numro de squence 196.
Le dernier message LMI reu du commutateur Frame Relay portait le numro de squence 195.
*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up

Cette ligne indique un message LMI entrant, provenant du commutateur Frame Relay, et destination
de R1, et portant le numro de squence 196.

Le commutateur Frame Relay la envoy sous le numro de squence 196 (myseq) et le dernier
message LMI que celui-ci a reu de R1 portait le numro de squence 196 (yourseq).
*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196

DLCI 102 est le seul identificateur DLCI prsent sur la liaison. Actuellement, son tat est actif.
Tche 4 : dpannage du protocole Frame Relay
Divers outils de dpannage sont mis votre disposition pour rsoudre les problmes de connectivit
lis au protocole Frame Relay. Pour vous familiariser avec le processus de dpannage, interrompez
la connexion Frame Relay tablie plus tt, puis rtablissez-la.
tape 1 : suppression du mappage de trame de R1
R1#configure terminal
R1(config-if)#no frame-relay map ip 10.1.1.2 102 broadcast
Linstruction de mappage de trame tant maintenant supprime de R1, essayez denvoyer une requte
ping au routeur R1 depuis R2. Aucune rponse ne vous parviendra.
Page 12 sur 24
Exploration 4
R2#ping 10.1.1.1
.....
Success rate is 0 percent (0/5)
Par ailleurs, des messages de console doivent vous informer de l'tat activ, puis dsactiv de la
contigit du EIGRP.
R1(config-if)#*Sep 9 17:28:36.579: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is down: Interface Goodbye received
Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency
Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded
(Serial0/0/1) is down: holding time expired
Excutez la commande debug ip icmp sur R1 :
R1#debug ip icmp
ICMP packet debugging is on
Envoyez une nouvelle requte ping linterface srie de R1. Le message de dbogage suivant
saffiche sur R1 :
R2#ping 10.1.1.1
.....
R1#*Sep 9 17:42:13.415: ICMP: echo
R1#*Sep 9 17:42:15.411: ICMP: echo
R1#*Sep 9 17:42:17.411: ICMP: echo
R1#*Sep 9 17:42:19.411: ICMP: echo
R1#*Sep 9 17:42:21.411: ICMP: echo
reply
reply
reply
reply
reply
sent,
sent,
sent,
sent,
sent,
src
src
src
src
src
10.1.1.1,
10.1.1.1,
10.1.1.1,
10.1.1.1,
10.1.1.1,
dst
dst
dst
dst
dst
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.2
Le paquet ICMP, issu de R2, atteint R1, comme lillustre ce message de dbogage.
Pourquoi la requte ping a-t-elle chou ?
_____________________________________________________________________________
_____________________________________________________________________________
La requte ping choue car R1 ne dispose daucun moyen pour rpondre. Si, faute de moyen, le
mappage de ladresse IP de R2 avec un DLCI de couche 2 est impossible, R1 ne peut acheminer
la rponse et supprime le paquet.
Lexcution de la commande show frame-relay map renvoie une ligne vide.
R1#
Page 13 sur 24
Exploration 4
Dsactivez tous les dbogages laide de la commande undebug all, puis

rexcutez la commande frame-relay map ip, mais sans utiliser le mot cl
broadcast.
R1#undebug all
R1(config-if)#frame-relay map ip 10.1.1.2 102
R2#ping 10.1.1.1
!!!!!
Remarquez alors que les requtes ping aboutissent, la contigut EIGRP continue osciller
(entre ltat dsactiv et activ).
Pourquoi la contigut EIGRP continue-t-elle osciller ?
_____________________________________________________________________________
_____________________________________________________________________________
Un trafic multidiffusion nest pas envoy sur le DLCI spcifi dans linstruction de mappage de la trame.
Remplacez linstruction de mappage du protocole Frame Relay, puis intgrez le mot cl broadcast.
Vrifiez que la table de routage est restaure et que vous disposez dune connectivit de bout en bout.
R1#show ip route
Page 14 sur 24
Exploration 4
route
ia - IS-IS inter area, * - candidate default, U - per-user static


C

209.165.200.224 [90/20640000] via 10.1.1.2, 00:00:05, Serial0/0/1

tape 2 : modification du type dencapsulation Frame Relay

Le logiciel Cisco IOS prend en charge deux types dencapsulation Frame Relay : lencapsulation Cisco
par dfaut et IETF, base sur des normes. Remplacez lencapsulation Frame Relay de linterface
serial0/0/1 sur R2 par IETF.
R2(config-if)#encapsulation frame-relay ietf
Notez que linterface ne se dsactive pas. Cela peut vous surprendre. Les routeurs Cisco peuvent
interprter correctement des trames Frame Relay utilisant lencapsulation Frame Relay Cisco par dfaut
ou lencapsulation Frame Relay de la norme IETF. Si votre rseau est entirement constitu de routeurs
Cisco, il nexiste aucune diffrence, que vous utilisiez lencapsulation Frame Relay Cisco par dfaut ou
celle de la norme IETF. Les routeurs Cisco prennent en charge ces deux types de trames entrantes.
Toutefois, si vous disposez de routeurs de fournisseurs diffrents utilisant le protocole Frame Relay,
vous devez utiliser la norme IETF. La commande encapsulation frame-relay ietf force le routeur
Cisco encapsuler ses trames sortantes en utilisant la norme IETF. Cette norme peut tre comprise
par le routeur dun autre fournisseur.
Encapsulation FRAME-RELAY IETF, loopback not set
<rsultat omis>
Commutateur-FR#show int s0/0/0
Encapsulation FRAME-RELAY, loopback not set
Remarquez que les deux commandes show interface affichent des rsultats diffrents. Remarquez
galement que la contigut EIGRP est encore ltat activ. Bien que le commutateur FR et R2 utilisent
des types dencapsulation diffrents, ils continuent acheminer le trafic.
Remplacez le type dencapsulation par le type par dfaut :
tape 3 : changement du type de linterface LMI
Sur R2, remplacez le type de linterface LMI par ANSI.
Page 15 sur 24
Exploration 4

R2(config-if)#frame-relay lmi-type ansi
R2(config-if)#^Z
R2#copy run start
[OK]
*Sep 9 18:41:08.351: %LINEPROTO-5-UPDOWN: Line protocol on Interface
*Sep 9 18:41:08.351: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1
(Serial0/0/1) is down: interface down
Serial0/0/1 is up, line protocol is down
R2#show frame-relay lmi
LMI Statistics for interface Serial0/0/1 (Frame Relay DTE) LMI TYPE = ANSI
Invalid Unnumbered info 0
Invalid Prot Disc 0
Invalid dummy Call Ref 0
Invalid Msg Type 0
Invalid Status Message 0
Invalid Lock Shift 0
Invalid Information ID 0
Invalid Report IE Len 0
Invalid Report Request 0
Invalid Keep IE Len 0
Num Status Enq. Sent 1391
Num Status msgs Rcvd 1382
Num Update Status Rcvd 0
Num Status Timeouts 10
Last Full Status Req 00:00:27
Last Full Status Rcvd 00:00:27
Si vous poursuivez lexcution de la commande show frame-relay lmi, vous remarquerez laugmentation
du temps mis en vidence. Au bout de 60 secondes, linterface passe ltat activ/dsactiv car R2 et le
commutateur FR nchangent plus de messages de veille ou toutes autres informations dtat de liens.
Excutez la commande debug frame-relay lmi. Remarquez que les paquets LMI ne saffichent plus par
paires. Lorsque tous les messages LMI sortants sont consigns, aucun message entrant ne saffiche.
En effet, R2 attend linterface LMI ANSI et le commutateur FR envoie linterface LMI Cisco.
*Aug 25 04:34:25.774: Serial0/0/1(out): StEnq, myseq 20, yourseen 0,

DTE down
*Aug 25 04:34:25.774: datagramstart = 0xE73F2634, datagramsize = 14
*Aug 25 04:34:25.774: FR encap = 0x00010308
*Aug 25 04:34:25.774: 00 75 95 01 01 00 03 02 14 00
*Aug 25 04:34:25.774:
Laissez le dbogage activ et restaurez le type LMI de Cisco sur R2.
R2(config-if)#frame-relay lmi-type cisco
*Aug 25 04:42:45.774: Serial0/0/1(out): StEnq, myseq 2, yourseen 1, DTE down
*Aug 25 04:42:45.774: datagramstart = 0xE7000D54, datagramsize = 13
*Aug 25 04:42:45.774: FR encap = 0xFCF10309
*Aug 25 04:42:45.774: 00 75 01 01 01 03 02 02 01
*Aug 25 04:42:45.774:
*Aug 25 04:42:45.778: KA IE 3, length 2, yourseq 2 , myseq 2
Page 16 sur 24
Exploration 4
*Aug 25 04:42:55.774: Serial0/0/1(out): StEnq, myseq 3, yourseen 2, DTE up
*Aug 25 04:42:55.774: datagramstart = 0xE7001614, datagramsize = 13
*Aug 25 04:42:55.774: FR encap = 0xFCF10309
*Aug 25 04:42:55.774: 00 75 01 01 01 03 02 03 02
*Aug 25 04:42:55.774:
*Aug 25 04:42:55.778: KA IE 3, length 2, yourseq 1 , myseq 3
Comme vous pouvez le constater, le numro de squence de linterface LMI a t redfini sur 1 et R2
commence comprendre les messages de linterface LMI provenant du commutateur FR. Une fois que
le commutateur Frame relay et R2 ont russi changer des messages LMI, ltat de linterface devient
activ.
Tche 5 : configuration dune sous-interface Frame Relay

Frame Relay prend en charge deux types de sous-interfaces : point point et point multipoint. Les
sous-interfaces point multipoint prennent en charge les topologies daccs multiples non-broadcast.
Par exemple, une topologie Hub and Spoke peut utiliser une sous-interface point multipoint. Au cours
de ces travaux pratiques, vous apprendrez crer une sous-interface point point.
tape 1 : cration dun circuit PVC entre R1 et R2 sur le commutateur Frame Relay
Commutateur-FR(config)#interface serial 0/0/0
Commutateur-FR(config-if)#interface serial 0/0/1
tape 2 : cration et configuration dune sous-interface point point sur R1
Crez une sous-interface 112 en tant quinterface point point. Vous devez dfinir lencapsulation Frame
Relay sur linterface physique avant de pouvoir crer des sous-interfaces.
R1(config)#interface serial 0/0/1.112 point-to-point
R1(config-subif)#ip address 10.1.1.5 255.255.255.252
R1(config-subif)#frame-relay interface-dlci 112
tape 3 : cration et configuration dune sous-interface point point sur R2
R2(config)#interface serial 0/0/1.212 point-to-point
R2(config-subif)#ip address 10.1.1.6 255.255.255.252
R2(config-subif)#frame-relay interface-dlci 212
tape 4 : vrification de la connectivit
Vous devez tre en mesure denvoyer une requte ping sur le nouveau circuit PVC.
R1#ping 10.1.1.6
!!!!!
R2#ping 10.1.1.5
Page 17 sur 24
Exploration 4

!!!!!
Vous pouvez galement vrifier la configuration laide des commandes show frame-relay pvc et show
frame-relay map de la tche 4.
R1 :
Local
Switched
Unused
Active
2
0
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0
input pkts 319
output pkts 279
in bytes 20665
out bytes 16665
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 193
out bcast bytes 12352
DLCI = 112, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0/0/1.112
input pkts 15
output pkts 211
in bytes 2600
out bytes 17624
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 200
R2 :
Local
Switched
Unused
Active
2
0
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0
input pkts 331
output pkts 374
in bytes 19928
Page 18 sur 24
Exploration 4
out bytes 24098

dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 331
DLCI = 212, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0/0/1.212
input pkts 217
output pkts 16
in bytes 18008
out bytes 2912
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 6
Commutateur-FR :
Local
Switched
Unused
Active
0
2
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0

Serial0/0/0
input pkts 335
output pkts 376
in bytes 20184
out bytes 24226
dropped pkts 2
in pkts dropped 2
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 333
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 2
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Serial0/0/0
input pkts 242
out bytes 3536
output pkts 18
dropped pkts 0
in bytes 20104
in pkts dropped 0
Page 19 sur 24
Exploration 4
out pkts dropped 0

out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 242
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Local
Switched
Unused
Active
0
2
0
Inactive
0
0
0
Deleted
0
0
0
Static
0
0
0

Serial0/0/1
input pkts 376
output pkts 333
in bytes 24226
out bytes 20056
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 376
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Serial0/0/1
input pkts 18
output pkts 243
in bytes 3536
out bytes 20168
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
switched pkts 18
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
Page 20 sur 24
Exploration 4
R1 :
Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static,
broadcast,
Serial0/0/1.112 (up): point-to-point dlci, dlci 112(0x70,0x1C00), broadcast
status defined, active
R2 :
Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static,
broadcast,
Serial0/0/1.212 (up): point-to-point dlci, dlci 212(0xD4,0x3440), broadcast
status defined, active
Commutateur-FR :
Commutateur-FR#show frame-relay route
Input Intf
Serial0/0/0
Serial0/0/0
Serial0/0/1
Serial0/0/1
Input Dlci
102
112
201
212
Output Intf
Serial0/0/1
Serial0/0/1
Serial0/0/0
Serial0/0/0
Output Dlci
201
212
102
112
Status
active
active
active
active
Effectuez prsent le dbogage de linterface LMI Frame Relay.

*Aug
up
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
25 05:58:50.902: Serial0/0/1(out): StEnq, myseq 136, yourseen 135, DTE

25
25
25
25
25
25
25
25
25
05:58:50.902:
05:58:50.902:
05:58:50.902:
05:58:50.902:
05:58:50.906:
05:58:50.906:
05:58:50.906:
05:58:50.906:
05:58:50.906:
datagramstart = 0xE7000354, datagramsize = 13

FR encap = 0xFCF10309
00 75 01 01 00 03 02 88 87
Serial0/0/1(in): Status, myseq 136, pak size 29
RT IE 1, length 1, type 0
KA IE 3, length 2, yourseq 136, myseq 136
PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0
PVC IE 0x7 , length 0x6 , dlci 112, status 0x2 , bw 0
Notez que deux DLCI figurent dans le message de linterface LMI provenant du
commutateur Frame Relay vers R1.
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
25
25
25
25
25
25
25
25
06:08:35.774:
06:08:35.774:
06:08:35.774:
06:08:35.774:
06:08:35.774:
06:08:35.778:
06:08:35.778:
06:08:35.778:
Serial0/0/1(out):StEnq, myseq 7,yourseen 4,DTE up

datagramstart = 0xE73F28B4, datagramsize = 13
FR encap = 0xFCF10309
00 75 01 01 00 03 02 07 04
Serial0/0/1(in): Status, myseq 7, pak size 29
RT IE 1, length 1, type 0
KA IE 3, length 2, yourseq 5 , myseq 7
Page 21 sur 24
Exploration 4
*Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 201, status 0x2, bw 0

*Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 212, status 0x2, bw 0
Configurations finales
R1#show run
<rsultat omis>
!
hostname R1
enable secret class
no ip domain lookup
!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
encapsulation frame-relay
frame-relay map ip 10.1.1.2 102 broadcast
no frame-relay inverse-arp
no shutdown
!
interface Serial0/0/1.112 point-to-point
ip address 10.1.1.5 255.255.255.252
frame-relay interface-dlci 112
!
router eigrp 1
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
!
banner motd ^CUnauthorized access prohibited, violators will be prosecuted to
the full extent of the law.^C
!
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
login
password cisco
!
end
R2#show run
<rsultat omis>
!
hostname R2
!
!
enable secret class
!
Page 22 sur 24
Exploration 4
!
no ip domain lookup
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
!
ip address 10.1.1.2 255.255.255.252
clockrate 64000
frame-relay lmi-type cisco
no shutdown
!
interface Serial0/0/1.212 point-to-point
ip address 10.1.1.6 255.255.255.252
!
router eigrp 1
network 10.0.0.0
network 209.165.200.224 0.0.0.31
no auto-summary
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
Commutateur-FR#show run
<rsultat omis>
!
hostname Commutateur-FR
!
enable secret class
!
no ip domain lookup
frame-relay switching
!
!
!
!
no ip address
clockrate 64000
Page 23 sur 24
Exploration 4
frame-relay intf-type dce

frame-relay route 102 interface
no shutdown
!
no ip address
no shutdown
!
!
line con 0
password cisco
login
line aux 0
line vty 0 4
password cisco
login
!
end
Serial0/0/1 201
Serial0/0/1 212
Serial0/0/0 102
Serial0/0/0 112
Page 24 sur 24
Travaux pratiques 3.5.2 : exercice de configuration de frame relay

Table dadressage
Priphrique
Interface
Adresse IP
Masque de sous-rseau
Passerelle par dfaut
Fa0/1
172.16.1.254
255.255.255.0
N/D
S0/0/0
10.1.2.1
255.255.255.252
Fa0/1
172.16.2.254
255.255.255.0
N/D
N/
S0/0/1
10.1.2.2
255.255.255.252
PC1
Carte rseau
172.16.1.1
255.255.255.0
N/D
D
172.16.1.254
PC3
Carte rseau
172.16.2.1
255.255.255.0
172.16.2.254
R1
R2
Page 1 sur 5
CCNA Exploration
Travaux pratiques 3.5.2 :

exercice de configuration de frame relay

par dfaut
Configurer lencapsulation Frame Relay sur toutes les interfaces srie
Configurer un circuit virtuel permanent (PVC) Frame Relay
Interrompre volontairement un circuit virtuel permanent (PVC) Frame Relay et le restaurer
Configurer des sous-interfaces Frame Relay
Interrompre volontairement le circuit PVC et le restaurer
Scnario
Au cours de ces travaux pratiques, vous allez configurer le protocole Frame Relay via le rseau indiqu
dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques
Protocole Frame Relay de base. Essayez cependant de travailler en parfaite autonomie.


Page 2 sur 5
CCNA Exploration

Tche 3 : configuration dadresses IP

tape 1 : configuration dadresses IP sur toutes les liaisons en fonction de la table dadressage
R1
R1(config-if)#ip address 10.1.2.1 255.255.255.252
R1(config-if)#int fa0/1
R2 :
show ip int brief
tape 3 : activation des interfaces Ethernet des routeurs R1 et R2, mais non des interfaces sries
R1(config-if)#no shut
R2(config-if)#no shut
tape 5 : vrification de la connectivit entre les PC et leurs routeurs locaux
ping
Tche 4 : configuration du protocole EIGRP sur les routeurs R1 et R2

tape 1 : activation du protocole EIGRP sur les routeurs R1 et R2 de tous les sous-rseaux
router eigrp 1
network 10.1.2.0 0.0.0.3
network 172.16.0.0 0.0.15.255.255
no auto-summary
Tche 5 : configuration du PVC Frame Relay entre R1 et R2

tape 1 : configuration des interfaces sur un commutateur FR pour crer le circuit PVC entre R1 et R2
Utilisez les identificateurs de connexion de liaisons de donnes (DLCI) figurant dans le diagramme
de topologie.
Commutateur FR :
frame-relay route 102 interface s0/0/1 201
Page 3 sur 5
CCNA Exploration

frame-relay route 201 interface s0/0/0 102

tape 2 : configuration des interfaces physiques sur R1 et R2 pour permettre une encapsulation
Frame Relay
Ne dcouvrez pas automatiquement les adresses IP lextrmit des liaisons. Une fois la configuration
termine, activez la liaison.
R1
no shut
R2
int s0/0/1
no shut
tape 3 : configuration des cartes Frame Relay sur R1 et R2 laide des identificateurs DLCI
appropris, et activation de la diffusion sur les identificateurs DLCI
R1
frame=relay map ip 10.1.2.2 102 broadcast
R2
tape 4 : vrification de la connectivit de bout en bout via le PC1 et le PC2
ping
Tche 6 : interruption volontaire et restauration du PVC

tape 1 : interruption du PVC entre R1 et R2 selon les mthodes choisies
tape 2 : restauration dune connectivit complte sur le rseau
tape 3 : vrification de la connectivit complte sur le rseau
Tche 7 : configuration de sous-interfaces Frame Relay

tape 1 : suppression de ladresse IP et de la configuration de la carte Frame Relay depuis
les interfaces physiques de R1 et R2
R1
no frame-relay map ip 10.1.2.2 102 broadcast
no ip address
R2
int s0/0/1
no frame-relay map ip 10.1.2.1 201 broadcast
Page 4 sur 5
CCNA Exploration

tape 2 : configuration des sous-interfaces point--point de Frame Relay sur R1 et R2, avec les
mmes adresses IP et les identificateurs DLCI utiliss prcdemment sur les interfaces physiques
R1
interface serial0/0/0.102 point-to-point
ip address 10.1.2.1 255.255.255.252
R2
int s0/0/1.102 point-to-point
ip add 10.1.2.2 255.255.255.252
tape 3 : vrification de la connectivit de bout en bout
Envoyez une commande ping dun PC lautre.
Tche 8 : interruption volontaire et restauration du PVC

tape 1 : interruption du PVC laide dune mthode diffrente de celle utilise lors de la tche 6
tape 2 : restauration du PVC
tape 3 : vrification de la connectivit de bout en bout


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans
un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC
htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).
Page 5 sur 5
Travaux pratiques 3.5.3 : dpannage de Frame Relay

Table dadressage
Priphrique
R1
R2
Interface
Adresse IP
Lo0
172.18.11.254
255.255.255.0
N/D
S0/0/0
172.18.221.1
255.255.255.252
N/D
Lo0
172.18.111.254
255.255.255.0
N/D
S0/0/1
172.18.221.2
255.255.255.252
N/D
Objectif pdagogique
Mettre en pratique les comptences en matire de dpannage dun rseau Frame Relay
Scnario
Au cours de ces travaux pratiques, vous apprendrez dpanner un environnement Frame Relay mal
configur. Chargez les configurations suivantes dans les routeurs ou faites-vous aider par votre formateur.
Localisez et corrigez toutes les erreurs figurant dans les configurations et tablissez une connectivit de
bout en bout. La configuration finale obtenue doit correspondre au diagramme de topologie, ainsi qu la
table dadressage. Tous les mots de passe sont dfinis sur cisco, lexception du mot de passe enable
secret, dfini sur class.
Page 1 sur 5
CCNA Exploration

tape 3 : importation des configurations
Routeur 1
!
hostname R1
!
enable secret class
!
no ip domain lookup
!
!
!
!
interface Loopback0
ip address 172.18.11.254 255.255.255.0
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
no fair-queue
clockrate 125000
!
ip address 172.18.221.1 255.255.255.252
! Le DLCI est mal crit et doit tre corrig pour que la connectivit
!fonctionne.
frame-relay map ip 172.18.221.1 182
! Un mappage Frame Relay pour ladresse IP de linterface est souvent oubli,
! car la plupart des interfaces atteignent leur propre adresse.
no shutdown
!
router eigrp 1
network 172.18.221.0
Page 2 sur 5
CCNA Exploration
network 172.18.11.0
no auto-summary
!
!
!
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
password cisco
login
!
end
Routeur 2
!
hostname R2
!
enable secret class
!
no ip domain lookup
!
interface Loopback0
ip address 172.18.111.254 255.255.255.0
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
no fair-queue
!
ip address 172.18.221.2 255.255.255.252
clockrate 125000
! Le mot cl broadcast a t oubli. Sans le mot cl broadcast,
! les paquets de multidiffusion ne sont pas envoys avec ce DLCI. empche
! EIGRP de crer des contiguts.
! frame-relay map ip 172.18.221.2 181
! Un mappage Frame Relay pour ladresse IP de linterface est souvent
! oubli,
! car la plupart des interfaces atteignent leur propre adresse.
Page 3 sur 5
CCNA Exploration
frame-relay lmi-type ansi

! Le commutateur Frame Relay utilise le type dinterface LMI par dfaut, qui
! est
! cisco. Cette commande doit tre supprime pour que le lien fonctionne.
! no shutdown
! Il arrive souvent doublier que les interfaces sur un routeur
! sarrte par dfaut.
!
router eigrp 1
network 172.18.221.0
network 172.18.111.0
no auto-summary
!
!
!
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
login
!
end
Commutateur FR :
!
hostname Commutateur FR
!
!
enable secret class
!
!
!
no ip domain lookup
!
!
!
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
no fair-queue
clockrate 125000
Page 4 sur 5
CCNA Exploration

frame-relay route 182 interface Serial0/0/1 181
no shutdown
!
no ip address
clockrate 125000
frame-relay route 181 interface Serial0/0/1 182
! Sans instruction de route, le commutateur Frame Relay ne sait pas comment
! commuter les paquets Frame Relay.
no shutdown
!
!
!
!
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
password cisco
login
!
end
Tche 2 : dpannage et rparation de la connexion Frame Relay entre R1 et R2


Page 5 sur 5
Travaux pratiques 4.6.1 : configuration de base de la scurit

Table dadressage
Priphrique
R1
R2
R3
Interface
Adresse IP
Fa0/1
S0/0/0
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
S0/0/1
192.168.10.1
10.1.1.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
192.168.30.1
10.2.2.2
Masque de
sous-rseau
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
255.255.255.0
255.255.255.252

N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
Page 1 sur 50
CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise
Comm1
Comm3
PC1
PC3
Serveur TFTP
VLAN10
VLAN20
Carte rseau
Carte rseau
Carte rseau
192.168.10.2
192.168.30.2
192.168.10.10
192.168.30.10
192.168.20.254
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
N/D
N/D
192.168.10.1
192.168.30.1
192.168.20.1

par dfaut
Configurer la scurit de base des ports
Dsactiver les services et interfaces Cisco inutiliss
Protger les rseaux d'entreprise contre des principales attaques externes et internes
Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de
fichiers Cisco
Configurer et utiliser Cisco SDM (Security Device Manager) et SDM Express pour dfinir
la scurit de base dun routeur
Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer les paramtres de scurit de
base du rseau. Pour ce faire, vous utiliserez le rseau illustr sur le diagramme de topologie. Vous
apprendrez galement configurer la scurit dun routeur de trois manires : en utilisant linterface de
ligne de commande (ILC), la fonction de scurit automatique, ou Cisco SDM. Enfin, vous apprendrez
grer le logiciel Cisco IOS.
Notes au formateur
Ces travaux pratiques de configuration de la scurit de base permettent aux participants de mettre en
application les comptences essentielles acquises dans le cadre de ce chapitre. Bien que de nombreux
formateurs souhaitent que les participants effectuent ces travaux pratiques en une seule session,
dautres prfrent les diviser en plusieurs sessions plus courtes. Ainsi, les recommandations suivantes
vous permettront de diviser correctement ces travaux pratiques en plusieurs sessions.
Ces travaux pratiques s'organisent comme suit :
Premire partie : les participants effectuent les tches 1 7 et enregistrent les configurations
effectues. La dmonstration des configurations effectuer est fournie la suite de la tche 7.
Seconde partie : les participants utilisent les configurations enregistres dans la premire partie,
puis ralisent la tche 8. La dmonstration de l'ensemble des configurations effectuer dans le
cadre de ces travaux pratiques figure la fin de ce document.
Les participants peuvent galement effectuer la tche 6 indpendamment des autres tches.
Page 2 sur 50
CCNA Exploration

Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des
interfaces indiques dans la topologie.
Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. si vous utilisez
les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront
diffremment.
Tche 2 : excution des configurations de routeur de base
tape 1 : configuration des routeurs
Configurez le nom d'hte du routeur conformment au diagramme de topologie.
Configurez les adresses IP sur R1, R2 et R3.
Activez la version 2 du protocole RIP sur l'ensemble des routeurs de tous les rseaux.
Crez une interface de bouclage sur R2 afin de simuler une connexion Internet.
Configurez un serveur TFTP sur R2. Vous pouvez tlcharger le logiciel serveur TFTP partir
de : http://tftpd32.jounin.net/
R1
hostname R1
no ip domain-lookup
banner motd Ûnauthorized access strictly prohibited and prosecuted to
the full extent of the law.^
!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
no shutdown
clock rate 64000
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary
Page 3 sur 50
CCNA Exploration
R2
hostname R2
no ip domain-lookup
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
Interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no shutdown
!
ip address 10.1.1.2 255.255.255.252
no shutdown
!
ip address 10.2.2.1 255.255.255.252
clock rate 115200
no shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
network 209.165.200.0
no auto-summary
!
R3
hostname R3
no ip domain-lookup
!
ip address 192.168.30.1 255.255.255.0
no shutdown
!
ip address 10.2.2.2 255.255.255.252
no shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
Page 4 sur 50
CCNA Exploration
tape 2 : configuration des interfaces Ethernet

Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des
passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques.
tape 3 : test de la configuration dun PC par lenvoi dune commande ping la passerelle par
dfaut, partir de chaque PC et du serveur TFTP
Tche 3 : scurisation du routeur par rapport aux accs non autoriss

tape 1 : configuration des mots de passe scuriss et authentification AAA
Configurez des mots de passe scuriss sur R1 laide dune base de donnes locale. Dans ces travaux
pratiques, le mot de passe utiliser est ciscoccna.
R1(config)#enable secret ciscoccna
Comment la configuration dun mot de passe enable secret contribue-t-elle protger un routeur dune
attaque ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Lobjectif est de toujours bloquer laccs des utilisateurs non autoriss un priphrique laide de
Telnet, SSH ou via la console. Si des pirates parviennent toutefois franchir cette premire barrire
de protection, lutilisation dun mot de passe enable secret les empche de modifier la configuration
du priphrique. Cette opration procure une couche de scurit supplmentaire.
La commande username permet de dfinir un nom d'utilisateur et un mot de passe, enregistrs
localement sur le routeur. Par dfaut, le niveau de privilge de lutilisateur est dfini sur 0 (le niveau
daccs le plus bas). Vous pouvez modifier le niveau daccs assign un utilisateur en ajoutant le
mot cl privilege 0 15 avant le mot cl password.
R1(config)#username ccna password ciscoccna
La commande aaa permet dactiver le protocole AAA (Authentication, Authorization and Accounting :
authentification, autorisation et comptabilisation) de manire globale sur le routeur. Cette commande est
utilise lors de la connexion au routeur.
R1(config)#aaa new-model
Vous pouvez crer une liste dauthentification qui est consulte lorsquun utilisateur tente de se connecter
au priphrique, une fois que vous laurez applique aux lignes vty et aux lignes de la console. Le mot cl
local indique que la base de donnes de lutilisateur est enregistre localement sur le routeur.
R1(config)#aaa authentication login LOCAL_AUTH local
Les commandes suivantes indiquent au routeur que les utilisateurs qui tentent de se connecter doivent
tre authentifis via la liste que vous venez de crer.
R1(config)#line console 0
R1(config-lin)#login authentication LOCAL_AUTH
R1(config-lin)#line vty 0 4
R1(config-lin)#login authentication LOCAL_AUTH
Page 5 sur 50
CCNA Exploration
Dans la section de configuration en cours suivante, quel lment vous semble non scuris ?
R1#show run
<rsultat omis>
!
enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
!
username ccna password 0 ciscoccna
!
<rsultat omis>
!
!
line con 0
logging synchronous
login authentication LOCAL_AUTH
line aux 0
line vty 0 4
!
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Contrairement au mot de passe enable secret, le mot de passe de lutilisateur ccna nest pas chiffr.
Ainsi, le niveau de scurit est plus faible.
Pour appliquer un chiffrement simple sur les mots de passe, entrez la commande suivante en mode de
configuration globale :
R1(config)#service password-encryption
Pour vrifier cela, excutez la commande show run.
R1#show run
service password-encryption
!
enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1
!
aaa new-model
!
!
username ccna password 7 0822455D0A1606141C0A
<rsultat omis>
!
banner motd ^CCUnauthorized access strictly prohibited, violators will be
!
Page 6 sur 50
CCNA Exploration
line con 0
logging synchronous
line aux 0
line vty 0 4
!
tape 2 : protection des lignes de console et des lignes VTY
Vous pouvez faire en sorte que le routeur dconnecte une ligne qui a t inactive pendant une priode
donne. Si un ingnieur rseau est connect un priphrique rseau, quil est appel et quil part
subitement, cette commande permet de le dconnecter automatiquement au bout de la priode indique.
Les commandes suivantes permettent la dconnexion dune ligne au bout de 5 minutes.
R1(config)#line console 0
R1(config-lin)#exec-timeout 5 0
R1(config-lin)#line vty 0 4
R1(config-lin)#exec-timeout 5 0
La commande suivante permet dempcher les tentatives de connexion en force. Le routeur bloque
les tentatives de connexion pendant 5 minutes si un utilisateur effectue 2 tentatives de connexion sans
y parvenir au bout de 2 minutes. Pour rpondre aux objectifs de ces travaux pratiques, la dure dfinie
est particulirement courte. Une action supplmentaire consiste consigner chaque tentative de ce type.
R1(config)#login block-for 300 attempt 2 within 120
R1(config)#security authentication failure rate 5 log
Pour vrifier cela, essayez de vous connecter R1, partir de R2, via le protocole Telnet laide dun
nom dutilisateur et dun mot de passe incorrects.
Sur R2 :
R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
Unauthorized access strictly prohibited, violators will be prosecuted to the
full extent of the law
User Access Verification
Username: cisco
Password:
% Authentication failed
Username: cisco
Password:
[Connection to 10.1.1.1 closed by foreign host]
R2#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Connection refused by remote host
Page 7 sur 50
CCNA Exploration
Sur R1 :
*Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because
block period timed out at 12:40:11 UTC Mon Sep 10 2007
Tche 4 : scurisation de laccs au rseau
tape 1 : prvention de la propagation dune mise jour de routage RIP
Quelle machine peut recevoir des mises jour de routage RIP sur un segment de rseau au niveau
duquel le protocole RIP est activ ? Sagit-il de la configuration la plus approprie ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Tout priphrique en mode dcoute peut recevoir des mises jour de routage RIP. Cela constitue
un risque, car des informations concernant la structure du rseau sont dvoiles. La premire tape
du piratage dun rseau consiste reconnatre ce rseau. Au cours de cette tape, le pirate tente
deffectuer un mappage sur le rseau existant avant de dterminer le type dattaque quil va appliquer.
La commande passive-interface empche les routeurs denvoyer des mises jour de routage
toutes les interfaces, except celles configures pour participer ces mises jour. Cette commande
doit tre excute lors de la configuration du protocole RIP.
La premire commande permet de dfinir toutes les interfaces en mode passif (linterface reoit
uniquement les mises jour de routage RIP). La deuxime commande permet de rtablir le mode
actif pour certaines interfaces (qui peuvent alors envoyer et recevoir des mises jour RIP).
R1
R1(config)#router rip
R1(config-router)#passive-interface default
R1(config-router)#no passive-interface s0/0/0
R2
R3
tape 2 : prvention de la rception non autorise des mises jour RIP
Pour scuriser le protocole RIP, vous devez tout dabord bloquer les mises jour RIP inutiles. Vous
devez ensuite protger les mises jour RIP au moyen dun mot de passe. Pour ce faire, vous devez
dabord configurer la cl utiliser.
R1(config)#key chain RIP_KEY
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
Ces informations doivent tre ajoutes tous les routeurs destins recevoir des mises jour RIP.
Page 8 sur 50
CCNA Exploration

Pour utiliser la cl, vous devez configurer chacune des interfaces participant aux mises jour RIP. Ces
interfaces sont celles qui ont t prcdemment actives laide de la commande no passive-interface.
R1
R1(config-if)#ip rip authentication mode md5
R1(config-if)#ip rip authentication key-chain RIP_KEY
ce stade, R1 ne reoit plus les mises jour RIP issues de R2, tant donn que ce dernier nest pas
encore configur pour utiliser une cl permettant les mises jour de routage. Vous pouvez observer cette
situation sur R1, en excutant la commande show ip route et en vrifiant quaucune route provenant
de R2 ne figure dans la table de routage.
Effacez les routes IP laide de la commande clear ip route * ou attendez lexpiration de leur dlais
dattente.
R1#show ip route
ia - IS-IS inter area, *-candidate default, U-per-user static route
C
C

Pour utiliser lauthentification de routage, vous devez configurer R2 et R3. Notez que chaque interface
active doit tre configure.
R2
R2(config-if)#ip rip authentication
mode md5
key-chain RIP_KEY
mode md5
key-chain RIP_KEY
R3
R3(config-if)#ip rip authentication mode md5
R3(config-if)#ip rip authentication key-chain RIP_KEY
Page 9 sur 50
CCNA Exploration
tape 3 : vrification du fonctionnement du routage RIP

Une fois les trois routeurs configurs en vue dutiliser lauthentification de routage, les tables de routage
doivent nouveau tre alimentes avec toutes les routes RIP. prsent, R1 doit disposer de toutes les
routes via RIP. Vrifiez cela laide de la commande show ip route.
R1#show ip route
ia - IS-IS inter area, *-candidate default, U-per-user static route
R
C
R
R
C
192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/0

192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0
10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/0
Tche 5 : consignation des activits via le protocole SNMP (Simple Network

Management Protocol)
tape 1 : configuration de la consignation via le protocole SNMP vers le serveur syslog
Il peut tre utile deffectuer une consignation via SNMP dans le cadre de la surveillance de lactivit dun
rseau. Les informations ainsi consignes peuvent tre envoyes vers un serveur syslog du rseau, o
elles peuvent tre analyses et archives. Soyez prudent lorsque vous configurez une consignation
(syslog) sur le routeur. Lors du choix de lhte de consignation, rappelez-vous que ce dernier doit
tre connect un rseau fiable ou protg, ou bien une interface de routeur ddie ou isole.
Au cours de ces travaux pratiques, vous apprendrez configurer lordinateur PC1 en tant que serveur
syslog pour R1. Utilisez la commande logging pour slectionner ladresse IP du priphrique vers
lequel les messages SNMP sont envoys. Dans lexemple suivant, ladresse IP de PC1 est utilise.
R1(config)#logging 192.168.10.10
Remarque : si vous souhaitez consulter les messages syslog, le logiciel syslog doit tre install
et excut sur PC1.
Dans ltape suivante, vous allez dfinir le niveau de gravit des messages envoyer au serveur syslog.
Page 10 sur 50
CCNA Exploration
tape 2 : configuration du niveau de gravit SNMP

Le niveau des messages SNMP peut tre ajust afin de permettre ladministrateur de dterminer les
types de messages envoys au priphrique syslog. Les routeurs prennent en charge diffrents niveaux
de consignation. Il existe huit niveaux, allant de 0 (Urgence, le systme est instable) 7 (Dbogage,
des messages contenant des informations sur le routeur sont envoys). Pour configurer les niveaux
de gravit, utilisez le mot cl associ chaque niveau, comme indiqu dans le tableau ci-dessous.
Niveau de gravit
Mot cl
Description
emergencies
Systme inutilisable
alerts
Action immdiate requise
critical
Conditions critiques
errors
Conditions derreur
warnings
Conditions davertissement
notifications
Condition normale mais sensible
informational
Messages informatifs
debugging
Messages de dbogage
La commande logging trap permet de dfinir le niveau de gravit. Le niveau de gravit inclut
le niveau spcifi et tout ce qui figure au-dessous (du niveau normal au niveau de gravit spcifi).
Dfinissez R1 sur le niveau 4 pour capturer des messages avec des niveaux de gravit 4, 5, 6 et 7.
R1(config)#logging trap warnings
Quel est le danger de dfinir un niveau de gravit trop lev ou trop faible ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Si le niveau de gravit est trop lev, le routeur peut gnrer trop de messages qui deviennent alors
inutiles. Les messages importants sont plus difficiles identifier parmi les messages moins utiles. Cela
peut galement entraner la congestion du rseau. En revanche, si le niveau de gravit est trop faible,
les informations disponibles lorsque vous tentez de rsoudre un problme ne sont pas suffisantes.
Remarque : si vous avez install le logiciel syslog sur PC1, lancez-le et consultez les messages
gnrs.
Page 11 sur 50
CCNA Exploration
Tche 6 : dsactivation des services rseau Cisco inutiliss

tape 1 : dsactivation des interfaces inutilises
Pourquoi est-il ncessaire de dsactiver les interfaces inutilises sur les priphriques rseau ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Si vous ne dsactivez pas les interfaces inutilises, des personnes non autorises peuvent accder
au rseau, si elles disposent dun accs physique au priphrique. Si vous les dsactivez, en revanche,
elles ne pourront pas tre utilises pour des attaques de type Man-In-The-Middle (attaque de lhomme
du milieu) ou pour la fonction DHCP spoofing.
Dans le diagramme de topologie, vous pouvez voir que R1 ne doit utiliser que les interfaces S0/0/0 et
Fa0/1. Toutes les autres interfaces sur R1 doivent tre dsactives sur le plan administratif, laide de
la commande de configuration dinterface shutdown.
R1(config)#interface fastethernet0/0
R1(config-if)# interface s0/0/1
*Sep 10 13:40:240.887: %LINK-5-CHANGED: Interface FastEthernet0/0, changed
state to administratively down
*Sep 10 13:40:250.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/0, changed state to down
Pour vrifier si toutes les interfaces inactives de R1 ont bien t dsactives, utilisez la commande
show ip interface brief. Les interfaces dsactives manuellement sont rpertories comme
tant dsactives sur le plan administratif.
R1#sh ip interface brief
Interface
IP-Address
FastEthernet0/0
unassigned
FastEthernet0/1
192.168.10.1
Serial0/0/0
10.1.0.1
Serial0/0/1
unassigned
OK?
YES
YES
YES
YES
Method
unset
manual
manual
unset
Status
Protocol
up
up
up
up
tape 2 : dsactivation des services globaux inutiliss

De nombreux services ne sont pas requis dans la plupart des rseaux modernes. Si les services inutiliss
restent activs, les ports restent ouverts et peuvent alors tre utiliss pour compromettre un rseau.
Dsactivez tous les services inutiliss sur R1.
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
service pad
service finger
service udp-small-server
service tcp-small-server
ip bootp server
ip http server
ip finger
ip source-route
ip gratuitous-arps
cdp run
Page 12 sur 50
CCNA Exploration
tape 3 : dsactivation des services dinterface inutiliss

Les commandes ci-aprs sont saisies au niveau de linterface et doivent tre appliques chaque
interface sur R1.
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
ip redirects
ip proxy-arp
ip unreachables
ip directed-broadcast
ip mask-reply
mop enabled
Quel type dattaque la dsactivation des commandes IP redirects, IP unreachables et IP directed

broadcasts peut-elle empcher ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Les commandes IP redirects, IP unreachables et IP directed broadcasts sont utilises dans la protection
contre les attaques de reconnaissance. En envoyant des requtes ping un grand nombre dadresses,
un pirate peut obtenir des informations sur la structure dun rseau. La dsactivation de ces services
permet de restreindre les informations obtenues par des actions de ce type.
tape 4 : utilisation de la fonction AutoSecure pour scuriser un routeur Cisco
laide dune seule commande en mode CLI (Interface de ligne de commande), la fonction AutoSecure
vous permet de dsactiver les services IP communs pouvant tre exploits par des attaques rseau et
dactiver des fonctions et des services IP pouvant tre utiles dans la protection dun rseau lors dune
attaque. La fonction AutoSecure simplifie la configuration de la scurit dun routeur et renforce la
configuration de ce mme routeur.
Elle vous permet dappliquer plus rapidement les mmes fonctions de scurit que celles que vous venez
dappliquer (sauf pour la scurisation du protocole RIP) un routeur. Comme vous avez dj scuris
R1, utilisez la commande auto secure sur R3.
R3#auto secure
--- AutoSecure Configuration --*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1
Page 13 sur 50
CCNA Exploration
Interface
IP-Address
OK? Method
FastEthernet0/0
unassigned
YES unset
FastEthernet0/1
192.168.30.1
YES manual
Serial0/0/0
unassigned
YES manual
Serial0/0/1
10.2.2.2
YES manual
Enter the interface name that is facing the internet:
Securing Management plane services...
Status
down
up
down
up
Serial0/0/1
Protocol
down
up
down
up
Disabling service finger

Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Enable secret is either not configured or
Is the same as enable password
Enter the new enable password: ciscoccna
Confirm the enable password: ciscoccna
Enter the new enable password: ccnacisco
Confirm the enable password: ccnacisco
Configuration of local user database
Enter the username: ccna
Enter the password: ciscoccna
Confirm the password: ciscoccna
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 300
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 120
Configure SSH server? Yes
Enter domain-name: cisco.com
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Page 14 sur 50
CCNA Exploration
Securing Forwarding plane services...

Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected to internet
Configure CBAC firewall feature: no
Tcp intercept feature is used prevent tcp syn attack
On the servers in the network. Create autosec_tcp_intercept_list
To form the list of servers to which the tcp traffic is to be observed
Enable TCP intercept feature: yes
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
security passwords min-length 6
security authentication failure rate 10 log
enable password 7 070C285F4D061A061913
username ccna password 7 045802150C2E4F4D0718
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
exec-timeout 10 0
line vty 0 4
transport input telnet
line tty 1
exec-timeout 15 0
line tty 192
exec-timeout 15 0
login block-for 300 attempts 5 within 120
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
Page 15 sur 50
CCNA Exploration
logging trap debugging

service sequence-numbers
logging console critical
logging buffered
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
ip cef
access-list 100 permit udp any any eq bootpc
ip verify unicast source reachable-via rx allow-default 100
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept drop-mode random
ip tcp intercept watch-timeout 15
ip tcp intercept connection-timeout 3600
ip tcp intercept max-incomplete low 450
ip tcp intercept max-incomplete high 550
!
end
Apply this configuration to running-config? [yes]:yes
Page 16 sur 50
CCNA Exploration
The name for the keys will be: R3.cisco.com

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R3#
000045: *Nov 16 15:39:10.991 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
Comme vous pouvez le constater, la fonction AutoSecure permet une configuration plus rapide quune
configuration ligne par ligne. Toutefois, la configuration manuelle prsente galement des avantages,
que nous aborderons dans les travaux pratiques relatifs au dpannage. Lorsque vous utilisez la fonction
AutoSecure, il se peut que vous dsactiviez un service dont vous avez besoin. Soyez toujours trs
prudent et dterminez soigneusement les services dont vous avez besoin avant dutiliser AutoSecure.
Tche 7 : gestion de Cisco IOS et des fichiers de configuration

tape 1 : affichage des fichiers IOS
Cisco IOS est le logiciel qui permet aux routeurs de fonctionner. Il se peut que votre routeur dispose
de suffisamment de mmoire pour stocker plusieurs images Cisco IOS. Il est important de savoir quels
fichiers sont stocks sur votre routeur.
Excutez la commande show flash pour afficher le contenu de la mmoire flash de votre routeur.
Attention : soyez trs prudent lorsque vous excutez des commandes impliquant la mmoire flash.
Une erreur dans la saisie dune commande peut entraner la suppression de limage Cisco IOS.
R2#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
-----date/time-----May 05 2007 21:25:14

May 05 2007 21:40:28
May 05 2007 21:41:02
May 05 2007 21:41:24
May 05 2007 21:41:48
path
+00:00
+00:00
+00:00
+00:00
+00:00
c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
8679424 bytes available (23252992 bytes used)

En parcourant cette liste, vous pouvez dj dterminer les lments suivants :
Limage est destine un routeur 1841 (c1841-ipbase-mz.124-1c.bin).
Le routeur utilise une image de base IP (c1841-ipbase-mz.124-1c.bin).
La version du logiciel Cisco IOS est 12.4(1c) (c1841-ipbase-mz.124-1c.bin).
SDM est install sur ce priphrique (sdmconfig-18xx.cfg, sdm.tar).
Vous pouvez utiliser la commande dir all pour afficher tous les fichiers sur le routeur.
R2#dir all
Directory of archive:/
No files in directory
No space information available
Directory of system:/
3
1
dr-x
-rw-
0
979
<no date>
<no date>
memory
running-config
Page 17 sur 50
CCNA Exploration
dr-x
<no date>
vfiles

Directory of nvram:/
189
190
191
1
-rw----rw-rw-
979
5
979
0
<no
<no
<no
<no
date>
date>
date>
date>
startup-config
private-config
underlying-config
ifIndex-table
196600 bytes total (194540 bytes free)

Directory of flash:/
1 -rw- 13937472
2 -rw1821
3 -rw- 4734464
4 -rw833024
5 -rw- 1052160
6 -rw1038
7 -rw102400
8 -rw491213
9 rw398305
10 -rw- 1684577
k9.pkg
May
May
May
May
May
May
May
May
May
May
05
05
05
05
05
05
05
05
05
05
2007
2007
2007
2007
2007
2007
2007
2007
2007
2007
20:08:50
20:25:00
20:25:38
20:26:02
20:26:30
20:26:56
20:27:20
20:27:50
20:29:08
20:28:32
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
sslclient-win-1.1.0.154.pkg
securedesktop-ios-3.1.1.27-
31932416 bytes total (8679424 bytes free)

tape 2 : transfert des fichiers via le protocole TFTP
Le protocole TFTP est utilis lors de larchivage et de la mise jour du logiciel Cisco IOS dun
priphrique. Cependant, dans ces travaux pratiques, nous nutilisons pas des fichiers Cisco IOS rels
car toute erreur commise lors de la saisie dune commande peut entraner la suppression de limage
Cisco IOS du priphrique. la fin de cette section, vous trouverez un exemple de transfert TFTP de
fichiers Cisco IOS.
Pourquoi est-il important de disposer dune version actualise du logiciel Cisco IOS ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
La mise jour du logiciel peut permettre de corriger un bogue ou de remplacer une version qui nest plus
prise en charge. Une version mise jour permet de garantir que les derniers correctifs de scurit sont
inclus dans le logiciel Cisco IOS excut.
Lors dun transfert de fichiers via TFTP, il est important de vrifier la communication entre le serveur
TFTP et le routeur. Pour ce faire, excutez une requte ping entre ces deux priphriques.
Pour commencer le transfert du logiciel Cisco IOS, crez un fichier nomm test sur le serveur TFTP,
dans le dossier racine TFTP. Ce fichier peut tre vide, car cette tape sert uniquement illustrer les
tapes effectues. Chaque programme TFTP stocke les fichiers dans un emplacement diffrent.
Consultez le fichier daide du serveur TFTP pour dterminer le dossier racine.
partir de R1, procdez lextraction du fichier et enregistrez-le dans la mmoire flash.
Page 18 sur 50
CCNA Exploration
R2#copy tftp flash

Address or name of remote host []? 192.168.20.254 (adresse IP du serveur
TFTP)
Source filename []? Test (nom du fichier que vous avez cr et enregistr sur
le serveur TFTP)
Destination filename [test]? test-server (nom arbitrairement attribu au
fichier lors de son enregistrement sur le routeur)
Accessing tftp://192.168.20.254/test...
Loading test from 192.168.20.254 (via FastEthernet0/1): !
[OK - 1192 bytes]
1192 bytes copied in 0.424 secs (2811 bytes/sec)
Vrifiez lexistence du fichier dans la mmoire flash laide de la commande show flash.
R2#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
11
1192
-----date/time-----May 05 2007 21:13:20

May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
Sep 12 2007 07:38:18
path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
securedesktop-ios-3.1.1.27-k9.pkg
test-server

Les routeurs peuvent galement agir comme des serveurs TFTP. Cela peut tre utile si un priphrique
a besoin dune image et que lun de vos priphriques utilise dj cette image. Configurons R2 en tant
que serveur TFTP de R1. Notez que les images Cisco IOS sont spcifiques aux plates-formes de routeur
et aux besoins en matire de mmoire. Soyez prudent lorsque vous transfrez une image Cisco IOS dun
routeur lautre.
La syntaxe de commande est la suivante : tftp-server nvram: [nomfichier1 [alias nomfichier2]
La commande ci-aprs permet de configurer R2 en tant que serveur TFTP. R2 envoie son fichier de
configuration de dmarrage aux priphriques qui le demandent, via TFTP (nous utilisons la configuration
de dmarrage pour une question de simplicit). Le mot-cl alias permet aux priphriques de demander
le fichier en utilisant lalias test au lieu du nom de fichier complet.
R2(config)#tftp-server nvram:startup-config alias test
prsent, nous pouvons demander le fichier partir de R2 en utilisant R1.
R1#copy tftp flash
Address or name of remote host []? 10.1.1.2
Source filename []? test
Destination filename []? test-router
Accessing tftp://10.1.1.2/test...
Loading test from 10.1.1.2 (via Serial0/0/0): !
[OK - 1192 bytes]
Page 19 sur 50
CCNA Exploration
Vrifiez une nouvelle fois que le fichier test a t correctement copi laide de la commande show flash.
R1#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
11
1192
12
1192
-----date/time-----May 05 2007 21:13:20

May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
Sep 12 2007 07:38:18
Sep 12 2007 07:51:04
path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
test-server
test-router

prsent, supprimez les fichiers inutiles de la mmoire flash de R1, pour viter dutiliser trop despace
mmoire. Soyez particulirement prudent lorsque vous effectuez cette opration ! La suppression
accidentelle de la mmoire flash vous obligerait rinstaller lensemble de limage IOS du routeur. Si le
routeur vous invite supprimer la mmoire flash, via erase flash, cela indique quil se passe quelque
chose danormal. Il est extrmement rare de devoir supprimer l'ensemble de la mmoire flash. Le seul
cas lgitime o cela peut se produire est lors de la mise niveau du systme IOS vers une grande image
IOS. Si linvite erase flash saffiche comme dans lexemple, ARRTEZ IMMDIATEMENT. Ne validez
PAS. Demandez IMMDIATEMENT laide de votre formateur.
Erase flash: ?[confirm] no
R1#delete flash:test-server
Delete filename [test-server]?
Delete flash:test? [confirm]
R1#delete flash:test-router
Delete filename [test-router]?
Delete flash:test-router? [confirm]
Vrifiez que les fichiers ont t supprims laide de la commande show flash. Ceci est seulement un
exemple. Neffectuez pas cette tche.
R1#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
-----date/time-----May 05 2007 21:13:20

May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
Page 20 sur 50
CCNA Exploration
Voici un exemple de transfert TFTP dun fichier dimage Cisco IOS.

Neffectuez PAS cet exemple sur vos routeurs. Lisez-le simplement.
R1#copy tftp flash
Source filename []? c1841-ipbase-mz.124-1c.bin
Destination filename []? flash:c1841-ipbase-mz.124-1c.bin
Accessing tftp://10.1.1.2/c1841-ipbase-mz.124-1c.bin...
Loading c1841-ipbase-mz.124-1c.bin from 10.1.1.2 (via Serial0/0/0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<rsultat omis>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 13937472 bytes]
tape 3 : restauration dun mot de passe laide de ROMmon
Si, pour une raison quelconque, vous ne parvenez plus accder un priphrique car vous ignorez,
avez perdu ou oubli le mot de passe, vous pouvez encore y accder en modifiant le registre de
configuration. Le registre de configuration indique au routeur la configuration charger lors du
dmarrage. Dans le registre de configuration, vous pouvez demander au routeur de dmarrer partir
dune configuration vierge, non protge par un mot de passe.
Pour modifier le registre de configuration, la premire tape consiste afficher le paramtre actuel,
laide de la commande show version. Ces oprations sont excutes sur le routeur R3.
R3#show version
Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), RELEASE
SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 25-Oct-05 17:10 by evmiller
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
R3 uptime is 25 minutes
System returned to ROM by reload at 08:56:50 UTC Wed Sep 12 2007
System image file is "flash:c1841-ipbase-mz.124-1c.bin"
Cisco 1841 (revision 7.0) with 114688K/16384K bytes of memory.
Processor board ID FTX1118X0BN
2 FastEthernet interfaces
2 Low-speed serial(sync/async) interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
La seconde tape consiste recharger le routeur et appuyer sur la touche Pause, lors du dmarrage.
Lemplacement de la touche Pause est diffrente dun ordinateur lautre. En gnral, elle se trouve
dans le coin suprieur droit du clavier. Une pause permet au priphrique de basculer en mode appel
ROMmon. Dans ce mode, il nest pas ncessaire que le priphrique ait accs un fichier dimage
Cisco IOS.
Page 21 sur 50
CCNA Exploration
R3#reload
Proceed with reload? [confirm]
*Sep 12 08:27:280.670: %SYS-5-RELOAD: Reload requested by console. Reload
Reason: Reload command.
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
Readonly ROMMON initialized
rommon 1 >
Modifiez la valeur du registre de configuration par une valeur permettant de charger la configuration
initiale du routeur. Cette configuration ne dispose pas de mot de passe configur, mais elle prend en
charge les commandes Cisco IOS. Dfinissez la valeur du registre de configuration sur 0x2142.
rommon 1 > confreg 0x2142
La valeur du registre tant modifie, vous pouvez dmarrer le priphrique laide de la commande
reset.
rommon 2 > reset
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0xd4a9a0
Self decompressing the image :
###########################################################
#############################################################################
# [OK]
<rsultat omis>
--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
tape 4 : restauration du routeur
prsent, copiez la configuration de dmarrage vers la configuration en cours, restaurez cette
configuration, puis rtablissez le registre de configuration sa valeur par dfaut (0x2102).
Pour copier la configuration de dmarrage de la mmoire NVRAM vers la mmoire en cours, entrez la
commande copy startup-config running-config. Attention : ne saisissez pas la commande
copy running-config startup-config, car vous risquez de supprimer la configuration de
dmarrage.
Router#copy startup-config running-config
Destination filename [running-config]? {enter}
Page 22 sur 50
CCNA Exploration

R3#:show running-config
<rsultat omis>
enable secret 5 $1$31P/$cyPgoxc0R9y93Ps/N3/kg.
!
<rsultat omis>
!
key chain RIP_KEY
key 1
key-string 7 01100F175804
username ccna password 7 094F471A1A0A1411050D
!
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
<rsultat omis>
!
line con 0
exec-timeout 5 0
logging synchronous
login authentication
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
Page 23 sur 50
CCNA Exploration
Dans cette configuration, la commande shutdown saffiche sur toutes les interfaces, car ces interfaces
sont toutes fermes. Le plus important est que vous puissiez voir les mots de passe (enable, enable
secret, VTY, console) au format chiffr ou non. Vous pouvez rutiliser les mots de passe non chiffrs.
Vous devez remplacer les mots de passe chiffrs par un nouveau mot de passe.
R3(config)#enable secret ciscoccna
Excutez la commande no shutdown sur chaque interface que vous souhaitez utiliser.
R3(config)#interface FastEthernet0/1
R3(config)#interface Serial0/0/0
Vous pouvez excuter une commande show ip interface brief afin de confirmer que la
configuration de votre interface est correcte. Chacune des interfaces que vous souhaitez utiliser doit
afficher up .
Interface
IP-Address
FastEthernet0/0
unassigned
FastEthernet0/1
192.168.30.1
Serial0/0/0
10.2.2.2
Serial0/0/1
unassigned
OK?
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
Status
Protocol
up
up
up
up
Entrez la commande config-register valeur du registre de configuration. La variable valeur du registre

de configuration peut tre la valeur que vous avez note ltape 3 ou 0x2102. Enregistrez la configuration
en cours.
R3(config)#config-register 0x2102
R3(config)#end
[OK]
Quels sont les inconvnients dune rcupration de mot de passe ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Tout dabord, si vos mots de passe sont chiffrs, vous ne pouvez ni les visualiser ni les rcuprer.
Cest la raison pour laquelle vous devez toujours disposer dune sauvegarde de toutes les configurations
en cours, pour les priphriques dun rseau de production. Il existe un second inconvnient : toute
personne ayant physiquement accs un priphrique peut effectuer ces tapes et en prendre le
contrle. Par consquent, la scurit physique des priphriques rseau est primordiale.
Configurations pour la partie 1

R1
!
no service pad
service timestamps debug datetime msec
Page 24 sur 50
CCNA Exploration
service timestamps log datetime msec

!
hostname R1
!
enable secret 5 $1$0Ch/$fp.BLSjtqOwxL7VyBwURB1
!
aaa new-model
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 10
no ip source-route
!
no ip bootp server
no ip domain lookup
!
!
key chain RIP_KEY
key 1
key-string 7 05080F1C2243
!
username ccna password 7 070C285F4D061A061913
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
Page 25 sur 50
CCNA Exploration

clock rate 64000
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
no ip http server
no ip http secure-server
!
logging trap warnings
logging 192.168.10.10
no cdp run
!
full extent of the law.^C
!
line con 0
exec-timeout 5 0
line aux 0
line vty 0 4
exec-timeout 5 0
!
scheduler allocate 20000 1000
!
end
R2
hostname R2
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
no ip address
shutdown
Page 26 sur 50
CCNA Exploration
duplex auto
speed auto
!
ip address 192.168.20.1 255.255.255.0
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
!
ip address 10.2.2.1 255.255.255.252
clock rate 115200
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
network 209.165.200.0
no auto-summary
!
no ip http server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
R3
no service pad
!
hostname R3
!
Page 27 sur 50
CCNA Exploration
logging buffered 4096 debugging

enable secret 5 $1$ZT.e$0rWCK4DgdK5sz7tThM16S0
enable password 7 141411050D0723382727
!
aaa new-model
!
!
!
no ip source-route
!
no ip bootp server
no ip domain lookup
ip domain name cisco.com
ip ssh time-out 60
ip ssh authentication-retries 2
!
key chain RIP_KEY
key 1
!
archive
log config
logging enable
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
Page 28 sur 50
CCNA Exploration
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
no ip http server
!
no cdp run
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to
!
line con 0
exec-timeout 5 0
line aux 0
Page 29 sur 50
CCNA Exploration
exec-timeout 15 0
line vty 0 4
transport input telnet ssh
!
!
end
Tche 8 : utilisation de SDM pour la scurisation dun routeur

Si SDM nest pas install sur les routeurs, reportez-vous lannexe Installation de SDM , qui contient les
instructions relatives son installation. Ces dernires ne figurent pas dans la version destine aux participants.
Au cours de cette tche, vous allez utiliser SDM (Security Device Manager) et linterface utilisateur
graphique pour scuriser le routeur R2. Lutilisation de SDM est plus rapide que la saisie de chaque
commande et vous permet davantage de contrle que la fonction AutoSecure.
Vrifiez si SDM est install sur le routeur :
R2#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
11
2261
12
2506
-----date/time-----Sep 12 2007 08:31:42

May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
Sep 25 2007 23:20:16
Sep 26 2007 17:11:58
path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
Tr(RIP)
save.txt
Si SDM Nest PAS install sur le routeur, vous devez linstaller pour continuer la procdure.
Pour ce faire, demandez les instructions votre formateur.
tape 1 : connexion R2 via le serveur TFTP
Crez un nom dutilisateur et un mot de passe sur R2.
Activez le serveur scuris http sur R2, puis connectez-vous R2 laide dun navigateur Web sur
le serveur TFTP.
R2(config)#ip http secure-server
R2(config)#
*Nov 16 16:01:07.763: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Nov 16 16:01:08.731: %PKI-4-NOAUTOSAVE: Configuration was modified.
Issue "write memory" to save new certificate
R2(config)#end
R2#copy run start
Page 30 sur 50
CCNA Exploration
partir du serveur TFTP, ouvrez un navigateur Web et accdez https://192.168.20.1/. Connectez-vous

avec le nom dutilisateur et le mot de passe crs prcdemment :
Nom dutilisateur : ccna
Mot de passe : ciscoccna
Slectionnez lapplication Cisco Router and Security Device Manager.
Ouvrez Internet Explorer et entrez ladresse IP de R2 dans la barre dadresse. Une nouvelle fentre
souvre. Assurez-vous que tous les bloqueurs de fentre publicitaire intempestive sont dsactivs sur
votre navigateur. Assurez-vous galement que JAVA est bien install et mis jour.
Une fois le chargement effectu, une nouvelle fentre SDM souvre.
Page 31 sur 50
CCNA Exploration
tape 2 : accs la fonction daudit de scurit

Cliquez sur le bouton Configure dans la partie suprieure gauche de la fentre.
Cliquez ensuite sur Security Audit, dans le panneau de gauche.
Une autre fentre souvre.

tape 3 : excution dun audit de scurit
Une brve prsentation de la fonction daudit de scurit saffiche. Cliquez sur Next pour ouvrir la fentre
de configuration de linterface de la fonction daudit de scurit, Security Audit Interface configuration.
Page 32 sur 50
CCNA Exploration
Une interface doit tre dfinie sur Outside (Untrusted) (non fiable) si vous ne pouvez garantir la lgitimit
du trafic issu de cette interface. Dans cet exemple, les interfaces FastEthernet0/1 et Serial0/1/0 ne sont
pas fiables. Dune part, Serial0/1/0 est directement connect Internet. Dautre part, Fastethernet0/1
est connect la partie accs au rseau. Un trafic illgitime peut donc sinfiltrer.
Aprs avoir dfini les interfaces sur Outside (extrieure) et Inside (intrieure), cliquez sur Next.
Une nouvelle fentre souvre, indiquant que SDM est en train deffectuer un audit de scurit.
Comme vous pouvez le constater, la configuration par dfaut nest pas scurise. Cliquez sur le bouton
Close pour continuer.
Page 33 sur 50
CCNA Exploration
tape 4 : application des paramtres au routeur
Cliquez sur le bouton Fix All pour appliquer toutes les corrections de scurit proposes. Ensuite,
cliquez sur le bouton Next.
Configurez un message de bannire utiliser comme message du jour pour le routeur, puis cliquez
sur Next.
Page 34 sur 50
CCNA Exploration
Dterminez ensuite le niveau de gravit des journaux de droutement que le routeur devra envoyer au
serveur syslog. Dans ce scnario, le niveau de gravit est dfini sur le dbogage. Cliquez sur Next pour
afficher un rcapitulatif des modifications sur le point dtre apportes au routeur.
tape 5 : validation de la configuration du routeur
Aprs avoir vrifi les modifications sur le point dtre effectues, cliquez sur Finish.
Page 35 sur 50
CCNA Exploration
Cliquez sur OK pour quitter SDM.

R1
!
no service pad
!
hostname R1
!
enable secret 5 $1$0Ch/$fp.BLSjtqOwxL7VyBwURB1
!
aaa new-model
!
!
!
resource policy
!
Page 36 sur 50
CCNA Exploration
memory-size iomem 10
no ip source-route
!
no ip bootp server
no ip domain lookup
!
!
key chain RIP_KEY
key 1
!
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clock rate 64000
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
Page 37 sur 50
CCNA Exploration
no auto-summary
!
no ip http server
!
logging 192.168.10.10
no cdp run
!
!
line con 0
exec-timeout 5 0
line aux 0
line vty 0 4
exec-timeout 5 0
!
!
end
R2
no service pad
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R2
no ip domain-lookup
banner motd Ûnauthorized access strictly prohibited and prosecuted to the
full extent of the law.^
!
enable secret ciscoccna
!
aaa new-model
!
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
Page 38 sur 50
CCNA Exploration
no ip finger
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no shutdown
!
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
!
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 128000
no shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
network 209.165.200.224
no auto-summary
!
no ip http server
Page 39 sur 50
CCNA Exploration
!
login block-for 300 attempt 2 within 120
!
logging 192.168.10.150
no cdp run
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
R3
no service pad
!
hostname R3
!
logging buffered 4096 debugging
enable secret 5 $1$ZT.e$0rWCK4DgdK5sz7tThM16S0
enable password 7 141411050D0723382727
!
aaa new-model
!
!
!
no ip source-route
Page 40 sur 50
CCNA Exploration

!
no ip bootp server
no ip domain lookup
ip domain name cisco.com
ip ssh time-out 60
ip ssh authentication-retries 2
!
key chain RIP_KEY
key 1
!
archive
log config
logging enable
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
!
Page 41 sur 50
CCNA Exploration
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
no ip http server
!
no cdp run
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to
!
line con 0
exec-timeout 5 0
line aux 0
exec-timeout 15 0
line vty 0 4
transport input telnet ssh
!
!
end

Page 42 sur 50
CCNA Exploration
Annexe : installation de SDM

Scnario
Au cours de ces travaux pratiques, vous allez prparer laccs au routeur via Cisco Security
Device Manager (SDM), laide de commandes de base, afin dtablir une connectivit entre
SDM et le routeur. Vous installerez ensuite lapplication SDM en local sur votre PC hte. Enfin,
vous installerez SDM dans la mmoire flash dun routeur.
tape 1 : prparation
Pour commencer ces travaux pratiques, supprimez toutes les configurations existantes et
rechargez les priphriques. Une fois les priphriques rechargs, dfinissez les noms d'hte
appropris. Vrifiez si le commutateur est correctement configur, de sorte que le routeur et
lhte soient situs sur le mme rseau local virtuel. Par dfaut, tous les ports du commutateur
sont assigns au rseau local virtuel VLAN 1.
Assurez-vous que votre PC dispose de la configuration minimale requise pour la prise en charge
de SDM. SDM peut tre install sur un PC excutant lun des systmes dexploitation suivants :
Microsoft Windows ME
Microsoft Windows NT 4.0 Workstation avec Service Pack 4
Microsoft Windows XP Professionnel
Microsoft Windows 2003 Server (Standard Edition)
Microsoft Windows 2000 Professionnel avec Service Pack 4
Remarque : Windows 2000 Advanced Server nest pas pris en charge.

En outre, un navigateur Web utilisant SUN JRE version 1.4 ou ultrieure, ou un navigateur
ActiveX, doit tre activ.
tape 2 : prparation du routeur pour SDM

Pour commencer, crez, sur le routeur, un nom dutilisateur et un mot de passe que vous
utiliserez pour SDM. Cette connexion doit bnficier dun niveau de privilge dfini sur 15,
afin de permettre SDM de modifier des paramtres de configuration sur le routeur.
R1(config)# username ciscosdm privilege 15 password 0 ciscosdm
Laccs HTTP au routeur doit tre configur pour permettre lexcution de SDM. Si votre image
le prend en charge (vous devez disposer dune image IOS qui prend en charge la fonction de
chiffrement), vous devez galement activer un accs HTTPS scuris, laide de la commande
ip http secure-server. Lactivation du protocole HTTPS se rpercute sur les cls de chiffrement
Page 43 sur 50
CCNA Exploration
RSA. Cela est normal. Assurez-vous galement que le serveur HTTP utilise la base donnes
locale lors du processus dauthentification.
R1(config)# ip http server
R1(config)# ip http secure-server
*Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified.
Issue "write memory" to save new certificate
R1(config)# ip http authentication local
Pour terminer, configurez les lignes de terminal virtuel du routeur afin de procder
lauthentification par lintermdiaire de la base de donnes dauthentification locale.
Autorisez lentre de lignes de terminal virtuel via les protocoles Telnet et SSH.
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input telnet ssh
tape 3 : configuration de ladressage

Configurez linterface Fast Ethernet sur le routeur, avec ladresse IP indique sur le diagramme.
Si vous avez dj configur ladresse IP adquate, ignorez cette tape.
R1(config)# interface fastethernet0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
Attribuez ensuite une adresse IP au PC. Si le PC dispose dj dune adresse IP dans le mme
sous-rseau que le routeur, vous pouvez ignorer cette tape.
Excutez une requte ping sur linterface Ethernet de R1 depuis le PC. Vous devez recevoir
des rponses. Dans le cas contraire, vrifiez le rseau local virtuel des ports de commutation,
ainsi que ladresse IP et le masque de sous-rseau de chaque priphrique connect au
commutateur.
tape 4 : extraction de SDM sur lhte

prsent, le routeur est configur pour tre accessible partir de SDM et la connectivit est
tablie entre le routeur et le PC. Vous pouvez ds lors configurer le routeur laide de SDM.
Vous devez commencer par lextraction du fichier zip de SDM vers un rpertoire de votre
disque dur. Dans cet exemple, nous utilisons le rpertoire C:\sdm\ . Vous pouvez bien
entendu utiliser le chemin de votre choix.
Le logiciel SDM est quasiment prt pour la configuration du routeur. La dernire tape consiste
linstaller sur le PC.
tape 5 : installation de lapplication SDM sur le PC

Double-cliquez sur le programme excutable setup.exe pour ouvrir lassistant dinstallation.
Une fois lassistant affich, cliquez sur Next. Acceptez les termes du contrat de licence, puis
cliquez sur Next.
Page 44 sur 50
CCNA Exploration
Sur lcran suivant, choisissez un emplacement dinstallation de SDM parmi les trois
emplacements proposs.
Vous pouvez installer lapplication SDM sur lordinateur, sans la placer dans la mmoire flash
du routeur, vous pouvez l'installer sur le routeur sans affecter lordinateur ou vous pouvez
linstaller la fois sur le routeur et sur l'ordinateur. Ces diffrents types dinstallation sont trs
similaires. Si vous ne souhaitez pas installer SDM sur votre ordinateur, passez directement
ltape 7.
Sinon, cliquez sur This Computer, puis sur Next. Utilisez le rpertoire de destination par
dfaut, puis cliquez nouveau sur Next.
Cliquez sur Install pour dmarrer linstallation.
Le logiciel procde linstallation, puis une dernire bote de dialogue vous invite lancer SDM.
Activez la case cocher Launch Cisco SDM, puis cliquez sur Finish.
tape 6 : excution de SDM depuis l'ordinateur

Si vous avez activ loption Launch Cisco SDM lors de ltape 5, lapplication SDM doit se lancer
depuis le programme dinstallation. Dans le cas contraire, ou si vous excutez SDM sans lavoir
install, cliquez sur licne Cisco SDM sur le bureau. La bote de dialogue de dmarrage de
lapplication SDM saffiche. Renseignez ladresse IP du routeur, indique dans le diagramme,
en tant quadresse IP du priphrique. Si vous avez activ le serveur scuris HTTP lors de
ltape 2, activez la case cocher This device has HTTPS enabled and I want to use it.
Page 45 sur 50
CCNA Exploration
Cliquez sur Yes lorsque le message davertissement de scurit saffiche. Sachez quau dbut,
Internet Explorer peut bloquer lapplication SDM. Vous devez alors lautoriser ou modifier les
paramtres de scurit dInternet Explorer pour pouvoir lutiliser. Selon la version dInternet
Explorer que vous utilisez, lun de ces paramtres est tout particulirement important pour
excuter SDM en local. Ce paramtre se trouve dans le menu Outils, sous Options Internet.
Cliquez sur longlet Avanc, puis sous len-tte Scurit, activez la case cocher Autoriser le
contenu actif sexcuter dans les fichiers de la zone Ordinateur local.
Entrez le nom dutilisateur et le mot de passe que vous avez crs auparavant.
Vous pouvez tre amen accepter un certificat provenant de ce routeur. Pour continuer,
acceptez le certificat. Entrez ensuite le nom dutilisateur et le mot de passe du routeur, puis
cliquez sur Yes.
Page 46 sur 50
CCNA Exploration
SDM procde la lecture de la configuration partir du routeur. Si la configuration ne

prsente aucune erreur, vous pourrez accder au tableau de bord de lapplication de SDM. Si
la configuration affiche vous semble correcte, cela signifie que vous avez russi configurer
SDM et vous y connecter. Les informations affiches peuvent varier en fonction de la version
de SDM utilise.
tape 7 : installation de SDM sur le routeur

Effectuez les instructions de ltape 6 jusqu ce que linvite prsente dans la figure suivante
saffiche. Lorsque cette fentre saffiche, cliquez sur Cisco Router pour installer SDM dans la
mmoire flash du routeur. Si vous ne souhaitez pas installer SDM dans la mmoire flash du
routeur, ou si lespace disponible en mmoire flash est insuffisant, nessayez pas dinstaller
SDM sur le routeur.
Entrez les informations relatives au routeur afin de permettre au programme dinstallation
dinstaller SDM sur le routeur et dy accder distance.
Page 47 sur 50
CCNA Exploration
Cisco SDM se connecte au routeur. Certains messages consigns dans la console peuvent
safficher. Cela est normal.
Jan 14 16:15:26.367: %SYS-5-CONFIG_I: Configured from console by
ciscosdm on vty0 (192.168.10.50)
Choisissez Typical comme type dinstallation, puis cliquez sur Next. Conservez les options
dinstallation par dfaut, puis cliquez sur Next.
Page 48 sur 50
CCNA Exploration
Cliquez enfin sur Install pour lancer le processus dinstallation. Au cours de linstallation,
dautres messages peuvent tre consigns dans la console. Le processus dinstallation peut
prendre un certain temps (observez les horodatages affichs sur la sortie de la console pour
estimer la dure du processus sur un Cisco 2811). La dure du processus varie selon le
modle du routeur.
Jan 14 16:19:40.795: %SYS-5-CONFIG_I: Configured from console by
ciscosdm on vty0 (192.168.10.50)
la fin de linstallation, vous tes invit lancer SDM sur le routeur. Avant deffectuer cette
opration, accdez la console et excutez la commande show flash:. Notez tous les fichiers
stocks par SDM dans la mmoire flash. Avant linstallation, le premier fichier, cest--dire
limage IOS, tait le seul rpertori.
R1# show flash:
CompactFlash directory:
File Length
Name/status
1
38523272 c2800nm-advipservicesk9-mz.124-9.T1.bin
2
1038
home.shtml
3
1823
sdmconfig-2811.cfg
4
102400
home.tar
5
491213
128MB.sdf
6
1053184 common.tar
7
4753408 sdm.tar
8
1684577 securedesktop-ios-3.1.1.27-k9.pkg
9
398305
10
839680
es.tar
[47849552 bytes used, 16375724 available, 64225276 total]
62720K bytes of ATA CompactFlash (Read/Write)
Page 49 sur 50
CCNA Exploration
tape 8 : excution de lapplication SDM partir du routeur

Ouvrez Internet Explorer et accdez ladresse URL https://<IP address>/ ou http://<IP
address>/ , selon que vous avez ou non activ le serveur scuris HTTP au cours de
ltape 2. Lorsque vous tes invit accepter le certificat, cliquez sur Yes.
Ignorez les avertissements lis la scurit et cliquez sur Run.
Entrez le nom dutilisateur et le mot de passe que vous avez configurs au cours de ltape 2.
SDM procde la lecture de la configuration partir du routeur.

Une fois le chargement de la configuration actuelle du routeur termin, la page daccueil de
Cisco SDM saffiche. Si la configuration affiche vous semble correcte, cela signifie que vous
avez russi configurer SDM et vous y connecter. Les informations affiches peuvent tre
diffrentes de celles qui figurent dans lillustration suivante, selon le numro de modle du
routeur, la version de lIOS, etc.
Page 50 sur 50
Travaux pratiques 4.6.2 : configuration avance de la scurit

Table dadressage
Priphrique
R1
R2
R3
Comm1
Comm3
PC1
PC3
Serveur TFTP
Interface
Adresse IP
Fa0/1
S0/0/1
Fa0/1
S0/0/1
Lo0
Fa0/1
S0/0/1
S0/0/0
VLAN10
VLAN30
Carte rseau
Carte rseau
Carte rseau
192.168.10.1
10.1.1.1
192.168.20.1
10.2.2.1
209.165.200.225
192.168.30.1
10.2.2.2
10.1.1.2
192.168.10.2
192.168.30.2
192.168.10.10
192.168.30.10
192.168.20.254
Masque de
sous-rseau
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.224
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0

N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
192.168.10.1
192.168.30.1
192.168.20.1
Page 1 sur 20
CCNA Exploration

par dfaut
Configurer la scurit de base des ports
Dsactiver les services et interfaces Cisco inutiliss
Protger les rseaux d'entreprise contre des principales attaques externes et internes
Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de fichiers Cisco
Configurer et utiliser Cisco SDM (Security Device Manager) pour dfinir la scurit de base
dun routeur
Scnario
Au cours de ces travaux pratiques, vous apprendrez configurer la scurit au moyen du rseau indiqu
dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques
sur la scurit de base. Essayez cependant de travailler en parfaite autonomie. Dans le cadre de cet
exercice, nactivez pas la protection par mot de passe et vitez de vous connecter aux lignes de console,
afin dviter toute dconnexion accidentelle. Vous devez toutefois scuriser la ligne de console par
dautres moyens. Dans ces travaux pratiques, le mot de passe utiliser est ciscoccna.


tape 1 : configuration des routeurs
Configurez les adresses IP sur les interfaces des routeurs R1, R2 et R3.
Activez le protocole RIPv2 sur tous les routeurs de tous les rseaux.
Crez une interface de bouclage sur R2 afin de simuler une connexion Internet.
Crez des rseaux locaux virtuels sur les commutateurs Comm1 et Comm3, puis configurez
les interfaces intgrer aux rseaux locaux virtuels.
Configurez le routeur R3 afin dassurer une connectivit scurise SDM.
Installez SDM sur PC3 ou R3, si ce nest dj fait.
Page 2 sur 20
CCNA Exploration
tape 2 : configuration des interfaces Ethernet

Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des
passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques.
tape 3 : test de la configuration du PC via lenvoi dune requte ping la passerelle par dfaut
de chaque PC et du serveur TFPT
Tche 3 : scurisation de laccs aux routeurs

tape 1 : configuration dune authentification AAA et de mots de passe scuriss l'aide d'une
base de donnes locale
Crez un mot de passe scuris pour laccs au routeur. Crez le nom dutilisateur ccna,
stocker localement sur le routeur. Configurez le routeur de manire utiliser la base de donnes
dauthentification locale. Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna.
aaa new-model
tape 2 : scurisation de la console et des lignes vty
Configurez la console, ainsi que les lignes vty, de manire refuser laccs aux utilisateurs saisissant un
mot de passe et un nom dutilisateur incorrects, et ce deux reprises en lespace de 2 minutes. Bloquez
toute tentative de connexion supplmentaire pendant 5 minutes.
line con 0
exec-timeout 5 0
line vty 0 4
tape 3 : vrification du refus des tentatives de connexion, une fois le nombre maximal de
tentatives autoris atteint
R2 :
R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
Unauthorized access strictly prohibited, violators will be prosecuted to the
full extent of the law
Username: cisco
Password:
Page 3 sur 20
CCNA Exploration
Username: cisco
Password:
[Connection to 10.1.1.1 closed by foreign host]
R2#telnet 10.1.1.1
Trying 10.1.1.1 ...
R1 :
*Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because
block period timed out at 12:40:11 UTC Mon Sep 10 2007
Tche 4 : scurisation de laccs au rseau

tape 1 : scurisation du protocole de routage RIP
Nenvoyez pas de mises jour RIP aux routeurs non tributaires du rseau (tous les routeurs non
mentionns dans ce scnario). Authentifiez les mises jour RIP et cryptez-les.
R1 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/0
!
router rip
version 2
no passive-interface s0/0/0
network 10.0.0.0
network 192.168.10.0
no auto-summary
R2 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/1
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
no auto-summary
Page 4 sur 20
CCNA Exploration
R3 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/1
!
int s0/0/0
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
tape 2 : vrification du fonctionnement du routage RIP
R1 :
R1#show ip route
route
R
C
R
R
C
192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/1

192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/1
10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/1
R2 :
R2#show ip route
route
Page 5 sur 20
CCNA Exploration
R
C
R
R
C
C
192.168.30.0/24 [120/2] via 10.2.2.2, 00:00:16, Serial0/0/1

192.168.10.0/24 [120/1] via 10.2.2.2, 00:00:13, Serial0/0/1
10.1.1.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/1
R3 :
R3#show ip route
route
R
C
R
C
C
192.168.10.0/24 [120/2] via 10.1.1.1, 00:00:16, Serial0/0/1

192.168.20.0/24 [120/1] via 10.2.2.1, 00:00:13, Serial0/0/0
Tche 5 : consignation des activits via le protocole SNMP (Simple Network

Management Protocol)
tape 1 : configuration de la connexion SNMP au serveur syslog via l'adresse 192.168.10.250
sur tous les priphriques
logging 192.168.10.250
tape 2 : consignation de tous les messages avec un niveau de gravit 4 sur le serveur syslog
Tche 6 : dsactivation des services rseau Cisco inutiliss

tape 1 : dsactivation des interfaces inutilises de tous les priphriques
R1 :
no ip address
shutdown
!
no ip address
shutdown
!
Page 6 sur 20
CCNA Exploration
no ip address
shutdown
!
no ip address
shutdown
!
R2 :
no ip address
shutdown
!
no ip address
shutdown
!
no ip address
shutdown
!
no ip address
shutdown
!
R3 :
no ip address
shutdown
!
no ip address
shutdown
!
no ip address
shutdown
!
tape 2 : dsactivation des services globaux inutiliss sur R1
no
no
no
no
no
no
no
no
no
no
no
service finger
service pad
service udp-small-servers
service tcp-small-servers
cdp run
ip bootp server
ip http server
ip finger
ip source-route
ip gratuitous-arps
cdp run
Page 7 sur 20
CCNA Exploration
tape 3 : dsactivation des services dinterface inutiliss sur R1

no ip redirects
no ip proxy-arp
no ip unreachables
no ip redirects
no ip proxy-arp
no ip unreachables
no ip redirects
no ip proxy-arp
no ip unreachables
no ip redirects
no ip proxy-arp
no ip unreachables
no ip redirects
no ip proxy-arp
no ip unreachables
no ip redirects
no ip proxy-arp
no ip unreachables
tape 4 : utilisation de la fonction AutoSecure pour scuriser R2
Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna.
R2#auto secure
--- AutoSecure Configuration --*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1
Page 8 sur 20
CCNA Exploration
Interface
IP-Address
OK? Method Status
Protocol
FastEthernet0/0
unassigned
YES manual up
up
FastEthernet0/1
192.168.30.1
YES unset down
down
Serial0/0/0
10.2.2.2
YES manual up
up
Serial0/0/1
10.2.2.2
YES manual up
up
Serial0/1/0
unassigned
YES manual down
down
Serial0/1/1
unassigned
YES unset down
down
Enter the interface name that is facing the internet: Serial0/1/0
Securing Management plane services...
Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Enter the new enable password: ciscoccna
Confirm the enable password: ciscoccna
Configuration of local user database
Enter the username: ccna
Enter the password: ciscoccna
Confirm the password: ciscoccna
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 300
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 120
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
Page 9 sur 20
CCNA Exploration
to internet
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip identd
enable password 7 070C285F4D061A061913
username ccna password 7 045802150C2E4F4D0718
aaa new-model
line con 0
exec-timeout 5 0
line aux 0
exec-timeout 10 0
line vty 0 4
line tty 1
exec-timeout 15 0
line tty 192
exec-timeout 15 0
logging buffered
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
Page 10 sur 20
CCNA Exploration
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
ip cef
!
end
Apply this configuration to running-config? [yes]:yes
Tche 7 : gestion de Cisco IOS et des fichiers de configuration

tape 1 : identification de lemplacement du fichier running-config dans la mmoire du routeur
R1#dir system:
Directory of system:/
3
1
2
dr-x
-rwdr-x
0
1232
0
<no date>
<no date>
<no date>
memory
running-config
vfiles
Page 11 sur 20
CCNA Exploration
tape 2 : transfert du fichier running-config de R1 vers R2 via le serveur TFTP

R1 :
R1(config)#tftp-server system:running-config alias run
R2 :
R2#copy tftp flash
Source filename []? run
Destination filename [test]? run
Accessing tftp://10.2.2.1/run...
[OK - 1192 bytes]
tape 3 : interruption et restauration de R1 via ROMmon
Copiez, puis collez, les commandes suivantes sur R1. Restaurez R1 ensuite, via ROMmon.
line vty 0 4
exec-timeout 0 20
line console 0
exec-timeout 0 20
end
copy run start
exit
rommon 1 > confreg 0x2142
rommon 2 > reset
R1(config)#config-register 0x2102
R1(config)#end
R2#reload
tape 4 : depuis R2, restauration de la configuration enregistre dans R1, via le serveur TFTP
tant donn que R1 et R2 ne sont pas directement connects, vous devez
configurer nouveau le protocole RIP sur R1. Toutefois, les mises jour
seront uniquement appliques R1 si vous configurez lauthentification RIP.
R2 :
R2(config)#tftp-server flash:run alias run
R1 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/1
ip address 10.1.1.2 255.255.255.0
no shut
Page 12 sur 20
CCNA Exploration
!
router rip
version 2
network 10.0.0.0
no auto-summary
R1#copy tftp nvram
Source filename []? run
Destination filename []? nvram:startup-config
Accessing tftp://10.1.1.2/run...
[OK - 1192 bytes]
tape 5 : suppression de la configuration enregistre depuis R2
R2#delete flash:run
Tche 8 : scurisation de R2 via SDM

tape 1 : connexion R2 via PC1
tape 2 : accs la fonction d'audit de scurit
tape 3 : excution dun audit de scurit
tape 4 : dfinition des paramtres appliquer au routeur
tape 5 : validation de la configuration du routeur

-----------------------------------------R1
-----------------------------------------no service pad
no service finger
!
hostname R1
!
boot-start-marker
boot-end-marker
!
Page 13 sur 20
CCNA Exploration

!
aaa new-model
!
!
!
!
resource policy
!
no mmi pvc
ip subnet-zero
no ip source-route
no ip finger
ip cef
!
!
!
!
no ip bootp server
!
!
key chain RIP_KEY
key 1
key-string cisco
!
!
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
!
no ip address
no ip redirects
Page 14 sur 20
CCNA Exploration
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
clockrate 125000
!
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
clockrate 125000
!
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
ip classless
!
no ip http server
!
!
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
Page 15 sur 20
CCNA Exploration
------------------------------------------R2
-----------------------------------------no service pad
no service finger
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
!
resource policy
!
no mmi pvc
ip subnet-zero
no ip source-route
no ip finger
ip cef
!
!
!
!
no ip bootp server
!
!
key chain RIP_KEY
key 1
key-string cisco
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
Page 16 sur 20
CCNA Exploration
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
shutdown
!
ip address 192.168.20.1 255.255.255.0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arpshutdown
duplex auto
speed auto
no shutdown
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
!
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 128000
no shutdown
!
ip address 209.165.200.224 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clockrate 2000000
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
Page 17 sur 20
CCNA Exploration
network 209.165.200.224
no auto-summary
!
ip classless
!
no ip http server
!
!
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!----------------------------------------no service pad
no service finger
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
Page 18 sur 20
CCNA Exploration

!
!
resource policy
!
no mmi pvc
ip subnet-zero
no ip source-route
no ip finger
ip cef
!
!
!
!
no ip bootp server
!
!
key chain RIP_KEY
key 1
!
!
!
no ip address
duplex auto
speed auto
shutdown
!
ip address 192.168.30.1 255.255.255.0
no shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
Page 19 sur 20
CCNA Exploration

!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
ip classless
!
no ip http server
!
!
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
login authentication
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end

Page 20 sur 20
Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Table dadressage
Priphrique
R1
R2
R3
Comm1
Comm3
PC1
PC3
Serveur TFTP
Interface
Adresse IP
Fa0/1
S0/0/1
Fa0/1
S0/0/1
Lo0
Fa0/1
S0/0/1
S0/0/0
VLAN10
VLAN30
Carte rseau
Carte rseau
Carte rseau
192.168.10.1
10.1.1.1
192.168.20.1
10.2.2.1
209.165.200.225
192.168.30.1
10.2.2.2
10.1.1.2
192.168.10.2
192.168.30.2
192.168.10.10
192.168.30.10
192.168.20.254
Masque de
sous-rseau
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.224
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Passerelle
par dfaut
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
192.168.10.1
192.168.30.1
192.168.20.1
Page 1 sur 16
CCNA Exploration
Supprimer la configuration de dmarrage et rinitialiser tous les routeurs dans leur tat par dfaut
Identifier et corriger toutes les erreurs rseau
Scnario
Votre entreprise vient dengager un nouvel ingnieur rseau qui a cr des problmes de scurit au niveau
du rseau du fait derreurs de configuration et domissions. Votre responsable vous demande de corriger les
erreurs commises par le nouvel ingnieur lors de la configuration des routeurs. Lorsque vous corrigez les
erreurs, vrifiez que tous les priphriques sont bien scuriss, et veillez ce que ces priphriques et les
rseaux restent accessibles aux administrateurs. Tous les routeurs doivent tre accessibles via lapplication
SDM depuis PC1. Pour vrifier quun priphrique est scuris, utilisez des outils appropris tels que Telnet
et la commande ping. Toute utilisation non autorise de ces outils devra tre bloque, mais assurez-vous
galement qu'une utilisation autorise de ces outils soit possible. Dans le cadre de cet exercice, nutilisez pas
de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin dempcher tout verrouillage
accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe.

Chargez les configurations suivantes dans les priphriques de la topologie. Les lignes saffichant en
rouge figurent dans les travaux pratiques destins aux formateurs. Elles ne figurent pas dans les travaux
pratiques destins aux participants et ne sont pas charges au dbut de ces travaux pratiques. Les lignes
supprimer saffichent en jaune. Celles ajouter saffichent en rouge. Utilisez les annotations pour aider
les participants identifier correctement les rponses.
R1 :
no service pad
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
resource policy
!
Les noms sensibles la casse

peuvent gnrer des erreurs
courantes de configuration. Dans
ce cas, la police doit figurer en
minuscule.
Page 2 sur 16
CCNA Exploration
no mmi pvc
ip subnet-zero
no ip source-route
ip cef
!
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no shutdown
shutdown
duplex auto
speed auto
!
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcasts
duplex auto
speed auto
no shutdown
!
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no shutdown
shutdown
no fair-queue
clockrate 125000
!
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
Toutes les interfaces non utilises

doivent tre fermes.
La commande no ip directedbroadcast est omise sur toutes les

interfaces. Il est frquent doublier
une commande lorsque vous
entrez plusieurs fois
des commandes similaires.
Page 3 sur 16
CCNA Exploration
no shutdown
shutdown
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no shutdown
shutdown
clockrate 2000000
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
ip classless
!
no ip http server
ip http server
!
logging 192.168.10.150
no cdp run
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 5 0
logging synchronous
!
end
Serial 0/0/0 a t dfini sur actif par

erreur alors que la mise jour RIP doit
tre envoye partir de S0/0/1.
Cette commande est gnralement
dsactive pour des raisons de scurit
(la dsactivation se fait automatiquement
si AutoSecure est utilis). Toutefois, ce
scnario ncessite lapplication SDM, qui
elle-mme ncessite un serveur HTTP
pour tre active.
Bien que la consignation soit active et

la destination dfinie, le type de journaux
envoyer au serveur doit tre configur.
Page 4 sur 16
CCNA Exploration
R2 :
La commande show run permettra de
no service pad
dtecter que cela nest pas activ, car tous
les mots de passe lexception du mot de
passe enable secret figureront en texte clair.
!
hostname R2
!
!
aaa new-model
!
!
!
resource policy
!
no mmi pvc
no ip source-route
ip cef
!
!
no ip bootp server
!
key chain RIP_KEY
key 1
Il est frquent doublier de crer une chane de
key-string cisco
cls utiliser dans une authentification RIP,
!
mme aprs avoir configur les interfaces.
!
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
ip address 192.168.20.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
Page 5 sur 16
CCNA Exploration
no shutdown
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
!
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 128000
no shutdown
!
ip address 209.165.200.224 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
no shutdown
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clockrate 2000000
!
Les interfaces RIP doivent tre dfinies
router rip
sur passive, sauf indication contraire.
version 2
network 10.0.0.0
Cette commande gnralement dsactive
network 192.168.20.0
pour des raisons de scurit (elle est
no auto-summary
automatiquement dsactive si auto secure
!
est utilis). Toutefois, ce scnario ncessaire
ip classless
lapplication SDM, qui elle-mme ncessite le
!
serveur HTTP pour tre active.
no ip http server
ip http server
!
CDP doit tre dsactiv si possible.
logging 192.168.10.150
no cdp run
!
Page 6 sur 16
CCNA Exploration
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 0 0
exec-timeout 5 0
logging synchronous
!
end
Le dlai dattente a t modifi par infini,

permettant des connexions indfinies.
R3 :
no service pad
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
resource policy
!
no mmi pvc
ip subnet-zero
no ip source-route
ip cef
!
!
!
no ip bootp server
!
Page 7 sur 16
CCNA Exploration
Autre erreur de casse. Les chanes de cls sont

sensibles la casse. Elles sont donc susceptibles
key chain RIP_KEY
dtre mal orthographies.
key 1
key-string Cisco
key-string cisco
!
Lauthentification locale est
configure, mais un nom dutilisateur
no ip address
et un mot de passe locaux ont t
no ip redirects
oublis, de sorte quaucune
no ip proxy-arp
authentification nest possible.
duplex auto
speed auto
shutdown
!
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
Lauthentification RIP a t configur
clockrate 125000
sur R1 et R2, mais pas sur R3, ce
!
qui empche la propagation de la
mise jour de RIP.
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
Configurations manquantes pour
!
lauthentification de RIP.
router rip
version 2
passive-interface Serial0/0/0
passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
ip classless
!
no ip http server
Page 8 sur 16
CCNA Exploration
!
logging 192.168.10.150
no cdp run
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
Tche 2 : dtection et correction de toutes les erreurs rseau

En utilisant les mthodes de dpannage standard, recherchez, documentez et corrigez les erreurs.
Remarque : lorsque vous dpannez un rseau de production dfaillant, sachez que de petites erreurs
peuvent tre lorigine de dysfonctionnements. Vrifiez en premier lieu lorthographe et la casse des
mots de passe, des cls et des noms de chanes de cls, ainsi que des noms de listes dauthentification.
Les dfaillances sont souvent dues au non-respect dune casse ou un terme mal orthographi. La
mthode recommande consiste commencer par les tapes de base avant de procder aux tapes
suivantes. Vrifiez dabord si les noms et les cls correspondent. Ensuite, si la configuration utilise une
liste ou une chane de cls, vrifiez si llment rfrenc existe rellement et sil est le mme sur tous
les priphriques. Pour garantir que la configuration est exactement la mme, il est recommand
deffectuer cette configuration une premire fois sur un priphrique, puis de la copier et de la coller
dans lautre priphrique. En outre, lorsque vous envisagez de dsactiver ou de limiter des services,
dterminez quoi servent ces services et s'ils sont ncessaires. Dterminez galement les informations
que le routeur doit envoyer, ainsi que les personnes qui doivent les recevoir et celles qui ne doivent pas
les recevoir. Enfin, dfinissez les oprations que les utilisateurs peuvent effectuer grce ces services,
et si vous souhaitez les autoriser effectuer ces oprations. En rgle gnrale, vous devez prendre les
mesures ncessaires afin dviter tout abus dun service.

-----------------------------------------R1
-----------------------------------------no service pad
no service finger
Page 9 sur 16
CCNA Exploration
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
resource policy
!
no mmi pvc
ip subnet-zero
no ip source-route
no ip finger
ip cef
!
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
!
!
Page 10 sur 16
CCNA Exploration
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
clockrate 125000
!
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
clockrate 125000
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
ip classless
!
no ip http server
!
!
logging 192.168.10.150
no cdp run
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
------------------------------------------Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Page 11 sur 16
CCNA Exploration
R2
-----------------------------------------no service pad
no service finger
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
resource policy
!
no mmi pvc
ip subnet-zero
no ip source-route
no ip finger
ip cef
!
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
!
no ip address
no ip address
no ip redirects
no ip unreachables
no ip proxy-arpshutdown
duplex auto
speed auto
shutdown
!
Page 12 sur 16
CCNA Exploration
ip address 192.168.20.1 255.255.255.0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no shutdown
!
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
!
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 128000
no shutdown
!
ip address 209.165.200.224 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
!
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clockrate 2000000
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
no auto-summary
!
ip classless
!
no ip http server
!
Page 13 sur 16
CCNA Exploration
!
logging 192.168.10.150
no cdp run
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!----------------------------------------no service pad
no service finger
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
resource policy
!
no mmi pvc
Page 14 sur 16
CCNA Exploration
no ip source-route
no ip finger
ip cef
!
!
no ip bootp server
!
key chain RIP_KEY
key 1
!
no ip address
shutdown
duplex auto
speed auto
shutdown
!
ip address 192.168.30.1 255.255.255.0
duplex auto
speed auto
!
!
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
ip classless
!
no ip http server
Page 15 sur 16
CCNA Exploration
!
!
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end

Page 16 sur 16
Travaux pratiques 5.5.1 : listes de contrle daccs de base

Table dadressage
Priphrique
R1
R2
R3
Comm1
Interface
Adresse IP
Masque de
sous-rseau
Fa0/0
192.168.10.1
255.255.255.0
Fa0/1
192.168.11.1
255.255.255.0
S0/0/0
10.1.1.1
255.255.255.252
Fa0/1
192.168.20.1
255.255.255.0
S0/0/0
10.1.1.2
255.255.255.252
S0/0/1
10.2.2.1
255.255.255.252
Lo0
209.165.200.225
255.255.255.224
Fa0/1
192.168.30.1
255.255.255.0
S0/0/1
10.2.2.2
255.255.255.252
Vlan1
192.168.10.2
255.255.255.0
Passerelle
par dfaut
192.168.10.1
Page 1 sur 13
CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)
Comm2
Vlan1
192.168.11.2
255.255.255.0
192.168.11.1
Comm3
Vlan1
192.168.30.2
255.255.255.0
192.168.30.1
PC1
Carte rseau
192.168.10.10
255.255.255.0
192.168.10.1
PC2
Carte rseau
192.168.11.10
255.255.255.0
192.168.11.1
PC3
Carte rseau
192.168.30.10
255.255.255.0
192.168.30.1
Serveur Web
Carte rseau
192.168.20.254
255.255.255.0
192.168.20.1
Concevoir des listes de contrle daccs nommes standard et tendues
Appliquer des listes de contrle daccs nommes standard et tendues
Tester des listes de contrle daccs nommes standard et tendues
Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer la scurit dun rseau de base
laide des listes de contrle daccs. Vous appliquerez des listes de contrles d'accs standard et
tendues.

Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. Si vous utilisez
les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront
diffremment. Certaines commandes peuvent tre diffrentes ou ne pas exister sur danciens routeurs
ou des versions du systme IOS antrieures la version 12.4.

Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en
respectant les consignes suivantes :
Configurez un mot de passe class pour le mode dexcution privilgi.
Configurez un mot de passe cisco pour les connexions de consoles.
Configurez des adresses IP et des masques sur tous les priphriques.
Page 2 sur 13
CCNA Exploration
Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux.
Configurez une interface en mode boucl sur R2 pour simuler le FAI.
Configurez des adresses IP pour linterface VLAN 1 sur chaque commutateur.
Configurez chaque commutateur avec la passerelle par dfaut approprie.
Vrifiez l'intgralit de la connectivit IP laide de la commande ping.
R1
hostname R1
!
no ip domain-lookup
enable secret class
banner motd Ûnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
interface fa0/0
ip address 192.168.10.1 255.255.255.0
no shut
!
interface fa0/1
ip address 192.168.11.1 255.255.255.0
no shut
!
interface s0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 125000
no shut
!
router ospf 1
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
R2
hostname R2
!
no ip domain-lookup
enable secret class
!
interface fa0/1
ip address 192.168.20.1 255.255.255.0
no shut
!
Page 3 sur 13
CCNA Exploration
interface s0/0/0
ip address 10.1.1.2 255.255.255.252
no shut
!
interface s0/0/1
ip address 10.2.2.1 255.255.255.252
clock rate 64000
no shut
!
interface Lo0
ip address 209.165.200.225 255.255.255.224
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.255.255 area 0
network 209.165.200.224 0.0.0.31 area 0
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
R3
hostname R3
!
no ip domain-lookup
enable secret class
!
interface fa0/1
ip add 192.168.30.1 255.255.255.0
no shut
!
interface s0/0/1
ip add 10.2.2.2 255.255.255.252
no shut
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 192.168.30.1 0.0.0.255 area 0
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
Page 4 sur 13
CCNA Exploration
Comm1
interface vlan 1
ip address 192.168.10.2 255.255.255.0
no shut
!
ip default-gateway 192.168.10.1
Comm2
interface vlan 1
ip address 192.168.11.2 255.255.255.0
no shut
!
Comm3
interface vlan 1
ip add 192.168.30.2 255.255.255.0
no shut
!
Tche 3 : configuration dune liste de contrle daccs standard

Les listes de contrle daccs standard ne peuvent filtrer le trafic quen fonction de ladresse IP source.
Il est gnralement recommand de configurer une liste de contrle daccs standard aussi proche que
possible de la destination. Dans cette tche, vous allez configurer une liste de contrle daccs standard.
La liste de contrle daccs est conue pour bloquer le trafic provenant du rseau 192.168.11.0/24
correspondant la salle de travaux pratiques des participants, et ce afin de lempcher daccder des
rseaux locaux sur R3.
Cette liste est applique en entre, sur linterface srie de R3. Noubliez pas que chaque liste de contrle
daccs comporte une instruction deny all implicite. Cette dernire bloque tous les trafics qui ne
correspondent aucune instruction de la liste. Cest la raison pour laquelle il est ncessaire d'ajouter
linstruction permit any la fin de la liste.
Avant de configurer et dappliquer cette liste, veillez vrifier la connectivit depuis PC1 (ou linterface
Fa0/1 sur R1) vers PC3 (ou linterface Fa0/1 sur R3). Les tests de connectivit doivent aboutir avant
dappliquer cette liste.
tape 1 : cration de la liste de contrle daccs sur le routeur R3
En mode de configuration globale, crez une liste de contrle daccs standard nomme STND-1.
R3(config)#ip access-list standard STND-1
En mode de configuration de liste de contrle daccs standard, ajoutez une instruction charge de
refuser tous les paquets dont ladresse source est 192.168.11.0/24 et dajouter un message dans
la console pour chaque paquet correspondant.
R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log
Autorisez le reste du trafic.
R3(config-std-nacl)#permit any
Page 5 sur 13
CCNA Exploration
tape 2 : application de la liste de contrle daccs

Appliquez la liste de contrle daccs STND-1 pour filtrer les paquets entrant dans R3, par le biais
de linterface srie 0/0/1.
R3(config-if)#ip access-group STND-1 in
R3(config-if)#end
R3#copy run start
tape 3 : test de la liste de contrle daccs
Avant de tester la liste de contrle daccs, assurez-vous que la console de R3 est visible. De cette
manire, vous pouvez visualiser les messages du journal de la liste daccs lorsque le paquet est refus.
Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. La liste
de contrle daccs tant conue pour bloquer le trafic dont ladresse source fait partie du rseau
192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requtes ping vers le PC3.
Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/1 sur R1,
vers linterface Fa0/1 sur R3.
R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Packet sent with a source address of 192.168.11.1
U.U.U
Le message suivant doit safficher sur la console de R3 :
*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0
0.0.0.0 -> 192.168.11.1, 1 packet
En mode dexcution privilgi sur R3, lancez la commande show access-lists. Une sortie similaire la
suivante saffiche. Chaque ligne dune liste de contrle daccs possde un compteur associ, qui affiche
le nombre de paquets correspondants la rgle.
Standard IP access list STND-1
10 deny
192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (25 matches)
Lobjectif de cette liste tait de bloquer les htes du rseau 192.168.11.0/24. Tous les autres htes,
notamment ceux du rseau 192.168.10.0/24, doivent tre autoriss accder aux rseaux sur R3.
Effectuez un autre test depuis PC1 vers PC3 pour vrifier que ce trafic nest pas bloqu.
Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/0 sur R1, vers
linterface Fa0/1 sur R3.
Page 6 sur 13
CCNA Exploration
R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Packet sent with a source address of 192.168.10.1
!!!!!
Tche 4 : configuration dune liste de contrle daccs tendue

Lorsque vous souhaitez bnficier dun contrle plus prcis, vous pouvez utiliser une liste de contrle
daccs tendue. Les listes de contrle daccs tendues peuvent filtrer le trafic en fonction dautres
critres que ladresse source. Ainsi, le filtrage peut tre bas sur le protocole, ladresse IP source,
ladresse IP de destination, le numro de port source et le numro de port de destination.
Une autre stratgie mise en place pour ce rseau indique que les priphriques du rseau local
192.168.10.0/24 ne peuvent accder quaux rseaux internes. Les ordinateurs de ce rseau local ne
sont pas autoriss accder Internet. Par consquent, ces utilisateurs ne doivent pas pouvoir accder
ladresse IP 209.165.200.225. Cette exigence sappliquant la source et la destination, il est
ncessaire dutiliser une liste de contrle daccs tendue.
Cette tche consiste configurer une liste de contrle daccs tendue sur R1, qui sera charge
dempcher le trafic en provenance dun priphrique du rseau 192.168.10.0 /24 daccder lhte
209.165.200.255 (lISP simul). Cette liste de contrle daccs sera applique en sortie de linterface
srie 0/0/0 de R1. Pour appliquer de faon optimale des listes de contrle daccs tendues, il est
conseill de les placer aussi prs que possible de la source.
Avant de commencer, vrifiez que vous pouvez envoyer une requte ping vers 209.165.200.225
depuis le PC1.
tape 1 : configuration dune liste de contrle daccs tendue nomme
En mode de configuration globale, crez une liste de contrle daccs tendue nomme EXTEND-1.
R1(config)#ip access-list extended EXTEND-1
Vous remarquerez que linvite du routeur change pour indiquer que le routeur est prsent en mode
de configuration de liste de contrle daccs tendue. partir de cette invite, ajoutez les instructions
ncessaires pour bloquer le trafic provenant du rseau 192.168.10.0 /24 destination de lhte.
Utilisez le mot cl host lors de la dfinition de la destination.
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
Noubliez pas que linstruction implicite deny all bloque lensemble du trafic si vous najoutez pas
dinstruction permit supplmentaire. Ajoutez linstruction permit pour vous assurer que dautres trafics
ne sont pas bloqus.
R1(config-ext-nacl)#permit ip any any
Page 7 sur 13
CCNA Exploration

Dans le cas de listes de contrle daccs standard, la meilleure solution consiste placer la liste aussi
prs que possible de la destination. En revanche, les listes de contrle daccs tendues sont souvent
places prs de la source. La liste EXTEND-1 sera place sur linterface srie et filtrera le trafic sortant.
R1(config-if)#ip access-group EXTEND-1 out log
R1(config-if)#end
R1#copy run start
partir de PC1, envoyez une requte ping linterface de bouclage du routeur R2. Ces tests doivent
chouer, car lensemble du trafic provenant du rseau 192.168.10.0 /24 est filtr lorsque la destination
est 209.165.200.225. Si la destination correspond une autre adresse, les envois de requtes ping
doivent aboutir. Pour le vrifier, envoyez des requtes ping vers R3 partir dun priphrique du
rseau 192.168.10.0/24.
Remarque : la fonctionnalit de la commande ping tendue sur R1 ne peut pas tre utilise pour tester
cette liste de contrle daccs car le trafic est issu de R1 et nest jamais test sur la liste de contrle
daccs applique linterface srie R1.
Vous pouvez effectuer une vrification approfondie en entrant la commande show ip access-list sur R1
aprs lenvoi de la requte ping.
R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)
20 permit ip any any
Tche 5 : contrle de laccs aux lignes vty par le biais dune liste de contrle daccs
standard
Il est gnralement conseill de restreindre laccs aux lignes vty du routeur pour ladministration distance.
Une liste de contrle daccs peut tre applique aux lignes vty afin de limiter laccs des htes ou des
rseaux spcifiques. Cette tche consiste configurer une liste de contrle daccs standard autorisant les
htes de deux rseaux accder aux lignes vty. Les autres htes se voient refuser laccs.
Vrifiez que vous pouvez tablir un accs Telnet vers R2 partir de R1 et de R3.
tape 1 : configuration de la liste de contrle daccs.
Configurez une liste de contrle daccs standard nomme sur R2 pour autoriser le trafic provenant des
rseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez la liste de contrle daccs
le nom Task-5.
R2(config)#ip access-list standard TASK-5
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
Accdez au mode de configuration de ligne pour les lignes vty 0 4.
R2(config)#line vty 0 4
Utilisez la commande access-class pour appliquer la liste de contrle daccs aux lignes vty , dans le sens
entrant. Vous remarquerez que cette commande diffre de la commande utilise pour appliquer des listes
de contrle daccs aux autres interfaces.
Page 8 sur 13
CCNA Exploration
R2(config-line)#access-class TASK-5 in
R2(config-line)#end
R2#copy run start
tablissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas dadresse IP prsente dans
la plage dadresses rpertorie dans les instructions dautorisation de la liste de contrle daccs TASK-5.
Les tentatives de connexion sont censes chouer.
R1# telnet 10.1.1.2
Trying 10.1.1.2
tablissez une connexion Telnet avec R2 depuis R3. Vous tes alors invit entrer le mot de passe des lignes vty.
R3# telnet 10.1.1.2
Trying 10.1.1.2 Open
CUnauthorized access strictly prohibited, violators will be prosecuted
to the full extent of the law.
Password:
Pourquoi les tentatives de connexion partir dautres rseaux chouent-elles alors que ces rseaux ne
sont pas explicitement rpertoris dans la liste de contrle daccs ?
_________________________________________________________________________________
_________________________________________________________________________________
Toutes les listes de contrle daccs comprennent une instruction deny all implicite comme instruction
finale. Tout trafic non autoris de faon explicite est abandonn.
Tche 6 : dpannage des listes de contrle daccs

Lorsquune liste de contrle daccs est mal configure, applique une interface inadquate ou dans
un sens incorrect, le trafic rseau peut tre affect de manire imprvisible.
tape 1 : suppression dune liste de contrle daccs STND-1 partir de S0/0/1 de R3
Vous avez prcdemment cr et appliqu une liste de contrle daccs standard nomme sur R3.
Utilisez la commande show running-config pour afficher la liste de contrle daccs et sa position. Vous
devriez remarquer quune liste de contrle daccs appele STND-1 a t configure et applique en
entre de linterface srie 0/0/1. Souvenez-vous que cette liste a t conue pour empcher lensemble
du trafic dont ladresse source provient du rseau 192.168.11.0/24 daccder au rseau local de R3.
Pour supprimer la liste de contrle daccs, accdez au mode de configuration dinterface de linterface
srie 0/0/1 de R3. Utilisez la commande no ip access-group STND-1 in pour supprimer la liste de
contrle daccs de linterface.
R3(config-if)#no ip access-group STND-1 in
Utilisez la commande show running-config pour vrifier que la liste de contrle daccs a bien t
supprime de linterface srie 0/0/1.
Page 9 sur 13
CCNA Exploration
tape 2 : application de la liste de contrle daccs STND-1 en sortie de linterface S0/0/1

Pour comprendre limportance du sens de filtrage des listes de contrle daccs, appliquez nouveau
la liste STND-1 linterface srie 0/0/1. Cette fois, la liste de contrle daccs filtrera le trafic sortant et
non le trafic entrant. Pensez utiliser le mot cl out lors de lapplication de la liste de contrle daccs.
R3(config-if)#ip access-group STND-1 out
Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. Vous
pouvez galement envoyer une requte ping tendue partir de R1. Vous remarquerez que cette fois,
lenvoi de requtes ping aboutit et que les compteurs de la liste de contrle daccs ne sont pas modifis.
Pour le vrifier, entrez la commande show ip access-list sur R3.
tape 4 : restauration de la configuration dorigine de la liste de contrle daccs
Supprimez la liste de contrle daccs applique en sortie et appliquez-la nouveau en entre.
R3(config-if)#no ip access-group STND-1 out
R3(config-if)#ip access-group STND-1 in
tape 5 : application de la tche TASK-5 linterface srie Serial 0/0/0 dentre de R2
R2(config-if)#ip access-group TASK-5 in
partir de R1 ou des rseaux qui y sont connects, essayez de communiquer avec un priphrique
connect R2 ou R3. Vous remarquerez que toutes les communications sont bloques, mais que cette
fois les compteurs de liste de contrle daccs ne sont pas incrments. Cela est d la prsence
dune instruction deny all (refuser tout) implicite la fin de chaque liste de contrle daccs. Cette
instruction deny bloque tous les trafics entrants de linterface srie Serial 0/0/0 provenant dune autre
source que R3. Cela a pour principale consquence que les routes provenant de R1 seront supprimes
de la table de routage.
Les messages similaires ce qui suit doivent safficher sur les consoles de R1 et R2. Notez que
la dsactivation de la relation de voisinage du protocole OSPF peut prendre un certain temps.
*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1
on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired
Lorsque vous recevez ce message, excutez la commande show ip route sur R1 et R2 pour afficher
les routes ayant t supprimes de la table de routage.
Supprimez la liste de contrle daccs TASK-5 de linterface, puis enregistrez vos configurations.
R2(config-if)#no ip access-group TASK-5 in
R2(config)#exit
R2#copy run start
Page 10 sur 13
CCNA Exploration

Configurations
Routeur 1
hostname R1
!
enable secret class
!
no ip domain lookup
!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 192.168.11.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
ip access-group EXTEND-1 out
clockrate 64000
no shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
ip access-list extended EXTEND-1
deny
ip 192.168.10.0 0.0.0.255 host 209.165.200.225
permit ip any any
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
Routeur 2
hostname R2
!
enable secret class
!
no ip domain lookup
Page 11 sur 13
CCNA Exploration
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
no shutdown
!
ip address 10.1.1.2 255.255.255.252
no shutdown
!
ip address 10.2.2.1 255.255.255.252
clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
network 209.165.200.224 0.0.0.31 area 0
!
ip access-list standard TASK-5
permit 10.2.2.0 0.0.0.3
permit 192.168.30.0 0.0.0.255
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class TASK-5 in
password cisco
login
!
Routeur 3
hostname R3
!
enable secret class
!
no ip domain lookup
!
ip address 192.168.30.1 255.255.255.0
no shutdown
!
ip address 10.2.2.2 255.255.255.252
ip access-group STND-1 out
Page 12 sur 13
CCNA Exploration
no shutdown
!
router ospf 1
network 10.0.0.0 0.255.255.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
ip access-list standard STND-1
deny
192.168.11.0 0.0.0.255 log
permit any
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
end

Page 13 sur 13
Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

Table dadressage
Priphrique
Passerelle
par dfaut
Interface
Adresse IP
S0/0/0
10.1.0.1
255.255.255.0
Fa0/1
10.1.1.254
255.255.255.0
S0/0/0
10.1.0.2
255.255.255.0
S0/0/1
10.3.0.1
255.255.255.0
Lo 0
10.13.205.1
255.255.0.0
S0/0/1
10.3.0.2
255.255.255.0
Fa0/1
10.3.1.254
255.255.255.0
PC 1
Carte rseau
10.1.1.1
255.255.255.0
10.1.1.254
PC 3
Carte rseau
10.3.1.1
255.255.255.0
10.3.1.254
R1
R2
R3
Page 1 sur 9
Exploration 4
Accs au rseau tendu : listes de contrle daccs
Concevoir des listes de contrle daccs nommes standard et tendues
Appliquer des listes de contrle daccs nommes standard et tendues
Tester des listes de contrle daccs nommes standard et tendues
Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues

Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent
diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600.
Tche 2 : excution des configurations de base des routeurs

Configurez les adresses IP sur tous les priphriques.
Crez une interface de bouclage sur R2.
Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux.
Vrifiez l'intgralit de la connectivit IP laide de la commande ping.
R1
hostname R1
no ip domain-lookup
enable secret class
!
ip address 10.1.1.254 255.255.255.0
no shutdown
!
ip address 10.1.0.1 255.255.255.0
clock rate 125000
no shutdown
!
router ospf 1
Page 2 sur 9
Exploration 4
network 10.1.0.0 0.0.0.255 area

network 10.1.1.0 0.0.0.255 area
!
banner motd Ûnauthorized access
prosecuted to the full extent of
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
!
0
0
strictly prohibited, violators will be
the law.^
R2
hostname R2
enable secret class
no ip domain lookup
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
ip address 10.1.0.2 255.255.255.0
no shutdown
!
ip address 10.3.0.1 255.255.255.0
clockrate 125000
no shutdown
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R3
hostname R3
!
Page 3 sur 9
Exploration 4
enable secret class

no ip domain lookup
!
ip address 10.3.1.254 255.255.255.0
no shutdown
!
ip address 10.3.0.2 255.255.255.0
no shutdown
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
Tche 3 : configuration de listes de contrle daccs standard

Configurez des listes de contrle daccs nommes standard sur les lignes vty de R1 et R3, de sorte que
les htes directement connects leurs sous-rseaux FastEthernet puissent y accder en Telnet.
Refusez et consignez toute autre tentative de connexion. Documentez vos procdures de test.
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
R1
ip access-list standard VTY_LOCAL
permit 10.1.1.0 0.0.0.255
deny any log
!
line vty 0 4
access-class VTY_LOCAL in
!
R3
permit 10.3.1.0 0.0.0.255
deny any log
!
Page 4 sur 9
Exploration 4
line vty 0 4
Depuis PC1, R1 et R2, tentez dtablir une connexion Telnet vers R3. Ces tests devraient gnrer
un chec.
Tentative de connexion Telnet avec R1 partir de PC3, R2 et R3. Ces tests devraient gnrer un chec.
Depuis PC1, tentez dtablir une connexion Telnet vers R1. En principe, ce test doit aboutir.
Depuis PC3, tentez dtablir une connexion Telnet vers R3. En principe, ce test doit aboutir.
Tche 4 : configuration de listes de contrle daccs tendues

En utilisant les listes de contrle daccs tendues sur R2, suivez les instructions ci-dessous :
Les salles dans lesquelles les participants effectuent les travaux pratiques utilisent les
rseaux locaux connects R1 et R3. Ladministrateur rseau a remarqu que les participants
samusaient jouer en rseau avec dautres participants distants via le rseau tendu. Assurezvous que la liste de contrle daccs rend impossible laccs au rseau local de R3 via le rseau
local associ R1, et vice versa. Soyez prcis dans vos instructions afin de ne pas affecter tout
nouveau rseau local associ R1 ou R3.
Autorisez tout trafic OSPF.
Autorisez le trafic ICMP vers les interfaces locales de R2.
Tout trafic rseau destination du port TCP 80 doit tre autoris. Tout autre trafic doit tre refus
et consign.
Tout type de trafic non spcifi ci-dessus doit tre refus.
Remarque : vous devrez peut-tre utiliser plusieurs listes daccs pour effectuer cette configuration.
Vrifiez la configuration effectue et documentez les procdures de test.
Pourquoi lordre des instructions concernant les listes daccs savre-t-il important ?
__________________________________________________________________________________
__________________________________________________________________________________
Le traitement des listes daccs seffectue de haut en bas. Lorsquun paquet correspond une ligne,
laction approprie est excute tandis que les actions suivantes sont ignores.
R2
ip access-list extended BLOCK_R1
deny ip 10.1.1.0 0.0.0.255 10.3.1.0 0.0.0.255
permit ospf any any
permit icmp any host 10.1.0.2
permit tcp any any eq 80 log
deny ip 10.3.1.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ospf any any
Page 5 sur 9
Exploration 4
interface serial
ip access-group
!
interface serial
ip access-group
0/0/0
BLOCK_R1 in
0/0/1
BLOCK_R3 in
Tche 5 : vrification dune liste de contrle daccs

Testez chaque protocole auquel vous dsirez refuser laccs et assurez-vous que le trafic autoris na,
en revanche, aucune difficult daccs. Pour ce faire, vous devez tester des requtes ping, HTTP,
Telnet et OSPF.
tape 1 : test du trafic entre R1 et R3
Envoyez une requte ping de PC1 vers PC3.
Envoyez une requte ping de PC3 vers PC1.
Les deux tests devraient gnrer un chec.
tape 2 : test de laccs au port 80
Pour vrifier le fonctionnement du port 80, activez le serveur HTTP sur R2 :
R2(config)#ip http server
partir de PC1, accdez linterface Serial 0/0/0 du routeur R2 via un navigateur Web. En principe, cette
tentative doit aboutir.
tape 3 : vrification des routes OSPF
Toutes les routes doivent tre prsentes. Vrifiez en excutant la commande show ip route.
tape 4 : test de lenvoi dune requte ping vers R2
Envoyez une requte ping R2 partir de R1 et PC1.
Envoyez une requte ping R2 partir de R3 et PC3.
Les deux tests doivent aboutir.
tape 5 : tests denvoi de requte ping pour vrifier que laccs est refus aux autres types de trafic

Configurations
R1
hostname R1
enable secret class
no ip domain lookup
!
ip address 10.1.1.254 255.255.255.0
no shutdown
!
Page 6 sur 9
Exploration 4
ip address 10.1.0.1 255.255.255.0

clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.0.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.255 area 0
!
permit 10.1.1.0 0.0.0.255
deny
any log
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R2
hostname R2
enable secret class
no ip domain lookup
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
ip address 10.1.0.2 255.255.255.0
ip access-group BLOCK_R1 in
no shutdown
!
ip address 10.3.0.6 255.255.255.0
ip access-group BLOCK_R3 in
clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
deny ip 10.1.1.0 0.0.0.255 10.3.1.0 0.0.0.255
permit ospf any any
Page 7 sur 9
Exploration 4
permit
permit
permit
permit
icmp any host 10.1.0.2

tcp any any eq 80 log

deny ip 10.3.1.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ospf any any
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R3
hostname R3
!
enable secret class
no ip domain lookup
!
ip address 10.3.1.254 255.255.255.0
no shutdown
!
ip address 10.3.0.5 255.255.255.0
no shutdown
!
router ospf 1
no auto-cost
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
permit 10.3.1.0 0.0.0.255
deny any log
!
prosecuted to the full extent of the law.^C
!
line con 0
password cisco
logging synchronous
Page 8 sur 9
Exploration 4
login
!
line vty 0 4
password cisco
login
!

Page 9 sur 9
Travaux pratiques 5.5.3 : dpannage des listes de contrle daccs

Table dadressage
Priphrique
R1
R2
R3
Interface
Adresse IP
S0/0/0
10.1.0.1
255.255.255.0
Fa0/1
10.1.1.254
255.255.255.0
S0/0/0
10.1.0.2
255.255.255.0
S0/0/1
10.3.0.5
255.255.255.0
Lo 0
10.13.205.1
255.255.0.0
S0/0/1
10.3.0.6
255.255.255.0
Fa0/1
10.3.1.254
255.255.255.0
Page 1 sur 7
CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

dpannage des listes de contrle daccs
PC 1
Carte rseau
10.1.1.1
255.255.255.0
10.1.1.254
PC 3
Carte rseau
10.3.1.1
255.255.255.0
10.3.1.254

par dfaut
Scnario
Vous travaillez pour un fournisseur de services rgional dont les clients ont t rcemment exposs
plusieurs violations de scurit. Des mesures de scurit ont t mises en uvre, mais elles nont pas
rpondu aux besoins spcifiques des clients. Votre dpartement a t charg dexaminer la configuration,
deffectuer des tests et dapporter les modifications requises pour scuriser les routeurs des clients.
Assurez-vous que vos configurations finales respectent les stratgies de scurit suivantes :
Les clients R1 et R3 exigent que seuls les PC locaux aient accs aux lignes vty. Consignez
toutes les tentatives daccs aux lignes vty effectues au moyen dautres priphriques.
Lenvoi et la rception de trafic entre les rseaux directement connects R1 et R3 sont interdits.
Tous les autres types de trafics destination et en provenance de R1 et R3 sont autoriss.
Un nombre minimum dinstructions de listes de contrle daccs doit tre utilis et appliqu en entre aux
interfaces srie R2. Le protocole OSPF permet de distribuer les informations de routage. Tous les mots
de passe, lexception du mot de passe enable secret, sont dfinis sur cisco. Le mot de passe enable
secret est dfini sur class.

[Note au formateur : ces commandes peuvent tre charges dans le routeur par le formateur ou les
participants. Elles ne figurent pas dans la version des travaux pratiques destine aux participants.]
R1
hostname R1
enable secret class
no ip domain lookup
!
ip address 10.1.1.254 255.255.255.0
no shutdown
!
ip address 10.1.0.1 255.255.255.0
clock rate 125000
no shutdown
ip access-group VTY-Local out
!
router ospf 1
Page 2 sur 7
CCNA Exploration

network 10.1.0.0 0.0.0.255 area 0

network 10.1.1.0 0.0.0.255 area 0
!
ip access-list standard VTY-Local
deny
any log
permit 10.1.1.0 0.0.0.255
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
R2
hostname R2
enable secret class
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
ip address 10.1.0.2 255.255.255.0
no shutdown
ip access-group block-R3 in
!
ip address 10.3.0.5 255.255.255.0
clock rate 125000
no shutdown
ip access-group block-R1 out
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
ip access-list extended block-R1
deny
ip 10.1.1.0 0.0.0.255 10.3.0.0 0.0.0.255
permit ip any any
!
deny
ip 10.3.0.0 0.0.1.255 10.1.0.0 0.0.1.255
!
!
line con 0
password cisco
logging synchronous
Page 3 sur 7
CCNA Exploration

login
!
line vty 0 4
password cisco
login
R3
hostname R3
enable secret class
no ip domain lookup
!
ip address 10.3.1.254 255.255.255.0
no shutdown
!
ip address 10.3.0.6 255.255.255.0
no shutdown
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
permit 10.3.11.0 0.0.0.255
deny
any log
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class VTY-Local in
password cisco
login

Identifiez et corrigez toutes les erreurs de configuration. Documentez les tapes du processus
de dpannage du rseau et notez chaque erreur dtecte.

Une fois que vous avez corrig toutes les erreurs et test la connectivit du rseau, documentez
la configuration finale de chaque priphrique.
Page 4 sur 7
CCNA Exploration

R1
hostname R1
enable secret class
no ip domain lookup
!
ip address 10.1.1.254 255.255.255.0
!
ip address 10.1.0.1 255.255.255.0
clockrate 125000
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.255 area 0
!
permit 10.1.1.0 0.0.0.255
deny any log
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R2
hostname R2
enable secret class
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
ip address 10.1.0.2 255.255.255.0
!
ip address 10.3.0.6 255.255.255.0
clockrate 125000
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
Page 5 sur 7
CCNA Exploration

network 10.3.0.0 0.0.0.255 area 0

network 10.13.0.0 0.0.255.255 area 0
!
deny
ip 10.1.0.0 0.0.1.255 10.3.0.0 0.0.1.255
permit ip any any
!
deny
ip 10.3.0.0 0.0.1.255 10.1.0.0 0.0.1.255
permit ip any any
!
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R3
hostname R3
enable secret class
no ip domain lookup
!
ip address 10.3.1.254 255.255.255.0
!
ip address 10.3.0.5 255.255.255.0
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
permit 10.3.1.0 0.0.0.255
deny any log
!
!
line con 0
password cisco
logging synchronous
login
!
Page 6 sur 7
CCNA Exploration

line vty 0 4
password cisco
login

Page 7 sur 7
Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Table dadressage
Priphrique
Interface
Adresse IP
S0/0/0
10.1.1.1
255.255.255.252
Fa0/0
192.168.10.1
255.255.255.0
Fa0/1
192.168.11.1
255.255.255.0
S0/0/0
10.1.1.2
255.255.255.252
S0/0/1
209.165.200.225
255.255.255.252
Fa0/0
192.168.20.254
255.255.255.0
S0/0/1
209.165.200.226
255.255.255.252
R1
R2
FAI
Prparer le rseau
Effectuer des configurations de routeur de base
Configurer un serveur DHCP Cisco IOS
Configurer le routage statique et le routage par dfaut
Configurer la fonction NAT statique
Page 1 sur 15
CCNA Exploration
Accs au rseau tendu : services dadressage IP

configuration de base de DHCP et NAT
Configurer la fonction NAT dynamique laide dun pool dadresses
Configurer la surcharge de la fonction NAT
Scnario
Au cours de ces travaux pratiques, vous allez configurer les services DHCP et IP NAT. Un routeur joue
le rle de serveur DHCP. Lautre routeur transmet les requtes DHCP au serveur. Vous apprendrez
galement configurer des traductions dadresses de rseau (NAT) statique et dynamique ainsi que la
surcharge de traduction dadresses de rseau. Une fois les configurations termines, vous vrifierez
la connectivit entre les adresses internes et externes.

Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition quil soit quip des
diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600. Certaines commandes peuvent tre
diffrentes ou ne pas exister sur les anciens routeurs.
tape 2 : suppression de toutes les configurations existantes sur les routeurs

Configurez les routeurs R1, R2 et FAI conformment aux instructions suivantes :
Configurez le nom dhte du priphrique.
Configurez un mot de passe de mode dexcution privilgi.
Configurez un mot de passe pour les connexions console.
Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty).
Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront
attribuer des adresses IP par le service DHCP.
Activez OSPF en utilisant lID de processus 1 sur R1 et R2. Nannoncez pas le rseau
209.165.200.224/27.
Remarque : au lieu de relier un serveur R2, vous pouvez configurer une interface de bouclage sur R2
de faon utiliser ladresse IP 192.168.20.254/24. De cette faon, il nest pas ncessaire de configurer
linterface Fast Ethernet.
Pour tous les priphriques :
enable
conf t
no ip domain-lookup
enable secret class
banner motd $Authorized Access Only!$
!
line con 0
logging synchronous
Page 2 sur 15
CCNA Exploration

password cisco
login
!
line vty 0 4
password cisco
login
end
copy run start
R1 :
hostname R1
int fa0/0
ip address 192.168.10.1 255.255.255.0
no shut
int fa0/0
ip address 192.168.11.1 255.255.255.0
no shut
int s0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 125000
!
router ospf 1
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
R2 :
hostname R2
int fa0/0
ip address 192.168.20.1 255.255.255.0
no shut
int s0/0/0
ip address 10.1.1.2 255.255.255.252
no shut
int s0/0/1
ip address 209.165.200.225 255.255.255.252
clock rate 125000
no shut
!optional loopback interface in place of server
!interface loopback 0
!ip address 192.168.20.254 255.255.255.0
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
FAI :
hostname FAI
int s0/0/1
ip address 209.165.200.226 255.255.255.252
no shut
!
Page 3 sur 15
CCNA Exploration

Tche 3 : configuration de PC1 et PC2 pour la rception dune adresse IP via le

protocole DHCP
Sur un PC Windows, cliquez sur Dmarrer -> Panneau de configuration -> Connexions rseau ->
Connexion au rseau local. Cliquez avec le bouton droit sur licne Connexion au rseau local et
slectionnez Proprits.
Faites dfiler la page vers le bas et mettez en surbrillance Protocole Internet (TCP/IP). Cliquez sur
le bouton Proprits.
Page 4 sur 15
CCNA Exploration

Vrifiez que le bouton Obtenir une adresse IP automatiquement est slectionn.
Une fois que ces oprations ont t effectues pour les ordinateurs PC1 et PC2, ces derniers peuvent
recevoir une adresse IP transmise par un serveur DHCP.
Tche 4 : configuration dun serveur DHCP Cisco IOS

Le logiciel Cisco IOS prend en charge une configuration de serveur DHCP appele Easy IP. Lobjectif
de ces travaux pratiques est que les priphriques prsents sur les rseaux 192.168.10.0/24 et
192.168.11.0/24 demandent R2 des adresses IP via le protocole DHCP.
tape 1 : exclusion des adresses attribues de manire statique
Le serveur DHCP suppose que toutes les adresses IP dun groupe dadresses DHCP peuvent tre
affectes des clients DHCP. Vous devez spcifier les adresses IP que le serveur DHCP ne peut
affecter aux clients. Il sagit gnralement dadresses statiques rserves linterface des routeurs,
la console de gestion des commutateurs, aux serveurs et aux imprimantes du rseau local. La
commande ip dhcp excluded-address empche le routeur dattribuer les adresses IP prsentes dans
la plage configure. Les commandes suivantes excluent les dix premires adresses IP de chacun des
pools des rseaux locaux connects R1. Ces adresses ne seront pas affectes des clients DHCP.
R2(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10
tape 2 : configuration du pool
Crez le pool DHCP laide de la commande ip dhcp pool et nommez-le R1Fa0.
R2(config)#ip dhcp pool R1Fa0
Spcifiez le sous-rseau utiliser lors de lattribution des adresses IP. Les pools DHCP sont associs
automatiquement une interface, en fonction de linstruction rseau. Le routeur joue dsormais le rle
de serveur DHCP et distribue les adresses du sous-rseau 192.168.10.0/24, en commenant par
192.168.10.1.
R2(dhcp-config)#network 192.168.10.0 255.255.255.0
Configurez le routeur par dfaut et le serveur de noms de domaine du rseau. Les clients reoivent ces
paramtres via le protocole DHCP, de mme quune adresse IP.
R2(dhcp-config)#dns-server 192.168.11.5
R2(dhcp-config)#default-router 192.168.10.1
Page 5 sur 15
CCNA Exploration

Remarque : aucun serveur DNS nest disponible ladresse 192.168.11.5. Cette commande est
configure uniquement des fins pdagogiques.
tant donn que les priphriques du rseau 192.168.11.0/24 requirent galement que R2 leur
fournissent des adresses, vous devez crer un pool distinct pour rpondre leurs besoins. Les
commandes utilises sont similaires celles prsentes ci-dessus :
R2(config)#ip dhcp pool R1Fa1
tape 3 : test du protocole DHCP
Vrifiez si les ordinateurs PC1 et PC2 ont reu automatiquement une adresse IP. Sur chaque PC,
cliquez sur Dmarrer -> Excuter -> cmd -> ipconfig
Quels sont les rsultats du test ? ____________________________________ Aucune adresse IP na

t obtenue automatiquement.
Comment interprter les rsultats ? _________________________________________ Un agent relais
DHCP doit tre configur.
tape 4 : configuration dun agent relais DHCP
Les services rseaux tels que le protocole DHCP fonctionnent via les diffusions de couche 2. Si les
priphriques fournissant ces services se trouvent sur un sous-rseau diffrent de celui des clients, ils
ne peuvent pas recevoir les paquets de diffusion. tant donn que le serveur DHCP et les clients DHCP
ne figurent pas sur le mme sous-rseau, vous devez configurer R1 pour quil transmette les messages
de diffusion DHCP R2, qui correspond au serveur DHCP, laide de la commande de configuration
dinterface ip helper-address.
Notez que la commande ip helper-address doit tre configure sur chaque interface concerne.
R1(config)#interface fa0/0
R1(config-if)#ip helper-address 10.1.1.2
Page 6 sur 15
CCNA Exploration

tape 5 : mission et renouvellement des adresses IP sur PC1 et PC2

Selon que les PC ont t utiliss ou non dans dautres travaux pratiques ou que vous les avez connects
ou non Internet, ils ont peut-tre dj reu automatiquement une adresse IP transmise par un autre
serveur DHCP. Vous devez supprimer cette adresse IP laide des commandes ipconfig /release et
ipconfig /renew.
tape 6 : vrification de la configuration DHCP

Il existe plusieurs mthodes de vrification de la configuration du serveur DHCP. Excutez la commande
ipconfig sur les ordinateurs PC1 et PC2 pour vrifier quils ont reu une adresse IP de faon dynamique.
Vous pouvez ensuite entrer des commandes sur le routeur pour obtenir des informations supplmentaires.
La commande show ip dhcp binding renvoie des informations sur les adresses DHCP actuellement
attribues. Ainsi, les informations suivantes, renvoyes par la commande, indiquent que ladresse IP
192.168.10.11 a t associe ladresse MAC 3031.632e.3537.6563. Le bail IP expire le 14 septembre
2007 19:33:00.
R1#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address
Client-ID/
Lease expiration
Hardware address/
User name
192.168.10.11
0063.6973.636f.2d30. Sep 14 2007 07:33 PM
3031.632e.3537.6563.
2e30.3634.302d.566c.
31
Type
Automatic
La commande show ip dhcp pool affiche des informations concernant tous les pools DHCP
actuellement configurs sur le routeur. Dans le rsultat ci-aprs, le pool R1Fa0 est configur sur R1.
Lune des adresses a t loue partir de ce pool. Le prochain client mettant une demande dadresse
recevra ladresse 192.168.10.12.
R2#show ip dhcp pool
Pool R1Fa0 :
Utilization mark (high/low)
: 100 / 0
Subnet size (first/next)
: 0 / 0
Total addresses
: 254
Leased addresses
: 1
Pending event
: none
1 subnet is currently in the pool :
Current index
IP address range
192.168.10.12
192.168.10.1
- 192.168.10.254
Leased addresses
1
Page 7 sur 15
CCNA Exploration

La commande debug ip dhcp server events peut savrer extrmement utile pour rsoudre les
problmes lis aux baux DHCP avec un serveur DHCP Cisco IOS. Les informations de dbogage
affiches sur R1 suite la connexion dun hte sont les suivantes. La partie en surbrillance indique que
ladresse 192.168.10.12 et le masque 255.255.255.0 sont attribus au client par le protocole DHCP.
*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER:
*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000
*Sep 13 21:04:18.072: DHCPD: circuit id 00000000
*Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool
class:
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000
*Sep 13 21:04:18.072: DHCPD: there is no address pool for 192.168.11.1.
*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER:
R1#
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000
*Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool
class:
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000
R1#
*Sep 13 21:04:20.072: DHCPD: Ajout de liaisons larbre de base
(192.168.10.12)
*Sep 13 21:04:20.072: DHCPD: Ajout de liaisons larbre de base
*Sep 13 21:04:20.072: DHCPD: assigned IP address 192.168.10.12 to client
0063.6973.636f.2d30.3031.632e.3537.6563.2e30.3634.302d.566c.31.
*Sep 13 21:04:20.072: DHCPD: Sending notification of ASSIGNMENT:
*Sep 13 21:04:20.072: DHCPD: address 192.168.10.12 mask 255.255.255.0
*Sep 13 21:04:20.072: DHCPD: lease time remaining (secs) = 86400
*Sep 13 21:04:20.076: DHCPD: Sending notification of ASSIGNMENT:
*Sep 13 21:04:20.076: DHCPD: address 192.168.10.12 mask 255.255.255.0
R1#
*Sep 13 21:04:20.076: DHCPD: lease time remaining (secs) = 86400
Tche 5 : configuration du routage statique et du routage par dfaut

FAI fait appel au routage statique pour acccder aux rseaux situs au-del de R2. Cependant, avant
denvoyer le trafic vers FAI, R2 traduit les adresses prives en adresses publiques. Par consquent,
il est ncessaire de configurer sur FAI les adresses publiques impliques dans la configuration de
la traduction dadresses de rseau de R2. Indiquez la route statique suivante sur FAI :
FAI(config)#ip route 209.165.200.240 255.255.255.240 serial 0/0/1
Cette route statique comprend toutes les adresses usage publique attribues R2.
Configurez une route par dfaut sur R2 et propagez-la dans OSPF.
R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.200.226
R2(config-router)#default-information originate
Page 8 sur 15
CCNA Exploration

Attendez que R1 apprenne la route par dfaut transmise par R2, puis consultez la table de routage de
R1. Vous pouvez galement supprimer le contenu de la table de routage laide de la commande clear
ip route *. Une route par dfaut pointant vers R2 doit figurer dans la table de routage de R1. partir de
R1, envoyez une requte ping vers linterface srie 0/0/1 de FAI (209 165 200 226). En principe, cette
requte ping doit aboutir. Envisagez un dpannage en cas dchec.
Tche 6 : configuration de la traduction dadresses de rseau (NAT) statique

tape 1 : mappage statique dune adresse IP publique une adresse IP prive
Les htes externes situs derrire FAI peuvent accder au serveur interne connect R2. Dsignez de
manire statique ladresse IP publique 209.165.200.254 comme adresse utiliser lors de la traduction
dadresses de rseau pour associer les paquets ladresse IP prive du serveur interne, ladresse
192.168.20.254.
R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254
tape 2 : dsignation des interfaces de traduction dadresses de rseau internes et externes
Pour que la traduction dadresses de rseau puisse fonctionner, vous devez dsigner les interfaces
internes et les interfaces externes.
R2(config-if)#ip nat outside
R2(config-if)#interface fa0/0
R2(config-if)#ip nat inside
Remarque : si vous utilisez un serveur interne simul, affectez la commande ip nat inside linterface
de bouclage.
tape 3 : vrification de la configuration de la traduction dadresses de rseau statique
partir dFAI, envoyez une requte ping vers ladresse IP publique 209.165.200.254.
Tche 7 : configuration dun pool dadresses pour la traduction dadresses de rseau

dynamique
Tandis que la fonction NAT statique fournit un mappage permanent entre une adresse interne et une
adresse publique spcifique, la fonction NAT dynamique mappe des adresses IP prives avec des
adresses publiques. Ces adresses IP publiques proviennent dun pool NAT (pool de traduction
dadresses de rseau).
tape 1 : dfinition dun pool dadresses globales
Crez un pool dadresses utiliser pour la traduction des adresses source correspondantes. La commande
suivante cre un pool appel MY-NAT-POOL, qui convertit les adresses correspondantes en une adresse
IP disponible dans la plage 209.165.200.241 - -209 165 200 246.
R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask
255.255.255.248
tape 2 : cration dune liste de contrle daccs tendue permettant didentifier les adresses
internes traduites
R2(config)#ip access-list extended NAT
R2(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
R2(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any
Page 9 sur 15
CCNA Exploration

tape 3 : tablissement dune traduction de source dynamique par association du pool la liste
de contrle daccs
Un routeur peut disposer de plusieurs pools de traduction dadresses de rseau et de plusieurs listes de
contrle daccs. La commande suivante indique au routeur le pool dadresses qui doit tre utilis pour
convertir les htes autoriss par la liste de contrle daccs.
R2(config)#ip nat inside source list NAT pool MY-NAT-POOL
Vous avez dj dsign les interfaces internes et externes de votre configuration de traduction dadresses
de rseau statique. Ajoutez maintenant linterface srie connecte R1 comme interface interne.
Envoyez une requte ping au routeur FAI partir de PC1 ou de linterface Fast Ethernet de R1, en
utilisant une commande ping tendue. Vrifiez ensuite la fonction NAT en excutant les commandes
show ip nat translations et show ip nat statistics sur R2.
R2#show ip nat translations
Pro Inside global
Inside local
icmp 209.165.200.241:4 192.168.10.1:4
--- 209.165.200.241
192.168.10.1
--- 209.165.200.254
192.168.20.254
Outside local
209.165.200.226:4
-----
Outside global
209.165.200.226:4
-----
R2#show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 0 extended)
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/0/0, Loopback0
Hits: 23 Misses: 3
CEF Translated packets: 18, CEF Punted packets: 0
Expired translations: 3
Dynamic mappings:
-- Inside Source
[Id: 1] access-list NAT pool MY-NAT-POOL refcount 1
pool MY-NAT-POOL: netmask 255.255.255.248
start 209.165.200.241 end 209.165.200.246
type generic, total addresses 6, allocated 1 (16%), misses 0
Queued Packets: 0
Pour rsoudre les problmes relatifs la fonction NAT, vous pouvez utiliser la commande debug ip nat.
Activez la commande de dbogage de la fonction NAT et rexcutez la commande ping partir de PC1.
R2#debug ip nat
IP NAT debugging is on
R2#
*Sep 13 21:15:02.215: NAT*:
*Sep 13 21:15:02.231: NAT*:
*Sep 13 21:15:02.247: NAT*:
*Sep 13 21:15:02.263: NAT*:
*Sep 13 21:15:02.275: NAT*:
*Sep 13 21:15:02.291: NAT*:
*Sep 13 21:15:02.307: NAT*:
s=192.168.10.11->209.165.200.241, d=209.165.200.226
s=209.165.200.226, d=209.165.200.241->192.168.10.11
s=192.168.10.11->209.165.200.241, d=209.165.200.226
s=209.165.200.226, d=209.165.200.241->192.168.10.11
s=192.168.10.11->209.165.200.241, d=209.165.200.226
s=209.165.200.226, d=209.165.200.241->192.168.10.11
s=192.168.10.11->209.165.200.241, d=209.165.200.226
Page 10 sur 15
[25]
[25]
[26]
[26]
[27]
[27]
[28]
CCNA Exploration

*Sep 13 21:15:02.323: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [28]

*Sep 13 21:15:02.335: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [29]
*Sep 13 21:15:02.351: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [29]
R2#
Tche 8 : configuration de la surcharge de la fonction NAT

Dans lexemple prcdent, que se passerait-il si vous deviez utiliser un nombre dadresses IP publiques
suprieur aux six adresses autorises dans le pool ?
__________________________________________________________________________________
Le septime utilisateur et les utilisateurs suivants ne pourraient pas accder aux emplacements situs
au-del du routeur R2.
Grce au suivi des numros de port, la fonction de surcharge de traduction dadresses de rseau permet
plusieurs utilisateurs internes de rutiliser une adresse IP publique.
Dans le cadre de cette tche, vous supprimerez le pool et linstruction de mappage configurs au cours
de la tche prcdente. Vous configurerez ensuite la surcharge de traduction dadresses de rseau sur
R2, de manire ce que toutes les adresses IP internes soient traduites en une adresse associe
linterface S0/0/1 de R2 lors de la connexion un priphrique externe.
tape 1 : suppression du pool de traduction dadresses de rseau et de linstruction de mappage
Utilisez les commandes suivantes pour supprimer le pool de traduction dadresses de rseau et
lassociation la liste de contrle daccs.
R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL
R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask
255.255.255.248
Si vous recevez le message suivant, effacez vos traductions dadresses de rseau.
%Pool MY-NAT-POOL in use, cannot destroy
R2#clear ip nat translation *
tape 2 : configuration de la traduction dadresses de port sur R2 laide de ladresse IP publique
de linterface srie 0/0/1
La configuration est similaire une traduction dadresses de rseau dynamique, mais au lieu dun pool
dadresses, cest le mot cl interface qui est utilis pour identifier ladresse IP externe. Par consquent,
aucun pool de traduction dadresses de rseau nest dfini. Le mot cl overload permet dajouter le
numro de port la traduction.
Comme vous avez dj configur une liste de contrle daccs pour identifier les adresses IP internes
traduire ainsi que les interfaces internes et externes, il ne vous reste plus qu configurer la commande
suivante :
R2(config)#ip nat inside source list NAT interface S0/0/1 overload
Envoyez une requte ping au routeur FAI partir de PC1 ou de linterface Fast Ethernet de R1, en
utilisant une commande ping tendue. Vrifiez ensuite la fonction NAT en excutant les commandes
show ip nat translations et show ip nat statistics sur R2.
R2#show ip nat translations
Pro Inside global
Inside local
icmp 209.165.200.225:6 192.168.10.11:6
--- 209.165.200.254
192.168.20.254
Outside local
209.165.200.226:6
---
Outside global
209.165.200.226:6
---
Page 11 sur 15
CCNA Exploration

R2#show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/0/0, Loopback0
Hits: 48 Misses: 6
CEF Translated packets: 46, CEF Punted packets: 0
Expired translations: 5
Dynamic mappings:
-- Inside Source
[Id: 2] access-list NAT interface Serial0/0/1 refcount 1
Queued Packets: 0
Remarque : au cours de la tche prcdente, vous auriez pu ajouter le mot cl overload la commande
ip nat inside source list NAT pool MY-NAT-POOL pour autoriser plus de six utilisateurs simultans.
Tche 9 : consignation des informations relatives au rseau

R1#show run
<rsultat omis>
!
hostname R1
!
enable secret class
!
no ip domain lookup
!
ip address 192.168.10.1 255.255.255.0
ip helper-address 10.1.1.2
no shutdown
!
ip address 192.168.11.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
clock rate 125000
!
no ip address
shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
!
banner motd ^C
***********************************
!!!AUTHORIZED ACCESS ONLY!!!
Page 12 sur 15
CCNA Exploration

***********************************
^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
password cisco
logging synchronous
login
line vty 0 4
exec-timeout 0 0
password cisco
logging synchronous
login
!
end
R2#show run
!
hostname R2
!
!
enable secret class
!
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool R1Fa0
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.11.5
!
ip dhcp pool R1Fa1
network 192.168.11.0 255.255.255.0
dns-server 192.168.11.5
!
no ip domain lookup
!
interface Loopback0
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
!
ip address 10.1.1.2 255.255.255.252
ip nat inside
!
Page 13 sur 15
CCNA Exploration

ip address 209.165.200.225 255.255.255.252

ip nat outside
clock rate 125000
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
default-information originate
!
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
!
no ip http server
ip nat inside source list NAT interface Serial0/0/1 overload
ip nat inside source static 192.168.20.254 209.165.200.254
!
ip access-list extended NAT
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any
!
!
banner motd ^C
***********************************
***********************************
^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
password cisco
logging synchronous
login
line vty 0 4
exec-timeout 0 0
password cisco
logging synchronous
login
!
end
FAI#show run
<rsultat omis>
!
hostname FAI
!
enable secret class
!
no ip domain lookup
Page 14 sur 15
CCNA Exploration

!
ip address 209.165.200.226 255.255.255.252
no shutdown
!
!
!
ip route 209.165.200.240 255.255.255.240 Serial0/0/1
!
banner motd ^C
***********************************
***********************************
^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end

Page 15 sur 15
Travaux pratiques 7.4.2 : configuration avance de DHCP et NAT

Table dadressage
Priphrique
R1
R2
FAI
Interface
Adresse IP
S0/0/0
172.16.0.1
255.255.255.252
Fa0/0
172.16.10.1
255.255.255.0
Fa0/1
172.16.11.1
255.255.255.0
S0/0/0
172.16.0.2
255.255.255.252
S0/0/1
209.165.201.1
255.255.255.252
Fa0/0
172.16.20.1
255.255.255.0
S0/0/1
209.165.201.2
255.255.255.252
Prparer le rseau
Effectuer des configurations de routeur de base
Configurer un serveur DHCP Cisco IOS
Configurer le routage statique et le routage par dfaut
Configurer la fonction NAT statique
Page 1 sur 8
CCNA Exploration

configuration avance de DHCP et NAT
Configurer la fonction NAT dynamique laide dun pool dadresses
Configurer la surcharge de la fonction NAT
Scnario
Dans le cadre de cet exercice, vous apprendrez configurer les services dadressage IP sur le rseau
reprsent dans le diagramme de topologie. Si vous avez besoin daide, reportez-vous aux travaux
pratiques consacrs la configuration des paramtres de base des services DHCP et NAT. Essayez
cependant de travailler en parfaite autonomie.

Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des
diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600.

Configurez les routeurs R1, R2 et FAI conformment aux instructions suivantes :
Configurez le nom dhte du priphrique.
Configurez un mot de passe de mode dexcution privilgi.
Configurez un mot de passe pour les connexions console.
Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty).
Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront
attribuer des adresses IP par le service DHCP.
Activez OSPF en utilisant lID de processus 1 sur R1 et R2. Nannoncez pas le rseau
209.165.200.224/27.
Remarque : Au lieu de relier un serveur R2, vous pouvez configurer une interface de bouclage sur R2
de faon utiliser ladresse IP 192.168.20.254/24. De cette faon, il nest pas ncessaire de configurer
linterface Fast Ethernet.
Pour tous les priphriques :
enable
conf t
no ip domain-lookup
enable secret class
banner motd $Authorized Access Only!$
!
line con 0
logging synchronous
password cisco
login
!
Page 2 sur 8
CCNA Exploration

line vty 0 4
password cisco
login
end
copy run start
R1 :
hostname R1
int fa0/0
ip address 172.16.10.1 255.255.255.0
no shut
int fa0/1
ip address 172.16.11.1 255.255.255.0
no shut
int s0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shut
!
router rip
version 2
network 172.16.0.0
no auto-summary
R2 :
hostname R2
int fa0/0
ip address 172.16.20.1 255.255.255.0
no shut
int s0/0/0
ip address 172.16.0.2 255.255.255.252
no shut
int s0/0/1
ip address 209.165.201.1 255.255.255.252
clock rate 125000
no shut
!
router rip
version 2
network 172.16.0.0
no auto-summary
FAI :
hostname FAI
int s0/0/1
ip address 209.165.201.2 255.255.255.252
no shut
!
Page 3 sur 8
CCNA Exploration

Tche 3 : configuration dun serveur DHCP Cisco IOS

Configurez le routeur R2 en tant que serveur DHCP pour les deux rseaux locaux (LAN) du routeur R1.
tape 1 : exclusion des adresses attribues de manire statique
Excluez les trois premires adresses de chaque pool.
tape 2 : configuration du pool DHCP
Crez deux pools DHCP. Attribuez au premier pool le nom R1_LAN10 pour le rseau 172.16.10.0/24
et attribuez au deuxime pool le nom R1_LAN11 pour le rseau 172.16.11.0/24.
Pour chaque pool, configurez une passerelle par dfaut et un serveur DNS simul, ladresse
172.16.20.254.
R2(config)#ip dhcp pool R1_LAN10
R2(dhcp-config)#ip dhcp pool R1_LAN11
tape 3 : configuration de lagent relais DHCP
Configurez des commandes helper-address de sorte que les broadcasts envoys par un client soient
achemins vers le serveur DHCP.
tape 4 : vrification de la configuration DHCP
Tche 4 : configuration du routage statique et du routage par dfaut

Sur FAI, configurez une route statique pour le rseau 209.165.201.0/27. Utilisez largument exit interface.
FAI(config)#ip route 209.165.201.0 255.255.255.224 serial 0/0/1
Configurez une route par dfaut sur R2 et propagez-la dans OSPF. Utilisez ladresse IP du tronon
suivant comme argument.
R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.201.2
R2(config-router)#default-information originate
Page 4 sur 8
CCNA Exploration

Tche 5 : configuration de la traduction dadresses de rseau (NAT) statique

tape 1 : mappage statique dune adresse IP publique une adresse IP prive
Associez de manire statique ladresse IP du serveur interne ladresse publique 209.165.201.30.
R2(config)#ip nat inside source static 172.16.20.254 209.165.201.30
R2(config-if)#ip nat outside
tape 3 : vrification de la configuration de la traduction dadresses de rseau statique
Tche 6 : configuration dun pool dadresses pour la traduction dadresses de rseau

dynamique
tape 1 : dfinition dun pool dadresses globales
Crez un pool appel NAT_POOL pour les adresses IP 209.165.201.9 209.165.201.14 en utilisant
le masque de sous-rseau /29.
R2(config)#ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask
255.255.255.248
tape 2 : cration dune liste de contrle daccs standard permettant didentifier les adresses
internes traduites
Utilisez le nom NAT_ACL et autorisez tous les htes relis aux deux rseaux locaux sur R1.
R2(config)#ip access-list standard NAT_ACL
tape 3 : activation de la source de traduction dynamique
Associez le pool de traduction dadresses de rseau la liste de contrle daccs et autorisez
la surcharge de traduction dadresses de rseau.
R2(config)#ip nat inside source list NAT_ACL pool NAT_POOL overload
Vrifiez si les interfaces de traduction dadresses de rseau internes et externes sont correctement
dfinies.
Tche 7 : consignation des informations relatives au rseau

Page 5 sur 8
CCNA Exploration


Scripts finaux
!-------------!R1
!-------------hostname R1
!
enable secret class
!
no ip domain lookup
!
ip address 172.16.10.1 255.255.255.0
no shutdown
!
ip address 172.16.11.1 255.255.255.0
no shutdown
!
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shutdown
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
banner motd $
***********************************
***********************************
$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
!-------------!R2
!--------------
Page 6 sur 8
CCNA Exploration

hostname R2
!
enable secret class
!
!
ip dhcp pool R1_LAN10
network 172.16.10.0 255.255.255.0
dns-server 172.16.20.254
!
network 172.16.11.0 255.255.255.0
dns-server 172.16.20.254
!
no ip domain lookup
!
interface Loopback0
ip address 172.16.20.254 255.255.255.0
ip nat inside
!
ip address 172.16.0.2 255.255.255.252
ip nat inside
no shutdown
!
ip address 209.165.201.1 255.255.255.252
ip nat outside
clock rate 125000
no shutdown
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.201.2
!
ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
ip nat inside source list NAT_ACL pool NAT_POOL overload
!
ip access-list standard NAT_ACL
permit 172.16.10.0 0.0.0.255
permit 172.16.11.0 0.0.0.255
!
banner motd $
***********************************
***********************************
$
!
line con 0
Page 7 sur 8
CCNA Exploration

password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
!-------------!FAI
!-------------hostname FAI
!
enable secret class
!
ip address 209.165.201.2 255.255.255.252
no shutdown
!
ip route 209.165.201.0 255.255.255.224 Serial0/0/1
!
banner motd $
***********************************
***********************************
$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
Page 8 sur 8
Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

Table dadressage
Priphrique
Interface
Adresse IP
S0/0/0
172.16.0.1
255.255.255.252
Fa0/0
172.16.10.1
255.255.255.0
Fa0/1
172.16.11.1
255.255.255.0
S0/0/0
172.16.0.2
255.255.255.252
S0/0/1
209.165.201.1
255.255.255.252
Fa0/0
172.16.20.1
255.255.255.0
S0/0/1
209.165.201.2
255.255.255.252
R1
R2
FAI
Prparer le rseau
Page 1 sur 7
CCNA Exploration
Scnario
Les routeurs R1 et R2 de votre socit ont t configurs par un ingnieur rseau peu expriment.
La prsence de plusieurs erreurs dans la configuration a provoqu des problmes de connectivit. Votre
responsable vous demande de dtecter les erreurs de configuration et de les corriger, puis de dcrire
le travail ralis. En utilisant vos connaissances en matire de services DHCP et NAT, ainsi que des
mthodes de vrification standard, dtectez les erreurs et corrigez-les. Vrifiez que tous les clients
disposent dune connectivit complte. Le FAI a t correctement configur.
Assurez-vous que le rseau prend en charge les conditions suivantes :
1. Le routeur R2 doit faire office de serveur DHCP pour les rseaux 172.16.10.0/24 et
172.16.11.0/24, connects au routeur R1.
2. Tous les PC connects au routeur R1 doivent recevoir une adresse IP dans le rseau appropri
via le protocole DHCP.
3. Le trafic provenant des rseaux locaux de R1, entrant dans linterface srie Serial 0/0/0 et sortant
de linterface srie Serial 0/0/1 de R2, doit recevoir une traduction NAT avec un pool dadresses
fourni par le FAI.
4. Le serveur interne doit tre accessible partir des rseaux externes laide de ladresse IP
209.165.201.30 et partir des rseaux internes laide de ladresse IP 172.16.20.254.

tape 3 : importation des configurations
[Note au formateur : les configurations suivantes comportent des commandes mal configures. Il est
possible de les charger dans les routeurs figurant dans la topologie. Les configurations finales figurant
la fin de ce document comprennent des commandes manquantes (en rouge) et des commandes mal
configures (en rouge barr), suivies de la commande adquate en rouge.]
R1
hostname R1
!
enable secret class
!
no ip domain lookup
!
ip address 172.16.10.1 255.255.255.0
no shutdown
!
ip address 172.16.11.1 255.255.255.0
no shutdown
!
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shutdown
Page 2 sur 7
CCNA Exploration
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
R2
hostname R2
!
enable secret class
!
!
network 172.16.10.0 255.255.255.0
dns-server 172.16.20.254
!
network 172.16.11.0 255.255.255.0
dns-server 172.16.20.254
!
no ip domain lookup
!
ip address 172.16.20.1 255.255.255.0
ip nat inside
no shutdown
!
ip address 172.16.0.2 255.255.255.252
no shutdown
!
ip address 209.165.201.1 255.255.255.252
ip nat outside
clock rate 125000
no shutdown
!
router rip
version 2
network 172.16.0.0
Page 3 sur 7
CCNA Exploration
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.201.2
!
ip nat inside source list NAT_ACL pool NATPOOL overload
!
permit 172.16.10.0 0.0.0.255
!
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
FAI
hostname FAI
!
enable secret class
!
ip address 209.165.201.2 255.255.255.252
no shutdown
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
!
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
Page 4 sur 7
CCNA Exploration

Lorsque le rseau est correctement configur :
Les ordinateurs PC1 et PC2 doivent tre en mesure de recevoir des adresses IP depuis le pool
DHCP appropri, comme lindique la commande ipconfig. En outre, une commande show ip dhcp
bindings excute sur le routeur R2 doit indiquer que les deux PC ont reu des adresses IP.
Les requtes ping envoyes depuis les ordinateurs PC1 et PC2 au FAI doivent recevoir une
traduction NAT avec surcharge, comme indiqu par la commande show ip nat
translations sur le routeur R2.
Les requtes ping envoyes depuis le serveur interne au FAI doivent recevoir la traduction NAT
statique indique dans la topologie. Pour le vrifier, utilisez la commande show ip nat
translations.
Lenvoi dune requte ping depuis le FAI ladresse globale du serveur interne doit aboutir.
Les requtes ping envoyes depuis le FAI au routeur R1 ne doivent recevoir aucune traduction
dadresses de rseau (NAT), comme indiqu par la commande show ip nat translations
ou debug ip nat sur le routeur R2.


Configurations finales
R1
hostname R1
!
enable secret class
!
no ip domain lookup
!
ip address 172.16.10.1 255.255.255.0
no shutdown
!
ip address 172.16.11.1 255.255.255.0
no shutdown
!
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shutdown
Page 5 sur 7
CCNA Exploration
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
R2
hostname R2
!
enable secret class
!
!
network 172.16.10.0 255.255.255.0
dns-server 172.16.20.254
!
network 172.16.11.0 255.255.255.0
dns-server 172.16.20.254
!
no ip domain lookup
!
ip address 172.16.20.1 255.255.255.0
ip nat inside
no shutdown
!
ip address 172.16.0.2 255.255.255.252
ip nat inside
no shutdown
!
ip address 209.165.201.1 255.255.255.252
ip nat outside
clock rate 125000
no shutdown
!
router rip
Page 6 sur 7
CCNA Exploration
version 2
network 172.16.0.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.201.2
!
ip nat inside source list NAT_ACL pool NATPOOL overload
ip nat inside source list NAT_ACL pool NAT_POOL overload
!
permit 172.16.10.0 0.0.0.255
permit 172.16.11.0 0.0.0.255
!
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
FAI
hostname FAI
!
enable secret class
!
ip address 209.165.201.2 255.255.255.252
no shutdown
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
!
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
Page 7 sur 7
Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

Table dadressage
Priphrique
R1
R2
R3
Comm1
Comm2
Interface
Adresse IP
Fa0/0
Fa0/1
S0/0/0
S0/0/1
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
Fa0/1.11
Fa0/1.30
S0/0/0
S0/0/1
VLAN10
VLAN11
192.168.10.1
192.168.11.1
10.1.1.1
10.3.3.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
N/D
192.168.11.3
192.168.30.1
10.3.3.2
10.2.2.2
Protocole DHCP
192.168.11.2
Masque de
sous-rseau
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
N/D
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0

N/D
N/D
N/D
N/D
N/D
N/D
N/D
209.165.200.226
N/D
N/D
N/D
N/D
N/D
N/D
N/D
Page 1 sur 35
CCNA Exploration
Accs au rseau tendu : dpannage du rseau
Comm3
PC1
PC2
PC3
Serveur TFTP
VLAN30
Carte rseau
Carte rseau
Carte rseau
Carte rseau
192.168.30.2
192.168.10.10
192.168.11.10
192.168.30.10
192.168.20.254
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
N/D
192.168.10.1
192.168.11.1
192.168.30.1
192.168.20.1

par dfaut
Charger les routeurs et les commutateurs avec les scripts fournis
Scnario
Vous tes charg de corriger les erreurs de configuration du rseau de la socit. Dans le cadre de cet
exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin
dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe.
Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des
connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques
prcdents.
Conditions requises
Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle
du rseau local virtuel VLAN 30.
Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2.
La liaison srie entre les routeurs R1 et R2 est de type Frame Relay. Assurez-vous que chaque
routeur peut envoyer une requte ping sa propre interface Frame Relay.
La liaison srie entre R2 et R3 utilise lencapsulation HDLC.
La liaison srie entre R1 et R3 utilise le protocole PPP.
La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP.
En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise.
Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis
les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique.
Indice :
R2# telnet 10.1.1.1 /source-interface loopback 0
Trying 10.1.1.1 ...
Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres
routeurs.
Les protocoles de routage doivent tre scuriss. Tous les routeurs RIP doivent utiliser
lauthentification MD5.
R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie
directement connecte.
Page 2 sur 35
CCNA Exploration
R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/0.
Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP.
Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP
auprs du service DHCP de R1. Cela concerne notamment Comm1.
R1 doit tre accessible via SDM.
Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les
priphriques.
Notes au formateur
Les configurations charger dans les routeurs sont fournies aux participants. Les configurations qui sont
prsentes dans les travaux pratiques destins aux participants ne comportent pas les lignes affiches
en rouge. En tant que formateur, vous pouvez utiliser ces lignes pour guider les participants tout au long
du processus de dpannage.
Tels quils sont prsents ici, les travaux pratiques permettent de sentraner la rsolution de problmes
et au dpannage, ainsi que de vrifier lacquisition de nombreuses comptences dveloppes dans le
cadre des cours CCNA. Une autre configuration de dmarrage est disponible pour des travaux pratiques
moins avancs. Elle comporte moins de problmes rsoudre et permet aux participants de terminer
plus rapidement les exercices.

!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
!
no ip domain lookup
!La liaison Frame Relay ne fonctionne que si lune des extrmits commute des
!trames.
!
key chain RIP_KEY
key 1
key-string cisco
!Une chane cl doit tre utilise pour que l'authentification RIP
!fonctionne.
!
username R3 password 0 ciscoccna
Page 3 sur 35
CCNA Exploration

!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 192.168.11.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
clockrate 128000
no shutdown
! Linterface srie du routeur qui remplit le rle de commutateur
! Frame Relay doit tre dsigne du ct DCE de la connexion.
!
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
no shutdown
!
!
router rip
version 2
no passive-interface FastEthernet0/0
! Les interfaces doivent tre dans un tat non passif pour propager
! les mises jour RIP lorsque la commande passive interface default est
! entre.
network 10.1.1.0
network 10.0.0.0
! La commande network 10.1.1.0 fonctionne. Cependant, RIP la changera
! en 10.0.0.0. La commande show run permet de confirmer ceci.
network 192.168.10.0
network 192.168.11.0
no auto-summary
!
Page 4 sur 35
CCNA Exploration
ip classless
!
no ip http server
ip http server
! Le serveur HTTP a certainement t dsactiv pour des raisons de scurit.
! Cependant, pour que SDM soit accessible, le serveur HTTP doit tre activ.
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!
hostname R2
!
!
aaa new-model
!
! Le nom de la liste dauthentification est sensible la casse, les lignes
! vty essaient donc dauthentifier une liste qui nexiste pas. Les erreurs de
! casse et de typographie sont les plus courantes.
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!
interface Loopback0
description Simulated ISP Connection
Page 5 sur 35
CCNA Exploration
ip address 209.165.200.245 255.255.255.224

!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
duplex auto
speed auto
!
!
ip address 10.1.1.2 255.255.255.0
ip address 10.1.1.2 255.255.255.252
ip nat inside
no keepalive
! Sans cette commande, ce routeur ne peut pas envoyer de ping sa
! propre interface.
!
ip address 10.2.2.1 255.255.255.0
ip address 10.2.2.1 255.255.255.252
! Le sous-rseau /24 tant utilis trs souvent, il est frquent de faire
! des erreurs de masques de sous-rseau.
ip access-group R3-telnet in
ip nat inside
clockrate 128000
!
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
Page 6 sur 35
CCNA Exploration
!
permit 192.168.20.0 0.0.0.255
deny any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
deny
deny
permit ip any any
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!
hostname R3
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
Page 7 sur 35
CCNA Exploration
!
no shutdown
!
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
!
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
! Tous les autres routeurs utilisent lauthentification. Par consquent, sans
! cette commande sur toutes les interfaces qui envoient des mises jour RIP,
! ce routeur ne peut pas participer RIP.
!
router rip
version 2
no passive-interface FastEthernet0/1.11
network 10.0.0.0
network 192.168.11.0
network 192.168.30.0
no auto-summary
!
ip classless
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny any
Page 8 sur 35
CCNA Exploration
permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
!
hostname Comm1
!
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
vlan internal allocation policy ascending
!
vlan 10
!
!
!
interface range FastEthernet0/3-24
Page 9 sur 35
CCNA Exploration
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!
hostname Comm2
!
!
no aaa new-model
vtp mode client
! REMARQUE : comme le serveur tait dj configur, les informations de VLAN
! ne sont pas transmises Comm3, jusqu la prochaine modification. Ceci
! peut
! tre d la cration et la suppression dun VLAN sur Comm2, le serveur
! VTP.
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
Page 10 sur 35
CCNA Exploration
spanning-tree mode rapid-pvst

spanning-tree vlan 11 priority 24576
!
!
!
!
switchport trunk native vlan 99
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Page 11 sur 35
CCNA Exploration
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp domain CCNA_troubleshooting
! Le mode VTP est sensible la casse, une faute de frappe de ce type peut
! empcher VTP
! de fonctionner normalement. Ce commutateur devrait afficher une erreur sur
! une non-correspondance de domaines lorsque les liaisons dagrgation sont
! actives.
vtp mode server
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
!
vlan 11,30
! Il est frquent doublier de crer des VLAN, en particulier sils
! sont dj autoriss sur les liaisons dagrgation.
!
! VLAN 11 doit tre autoris sur lagrgation vers R3 pour tablir la
! connexion avec
R2
!
!
!
Page 12 sur 35
CCNA Exploration

!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Tche 3 : vrification de la conformit aux conditions requises
Les contraintes de temps ne permettant pas daborder le dpannage de problmes couvrant tous les
sujets, seul un certain nombre de sujets sont censs poser problme dans le cadre de cet exercice.
Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier le
respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque condition
requise, tel quune commande show ou debug.
Rappelez aux participants les diffrentes commandes utilises pendant ce cours, ainsi que dautres
permettant deffectuer des vrifications et des oprations de dpannage. Voici une liste de commandes
courantes pouvant savrer utiles :
show ip route
show ip interface brief
show spanning-tree
show vtp status
show interface serial
Page 13 sur 35
CCNA Exploration
debug ppp authentication
show ip access-lists
show ip dhcp binding
show frame-relay map
show run
debug ppp authentication
ping
telnet
Cest intentionnellement que nous navons pas dtaill cette tche, car il existe de nombreuses faons
de vrifier les conditions. Voici un exemple de la condition n1 :
La condition n1 indique que Comm2 et Comm3 doivent respectivement correspondre aux racines des
rseaux locaux virtuels VLAN 11 et VLAN 30. Lexcution de la commande show spanning-tree permet
de vrifier que ces commutateurs ont t configurs correctement.
Comm2#show spanning-tree
VLAN0011
Spanning tree enabled protocol rstp
Root ID
Priority
24587
Address
001c.57ec.2480
This bridge is the root
Hello Time
2 sec Max Age 20 sec
Bridge ID
Priority
24587 (priority 24576 sys-id-ext 11)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300
Interface
---------------Fa0/2
Fa0/3
Fa0/4
Role
---Desg
Desg
Desg
Sts
--FWD
FWD
FWD
Cost
--------19
19
19
Prio.Nbr
-------128.2
128.3
128.4
Type
--------------------P2p
P2p
P2p
VLAN0030
Root ID
Priority
24606
Address
001c.57ec.1480
Cost
19
Port
3 (FastEthernet0/3)
Hello Time
Bridge ID
Forward Delay 15
Forward Delay 15
Priority
Address
001c.57ec.2480
Hello Time
Aging Time 300
Interface
---------------Fa0/3
Fa0/4
Role
---Root
Altn
Sts
--FWD
BLK
Cost
--------19
19
Prio.Nbr
-------128.3
128.4
Type
--------------------P2p
P2p
Page 14 sur 35
CCNA Exploration

!-----------------------------------------!
R1
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
ip cef
!
network 192.168.10.0 255.255.255.0
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
!
ip address 10.1.1.1 255.255.255.252
no keepalive
clockrate 128000
!
Page 15 sur 35
CCNA Exploration
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
!
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
network 192.168.11.0
no auto-summary
!
ip classless
!
ip http server
!
permit 192.168.10.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!
hostname R2
!
!
aaa new-model
!
Page 16 sur 35
CCNA Exploration

!
ip cef
!
no ip domain lookup
!
!
key chain RIP_KEY
key 1
key-string cisco
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
ip nat inside
no keepalive
!
ip address 10.2.2.1 255.255.255.252
ip nat inside
clockrate 128000
!
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
Page 17 sur 35
CCNA Exploration
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
!
permit 192.168.20.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
!
deny
deny
deny
deny
permit ip any any
!
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!
hostname R3
!
!
no aaa new-model
!
ip cef
!
Page 18 sur 35
CCNA Exploration
no ip domain lookup
!
!
key chain RIP_KEY
key 1
key-string cisco
!
no ip address
duplex auto
speed auto
!
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
!
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
!
router rip
version 2
network 10.0.0.0
network 192.168.11.0
network 192.168.30.0
no auto-summary
!
ip classless
Page 19 sur 35
CCNA Exploration
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!
hostname Comm1
!
!
no aaa new-model
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
vlan 10
!
Page 20 sur 35
CCNA Exploration

!
!
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Comm2
!
!
no aaa new-model
vtp mode client
ip subnet-zero
Page 21 sur 35
CCNA Exploration
!
no ip domain-lookup
!
no file verify auto
!
!
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
Page 22 sur 35
CCNA Exploration
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp mode Server
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
!
Vlan 11,30
!
!
!
!
!
shutdown
!
Page 23 sur 35
CCNA Exploration
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Page 24 sur 35
CCNA Exploration
Autres configurations
Vous pouvez utiliser ces configurations comme point de dpart. Elles contiennent moins derreurs.
Les mmes mthodes et commandes de dpannage doivent tre utilises pour identifier et rsoudre
les problmes. Les configurations de rseau corriges sont identiques celles obtenues pour les
configurations dorigine.
!-----------------------------------------!
R1
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
ip cef
!
network 192.168.10.0 255.255.255.0
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!Une chane cl doit tre utilise pour que lauthentification RIP
!fonctionne.
!
!
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 192.168.11.1 255.255.255.0
no shutdown
!
ip address 10.1.1.1 255.255.255.252
Page 25 sur 35
CCNA Exploration
clockrate 128000
no shutdown
!
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
no shutdown
!
!
router rip
version 2
! Les interfaces doivent tre dans un tat non passif pour propager
! les mises jour RIP lorsque la commande passive interface default est
!entre.
network 10.0.0.0
network 192.168.10.0
network 192.168.11.0
no auto-summary
!
ip classless
!
no ip http server
ip http server
! Le serveur HTTP a certainement t dsactiv pour des raisons de scurit.
! Cependant, pour que SDM soit accessible, le serveur HTTP doit tre activ.
!
permit 192.168.10.0 0.0.0.255
deny any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
Page 26 sur 35
CCNA Exploration
login local
!
end
!-----------------------------------------!
R2
!
hostname R2
!
!
aaa new-model
!
! Le nom de la liste dauthentification est sensible la casse, les lignes vty
! essaient donc dauthentifier une liste qui nexiste pas. Les erreurs de casse
! et de typographie sont les plus courantes.
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!
interface Loopback0
description Simulated ISP Connection
ip address 209.165.200.245 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.0
ip address 10.1.1.2 255.255.255.252
ip nat inside
no keepalive
Page 27 sur 35
CCNA Exploration

!
ip address 10.2.2.1 255.255.255.0
ip address 10.2.2.1 255.255.255.252
! Le sous-rseau /24 tant utilis trs souvent, il est frquent de faire
! des erreurs de masques de sous-rseau.
ip nat inside
clockrate 128000
!
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
!
permit 192.168.20.0 0.0.0.255
deny any
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
!
deny
deny
deny
deny
permit ip any any
!
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
Page 28 sur 35
CCNA Exploration

line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!
hostname R3
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!
no shutdown
!
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
!
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
Page 29 sur 35
CCNA Exploration

!
ip address 10.2.2.2 255.255.255.252
! Tous les autres routeurs utilisent lauthentification. Par consquent, sans
! cette commande sur toutes les interfaces qui envoient des mises jour RIP,
!ce routeur
! ne peut pas participer RIP.
!
router rip
version 2
no passive-interface FastEthernet0/0,11
network 10.0.0.0
network 192.168.11.0
network 192.168.30.0
no auto-summary
!
ip classless
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
Page 30 sur 35
CCNA Exploration
!
hostname Comm1
!
!
no aaa new-model
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
vlan 10
!
!
!
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
Page 31 sur 35
CCNA Exploration
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!
hostname Comm2
!
!
no aaa new-model
vtp mode client
! REMARQUE : comme le serveur tait dj configur, les informations de VLAN
! ne sont pas transmises Comm3, jusqu la prochaine modification. Ceci
! peut
! tre d la cration et la suppression dun VLAN sur Comm2, le serveur
! VTP.
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
!
!
!
!
!
Page 32 sur 35
CCNA Exploration

shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp domain CCNA_troubleshooting
! Le mode VTP est sensible la casse, une faute de frappe de ce type peut
! empcher VTP
! de fonctionner normalement. Ce commutateur devrait afficher une erreur sur
! une non-correspondance de domaines lorsque les liaisons dagrgation sont
!actives.
vtp mode server
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
Page 33 sur 35
CCNA Exploration
!
!
!
vlan 11,30
! Il est frquent doublier de crer des VLAN, en particulier sils
! sont dj autoriss sur les liaisons dagrgation.
!
! VLAN 11 doit tre autoris sur lagrgation vers R3 pour tablir la
! connexion avec
! R2
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
Page 34 sur 35
CCNA Exploration
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Page 35 sur 35

Table dadressage
Priphrique
R1
R2
R3
Comm1
Comm2
Comm3
Interface
Adresse IP
Fa0/0
Fa0/1
S0/0/0
S0/0/1
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
Fa0/1.11
Fa0/1.30
S0/0/0
S0/0/1
VLAN10
VLAN11
VLAN30
192.168.10.1
192.168.11.1
10.1.1.1
10.3.3.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
N/D
192.168.11.3
192.168.30.1
10.3.3.2
10.2.2.2
Protocole DHCP
192.168.11.2
192.168.30.2
Masque de
sous-rseau
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
N/D
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
Passerelle
par dfaut
N/D
N/D
N/D
N/D
N/D
N/D
N/D
209.165.200.226
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
Page 1 sur 22
CCNA Exploration
PC1
PC2
PC3
Serveur TFTP
Carte rseau
Carte rseau
Carte rseau
Carte rseau
Protocole DHCP
192.168.11.10
192.168.30.10
192.168.20.254
255.255.255.0
255.255.255.0
255.255.255.0
192.168.11.1
192.168.30.1
192.168.20.1

par dfaut
Scnario
Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les
lignes de console, afin dempcher tout verrouillage accidentel. Dans ces travaux pratiques, le mot de
passe utiliser est ciscoccna.
prcdents.
Conditions requises
La liaison srie entre les routeurs R1 et R2 est de type Frame Relay.
Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis
les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique.
routeurs.
Les protocoles de routage doivent tre utiliss de manire scurise. Le protocole EIGRP est
utilis dans ce scnario.
priphriques.
Page 2 sur 22
CCNA Exploration

!-----------------------------------------!
R1
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
ip cef
!
network 192.168.10.0 255.255.255.0
!
no ip domain lookup
!
username R2 password ciscoccna
! Une faute de frappe dans le nom dutilisateur empche R3 de sauthentifier
! avec CHAP.
!
ip address 192.168.10.1 255.255.255.0
ip access-group Anti-spoofing out
! La liste daccs na pas t applique dans la bonne direction. Cette erreur
! courante empche tout trafic de sortir de linterface.
duplex auto
speed auto
no shutdown
!
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
no shutdown
!
ip address 10.1.1.1 255.255.255.252
no keepalive
clockrate 128000
no shutdown
Page 3 sur 22
CCNA Exploration
!
ip address 10.3.3.1 255.255.255.0
ip address 10.3.3.1 255.255.255.252
! Le sous-rseau a t mal configur, probablement cause de lutilisation
! courante du sous-rseau /24.
encapsulation ppp
no shutdown
!
no ip address
shutdown
clockrate 2000000
!
no ip address
shutdown
!
router eigrp 10
network 10.1.1.0 0.0.0.255
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.255
network 10.2.2.0 0.0.0.3
! Une fois encore, il est facile doublier que tous les sous-rseaux ne sont
! pas /24.
network 192.168.10.0 0.0.0.255
network 192.168.11.0 0.0.0.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
ip http server
!
permit 192.168.10.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
Page 4 sur 22
CCNA Exploration
!
end
!-----------------------------------------!
R2
!
hostname R2
!
!
aaa new-model
!
!
ip cef
!
no ip domain lookup
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
ip access-group private in
!
ip address 192.168.20.1 255.255.255.0
ip nat outside
no shutdown
!
!
ip address 10.1.1.2 255.255.255.252
ip nat inside
no keepalive
no shutdown
!
ip address 10.2.2.1 255.255.255.252
! Il arrive souvent quune liste daccs soit cre mais pas applique
! sur une interface, ce qui est requis pour que la liste de contrle daccs
! fonctionne.
ip nat inside
clockrate 128000
no shutdown
!
!
Page 5 sur 22
CCNA Exploration
router eigrp 100

router eigrp 10
! Le numro de SA est incorrect, la touche 0 a certainement t enfonce
! une fois de trop. Tous les commandes de ce systme autonome doivent tre
! rentres pour le systme correct pour quEIGRP fonctionne.
no passive interface lo0
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.20.0 0.0.0.255
network 209.165.200.0 0.0.0.7
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
!
permit 192.168.20.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
ip access-list standard private
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.16.0.0 0.15.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
deny
deny
deny
deny
permit ip any any
! Lutilisateur a oubli que toutes les listes de contrle daccs se termine
! par un deny implicite, donc cette commande est ncessaire pour autoriser
! tout autre trafic.
!
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
Page 6 sur 22
CCNA Exploration

line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!
hostname R3
!
! Un utilisateur a oubli dentrer le mot de passe enable secret , qui non
! seulement nest pas sr, mais qui empche lauthentification CHAP sur la
! liaison PPP de fonctionner correctement.
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
!
no shutdown
!
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
ip access-group Anti-Spoofin in
! La liste daccs est mal orthographie. Elle fait donc rfrence une
! liste inexistante, le trafic est donc abandonn cause du deny all
! implicite la fin de toutes les listes daccs de contrle.
no shutdown
!
!
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
! La frquence dhorloge a t oublie sur linterface DCE.
Page 7 sur 22
CCNA Exploration
! PAP a t configur par erreur la place de CHAP.

!
ip address 10.2.2.2 255.255.255.252
no shutdown
!
router eigrp 10
no passive interface Fa0/0
! Ces commandes ont t oublies, EIGRP est donc envoy toutes les interfaces.
network 10.3.3.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.11.0 0.0.0.255
network 192.168.30.0 0.0.0.255
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.2.1
! La route par dfaut de la passerelle Internet a t oubli, ce qui
! empche le priphrique de latteindre.
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY out
access-class VTY in
! Cette liste daccs nest pas applique dans la bonne direction. Dans ce
! cas, il nen rsulte pas que tout le trafic est abandonn. Au contraire,
! toutes les connexions sont acceptes.
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
Page 8 sur 22
CCNA Exploration

!
hostname Comm1
!
!
no aaa new-model
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
vlan 10
!
!
!
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
Page 9 sur 22
CCNA Exploration
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
!
hostname Comm2
!
!
no aaa new-model
vtp mode Client
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode mst
! MST a t configur par erreur pour Spanning Tree. Le mme mode devrait
! tre dfini sur tous les commutateurs.
! Les racines ne sont pas leur place car les priorits taient incorrectes.
!
!
!
!
!
!
Page 10 sur 22
CCNA Exploration

shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp mode Server
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
! Ce commutateur devrait avoir une priorit plus leve (pire) que Comm2 pour
Page 11 sur 22
CCNA Exploration
! ce VLAN. Ceci se produit si lutilisteur oublie que les lections de racine

! doivent avoir une priorit moins leve.
! La priorit par dfaut a t conserve pour ce VLAN. Elle devrait tre la plus
! basse des deux commutateurs.
!
Vlan 11,30
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Page 12 sur 22
CCNA Exploration

Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier
le respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque
condition requise, tel quune commande show ou debug.
1. Comm2#show spanning-tree
VLAN0011
Root ID
Priority
24587
Address
001c.57ec.2480
Hello Time
Bridge ID
Priority
Address
001c.57ec.2480
Hello Time
Aging Time 300
Interface
---------------Fa0/2
Fa0/3
Fa0/4
Role
---Desg
Desg
Desg
Sts
--FWD
FWD
FWD
Cost
--------19
19
19
Prio.Nbr
-------128.2
128.3
128.4
Type
--------------------P2p
P2p
P2p
VLAN0030
Root ID
Priority
24606
Address
001c.57ec.1480
Cost
19
Port
3 (FastEthernet0/3)
Hello Time
Bridge ID
Forward Delay 15
Forward Delay 15
Priority
Address
001c.57ec.2480
Hello Time
Aging Time 300
Interface
---------------Fa0/3
Fa0/4
Role
---Root
Altn
Sts
--FWD
BLK
Cost
--------19
19
Prio.Nbr
-------128.3
128.4
Type
--------------------P2p
P2p

!-----------------------------------------!
R1
Page 13 sur 22
CCNA Exploration
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
ip cef
!
network 192.168.10.0 255.255.255.0
!
no ip domain lookup
!
!
ip address 192.168.10.1 255.255.255.0
!
ip address 192.168.11.1 255.255.255.0
!
ip address 10.1.1.1 255.255.255.252
no keepalive
clockrate 128000
!
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
!
!
router eigrp 10
network 10.1.1.0 0.0.0.3
network 10.3.3.0 0.0.0.3
network 192.168.10.0 0.0.0.255
network 192.168.11.0 0.0.0.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
Page 14 sur 22
CCNA Exploration
!
ip http server
!
permit 192.168.10.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!
hostname R2
!
!
aaa new-model
!
!
ip cef
!
no ip domain lookup
!
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
Page 15 sur 22
CCNA Exploration
ip address 10.1.1.2 255.255.255.252

ip nat inside
no keepalive
!
ip address 10.2.2.1 255.255.255.252
ip nat inside
clockrate 128000
!
no ip address
shutdown
!
no ip address
shutdown
clockrate 2000000
!
router eigrp 10
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.20.0 0.0.0.255
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
!
permit 192.168.20.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.0.0.0 0.31.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
deny
deny
deny
deny
Page 16 sur 22
CCNA Exploration
permit ip any any

!
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!
hostname R3
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
!
no shutdown
!
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
!
Page 17 sur 22
CCNA Exploration
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
!
router eigrp 10
network 10.3.3.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.11.0 0.0.0.255
network 192.168.30.0 0.0.0.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.2.2.1
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!
hostname Comm1
!
Page 18 sur 22
CCNA Exploration

!
no aaa new-model
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
vlan 10
!
!
!
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Page 19 sur 22
CCNA Exploration
!----------------------------------------!
Comm2
!----------------------------------------!
hostname Comm2
!
!
vtp mode client
!
no ip domain-lookup
!
!
!
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no shutdown
Page 20 sur 22
CCNA Exploration
!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp mode Server
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
!
Vlan 11,30
!
!
!
Page 21 sur 22
CCNA Exploration
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no shutdown
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Page 22 sur 22

Table dadressage
Priphrique
R1
R2
R3
Comm1
Comm2
Comm3
Interface
Adresse IP
Fa0/0
Fa0/1
S0/0/0
S0/0/1
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
Fa0/1.11
Fa0/1.30
S0/0/0
S0/0/1
VLAN10
VLAN11
VLAN30
192.168.10.1
192.168.11.1
10.1.1.1
10.3.3.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
N/D
192.168.11.3
192.168.30.1
10.3.3.2
10.2.2.2
Protocole DHCP
192.168.11.2
192.168.30.2
Masque de
sous-rseau
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
N/D
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0

N/D
N/D
N/D
N/D
N/D
N/D
N/D
209.165.200.226
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
Page 1 sur 22
CCNA Exploration
PC1
PC2
PC3
Serveur TFTP
Carte rseau
Carte rseau
Carte rseau
Carte rseau
192.168.10.10
192.168.11.10
192.168.30.10
192.168.20.254
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
192.168.10.1
192.168.11.1
192.168.30.1
192.168.20.1

par dfaut
Scnario
Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les
lignes de console, afin dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna
pour tous les mots de passe.
prcdents.
Conditions requises
La liaison srie entre les routeurs R1 et R2 est de type Frame Relay.
Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions
depuis les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse
publique.
routeurs.
Les protocoles de routage doivent tre utiliss de manire scurise. Le protocole OSPF est
utilis dans ce scnario.
priphriques.
Page 2 sur 22
CCNA Exploration

!-----------------------------------------!
R1
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
ip cef
!
network 192.168.11.0 255.255.255.0
network 192.168.10.0 255.255.255.0
! Le rseau est mal orthographi, ce qui empche le sous-rseau correct
! de joindre le pool.
!
no ip domain lookup
!
! Cette instruction na pas lieu dtre car elle exclut tout lespace
! dadressage disponible pour DHCP.
!
!
!
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
no shutdown
!
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
no shutdown
!
ip address 10.1.1.1 255.255.255.252
no keepalive
clockrate 128000
Page 3 sur 22
CCNA Exploration
no shutdown
!
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
no shutdown
!
no ip address
shutdown
clockrate 2000000
!
no ip address
shutdown
!
router ospf 1
passive-interface FastEthernet0/0
network 10.1.1.0 0.0.0.255 area 0
network 10.2.2.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
! Le mauvais masque gnrique a t configur, avec le masque /24 le plus
! courant au lieu du masque /30 correct.
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
ip http server
!
permit 192.168.10.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!
hostname R2
Page 4 sur 22
CCNA Exploration
!
!
aaa new-model
!
!
ip cef
!
no ip domain lookup
!
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip nat outside
duplex auto
speed auto
no shutdown
!
!
ip address 10.1.1.2 255.255.255.252
ip nat outside
ip nat inside
no keepalive
no shutdown
!
ip address 10.2.2.1 255.255.255.252
no shutdown
! Cette commande a t oublie, empchant la connexion R2.
ip nat outside
ip nat inside
! Les interfaces interne et externe sont appliques dans le mauvais sens.
clockrate 128000
! Il arrive souvent doublier la frquence dhorloge pour une interface, ce
! qui empche lactivation de la liaison.
!
!
router ospf 1
Page 5 sur 22
CCNA Exploration
network 10.1.1.0 0.0.0.3 area 0

network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list nat interface FastEthernet0/0
! La liste daccs est mal tape, indiquant quaucune adresse IP ne
! sera traduite. De plus, le mot cl overload a t oubli. Ceci
! empche plusieurs traductions simultanes.
!
permit 192.168.20.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.0.0.0 0.31.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
deny
deny
deny
deny
permit ip any any
!
permit 192.168.20.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
Page 6 sur 22
CCNA Exploration

!
hostname R3
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
!
no ip address
duplex auto
speed auto
no shutdown
!
! Une erreur dans le VLAN place le sous-rseau sur le mauvais VLAN.
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
!
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
no shutdown
!
ip address 10.2.2.2 255.255.255.252
encapsulation lapb
encapsulation hdlc
! Linterface a t mal configure en tant que liaison lapb.
no shutdown
!
router ospf 1
passive-interface FastEthernet0/1.30
network 10.2.2.0 0.0.0.3 area 1
network 10.3.3.0 0.0.0.3 area 1
network 192.168.11.0 0.0.0.255 area 1
network 192.168.30.0 0.0.0.255 area 1
Page 7 sur 22
CCNA Exploration
network 10.2.2.0 0.0.0.3 area 0

network 10.3.3.0 0.0.0.3 area 0
network 192.168.11.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
! Les rseaux ont t placs par erreur dans la mauvaise zone.
!
ip classless
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!
hostname Comm1
!
!
no aaa new-model
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
Page 8 sur 22
CCNA Exploration
!
vlan 10
!
!
!
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
!
hostname Comm2
!
!
no aaa new-model
vtp mode client
Page 9 sur 22
CCNA Exploration

ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
!
!
!
!
! Le VLAN natif a t modifi sur Comm3, puis oubli. La non-correspondance
! de VLAN natif entrane des erreurs dagrgation.
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
Page 10 sur 22
CCNA Exploration
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp mode Server
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
!
!
vlan 30
vlan 11
! Le VLAN 11 doit exister pour tre plac dans le domaine de gestion actif et
! pour que le trafic le traverse.
!
switchport trunk allowed vlan add 30
! Le VLAN 30 a t oubli lors de la dsignation des VLAN autoriss sur
! lagrgat vers R3.
!
!
!
Page 11 sur 22
CCNA Exploration

!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier le
respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque condition
requise, tel quune commande show ou debug.
1. Comm2#show spanning-tree
VLAN0011
Root ID
Priority
24587
Address
001c.57ec.2480
Hello Time
Forward Delay 15
Page 12 sur 22
CCNA Exploration
Bridge ID
Priority
Address
001c.57ec.2480
Hello Time
Aging Time 300
Interface
---------------Fa0/2
Fa0/3
Fa0/4
Role
---Desg
Desg
Desg
Sts
--FWD
FWD
FWD
Cost
--------19
19
19
Prio.Nbr
-------128.2
128.3
128.4
Type
--------------------P2p
P2p
P2p
VLAN0030
Root ID
Priority
24606
Address
001c.57ec.1480
Cost
19
Port
3 (FastEthernet0/3)
Hello Time
Bridge ID
Forward Delay 15
Priority
Address
001c.57ec.2480
Hello Time
Aging Time 300
Interface
---------------Fa0/3
Fa0/4
Role
---Root
Altn
Sts
--FWD
BLK
Cost
--------19
19
Prio.Nbr
-------128.3
128.4
Type
--------------------P2p
P2p

!-----------------------------------------!
R1
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
ip cef
!
network 192.168.10.0 255.255.255.0
!
no ip domain lookup
!
!
Page 13 sur 22
CCNA Exploration
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
!
ip address 10.1.1.1 255.255.255.252
no keepalive
clockrate 128000
!
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
!
no ip address
shutdown
clockrate 2000000
!
no ip address
shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
default-information originate always
!
ip http server
!
permit 192.168.10.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
Page 14 sur 22
CCNA Exploration
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!
hostname R2
!
!
aaa new-model
!
!
ip cef
!
no ip domain lookup
!
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
!
ip address 10.1.1.2 255.255.255.252
ip nat inside
no keepalive
!
ip address 10.2.2.1 255.255.255.252
ip nat inside
clockrate 128000
!
Page 15 sur 22
CCNA Exploration
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
!
permit 192.168.20.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.0.0.0 0.31.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
deny
deny
deny
deny
permit ip any any
!
permit 192.168.20.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
exec-timeout 15 0
logging synchronous
!
end
!-----------------------------------------!
R3
!
Page 16 sur 22
CCNA Exploration
hostname R3
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
!
no shutdown
!
ip address 192.168.11.3 255.255.255.0
!
ip address 192.168.30.1 255.255.255.0
!
!
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
!
ip address 10.2.2.2 255.255.255.252
!
router ospf 1
passive-interface FastEthernet0/1.30
network 10.2.2.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.11.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
ip http server
!
permit 192.168.30.0 0.0.0.255
deny
any
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
Page 17 sur 22
CCNA Exploration
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!
hostname Comm1
!
!
no aaa new-model
!
no ip domain-lookup
!
no file verify auto
!
!
vlan 10
!
!
!
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
Page 18 sur 22
CCNA Exploration
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
!
hostname Comm2
!
!
no aaa new-model
vtp mode client
!
no ip domain-lookup
!
no file verify auto
!
!
!
!
!
Page 19 sur 22
CCNA Exploration
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!
hostname Comm3
!
!
no aaa new-model
vtp mode Server
!
no ip domain-lookup
!
Page 20 sur 22
CCNA Exploration
no file verify auto

!
!
!
Vlan 11,30
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
Page 21 sur 22
CCNA Exploration
no login
!
end

Page 22 sur 22

Langue

FR EWAN ILM v40

Transféré par

Informations du document

Description :

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

FR EWAN ILM v40

Titre original :

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Ce document est la proprit exclusive de Cisco Systems, Inc.

Lautorisation dimprimer et de copier ce document nest autorise

Travaux pratiques 1.4.1 : travaux pratiques : rvision avance

Travaux pratiques 1.4.1 : rvision avance

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres

Excuter les tches de configuration de base dun routeur

Configurer et activer des interfaces

Configurer le protocole Spanning Tree

Configurer les serveurs et le client VTP

Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs

Configurer le routage RIP sur tous les routeurs

Configurer le routage OSPF sur tous les routeurs

Configurer le routage EIGRP sur tous les routeurs

Tche 1 : prparation du rseau

Travaux pratiques 1.4.1 : rvision avance

Tche 2 : excution des configurations de base des priphriques

Configurez le nom dhte.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Tche 3 : configuration et activation dadresses srie et Ethernet

Travaux pratiques 1.4.1 : rvision avance

Travaux pratiques 1.4.1 : rvision avance

tape 2 : vrification de ladressage IP et des interfaces

OK? Method Status

OK? Method Status

administratively down down

OK? Method Status

administratively down down

tape 3 : configuration de linterface VLAN de gestion sur Comm1, Comm2 et Comm3

Travaux pratiques 1.4.1 : rvision avance

Tche 4 : configuration du protocole STP

Tche 5 : configuration de VTP

Travaux pratiques 1.4.1 : rvision avance

tape 3 : vrification de la configuration

Tche 6 : configuration des rseaux locaux virtuels

Travaux pratiques 1.4.1 : rvision avance

Fa0/6, Fa0/7, Fa0/8,Fa0/9

Comm2#show vlan brief

Travaux pratiques 1.4.1 : rvision avance

tape 3 : attribution de ports aux rseaux locaux virtuels appropris

Tche 7 : configuration du routage RIP

Travaux pratiques 1.4.1 : rvision avance

Travaux pratiques 1.4.1 : rvision avance

Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:

Travaux pratiques 1.4.1 : rvision avance

Travaux pratiques 1.4.1 : rvision avance

Travaux pratiques 1.4.1 : rvision avance

Type escape sequence to abort.

tape 3 : vrification de la table de routage

192.168.30.0/24 [120/1] via 10.13.13.3, 00:00:03, FastEthernet0/1.13

192.168.30.0/24 [120/1] via 10.2.2.2, 00:00:05, Serial0/0/1

Travaux pratiques 1.4.1 : rvision avance

192.168.30.0/24 is directly connected, FastEthernet0/1.30