Vous êtes sur la page 1sur 332

Ce document est la proprit exclusive de Cisco Systems, Inc.

Lautorisation dimprimer et de copier ce document nest autorise


que pour une distribution non commerciale et lutilisation de ce document
est exclusivement rserve aux formateurs du cours CCNA Exploration :
Accs au rseau tendu, en tant que partie intgrante du programme officiel
Cisco Networking Academy.

Travaux pratiques 1.4.1 : travaux pratiques : rvision avance


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

Interface

Adresse IP

Masque de
sous-rseau

Passerelle
par dfaut

Fa0/1

N/D

N/D

N/D

Fa0/1.10

192.168.10.1

255.255.255.0

N/D

Fa0/1.12

10.12.12.1

255.255.255.0

N/D

Fa0/1.13

10.13.13.1

255.255.255.0

N/D

S0/0/0

10.1.1.1

255.255.255.252

N/D

Fa0/1

N/D

N/D

N/D

Fa0/1.12

10.12.12.2

255.255.255.0

N/D

Fa0/1.20

192.168.20.1

255.255.255.0

N/D

S0/0/0

10.1.1.2

255.255.255.252

N/D

S0/0/1

10.2.2.1

255.255.255.252

N/D

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Fa0/1

N/D

N/D

N/D

Fa0/1.13

10.13.13.3

255.255.255.0

N/D

Fa0/1.30

192.168.30.1

255.255.255.0

N/D

S0/0/1

10.2.2.2

255.255.255.252

N/D

Comm1

VLAN10

192.168.10.2

255.255.255.0

192.168.10.1

Comm2

VLAN20

192.168.20.2

255.255.255.0

192.168.20.1

Comm3

VLAN30

192.168.30.2

255.255.255.0

192.168.30.1

PC1

Carte rseau

192.168.10.10

255.255.255.0

192.168.10.1

PC3

Carte rseau

192.168.30.10

255.255.255.0

192.168.30.1

R3

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Excuter les tches de configuration de base dun routeur

Configurer et activer des interfaces

Configurer le protocole Spanning Tree

Configurer les serveurs et le client VTP

Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs

Configurer le routage RIP sur tous les routeurs

Configurer le routage OSPF sur tous les routeurs

Configurer le routage EIGRP sur tous les routeurs

Scnario
Au cours de ces travaux pratiques, vous allez examiner les concepts de routage et de commutation.
Essayez cependant de travailler de faon autonome. Si vous prouvez des difficults, reportez-vous au
cours prcdent.
Remarque : il nest pas conseill dutiliser la configuration de trois protocoles de routage distincts (RIP,
OSPF et EIGRP) pour acheminer le mme rseau. En effet, cette pratique est des moins recommandes,
et elle ne devrait pas tre mise en uvre dans un rseau de production. Elle a t adopte ici pour vous
permettre dexaminer les principaux protocoles de routage et pour illustrer le concept de distance
administrative.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression des configurations existantes sur les routeurs

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Tche 2 : excution des configurations de base des priphriques


Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2, Comm3,
en respectant les consignes suivantes :

Configurez le nom dhte.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

enable
configure terminal
no ip domain-lookup
enable secret class
banner motd ^CUnauthorized access strictly prohibited and prosecuted
to the full extent of the law^C
!
!
line con 0
exec-timeout 0 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config startup-config

Tche 3 : configuration et activation dadresses srie et Ethernet


tape 1 : configuration des interfaces sur R1, R2 et R3
R1
!
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface FastEthernet0/1.12
encapsulation dot1Q 12
ip address 10.12.12.1 255.255.255.0
!
interface FastEthernet0/1.13

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

encapsulation dot1Q 13
ip address 10.13.13.1 255.255.255.0
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no shutdown
clock rate 64000
!
R2
!
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.12
encapsulation dot1Q 12
ip address 10.12.12.2 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
no snmp trap link-status
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
clock rate 64000
no shutdown
R3
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.13
encapsulation dot1Q 13
ip address 10.13.13.3 255.255.255.0
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no shutdown
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

tape 2 : vrification de ladressage IP et des interfaces


R1#show ip interface brief
Interface
IP-Address
Protocol
FastEthernet0/0
unassigned
FastEthernet0/1
unassigned
FastEthernet0/1.10
192.168.10.1
FastEthernet0/1.12
10.12.12.1
FastEthernet0/1.13
10.13.13.1
Serial0/0/0
10.1.1.1
Serial0/0/1
unassigned
Serial0/1/0
unassigned
Serial0/1/1
unassigned
R2#show ip interface brief
Interface
IP-Address
Protocol
FastEthernet0/0
unassigned
FastEthernet0/1
unassigned
FastEthernet0/1.12
10.12.12.2
FastEthernet0/1.20
192.168.20.1
Serial0/0/0
10.1.1.2
Serial0/0/1
10.2.2.1
R3#show ip interface brief
Interface
IP-Address
Protocol
FastEthernet0/0
unassigned
FastEthernet0/1
unassigned
FastEthernet0/1.10
192.168.30.1
FastEthernet0/1.13
10.13.13.3
Serial0/0/0
unassigned
Serial0/0/1
10.2.2.2

OK? Method Status


YES
YES
YES
YES
YES
YES
YES
YES
YES

unset
unset
manual
manual
manual
unset
unset
unset
unset

administratively
up
up
up
up
up
administratively
administratively
administratively

down down
up
up
up
up
up
down down
down down
down down

OK? Method Status


YES
YES
YES
YES
YES
YES

unset
manual
manual
manual
manual
manual

administratively down down


up
up
up
up
up
up
up
up
up
up

OK? Method Status


YES
YES
YES
YES
YES
YES

unset
manual
manual
manual
unset
manual

administratively down down


up
up
up
up
up
up
administratively down down
up
up

tape 3 : configuration de linterface VLAN de gestion sur Comm1, Comm2 et Comm3


Comm1(config)#interface vlan10
Comm1(config-if)#ip address 192.168.10.2 255.255.255.0
Comm2(config)#interface vlan20
Comm2(config-if)#ip address 192.168.20.2 255.255.255.0
Comm3(config)#interface vlan30
Comm3(config-if)#ip address 192.168.30.2 255.255.255.0
tape 4 : configuration des interfaces Ethernet PC1 et PC3
tape 5 : test de la connectivit entre les ordinateurs

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Tche 4 : configuration du protocole STP


tape 1 : configuration systmatique de Comm1 en tant que racine
Comm1(config)#spanning-tree vlan 1-1000 root primary
tape 2 : vrification de la dfinition de Comm1 en tant que racine
Comm1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: VLAN0001
Extended system ID
is enabled
Portfast Default
is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default
is disabled
EtherChannel misconfig guard is enabled
UplinkFast
is disabled
BackboneFast
is disabled
Configured Pathcost method used is short
Name
Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ---------VLAN0001
0
0
0
2
2
---------------------- -------- --------- -------- ---------- ---------1 vlans
0
0
0
7
7

Tche 5 : configuration de VTP


tape 1 : configuration de Comm1 en tant que serveur VTP et cration dun nom de domaine
et dun mot de passe
Comm1(config)#vtp mode server
Setting device to VTP SERVER mode
Comm1(config)#vtp domain cisco
Changing VTP domain name from NULL to cisco
Comm1(config)#vtp password cisco
Setting device VLAN database password to cisco
tape 2 : configuration de Comm2 et de Comm3 en tant que clients VTP, affects dun nom
de domaine et dun mot de passe
Comm2(config)#vtp mode client
Setting device to VTP CLIENT mode
Comm2(config)#vtp domain cisco
Changing VTP domain name from NULL to cisco
Comm2(config)#vtp password cisco
Setting device VLAN database password to cisco
Comm3(config)#vtp mode client
Setting device to VTP CLIENT mode
Comm3(config)#vtp domain cisco
Changing VTP domain name from NULL to cisco
Comm3(config)#vtp password cisco
Setting device VLAN database password to cisco

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

tape 3 : vrification de la configuration


Comm1#show vtp status
VTP Version
: 2
Configuration Revision
: 0
Maximum VLANs supported locally : 255
Number of existing VLANs
: 10
VTP Operating Mode
: Server
VTP Domain Name
: cisco
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
VTP Traps Generation
: Disabled
MD5 digest
: 0x97 0xB7 0xCF 0xD2 0xDD 0x77 0x88 0x34
Configuration last modified by 0.0.0.0 at 3-1-93 00:25:29
Local updater ID is 192.168.10.2 on interface Vl10 (lowest numbered VLAN
interface found)
Comm2#show vtp stat
VTP Version
: 2
Configuration Revision
: 0
Maximum VLANs supported locally : 255
Number of existing VLANs
: 10
VTP Operating Mode
: Client
VTP Domain Name
: cisco
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
VTP Traps Generation
: Disabled
MD5 digest
: 0xE7 0xD7 0x24 0xC0 0x33 0x80 0xF7 0xAA
Configuration last modified by 0.0.0.0 at 3-1-93 00:19:03
Comm3#show vtp status
VTP Version
: 2
Configuration Revision
: 0
Maximum VLANs supported locally : 255
Number of existing VLANs
: 10
VTP Operating Mode
: Client
VTP Domain Name
: cisco
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
VTP Traps Generation
: Disabled
MD5 digest
: 0xE7 0xD7 0x24 0xC0 0x33 0x80 0xF7 0xAA
Configuration last modified by 0.0.0.0 at 3-1-93 06:52:33

Tche 6 : configuration des rseaux locaux virtuels


tape 1 : configuration de Comm1 avec les rseaux locaux virtuels
Comm1(config)# vlan 10,12,13,20,30
tape 2 : vrification que Comm2 et Comm3 ont reu les configurations VLAN de Comm1
Comm1#show vlan brief
VLAN Name
Status
Ports
---- -------------------------------- --------- ----------------------------1
default
active
Fa0/2, Fa0/3, Fa0/4, Fa0/5

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Fa0/6, Fa0/7, Fa0/8,Fa0/9


Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16,Fa0/17
Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24
10
12
13
20
30
1002
1003
1004
1005

VLAN0010
VLAN0012
VLAN0013
VLAN0020
VLAN0030
fddi-default
token-ring-default
fddinet-default
trnet-default

active
active
active
active
active
act/unsup
act/unsup
act/unsup
act/unsup

Comm2#show vlan brief


VLAN Name
Status
Ports
---- -------------------------------- --------- ----------------------------1
default
active
Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8,Fa0/9
Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16,Fa0/17
Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/2
10
VLAN0010
active
12
VLAN0012
active
13
VLAN0013
active
20
VLAN0020
active
30
VLAN0030
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
Comm3#show vlan brief
VLAN Name
Status
Ports
---- -------------------------------- --------- ----------------------------1
default
active
Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8,Fa0/9
Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16,Fa0/17
Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/2
10
VLAN0010
active
12
VLAN0012
active
13
VLAN0013
active
20
VLAN0020
active
30
VLAN0030
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

tape 3 : attribution de ports aux rseaux locaux virtuels appropris


Comm1 :
interface FastEthernet0/1
switchport trunk allowed vlan 10,12,13
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/1
switchport trunk allowed vlan 1,12
switchport mode trunk
!
interface GigabitEthernet0/2
switchport trunk allowed vlan 1,13
switchport mode trunk
!
Comm2 :
interface FastEthernet0/1
switchport trunk allowed vlan
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/1
switchport trunk allowed vlan
switchport mode trunk
!
Comm2 :
interface FastEthernet0/1
switchport trunk allowed vlan
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/1
switchport trunk allowed vlan
switchport mode trunk
!

12,20

12

13,30

13

Tche 7 : configuration du routage RIP


tape 1 : configuration du routage RIP sur R1, R2 et R3
R1
!
router rip
version 2
no auto-summary

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

network 10.0.0.0
network 192.168.10.0
!
R2
!
router rip
version 2
no auto-summary
network 10.0.0.0
network 192.168.20.0
!
R3
!
router rip
version 2
not auto-summary
network 10.0.0.0
network 192.168.30.0
tape 2 : test de la connectivit avec la commande ping
R1 :
R1#ping 10.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 10.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 10.12.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.12.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 10.13.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.13.13.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.10.2
Type escape sequence to abort.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:


!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.20.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.30.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 192.168.30.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2 :
R2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1., timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 10.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 10.12.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.12.12.1, timeout is 2 seconds:
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 10.13.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.13.13.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 10.13.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.13.13.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.20.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 192.168.30.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 192.168.30.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

R3 :
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 10.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 10.12.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.12.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 10.12.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.12.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 10.13.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.13.13.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.20.1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Type escape sequence to abort.


Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.20.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.30.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 192.168.30.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms

tape 3 : vrification de la table de routage


R1#sh ip route
<rsultat omis>
R
C
R
C
C
R
C

192.168.30.0/24 [120/1] via 10.13.13.3, 00:00:03, FastEthernet0/1.13


192.168.10.0/24 is directly connected, FastEthernet0/1.10
192.168.20.0/24 [120/1] via 10.12.12.2, 00:00:00, FastEthernet0/1.12
[120/1] via 10.1.1.2, 00:00:13, Serial0/0/0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.13.13.0/24 is directly connected, FastEthernet0/1.13
10.12.12.0/24 is directly connected, FastEthernet0/1.12
10.2.2.0/30 [120/1] via 10.13.13.3, 00:00:03, FastEthernet0/1.13
[120/1] via 10.12.12.2, 00:00:00, FastEthernet0/1.12
[120/1] via 10.1.1.2, 00:00:13, Serial0/0/0
10.1.1.0/30 is directly connected, Serial0/0/0

R2#sh ip route
<rsultat omis>
Gateway of last resort is not set
R
R
C
R
C
C
C

192.168.30.0/24 [120/1] via 10.2.2.2, 00:00:05, Serial0/0/1


192.168.10.0/24 [120/1] via 10.12.12.1, 00:00:17, FastEthernet0/1.12
[120/1] via 10.1.1.1, 00:00:17, Serial0/0/0
192.168.20.0/24 is directly connected, FastEthernet0/1.20
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.13.13.0/24 [120/1] via 10.12.12.1, 00:00:17, FastEthernet0/1.12
[120/1] via 10.2.2.2, 00:00:05, Serial0/0/1
[120/1] via 10.1.1.1, 00:00:17, Serial0/0/0
10.12.12.0/24 is directly connected, FastEthernet0/1.12
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 is directly connected, Serial0/0/0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

R3#sh ip route
<rsultat omis>
Gateway of last resort is not set
C
R
R
C
R
C
R

192.168.30.0/24 is directly connected, FastEthernet0/1.30


192.168.10.0/24 [120/1] via 10.13.13.1, 00:00:08, FastEthernet0/1.13
192.168.20.0/24 [120/1] via 10.2.2.1, 00:00:10, Serial0/0/1
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.13.13.0/24 is directly connected, FastEthernet0/1.13
10.12.12.0/24 [120/1] via 10.13.13.1, 00:00:08, FastEthernet0/1.13
[120/1] via 10.2.2.1, 00:00:10, Serial0/0/1
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 [120/1] via 10.13.13.1, 00:00:08, FastEthernet0/1.13
[120/1] via 10.2.2.1, 00:00:10, Serial0/0/1

Tche 8 : configuration du routage OSPF


tape 1 : configuration du routage RIP sur R1, R2 et R3
R1
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
!
R2
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
!
R3
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
tape 2 : vrification du remplacement des routes RIP par les routes OSPF en raison dune
distance administrative infrieure
R1#show ip route
<rsultat omis>
O
C
O

192.168.30.0/24 [110/2] via 10.13.13.3, 00:00:13, FastEthernet0/1.13


192.168.10.0/24 is directly connected, FastEthernet0/1.10
192.168.20.0/24 [110/2] via 10.12.12.2, 00:00:13, FastEthernet0/1.12

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

C
C
O
C

Travaux pratiques 1.4.1 : rvision avance

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks


10.13.13.0/24 is directly connected, FastEthernet0/1.13
10.12.12.0/24 is directly connected, FastEthernet0/1.12
10.2.2.0/30 [110/782] via 10.13.13.3, 00:00:13, FastEthernet0/1.13
[110/782] via 10.12.12.2, 00:00:13, FastEthernet0/1.12
10.1.1.0/30 is directly connected, Serial0/0/0

R2#show ip route
<rsultat omis>
O
O
C
O
C
C
C

192.168.30.0/24 [110/3] via 10.12.12.1, 00:00:39, FastEthernet0/1.12


192.168.10.0/24 [110/2] via 10.12.12.1, 00:00:39, FastEthernet0/1.12
192.168.20.0/24 is directly connected, FastEthernet0/1.20
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.13.13.0/24 [110/2] via 10.12.12.1, 00:00:39, FastEthernet0/1.12
10.12.12.0/24 is directly connected, FastEthernet0/1.12
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 is directly connected, Serial0/0/0

R3#show ip route
<rsultat omis>
C
O
O
C
O
C
O

192.168.30.0/24 is directly connected, FastEthernet0/0,30


192.168.10.0/24 [110/2] via 10.13.13.1, 00:01:03, FastEthernet0/1.13
192.168.20.0/24 [110/3] via 10.13.13.1, 00:01:03, FastEthernet0/1.13
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.13.13.0/24 is directly connected, FastEthernet0/1.13
10.12.12.0/24 [110/2] via 10.13.13.1, 00:01:03, FastEthernet0/1.13
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 [110/782] via 10.13.13.1, 00:01:03, FastEthernet0/1.13

En quoi l'activation du protocole OSPF affecte-t-elle les dcisions de routage ?

____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Avant lactivation du protocole OSPF, les routeurs utilisaient le chemin dot du plus petit nombre de
sauts. Par exemple, R3 utilisait son interface Serial0/0/0 pour atteindre le sous-rseau 192.168.20.0 car
il tait distant dun seul saut. Aprs lactivation du protocole OSPF, le chemin emprunt est le plus rapide.
Dans lexemple prcdent, R3 utilise Fast Ethernet 0/0.13 pour atteindre le sous-rseau 192.168.20.0.
tape 3 : vrification de lactivation du protocole RIP
R1#show ip rip database
10.0.0.0/8
auto-summary
10.1.1.0/30
directly connected, Serial0/0/0
10.12.12.0/24
directly connected, FastEthernet0/1.12
10.13.13.0/24
directly connected, FastEthernet0/1.13
192.168.10.0/24
auto-summary
192.168.10.0/24
directly connected, FastEthernet0/1.10

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

R2#show ip rip database


10.0.0.0/8
auto-summary
10.1.1.0/30
directly connected, Serial0/0/0
10.2.2.0/30
directly connected, Serial0/0/1
10.12.12.0/24
directly connected, FastEthernet0/1.12
192.168.20.0/24
auto-summary
192.168.20.0/24
directly connected, FastEthernet0/1.20
R3#show ip rip database
10.0.0.0/8
auto-summary
10.2.2.0/30
directly connected, Serial0/0/1
10.13.13.0/24
directly connected, FastEthernet0/1.13
192.168.30.0/24
auto-summary
192.168.30.0/24
directly connected, FastEthernet0/1.30

Tche 9 : configuration du routage EIGRP


tape 1 : configuration du routage EIGRP sur R1, R2 et R3
R1
!
router eigrp 10
no auto-summary
network 10.1.1.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 10.13.13.0 0.0.0.255
network 192.168.10.0
!
R2
!
router eigrp 10
no auto-summary
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 192.168.20.0
!
R3
!
router eigrp 10
no auto-summary
network 10.2.2.0 0.0.0.3
network 10.13.13.0 0.0.0.255
network 192.168.30.0
!
tape 2 : vrification du remplacement des routes OSPF par les routes EIGRP en raison dune
distance administrative infrieure
R1#show ip route
<rsultat omis>

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

D
C
D

192.168.30.0/24 [90/30720] via 10.13.13.3, 00:00:24, FastEthernet0/1.13


192.168.10.0/24 is directly connected, FastEthernet0/1.10
192.168.20.0/24 [90/30720] via 10.12.12.2, 00:00:48, FastEthernet0/1.12
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C
10.13.13.0/24 is directly connected, FastEthernet0/1.13
C
10.12.12.0/24 is directly connected, FastEthernet0/1.12
D
10.2.2.0/30 [90/20514560] via 10.13.13.3, 00:00:24,
FastEthernet0/1.13
[90/20514560] via 10.12.12.2, 00:00:24,
FastEthernet0/1.12
C
10.1.1.0/30 is directly connected, Serial0/0/0
R2#show ip route
<rsultat omis>
D
D
C
D
C
C
C

192.168.30.0/24 [90/33280] via 10.12.12.1, 00:00:29, FastEthernet0/1.12


192.168.10.0/24 [90/30720] via 10.12.12.1, 00:00:30, FastEthernet0/1.12
192.168.20.0/24 is directly connected, FastEthernet0/1.20
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.13.13.0/24 [90/30720] via 10.12.12.1, 00:00:30, FastEthernet0/1.12
10.12.12.0/24 is directly connected, FastEthernet0/1.12
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 is directly connected, Serial0/0/0

R3#show ip route
<rsultat omis>
C
D
D

192.168.30.0/24 is directly connected, FastEthernet0/0,30


192.168.10.0/24 [90/30720] via 10.13.13.1, 00:00:08, FastEthernet0/1.13
192.168.20.0/24 [90/33280] via 10.13.13.1, 00:00:08, FastEthernet0/1.13
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C
10.13.13.0/24 is directly connected, FastEthernet0/1.13
D
10.12.12.0/24 [90/30720] via 10.13.13.1, 00:00:08, FastEthernet0/1.13
C
10.2.2.0/30 is directly connected, Serial0/0/1
D
10.1.1.0/30 [90/20514560] via 10.13.13.1, 00:00:08,
FastEthernet0/0.13
tape 3 : vrification de lactivation du protocole OSPF
R1#sh ip ospf database
OSPF Router with ID (192.168.10.1) (Process ID 1)
Router Link States (Area 0)
Link ID
192.168.10.1
192.168.20.1
192.168.30.1

ADV Router
192.168.10.1
192.168.20.1
192.168.30.1

Age
1038
1039
1048

Seq#
0x80000005
0x80000004
0x80000003

Checksum
0x0056F6
0x00B9F7
0x00C99A

Link count
5
6
4

Net Link States (Area 0)


Link ID
10.12.12.2
10.13.13.3

ADV Router
192.168.20.1
192.168.10.1

Age
1039
1052

Seq#
Checksum
0x80000001 0x004D5A
0x80000001 0x003175

R2#sh ip ospf database


Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 18 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

OSPF Router with ID (192.168.20.1) (Process ID 1)


Router Link States (Area 0)
Link ID
192.168.10.1
192.168.20.1
192.168.30.1

ADV Router
192.168.10.1
192.168.20.1
192.168.30.1

Age
1084
1083
1092

Seq#
0x80000005
0x80000004
0x80000003

Checksum
0x0056F6
0x00B9F7
0x00C99A

Link count
5
6
4

Net Link States (Area 0)


Link ID
10.12.12.2
10.13.13.13

ADV Router
192.168.20.1
192.168.10.1

Age
1083
1098

Seq#
Checksum
0x80000001 0x004D5A
0x80000001 0x003175

R3#sh ip ospf database


OSPF Router with ID (192.168.30.1) (Process ID 1)
Router Link States (Area 0)
Link ID
192.168.10.1
192.168.20.1
192.168.30.1

ADV Router
192.168.10.1
192.168.20.1
192.168.30.1

Age
1135
1135
1143

Seq#
0x80000005
0x80000004
0x80000003

Checksum
0x0056F6
0x00B9F7
0x00C99A

Link count
5
6
4

Net Link States (Area 0)


Link ID
10.12.12.2
10.13.13.3

ADV Router
192.168.20.1
192.168.10.1

Age
1136
1149

Seq#
Checksum
0x80000001 0x004D5A
0x80000001 0x003175

Tche 10 : documentation des configurations des routeurs


R1
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
no ip domain lookup
!
interface FastEthernet0/0
no ip address
shutdown
!
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

!
interface FastEthernet0/1.12
encapsulation dot1Q 12
ip address 10.12.12.1 255.255.255.0
!
interface FastEthernet0/1.13
encapsulation dot1Q 13
ip address 10.13.13.1 255.255.255.0
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.0
no fair-queue
clockrate 64000
no shutdown
!
interface Serial0/0/1
no ip address
shutdown
!
router eigrp 10
network 10.1.1.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 10.13.13.0 0.0.0.255
network 192.168.10.0
no auto-summary
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary
!!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

R2
R2#show run
!<rsultat omis>
!
hostname R2
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
no ip address
shutdown
!
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
!
interface FastEthernet0/1.12
encapsulation dot1Q 12
ip address 10.12.12.2 255.255.255.0
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.0
no shutdown
!
router eigrp 10
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 10.12.12.0 0.0.0.255
network 192.168.20.0
no auto-summary
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 10.12.12.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
no auto-summary
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

banner motd ^CUnauthorized access strictly prohibited and prosecuted to the


full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
no ip domain lookup
!
!
interface FastEthernet0/0
no ip address
shutdown
!
interface FastEthernet0/1
no ip address
no shutdown
!
interface FastEthernet0/1.13
encapsulation dot1Q 13
ip address 10.13.13.3 255.255.255.0
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
!
interface Serial0/0/0
no ip address
shutdown
clockrate 125000
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no shutdown
!
router eigrp 10
network 10.2.2.0 0.0.0.3
network 10.13.13.0 0.0.0.255
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

network 192.168.30.0
no auto-summary
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 10.13.13.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
End
Comm1#show run
!<rsultat omis>
!
hostname Comm1
!
!
enable secret class
!
!
no ip domain lookup
!
vlan 10,12,13,20,30
!
spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree vlan 1-1000 priority 24576
!
vtp mode server
vtp domain cisco
vtp password cisco
!
interface FastEthernet0/1
switchport trunk allowed vlan 10,12,13
switchport mode trunk
!
interface FastEthernet0/2
switchport access 10
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 23 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

switchport mode access


!
interface GigabitEthernet0/1
switchport trunk allowed vlan 12
switchport mode trunk
!
interface GigabitEthernet0/2
switchport trunk allowed vlan 13
switchport mode trunk
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
End
Comm2#show run
!<rsultat omis>
hostname Comm2
!
enable secret class
!
no ip domain lookup
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vtp mode client
vtp domain cisco
vtp password cisco
!
interface FastEthernet0/1
switchport trunk allowed vlan 12,20
switchport mode trunk
!
interface FastEthernet0/2
switchport access 20
switchport mode access
!
interface GigabitEthernet0/1
switchport trunk allowed vlan 12
switchport mode trunk
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 24 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
End
Comm3#show run
!<rsultat omis>
!
hostname Comm3
!
enable secret class
!
no ip domain lookup
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vtp mode client
vtp domain cisco
vtp password cisco
!
interface FastEthernet0/1
switchport trunk allowed vlan 13,30
switchport mode trunk
!
interface FastEthernet0/2
switchport access 30
switchport mode access
!
interface GigabitEthernet0/1
switchport trunk allowed vlan 13
switchport mode trunk
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 25 sur 26

CCNA Exploration
Accs au rseau tendu : rvision dExploration 2 et 3

Travaux pratiques 1.4.1 : rvision avance

Tche 11 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes
habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 26 sur 26

Travaux pratiques 2.5.1 : configuration de base du protocole PPP


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1

R2

R3
PC1
PC3

Interface

Adresse IP

Fa0/1
S0/0/0
Lo0
S0/0/0
S0/0/1
Fa0/1
S0/0/1
Carte rseau
Carte rseau

192.168.10.1
10.1.1.1
209.165.200.225
10.1.1.2
10.2.2.1
192.168.30.1
10.2.2.2
192.168.10.10
192.168.30.10

Masque de
255.255.255.0
sous-rseau

Passerelle
par N/D
dfaut

255.255.255.252
255.255.255.224
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0

N/D
N/D
N/D
N/D
N/D
N/D
192.168.10.1
192.168.30.1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Excuter les tches de configuration de base dun routeur

Configurer et activer des interfaces

Configurer le routage OSPF sur tous les routeurs

Configurer lencapsulation PPP sur toutes les interfaces srie

Comprendre le fonctionnement des commandes debug ppp negotiation et debug ppp packet

Remplacer lencapsulation PPP par lencapsulation HDLC sur les interfaces srie

Interrompre volontairement une encapsulation PPP et la restaurer

Configurer lauthentification PPP laide des protocoles PAP et CHAP

interrompre volontairement lauthentification PPP PAP et CHAP et la restaurer

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation PPP sur les
liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous apprendrez galement
restaurer lencapsulation HDLC des liaisons srie. Observez bien le rsultat affich par le routeur
lorsque vous interrompez volontairement lencapsulation PPP. Cela vous aidera dans les travaux
pratiques de dpannage associs ce chapitre. Enfin, vous apprendrez configurer lauthentification
PPP laide des protocoles PAP et CHAP.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose
des interfaces requises, comme illustr sur le diagramme de topologie.
Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions
des interfaces saffichent diffremment.
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :

Configurez le nom dhte du routeur.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

enable
configure terminal
no ip domain-lookup
enable secret class
banner motd ^CUnauthorized access strictly prohibited and prosecuted
to the full extent of the law^C
!
!
line con 0
exec-timeout 0 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config starting-config

Tche 3 : configuration et activation dadresses srie et Ethernet


tape 1 : configuration des interfaces sur R1, R2 et R3
Configurez les interfaces des routeurs R1, R2 et R3 avec les adresses IP de la table dadressage figurant
au dbut des travaux pratiques. Veillez inclure la frquence dhorloge sur les interfaces srie DCE.
R1
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no shutdown
clock rate 64000
R2
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

clock rate 64000


no shutdown
R3
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no shutdown
tape 2 : vrification de ladressage IP et des interfaces
Utilisez la commande show ip interface brief pour vrifier que ladressage IP est correct et que
les interfaces sont actives.
R1#show ip interface brief
Interface

IP-Address

OK? Method Status

Protocol

FastEthernet0/0

unassigned

YES NVRAM

FastEthernet0/1

192.168.10.1

YES manual up

up

Serial0/0/0

10.1.1.1

YES manual up

up

Serial0/0/1

unassigned

YES NVRAM

administratively down down

administratively down down

R2#show ip interface brief


Interface

IP-Address

OK? Method Status

Protocol

FastEthernet0/0

unassigned

YES NVRAM

administratively down down

FastEthernet0/1

unassigned

YES NVRAM

administratively down down

Serial0/0/0

10.1.1.2

YES manual up

up

Serial0/0/1

10.2.2.1

YES manual up

up

Loopback0

209.165.200.225YES manual up

up

R3#show ip interface brief


Interface

IP-Address

FastEthernet0/0 unassigned

OK? Method Status


YES NVRAM

Protocol

administratively down down

FastEthernet0/1 192.168.30.1 YES manual up


Serial0/0/0

unassigned

YES NVRAM

Serial0/0/1

10.2.2.2

YES manual up

up

administratively down down


up

Lorsque vous aurez termin, veillez enregistrer la configuration actuelle dans la mmoire NVRAM
du routeur.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

tape 3 : configuration des interfaces Ethernet de PC1 et PC3


Configurez les interfaces Ethernet de PC1 et PC3 avec les adresses IP et les passerelles par dfaut
provenant de la table dadressage.
tape 4 : test de la configuration par lenvoi dune requte ping entre le PC et la passerelle
par dfaut

Tche 4 : configuration du protocole OSPF sur les routeurs


Si vous souhaitez revoir les commandes OSPF, consultez la section Exploration 2, module 11.
tape 1 : activation du routage OSPF sur R1, R2 et R3
Utilisez la commande router OSPF avec lID de processus 1. Veillez annoncer correctement les
rseaux.
R1(config)#router ospf 1
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0
R1(config-router)#network 10.1.1.0 0.0.0.3 area 0
*Aug 17 17:49:14.689: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/0 from LOADING to FULL, Loading Done
R1(config-router)#
R2(config)#router ospf 1
R2(config-router)#network 10.1.1.0 0.0.0.3 area 0
*Aug 17 17:48:40.645: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on
Serial0/0/0 from LOADING to FULL, Loading Done
R2(config-router)#network 10.2.2.0 0.0.0.3 area 0
R2(config-router)#network 209.165.200.224 0.0.0.31 area 0
R2(config-router)#
*Aug 17 17:57:44.729: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from LOADING to FULL, Loading Done
R2(config-router)#
R3(config)#router ospf 1
R3(config-router)#network 10.2.2.0 0.0.0.3 area 0
*Aug 17 17:58:02.017: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/1 from LOADING to FULL, Loading Done
R3(config-router)#network 192.168.30.0 0.0.0.255 area 0
R3(config-router)#
tape 2 : vrification de la connectivit sur lensemble du rseau
Utilisez les commandes show ip route et ping pour vrifier la connectivit.
R1#show ip route
<rsultat omis>
O
C
O
C
O
C

192.168.30.0/24 [110/1563] via 10.1.1.2, 00:33:56, Serial0/0/0


192.168.10.0/24 is directly connected, FastEthernet0/1
209.165.200.0/32 is subnetted, 1 subnets
209.165.200.225 [110/782] via 10.1.1.2, 00:33:56, Serial0/0/0
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
10.1.1.2/32 is directly connected, Serial0/0/0
10.2.2.0/30 [110/1562] via 10.1.1.2, 00:33:56, Serial0/0/0
10.1.1.0/30 is directly connected, Serial0/0/0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

R1#ping 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms
R1#
R2#show ip route
<rsultat omis>
O
O
C
C
C
C
C

192.168.30.0/24 [110/782] via 10.2.2.2, 00:33:04, Serial0/0/1


192.168.10.0/24 [110/782] via 10.1.1.1, 00:33:04, Serial0/0/0
209.165.200.0/27 is subnetted, 1 subnets
209.165.200.224 is directly connected, Loopback0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
10.2.2.2/32 is directly connected, Serial0/0/1
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 is directly connected, Serial0/0/0
10.1.1.1/32 is directly connected, Serial0/0/0

R2#ping 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms
R2#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms
R2#
R3#show ip route
<rsultat omis>
C
O
O
C
O
C

192.168.30.0/24 is directly connected, FastEthernet0/1


192.168.10.0/24 [110/1563] via 10.2.2.1, 00:32:01, Serial0/0/1
209.165.200.0/32 is subnetted, 1 subnets
209.165.200.225 [110/782] via 10.2.2.1, 00:32:01, Serial0/0/1
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
10.2.2.0/30 is directly connected, Serial0/0/1
10.1.1.0/30 [110/1562] via 10.2.2.1, 00:32:01, Serial0/0/1
10.2.2.1/32 is directly connected, Serial0/0/1

R3#ping 209.165.200.225
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.165.200.225, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

R3#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms
R3#

Tche 5 : configuration de lencapsulation PPP sur les interfaces srie


tape 1 : utilisation de la commande show interface pour vrifier que le protocole HDLC
est lencapsulation srie par dfaut
R1#show interface serial0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.1.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
<rsultat omis>
R2#show interface serial 0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.1.2/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
<rsultat omis>
R2#show interface serial 0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.2.2.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
<rsultat omis>
R3#show interface serial 0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.2.2.2/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
<rsultat omis>

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

tape 2 : utilisation des commandes de dbogage sur R1 et R2 pour constater les effets de
la configuration du protocole PPP
R1#debug ppp negotiation
PPP protocol negotiation debugging is on
R1#debug ppp packet
PPP packet display debugging is on
R1#
R2#debug ppp negotiation
PPP protocol negotiation debugging is on
R2#debug ppp packet
PPP packet display debugging is on
R2#
tape 3 : remplacement de lencapsulation HDCL des interfaces srie par lencapsulation PPP
Modifiez le type dencapsulation sur la liaison entre R1 et R2, puis observez les effets. Si vous
commencez recevoir trop de donnes de dbogage, utilisez la commande undebug all pour
dsactiver les oprations de dbogage.
R1(config)#interface serial 0/0/0
R1(config-if)#encapsulation ppp
R1(config-if)#
*Aug 17 19:02:53.412: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached
R1(config-if)#
*Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is DOWN, Setup
*Aug 17 19:02:53.416: Se0/0/0 PPP: Using default call direction
*Aug 17 19:02:53.416: Se0/0/0 PPP: Treating connection as a dedicated line
*Aug 17 19:02:53.416: Se0/0/0 PPP: Session handle[E4000001] Session id[0]
*Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open
*Aug 17 19:02:53.424: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10
*Aug 17 19:02:53.424: Se0/0/0 LCP:
MagicNumber 0x63B994DE (0x050663B994DE)
R1(config-if)#
*Aug 17 19:02:55.412: Se0/0/0 PPP: Outbound cdp packet dropped
*Aug 17 19:02:55.432: Se0/0/0 LCP: TIMEout: State REQsent
*Aug 17 19:02:55.432: Se0/0/0 LCP: O CONFREQ [REQsent] id 2 len 10
*Aug 17 19:02:55.432: Se0/0/0 LCP:
MagicNumber 0x63B994DE (0x050663B994DE)
*Aug 17 19:02:56.024: Se0/0/0 PPP: I pkt type 0x008F, datagramsize 24
link[illegal]
*Aug 17 19:02:56.024: Se0/0/0 UNKNOWN(0x008F): Non-NCP packet, discarding
R1(config-if)#
*Aug 17 19:02:57.252: Se0/0/0 PPP: I pkt type 0x000F, datagramsize 84
link[illegal]
*Aug 17 19:02:57.252: Se0/0/0 UNKNOWN(0x000F): Non-NCP packet, discarding
*Aug 17 19:02:57.448: Se0/0/0 LCP: TIMEout: State REQsent
*Aug 17 19:02:57.448: Se0/0/0 LCP: O CONFREQ [REQsent] id 3 len 10
*Aug 17 19:02:57.448: Se0/0/0 LCP:
MagicNumber 0x63B994DE (0x050663B994DE)
R1(config-if)#
*Aug 17 19:02:58.412: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to down
R2(config)#interface serial 0/0/0
R2(config-if)#encapsulation ppp
R2(config-if)#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

*Aug 17 19:06:48.848: Se0/0/0


*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.848: Se0/0/0
*Aug 17 19:06:48.856: Se0/0/0
*Aug 17 19:06:48.856: Se0/0/0
*Aug 17 19:06:48.860: Se0/0/0
link[ppp]
*Aug 17 19:06:48.860: Se0/0/0
R2(config-if)#
*Aug 17 19:06:48.860: Se0/0/0
R2(config-if)#
*Aug 17 19:06:50.864: Se0/0/0
*Aug 17 19:06:50.864: Se0/0/0
*Aug 17 19:06:50.864: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
link[ppp]
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
link[ppp]
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.868: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.872: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[ip]
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[cdp]
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[ip]
*Aug 17 19:06:50.876: Se0/0/0
R2(config-if)#nt] id 1 len 10
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.876: Se0/0/0
link[cdp]
*Aug 17 19:06:50.876: Se0/0/0
*Aug 17 19:06:50.880: Se0/0/0
*Aug 17 19:06:50.880: Se0/0/0
*Aug 17 19:06:50.880: Se0/0/0

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

PPP:
PPP:
PPP:
PPP:
PPP:
LCP:
LCP:
PPP:

Phase is DOWN, Setup


Using default call direction
Treating connection as a dedicated line
Session handle[C6000001] Session id[0]
Phase is ESTABLISHING, Active Open
O CONFREQ [Closed] id 1 len 10
MagicNumber 0x63BD388C (0x050663BD388C)
I pkt type 0xC021, datagramsize 14

LCP: I CONFACK [REQsent] id 1 len 10


LCP:

MagicNumber 0x63BD388C (0x050663BD388C)

LCP: TIMEout: State ACKrcvd


LCP: O CONFREQ [ACKrcvd] id 2 len 10
LCP:
MagicNumber 0x63BD388C (0x050663BD388C)
PPP: I pkt type 0xC021, datagramsize 14
LCP: I CONFREQ [REQsent] id 61 len 10
LCP:
MagicNumber 0x63BDB9A8 (0x050663BDB9A8)
LCP: O CONFACK [REQsent] id 61 len 10
LCP:
MagicNumber 0x63BDB9A8 (0x050663BDB9A8)
PPP: I pkt type 0xC021, datagramsize 14
LCP: I CONFACK [ACKsent] id 2 len 10
LCP:
MagicNumber 0x63BD388C (0x050663BD388C)
LCP: State is Open
PPP: Phase is FORWARDING, Attempting Forward
PPP: Phase is ESTABLISHING, Finish LCP
PPP: Phase is UP
IPCP: O CONFREQ [Closed] id 1 len 10
IPCP:
Address 10.1.1.2 (0x03060A010102)
CDPCP: O CONFREQ [Closed] id 1 len 4
PPP: Process pending ncp packets
PPP: I pkt type 0x8021, datagramsize 14
IPCP: I CONFREQ [REQsent] id 1 len 10
IPCP:
Address 10.1.1.1 (0x03060A010101)
PPP: I pkt type 0x8207, datagramsize 8
IPCP: O CONFACK [REQsent] id 1 len 10
IPCP:
Address 10.1.1.1 (0x03060A010101)
CDPCP: I CONFREQ [REQsent] id 1 len 4
CDPCP: O CONFACK [REQsent] id 1 len 4
PPP: I pkt type 0x8021, datagramsize 14
IPCP: I CONFACK [ACKse
IPCP:
Address 10.1.1.2 (0x03060A010102)
IPCP: State is Open
PPP: I pkt type 0x8207, datagramsize 8
IPCP: Install route to 10.1.1.1
CDPCP: I CONFACK [ACKsent] id 1 len 4
CDPCP: State is Open
PPP: O pkt type 0x0021, datagramsize 80

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

*Aug 17 19:06:50.880: Se0/0/0 IPCP: Add link info for cef entry 10.1.1.1
*Aug 17 19:06:50.884: Se0/0/0 PPP: I pkt type 0x0021, datagramsize 80
link[ip]
*Aug 17 19:06:51.848: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to up
R2(config-if)#
*Aug 17 19:06:51.888: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 1 len 12 magic
0x63BDB9A8
*Aug 17 19:06:51.888: Se0/0/0 LCP-FS: O ECHOREP [Open] id 1 len 12 magic
0x63BD388C
<rsultat omis>
*Aug 17 19:07:00.936: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on
Serial0/0/0 from LOADING to FULL, Loading Done
Que se passe-t-il lorsque lune des extrmits de la liaison srie est encapsule avec
le protocole PPP et lautre extrmit avec le protocole HDLC ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
La liaison est dsactive et la contigut OSPF est interrompue. Le protocole PPP tente
toujours dtablir une connexion avec lextrmit oppose de la liaison. Cependant, tant
donn quil continue recevoir un paquet non NCP, il supprime le paquet et ntablit pas
la liaison.
Par quelles tapes le protocole PPP passe-t-il si lautre extrmit de la liaison srie sur R2
est configure via lencapsulation PPP ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Le protocole PPP passe par les phases suivantes :
DOWN
ESTABLISHING, Active Open
LCP State is Open

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

ESTABLISHING, Finish LCP


UP
Que se passe-t-il lorsque lencapsulation PPP est configure sur chaque extrmit de la liaison srie ?
_____________________________________________________________________
_____________________________________________________________________
La liaison est active et la contigut OSPF est restaure.

tape 4 : dsactivation de la fonction de dbogage


Dsactivez la fonction de dbogage si vous navez pas encore utilis la commande undebug all.
R1#undebug all
Port Statistics for unclassified packets is not turned on.
All possible debugging has been turned off
R1#
R2#undebug all
Port Statistics for unclassified packets is not turned on.
All possible debugging has been turned off
R2#
tape 5 : remplacement de lencapsulation HDLC par lencapsulation PPP aux deux extrmits
de la liaison srie entre R2 et R3
R2(config)#interface serial0/0/1
R2(config-if)#encapsulation ppp
R2(config-if)#
*Aug 17 20:02:08.080: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
R2(config-if)#
*Aug 17 20:02:13.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R2(config-if)#
*Aug 17 20:02:58.564: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
R2(config-if)#
*Aug 17 20:03:03.644: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from LOADING to FULL, Loading Done
R2(config-if)#
*Aug 17 20:03:46.988: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R3(config)#interface serial 0/0/1
R3(config-if)#encapsulation ppp
R3(config-if)#
*Aug 17 20:04:27.152: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
*Aug 17 20:04:30.952: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/1 from LOADING to FULL, Loading Done
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Quand le protocole de ligne sur la liaison srie est-il activ et quand la contigut OSPF
est-elle restaure ?
_____________________________________________________________________
_____________________________________________________________________
Uniquement lorsque les deux extrmits de la liaison srie sont encapsules avec le protocole PPP.
tape 6 : vrification de lactivation de lencapsulation PPP sur les interfaces srie
R1#show interface serial0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.1.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
<rsultat omis>
R2#show interface serial 0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.1.2/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
<rsultat omis>
R2#show interface serial 0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.2.2.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
<rsultat omis>
R3#show interface serial 0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.2.2.2/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
<rsultat omis>

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Tche 7 : interruption et restauration de lencapsulation PPP


En interrompant volontairement lencapsulation PPP, vous en saurez plus sur les messages derreur
gnrs. Cela vous aidera ultrieurement dans les travaux pratiques de dpannage.
tape 1 : rtablissement de lencapsulation HDLC par dfaut des deux interfaces srie de R2
R2(config)#interface serial 0/0/0
R2(config-if)#encapsulation hdlc
R2(config-if)#
*Aug 17 20:36:48.432: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on
Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached
*Aug 17 20:36:49.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to down
R2(config-if)#
*Aug 17 20:36:51.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to up
R2(config-if)#interface serial 0/0/1
*Aug 17 20:37:14.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to down
R2(config-if)#encapsulation hdlc
R2(config-if)#
*Aug 17 20:37:17.368: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
*Aug 17 20:37:18.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R2(config-if)#
*Aug 17 20:37:20.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
R2(config-if)#
*Aug 17 20:37:44.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R2(config-if)#
En quoi linterruption dlibre dune configuration est-elle utile ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Les diffrentes mthodes dinterruption volontaire dun protocole permettent de comprendre
comment ce protocole pourrait tre involontairement interrompu. Cela savrera trs utile
lorsque vous devrez rsoudre des problmes dans les travaux pratiques de dpannage.
Pourquoi les deux interfaces srie sont-elles dsactives, actives, puis dsactives de
nouveau ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Les interfaces sont dabord dsactives en raison de la non-concordance de leurs types


dencapsulation. Elles sont ensuite ractives pour quelles tentent de rtablir une connexion.
Si les interfaces ne parviennent pas rtablir la connexion, elles sont nouveau dsactives.
Outre lutilisation de la commande encapsulation hdlc, comment peut-on remplacer
lencapsulation PPP dune interface srie par lencapsulation HDLC par dfaut ? (Indice :
la rponse cette question est lie la commande no.)
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
R2(config)#interface serial 0/0/0
R2(config-if)#no encapsulation ppp
R2(config-if)#interface serial 0/0/1
R2(config-if)#no encapsulation ppp
tape 2 : rtablissement de lencapsulation PPP des deux interfaces srie de R2
R2(config)#interface s0/0/0
R2(config-if)#encapsulation ppp
*Aug 17 20:53:06.612: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to up
R2(config-if)#interface s0/0/1
*Aug 17 20:53:10.856: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on
Serial0/0/0 from LOADING to FULL, Loading Done
R2(config-if)#encapsulation ppp
*Aug 17 20:53:23.332: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
R2(config-if)#
*Aug 17 20:53:24.916: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from LOADING to FULL, Loading Done
R2(config-if)#

Tche 8 : configuration de lauthentification PPP


tape 1 : configuration de lauthentification PPP laide du protocole PAP sur la liaison srie
reliant R1 et R2
R1(config)#username R1 password cisco
R1(config)#int s0/0/0
R1(config-if)#ppp authentication pap
R1(config-if)#
*Aug 22 18:58:57.367: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to down
R1(config-if)#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

*Aug 22 18:58:58.423: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on


Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached
R1(config-if)#ppp pap sent-username R2 password cisco

Que se passe-t-il lorsque lauthentification PPP, via le protocole PAP, est configure sur
une seule extrmit de la liaison srie ?
_____________________________________________________________________
_____________________________________________________________________
Le protocole de ligne de linterface Serial 0/0/0 est dsactiv et la contigut OSPF passe
ltat dsactiv (DOWN).
R2(config)#username R2 password cisco
R2(config)#interface Serial0/0/0
R2(config-if)#ppp authentication pap
R2(config-if)#ppp pap sent-username R1 password cisco
R2(config-if)#
*Aug 23 16:30:33.771: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/0, changed state to up
R2(config-if)#
*Aug 23 16:30:40.815: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on
Serial0/0/0 from LOADING to FULL, Loading Done
R2(config-if)#
Que se passe-t-il lorsque lauthentification PPP, via le protocole PAP, est configure sur chaque
extrmit de la liaison srie ?
_____________________________________________________________________
_____________________________________________________________________
Le protocole de ligne de linterface Serial 0/0/0 est activ et la contigut OSPF est tablie.
tape 2 : configuration de lauthentification PPP, via le protocole CHAP, sur la liaison srie
reliant R2 et R3
Dans le cas dune authentification PAP, le mot de passe nest pas chiffr. Mme sil vaut mieux utiliser
ce type dauthentification plutt que de nen utiliser aucune, il est prfrable de chiffrer le mot de passe
transmis sur la liaison. Le protocole CHAP chiffre le mot de passe.
R2(config)#username R3 password cisco
R2(config)#int s0/0/1
R2(config-if)#ppp authentication chap
R2(config-if)#
*Aug 23 18:06:00.935: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R2(config-if)#
*Aug 23 18:06:01.947: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
R2(config-if)#
R3(config)#username R2 password cisco
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

*Aug 23 18:07:13.074: %LINEPROTO-5-UPDOWN: Line protocol on Interface


Serial0/0/1, changed state to up
R3(config)#int s0/0/1
R3(config-if)#
*Aug 23 18:07:22.174: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/1 from LOADING to FULL, Loading Done
R3(config-if)#ppp authentication chap
R3(config-if)#

Vous pouvez constater que ltat du protocole de ligne de linterface srie 0/0/1 passe UP
(activ) avant mme que linterface ne soit configure pour lauthentification CHAP. Pouvezvous en dterminer la raison ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Le protocole CHAP peut effectuer une authentification sens unique ou bidirectionnelle. Ainsi,
la liaison est active lorsque le nom dutilisateur et le mot de passe corrects sont configurs.
tape 3 : examen du rsultat du dbogage
Pour mieux comprendre le processus CHAP, consultez le rsultat de la commande debug ppp
authentication sur R2 et R3. Arrtez ensuite linterface Serial 0/0/1 sur R2, puis excutez la commande
no shutdown sur linterface Serial 0/0/1 sur R2.
R2#debug ppp authentication
PPP authentication debugging is on
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#int s0/0/1
R2(config-if)#shutdown
R2(config-if)#
*Aug 23 18:19:21.059: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
R2(config-if)#
*Aug 23 18:19:23.059: %LINK-5-CHANGED: Interface Serial0/0/1, changed state
to administratively down
*Aug 23 18:19:24.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R2(config-if)#no shutdown
*Aug
*Aug
*Aug
*Aug
*Aug
up
*Aug
*Aug
*Aug
*Aug

23
23
23
23
23

18:19:55.059:
18:19:55.059:
18:19:55.059:
18:19:55.059:
18:19:55.063:

Se0/0/1 PPP: Using default call direction


Se0/0/1 PPP: Treating connection as a dedicated line
Se0/0/1 PPP: Session handle[5B000005] Session id[49]
Se0/0/1 PPP: Authorization required
%LINK-3-UPDOWN: Interface Serial0/0/1, changed state to

23
23
23
23

18:19:55.063:
18:19:55.067:
18:19:55.067:
18:19:55.067:

Se0/0/1
Se0/0/1
Se0/0/1
Se0/0/1

CHAP:
CHAP:
CHAP:
CHAP:

O CHALLENGE id
I CHALLENGE id
Using hostname
Using password

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

48 len 23 from "R2"


2 len 23 from "R3"
from unknown source
from AAA

Page 16 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

*Aug 23 18:19:55.067: Se0/0/1 CHAP: O RESPONSE id 2 len 23 from "R2"


*Aug 23 18:19:55.071: Se0/0/1 CHAP: I RESPONSE id 48 len 23 from "R3"
*Aug 23 18:19:55.071: Se0/0/1 PPP: Sent CHAP LOGIN Request
*Aug 23 18:19:55.071: Se0/0/1 PPP: Received LOGIN Response PASS
*Aug 23 18:19:55.071: Se0/0/1 PPP: Sent LCP AUTHOR Request
*Aug 23 18:19:55.075: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Aug 23 18:19:55.075: Se0/0/1 LCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:55.075: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:55.075: Se0/0/1 CHAP: O SUCCESS id 48 len 4
*Aug 23 18:19:55.075: Se0/0/1 CHAP: I SUCCESS id 2 len 4
*Aug 23 18:19:55.075: Se0/0/1 PPP: Sent CDPCP AUTHOR Request
*Aug 23 18:19:55.075: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:55.079: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Aug 23 18:19:56.075: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
R2(config-if)#
*Aug 23 18:20:05.135: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from LOADING to FULL, Loading Done
R3#debug ppp authentication
PPP authentication debugging is on
R3#
*Aug 23 18:19:04.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to
down
R3#
*Aug 23 18:19:04.494: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
*Aug 23 18:19:05.494: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
R3#
*Aug 23 18:19:36.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to
up
*Aug 23 18:19:36.494: Se0/0/1 PPP: Using default call direction
*Aug 23 18:19:36.494: Se0/0/1 PPP: Treating connection as a dedicated line
*Aug 23 18:19:36.494: Se0/0/1 PPP: Session handle[3C000034] Session id[52]
*Aug 23 18:19:36.494: Se0/0/1 PPP: Authorization required
*Aug 23 18:19:36.498: Se0/0/1 CHAP: O CHALLENGE id 2 len 23 from "R3"
*Aug 23 18:19:36.502: Se0/0/1 CHAP: I CHALLENGE id 48 len 23 from "R2"
*Aug 23 18:19:36.502: Se0/0/1 CHAP: Using hostname from unknown source
*Aug 23 18:19:36.506: Se0/0/1 CHAP: Using password from AAA
*Aug 23 18:19:36.506: Se0/0/1 CHAP: O RESPONSE id 48 len 23 from "R3"
*Aug 23 18:19:36.506: Se0/0/1 CHAP: I RESPONSE id 2 len 23 from "R2"
R3#
*Aug 23 18:19:36.506: Se0/0/1 PPP: Sent CHAP LOGIN Request
*Aug 23 18:19:36.506: Se0/0/1 PPP: Received LOGIN Response PASS
*Aug 23 18:19:36.510: Se0/0/1 PPP: Sent LCP AUTHOR Request
*Aug 23 18:19:36.510: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Aug 23 18:19:36.510: Se0/0/1 LCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:36.510: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS
*Aug 23 18:19:36.510: Se0/0/1 CHAP: O SUCCESS id 2 len 4
*Aug 23 18:19:36.510: Se0/0/1 CHAP: I SUCCESS id 48 len 4
*Aug 23 18:19:36.514: Se0/0/1 PPP: Sent CDPCP AUTHOR Request
*Aug 23 18:19:36.514: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Aug 23 18:19:36.514: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS
R3#
*Aug 23 18:19:37.510: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Serial0/0/1, changed state to up


R3#
*Aug 23 18:19:46.570: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/1 from LOADING to FULL, Loading Done
R3#

Tche 9 : interruption dlibre et restauration de lauthentification PPP via


le protocole CHAP
tape 1 : interruption de lauthentification PPP laide du protocole CHAP
Sur la liaison srie reliant R2 et R3, activez le protocole dauthentification PAP pour linterface
srie 0/0/1.
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#int s0/0/1
R2(config-if)#ppp authentication pap
R2(config-if)#^Z
R2#
*Aug 24 15:45:47.039: %SYS-5-CONFIG_I: Configured from console by console
R2#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R2#reload
Lactivation du protocole dauthentification PAP sur linterface srie 0/0/1 provoque-t-elle
une interruption de lauthentification entre R2 et R3 ?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Oui. Vrifiez la dsactivation du protocole en utilisant la commande show ip interface brief.
Si vous ne rechargez pas le routeur, le protocole de ligne reste activ.

R2#show ip int brief


Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 unassigned
Serial0/0/0
10.1.1.2
Serial0/0/1
10.2.2.1
Serial0/1/0
unassigned
Serial0/1/1
unassigned
Loopback0
209.165.200.225

OK?
YES
YES
YES
YES
YES
YES
YES

Method
NVRAM
NVRAM
NVRAM
NVRAM
NVRAM
NVRAM
NVRAM

Status
administratively
administratively
up
up
administratively
administratively
up

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Protocol
down down
down down
up
down
down down
down down
up

Page 18 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

tape 2 : restauration de lauthentification PPP avec le protocole CHAP sur la liaison srie
Notez quil nest pas ncessaire de recharger le routeur pour que ces modifications soient prises
en compte.
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#int s0/0/1
R2(config-if)#ppp authentication chap
R2(config-if)#
*Aug 24 15:50:00.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
R2(config-if)#
*Aug 24 15:50:07.467: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on
Serial0/0/1 from LOADING to FULL, Loading Done
R2(config-if)#
tape 3 : interruption volontaire de lauthentification PPP avec le protocole CHAP par le
changement du mot de passe de R3
R3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#username R2 password cisco
R3(config)#^Z
R3#
*Aug 24 15:54:17.215: %SYS-5-CONFIG_I: Configured from console by console
R3#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R3#reload

Une fois le rechargement termin, quel est ltat du protocole de ligne sur linterface srie 0/0/1 ?
_____________________________________________________________________
_____________________________________________________________________
Dsactiv (Down). Procdez la vrification en utilisant la commande show ip interface brief.
R3#show ip int brief
Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 192.168.30.1
Serial0/0/0
unassigned
Serial0/0/1
10.2.2.2

OK?
YES
YES
YES
YES

Method
NVRAM
NVRAM
NVRAM
NVRAM

Status
Protocol
administratively down down
up
up
administratively down down
up
down

tape 4 : restauration de lauthentification PPP avec le protocole CHAP par le changement du mot
de passe de R3
R3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#username R2 password cisco
R3(config)#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

*Aug 24 16:11:10.679: %LINEPROTO-5-UPDOWN: Line protocol on Interface


Serial0/0/1, changed state to up
R3(config)#
*Aug 24 16:11:19.739: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on
Serial0/0/1 from LOADING to FULL, Loading Done
R3(config)#

Tche 10 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
!
no ip domain lookup
!
username R1 password 0 cisco
!
!
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no shutdown
!
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication pap
ppp pap sent-username R2 password 0 cisco
no shutdown
!
!
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
!
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

line vty 0 4
password cisco
login
!
end
R2#show run
!<rsultat omis>
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
username R3 password 0 cisco
username R2 password 0 cisco
!
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication pap
ppp pap sent-username R1 password 0 cisco
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 209.165.200.224 0.0.0.31 area 0
!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

login
line aux 0
line vty 0 4
password cisco
login
!
end
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
!
!
no ip domain lookup
!
username R2 password 0 cisco
!
!
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no shutdown
!
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 192.168.30.0 0.0.0.255 area 0
!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 23

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Tche 11 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 23 sur 23

Travaux pratiques 2.5.2 : configuration avance du protocole PPP


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1

R2

Interface

Adresse IP

Masque de
sous-rseau

Passerelle
par dfaut

Fa0/1

10.0.0.1

255.255.255.128

N/D

S0/0/0

172.16.0.1

255.255.255.252

N/D

S0/0/1

172.16.0.9

255.255.255.252

N/D

Lo0

209.165.200.161

255.255.255.224

N/D

S0/0/0

172.16.0.2

255.255.255.252

N/D

S0/0/1

172.16.0.5

255.255.255.252

N/D

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

Fa0/1

10.0.0.129

255.255.255.128

N/D

S0/0/0

172.16.0.10

255.255.255.252

N/D

S0/0/1

172.16.0.6

255.255.255.252

N/D

PC1

Carte rseau

10.0.0.10

255.255.255.128

10.0.0.1

PC3

Carte rseau

10.0.0.139

255.255.255.128

10.0.0.129

R3

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie


Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres
par dfaut
Excuter les tches de configuration de base dun routeur
Configurer et activer des interfaces
Configurer le routage OSPF sur tous les routeurs
Configurer lencapsulation PPP sur toutes les interfaces srie
Faire passer lencapsulation des interfaces srie de PPP HDLC
Interrompre volontairement une encapsulation PPP et la restaurer
Configurer lauthentification PPP laide du protocole CHAP
Interrompre volontairement et restaurer lauthentification PPP via le protocole CHAP.

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation PPP sur les
liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous configurerez galement
lauthentification PPP CHAP. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques
Configuration PPP de base. Essayez cependant de travailler de faon autonome, sans y avoir recours.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :

Configurez le nom dhte du routeur.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

enable
configure terminal
no ip domain-lookup
enable secret class
banner motd ^CUnauthorized access strictly prohibited and prosecuted
to the full extent of the law^C
!
!
line con 0
exec-timeout 0 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config starting-config

Tche 3 : configuration et activation dadresses srie et Ethernet


tape 1 : configuration des interfaces sur R1, R2 et R3
R1
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.128
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.252
no shutdown
clock rate 64000
!
interface Serial0/0/1
ip address 172.16.0.9 255.255.255.252
no shutdown
R2
!
interface Loopback0
ip address 209.165.200.161 255.255.255.224
!
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.5 255.255.255.252
clock rate 64000
no shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

R3
!
interface FastEthernet0/1
ip address 10.0.0.129 255.255.255.128
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.10 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.6 255.255.255.252
clock rate 64000
no shutdown
tape 2 : vrification de ladressage IP et des interfaces
R1#show ip interface brief
Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 10.0.0.1
Serial0/0/0
172.16.0.1
Serial0/0/1
172.16.0.9

OK?
YES
YES
YES
YES

Method
manual
manual
manual
manual

Status
Protocol
administratively down down
up
up
up
up
up
up

R2#show ip interface brief


Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 unassigned
Serial0/0/0
172.16.0.2
Serial0/0/1
172.16.0.5
Loopback0
209.165.200.161

OK?
YES
YES
YES
YES
YES

Method
unset
unset
manual
manual
manual

Status
Protocol
administratively down down
administratively down down
up
up
up
up
up
up

R3#show ip interface brief


Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 10.0.0.129
Serial0/0/0
172.16.0.10
Serial0/0/1
172.16.0.6

OK?
YES
YES
YES
YES

Method
unset
manual
manual
manual

Status
Protocol
administratively down down
up
up
up
up
up
up

tape 3 : configuration des interfaces Ethernet de PC1 et PC3


tape 4 : test de la connectivit entre les ordinateurs

Tche 4 : configuration du protocole OSPF sur les routeurs


tape 1 : activation du routage OSPF sur les routeurs
R1
!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
R2
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.160 0.0.0.31 area 0
!
R3
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
tape 2 : vrification de la connectivit sur lensemble du rseau
R1#show ip route
<rsultat omis>
C
O
C
O
C
O

172.16.0.0/30 is subnetted, 3 subnets


172.16.0.8 is directly connected, Serial0/0/1
172.16.0.4 [110/1562] via 172.16.0.10, 00:09:11, Serial0/0/1
[110/1562] via 172.16.0.2, 00:09:11, Serial0/0/0
172.16.0.0 is directly connected, Serial0/0/0
209.165.200.0/32 is subnetted, 1 subnets
209.165.200.161 [110/782] via 172.16.0.2, 00:09:11, Serial0/0/0
10.0.0.0/25 is subnetted, 2 subnets
10.0.0.0 is directly connected, FastEthernet0/1
10.0.0.128 [110/782] via 172.16.0.10, 00:09:11, Serial0/0/1

R1#ping 209.165.200.161
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.165.200.161, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R1#ping 10.0.0.129
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.129, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#show ip route
<rsultat omis>
O
C
C
C
O
O

172.16.0.0/30 is subnetted, 3 subnets


172.16.0.8 [110/1562] via 172.16.0.6, 00:12:42, Serial0/0/1
[110/1562] via 172.16.0.1, 00:12:42, Serial0/0/0
172.16.0.4 is directly connected, Serial0/0/1
172.16.0.0 is directly connected, Serial0/0/0
209.165.200.0/27 is subnetted, 1 subnets
209.165.200.160 is directly connected, Loopback0
10.0.0.0/25 is subnetted, 2 subnets
10.0.0.0 [110/782] via 172.16.0.1, 00:12:42, Serial0/0/0
10.0.0.128 [110/782] via 172.16.0.6, 00:12:42, Serial0/0/1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

R2#ping 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R2#ping 10.0.0.129
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.129, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms
R3#show ip route
<rsultat omis>
C
C
O
O
O
C

172.16.0.0/30
172.16.0.8
172.16.0.4
172.16.0.0

is subnetted, 3 subnets
is directly connected, Serial0/0/0
is directly connected, Serial0/0/1
[110/1562] via 172.16.0.9, 00:14:14, Serial0/0/0
[110/1562] via 172.16.0.5, 00:14:14, Serial0/0/1
209.165.200.0/32 is subnetted, 1 subnets
209.165.200.161 [110/782] via 172.16.0.5, 00:14:14, Serial0/0/1
10.0.0.0/25 is subnetted, 2 subnets
10.0.0.0 [110/782] via 172.16.0.9, 00:14:14, Serial0/0/0
10.0.0.128 is directly connected, FastEthernet0/1

R3#ping 209.165.200.161
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.165.200.161, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms
R3#ping 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms

Tche 5 : configuration de lencapsulation PPP sur les interfaces srie


tape 1 : configuration du protocole PPP sur les interfaces srie des trois routeurs
R1
interface Serial0/0/0
encapsulation ppp
!
interface Serial0/0/1
encapsulation ppp

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

R2
interface Serial0/0/0
encapsulation ppp
!
interface Serial0/0/1
encapsulation ppp
R3
interface Serial0/0/0
encapsulation ppp
!
interface Serial0/0/1
encapsulation ppp
tape 2 : vrification que toutes les interfaces srie utilisent lencapsulation PPP
R1
R1#show interface serial0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
R1#show interface serial0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.9/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
R2
R2#show interface serial0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.2/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
R2#show interface serial0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.5/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

R3
R3#show interface serial0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.10/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
R3#show interface serial0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.6/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set

Tche 6 : interruption et restauration volontaire de lencapsulation PPP


tape 1 : choix dune mthode dinterruption de lencapsulation PPP sur le rseau
R1
interface Serial0/0/0
encapsulation hdlc
R2
interface Serial0/0/1
encapsulation hdlc
R3
interface Serial0/0/0
encapsulation hdlc
tape 2 : restauration dune connectivit complte sur le rseau
R1
interface Serial0/0/0
encapsulation ppp
R2
interface Serial0/0/1
encapsulation ppp
R3
interface Serial0/0/0
encapsulation ppp

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

tape 3 : vrification de la connectivit complte sur le rseau


R1#show ip route
R2#show ip route
R3#show ip route
username R2 password cisco
username R3 password cisco
interface serial0/0/0
ppp authentication chap
interface serial0/0/1
ppp authentication chap

Tche 7 : configuration de lauthentification PPP via le processus CHAP


tape 1 : configuration de lauthentification PPP, via le processus CHAP, sur toutes les
liaisons srie
R1
username R2 password cisco
username R3 password cisco
interface serial0/0/0
ppp authentication chap
interface serial0/0/1
ppp authentication chap
R2
username R1 password cisco
username R3 password cisco
interface serial0/0/0
ppp authentication chap
interface serial0/0/1
ppp authentication chap
R3
username R1 password cisco
username R2 password cisco
interface serial0/0/0
ppp authentication chap
interface serial0/0/1
ppp authentication chap
tape 2 : vrification de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie
R1#show ip interface brief
Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 10.0.0.1
Serial0/0/0
172.16.0.1
Serial0/0/1
172.16.0.9

OK?
YES
YES
YES
YES

R2#show ip interface brief


Interface
IP-Address
FastEthernet0/0 unassigned

OK? Method Status


Protocol
YES unset administratively down down

Method
manual
manual
manual
manual

Status
Protocol
administratively down down
up
up
up
up
up
up

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

FastEthernet0/1 unassigned
Serial0/0/0
172.16.0.2
Serial0/0/1
172.16.0.5
Loopback0
209.165.200.161

YES
YES
YES
YES

unset
manual
manual
manual

administratively down down


up
up
up
up
up
up

R3#show ip interface brief


Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 10.0.0.129
Serial0/0/0
172.16.0.10
Serial0/0/1
172.16.0.6

OK?
YES
YES
YES
YES

Method
unset
manual
manual
manual

Status
Protocol
administratively down down
up
up
up
up
up
up

Tche 8 : interruption dlibre et restauration de lauthentification PPP via le


protocole CHAP
tape 1 : choix dune mthode dinterruption de lauthentification PPP, via le protocole CHAP,
sur une ou plusieurs liaisons srie
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface serial 0/0/0
R1(config-if)#no ppp authentication chap
R1(config-if)#ppp authentication pap
R1(config-if)#interface serial0/0/1
R1(config-if)#no ppp authentication chap
R1(config-if)#ppp authentication pap
R1(config-if)#^Z
R1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#reload
tape 2 : vrification de la rupture de lauthentification PPP avec le protocole CHAP
R1#show ip interface brief
Interface
IP-Address
FastEthernet0/0 unassigned
FastEthernet0/1 10.0.0.1
Serial0/0/0
172.16.0.1
Serial0/0/1
172.16.0.9

OK?
YES
YES
YES
YES

Method
NVRAM
NVRAM
NVRAM
NVRAM

Status
Protocol
administratively down down
up
up
up
down
up
down

tape 3 : restauration de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface serial0/0/0
R1(config-if)#ppp authentication chap
R1(config-if)#interface serial0/0/1
R1(config-if)#ppp authentication chap
R1(config-if)#^Z
R1#
tape 4 : vrification de lauthentification PPP, via le protocole CHAP, sur toutes les liaisons srie
R1#show ip interface brief
Interface
IP-Address

OK? Method Status

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Protocol

Page 10 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

FastEthernet0/0
FastEthernet0/1
Serial0/0/0
Serial0/0/1

unassigned
10.0.0.1
172.16.0.1
172.16.0.9

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

YES
YES
YES
YES

NVRAM
NVRAM
NVRAM
NVRAM

administratively down down


up
up
up
up
up
up

Tche 9 : documentation des configurations des routeurs


R1
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
no ip domain lookup
!
username R3 password 0 cisco
username R2 password 0 cisco
!
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.128
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!
!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

login
line aux 0
line vty 0 4
password cisco
login
!
end
R2
R2#show run
!<rsultat omis>
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
username R1 password 0 cisco
username R3 password 0 cisco
!
!
!
interface Loopback0
ip address 209.165.200.161 255.255.255.224
!
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
!
router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.160 0.0.0.31 area 0
!
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
!
no ip domain lookup
!
username R1 password 0 cisco
username R2 password 0 cisco
!
!
interface FastEthernet0/1
ip address 10.0.0.129 255.255.255.128
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.10 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.6 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 14

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.2 : configuration avance du protocole PPP

logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 14

Travaux pratiques 2.5.3 : dpannage de la configuration PPP


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

Interface

Adresse IP

Masque de
sous-rseau

Passerelle par
dfaut

Fa0/1

10.0.0.1

255.255.255.128

N/D

S0/0/0

172.16.0.1

255.255.255.252

N/D

S0/0/1

172.16.0.9

255.255.255.252

N/D

Lo0

209.165.200.161

255.255.255.224

N/D

S0/0/0

172.16.0.2

255.255.255.252

N/D

S0/0/1

172.16.0.5

255.255.255.252

N/D

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

Fa0/1

10.0.0.129

255.255.255.128

N/D

S0/0/0

172.16.0.10

255.255.255.252

N/D

S0/0/1

172.16.0.6

255.255.255.252

N/D

PC1

Carte rseau

10.0.0.10

255.255.255.128

10.0.0.1

PC3

Carte rseau

10.0.0.139

255.255.255.128

10.0.0.129

R3

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Charger les routeurs avec les scripts fournis

Dtecter et corriger des erreurs rseau

Documenter le rseau corrig

Scnario
Les routeurs de votre socit ont t configurs par un ingnieur rseau peu expriment. La prsence
de plusieurs erreurs dans la configuration a provoqu des problmes de connectivit. Votre responsable
vous demande de dtecter les erreurs de configuration et de les corriger, puis de dcrire le travail ralis.
En utilisant vos connaissances en matire de protocole PPP, ainsi que des mthodes de vrification
standard, dtectez les erreurs et corrigez-les. Veillez ce que toutes les liaisons srie utilisent
lauthentification PPP CHAP et vrifiez que tous les rseaux sont accessibles.

Tche 1 : chargement des routeurs avec les scripts fournis


[Note au formateur : les commandes manquantes ou mal configures sont affiches en rouge.]
R1
enable
configure terminal
!
hostname R1
!
!
enable secret class
!
!
!
no ip domain lookup
!
username R2 password 0 cisco
username R3 password 0 cisco
!Cette commande a t omise.
!
!
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.128
!Une erreur courante de configuration de rseaux est de placer la bonne
!configuration au mauvais endroit. Dans ce cas, une analyse dtaille du
!diagramme rvle que FastEthernet0/1 est suppos avoir cette adresse IP.
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.128
duplex auto
speed auto
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.248
!Masque de sous-rseau incorrect. Le masque de sous-rseau correct
!est 255.255.255.252
no fair-queue
clockrate 64000
!
interface Serial0/0/1
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
ppp authentication pap
ppp authentication chap
!Lauthentification PAP PPP a t configure par erreur au lieu de CHAP
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
network 172.16.0.0 0.0.0.3 area 0
!Un sous-rseau incorrect a t annonc dans OSPF
!
ip classless
!
ip http server
!
!
control-plane
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

end
R2
enable
configure terminal
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
username R11 password 0 cisco
!R11 a t entr la place de R1. Il sagit dune erreur courante en
!configuration.
username R1 password 0 cisco
username R3 password 0 class
!
!
!
interface Loopback0
no ip address
ip address 209.165.200.161 255.255.255.224
!Ladresse IP correcte a t indique sur la mauvaise
!interface (FastEthernet0/1).
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 209.165.200.161 255.255.255.224
ip address 10.0.0.1 255.255.255.128
!Une analyse dtaille du diagramme de topologie fait apparatre que
!ladresse IP correcte a t indique sur la mauvause interface.
!Cette adresse IP appartient linterface Loopback0.
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
no fair-queue
ppp authentication chap
!
interface Serial0/0/1
ip address 172.16.0.2 255.255.255.252
!Lencapsulation srie par dfaut HDLC est reste. Les commandes suivantes
!ont t oublies :
encapsulation ppp
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

clockrate 64000
ppp authentication chap
!
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.128 0.0.0.31 area 0
network 209.165.200.160 0.0.0.31 area 0
!Un sous-rseau incorrect a t indiqu dans OSPF pour le rseau 209.
ip classless
!
ip http server
!
!
control-plane
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
enable
configure terminal
!
hostname R3
!
!
enable secret class
!
!
no ip domain lookup
!
username R1 password 0 cisco
username R3 password 0 ciscco
username R3 password 0 cisco
!Nouvelle faute de frappe. Cette fois-ci, il sagit du mot de passe.
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

speed auto
!
interface FastEthernet0/1
ip address 10.0.0.129 255.255.255.0
ip address 10.0.0.129 255.255.255.128
!De nombreux travaux pratiques utilisent le sous-rseau /24, il est donc
!facile de taper ce sous-rseau par habitude, sans vrifier le diagramme.
duplex auto
speed auto
!
interface Serial0/0/0
ip address 172.16.0.10 255.255.255.252
no fair-queue
clockrate 64000
!PPP et CHAP ne sont PAS configurs sur cette interface. Les commandes
!suivantes ont t oublies :
encapsulation ppp
ppp authentication chap
!
interface Serial0/0/1
no ip address
ip address 172.16.0.6 255.255.255.252
encapsulation ppp
ppp authentication pap
ppp authentication chap
!
router ospf 1
log-adjacency-changes
network 10.0.0.128 0.0.0.127 area 0
network 192.16.0.4 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 192.16.0.8 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
ip classless
!
ip http server
!
!
control-plane
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

Tche 2 : recherche et correction des erreurs sur le rseau


En utilisant les mthodes de dpannage standard, recherchez, documentez et corrigez les erreurs.
Remarque : lors du dpannage dun rseau de production, si la tche de configuration consiste
configurer PPP via le protocole CHAP et que cela ne fonctionne pas, commencez par vrifier la
configuration PPP avec le protocole CHAP. Cependant, dans les configurations rseau interrompues
effectues lors de ces travaux pratiques, cela ne permet que la restauration partielle du rseau. Il est
frquent que des ingnieurs rseau trs expriments se concentrent uniquement sur la tche de
configuration principale lors du dpannage, sans vrifier les lments de base. Les adresses rseau
sont-elles saisies correctement ? Les sous-rseaux sont-ils saisis correctement ? Le routage de base
fonctionne-t-il ? Si le fait de saxer sur la tche de dpannage principale permet de rsoudre le problme,
cest une bonne chose. Sinon, les lments de base doivent tre vrifis. Cette mthodologie de
dpannage est la plus logique.

Tche 3 : documentation du rseau corrig


Une fois que vous avez corrig toutes les erreurs et test la connectivit du rseau, documentez la
configuration finale de chaque priphrique.
R1
R1#show run
!<rsultat omis>
!
hostname R1
!
!
enable secret class
!
!
no ip domain lookup
!
username R3 password 0 cisco
username R2 password 0 cisco
!
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.128
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

!
router ospf 1
network 10.0.0.0 0.0.0.127 area 0
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R2
R2#show run
!<rsultat omis>
!
hostname R2
!
!
enable secret class
!
!
no ip domain lookup
!
username R1 password 0 cisco
username R3 password 0 cisco
!
!
!
interface Loopback0
ip address 209.165.200.161 255.255.255.224
!
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.2 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

no shutdown
!
!
router ospf 1
network 172.16.0.0 0.0.0.3 area 0
network 172.16.0.4 0.0.0.3 area 0
network 209.165.200.160 0.0.0.31 area 0
!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
R3
R3#show run
!<rsultat omis>
!
hostname R3
!
!
enable secret class
!
!
no ip domain lookup
!
username R1 password 0 cisco
username R2 password 0 cisco
!
!
interface FastEthernet0/1
ip address 10.0.0.129 255.255.255.128
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.10 255.255.255.252
encapsulation ppp
clockrate 64000
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 172.16.0.6 255.255.255.252
encapsulation ppp
ppp authentication chap
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 10

CCNA Exploration
Accs au rseau tendu : protocole PPP

Travaux pratiques 2.5.3 : dpannage de la configuration de PPP

no shutdown
!
router ospf 1
network 10.0.0.128 0.0.0.127 area 0
network 172.16.0.4 0.0.0.3 area 0
network 172.16.0.8 0.0.0.3 area 0
!
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 10

Travaux pratiques 3.5.1 : Frame Relay de base (version du formateur)


Diagramme de topologie

Table dadressage
Interface

Adresse IP

Masque de
sous-rseau

Passerelle
par dfaut

Fa0/0

192.168.10.1

255.255.255.0

N/D

S0/0/1

10.1.1.1

255.255.255.252

N/D

S0/0/1

10.1.1.2

255.255.255.252

N/D

Lo 0

209.165.200.225

255.255.255.224

N/D

Comm1

VLAN1

192.168.10.2

255.255.255.0

192.168.10.1

PC1

Carte rseau

192.168.10.10

255.255.255.0

192.168.10.1

Priphrique
R1

R2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Excuter les tches de configuration de base dun routeur

Configurer et activer des interfaces

Configurer le routage EIGRP sur tous les routeurs

Configurer lencapsulation Frame Relay sur toutes les interfaces srie

Configurer un routeur en tant que commutateur Frame Relay

Comprendre le rsultat des commandes show frame-relay

Connatre les effets de la commande debug frame-relay lmi

Interrompre volontairement une liaison Frame Relay et la restaurer

Remplacer lencapsulation Frame Relay par dfaut Cisco par une encapsulation de type IETF

Remplacer linterface de supervision locale (LMI) Frame Relay Cisco par une interface ANSI

Configurer une sous-interface Frame Relay

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer lencapsulation Frame Relay
sur les liaisons srie en utilisant le rseau illustr dans le diagramme de topologie. Vous apprendrez
galement configurer un routeur en tant que commutateur Frame Relay. Des normes Cisco et des
normes ouvertes sappliquent Frame Relay. Nous allons passer en revue ces deux types de norme.
Portez une attention particulire la section des travaux pratiques dans laquelle vous interrompez
volontairement les configurations du protocole Frame Relay. Cela vous aidera dans les travaux
pratiques de dpannage associs ce chapitre.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip
des interfaces indiques dans la topologie. Les travaux pratiques relatifs au protocole Frame Relay
comportent deux liens DCE sur le mme routeur, la diffrence des autres travaux pratiques
dExploration 4. Assurez-vous que votre cblage soit conforme au diagramme de topologie.
Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions
des interfaces saffichent diffremment.
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1 et R2, ainsi que le commutateur Comm1, conformment aux instructions suivantes :

Configurez le nom dhte du routeur.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Configurez un mot de passe pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Configurez des adresses IP sur les routeurs R1 et R2.


Important : laissez les interfaces sries dsactives.

Activez le systme autonome (AS) 1 du protocole EIGRP sur les routeurs R1 et R2 pour tous
les rseaux.

enable
configure terminal
no ip domain-lookup
enable secret class
banner motd ^CUnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law^C
!
!
!
line console 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
end
copy running-config startup-config

!R1
interface serial 0/0/1
ip address 10.1.1.1 255.255.255.252
shutdown
!Les interfaces sries doivent rester dsactives jusqu ce que le
!commutateur Frame Relay soit configur.
interface fastethernet 0/0
ip address 192.168.10.1 255.255.255.0
no shutdown
router eigrp 1
no auto-summary
network 10.0.0.0
network 192.168.10.0
!

!R2
interface serial 0/0/1
ip address 10.1.1.2 255.255.255.252
shutdown
!Les interfaces sries doivent rester dsactives jusqu ce que le
!commutateur Frame Relay soit configur.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

interface loopback 0
ip address 209.165.200.225 255.255.255.224
router eigrp 1
no auto-summary
network 10.0.0.0
network 209.165.200.0
!

Tche 3 : configuration du protocole Frame Relay


Vous allez prsent configurer une liaison de base Frame Relay point point entre les routeurs 1 et 2.
Vous devez tout dabord configurer le commutateur FR en tant que commutateur Frame Relay, puis crer
des identificateurs de connexion de liaisons de donnes (DLCI).
Que signifie DLCI ?
_________________________________________________________________________
Data-link connection identifier : identificateur de connexion de liaisons de donnes
Quelle est la fonction dun DLCI ?
_____________________________________________________________________________
_____________________________________________________________________________
Un DLCI est une adresse de couche 2 mappe avec une adresse IP de couche 3.
Quest-ce quun PVC et comment est-il utilis ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
Un PVC est un circuit virtuel permanent, c'est--dire une connexion de couche 2, cre entre des points
dextrmit travers un nuage Frame Relay. Il peut exister plusieurs circuits virtuels permanents par
interface physique, ce qui permet de multiples connexions point point ou des connexions point
multipoints.
tape 1 : configuration dun commutateur FR en tant que commutateur Frame Relay et cration
dun PVC entre les routeurs R1 et R2
Cette commande permet dactiver globalement la commutation Frame Relay sur le routeur, lui permettant
de transfrer des trames sur la base du DLCI entrant plutt que sur une adresse IP :
Commutateur-FR(config)#frame-relay switching
Remplacez le type dencapsulation de linterface par le type Frame Relay. Tout comme HDLC ou PPP,
le protocole Frame Relay est un protocole de couche liaison de donnes qui dfinit le tramage du trafic
de la couche 2.
Commutateur-FR(config)#interface serial 0/0/0
Commutateur-FR(config)#clock rate 64000
Commutateur-FR(config-if)#encapsulation frame-relay

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

La modification du type dinterface en DCE indique au routeur denvoyer des messages de veille
linterface de supervision locale et permet Frame Relay dacheminer des instructions appliquer.
Il nest pas possible de configurer des PVC entre deux interfaces DTE Frame Relay laide de la
commande frame-relay route.
Commutateur-FR(config-if)#frame-relay intf-type dce
Remarque : les types dinterface Frame Relay ne doivent pas forcment correspondre au type de
linterface physique sous-jacente. Une interface srie ETTD physique peut faire office dinterface DCE
Frame Relay et une interface DCE physique peut faire office dinterface ETTD Frame Relay.
Configurez le routeur pour quil transfre le trafic entrant sur linterface srie 0/0/0 avec DLCI 102 vers
linterface srie 0/0/1 avec un DLCI de sortie dfini sur 201.
Commutateur-FR(config-if)#frame-relay route 102 interface serial 0/0/1 201
Commutateur-FR(config-if)#no shutdown
La configuration suivante permet la cration de deux PVC : la premire, entre le routeur R1 et le routeur
R2 (DLCI 102) et la seconde, entre le routeur R2 et le routeur R1 (DLCI 201). Vous pouvez vrifier la
configuration laide de la commande show frame-relay pvc.
Commutateur-FR(config-if)#interface serial 0/0/1
Commutateur-FR(config)#clock rate 64000
Commutateur-FR(config-if)#encapsulation frame-relay
Commutateur-FR(config-if)#frame-relay intf-type dce
Commutateur-FR(config-if)#frame-relay route 201 interface serial 0/0/0 102
Commutateur-FR(config-if)#no shutdown
Commutateur-FR#show frame-relay pvc
PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)
Local
Switched
Unused

Active
0
0
0

Inactive
0
1
0

Deleted
0
0
0

Static
0
0
0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE =


Serial0/0/0
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 0
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 00:03:33, last time pvc status changed 00:00:19
PVC Statistics for interface Serial0/0/1 (Frame Relay DCE)
Active

Inactive

Deleted

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Static

Page 5 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Local
Switched
Unused

0
0
0

Travaux pratiques 3.5.1 : protocole Frame Relay de base

0
1
0

0
0
0

0
0
0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE =


Serial0/0/1
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 0
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 00:02:02, last time pvc status changed 00:00:18
Remarquez le 1 dans la colonne Inactive. Aucun point dextrmit na t configur pour le PVC cr.
Le commutateur Frame Relay le dtecte et marque alors le PVC comme tant inactif.
Excutez la commande show frame-relay route. Elle vous indique toutes les routes Frame Relay
existantes, leurs interfaces, leurs DLCI et leurs tats. Il sagit de la route de couche 2, quemprunte
le trafic du protocole Frame Relay via le rseau. Ne le confondez pas avec le routage IP de la couche 3.
Commutateur-FR#show frame-relay route
Input Intf
Serial0/0/0
Serial0/0/1

Input Dlci
102
201

Output Intf
Serial0/0/1
Serial0/0/0

Output Dlci
201
102

Status
inactive
inactive

tape 2 : configuration du routeur R1 pour Frame Relay


Le protocole de rsolution dadresse inverse (ARP inverse) permet aux extrmits distantes dune liaison
Frame Relay de se dcouvrir de manire dynamique et offre une mthode dynamique de mappage
dadresses IP avec des DLCI. Malgr lutilit du protocole ARP inverse, il n'est pas toujours fiable.
La meilleure pratique consiste mapper les adresses IP avec les DLCI, de manire statique, puis
de dsactiver lARP inverse.
R1(config)#interface serial 0/0/1
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay inverse-arp
quoi sert de mapper une adresse IP avec un DCLI ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Quand le routeur doit acheminer un trafic vers une adresse IP, via une liaison Frame Relay, il doit
indiquer au commutateur de trame le PVC que le trafic doit traverser. Un commutateur de trame
abandonne tout trafic reu, dpourvu dun DCLI dans len-tte, car il na aucun moyen de dterminer
la manire d'acheminer les donnes.
La commande frame-relay map mappe de manire statique une adresse IP vers un DLCI. Outre le
mappage de ladresse IP vers un DLCI, le logiciel Cisco IOS permet le mappage de plusieurs adresses de
protocole de couche 3. Le mot cl broadcast de la commande ci-aprs envoie le trafic multidiffusion ou de
diffusion destin cette liaison sur le DLCI. La plupart des protocoles de routage ncessitent le mot cl
broadcast pour fonctionner correctement sur Frame Relay. Vous pouvez utiliser le mot cl broadcast
pour plusieurs DLCI sur la mme interface. Le trafic est alors rpliqu sur lensemble des PVC.
R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast
Le DLCI est-il mapp avec ladresse IP locale ou avec celle de lautre extrmit du PVC ?
_____________________________________________________________________________
Le DLCI est mapp avec ladresse IP de lextrmit distante du PVC.
R1(config-if)#no shutdown
Pourquoi la commande no shutdown doit-elle tre utilise aprs la commande no frame-relay
inverse-arp ?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Si vous saisissez dabord la commande no shutdown, le protocole ARP inverse risque dindiquer au
protocole Frame Relay les mappages de la couche 2 avec la couche 3, ce qui nest peut-tre pas ce
que vous souhaitez. Si vous dsactivez le protocole ARP inverse de Frame Relay avant dexcuter
la commande no shutdown, vous assurez que seules les connexions mappes de manire statique
voulues font partie des mappages Frame Relay.
tape 3 : configuration du routeur R2 pour Frame Relay
R2(config)#interface serial 0/0/1
R2(config-if)#encapsulation frame-relay
R2(config-if)#no frame-relay inverse-arp
R2(config-if)#frame-relay map ip 10.1.1.1 201 broadcast
R2(config-if)#no shutdown
ce stade, vous recevez des messages indiquant lactivation des interfaces et ltablissement de
la contigut du voisinage du protocole EIGRP.
R1#*Sep 9 17:05:08.771: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2
(Serial0/0/1) is up: new adjacency
R2#*Sep 9 17:05:47.691: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1
(Serial0/0/1) is up: new adjacency

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

La commande show ip route affiche des tables de routage compltes.


R1 :
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static
route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C
D
C

192.168.10.0/24 is directly connected, FastEthernet0/0


209.165.200.0/24 [90/20640000] via 10.1.1.2, 00:00:07, Serial0/0/1
10.0.0.0/30 is subnetted, 1 subnets
10.1.1.0 is directly connected, Serial0/0/1

R2 :
R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

D
C
C

192.168.10.0/24 [90/20514560] via 10.1.1.1, 00:26:03, Serial0/0/1


209.165.200.0/27 is subnetted, 1 subnets
209.165.200.224 is directly connected, Loopback0
10.0.0.0/30 is subnetted, 1 subnets
10.1.1.0 is directly connected, Serial0/0/1

Tche 4 : vrification de la configuration


prsent, vous devez tre en mesure denvoyer une requte ping de R1 vers R2 Il est possible que
les PVC ne soient activs que quelques secondes aprs le dmarrage des interfaces. Vous pouvez
galement voir les routages EIGRP de chaque routeur.
tape 1 : transmission dune requte ping R1 et R2
Vrifiez que vous pouvez envoyer une requte ping R2, partir de R1.
R1#ping 10.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
R2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
tape 2 : accs aux informations relatives aux PVC
La commande show frame-relay pvc affiche les informations relatives lensemble des PVC configurs
sur le routeur. Les rsultats incluent galement le DLCI associ.

R1 :
R1#show frame-relay pvc
PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)
Local
Switched
Unused

Active
1
0
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1
input pkts 5
output pkts 5
in bytes 520
out bytes 520
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 10:26:41, last time pvc status changed 00:01:04
R2 :
R2#show frame-relay pvc
PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)
Local
Switched
Unused

Active
1
0
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1
input pkts 5
out bytes 520
out pkts dropped 0
in FECN pkts 0
out BECN pkts 0
out bcast pkts 0

output pkts 5
in bytes 520
dropped pkts 0
in pkts dropped 0
out bytes dropped 0
in BECN pkts 0
out FECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast bytes 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

5 minute input rate 0 bits/sec, 0 packets/sec


5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 10:25:31, last time pvc status changed 00:00:00
Commutateur-FR :
Commutateur-FR#show frame-relay pvc
PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)
Local
Switched
Unused

Active
0
1
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =


Serial0/0/0
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 0
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 10:28:31, last time pvc status changed 00:03:57
PVC Statistics for interface Serial0/0/1 (Frame Relay DCE)
Local
Switched
Unused

Active
0
1
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =


Serial0/0/1
input pkts 0
output pkts 0
in bytes 0
out bytes 0
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 0
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

pvc create time 10:27:00, last time pvc status changed 00:04:03
tape 3 : vrification des mappages Frame Relay
La commande show frame-relay map affiche les informations relatives aux mappages statique et
dynamique des adresses de couche 3 avec les identificateurs DLCI. Le protocole ARP inverse tant
dsactiv, seuls les mappages statiques sont utiliss.
R1 :
R1#show frame-relay map
Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static,
CISCO, status defined, active

R2 :
R2#show frame-relay map
Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static,
CISCO, status defined, active
Commutateur FR :
Le commutateur FR fait office de priphrique de couche 2. Il nest donc pas ncessaire de mapper
les adresses de couche 3 avec les DLCI de couche 2.
tape 4 : dbogage de linterface LMI Frame Relay
Quelle est la fonction de linterface LMI sur un rseau Frame Relay ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
La LMI ou interface de supervision locale est un protocole de signalement permettant lchange
dinformations entre un routeur et un commutateur Frame Relay. Linterface LMI permet dchanger
des informations relatives aux messages de veille, ltat du PVC (activ, dsactiv, supprim, non
utilis), ainsi quaux adresses IP (lorsque le protocole ARP inverse est activ).
Quelles sont les trois types dinterface LMI ?
_____________________________________________________________________________
ansi, cisco, q933a
Avec quel identificateur DLCI linterface LMI fonctionne-t-elle ?
_____________________________________________________________________________
1023

Excutez la commande debug frame-relay lmi. Les rsultats affichent des informations dtailles
sur toutes les donnes de linterface LMI. Les messages de veille sont envoys toutes les 10 secondes.
Par consquent, vous allez probablement devoir attendre avant quun rsultat ne saffiche.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Les rsultats du dbogage affichent deux paquets LMI : le premier sortant (envoy) et le deuxime
entrant.
R1#debug frame-relay lmi
Frame Relay LMI debugging is on
Displaying all Frame Relay LMI data
R1#
*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE
up
*Aug 24 06:19:15.920: datagramstart = 0xE73F24F4, datagramsize = 13
*Aug 24 06:19:15.920: FR encap = 0xFCF10309
*Aug 24 06:19:15.920: 00 75 01 01 00 03 02 C4 C3
*Aug 24 06:19:15.920:
*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21
*Aug 24 06:19:15.924: RT IE 1, length 1, type 0
*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196
*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0
R1#undebug all
Port Statistics for unclassified packets is not turned on.
All possible debugging has been turned off
Notez que les rsultats affichent un paquet LMI sortant, comportant le numro de squence 196.
Le dernier message LMI reu du commutateur Frame Relay portait le numro de squence 195.

*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up


Cette ligne indique un message LMI entrant, provenant du commutateur Frame Relay, et destination
de R1, et portant le numro de squence 196.

*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21


Le commutateur Frame Relay la envoy sous le numro de squence 196 (myseq) et le dernier
message LMI que celui-ci a reu de R1 portait le numro de squence 196 (yourseq).

*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196


DLCI 102 est le seul identificateur DLCI prsent sur la liaison. Actuellement, son tat est actif.

*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0
Tche 4 : dpannage du protocole Frame Relay
Divers outils de dpannage sont mis votre disposition pour rsoudre les problmes de connectivit
lis au protocole Frame Relay. Pour vous familiariser avec le processus de dpannage, interrompez
la connexion Frame Relay tablie plus tt, puis rtablissez-la.
tape 1 : suppression du mappage de trame de R1
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface serial0/0/1
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay map ip 10.1.1.2 102 broadcast
Linstruction de mappage de trame tant maintenant supprime de R1, essayez denvoyer une requte
ping au routeur R1 depuis R2. Aucune rponse ne vous parviendra.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

R2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Par ailleurs, des messages de console doivent vous informer de l'tat activ, puis dsactiv de la
contigit du EIGRP.
R1(config-if)#*Sep 9 17:28:36.579: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is down: Interface Goodbye received
R1(config-if)#*Sep 9 17:29:320.583: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency
R1(config-if)#*Sep 9 17:32:37.095: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded
R2#*Sep 9 17:29:15.359: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1
(Serial0/0/1) is down: holding time expired
Excutez la commande debug ip icmp sur R1 :
R1#debug ip icmp
ICMP packet debugging is on
Envoyez une nouvelle requte ping linterface srie de R1. Le message de dbogage suivant
saffiche sur R1 :
R2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1#*Sep 9 17:42:13.415: ICMP: echo
R1#*Sep 9 17:42:15.411: ICMP: echo
R1#*Sep 9 17:42:17.411: ICMP: echo
R1#*Sep 9 17:42:19.411: ICMP: echo
R1#*Sep 9 17:42:21.411: ICMP: echo

reply
reply
reply
reply
reply

sent,
sent,
sent,
sent,
sent,

src
src
src
src
src

10.1.1.1,
10.1.1.1,
10.1.1.1,
10.1.1.1,
10.1.1.1,

dst
dst
dst
dst
dst

10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.2
10.1.1.2

Le paquet ICMP, issu de R2, atteint R1, comme lillustre ce message de dbogage.
Pourquoi la requte ping a-t-elle chou ?
_____________________________________________________________________________
_____________________________________________________________________________
La requte ping choue car R1 ne dispose daucun moyen pour rpondre. Si, faute de moyen, le
mappage de ladresse IP de R2 avec un DLCI de couche 2 est impossible, R1 ne peut acheminer
la rponse et supprime le paquet.
Lexcution de la commande show frame-relay map renvoie une ligne vide.
R1#show frame-relay map
R1#

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Dsactivez tous les dbogages laide de la commande undebug all, puis


rexcutez la commande frame-relay map ip, mais sans utiliser le mot cl
broadcast.
R1#undebug all
Port Statistics for unclassified packets is not turned on.
All possible debugging has been turned off
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface serial0/0/1
R1(config-if)#encapsulation frame-relay
R1(config-if)#frame-relay map ip 10.1.1.2 102
R2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/41/44 ms
Remarquez alors que les requtes ping aboutissent, la contigut EIGRP continue osciller
(entre ltat dsactiv et activ).
R1(config-if)#*Sep 9 17:47:58.375: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency
R1(config-if)#*Sep 9 17:51:02.887: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded
R1(config-if)#*Sep 9 17:51:33.175: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency
R1(config-if)#*Sep 9 17:54:37.687: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:
Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded
Pourquoi la contigut EIGRP continue-t-elle osciller ?
_____________________________________________________________________________
_____________________________________________________________________________
Un trafic multidiffusion nest pas envoy sur le DLCI spcifi dans linstruction de mappage de la trame.
Remplacez linstruction de mappage du protocole Frame Relay, puis intgrez le mot cl broadcast.
Vrifiez que la table de routage est restaure et que vous disposez dune connectivit de bout en bout.
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface serial0/0/1
R1(config-if)#encapsulation frame-relay
R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

route

Travaux pratiques 3.5.1 : protocole Frame Relay de base

ia - IS-IS inter area, * - candidate default, U - per-user static


o - ODR, P - periodic downloaded static route

Gateway of last resort is not set


C

192.168.10.0/24 is directly connected, FastEthernet0/0


209.165.200.0/27 is subnetted, 1 subnets

209.165.200.224 [90/20640000] via 10.1.1.2, 00:00:05, Serial0/0/1


10.0.0.0/30 is subnetted, 1 subnets

10.1.1.0 is directly connected, Serial0/0/1

tape 2 : modification du type dencapsulation Frame Relay


Le logiciel Cisco IOS prend en charge deux types dencapsulation Frame Relay : lencapsulation Cisco
par dfaut et IETF, base sur des normes. Remplacez lencapsulation Frame Relay de linterface
serial0/0/1 sur R2 par IETF.
R2(config-if)#encapsulation frame-relay ietf
Notez que linterface ne se dsactive pas. Cela peut vous surprendre. Les routeurs Cisco peuvent
interprter correctement des trames Frame Relay utilisant lencapsulation Frame Relay Cisco par dfaut
ou lencapsulation Frame Relay de la norme IETF. Si votre rseau est entirement constitu de routeurs
Cisco, il nexiste aucune diffrence, que vous utilisiez lencapsulation Frame Relay Cisco par dfaut ou
celle de la norme IETF. Les routeurs Cisco prennent en charge ces deux types de trames entrantes.
Toutefois, si vous disposez de routeurs de fournisseurs diffrents utilisant le protocole Frame Relay,
vous devez utiliser la norme IETF. La commande encapsulation frame-relay ietf force le routeur
Cisco encapsuler ses trames sortantes en utilisant la norme IETF. Cette norme peut tre comprise
par le routeur dun autre fournisseur.
R2#show interface serial 0/0/1
Serial0/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.1.2/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation FRAME-RELAY IETF, loopback not set
<rsultat omis>
Commutateur-FR#show int s0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation FRAME-RELAY, loopback not set
Remarquez que les deux commandes show interface affichent des rsultats diffrents. Remarquez
galement que la contigut EIGRP est encore ltat activ. Bien que le commutateur FR et R2 utilisent
des types dencapsulation diffrents, ils continuent acheminer le trafic.
Remplacez le type dencapsulation par le type par dfaut :
R2(config-if)#encapsulation frame-relay
tape 3 : changement du type de linterface LMI
Sur R2, remplacez le type de linterface LMI par ANSI.
R2#configure terminal

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Enter configuration commands, one per line. End with CNTL/Z.


R2(config)#interface serial 0/0/1
R2(config-if)#encapsulation frame-relay
R2(config-if)#frame-relay lmi-type ansi
R2(config-if)#^Z
R2#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
*Sep 9 18:41:08.351: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to down
*Sep 9 18:41:08.351: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1
(Serial0/0/1) is down: interface down
R2#show interface serial 0/0/1
Serial0/0/1 is up, line protocol is down
R2#show frame-relay lmi
LMI Statistics for interface Serial0/0/1 (Frame Relay DTE) LMI TYPE = ANSI
Invalid Unnumbered info 0
Invalid Prot Disc 0
Invalid dummy Call Ref 0
Invalid Msg Type 0
Invalid Status Message 0
Invalid Lock Shift 0
Invalid Information ID 0
Invalid Report IE Len 0
Invalid Report Request 0
Invalid Keep IE Len 0
Num Status Enq. Sent 1391
Num Status msgs Rcvd 1382
Num Update Status Rcvd 0
Num Status Timeouts 10
Last Full Status Req 00:00:27
Last Full Status Rcvd 00:00:27
Si vous poursuivez lexcution de la commande show frame-relay lmi, vous remarquerez laugmentation
du temps mis en vidence. Au bout de 60 secondes, linterface passe ltat activ/dsactiv car R2 et le
commutateur FR nchangent plus de messages de veille ou toutes autres informations dtat de liens.
Excutez la commande debug frame-relay lmi. Remarquez que les paquets LMI ne saffichent plus par
paires. Lorsque tous les messages LMI sortants sont consigns, aucun message entrant ne saffiche.
En effet, R2 attend linterface LMI ANSI et le commutateur FR envoie linterface LMI Cisco.
R2#debug frame-relay lmi

*Aug 25 04:34:25.774: Serial0/0/1(out): StEnq, myseq 20, yourseen 0,


DTE down
*Aug 25 04:34:25.774: datagramstart = 0xE73F2634, datagramsize = 14
*Aug 25 04:34:25.774: FR encap = 0x00010308
*Aug 25 04:34:25.774: 00 75 95 01 01 00 03 02 14 00
*Aug 25 04:34:25.774:
Laissez le dbogage activ et restaurez le type LMI de Cisco sur R2.
R2(config-if)#frame-relay lmi-type cisco
*Aug 25 04:42:45.774: Serial0/0/1(out): StEnq, myseq 2, yourseen 1, DTE down
*Aug 25 04:42:45.774: datagramstart = 0xE7000D54, datagramsize = 13
*Aug 25 04:42:45.774: FR encap = 0xFCF10309
*Aug 25 04:42:45.774: 00 75 01 01 01 03 02 02 01
*Aug 25 04:42:45.774:
*Aug 25 04:42:45.778: Serial0/0/1(in): Status, myseq 2, pak size 21
*Aug 25 04:42:45.778: RT IE 1, length 1, type 0
*Aug 25 04:42:45.778: KA IE 3, length 2, yourseq 2 , myseq 2
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

*Aug 25 04:42:45.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0
*Aug 25 04:42:55.774: Serial0/0/1(out): StEnq, myseq 3, yourseen 2, DTE up
*Aug 25 04:42:55.774: datagramstart = 0xE7001614, datagramsize = 13
*Aug 25 04:42:55.774: FR encap = 0xFCF10309
*Aug 25 04:42:55.774: 00 75 01 01 01 03 02 03 02
*Aug 25 04:42:55.774:
*Aug 25 04:42:55.778: Serial0/0/1(in): Status, myseq 3, pak size 21
*Aug 25 04:42:55.778: RT IE 1, length 1, type 0
*Aug 25 04:42:55.778: KA IE 3, length 2, yourseq 1 , myseq 3
*Aug 25 04:42:55.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0
*Aug 25 04:42:56.774: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial0/0/1, changed state to up
Comme vous pouvez le constater, le numro de squence de linterface LMI a t redfini sur 1 et R2
commence comprendre les messages de linterface LMI provenant du commutateur FR. Une fois que
le commutateur Frame relay et R2 ont russi changer des messages LMI, ltat de linterface devient
activ.

Tche 5 : configuration dune sous-interface Frame Relay


Frame Relay prend en charge deux types de sous-interfaces : point point et point multipoint. Les
sous-interfaces point multipoint prennent en charge les topologies daccs multiples non-broadcast.
Par exemple, une topologie Hub and Spoke peut utiliser une sous-interface point multipoint. Au cours
de ces travaux pratiques, vous apprendrez crer une sous-interface point point.
tape 1 : cration dun circuit PVC entre R1 et R2 sur le commutateur Frame Relay
Commutateur-FR(config)#interface serial 0/0/0
Commutateur-FR(config-if)#frame-relay route 112 interface serial 0/0/1 212
Commutateur-FR(config-if)#interface serial 0/0/1
Commutateur-FR(config-if)#frame-relay route 212 interface serial 0/0/0 112
tape 2 : cration et configuration dune sous-interface point point sur R1
Crez une sous-interface 112 en tant quinterface point point. Vous devez dfinir lencapsulation Frame
Relay sur linterface physique avant de pouvoir crer des sous-interfaces.
R1(config)#interface serial 0/0/1.112 point-to-point
R1(config-subif)#ip address 10.1.1.5 255.255.255.252
R1(config-subif)#frame-relay interface-dlci 112
tape 3 : cration et configuration dune sous-interface point point sur R2
R2(config)#interface serial 0/0/1.212 point-to-point
R2(config-subif)#ip address 10.1.1.6 255.255.255.252
R2(config-subif)#frame-relay interface-dlci 212
tape 4 : vrification de la connectivit
Vous devez tre en mesure denvoyer une requte ping sur le nouveau circuit PVC.
R1#ping 10.1.1.6
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.6, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms
R2#ping 10.1.1.5

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Type escape sequence to abort.


Sending 5, 100-byte ICMP Echos to 10.1.1.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms
Vous pouvez galement vrifier la configuration laide des commandes show frame-relay pvc et show
frame-relay map de la tche 4.
R1 :
R1#show frame-relay pvc
PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)
Local
Switched
Unused

Active
2
0
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1
input pkts 319
output pkts 279
in bytes 20665
out bytes 16665
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 193
out bcast bytes 12352
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 04:43:35, last time pvc status changed 01:16:05
DLCI = 112, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0/0/1.112
input pkts 15
output pkts 211
in bytes 2600
out bytes 17624
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 200
out bcast bytes 16520
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 00:19:16, last time pvc status changed 00:18:56
R2 :
R2#show frame-relay pvc
PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)
Local
Switched
Unused

Active
2
0
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1
input pkts 331

output pkts 374

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

in bytes 19928
Page 18 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

out bytes 24098


dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 331
out bcast bytes 21184
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 05:22:55, last time pvc status changed 01:16:36
DLCI = 212, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0/0/1.212
input pkts 217
output pkts 16
in bytes 18008
out bytes 2912
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 6
out bcast bytes 1872
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 00:19:37, last time pvc status changed 00:18:57
Commutateur-FR :
Commutateur-FR#show frame-relay pvc
PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)
Local
Switched
Unused

Active
0
2
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =


Serial0/0/0
input pkts 335
output pkts 376
in bytes 20184
out bytes 24226
dropped pkts 2
in pkts dropped 2
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 333
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 2
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 05:23:43, last time pvc status changed 01:18:32
DLCI = 112, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =
Serial0/0/0
input pkts 242
out bytes 3536

output pkts 18
dropped pkts 0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

in bytes 20104
in pkts dropped 0

Page 19 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

out pkts dropped 0


out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 242
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 00:21:41, last time pvc status changed 00:21:22
PVC Statistics for interface Serial0/0/1 (Frame Relay DCE)
Local
Switched
Unused

Active
0
2
0

Inactive
0
0
0

Deleted
0
0
0

Static
0
0
0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =


Serial0/0/1
input pkts 376
output pkts 333
in bytes 24226
out bytes 20056
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 376
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 05:23:14, last time pvc status changed 01:39:39
DLCI = 212, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =
Serial0/0/1
input pkts 18
output pkts 243
in bytes 3536
out bytes 20168
dropped pkts 0
in pkts dropped 0
out pkts dropped 0
out bytes dropped 0
in FECN pkts 0
in BECN pkts 0
out FECN pkts 0
out BECN pkts 0
in DE pkts 0
out DE pkts 0
out bcast pkts 0
out bcast bytes 0
30 second input rate 0 bits/sec, 0 packets/sec
30 second output rate 0 bits/sec, 0 packets/sec
switched pkts 18
Detailed packet drop counters:
no out intf 0
out intf down 0
no out PVC 0
in PVC down 0
out PVC down 0
pkt too big 0
shaping Q full 0
pkt above DE 0
policing drop 0
pvc create time 00:21:36, last time pvc status changed 00:21:20

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

R1 :
R1#show frame-relay map
Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static,
broadcast,
CISCO, status defined, active
Serial0/0/1.112 (up): point-to-point dlci, dlci 112(0x70,0x1C00), broadcast
status defined, active
R2 :
R2#show frame-relay map
Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static,
broadcast,
CISCO, status defined, active
Serial0/0/1.212 (up): point-to-point dlci, dlci 212(0xD4,0x3440), broadcast
status defined, active
Commutateur-FR :
Commutateur-FR#show frame-relay route
Input Intf
Serial0/0/0
Serial0/0/0
Serial0/0/1
Serial0/0/1

Input Dlci
102
112
201
212

Output Intf
Serial0/0/1
Serial0/0/1
Serial0/0/0
Serial0/0/0

Output Dlci
201
212
102
112

Status
active
active
active
active

Effectuez prsent le dbogage de linterface LMI Frame Relay.


R1#debug frame-relay lmi
*Aug
up
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug

25 05:58:50.902: Serial0/0/1(out): StEnq, myseq 136, yourseen 135, DTE


25
25
25
25
25
25
25
25
25

05:58:50.902:
05:58:50.902:
05:58:50.902:
05:58:50.902:
05:58:50.906:
05:58:50.906:
05:58:50.906:
05:58:50.906:
05:58:50.906:

datagramstart = 0xE7000354, datagramsize = 13


FR encap = 0xFCF10309
00 75 01 01 00 03 02 88 87
Serial0/0/1(in): Status, myseq 136, pak size 29
RT IE 1, length 1, type 0
KA IE 3, length 2, yourseq 136, myseq 136
PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0
PVC IE 0x7 , length 0x6 , dlci 112, status 0x2 , bw 0

Notez que deux DLCI figurent dans le message de linterface LMI provenant du
commutateur Frame Relay vers R1.
R2#debug frame-relay lmi
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug
*Aug

25
25
25
25
25
25
25
25

06:08:35.774:
06:08:35.774:
06:08:35.774:
06:08:35.774:
06:08:35.774:
06:08:35.778:
06:08:35.778:
06:08:35.778:

Serial0/0/1(out):StEnq, myseq 7,yourseen 4,DTE up


datagramstart = 0xE73F28B4, datagramsize = 13
FR encap = 0xFCF10309
00 75 01 01 00 03 02 07 04
Serial0/0/1(in): Status, myseq 7, pak size 29
RT IE 1, length 1, type 0
KA IE 3, length 2, yourseq 5 , myseq 7

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

*Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 201, status 0x2, bw 0


*Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 212, status 0x2, bw 0

Configurations finales
R1#show run
<rsultat omis>
!
hostname R1
enable secret class
no ip domain lookup
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.1.1.1 255.255.255.252
encapsulation frame-relay
frame-relay map ip 10.1.1.2 102 broadcast
no frame-relay inverse-arp
no shutdown
!
interface Serial0/0/1.112 point-to-point
ip address 10.1.1.5 255.255.255.252
frame-relay interface-dlci 112
!
router eigrp 1
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
!
banner motd ^CUnauthorized access prohibited, violators will be prosecuted to
the full extent of the law.^C
!
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
login
password cisco
!
end
R2#show run
<rsultat omis>
!
hostname R2
!
!
enable secret class
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.1 : protocole Frame Relay de base

!
no ip domain lookup
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
!
interface Serial0/0/1
ip address 10.1.1.2 255.255.255.252
encapsulation frame-relay
clockrate 64000
frame-relay map ip 10.1.1.1 201 broadcast
no frame-relay inverse-arp
frame-relay lmi-type cisco
no shutdown
!
interface Serial0/0/1.212 point-to-point
ip address 10.1.1.6 255.255.255.252
frame-relay interface-dlci 212
!
router eigrp 1
network 10.0.0.0
network 209.165.200.224 0.0.0.31
no auto-summary
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
!
end
Commutateur-FR#show run
<rsultat omis>
!
hostname Commutateur-FR
!
enable secret class
!
no ip domain lookup
frame-relay switching
!
!
!
!
interface Serial0/0/0
no ip address
encapsulation frame-relay
clockrate 64000

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 23 sur 24

Exploration 4
Accs au rseau tendu : Frame Relay

frame-relay intf-type dce


frame-relay route 102 interface
frame-relay route 112 interface
no shutdown
!
interface Serial0/0/1
no ip address
encapsulation frame-relay
frame-relay intf-type dce
frame-relay route 201 interface
frame-relay route 212 interface
no shutdown
!
!
line con 0
password cisco
login
line aux 0
line vty 0 4
password cisco
login
!
end

Travaux pratiques 3.5.1 : protocole Frame Relay de base

Serial0/0/1 201
Serial0/0/1 212

Serial0/0/0 102
Serial0/0/0 112

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 24 sur 24

Travaux pratiques 3.5.2 : exercice de configuration de frame relay


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

Interface

Adresse IP

Masque de sous-rseau

Passerelle par dfaut

Fa0/1

172.16.1.254

255.255.255.0

N/D

S0/0/0

10.1.2.1

255.255.255.252

Fa0/1

172.16.2.254

255.255.255.0

N/D
N/

S0/0/1

10.1.2.2

255.255.255.252

PC1

Carte rseau

172.16.1.1

255.255.255.0

N/D
D
172.16.1.254

PC3

Carte rseau

172.16.2.1

255.255.255.0

172.16.2.254

R1
R2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 :


exercice de configuration de frame relay

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Excuter les tches de configuration de base dun routeur

Configurer et activer des interfaces

Configurer le routage EIGRP sur tous les routeurs

Configurer lencapsulation Frame Relay sur toutes les interfaces srie

Configurer un circuit virtuel permanent (PVC) Frame Relay

Interrompre volontairement un circuit virtuel permanent (PVC) Frame Relay et le restaurer

Configurer des sous-interfaces Frame Relay

Interrompre volontairement le circuit PVC et le restaurer

Scnario
Au cours de ces travaux pratiques, vous allez configurer le protocole Frame Relay via le rseau indiqu
dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques
Protocole Frame Relay de base. Essayez cependant de travailler en parfaite autonomie.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : configuration de base dun routeur


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :

Configurez le nom dhte du routeur.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 :


exercice de configuration de frame relay

Tche 3 : configuration dadresses IP


tape 1 : configuration dadresses IP sur toutes les liaisons en fonction de la table dadressage
R1
R1(config)#int s0/0/0
R1(config-if)#ip address 10.1.2.1 255.255.255.252
R1(config-if)#int fa0/1
R1(config-if)#ip address 172.16.1.254 255.255.255.0
R2 :
R2(config)#int s0/0/1
R2(config-if)#ip address 10.1.2.2 255.255.255.252
R2(config-if)#int fa0/1
R2(config-if)#ip address 172.16.1.254 255.255.255.0
tape 2 : vrification de ladressage IP et des interfaces
show ip int brief
tape 3 : activation des interfaces Ethernet des routeurs R1 et R2, mais non des interfaces sries
R1(config-if)#int fa0/1
R1(config-if)#no shut
R2(config-if)#int fa0/1
R2(config-if)#no shut
tape 4 : configuration des interfaces Ethernet de PC1 et PC3
tape 5 : vrification de la connectivit entre les PC et leurs routeurs locaux
ping

Tche 4 : configuration du protocole EIGRP sur les routeurs R1 et R2


tape 1 : activation du protocole EIGRP sur les routeurs R1 et R2 de tous les sous-rseaux
router eigrp 1
network 10.1.2.0 0.0.0.3
network 172.16.0.0 0.0.15.255.255
no auto-summary

Tche 5 : configuration du PVC Frame Relay entre R1 et R2


tape 1 : configuration des interfaces sur un commutateur FR pour crer le circuit PVC entre R1 et R2
Utilisez les identificateurs de connexion de liaisons de donnes (DLCI) figurant dans le diagramme
de topologie.
Commutateur FR :
interface serial0/0/0
encapsulation frame-relay
frame-relay route 102 interface s0/0/1 201
frame-relay intf-type dce
interface serial0/0/1
encapsulation frame-relay
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 :


exercice de configuration de frame relay

frame-relay route 201 interface s0/0/0 102


frame-relay intf-type dce
tape 2 : configuration des interfaces physiques sur R1 et R2 pour permettre une encapsulation
Frame Relay
Ne dcouvrez pas automatiquement les adresses IP lextrmit des liaisons. Une fois la configuration
termine, activez la liaison.
R1
interface serial0/0/0
encapsulation frame-relay
no frame-relay inverse-arp
no shut
R2
int s0/0/1
encapsulation frame-relay
no frame-relay inverse-arp
no shut
tape 3 : configuration des cartes Frame Relay sur R1 et R2 laide des identificateurs DLCI
appropris, et activation de la diffusion sur les identificateurs DLCI
R1
interface serial0/0/0
frame=relay map ip 10.1.2.2 102 broadcast
R2
interface serial0/0/1
frame-relay map ip 10.1.2.1 201 broadcast
tape 4 : vrification de la connectivit de bout en bout via le PC1 et le PC2
ping

Tche 6 : interruption volontaire et restauration du PVC


tape 1 : interruption du PVC entre R1 et R2 selon les mthodes choisies
tape 2 : restauration dune connectivit complte sur le rseau
tape 3 : vrification de la connectivit complte sur le rseau

Tche 7 : configuration de sous-interfaces Frame Relay


tape 1 : suppression de ladresse IP et de la configuration de la carte Frame Relay depuis
les interfaces physiques de R1 et R2
R1
interface serial0/0/0
no frame-relay map ip 10.1.2.2 102 broadcast
no ip address
R2
int s0/0/1
no frame-relay map ip 10.1.2.1 201 broadcast

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.2 :


exercice de configuration de frame relay

tape 2 : configuration des sous-interfaces point--point de Frame Relay sur R1 et R2, avec les
mmes adresses IP et les identificateurs DLCI utiliss prcdemment sur les interfaces physiques
R1
interface serial0/0/0.102 point-to-point
ip address 10.1.2.1 255.255.255.252
frame-relay interface-dlci 102
R2
int s0/0/1.102 point-to-point
ip add 10.1.2.2 255.255.255.252
frame-relay interface-dlci 201
tape 3 : vrification de la connectivit de bout en bout
Envoyez une commande ping dun PC lautre.

Tche 8 : interruption volontaire et restauration du PVC


tape 1 : interruption du PVC laide dune mthode diffrente de celle utilise lors de la tche 6
tape 2 : restauration du PVC
tape 3 : vrification de la connectivit de bout en bout

Tche 9 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans
un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC
htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 5

Travaux pratiques 3.5.3 : dpannage de Frame Relay


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

Interface

Adresse IP

Masque de sous-rseau

Passerelle par dfaut

Lo0

172.18.11.254

255.255.255.0

N/D

S0/0/0

172.18.221.1

255.255.255.252

N/D

Lo0

172.18.111.254

255.255.255.0

N/D

S0/0/1

172.18.221.2

255.255.255.252

N/D

Objectif pdagogique
Mettre en pratique les comptences en matire de dpannage dun rseau Frame Relay

Scnario
Au cours de ces travaux pratiques, vous apprendrez dpanner un environnement Frame Relay mal
configur. Chargez les configurations suivantes dans les routeurs ou faites-vous aider par votre formateur.
Localisez et corrigez toutes les erreurs figurant dans les configurations et tablissez une connectivit de
bout en bout. La configuration finale obtenue doit correspondre au diagramme de topologie, ainsi qu la
table dadressage. Tous les mots de passe sont dfinis sur cisco, lexception du mot de passe enable
secret, dfini sur class.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression des configurations existantes sur les routeurs
tape 3 : importation des configurations
Routeur 1
!
hostname R1
!
enable secret class
!
no ip domain lookup
!
!
!
!
interface Loopback0
ip address 172.18.11.254 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/1
no ip address
shutdown
no fair-queue
clockrate 125000
!
interface Serial0/0/0
ip address 172.18.221.1 255.255.255.252
encapsulation frame-relay
frame-relay map ip 172.18.221.2 678 broadcast
frame-relay map ip 172.18.221.2 182 broadcast
! Le DLCI est mal crit et doit tre corrig pour que la connectivit
!fonctionne.
frame-relay map ip 172.18.221.1 182
! Un mappage Frame Relay pour ladresse IP de linterface est souvent oubli,
! car la plupart des interfaces atteignent leur propre adresse.
no frame-relay inverse-arp
no shutdown
!
router eigrp 1
network 172.18.221.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

network 172.18.11.0
no auto-summary
!
!
!
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
password cisco
login
!
end
Routeur 2
!
hostname R2
!
enable secret class
!
no ip domain lookup
!
interface Loopback0
ip address 172.18.111.254 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
no fair-queue
!
interface Serial0/0/1
ip address 172.18.221.2 255.255.255.252
encapsulation frame-relay
clockrate 125000
frame-relay map ip 172.18.221.1 181 broadcast
! Le mot cl broadcast a t oubli. Sans le mot cl broadcast,
! les paquets de multidiffusion ne sont pas envoys avec ce DLCI. empche
! EIGRP de crer des contiguts.
! frame-relay map ip 172.18.221.2 181
! Un mappage Frame Relay pour ladresse IP de linterface est souvent
! oubli,
! car la plupart des interfaces atteignent leur propre adresse.
no frame-relay inverse-arp
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

frame-relay lmi-type ansi


! Le commutateur Frame Relay utilise le type dinterface LMI par dfaut, qui
! est
! cisco. Cette commande doit tre supprime pour que le lien fonctionne.
! no shutdown
! Il arrive souvent doublier que les interfaces sur un routeur
! sarrte par dfaut.
!
router eigrp 1
network 172.18.221.0
network 172.18.111.0
no auto-summary
!
!
!
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
login
!
end
Commutateur FR :
!
hostname Commutateur FR
!
!
enable secret class
!
!
!
no ip domain lookup
frame-relay switching
!
!
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
encapsulation frame-relay
no fair-queue
clockrate 125000
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 5

CCNA Exploration
Accs au rseau tendu : Frame Relay

Travaux pratiques 3.5.3 : dpannage de Frame Relay

frame-relay intf-type dce


frame-relay route 182 interface Serial0/0/1 181
no shutdown
!
interface Serial0/0/1
no ip address
clockrate 125000
encapsulation frame-relay
frame-relay intf-type dce
frame-relay route 181 interface Serial0/0/1 182
! Sans instruction de route, le commutateur Frame Relay ne sait pas comment
! commuter les paquets Frame Relay.
no shutdown
!
!
!
!
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
password cisco
login
!
end

Tche 2 : dpannage et rparation de la connexion Frame Relay entre R1 et R2


Tche 3 : documentation des configurations des routeurs
Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 5

Travaux pratiques 4.6.1 : configuration de base de la scurit


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1

R2

R3

Interface

Adresse IP

Fa0/1
S0/0/0
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
S0/0/1

192.168.10.1
10.1.1.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
192.168.30.1
10.2.2.2

Masque de
sous-rseau
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
255.255.255.0
255.255.255.252

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle par dfaut


N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D

Page 1 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Comm1
Comm3
PC1
PC3
Serveur TFTP

VLAN10
VLAN20
Carte rseau
Carte rseau
Carte rseau

Travaux pratiques 4.6.1 : configuration de base de la scurit

192.168.10.2
192.168.30.2
192.168.10.10
192.168.30.10
192.168.20.254

255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0

N/D
N/D
192.168.10.1
192.168.30.1
192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Excuter les tches de configuration de base dun routeur

Configurer la scurit de base des ports

Dsactiver les services et interfaces Cisco inutiliss

Protger les rseaux d'entreprise contre des principales attaques externes et internes

Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de
fichiers Cisco

Configurer et utiliser Cisco SDM (Security Device Manager) et SDM Express pour dfinir
la scurit de base dun routeur

Configurer les rseaux locaux virtuels (VLAN) sur les commutateurs

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer les paramtres de scurit de
base du rseau. Pour ce faire, vous utiliserez le rseau illustr sur le diagramme de topologie. Vous
apprendrez galement configurer la scurit dun routeur de trois manires : en utilisant linterface de
ligne de commande (ILC), la fonction de scurit automatique, ou Cisco SDM. Enfin, vous apprendrez
grer le logiciel Cisco IOS.

Notes au formateur
Ces travaux pratiques de configuration de la scurit de base permettent aux participants de mettre en
application les comptences essentielles acquises dans le cadre de ce chapitre. Bien que de nombreux
formateurs souhaitent que les participants effectuent ces travaux pratiques en une seule session,
dautres prfrent les diviser en plusieurs sessions plus courtes. Ainsi, les recommandations suivantes
vous permettront de diviser correctement ces travaux pratiques en plusieurs sessions.
Ces travaux pratiques s'organisent comme suit :

Premire partie : les participants effectuent les tches 1 7 et enregistrent les configurations
effectues. La dmonstration des configurations effectuer est fournie la suite de la tche 7.

Seconde partie : les participants utilisent les configurations enregistres dans la premire partie,
puis ralisent la tche 8. La dmonstration de l'ensemble des configurations effectuer dans le
cadre de ces travaux pratiques figure la fin de ce document.

Les participants peuvent galement effectuer la tche 6 indpendamment des autres tches.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des
interfaces indiques dans la topologie.
Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. si vous utilisez
les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront
diffremment.
tape 2 : suppression des configurations existantes sur les routeurs
Tche 2 : excution des configurations de routeur de base
tape 1 : configuration des routeurs
Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :

Configurez le nom d'hte du routeur conformment au diagramme de topologie.

Dsactivez la recherche DNS.

Configurez une bannire de message du jour.

Configurez les adresses IP sur R1, R2 et R3.

Activez la version 2 du protocole RIP sur l'ensemble des routeurs de tous les rseaux.

Crez une interface de bouclage sur R2 afin de simuler une connexion Internet.

Configurez un serveur TFTP sur R2. Vous pouvez tlcharger le logiciel serveur TFTP partir
de : http://tftpd32.jounin.net/
R1
hostname R1
no ip domain-lookup
banner motd ^Unauthorized access strictly prohibited and prosecuted to
the full extent of the law.^
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no shutdown
clock rate 64000
!
router rip
version 2
network 10.0.0.0
network 192.168.10.0
no auto-summary

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R2
hostname R2
no ip domain-lookup
banner motd ^Unauthorized access strictly prohibited and prosecuted to
the full extent of the law.^
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
Interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
clock rate 115200
no shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.20.0
network 209.165.200.0
no auto-summary
!
R3
hostname R3
no ip domain-lookup
banner motd ^Unauthorized access strictly prohibited and prosecuted to
the full extent of the law.^
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no shutdown
!
router rip
version 2
network 10.0.0.0
network 192.168.30.0
no auto-summary
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 2 : configuration des interfaces Ethernet


Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des
passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques.
tape 3 : test de la configuration dun PC par lenvoi dune commande ping la passerelle par
dfaut, partir de chaque PC et du serveur TFTP

Tche 3 : scurisation du routeur par rapport aux accs non autoriss


tape 1 : configuration des mots de passe scuriss et authentification AAA
Configurez des mots de passe scuriss sur R1 laide dune base de donnes locale. Dans ces travaux
pratiques, le mot de passe utiliser est ciscoccna.
R1(config)#enable secret ciscoccna
Comment la configuration dun mot de passe enable secret contribue-t-elle protger un routeur dune
attaque ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Lobjectif est de toujours bloquer laccs des utilisateurs non autoriss un priphrique laide de
Telnet, SSH ou via la console. Si des pirates parviennent toutefois franchir cette premire barrire
de protection, lutilisation dun mot de passe enable secret les empche de modifier la configuration
du priphrique. Cette opration procure une couche de scurit supplmentaire.
La commande username permet de dfinir un nom d'utilisateur et un mot de passe, enregistrs
localement sur le routeur. Par dfaut, le niveau de privilge de lutilisateur est dfini sur 0 (le niveau
daccs le plus bas). Vous pouvez modifier le niveau daccs assign un utilisateur en ajoutant le
mot cl privilege 0 15 avant le mot cl password.
R1(config)#username ccna password ciscoccna
La commande aaa permet dactiver le protocole AAA (Authentication, Authorization and Accounting :
authentification, autorisation et comptabilisation) de manire globale sur le routeur. Cette commande est
utilise lors de la connexion au routeur.
R1(config)#aaa new-model
Vous pouvez crer une liste dauthentification qui est consulte lorsquun utilisateur tente de se connecter
au priphrique, une fois que vous laurez applique aux lignes vty et aux lignes de la console. Le mot cl
local indique que la base de donnes de lutilisateur est enregistre localement sur le routeur.
R1(config)#aaa authentication login LOCAL_AUTH local
Les commandes suivantes indiquent au routeur que les utilisateurs qui tentent de se connecter doivent
tre authentifis via la liste que vous venez de crer.
R1(config)#line console 0
R1(config-lin)#login authentication LOCAL_AUTH
R1(config-lin)#line vty 0 4
R1(config-lin)#login authentication LOCAL_AUTH

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Dans la section de configuration en cours suivante, quel lment vous semble non scuris ?
R1#show run
<rsultat omis>
!
enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
!
username ccna password 0 ciscoccna
!
<rsultat omis>
!
banner motd ^CUnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law^C
!
line con 0
logging synchronous
login authentication LOCAL_AUTH
line aux 0
line vty 0 4
login authentication LOCAL_AUTH
!
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Contrairement au mot de passe enable secret, le mot de passe de lutilisateur ccna nest pas chiffr.
Ainsi, le niveau de scurit est plus faible.
Pour appliquer un chiffrement simple sur les mots de passe, entrez la commande suivante en mode de
configuration globale :
R1(config)#service password-encryption
Pour vrifier cela, excutez la commande show run.
R1#show run
service password-encryption
!
enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
!
username ccna password 7 0822455D0A1606141C0A
<rsultat omis>
!
banner motd ^CCUnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law^C
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

line con 0
logging synchronous
login authentication LOCAL_AUTH
line aux 0
line vty 0 4
login authentication LOCAL_AUTH
!
tape 2 : protection des lignes de console et des lignes VTY
Vous pouvez faire en sorte que le routeur dconnecte une ligne qui a t inactive pendant une priode
donne. Si un ingnieur rseau est connect un priphrique rseau, quil est appel et quil part
subitement, cette commande permet de le dconnecter automatiquement au bout de la priode indique.
Les commandes suivantes permettent la dconnexion dune ligne au bout de 5 minutes.
R1(config)#line console 0
R1(config-lin)#exec-timeout 5 0
R1(config-lin)#line vty 0 4
R1(config-lin)#exec-timeout 5 0
La commande suivante permet dempcher les tentatives de connexion en force. Le routeur bloque
les tentatives de connexion pendant 5 minutes si un utilisateur effectue 2 tentatives de connexion sans
y parvenir au bout de 2 minutes. Pour rpondre aux objectifs de ces travaux pratiques, la dure dfinie
est particulirement courte. Une action supplmentaire consiste consigner chaque tentative de ce type.
R1(config)#login block-for 300 attempt 2 within 120
R1(config)#security authentication failure rate 5 log
Pour vrifier cela, essayez de vous connecter R1, partir de R2, via le protocole Telnet laide dun
nom dutilisateur et dun mot de passe incorrects.
Sur R2 :
R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
Unauthorized access strictly prohibited, violators will be prosecuted to the
full extent of the law
User Access Verification
Username: cisco
Password:
% Authentication failed
User Access Verification
Username: cisco
Password:
% Authentication failed
[Connection to 10.1.1.1 closed by foreign host]
R2#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Connection refused by remote host
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Sur R1 :
*Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because
block period timed out at 12:40:11 UTC Mon Sep 10 2007
Tche 4 : scurisation de laccs au rseau
tape 1 : prvention de la propagation dune mise jour de routage RIP
Quelle machine peut recevoir des mises jour de routage RIP sur un segment de rseau au niveau
duquel le protocole RIP est activ ? Sagit-il de la configuration la plus approprie ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Tout priphrique en mode dcoute peut recevoir des mises jour de routage RIP. Cela constitue
un risque, car des informations concernant la structure du rseau sont dvoiles. La premire tape
du piratage dun rseau consiste reconnatre ce rseau. Au cours de cette tape, le pirate tente
deffectuer un mappage sur le rseau existant avant de dterminer le type dattaque quil va appliquer.
La commande passive-interface empche les routeurs denvoyer des mises jour de routage
toutes les interfaces, except celles configures pour participer ces mises jour. Cette commande
doit tre excute lors de la configuration du protocole RIP.
La premire commande permet de dfinir toutes les interfaces en mode passif (linterface reoit
uniquement les mises jour de routage RIP). La deuxime commande permet de rtablir le mode
actif pour certaines interfaces (qui peuvent alors envoyer et recevoir des mises jour RIP).
R1
R1(config)#router rip
R1(config-router)#passive-interface default
R1(config-router)#no passive-interface s0/0/0
R2
R2(config)#router rip
R2(config-router)#passive-interface default
R2(config-router)#no passive-interface s0/0/0
R2(config-router)#no passive-interface s0/0/1
R3
R3(config)#router rip
R3(config-router)#passive-interface default
R3(config-router)#no passive-interface s0/0/1
tape 2 : prvention de la rception non autorise des mises jour RIP
Pour scuriser le protocole RIP, vous devez tout dabord bloquer les mises jour RIP inutiles. Vous
devez ensuite protger les mises jour RIP au moyen dun mot de passe. Pour ce faire, vous devez
dabord configurer la cl utiliser.
R1(config)#key chain RIP_KEY
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
Ces informations doivent tre ajoutes tous les routeurs destins recevoir des mises jour RIP.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R2(config)#key chain RIP_KEY


R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
R3(config)#key chain RIP_KEY
R3(config-keychain)#key 1
R3(config-keychain-key)#key-string cisco
Pour utiliser la cl, vous devez configurer chacune des interfaces participant aux mises jour RIP. Ces
interfaces sont celles qui ont t prcdemment actives laide de la commande no passive-interface.
R1
R1(config)#int s0/0/0
R1(config-if)#ip rip authentication mode md5
R1(config-if)#ip rip authentication key-chain RIP_KEY
ce stade, R1 ne reoit plus les mises jour RIP issues de R2, tant donn que ce dernier nest pas
encore configur pour utiliser une cl permettant les mises jour de routage. Vous pouvez observer cette
situation sur R1, en excutant la commande show ip route et en vrifiant quaucune route provenant
de R2 ne figure dans la table de routage.
Effacez les routes IP laide de la commande clear ip route * ou attendez lexpiration de leur dlais
dattente.
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, *-candidate default, U-per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C
C

10.0.0.0/8 is variably subnetted, 1 subnets, 1 masks


10.1.1.0/24 is directly connected, Serial0/0/0
192.168.10.0 is directly connected, Serial0/0/0

Pour utiliser lauthentification de routage, vous devez configurer R2 et R3. Notez que chaque interface
active doit tre configure.
R2
R2(config)#int s0/0/0
R2(config-if)#ip rip authentication
R2(config-if)#ip rip authentication
R2(config)#int s0/0/1
R2(config-if)#ip rip authentication
R2(config-if)#ip rip authentication

mode md5
key-chain RIP_KEY
mode md5
key-chain RIP_KEY

R3
R3(config)#int s0/0/1
R3(config-if)#ip rip authentication mode md5
R3(config-if)#ip rip authentication key-chain RIP_KEY

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 3 : vrification du fonctionnement du routage RIP


Une fois les trois routeurs configurs en vue dutiliser lauthentification de routage, les tables de routage
doivent nouveau tre alimentes avec toutes les routes RIP. prsent, R1 doit disposer de toutes les
routes via RIP. Vrifiez cela laide de la commande show ip route.
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, *-candidate default, U-per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
R
C
R
R
C

192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/0


192.168.10.0/24 is directly connected, FastEthernet0/1
192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0
10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks
10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/0
10.1.1.0/24 is directly connected, Serial0/0/0

Tche 5 : consignation des activits via le protocole SNMP (Simple Network


Management Protocol)
tape 1 : configuration de la consignation via le protocole SNMP vers le serveur syslog
Il peut tre utile deffectuer une consignation via SNMP dans le cadre de la surveillance de lactivit dun
rseau. Les informations ainsi consignes peuvent tre envoyes vers un serveur syslog du rseau, o
elles peuvent tre analyses et archives. Soyez prudent lorsque vous configurez une consignation
(syslog) sur le routeur. Lors du choix de lhte de consignation, rappelez-vous que ce dernier doit
tre connect un rseau fiable ou protg, ou bien une interface de routeur ddie ou isole.
Au cours de ces travaux pratiques, vous apprendrez configurer lordinateur PC1 en tant que serveur
syslog pour R1. Utilisez la commande logging pour slectionner ladresse IP du priphrique vers
lequel les messages SNMP sont envoys. Dans lexemple suivant, ladresse IP de PC1 est utilise.
R1(config)#logging 192.168.10.10
Remarque : si vous souhaitez consulter les messages syslog, le logiciel syslog doit tre install
et excut sur PC1.
Dans ltape suivante, vous allez dfinir le niveau de gravit des messages envoyer au serveur syslog.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 2 : configuration du niveau de gravit SNMP


Le niveau des messages SNMP peut tre ajust afin de permettre ladministrateur de dterminer les
types de messages envoys au priphrique syslog. Les routeurs prennent en charge diffrents niveaux
de consignation. Il existe huit niveaux, allant de 0 (Urgence, le systme est instable) 7 (Dbogage,
des messages contenant des informations sur le routeur sont envoys). Pour configurer les niveaux
de gravit, utilisez le mot cl associ chaque niveau, comme indiqu dans le tableau ci-dessous.
Niveau de gravit

Mot cl

Description

emergencies

Systme inutilisable

alerts

Action immdiate requise

critical

Conditions critiques

errors

Conditions derreur

warnings

Conditions davertissement

notifications

Condition normale mais sensible

informational

Messages informatifs

debugging

Messages de dbogage

La commande logging trap permet de dfinir le niveau de gravit. Le niveau de gravit inclut
le niveau spcifi et tout ce qui figure au-dessous (du niveau normal au niveau de gravit spcifi).
Dfinissez R1 sur le niveau 4 pour capturer des messages avec des niveaux de gravit 4, 5, 6 et 7.
R1(config)#logging trap warnings
Quel est le danger de dfinir un niveau de gravit trop lev ou trop faible ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Si le niveau de gravit est trop lev, le routeur peut gnrer trop de messages qui deviennent alors
inutiles. Les messages importants sont plus difficiles identifier parmi les messages moins utiles. Cela
peut galement entraner la congestion du rseau. En revanche, si le niveau de gravit est trop faible,
les informations disponibles lorsque vous tentez de rsoudre un problme ne sont pas suffisantes.
Remarque : si vous avez install le logiciel syslog sur PC1, lancez-le et consultez les messages
gnrs.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Tche 6 : dsactivation des services rseau Cisco inutiliss


tape 1 : dsactivation des interfaces inutilises
Pourquoi est-il ncessaire de dsactiver les interfaces inutilises sur les priphriques rseau ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Si vous ne dsactivez pas les interfaces inutilises, des personnes non autorises peuvent accder
au rseau, si elles disposent dun accs physique au priphrique. Si vous les dsactivez, en revanche,
elles ne pourront pas tre utilises pour des attaques de type Man-In-The-Middle (attaque de lhomme
du milieu) ou pour la fonction DHCP spoofing.
Dans le diagramme de topologie, vous pouvez voir que R1 ne doit utiliser que les interfaces S0/0/0 et
Fa0/1. Toutes les autres interfaces sur R1 doivent tre dsactives sur le plan administratif, laide de
la commande de configuration dinterface shutdown.
R1(config)#interface fastethernet0/0
R1(config-if)#shutdown
R1(config-if)# interface s0/0/1
R1(config-if)#shutdown
*Sep 10 13:40:240.887: %LINK-5-CHANGED: Interface FastEthernet0/0, changed
state to administratively down
*Sep 10 13:40:250.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/0, changed state to down
Pour vrifier si toutes les interfaces inactives de R1 ont bien t dsactives, utilisez la commande
show ip interface brief. Les interfaces dsactives manuellement sont rpertories comme
tant dsactives sur le plan administratif.
R1#sh ip interface brief
Interface
IP-Address
FastEthernet0/0
unassigned
FastEthernet0/1
192.168.10.1
Serial0/0/0
10.1.0.1
Serial0/0/1
unassigned

OK?
YES
YES
YES
YES

Method
unset
manual
manual
unset

Status
Protocol
administratively down down
up
up
up
up
administratively down down

tape 2 : dsactivation des services globaux inutiliss


De nombreux services ne sont pas requis dans la plupart des rseaux modernes. Si les services inutiliss
restent activs, les ports restent ouverts et peuvent alors tre utiliss pour compromettre un rseau.
Dsactivez tous les services inutiliss sur R1.
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no
R1(config)#no

service pad
service finger
service udp-small-server
service tcp-small-server
ip bootp server
ip http server
ip finger
ip source-route
ip gratuitous-arps
cdp run

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 3 : dsactivation des services dinterface inutiliss


Les commandes ci-aprs sont saisies au niveau de linterface et doivent tre appliques chaque
interface sur R1.
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no
R1(config-if)#no

ip redirects
ip proxy-arp
ip unreachables
ip directed-broadcast
ip mask-reply
mop enabled

Quel type dattaque la dsactivation des commandes IP redirects, IP unreachables et IP directed


broadcasts peut-elle empcher ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Les commandes IP redirects, IP unreachables et IP directed broadcasts sont utilises dans la protection
contre les attaques de reconnaissance. En envoyant des requtes ping un grand nombre dadresses,
un pirate peut obtenir des informations sur la structure dun rseau. La dsactivation de ces services
permet de restreindre les informations obtenues par des actions de ce type.
tape 4 : utilisation de la fonction AutoSecure pour scuriser un routeur Cisco
laide dune seule commande en mode CLI (Interface de ligne de commande), la fonction AutoSecure
vous permet de dsactiver les services IP communs pouvant tre exploits par des attaques rseau et
dactiver des fonctions et des services IP pouvant tre utiles dans la protection dun rseau lors dune
attaque. La fonction AutoSecure simplifie la configuration de la scurit dun routeur et renforce la
configuration de ce mme routeur.
Elle vous permet dappliquer plus rapidement les mmes fonctions de scurit que celles que vous venez
dappliquer (sauf pour la scurisation du protocole RIP) un routeur. Comme vous avez dj scuris
R1, utilisez la commande auto secure sur R3.
R3#auto secure
--- AutoSecure Configuration --*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Interface
IP-Address
OK? Method
FastEthernet0/0
unassigned
YES unset
FastEthernet0/1
192.168.30.1
YES manual
Serial0/0/0
unassigned
YES manual
Serial0/0/1
10.2.2.2
YES manual
Enter the interface name that is facing the internet:
Securing Management plane services...

Status
down
up
down
up
Serial0/0/1

Protocol
down
up
down
up

Disabling service finger


Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Enable secret is either not configured or
Is the same as enable password
Enter the new enable password: ciscoccna
Confirm the enable password: ciscoccna
Enter the new enable password: ccnacisco
Confirm the enable password: ccnacisco
Configuration of local user database
Enter the username: ccna
Enter the password: ciscoccna
Confirm the password: ciscoccna
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 300
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 120
Configure SSH server? Yes
Enter domain-name: cisco.com
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Securing Forwarding plane services...


Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected to internet
Configure CBAC firewall feature: no
Tcp intercept feature is used prevent tcp syn attack
On the servers in the network. Create autosec_tcp_intercept_list
To form the list of servers to which the tcp traffic is to be observed
Enable TCP intercept feature: yes
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
security passwords min-length 6
security authentication failure rate 10 log
enable password 7 070C285F4D061A061913
username ccna password 7 045802150C2E4F4D0718
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
line tty 1
login authentication local_auth
exec-timeout 15 0
line tty 192
login authentication local_auth
exec-timeout 15 0
login block-for 300 attempts 5 within 120
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

logging trap debugging


service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/1/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/1/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
ip cef
access-list 100 permit udp any any eq bootpc
interface Serial0/0/1
ip verify unicast source reachable-via rx allow-default 100
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept drop-mode random
ip tcp intercept watch-timeout 15
ip tcp intercept connection-timeout 3600
ip tcp intercept max-incomplete low 450
ip tcp intercept max-incomplete high 550
!
end
Apply this configuration to running-config? [yes]:yes
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

The name for the keys will be: R3.cisco.com


% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R3#
000045: *Nov 16 15:39:10.991 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
Comme vous pouvez le constater, la fonction AutoSecure permet une configuration plus rapide quune
configuration ligne par ligne. Toutefois, la configuration manuelle prsente galement des avantages,
que nous aborderons dans les travaux pratiques relatifs au dpannage. Lorsque vous utilisez la fonction
AutoSecure, il se peut que vous dsactiviez un service dont vous avez besoin. Soyez toujours trs
prudent et dterminez soigneusement les services dont vous avez besoin avant dutiliser AutoSecure.

Tche 7 : gestion de Cisco IOS et des fichiers de configuration


tape 1 : affichage des fichiers IOS
Cisco IOS est le logiciel qui permet aux routeurs de fonctionner. Il se peut que votre routeur dispose
de suffisamment de mmoire pour stocker plusieurs images Cisco IOS. Il est important de savoir quels
fichiers sont stocks sur votre routeur.
Excutez la commande show flash pour afficher le contenu de la mmoire flash de votre routeur.
Attention : soyez trs prudent lorsque vous excutez des commandes impliquant la mmoire flash.
Une erreur dans la saisie dune commande peut entraner la suppression de limage Cisco IOS.
R2#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160

-----date/time-----May 05 2007 21:25:14


May 05 2007 21:40:28
May 05 2007 21:41:02
May 05 2007 21:41:24
May 05 2007 21:41:48

path
+00:00
+00:00
+00:00
+00:00
+00:00

c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar

8679424 bytes available (23252992 bytes used)


En parcourant cette liste, vous pouvez dj dterminer les lments suivants :

Limage est destine un routeur 1841 (c1841-ipbase-mz.124-1c.bin).

Le routeur utilise une image de base IP (c1841-ipbase-mz.124-1c.bin).

La version du logiciel Cisco IOS est 12.4(1c) (c1841-ipbase-mz.124-1c.bin).

SDM est install sur ce priphrique (sdmconfig-18xx.cfg, sdm.tar).

Vous pouvez utiliser la commande dir all pour afficher tous les fichiers sur le routeur.
R2#dir all
Directory of archive:/
No files in directory
No space information available
Directory of system:/
3
1

dr-x
-rw-

0
979

<no date>
<no date>

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

memory
running-config

Page 17 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

dr-x

Travaux pratiques 4.6.1 : configuration de base de la scurit

<no date>

vfiles

No space information available


Directory of nvram:/
189
190
191
1

-rw----rw-rw-

979
5
979
0

<no
<no
<no
<no

date>
date>
date>
date>

startup-config
private-config
underlying-config
ifIndex-table

196600 bytes total (194540 bytes free)


Directory of flash:/
1 -rw- 13937472
2 -rw1821
3 -rw- 4734464
4 -rw833024
5 -rw- 1052160
6 -rw1038
7 -rw102400
8 -rw491213
9 rw398305
10 -rw- 1684577
k9.pkg

May
May
May
May
May
May
May
May
May
May

05
05
05
05
05
05
05
05
05
05

2007
2007
2007
2007
2007
2007
2007
2007
2007
2007

20:08:50
20:25:00
20:25:38
20:26:02
20:26:30
20:26:56
20:27:20
20:27:50
20:29:08
20:28:32

+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00

c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
sslclient-win-1.1.0.154.pkg
securedesktop-ios-3.1.1.27-

31932416 bytes total (8679424 bytes free)


tape 2 : transfert des fichiers via le protocole TFTP
Le protocole TFTP est utilis lors de larchivage et de la mise jour du logiciel Cisco IOS dun
priphrique. Cependant, dans ces travaux pratiques, nous nutilisons pas des fichiers Cisco IOS rels
car toute erreur commise lors de la saisie dune commande peut entraner la suppression de limage
Cisco IOS du priphrique. la fin de cette section, vous trouverez un exemple de transfert TFTP de
fichiers Cisco IOS.
Pourquoi est-il important de disposer dune version actualise du logiciel Cisco IOS ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
La mise jour du logiciel peut permettre de corriger un bogue ou de remplacer une version qui nest plus
prise en charge. Une version mise jour permet de garantir que les derniers correctifs de scurit sont
inclus dans le logiciel Cisco IOS excut.
Lors dun transfert de fichiers via TFTP, il est important de vrifier la communication entre le serveur
TFTP et le routeur. Pour ce faire, excutez une requte ping entre ces deux priphriques.
Pour commencer le transfert du logiciel Cisco IOS, crez un fichier nomm test sur le serveur TFTP,
dans le dossier racine TFTP. Ce fichier peut tre vide, car cette tape sert uniquement illustrer les
tapes effectues. Chaque programme TFTP stocke les fichiers dans un emplacement diffrent.
Consultez le fichier daide du serveur TFTP pour dterminer le dossier racine.
partir de R1, procdez lextraction du fichier et enregistrez-le dans la mmoire flash.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 18 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R2#copy tftp flash


Address or name of remote host []? 192.168.20.254 (adresse IP du serveur
TFTP)
Source filename []? Test (nom du fichier que vous avez cr et enregistr sur
le serveur TFTP)
Destination filename [test]? test-server (nom arbitrairement attribu au
fichier lors de son enregistrement sur le routeur)
Accessing tftp://192.168.20.254/test...
Loading test from 192.168.20.254 (via FastEthernet0/1): !
[OK - 1192 bytes]
1192 bytes copied in 0.424 secs (2811 bytes/sec)
Vrifiez lexistence du fichier dans la mmoire flash laide de la commande show flash.
R2#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
11
1192

-----date/time-----May 05 2007 21:13:20


May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
Sep 12 2007 07:38:18

path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00

c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
securedesktop-ios-3.1.1.27-k9.pkg
sslclient-win-1.1.0.154.pkg
test-server

8675328 bytes available (23257088 bytes used)


Les routeurs peuvent galement agir comme des serveurs TFTP. Cela peut tre utile si un priphrique
a besoin dune image et que lun de vos priphriques utilise dj cette image. Configurons R2 en tant
que serveur TFTP de R1. Notez que les images Cisco IOS sont spcifiques aux plates-formes de routeur
et aux besoins en matire de mmoire. Soyez prudent lorsque vous transfrez une image Cisco IOS dun
routeur lautre.
La syntaxe de commande est la suivante : tftp-server nvram: [nomfichier1 [alias nomfichier2]
La commande ci-aprs permet de configurer R2 en tant que serveur TFTP. R2 envoie son fichier de
configuration de dmarrage aux priphriques qui le demandent, via TFTP (nous utilisons la configuration
de dmarrage pour une question de simplicit). Le mot-cl alias permet aux priphriques de demander
le fichier en utilisant lalias test au lieu du nom de fichier complet.
R2(config)#tftp-server nvram:startup-config alias test
prsent, nous pouvons demander le fichier partir de R2 en utilisant R1.
R1#copy tftp flash
Address or name of remote host []? 10.1.1.2
Source filename []? test
Destination filename []? test-router
Accessing tftp://10.1.1.2/test...
Loading test from 10.1.1.2 (via Serial0/0/0): !
[OK - 1192 bytes]
1192 bytes copied in 0.452 secs (2637 bytes/sec)

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Vrifiez une nouvelle fois que le fichier test a t correctement copi laide de la commande show flash.
R1#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
11
1192
12
1192

-----date/time-----May 05 2007 21:13:20


May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
Sep 12 2007 07:38:18
Sep 12 2007 07:51:04

path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00

c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
securedesktop-ios-3.1.1.27-k9.pkg
sslclient-win-1.1.0.154.pkg
test-server
test-router

8671232 bytes available (23261184 bytes used)


prsent, supprimez les fichiers inutiles de la mmoire flash de R1, pour viter dutiliser trop despace
mmoire. Soyez particulirement prudent lorsque vous effectuez cette opration ! La suppression
accidentelle de la mmoire flash vous obligerait rinstaller lensemble de limage IOS du routeur. Si le
routeur vous invite supprimer la mmoire flash, via erase flash, cela indique quil se passe quelque
chose danormal. Il est extrmement rare de devoir supprimer l'ensemble de la mmoire flash. Le seul
cas lgitime o cela peut se produire est lors de la mise niveau du systme IOS vers une grande image
IOS. Si linvite erase flash saffiche comme dans lexemple, ARRTEZ IMMDIATEMENT. Ne validez
PAS. Demandez IMMDIATEMENT laide de votre formateur.
Erase flash: ?[confirm] no
R1#delete flash:test-server
Delete filename [test-server]?
Delete flash:test? [confirm]
R1#delete flash:test-router
Delete filename [test-router]?
Delete flash:test-router? [confirm]
Vrifiez que les fichiers ont t supprims laide de la commande show flash. Ceci est seulement un
exemple. Neffectuez pas cette tche.
R1#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305

-----date/time-----May 05 2007 21:13:20


May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50

path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00

c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
securedesktop-ios-3.1.1.27-k9.pkg
sslclient-win-1.1.0.154.pkg

8679424 bytes available (23252992 bytes used)

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Voici un exemple de transfert TFTP dun fichier dimage Cisco IOS.


Neffectuez PAS cet exemple sur vos routeurs. Lisez-le simplement.
R1#copy tftp flash
Address or name of remote host []? 10.1.1.2
Source filename []? c1841-ipbase-mz.124-1c.bin
Destination filename []? flash:c1841-ipbase-mz.124-1c.bin
Accessing tftp://10.1.1.2/c1841-ipbase-mz.124-1c.bin...
Loading c1841-ipbase-mz.124-1c.bin from 10.1.1.2 (via Serial0/0/0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<rsultat omis>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 13937472 bytes]
13937472 bytes copied in 1113.948 secs (12512 bytes/sec)
tape 3 : restauration dun mot de passe laide de ROMmon
Si, pour une raison quelconque, vous ne parvenez plus accder un priphrique car vous ignorez,
avez perdu ou oubli le mot de passe, vous pouvez encore y accder en modifiant le registre de
configuration. Le registre de configuration indique au routeur la configuration charger lors du
dmarrage. Dans le registre de configuration, vous pouvez demander au routeur de dmarrer partir
dune configuration vierge, non protge par un mot de passe.
Pour modifier le registre de configuration, la premire tape consiste afficher le paramtre actuel,
laide de la commande show version. Ces oprations sont excutes sur le routeur R3.
R3#show version
Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), RELEASE
SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 25-Oct-05 17:10 by evmiller
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
R3 uptime is 25 minutes
System returned to ROM by reload at 08:56:50 UTC Wed Sep 12 2007
System image file is "flash:c1841-ipbase-mz.124-1c.bin"
Cisco 1841 (revision 7.0) with 114688K/16384K bytes of memory.
Processor board ID FTX1118X0BN
2 FastEthernet interfaces
2 Low-speed serial(sync/async) interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
La seconde tape consiste recharger le routeur et appuyer sur la touche Pause, lors du dmarrage.
Lemplacement de la touche Pause est diffrente dun ordinateur lautre. En gnral, elle se trouve
dans le coin suprieur droit du clavier. Une pause permet au priphrique de basculer en mode appel
ROMmon. Dans ce mode, il nest pas ncessaire que le priphrique ait accs un fichier dimage
Cisco IOS.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

R3#reload
Proceed with reload? [confirm]
*Sep 12 08:27:280.670: %SYS-5-RELOAD: Reload requested by console. Reload
Reason: Reload command.
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
Readonly ROMMON initialized
rommon 1 >

Modifiez la valeur du registre de configuration par une valeur permettant de charger la configuration
initiale du routeur. Cette configuration ne dispose pas de mot de passe configur, mais elle prend en
charge les commandes Cisco IOS. Dfinissez la valeur du registre de configuration sur 0x2142.
rommon 1 > confreg 0x2142
La valeur du registre tant modifie, vous pouvez dmarrer le priphrique laide de la commande
reset.
rommon 2 > reset
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0xd4a9a0
Self decompressing the image :
###########################################################
#############################################################################
# [OK]
<rsultat omis>
--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
tape 4 : restauration du routeur
prsent, copiez la configuration de dmarrage vers la configuration en cours, restaurez cette
configuration, puis rtablissez le registre de configuration sa valeur par dfaut (0x2102).
Pour copier la configuration de dmarrage de la mmoire NVRAM vers la mmoire en cours, entrez la
commande copy startup-config running-config. Attention : ne saisissez pas la commande
copy running-config startup-config, car vous risquez de supprimer la configuration de
dmarrage.
Router#copy startup-config running-config
Destination filename [running-config]? {enter}

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

2261 bytes copied in 0.576 secs (3925 bytes/sec)


R3#:show running-config
<rsultat omis>
enable secret 5 $1$31P/$cyPgoxc0R9y93Ps/N3/kg.
!
<rsultat omis>
!
key chain RIP_KEY
key 1
key-string 7 01100F175804
username ccna password 7 094F471A1A0A1411050D
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
shutdown
duplex auto
speed auto
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
shutdown
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
<rsultat omis>
!
line con 0
exec-timeout 5 0
logging synchronous
login authentication
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 23 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Dans cette configuration, la commande shutdown saffiche sur toutes les interfaces, car ces interfaces
sont toutes fermes. Le plus important est que vous puissiez voir les mots de passe (enable, enable
secret, VTY, console) au format chiffr ou non. Vous pouvez rutiliser les mots de passe non chiffrs.
Vous devez remplacer les mots de passe chiffrs par un nouveau mot de passe.
R3#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#enable secret ciscoccna
R3(config)#username ccna password ciscoccna
Excutez la commande no shutdown sur chaque interface que vous souhaitez utiliser.
R3(config)#interface FastEthernet0/1
R3(config-if)#no shutdown
R3(config)#interface Serial0/0/0
R3(config-if)#no shutdown
Vous pouvez excuter une commande show ip interface brief afin de confirmer que la
configuration de votre interface est correcte. Chacune des interfaces que vous souhaitez utiliser doit
afficher up .
R3#show ip interface brief
Interface
IP-Address
FastEthernet0/0
unassigned
FastEthernet0/1
192.168.30.1
Serial0/0/0
10.2.2.2
Serial0/0/1
unassigned

OK?
YES
YES
YES
YES

Method
NVRAM
NVRAM
NVRAM
NVRAM

Status
Protocol
administratively down down
up
up
up
up
administratively down down

Entrez la commande config-register valeur du registre de configuration. La variable valeur du registre


de configuration peut tre la valeur que vous avez note ltape 3 ou 0x2102. Enregistrez la configuration
en cours.
R3(config)#config-register 0x2102
R3(config)#end
R3#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Quels sont les inconvnients dune rcupration de mot de passe ?
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
Tout dabord, si vos mots de passe sont chiffrs, vous ne pouvez ni les visualiser ni les rcuprer.
Cest la raison pour laquelle vous devez toujours disposer dune sauvegarde de toutes les configurations
en cours, pour les priphriques dun rseau de production. Il existe un second inconvnient : toute
personne ayant physiquement accs un priphrique peut effectuer ces tapes et en prendre le
contrle. Par consquent, la scurit physique des priphriques rseau est primordiale.

Configurations pour la partie 1


R1
!
no service pad
service timestamps debug datetime msec
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 24 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

service timestamps log datetime msec


service password-encryption
!
hostname R1
!
security authentication failure rate 5 log
enable secret 5 $1$0Ch/$fp.BLSjtqOwxL7VyBwURB1
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
!
aaa session-id common
!
resource policy
!
memory-size iomem 10
no ip source-route
no ip gratuitous-arps
!
no ip bootp server
no ip domain lookup
login block-for 300 attempts 2 within 120
!
!
key chain RIP_KEY
key 1
key-string 7 05080F1C2243
!
username ccna password 7 070C285F4D061A061913
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 25 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

ip rip authentication key-chain RIP_KEY


clock rate 64000
!
interface Serial0/0/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
no ip http server
no ip http secure-server
!
logging trap warnings
logging 192.168.10.10
no cdp run
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law.^C
!
line con 0
exec-timeout 5 0
login authentication LOCAL_AUTH
line aux 0
line vty 0 4
exec-timeout 5 0
login authentication LOCAL_AUTH
!
scheduler allocate 20000 1000
!
end
R2
hostname R2
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
interface FastEthernet0/0
no ip address
shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 26 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clock rate 115200
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
network 209.165.200.0
no auto-summary
!
no ip http server
no ip http secure-server
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law.^C
!
line con 0
line aux 0
line vty 0 4
login
!
end
R3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname R3
!
security authentication failure rate 10 log
security passwords min-length 6

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 27 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

logging buffered 4096 debugging


logging console critical
enable secret 5 $1$ZT.e$0rWCK4DgdK5sz7tThM16S0
enable password 7 141411050D0723382727
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
no ip source-route
no ip gratuitous-arps
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept connection-timeout 3600
ip tcp intercept watch-timeout 15
ip tcp intercept max-incomplete low 450
ip tcp intercept max-incomplete high 550
ip tcp intercept drop-mode random
!
no ip bootp server
no ip domain lookup
ip domain name cisco.com
ip ssh time-out 60
ip ssh authentication-retries 2
login block-for 300 attempts 5 within 120
!
key chain RIP_KEY
key 1
key-string 7 05080F1C2243
!
username ccna password 7 070C285F4D061A061913
archive
log config
logging enable
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
interface Serial0/0/0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 28 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
ip verify unicast source reachable-via rx allow-default 100
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
interface Serial0/1/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
interface Serial0/1/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
no ip http server
no ip http secure-server
!
logging trap debugging
logging facility local2
access-list 100 permit udp any any eq bootpc
no cdp run
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to
the full extent of the law.^C
!
line con 0
exec-timeout 5 0
login authentication local_auth
transport output telnet
line aux 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 29 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

exec-timeout 15 0
login authentication local_auth
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Tche 8 : utilisation de SDM pour la scurisation dun routeur


Si SDM nest pas install sur les routeurs, reportez-vous lannexe Installation de SDM , qui contient les
instructions relatives son installation. Ces dernires ne figurent pas dans la version destine aux participants.
Au cours de cette tche, vous allez utiliser SDM (Security Device Manager) et linterface utilisateur
graphique pour scuriser le routeur R2. Lutilisation de SDM est plus rapide que la saisie de chaque
commande et vous permet davantage de contrle que la fonction AutoSecure.
Vrifiez si SDM est install sur le routeur :
R2#show flash
-#- --length-1
13937472
2
1821
3
4734464
4
833024
5
1052160
6
1038
7
102400
8
491213
9
1684577
10
398305
11
2261
12
2506

-----date/time-----Sep 12 2007 08:31:42


May 05 2007 21:29:36
May 05 2007 21:30:14
May 05 2007 21:30:42
May 05 2007 21:31:10
May 05 2007 21:31:36
May 05 2007 21:32:02
May 05 2007 21:32:30
May 05 2007 21:33:16
May 05 2007 21:33:50
Sep 25 2007 23:20:16
Sep 26 2007 17:11:58

path
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00

c1841-ipbase-mz.124-1c.bin
sdmconfig-18xx.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
128MB.sdf
securedesktop-ios-3.1.1.27-k9.pkg
sslclient-win-1.1.0.154.pkg
Tr(RIP)
save.txt

Si SDM Nest PAS install sur le routeur, vous devez linstaller pour continuer la procdure.
Pour ce faire, demandez les instructions votre formateur.
tape 1 : connexion R2 via le serveur TFTP
Crez un nom dutilisateur et un mot de passe sur R2.
R2(config)#username ccna password ciscoccna
Activez le serveur scuris http sur R2, puis connectez-vous R2 laide dun navigateur Web sur
le serveur TFTP.
R2(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R2(config)#
*Nov 16 16:01:07.763: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Nov 16 16:01:08.731: %PKI-4-NOAUTOSAVE: Configuration was modified.
Issue "write memory" to save new certificate
R2(config)#end
R2#copy run start

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 30 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

partir du serveur TFTP, ouvrez un navigateur Web et accdez https://192.168.20.1/. Connectez-vous


avec le nom dutilisateur et le mot de passe crs prcdemment :
Nom dutilisateur : ccna
Mot de passe : ciscoccna
Slectionnez lapplication Cisco Router and Security Device Manager.
Ouvrez Internet Explorer et entrez ladresse IP de R2 dans la barre dadresse. Une nouvelle fentre
souvre. Assurez-vous que tous les bloqueurs de fentre publicitaire intempestive sont dsactivs sur
votre navigateur. Assurez-vous galement que JAVA est bien install et mis jour.

Une fois le chargement effectu, une nouvelle fentre SDM souvre.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 31 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 2 : accs la fonction daudit de scurit


Cliquez sur le bouton Configure dans la partie suprieure gauche de la fentre.

Cliquez ensuite sur Security Audit, dans le panneau de gauche.

Une autre fentre souvre.


tape 3 : excution dun audit de scurit

Une brve prsentation de la fonction daudit de scurit saffiche. Cliquez sur Next pour ouvrir la fentre
de configuration de linterface de la fonction daudit de scurit, Security Audit Interface configuration.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 32 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Une interface doit tre dfinie sur Outside (Untrusted) (non fiable) si vous ne pouvez garantir la lgitimit
du trafic issu de cette interface. Dans cet exemple, les interfaces FastEthernet0/1 et Serial0/1/0 ne sont
pas fiables. Dune part, Serial0/1/0 est directement connect Internet. Dautre part, Fastethernet0/1
est connect la partie accs au rseau. Un trafic illgitime peut donc sinfiltrer.
Aprs avoir dfini les interfaces sur Outside (extrieure) et Inside (intrieure), cliquez sur Next.
Une nouvelle fentre souvre, indiquant que SDM est en train deffectuer un audit de scurit.

Comme vous pouvez le constater, la configuration par dfaut nest pas scurise. Cliquez sur le bouton
Close pour continuer.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 33 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 4 : application des paramtres au routeur

Cliquez sur le bouton Fix All pour appliquer toutes les corrections de scurit proposes. Ensuite,
cliquez sur le bouton Next.

Configurez un message de bannire utiliser comme message du jour pour le routeur, puis cliquez
sur Next.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 34 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Dterminez ensuite le niveau de gravit des journaux de droutement que le routeur devra envoyer au
serveur syslog. Dans ce scnario, le niveau de gravit est dfini sur le dbogage. Cliquez sur Next pour
afficher un rcapitulatif des modifications sur le point dtre apportes au routeur.
tape 5 : validation de la configuration du routeur

Aprs avoir vrifi les modifications sur le point dtre effectues, cliquez sur Finish.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 35 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez sur OK pour quitter SDM.

Tche 9 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.
R1
!
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1
!
security authentication failure rate 5 log
enable secret 5 $1$0Ch/$fp.BLSjtqOwxL7VyBwURB1
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
!
aaa session-id common
!
resource policy
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 36 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

memory-size iomem 10
no ip source-route
no ip gratuitous-arps
!
no ip bootp server
no ip domain lookup
login block-for 300 attempts 2 within 120
!
!
key chain RIP_KEY
key 1
key-string 7 05080F1C2243
!
username ccna password 7 070C285F4D061A061913
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clock rate 64000
!
interface Serial0/0/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
network 10.0.0.0
network 192.168.10.0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 37 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

no auto-summary
!
no ip http server
no ip http secure-server
!
logging trap warnings
logging 192.168.10.10
no cdp run
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to the
full extent of the law.^C
!
line con 0
exec-timeout 5 0
login authentication LOCAL_AUTH
line aux 0
line vty 0 4
exec-timeout 5 0
login authentication LOCAL_AUTH
!
scheduler allocate 20000 1000
!
end

R2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R2
no ip domain-lookup
banner motd ^Unauthorized access strictly prohibited and prosecuted to the
full extent of the law.^
!
security authentication failure rate 10 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 38 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

no ip gratuitous-arps
no ip finger
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
duplex auto
speed auto
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no fair-queue
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
no shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
network 209.165.200.224
no auto-summary
!
no ip http server
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 39 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

!
login block-for 300 attempt 2 within 120
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
line con 0
exec-timeout 5 0
logging synchronous
login authentication local_auth
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

R3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname R3
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
logging console critical
enable secret 5 $1$ZT.e$0rWCK4DgdK5sz7tThM16S0
enable password 7 141411050D0723382727
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
no ip source-route
no ip gratuitous-arps
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept connection-timeout 3600
ip tcp intercept watch-timeout 15

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 40 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

ip tcp intercept max-incomplete low 450


ip tcp intercept max-incomplete high 550
ip tcp intercept drop-mode random
!
no ip bootp server
no ip domain lookup
ip domain name cisco.com
ip ssh time-out 60
ip ssh authentication-retries 2
login block-for 300 attempts 5 within 120
!
key chain RIP_KEY
key 1
key-string 7 05080F1C2243
!
username ccna password 7 070C285F4D061A061913
archive
log config
logging enable
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no mop enabled
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
ip verify unicast source reachable-via rx allow-default 100
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 41 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

interface Serial0/1/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
interface Serial0/1/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clock rate 2000000
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
no ip http server
no ip http secure-server
!
logging trap debugging
logging facility local2
access-list 100 permit udp any any eq bootpc
no cdp run
!
banner motd ^CUnauthorized access strictly prohibited and prosecuted to
the full extent of the law.^C
!
line con 0
exec-timeout 5 0
login authentication local_auth
transport output telnet
line aux 0
exec-timeout 15 0
login authentication local_auth
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes
habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 42 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Annexe : installation de SDM


Diagramme de topologie

Scnario
Au cours de ces travaux pratiques, vous allez prparer laccs au routeur via Cisco Security
Device Manager (SDM), laide de commandes de base, afin dtablir une connectivit entre
SDM et le routeur. Vous installerez ensuite lapplication SDM en local sur votre PC hte. Enfin,
vous installerez SDM dans la mmoire flash dun routeur.

tape 1 : prparation
Pour commencer ces travaux pratiques, supprimez toutes les configurations existantes et
rechargez les priphriques. Une fois les priphriques rechargs, dfinissez les noms d'hte
appropris. Vrifiez si le commutateur est correctement configur, de sorte que le routeur et
lhte soient situs sur le mme rseau local virtuel. Par dfaut, tous les ports du commutateur
sont assigns au rseau local virtuel VLAN 1.
Assurez-vous que votre PC dispose de la configuration minimale requise pour la prise en charge
de SDM. SDM peut tre install sur un PC excutant lun des systmes dexploitation suivants :

Microsoft Windows ME
Microsoft Windows NT 4.0 Workstation avec Service Pack 4
Microsoft Windows XP Professionnel
Microsoft Windows 2003 Server (Standard Edition)
Microsoft Windows 2000 Professionnel avec Service Pack 4

Remarque : Windows 2000 Advanced Server nest pas pris en charge.


En outre, un navigateur Web utilisant SUN JRE version 1.4 ou ultrieure, ou un navigateur
ActiveX, doit tre activ.

tape 2 : prparation du routeur pour SDM


Pour commencer, crez, sur le routeur, un nom dutilisateur et un mot de passe que vous
utiliserez pour SDM. Cette connexion doit bnficier dun niveau de privilge dfini sur 15,
afin de permettre SDM de modifier des paramtres de configuration sur le routeur.
R1(config)# username ciscosdm privilege 15 password 0 ciscosdm
Laccs HTTP au routeur doit tre configur pour permettre lexcution de SDM. Si votre image
le prend en charge (vous devez disposer dune image IOS qui prend en charge la fonction de
chiffrement), vous devez galement activer un accs HTTPS scuris, laide de la commande
ip http secure-server. Lactivation du protocole HTTPS se rpercute sur les cls de chiffrement
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 43 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

RSA. Cela est normal. Assurez-vous galement que le serveur HTTP utilise la base donnes
locale lors du processus dauthentification.
R1(config)# ip http server
R1(config)# ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
*Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified.
Issue "write memory" to save new certificate
R1(config)# ip http authentication local
Pour terminer, configurez les lignes de terminal virtuel du routeur afin de procder
lauthentification par lintermdiaire de la base de donnes dauthentification locale.
Autorisez lentre de lignes de terminal virtuel via les protocoles Telnet et SSH.
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input telnet ssh

tape 3 : configuration de ladressage


Configurez linterface Fast Ethernet sur le routeur, avec ladresse IP indique sur le diagramme.
Si vous avez dj configur ladresse IP adquate, ignorez cette tape.
R1(config)# interface fastethernet0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
Attribuez ensuite une adresse IP au PC. Si le PC dispose dj dune adresse IP dans le mme
sous-rseau que le routeur, vous pouvez ignorer cette tape.
Excutez une requte ping sur linterface Ethernet de R1 depuis le PC. Vous devez recevoir
des rponses. Dans le cas contraire, vrifiez le rseau local virtuel des ports de commutation,
ainsi que ladresse IP et le masque de sous-rseau de chaque priphrique connect au
commutateur.

tape 4 : extraction de SDM sur lhte


prsent, le routeur est configur pour tre accessible partir de SDM et la connectivit est
tablie entre le routeur et le PC. Vous pouvez ds lors configurer le routeur laide de SDM.
Vous devez commencer par lextraction du fichier zip de SDM vers un rpertoire de votre
disque dur. Dans cet exemple, nous utilisons le rpertoire C:\sdm\ . Vous pouvez bien
entendu utiliser le chemin de votre choix.
Le logiciel SDM est quasiment prt pour la configuration du routeur. La dernire tape consiste
linstaller sur le PC.

tape 5 : installation de lapplication SDM sur le PC


Double-cliquez sur le programme excutable setup.exe pour ouvrir lassistant dinstallation.
Une fois lassistant affich, cliquez sur Next. Acceptez les termes du contrat de licence, puis
cliquez sur Next.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 44 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Sur lcran suivant, choisissez un emplacement dinstallation de SDM parmi les trois
emplacements proposs.

Vous pouvez installer lapplication SDM sur lordinateur, sans la placer dans la mmoire flash
du routeur, vous pouvez l'installer sur le routeur sans affecter lordinateur ou vous pouvez
linstaller la fois sur le routeur et sur l'ordinateur. Ces diffrents types dinstallation sont trs
similaires. Si vous ne souhaitez pas installer SDM sur votre ordinateur, passez directement
ltape 7.
Sinon, cliquez sur This Computer, puis sur Next. Utilisez le rpertoire de destination par
dfaut, puis cliquez nouveau sur Next.
Cliquez sur Install pour dmarrer linstallation.
Le logiciel procde linstallation, puis une dernire bote de dialogue vous invite lancer SDM.
Activez la case cocher Launch Cisco SDM, puis cliquez sur Finish.

tape 6 : excution de SDM depuis l'ordinateur


Si vous avez activ loption Launch Cisco SDM lors de ltape 5, lapplication SDM doit se lancer
depuis le programme dinstallation. Dans le cas contraire, ou si vous excutez SDM sans lavoir
install, cliquez sur licne Cisco SDM sur le bureau. La bote de dialogue de dmarrage de
lapplication SDM saffiche. Renseignez ladresse IP du routeur, indique dans le diagramme,
en tant quadresse IP du priphrique. Si vous avez activ le serveur scuris HTTP lors de
ltape 2, activez la case cocher This device has HTTPS enabled and I want to use it.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 45 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez sur Yes lorsque le message davertissement de scurit saffiche. Sachez quau dbut,
Internet Explorer peut bloquer lapplication SDM. Vous devez alors lautoriser ou modifier les
paramtres de scurit dInternet Explorer pour pouvoir lutiliser. Selon la version dInternet
Explorer que vous utilisez, lun de ces paramtres est tout particulirement important pour
excuter SDM en local. Ce paramtre se trouve dans le menu Outils, sous Options Internet.
Cliquez sur longlet Avanc, puis sous len-tte Scurit, activez la case cocher Autoriser le
contenu actif sexcuter dans les fichiers de la zone Ordinateur local.
Entrez le nom dutilisateur et le mot de passe que vous avez crs auparavant.

Vous pouvez tre amen accepter un certificat provenant de ce routeur. Pour continuer,
acceptez le certificat. Entrez ensuite le nom dutilisateur et le mot de passe du routeur, puis
cliquez sur Yes.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 46 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

SDM procde la lecture de la configuration partir du routeur. Si la configuration ne


prsente aucune erreur, vous pourrez accder au tableau de bord de lapplication de SDM. Si
la configuration affiche vous semble correcte, cela signifie que vous avez russi configurer
SDM et vous y connecter. Les informations affiches peuvent varier en fonction de la version
de SDM utilise.

tape 7 : installation de SDM sur le routeur


Effectuez les instructions de ltape 6 jusqu ce que linvite prsente dans la figure suivante
saffiche. Lorsque cette fentre saffiche, cliquez sur Cisco Router pour installer SDM dans la
mmoire flash du routeur. Si vous ne souhaitez pas installer SDM dans la mmoire flash du
routeur, ou si lespace disponible en mmoire flash est insuffisant, nessayez pas dinstaller
SDM sur le routeur.
Entrez les informations relatives au routeur afin de permettre au programme dinstallation
dinstaller SDM sur le routeur et dy accder distance.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 47 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cisco SDM se connecte au routeur. Certains messages consigns dans la console peuvent
safficher. Cela est normal.
Jan 14 16:15:26.367: %SYS-5-CONFIG_I: Configured from console by
ciscosdm on vty0 (192.168.10.50)
Choisissez Typical comme type dinstallation, puis cliquez sur Next. Conservez les options
dinstallation par dfaut, puis cliquez sur Next.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 48 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

Cliquez enfin sur Install pour lancer le processus dinstallation. Au cours de linstallation,
dautres messages peuvent tre consigns dans la console. Le processus dinstallation peut
prendre un certain temps (observez les horodatages affichs sur la sortie de la console pour
estimer la dure du processus sur un Cisco 2811). La dure du processus varie selon le
modle du routeur.
Jan 14 16:19:40.795: %SYS-5-CONFIG_I: Configured from console by
ciscosdm on vty0 (192.168.10.50)
la fin de linstallation, vous tes invit lancer SDM sur le routeur. Avant deffectuer cette
opration, accdez la console et excutez la commande show flash:. Notez tous les fichiers
stocks par SDM dans la mmoire flash. Avant linstallation, le premier fichier, cest--dire
limage IOS, tait le seul rpertori.
R1# show flash:
CompactFlash directory:
File Length
Name/status
1
38523272 c2800nm-advipservicesk9-mz.124-9.T1.bin
2
1038
home.shtml
3
1823
sdmconfig-2811.cfg
4
102400
home.tar
5
491213
128MB.sdf
6
1053184 common.tar
7
4753408 sdm.tar
8
1684577 securedesktop-ios-3.1.1.27-k9.pkg
9
398305
sslclient-win-1.1.0.154.pkg
10
839680
es.tar
[47849552 bytes used, 16375724 available, 64225276 total]
62720K bytes of ATA CompactFlash (Read/Write)

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 49 sur 50

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.1 : configuration de base de la scurit

tape 8 : excution de lapplication SDM partir du routeur


Ouvrez Internet Explorer et accdez ladresse URL https://<IP address>/ ou http://<IP
address>/ , selon que vous avez ou non activ le serveur scuris HTTP au cours de
ltape 2. Lorsque vous tes invit accepter le certificat, cliquez sur Yes.
Ignorez les avertissements lis la scurit et cliquez sur Run.
Entrez le nom dutilisateur et le mot de passe que vous avez configurs au cours de ltape 2.

SDM procde la lecture de la configuration partir du routeur.


Une fois le chargement de la configuration actuelle du routeur termin, la page daccueil de
Cisco SDM saffiche. Si la configuration affiche vous semble correcte, cela signifie que vous
avez russi configurer SDM et vous y connecter. Les informations affiches peuvent tre
diffrentes de celles qui figurent dans lillustration suivante, selon le numro de modle du
routeur, la version de lIOS, etc.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 50 sur 50

Travaux pratiques 4.6.2 : configuration avance de la scurit


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1

R2

R3
Comm1
Comm3
PC1
PC3
Serveur TFTP

Interface

Adresse IP

Fa0/1
S0/0/1
Fa0/1
S0/0/1
Lo0
Fa0/1
S0/0/1
S0/0/0
VLAN10
VLAN30
Carte rseau
Carte rseau
Carte rseau

192.168.10.1
10.1.1.1
192.168.20.1
10.2.2.1
209.165.200.225
192.168.30.1
10.2.2.2
10.1.1.2
192.168.10.2
192.168.30.2
192.168.10.10
192.168.30.10
192.168.20.254

Masque de
sous-rseau
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.224
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle par dfaut


N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
192.168.10.1
192.168.30.1
192.168.20.1

Page 1 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Excuter les tches de configuration de base dun routeur

Configurer et activer des interfaces

Configurer la scurit de base des ports

Dsactiver les services et interfaces Cisco inutiliss

Protger les rseaux d'entreprise contre des principales attaques externes et internes

Comprendre et grer les fichiers de configuration Cisco IOS ainsi que le systme de fichiers Cisco

Configurer et utiliser Cisco SDM (Security Device Manager) pour dfinir la scurit de base
dun routeur

Scnario
Au cours de ces travaux pratiques, vous apprendrez configurer la scurit au moyen du rseau indiqu
dans le diagramme de topologie. Si vous rencontrez des difficults, reportez-vous aux travaux pratiques
sur la scurit de base. Essayez cependant de travailler en parfaite autonomie. Dans le cadre de cet
exercice, nactivez pas la protection par mot de passe et vitez de vous connecter aux lignes de console,
afin dviter toute dconnexion accidentelle. Vous devez toutefois scuriser la ligne de console par
dautres moyens. Dans ces travaux pratiques, le mot de passe utiliser est ciscoccna.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


tape 1 : configuration des routeurs
Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :

Configurez le nom d'hte du routeur conformment au diagramme de topologie.

Dsactivez la recherche DNS.

Configurez une bannire de message du jour.

Configurez les adresses IP sur les interfaces des routeurs R1, R2 et R3.

Activez le protocole RIPv2 sur tous les routeurs de tous les rseaux.

Crez une interface de bouclage sur R2 afin de simuler une connexion Internet.

Crez des rseaux locaux virtuels sur les commutateurs Comm1 et Comm3, puis configurez
les interfaces intgrer aux rseaux locaux virtuels.

Configurez le routeur R3 afin dassurer une connectivit scurise SDM.

Installez SDM sur PC3 ou R3, si ce nest dj fait.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

tape 2 : configuration des interfaces Ethernet


Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP laide des adresses IP et des
passerelles par dfaut figurant dans la table dadressage fournie au dbut de ces travaux pratiques.
tape 3 : test de la configuration du PC via lenvoi dune requte ping la passerelle par dfaut
de chaque PC et du serveur TFPT

Tche 3 : scurisation de laccs aux routeurs


tape 1 : configuration dune authentification AAA et de mots de passe scuriss l'aide d'une
base de donnes locale
Crez un mot de passe scuris pour laccs au routeur. Crez le nom dutilisateur ccna,
stocker localement sur le routeur. Configurez le routeur de manire utiliser la base de donnes
dauthentification locale. Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna.
service password-encryption
enable secret ciscoccna
username ccna password ciscoccna
aaa new-model
aaa authentication login local_auth local
tape 2 : scurisation de la console et des lignes vty
Configurez la console, ainsi que les lignes vty, de manire refuser laccs aux utilisateurs saisissant un
mot de passe et un nom dutilisateur incorrects, et ce deux reprises en lespace de 2 minutes. Bloquez
toute tentative de connexion supplmentaire pendant 5 minutes.
line con 0
exec-timeout 5 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
login block-for 300 attempt 2 within 120
security authentication failure rate 10 log
tape 3 : vrification du refus des tentatives de connexion, une fois le nombre maximal de
tentatives autoris atteint
R2 :
R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
Unauthorized access strictly prohibited, violators will be prosecuted to the
full extent of the law
User Access Verification
Username: cisco
Password:
% Authentication failed
User Access Verification

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Username: cisco
Password:
% Authentication failed
[Connection to 10.1.1.1 closed by foreign host]
R2#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Connection refused by remote host
R1 :
*Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because
block period timed out at 12:40:11 UTC Mon Sep 10 2007

Tche 4 : scurisation de laccs au rseau


tape 1 : scurisation du protocole de routage RIP
Nenvoyez pas de mises jour RIP aux routeurs non tributaires du rseau (tous les routeurs non
mentionns dans ce scnario). Authentifiez les mises jour RIP et cryptez-les.
R1 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
router rip
version 2
passive-interface default
no passive-interface s0/0/0
network 10.0.0.0
network 192.168.10.0
no auto-summary
R2 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/1
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
router rip
version 2
passive-interface default
no passive-interface s0/0/1
network 10.0.0.0
network 192.168.20.0
no auto-summary
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

R3 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/1
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
int s0/0/0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
router rip
version 2
passive-interface default
no passive-interface s0/0/0
no passive-interface s0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
tape 2 : vrification du fonctionnement du routage RIP
R1 :
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
R
C
R
R
C

192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/1


192.168.10.0/24 is directly connected, FastEthernet0/1
192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/1
10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks
10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/1
10.1.1.0/24 is directly connected, Serial0/0/1

R2 :
R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

R
C
R
R
C
C

Travaux pratiques 4.6.2 : configuration avance de la scurit

192.168.30.0/24 [120/2] via 10.2.2.2, 00:00:16, Serial0/0/1


192.168.20.0/24 is directly connected, FastEthernet0/1
192.168.10.0/24 [120/1] via 10.2.2.2, 00:00:13, Serial0/0/1
10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks
10.1.1.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/1
10.2.2.0/24 is directly connected, Serial0/0/1
209.165.200.224 is directly connected, Loopback0

R3 :
R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
R
C
R
C
C

192.168.10.0/24 [120/2] via 10.1.1.1, 00:00:16, Serial0/0/1


192.168.30.0/24 is directly connected, FastEthernet0/1
192.168.20.0/24 [120/1] via 10.2.2.1, 00:00:13, Serial0/0/0
10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks
10.2.2.0/24 is directly connected, Serial0/0/0
10.1.1.0/24 is directly connected, Serial0/0/1

Tche 5 : consignation des activits via le protocole SNMP (Simple Network


Management Protocol)
tape 1 : configuration de la connexion SNMP au serveur syslog via l'adresse 192.168.10.250
sur tous les priphriques
logging 192.168.10.250
tape 2 : consignation de tous les messages avec un niveau de gravit 4 sur le serveur syslog
logging trap warnings

Tche 6 : dsactivation des services rseau Cisco inutiliss


tape 1 : dsactivation des interfaces inutilises de tous les priphriques
R1 :
interface FastEthernet0/0
no ip address
shutdown
!
interface Serial0/0/0
no ip address
shutdown
!
interface Serial0/1/0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

no ip address
shutdown
!
interface Serial0/1/1
no ip address
shutdown
!
R2 :
interface FastEthernet0/0
no ip address
shutdown
!
interface Serial0/0/0
no ip address
shutdown
!
interface Serial0/1/0
no ip address
shutdown
!
interface Serial0/1/1
no ip address
shutdown
!
R3 :
interface FastEthernet0/0
no ip address
shutdown
!
interface Serial0/1/0
no ip address
shutdown
!
interface Serial0/1/1
no ip address
shutdown
!
tape 2 : dsactivation des services globaux inutiliss sur R1
no
no
no
no
no
no
no
no
no
no
no

service finger
service pad
service udp-small-servers
service tcp-small-servers
cdp run
ip bootp server
ip http server
ip finger
ip source-route
ip gratuitous-arps
cdp run

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

tape 3 : dsactivation des services dinterface inutiliss sur R1


interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
interface Serial0/0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
interface Serial0/1/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
interface Serial0/1/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
tape 4 : utilisation de la fonction AutoSecure pour scuriser R2
Dans ces travaux pratiques, pensez utiliser le mot de passe ciscoccna.
R2#auto secure
--- AutoSecure Configuration --*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

Interface
IP-Address
OK? Method Status
Protocol
FastEthernet0/0
unassigned
YES manual up
up
FastEthernet0/1
192.168.30.1
YES unset down
down
Serial0/0/0
10.2.2.2
YES manual up
up
Serial0/0/1
10.2.2.2
YES manual up
up
Serial0/1/0
unassigned
YES manual down
down
Serial0/1/1
unassigned
YES unset down
down
Enter the interface name that is facing the internet: Serial0/1/0
Securing Management plane services...
Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Enter the new enable password: ciscoccna
Confirm the enable password: ciscoccna
Configuration of local user database
Enter the username: ccna
Enter the password: ciscoccna
Confirm the password: ciscoccna
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 300
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 120
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

to internet
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
security passwords min-length 6
security authentication failure rate 10 log
enable password 7 070C285F4D061A061913
username ccna password 7 045802150C2E4F4D0718
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
line tty 1
login authentication local_auth
exec-timeout 15 0
line tty 192
login authentication local_auth
exec-timeout 15 0
login block-for 300 attempts 5 within 120
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/1/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/1/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
ip cef
access-list 101 permit udp any any eq bootpc
interface Serial0/0/0
ip verify unicast source reachable-via rx allow-default 101
!
end
Apply this configuration to running-config? [yes]:yes

Tche 7 : gestion de Cisco IOS et des fichiers de configuration


tape 1 : identification de lemplacement du fichier running-config dans la mmoire du routeur
R1#dir system:
Directory of system:/
3
1
2

dr-x
-rwdr-x

0
1232
0

<no date>
<no date>
<no date>

memory
running-config
vfiles

No space information available

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

tape 2 : transfert du fichier running-config de R1 vers R2 via le serveur TFTP


R1 :
R1(config)#tftp-server system:running-config alias run
R2 :
R2#copy tftp flash
Address or name of remote host []? 10.2.2.1
Source filename []? run
Destination filename [test]? run
Accessing tftp://10.2.2.1/run...
Loading test from 10.2.2.1 (via Serial0/0/0): !
[OK - 1192 bytes]
1192 bytes copied in 0.424 secs (2811 bytes/sec)
tape 3 : interruption et restauration de R1 via ROMmon
Copiez, puis collez, les commandes suivantes sur R1. Restaurez R1 ensuite, via ROMmon.
line vty 0 4
exec-timeout 0 20
line console 0
exec-timeout 0 20
end
copy run start
exit
rommon 1 > confreg 0x2142
rommon 2 > reset
R1#copy running-config startup-config
R1#configure terminal
R1(config)#config-register 0x2102
R1(config)#end
R2#reload
tape 4 : depuis R2, restauration de la configuration enregistre dans R1, via le serveur TFTP
tant donn que R1 et R2 ne sont pas directement connects, vous devez
configurer nouveau le protocole RIP sur R1. Toutefois, les mises jour
seront uniquement appliques R1 si vous configurez lauthentification RIP.
R2 :
R2(config)#tftp-server flash:run alias run
R1 :
key chain RIP_KEY
key 1
key-string cisco
!
int s0/0/1
ip address 10.1.1.2 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no shut

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

!
router rip
version 2
passive-interface default
no passive-interface s0/0/1
network 10.0.0.0
no auto-summary
R1#copy tftp nvram
Address or name of remote host []? 10.2.2.1
Source filename []? run
Destination filename []? nvram:startup-config
Accessing tftp://10.1.1.2/run...
Loading test from 10.1.1.2 (via Serial0/0/0): !
[OK - 1192 bytes]
1192 bytes copied in 0.452 secs (2637 bytes/sec)
tape 5 : suppression de la configuration enregistre depuis R2
R2#delete flash:run

Tche 8 : scurisation de R2 via SDM


tape 1 : connexion R2 via PC1
tape 2 : accs la fonction d'audit de scurit
tape 3 : excution dun audit de scurit
tape 4 : dfinition des paramtres appliquer au routeur
tape 5 : validation de la configuration du routeur

Tche 9 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.
-----------------------------------------R1
-----------------------------------------no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 5 log

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

security passwords min-length 6


enable secret ciscoccna
!
aaa new-model
!
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
no ip finger
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip bootp server
!
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
!
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
no ip redirects
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
clockrate 125000
!
interface Serial0/0/1
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no fair-queue
clockrate 125000
!
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
ip classless
!
no ip http server
!
login block-for 300 attempt 2 within 120
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

------------------------------------------R2
-----------------------------------------no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R2
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
no ip finger
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip bootp server
!
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
interface FastEthernet0/0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arpshutdown
duplex auto
speed auto
no shutdown
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
no shutdown
!
interface Serial0/1/0
ip address 209.165.200.224 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Serial0/1/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clockrate 2000000
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

network 209.165.200.224
no auto-summary
!
ip classless
!
no ip http server
!
login block-for 300 attempt 2 within 120
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!----------------------------------------no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R3
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 5 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 18 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

aaa authentication login local_auth local


!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
no ip finger
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip bootp server
!
!
key chain RIP_KEY
key 1
key-string 7 01100F175804
username ccna password 7 094F471A1A0A1411050D
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 125000
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 20

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.2 : configuration avance de la scurit

ip rip authentication mode md5


ip rip authentication key-chain RIP_KEY
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
ip classless
!
no ip http server
!
login block-for 300 attempt 2 within 120
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
login authentication
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans
un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC
htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 20

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1
R2

R3
Comm1
Comm3
PC1
PC3
Serveur TFTP

Interface

Adresse IP

Fa0/1
S0/0/1
Fa0/1
S0/0/1
Lo0
Fa0/1
S0/0/1
S0/0/0
VLAN10
VLAN30
Carte rseau
Carte rseau
Carte rseau

192.168.10.1
10.1.1.1
192.168.20.1
10.2.2.1
209.165.200.225
192.168.30.1
10.2.2.2
10.1.1.2
192.168.10.2
192.168.30.2
192.168.10.10
192.168.30.10
192.168.20.254

Masque de
sous-rseau
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.224
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle
par dfaut
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
192.168.10.1
192.168.30.1
192.168.20.1

Page 1 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et rinitialiser tous les routeurs dans leur tat par dfaut

Charger les routeurs avec les scripts fournis

Identifier et corriger toutes les erreurs rseau

Documenter le rseau corrig

Scnario
Votre entreprise vient dengager un nouvel ingnieur rseau qui a cr des problmes de scurit au niveau
du rseau du fait derreurs de configuration et domissions. Votre responsable vous demande de corriger les
erreurs commises par le nouvel ingnieur lors de la configuration des routeurs. Lorsque vous corrigez les
erreurs, vrifiez que tous les priphriques sont bien scuriss, et veillez ce que ces priphriques et les
rseaux restent accessibles aux administrateurs. Tous les routeurs doivent tre accessibles via lapplication
SDM depuis PC1. Pour vrifier quun priphrique est scuris, utilisez des outils appropris tels que Telnet
et la commande ping. Toute utilisation non autorise de ces outils devra tre bloque, mais assurez-vous
galement qu'une utilisation autorise de ces outils soit possible. Dans le cadre de cet exercice, nutilisez pas
de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin dempcher tout verrouillage
accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe.

Tche 1 : chargement des routeurs avec les scripts fournis


Chargez les configurations suivantes dans les priphriques de la topologie. Les lignes saffichant en
rouge figurent dans les travaux pratiques destins aux formateurs. Elles ne figurent pas dans les travaux
pratiques destins aux participants et ne sont pas charges au dbut de ces travaux pratiques. Les lignes
supprimer saffichent en jaune. Celles ajouter saffichent en rouge. Utilisez les annotations pour aider
les participants identifier correctement les rponses.
R1 :
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Les noms sensibles la casse


peuvent gnrer des erreurs
courantes de configuration. Dans
ce cas, la police doit figurer en
minuscule.

Page 2 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
no shutdown
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcasts
duplex auto
speed auto
no shutdown
!
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
no shutdown
shutdown
no fair-queue
clockrate 125000
!
interface Serial0/0/1
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Toutes les interfaces non utilises


doivent tre fermes.

La commande no ip directedbroadcast est omise sur toutes les


interfaces. Il est frquent doublier
une commande lorsque vous
entrez plusieurs fois
des commandes similaires.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

no ip directed-broadcast
no shutdown
shutdown
!
interface Serial0/1/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
no shutdown
shutdown
clockrate 2000000
!
interface Serial0/1/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
shutdown
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
ip classless
!
no ip http server
ip http server
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 5 0
logging synchronous
login authentication local_auth
!
end

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Serial 0/0/0 a t dfini sur actif par


erreur alors que la mise jour RIP doit
tre envoye partir de S0/0/1.
Cette commande est gnralement
dsactive pour des raisons de scurit
(la dsactivation se fait automatiquement
si AutoSecure est utilis). Toutefois, ce
scnario ncessite lapplication SDM, qui
elle-mme ncessite un serveur HTTP
pour tre active.

Bien que la consignation soit active et


la destination dfinie, le type de journaux
envoyer au serveur doit tre configur.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

R2 :
La commande show run permettra de
no service pad
dtecter que cela nest pas activ, car tous
service timestamps debug datetime msec
les mots de passe lexception du mot de
service timestamps log datetime msec
passe enable secret figureront en texte clair.
service password-encryption
!
hostname R2
!
security authentication failure rate 10 log
security passwords min-length 6
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no ip source-route
no ip gratuitous-arps
ip cef
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
Il est frquent doublier de crer une chane de
key-string cisco
cls utiliser dans une authentification RIP,
!
mme aprs avoir configur les interfaces.
username ccna password ciscoccna
!
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
duplex auto
speed auto
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

no shutdown
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
shutdown
no fair-queue
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
no shutdown
!
interface Serial0/1/0
ip address 209.165.200.224 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
no shutdown
!
interface Serial0/1/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
shutdown
clockrate 2000000
!
Les interfaces RIP doivent tre dfinies
router rip
sur passive, sauf indication contraire.
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
Cette commande gnralement dsactive
network 192.168.20.0
pour des raisons de scurit (elle est
no auto-summary
automatiquement dsactive si auto secure
!
est utilis). Toutefois, ce scnario ncessaire
ip classless
lapplication SDM, qui elle-mme ncessite le
!
serveur HTTP pour tre active.
no ip http server
ip http server
!
logging trap debugging
CDP doit tre dsactiv si possible.
logging 192.168.10.150
no cdp run
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 0 0
exec-timeout 5 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Le dlai dattente a t modifi par infini,


permettant des connexions indfinies.

R3 :
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
!
no ip bootp server
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

Autre erreur de casse. Les chanes de cls sont


sensibles la casse. Elles sont donc susceptibles
key chain RIP_KEY
dtre mal orthographies.
key 1
key-string Cisco
key-string cisco
username ccna password ciscoccna
!
Lauthentification locale est
interface FastEthernet0/0
configure, mais un nom dutilisateur
no ip address
et un mot de passe locaux ont t
no ip redirects
oublis, de sorte quaucune
no ip proxy-arp
authentification nest possible.
no ip directed-broadcast
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
no shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
Lauthentification RIP a t configur
clockrate 125000
sur R1 et R2, mais pas sur R3, ce
!
qui empche la propagation de la
interface Serial0/0/1
mise jour de RIP.
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
Configurations manquantes pour
!
lauthentification de RIP.
router rip
version 2
passive-interface default
passive-interface Serial0/0/0
passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
ip classless
!
no ip http server
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

Tche 2 : dtection et correction de toutes les erreurs rseau


En utilisant les mthodes de dpannage standard, recherchez, documentez et corrigez les erreurs.
Remarque : lorsque vous dpannez un rseau de production dfaillant, sachez que de petites erreurs
peuvent tre lorigine de dysfonctionnements. Vrifiez en premier lieu lorthographe et la casse des
mots de passe, des cls et des noms de chanes de cls, ainsi que des noms de listes dauthentification.
Les dfaillances sont souvent dues au non-respect dune casse ou un terme mal orthographi. La
mthode recommande consiste commencer par les tapes de base avant de procder aux tapes
suivantes. Vrifiez dabord si les noms et les cls correspondent. Ensuite, si la configuration utilise une
liste ou une chane de cls, vrifiez si llment rfrenc existe rellement et sil est le mme sur tous
les priphriques. Pour garantir que la configuration est exactement la mme, il est recommand
deffectuer cette configuration une premire fois sur un priphrique, puis de la copier et de la coller
dans lautre priphrique. En outre, lorsque vous envisagez de dsactiver ou de limiter des services,
dterminez quoi servent ces services et s'ils sont ncessaires. Dterminez galement les informations
que le routeur doit envoyer, ainsi que les personnes qui doivent les recevoir et celles qui ne doivent pas
les recevoir. Enfin, dfinissez les oprations que les utilisateurs peuvent effectuer grce ces services,
et si vous souhaitez les autoriser effectuer ces oprations. En rgle gnrale, vous devez prendre les
mesures ncessaires afin dviter tout abus dun service.

Tche 3 : documentation du rseau corrig


-----------------------------------------R1
-----------------------------------------no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

!
hostname R1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 5 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
no ip finger
ip cef
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
!
!
interface Serial0/0/0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
clockrate 125000
!
interface Serial0/0/1
ip address 10.1.1.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no fair-queue
clockrate 125000
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.10.0
no auto-summary
!
ip classless
!
no ip http server
!
login block-for 300 attempt 2 within 120
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
------------------------------------------Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

R2
-----------------------------------------no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R2
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
no ip finger
ip cef
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password ciscoccna
!
interface FastEthernet0/0
no ip address
no ip address
no ip redirects
no ip unreachables
no ip proxy-arpshutdown
duplex auto
speed auto
shutdown
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
no shutdown
!
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no fair-queue
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
no shutdown
!
interface Serial0/1/0
ip address 209.165.200.224 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Serial0/1/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
clockrate 2000000
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
no auto-summary
!
ip classless
!
no ip http server
!
login block-for 300 attempt 2 within 120
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!----------------------------------------no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service finger
no service udp-small-server
no service tcp-small-server
!
hostname R3
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 5 log
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

no ip source-route
no ip gratuitous-arps
no ip finger
ip cef
!
no ip dhcp use vrf connected
!
no ip bootp server
!
key chain RIP_KEY
key 1
key-string 7 01100F175804
username ccna password 7 094F471A1A0A1411050D
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
duplex auto
speed auto
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
clockrate 125000
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.30.0
no auto-summary
!
ip classless
!
no ip http server
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 16

CCNA Exploration
Accs au rseau tendu : scurit dun rseau dentreprise

Travaux pratiques 4.6.3 : dpannage de la configuration de scurit

!
login block-for 300 attempt 2 within 120
!
logging trap debugging
logging 192.168.10.150
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
transport output telnet
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC htes
habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 16

Travaux pratiques 5.5.1 : listes de contrle daccs de base


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1

R2

R3
Comm1

Interface

Adresse IP

Masque de
sous-rseau

Fa0/0

192.168.10.1

255.255.255.0

Fa0/1

192.168.11.1

255.255.255.0

S0/0/0

10.1.1.1

255.255.255.252

Fa0/1

192.168.20.1

255.255.255.0

S0/0/0

10.1.1.2

255.255.255.252

S0/0/1

10.2.2.1

255.255.255.252

Lo0

209.165.200.225

255.255.255.224

Fa0/1

192.168.30.1

255.255.255.0

S0/0/1

10.2.2.2

255.255.255.252

Vlan1

192.168.10.2

255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle
par dfaut

192.168.10.1

Page 1 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Comm2

Vlan1

192.168.11.2

255.255.255.0

192.168.11.1

Comm3

Vlan1

192.168.30.2

255.255.255.0

192.168.30.1

PC1

Carte rseau

192.168.10.10

255.255.255.0

192.168.10.1

PC2

Carte rseau

192.168.11.10

255.255.255.0

192.168.11.1

PC3

Carte rseau

192.168.30.10

255.255.255.0

192.168.30.1

Serveur Web

Carte rseau

192.168.20.254

255.255.255.0

192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Concevoir des listes de contrle daccs nommes standard et tendues

Appliquer des listes de contrle daccs nommes standard et tendues

Tester des listes de contrle daccs nommes standard et tendues

Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues

Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer la scurit dun rseau de base
laide des listes de contrle daccs. Vous appliquerez des listes de contrles d'accs standard et
tendues.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose
des interfaces requises, comme illustr sur le diagramme de topologie.
Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. Si vous utilisez
les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront
diffremment. Certaines commandes peuvent tre diffrentes ou ne pas exister sur danciens routeurs
ou des versions du systme IOS antrieures la version 12.4.
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en
respectant les consignes suivantes :

Configurez le nom d'hte du routeur conformment au diagramme de topologie.

Dsactivez la recherche DNS.

Configurez un mot de passe class pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe cisco pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Configurez des adresses IP et des masques sur tous les priphriques.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux.

Configurez une interface en mode boucl sur R2 pour simuler le FAI.

Configurez des adresses IP pour linterface VLAN 1 sur chaque commutateur.

Configurez chaque commutateur avec la passerelle par dfaut approprie.

Vrifiez l'intgralit de la connectivit IP laide de la commande ping.

R1
hostname R1
!
no ip domain-lookup
enable secret class
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
interface fa0/0
ip address 192.168.10.1 255.255.255.0
no shut
!
interface fa0/1
ip address 192.168.11.1 255.255.255.0
no shut
!
interface s0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 125000
no shut
!
router ospf 1
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
R2
hostname R2
!
no ip domain-lookup
enable secret class
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
interface fa0/1
ip address 192.168.20.1 255.255.255.0
no shut
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

interface s0/0/0
ip address 10.1.1.2 255.255.255.252
no shut
!
interface s0/0/1
ip address 10.2.2.1 255.255.255.252
clock rate 64000
no shut
!
interface Lo0
ip address 209.165.200.225 255.255.255.224
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.255.255 area 0
network 209.165.200.224 0.0.0.31 area 0
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login

R3
hostname R3
!
no ip domain-lookup
enable secret class
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
interface fa0/1
ip add 192.168.30.1 255.255.255.0
no shut
!
interface s0/0/1
ip add 10.2.2.2 255.255.255.252
no shut
!
router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 192.168.30.1 0.0.0.255 area 0
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Comm1
interface vlan 1
ip address 192.168.10.2 255.255.255.0
no shut
!
ip default-gateway 192.168.10.1
Comm2
interface vlan 1
ip address 192.168.11.2 255.255.255.0
no shut
!
ip default-gateway 192.168.11.1
Comm3
interface vlan 1
ip add 192.168.30.2 255.255.255.0
no shut
!
ip default-gateway 192.168.30.1

Tche 3 : configuration dune liste de contrle daccs standard


Les listes de contrle daccs standard ne peuvent filtrer le trafic quen fonction de ladresse IP source.
Il est gnralement recommand de configurer une liste de contrle daccs standard aussi proche que
possible de la destination. Dans cette tche, vous allez configurer une liste de contrle daccs standard.
La liste de contrle daccs est conue pour bloquer le trafic provenant du rseau 192.168.11.0/24
correspondant la salle de travaux pratiques des participants, et ce afin de lempcher daccder des
rseaux locaux sur R3.
Cette liste est applique en entre, sur linterface srie de R3. Noubliez pas que chaque liste de contrle
daccs comporte une instruction deny all implicite. Cette dernire bloque tous les trafics qui ne
correspondent aucune instruction de la liste. Cest la raison pour laquelle il est ncessaire d'ajouter
linstruction permit any la fin de la liste.
Avant de configurer et dappliquer cette liste, veillez vrifier la connectivit depuis PC1 (ou linterface
Fa0/1 sur R1) vers PC3 (ou linterface Fa0/1 sur R3). Les tests de connectivit doivent aboutir avant
dappliquer cette liste.
tape 1 : cration de la liste de contrle daccs sur le routeur R3
En mode de configuration globale, crez une liste de contrle daccs standard nomme STND-1.
R3(config)#ip access-list standard STND-1
En mode de configuration de liste de contrle daccs standard, ajoutez une instruction charge de
refuser tous les paquets dont ladresse source est 192.168.11.0/24 et dajouter un message dans
la console pour chaque paquet correspondant.
R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log
Autorisez le reste du trafic.
R3(config-std-nacl)#permit any

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 2 : application de la liste de contrle daccs


Appliquez la liste de contrle daccs STND-1 pour filtrer les paquets entrant dans R3, par le biais
de linterface srie 0/0/1.
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group STND-1 in
R3(config-if)#end
R3#copy run start
tape 3 : test de la liste de contrle daccs
Avant de tester la liste de contrle daccs, assurez-vous que la console de R3 est visible. De cette
manire, vous pouvez visualiser les messages du journal de la liste daccs lorsque le paquet est refus.
Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. La liste
de contrle daccs tant conue pour bloquer le trafic dont ladresse source fait partie du rseau
192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requtes ping vers le PC3.
Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/1 sur R1,
vers linterface Fa0/1 sur R3.
R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.11.1
U.U.U
Success rate is 0 percent (0/5)
Le message suivant doit safficher sur la console de R3 :
*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0
0.0.0.0 -> 192.168.11.1, 1 packet
En mode dexcution privilgi sur R3, lancez la commande show access-lists. Une sortie similaire la
suivante saffiche. Chaque ligne dune liste de contrle daccs possde un compteur associ, qui affiche
le nombre de paquets correspondants la rgle.
Standard IP access list STND-1
10 deny
192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (25 matches)
Lobjectif de cette liste tait de bloquer les htes du rseau 192.168.11.0/24. Tous les autres htes,
notamment ceux du rseau 192.168.10.0/24, doivent tre autoriss accder aux rseaux sur R3.
Effectuez un autre test depuis PC1 vers PC3 pour vrifier que ce trafic nest pas bloqu.
Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/0 sur R1, vers
linterface Fa0/1 sur R3.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms

Tche 4 : configuration dune liste de contrle daccs tendue


Lorsque vous souhaitez bnficier dun contrle plus prcis, vous pouvez utiliser une liste de contrle
daccs tendue. Les listes de contrle daccs tendues peuvent filtrer le trafic en fonction dautres
critres que ladresse source. Ainsi, le filtrage peut tre bas sur le protocole, ladresse IP source,
ladresse IP de destination, le numro de port source et le numro de port de destination.
Une autre stratgie mise en place pour ce rseau indique que les priphriques du rseau local
192.168.10.0/24 ne peuvent accder quaux rseaux internes. Les ordinateurs de ce rseau local ne
sont pas autoriss accder Internet. Par consquent, ces utilisateurs ne doivent pas pouvoir accder
ladresse IP 209.165.200.225. Cette exigence sappliquant la source et la destination, il est
ncessaire dutiliser une liste de contrle daccs tendue.
Cette tche consiste configurer une liste de contrle daccs tendue sur R1, qui sera charge
dempcher le trafic en provenance dun priphrique du rseau 192.168.10.0 /24 daccder lhte
209.165.200.255 (lISP simul). Cette liste de contrle daccs sera applique en sortie de linterface
srie 0/0/0 de R1. Pour appliquer de faon optimale des listes de contrle daccs tendues, il est
conseill de les placer aussi prs que possible de la source.
Avant de commencer, vrifiez que vous pouvez envoyer une requte ping vers 209.165.200.225
depuis le PC1.
tape 1 : configuration dune liste de contrle daccs tendue nomme
En mode de configuration globale, crez une liste de contrle daccs tendue nomme EXTEND-1.
R1(config)#ip access-list extended EXTEND-1
Vous remarquerez que linvite du routeur change pour indiquer que le routeur est prsent en mode
de configuration de liste de contrle daccs tendue. partir de cette invite, ajoutez les instructions
ncessaires pour bloquer le trafic provenant du rseau 192.168.10.0 /24 destination de lhte.
Utilisez le mot cl host lors de la dfinition de la destination.
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
Noubliez pas que linstruction implicite deny all bloque lensemble du trafic si vous najoutez pas
dinstruction permit supplmentaire. Ajoutez linstruction permit pour vous assurer que dautres trafics
ne sont pas bloqus.
R1(config-ext-nacl)#permit ip any any
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 2 : application de la liste de contrle daccs


Dans le cas de listes de contrle daccs standard, la meilleure solution consiste placer la liste aussi
prs que possible de la destination. En revanche, les listes de contrle daccs tendues sont souvent
places prs de la source. La liste EXTEND-1 sera place sur linterface srie et filtrera le trafic sortant.
R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group EXTEND-1 out log
R1(config-if)#end
R1#copy run start
tape 3 : test de la liste de contrle daccs
partir de PC1, envoyez une requte ping linterface de bouclage du routeur R2. Ces tests doivent
chouer, car lensemble du trafic provenant du rseau 192.168.10.0 /24 est filtr lorsque la destination
est 209.165.200.225. Si la destination correspond une autre adresse, les envois de requtes ping
doivent aboutir. Pour le vrifier, envoyez des requtes ping vers R3 partir dun priphrique du
rseau 192.168.10.0/24.
Remarque : la fonctionnalit de la commande ping tendue sur R1 ne peut pas tre utilise pour tester
cette liste de contrle daccs car le trafic est issu de R1 et nest jamais test sur la liste de contrle
daccs applique linterface srie R1.
Vous pouvez effectuer une vrification approfondie en entrant la commande show ip access-list sur R1
aprs lenvoi de la requte ping.
R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)
20 permit ip any any

Tche 5 : contrle de laccs aux lignes vty par le biais dune liste de contrle daccs
standard
Il est gnralement conseill de restreindre laccs aux lignes vty du routeur pour ladministration distance.
Une liste de contrle daccs peut tre applique aux lignes vty afin de limiter laccs des htes ou des
rseaux spcifiques. Cette tche consiste configurer une liste de contrle daccs standard autorisant les
htes de deux rseaux accder aux lignes vty. Les autres htes se voient refuser laccs.
Vrifiez que vous pouvez tablir un accs Telnet vers R2 partir de R1 et de R3.
tape 1 : configuration de la liste de contrle daccs.
Configurez une liste de contrle daccs standard nomme sur R2 pour autoriser le trafic provenant des
rseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez la liste de contrle daccs
le nom Task-5.
R2(config)#ip access-list standard TASK-5
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255
tape 2 : application de la liste de contrle daccs
Accdez au mode de configuration de ligne pour les lignes vty 0 4.
R2(config)#line vty 0 4
Utilisez la commande access-class pour appliquer la liste de contrle daccs aux lignes vty , dans le sens
entrant. Vous remarquerez que cette commande diffre de la commande utilise pour appliquer des listes
de contrle daccs aux autres interfaces.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

R2(config-line)#access-class TASK-5 in
R2(config-line)#end
R2#copy run start
tape 3 : test de la liste de contrle daccs
tablissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas dadresse IP prsente dans
la plage dadresses rpertorie dans les instructions dautorisation de la liste de contrle daccs TASK-5.
Les tentatives de connexion sont censes chouer.
R1# telnet 10.1.1.2
Trying 10.1.1.2
% Connection refused by remote host
tablissez une connexion Telnet avec R2 depuis R3. Vous tes alors invit entrer le mot de passe des lignes vty.
R3# telnet 10.1.1.2
Trying 10.1.1.2 Open
CUnauthorized access strictly prohibited, violators will be prosecuted
to the full extent of the law.
User Access Verification
Password:
Pourquoi les tentatives de connexion partir dautres rseaux chouent-elles alors que ces rseaux ne
sont pas explicitement rpertoris dans la liste de contrle daccs ?
_________________________________________________________________________________
_________________________________________________________________________________
Toutes les listes de contrle daccs comprennent une instruction deny all implicite comme instruction
finale. Tout trafic non autoris de faon explicite est abandonn.

Tche 6 : dpannage des listes de contrle daccs


Lorsquune liste de contrle daccs est mal configure, applique une interface inadquate ou dans
un sens incorrect, le trafic rseau peut tre affect de manire imprvisible.
tape 1 : suppression dune liste de contrle daccs STND-1 partir de S0/0/1 de R3
Vous avez prcdemment cr et appliqu une liste de contrle daccs standard nomme sur R3.
Utilisez la commande show running-config pour afficher la liste de contrle daccs et sa position. Vous
devriez remarquer quune liste de contrle daccs appele STND-1 a t configure et applique en
entre de linterface srie 0/0/1. Souvenez-vous que cette liste a t conue pour empcher lensemble
du trafic dont ladresse source provient du rseau 192.168.11.0/24 daccder au rseau local de R3.
Pour supprimer la liste de contrle daccs, accdez au mode de configuration dinterface de linterface
srie 0/0/1 de R3. Utilisez la commande no ip access-group STND-1 in pour supprimer la liste de
contrle daccs de linterface.
R3(config)#interface serial 0/0/1
R3(config-if)#no ip access-group STND-1 in
Utilisez la commande show running-config pour vrifier que la liste de contrle daccs a bien t
supprime de linterface srie 0/0/1.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 2 : application de la liste de contrle daccs STND-1 en sortie de linterface S0/0/1


Pour comprendre limportance du sens de filtrage des listes de contrle daccs, appliquez nouveau
la liste STND-1 linterface srie 0/0/1. Cette fois, la liste de contrle daccs filtrera le trafic sortant et
non le trafic entrant. Pensez utiliser le mot cl out lors de lapplication de la liste de contrle daccs.
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group STND-1 out
tape 3 : test de la liste de contrle daccs
Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. Vous
pouvez galement envoyer une requte ping tendue partir de R1. Vous remarquerez que cette fois,
lenvoi de requtes ping aboutit et que les compteurs de la liste de contrle daccs ne sont pas modifis.
Pour le vrifier, entrez la commande show ip access-list sur R3.
tape 4 : restauration de la configuration dorigine de la liste de contrle daccs
Supprimez la liste de contrle daccs applique en sortie et appliquez-la nouveau en entre.
R3(config)#interface serial 0/0/1
R3(config-if)#no ip access-group STND-1 out
R3(config-if)#ip access-group STND-1 in
tape 5 : application de la tche TASK-5 linterface srie Serial 0/0/0 dentre de R2
R2(config)#interface serial 0/0/0
R2(config-if)#ip access-group TASK-5 in
tape 6 : test de la liste de contrle daccs
partir de R1 ou des rseaux qui y sont connects, essayez de communiquer avec un priphrique
connect R2 ou R3. Vous remarquerez que toutes les communications sont bloques, mais que cette
fois les compteurs de liste de contrle daccs ne sont pas incrments. Cela est d la prsence
dune instruction deny all (refuser tout) implicite la fin de chaque liste de contrle daccs. Cette
instruction deny bloque tous les trafics entrants de linterface srie Serial 0/0/0 provenant dune autre
source que R3. Cela a pour principale consquence que les routes provenant de R1 seront supprimes
de la table de routage.
Les messages similaires ce qui suit doivent safficher sur les consoles de R1 et R2. Notez que
la dsactivation de la relation de voisinage du protocole OSPF peut prendre un certain temps.
*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1
on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired
Lorsque vous recevez ce message, excutez la commande show ip route sur R1 et R2 pour afficher
les routes ayant t supprimes de la table de routage.
Supprimez la liste de contrle daccs TASK-5 de linterface, puis enregistrez vos configurations.
R2(config)#interface serial 0/0/0
R2(config-if)#no ip access-group TASK-5 in
R2(config)#exit
R2#copy run start

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 7 : documentation des configurations des routeurs


Configurations
Routeur 1
hostname R1
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
no shutdown
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
ip access-group EXTEND-1 out
clockrate 64000
no shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
ip access-list extended EXTEND-1
deny
ip 192.168.10.0 0.0.0.255 host 209.165.200.225
permit ip any any
!
banner motd ^CUnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
Routeur 2
hostname R2
!
enable secret class
!
no ip domain lookup

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
network 209.165.200.224 0.0.0.31 area 0
!
ip access-list standard TASK-5
permit 10.2.2.0 0.0.0.3
permit 192.168.30.0 0.0.0.255
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class TASK-5 in
password cisco
login
!
Routeur 3
hostname R3
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/1
ip address 192.168.30.1 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
ip access-group STND-1 out
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 13

CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)

Travaux pratiques 5.5.1 : listes de contrle daccs de base

no shutdown
!
router ospf 1
network 10.0.0.0 0.255.255.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
ip access-list standard STND-1
deny
192.168.11.0 0.0.0.255 log
permit any
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
end

Tche 8 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 13

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

Passerelle
par dfaut

Interface

Adresse IP

Masque de sous-rseau

S0/0/0

10.1.0.1

255.255.255.0

Fa0/1

10.1.1.254

255.255.255.0

S0/0/0

10.1.0.2

255.255.255.0

S0/0/1

10.3.0.1

255.255.255.0

Lo 0

10.13.205.1

255.255.0.0

S0/0/1

10.3.0.2

255.255.255.0

Fa0/1

10.3.1.254

255.255.255.0

PC 1

Carte rseau

10.1.1.1

255.255.255.0

10.1.1.254

PC 3

Carte rseau

10.3.1.1

255.255.255.0

10.3.1.254

R1

R2

R3

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Concevoir des listes de contrle daccs nommes standard et tendues

Appliquer des listes de contrle daccs nommes standard et tendues

Tester des listes de contrle daccs nommes standard et tendues

Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose
des interfaces requises, comme illustr sur le diagramme de topologie.
Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent
diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600.
tape 2 : suppression des configurations existantes sur les routeurs

Tche 2 : excution des configurations de base des routeurs


Configurez les routeurs R1, R2 et R3 conformment aux instructions suivantes :

Configurez le nom dhte du routeur.

Dsactivez la recherche DNS.

Configurez un mot de passe pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Configurez les adresses IP sur tous les priphriques.

Crez une interface de bouclage sur R2.

Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux.

Vrifiez l'intgralit de la connectivit IP laide de la commande ping.

R1
hostname R1
no ip domain-lookup
enable secret class
!
interface FastEthernet0/1
ip address 10.1.1.254 255.255.255.0
no shutdown
!
interface serial 0/0/0
ip address 10.1.0.1 255.255.255.0
clock rate 125000
no shutdown
!
router ospf 1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

network 10.1.0.0 0.0.0.255 area


network 10.1.1.0 0.0.0.255 area
!
banner motd ^Unauthorized access
prosecuted to the full extent of
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
!

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

0
0
strictly prohibited, violators will be
the law.^

R2
hostname R2
enable secret class
no ip domain lookup
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
interface Serial0/0/0
ip address 10.1.0.2 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.1 255.255.255.0
clockrate 125000
no shutdown
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R3
hostname R3
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

enable secret class


no ip domain lookup
!
interface FastEthernet0/1
ip address 10.3.1.254 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.2 255.255.255.0
no shutdown
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!

Tche 3 : configuration de listes de contrle daccs standard


Configurez des listes de contrle daccs nommes standard sur les lignes vty de R1 et R3, de sorte que
les htes directement connects leurs sous-rseaux FastEthernet puissent y accder en Telnet.
Refusez et consignez toute autre tentative de connexion. Documentez vos procdures de test.
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
R1
ip access-list standard VTY_LOCAL
permit 10.1.1.0 0.0.0.255
deny any log
!
line vty 0 4
access-class VTY_LOCAL in
!
R3
ip access-list standard VTY_LOCAL
permit 10.3.1.0 0.0.0.255
deny any log
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

line vty 0 4
access-class VTY_LOCAL in
Depuis PC1, R1 et R2, tentez dtablir une connexion Telnet vers R3. Ces tests devraient gnrer
un chec.
Tentative de connexion Telnet avec R1 partir de PC3, R2 et R3. Ces tests devraient gnrer un chec.
Depuis PC1, tentez dtablir une connexion Telnet vers R1. En principe, ce test doit aboutir.
Depuis PC3, tentez dtablir une connexion Telnet vers R3. En principe, ce test doit aboutir.

Tche 4 : configuration de listes de contrle daccs tendues


En utilisant les listes de contrle daccs tendues sur R2, suivez les instructions ci-dessous :

Les salles dans lesquelles les participants effectuent les travaux pratiques utilisent les
rseaux locaux connects R1 et R3. Ladministrateur rseau a remarqu que les participants
samusaient jouer en rseau avec dautres participants distants via le rseau tendu. Assurezvous que la liste de contrle daccs rend impossible laccs au rseau local de R3 via le rseau
local associ R1, et vice versa. Soyez prcis dans vos instructions afin de ne pas affecter tout
nouveau rseau local associ R1 ou R3.

Autorisez tout trafic OSPF.

Autorisez le trafic ICMP vers les interfaces locales de R2.

Tout trafic rseau destination du port TCP 80 doit tre autoris. Tout autre trafic doit tre refus
et consign.

Tout type de trafic non spcifi ci-dessus doit tre refus.

Remarque : vous devrez peut-tre utiliser plusieurs listes daccs pour effectuer cette configuration.
Vrifiez la configuration effectue et documentez les procdures de test.
Pourquoi lordre des instructions concernant les listes daccs savre-t-il important ?
__________________________________________________________________________________
__________________________________________________________________________________
Le traitement des listes daccs seffectue de haut en bas. Lorsquun paquet correspond une ligne,
laction approprie est excute tandis que les actions suivantes sont ignores.
R2
ip access-list extended BLOCK_R1
deny ip 10.1.1.0 0.0.0.255 10.3.1.0 0.0.0.255
permit ospf any any
permit icmp any host 10.1.0.2
permit icmp any host 10.3.0.2
permit icmp any host 10.13.205.1
permit tcp any any eq 80 log
ip access-list extended BLOCK_R3
deny ip 10.3.1.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ospf any any
permit icmp any host 10.1.0.2
permit icmp any host 10.3.0.2
permit icmp any host 10.13.205.1
permit tcp any any eq 80 log

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

interface serial
ip access-group
!
interface serial
ip access-group

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

0/0/0
BLOCK_R1 in
0/0/1
BLOCK_R3 in

Tche 5 : vrification dune liste de contrle daccs


Testez chaque protocole auquel vous dsirez refuser laccs et assurez-vous que le trafic autoris na,
en revanche, aucune difficult daccs. Pour ce faire, vous devez tester des requtes ping, HTTP,
Telnet et OSPF.
tape 1 : test du trafic entre R1 et R3
Envoyez une requte ping de PC1 vers PC3.
Envoyez une requte ping de PC3 vers PC1.
Les deux tests devraient gnrer un chec.
tape 2 : test de laccs au port 80
Pour vrifier le fonctionnement du port 80, activez le serveur HTTP sur R2 :
R2(config)#ip http server
partir de PC1, accdez linterface Serial 0/0/0 du routeur R2 via un navigateur Web. En principe, cette
tentative doit aboutir.
tape 3 : vrification des routes OSPF
Toutes les routes doivent tre prsentes. Vrifiez en excutant la commande show ip route.
tape 4 : test de lenvoi dune requte ping vers R2
Envoyez une requte ping R2 partir de R1 et PC1.
Envoyez une requte ping R2 partir de R3 et PC3.
Les deux tests doivent aboutir.
tape 5 : tests denvoi de requte ping pour vrifier que laccs est refus aux autres types de trafic

Tche 6 : documentation des configurations des routeurs


Configurations
R1
hostname R1
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.1.1.254 255.255.255.0
no shutdown
!
interface Serial0/0/0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

ip address 10.1.0.1 255.255.255.0


clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.0.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.255 area 0
!
ip access-list standard VTY_LOCAL
permit 10.1.1.0 0.0.0.255
deny
any log
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class VTY_LOCAL in
password cisco
login
!
R2
hostname R2
enable secret class
no ip domain lookup
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
interface Serial0/0/0
ip address 10.1.0.2 255.255.255.0
ip access-group BLOCK_R1 in
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.6 255.255.255.0
ip access-group BLOCK_R3 in
clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
ip access-list extended BLOCK_R1
deny ip 10.1.1.0 0.0.0.255 10.3.1.0 0.0.0.255
permit ospf any any

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

permit
permit
permit
permit

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

icmp any host 10.1.0.2


icmp any host 10.3.0.2
icmp any host 10.13.205.1
tcp any any eq 80 log

ip access-list extended BLOCK_R3


deny ip 10.3.1.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ospf any any
permit icmp any host 10.1.0.2
permit icmp any host 10.3.0.2
permit icmp any host 10.13.205.1
permit tcp any any eq 80 log
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R3
hostname R3
!
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.3.1.254 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.5 255.255.255.0
no shutdown
!
router ospf 1
no auto-cost
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
ip access-list standard VTY_LOCAL
permit 10.3.1.0 0.0.0.255
deny any log
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^C
!
line con 0
password cisco
logging synchronous

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 9

Exploration 4
Accs au rseau tendu : listes de contrle daccs

Travaux pratiques 5.5.2 : exercice sur les listes de contrle daccs

login
!
line vty 0 4
access-class VTY_LOCAL in
password cisco
login
!

Tche 7 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 9

Travaux pratiques 5.5.3 : dpannage des listes de contrle daccs


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique
R1

R2

R3

Interface

Adresse IP

Masque de sous-rseau

S0/0/0

10.1.0.1

255.255.255.0

Fa0/1

10.1.1.254

255.255.255.0

S0/0/0

10.1.0.2

255.255.255.0

S0/0/1

10.3.0.5

255.255.255.0

Lo 0

10.13.205.1

255.255.0.0

S0/0/1

10.3.0.6

255.255.255.0

Fa0/1

10.3.1.254

255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle par dfaut

Page 1 sur 7

CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 :


dpannage des listes de contrle daccs

PC 1

Carte rseau

10.1.1.1

255.255.255.0

10.1.1.254

PC 3

Carte rseau

10.3.1.1

255.255.255.0

10.3.1.254

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Charger les routeurs avec les scripts fournis

Dtecter et corriger des erreurs rseau

Documenter le rseau corrig

Scnario
Vous travaillez pour un fournisseur de services rgional dont les clients ont t rcemment exposs
plusieurs violations de scurit. Des mesures de scurit ont t mises en uvre, mais elles nont pas
rpondu aux besoins spcifiques des clients. Votre dpartement a t charg dexaminer la configuration,
deffectuer des tests et dapporter les modifications requises pour scuriser les routeurs des clients.
Assurez-vous que vos configurations finales respectent les stratgies de scurit suivantes :

Les clients R1 et R3 exigent que seuls les PC locaux aient accs aux lignes vty. Consignez
toutes les tentatives daccs aux lignes vty effectues au moyen dautres priphriques.

Lenvoi et la rception de trafic entre les rseaux directement connects R1 et R3 sont interdits.
Tous les autres types de trafics destination et en provenance de R1 et R3 sont autoriss.

Un nombre minimum dinstructions de listes de contrle daccs doit tre utilis et appliqu en entre aux
interfaces srie R2. Le protocole OSPF permet de distribuer les informations de routage. Tous les mots
de passe, lexception du mot de passe enable secret, sont dfinis sur cisco. Le mot de passe enable
secret est dfini sur class.

Tche 1 : chargement des routeurs avec les scripts fournis


[Note au formateur : ces commandes peuvent tre charges dans le routeur par le formateur ou les
participants. Elles ne figurent pas dans la version des travaux pratiques destine aux participants.]
R1
hostname R1
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.1.1.254 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.0.1 255.255.255.0
clock rate 125000
no shutdown
ip access-group VTY-Local out
!
router ospf 1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 7

CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 :


dpannage des listes de contrle daccs

network 10.1.0.0 0.0.0.255 area 0


network 10.1.1.0 0.0.0.255 area 0
!
ip access-list standard VTY-Local
deny
any log
permit 10.1.1.0 0.0.0.255
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login

R2
hostname R2
enable secret class
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
interface Serial0/0/0
ip address 10.1.0.2 255.255.255.0
no shutdown
ip access-group block-R3 in
!
interface Serial0/0/1
ip address 10.3.0.5 255.255.255.0
clock rate 125000
no shutdown
ip access-group block-R1 out
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
ip access-list extended block-R1
deny
ip 10.1.1.0 0.0.0.255 10.3.0.0 0.0.0.255
permit ip any any
!
ip access-list extended block-R3
deny
ip 10.3.0.0 0.0.1.255 10.1.0.0 0.0.1.255
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 7

CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 :


dpannage des listes de contrle daccs

login
!
line vty 0 4
password cisco
login

R3
hostname R3
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.3.1.254 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.6 255.255.255.0
no shutdown
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
ip access-list standard VTY-Local
permit 10.3.11.0 0.0.0.255
deny
any log
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class VTY-Local in
password cisco
login

Tche 2 : recherche et correction des erreurs sur le rseau


Identifiez et corrigez toutes les erreurs de configuration. Documentez les tapes du processus
de dpannage du rseau et notez chaque erreur dtecte.

Tche 3 : documentation du rseau corrig


Une fois que vous avez corrig toutes les erreurs et test la connectivit du rseau, documentez
la configuration finale de chaque priphrique.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 7

CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 :


dpannage des listes de contrle daccs

R1
hostname R1
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.1.1.254 255.255.255.0
!
interface Serial0/0/0
ip address 10.1.0.1 255.255.255.0
clockrate 125000
!
router ospf 1
log-adjacency-changes
network 10.1.0.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.255 area 0
!
ip access-list standard VTY-Local
permit 10.1.1.0 0.0.0.255
deny any log
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class VTY-Local in
password cisco
login
!
R2
hostname R2
enable secret class
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
interface Serial0/0/0
ip address 10.1.0.2 255.255.255.0
ip access-group block-R1 in
!
interface Serial0/0/1
ip address 10.3.0.6 255.255.255.0
clockrate 125000
ip access-group block-R3 in
!
router ospf 1
log-adjacency-changes
network 10.1.0.0 0.0.0.255 area 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 7

CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 :


dpannage des listes de contrle daccs

network 10.3.0.0 0.0.0.255 area 0


network 10.13.0.0 0.0.255.255 area 0
!
ip access-list extended block-R1
deny
ip 10.1.0.0 0.0.1.255 10.3.0.0 0.0.1.255
permit ip any any
!
ip access-list extended block-R3
deny
ip 10.3.0.0 0.0.1.255 10.1.0.0 0.0.1.255
permit ip any any
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
R3
hostname R3
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.3.1.254 255.255.255.0
!
interface Serial0/0/1
ip address 10.3.0.5 255.255.255.0
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
ip access-list standard VTY-Local
permit 10.3.1.0 0.0.0.255
deny any log
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 7

CCNA Exploration
Accs au rseau tendu : listes de contrle d'accs

Travaux pratiques 5.5.3 :


dpannage des listes de contrle daccs

line vty 0 4
access-class VTY-Local in
password cisco
login

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 7

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

Interface

Adresse IP

Masque de sous-rseau

S0/0/0

10.1.1.1

255.255.255.252

Fa0/0

192.168.10.1

255.255.255.0

Fa0/1

192.168.11.1

255.255.255.0

S0/0/0

10.1.1.2

255.255.255.252

S0/0/1

209.165.200.225

255.255.255.252

Fa0/0

192.168.20.254

255.255.255.0

S0/0/1

209.165.200.226

255.255.255.252

R1

R2

FAI

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Prparer le rseau

Effectuer des configurations de routeur de base

Configurer un serveur DHCP Cisco IOS

Configurer le routage statique et le routage par dfaut

Configurer la fonction NAT statique

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

Configurer la fonction NAT dynamique laide dun pool dadresses

Configurer la surcharge de la fonction NAT

Scnario
Au cours de ces travaux pratiques, vous allez configurer les services DHCP et IP NAT. Un routeur joue
le rle de serveur DHCP. Lautre routeur transmet les requtes DHCP au serveur. Vous apprendrez
galement configurer des traductions dadresses de rseau (NAT) statique et dynamique ainsi que la
surcharge de traduction dadresses de rseau. Une fois les configurations termines, vous vrifierez
la connectivit entre les adresses internes et externes.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition quil soit quip des
interfaces indiques dans la topologie.
Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent
diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600. Certaines commandes peuvent tre
diffrentes ou ne pas exister sur les anciens routeurs.
tape 2 : suppression de toutes les configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


Configurez les routeurs R1, R2 et FAI conformment aux instructions suivantes :

Configurez le nom dhte du priphrique.

Dsactivez la recherche DNS.

Configurez un mot de passe de mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions console.

Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty).

Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront
attribuer des adresses IP par le service DHCP.

Activez OSPF en utilisant lID de processus 1 sur R1 et R2. Nannoncez pas le rseau
209.165.200.224/27.

Remarque : au lieu de relier un serveur R2, vous pouvez configurer une interface de bouclage sur R2
de faon utiliser ladresse IP 192.168.20.254/24. De cette faon, il nest pas ncessaire de configurer
linterface Fast Ethernet.
Pour tous les priphriques :
enable
conf t
no ip domain-lookup
enable secret class
banner motd $Authorized Access Only!$
!
line con 0
logging synchronous

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

password cisco
login
!
line vty 0 4
password cisco
login
end
copy run start
R1 :
hostname R1
int fa0/0
ip address 192.168.10.1 255.255.255.0
no shut
int fa0/0
ip address 192.168.11.1 255.255.255.0
no shut
int s0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 125000
!
router ospf 1
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
R2 :
hostname R2
int fa0/0
ip address 192.168.20.1 255.255.255.0
no shut
int s0/0/0
ip address 10.1.1.2 255.255.255.252
no shut
int s0/0/1
ip address 209.165.200.225 255.255.255.252
clock rate 125000
no shut
!optional loopback interface in place of server
!interface loopback 0
!ip address 192.168.20.254 255.255.255.0
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
FAI :
hostname FAI
int s0/0/1
ip address 209.165.200.226 255.255.255.252
no shut
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

Tche 3 : configuration de PC1 et PC2 pour la rception dune adresse IP via le


protocole DHCP
Sur un PC Windows, cliquez sur Dmarrer -> Panneau de configuration -> Connexions rseau ->
Connexion au rseau local. Cliquez avec le bouton droit sur licne Connexion au rseau local et
slectionnez Proprits.

Faites dfiler la page vers le bas et mettez en surbrillance Protocole Internet (TCP/IP). Cliquez sur
le bouton Proprits.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

Vrifiez que le bouton Obtenir une adresse IP automatiquement est slectionn.

Une fois que ces oprations ont t effectues pour les ordinateurs PC1 et PC2, ces derniers peuvent
recevoir une adresse IP transmise par un serveur DHCP.

Tche 4 : configuration dun serveur DHCP Cisco IOS


Le logiciel Cisco IOS prend en charge une configuration de serveur DHCP appele Easy IP. Lobjectif
de ces travaux pratiques est que les priphriques prsents sur les rseaux 192.168.10.0/24 et
192.168.11.0/24 demandent R2 des adresses IP via le protocole DHCP.
tape 1 : exclusion des adresses attribues de manire statique
Le serveur DHCP suppose que toutes les adresses IP dun groupe dadresses DHCP peuvent tre
affectes des clients DHCP. Vous devez spcifier les adresses IP que le serveur DHCP ne peut
affecter aux clients. Il sagit gnralement dadresses statiques rserves linterface des routeurs,
la console de gestion des commutateurs, aux serveurs et aux imprimantes du rseau local. La
commande ip dhcp excluded-address empche le routeur dattribuer les adresses IP prsentes dans
la plage configure. Les commandes suivantes excluent les dix premires adresses IP de chacun des
pools des rseaux locaux connects R1. Ces adresses ne seront pas affectes des clients DHCP.
R2(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10
R2(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.10
tape 2 : configuration du pool
Crez le pool DHCP laide de la commande ip dhcp pool et nommez-le R1Fa0.
R2(config)#ip dhcp pool R1Fa0
Spcifiez le sous-rseau utiliser lors de lattribution des adresses IP. Les pools DHCP sont associs
automatiquement une interface, en fonction de linstruction rseau. Le routeur joue dsormais le rle
de serveur DHCP et distribue les adresses du sous-rseau 192.168.10.0/24, en commenant par
192.168.10.1.
R2(dhcp-config)#network 192.168.10.0 255.255.255.0
Configurez le routeur par dfaut et le serveur de noms de domaine du rseau. Les clients reoivent ces
paramtres via le protocole DHCP, de mme quune adresse IP.
R2(dhcp-config)#dns-server 192.168.11.5
R2(dhcp-config)#default-router 192.168.10.1

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

Remarque : aucun serveur DNS nest disponible ladresse 192.168.11.5. Cette commande est
configure uniquement des fins pdagogiques.
tant donn que les priphriques du rseau 192.168.11.0/24 requirent galement que R2 leur
fournissent des adresses, vous devez crer un pool distinct pour rpondre leurs besoins. Les
commandes utilises sont similaires celles prsentes ci-dessus :
R2(config)#ip dhcp pool R1Fa1
R2(dhcp-config)#network 192.168.11.0 255.255.255.0
R2(dhcp-config)#dns-server 192.168.11.5
R2(dhcp-config)#default-router 192.168.11.1
tape 3 : test du protocole DHCP
Vrifiez si les ordinateurs PC1 et PC2 ont reu automatiquement une adresse IP. Sur chaque PC,
cliquez sur Dmarrer -> Excuter -> cmd -> ipconfig

Quels sont les rsultats du test ? ____________________________________ Aucune adresse IP na


t obtenue automatiquement.
Comment interprter les rsultats ? _________________________________________ Un agent relais
DHCP doit tre configur.
tape 4 : configuration dun agent relais DHCP
Les services rseaux tels que le protocole DHCP fonctionnent via les diffusions de couche 2. Si les
priphriques fournissant ces services se trouvent sur un sous-rseau diffrent de celui des clients, ils
ne peuvent pas recevoir les paquets de diffusion. tant donn que le serveur DHCP et les clients DHCP
ne figurent pas sur le mme sous-rseau, vous devez configurer R1 pour quil transmette les messages
de diffusion DHCP R2, qui correspond au serveur DHCP, laide de la commande de configuration
dinterface ip helper-address.
Notez que la commande ip helper-address doit tre configure sur chaque interface concerne.
R1(config)#interface fa0/0
R1(config-if)#ip helper-address 10.1.1.2
R1(config)#interface fa0/1
R1(config-if)#ip helper-address 10.1.1.2

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

tape 5 : mission et renouvellement des adresses IP sur PC1 et PC2


Selon que les PC ont t utiliss ou non dans dautres travaux pratiques ou que vous les avez connects
ou non Internet, ils ont peut-tre dj reu automatiquement une adresse IP transmise par un autre
serveur DHCP. Vous devez supprimer cette adresse IP laide des commandes ipconfig /release et
ipconfig /renew.

tape 6 : vrification de la configuration DHCP


Il existe plusieurs mthodes de vrification de la configuration du serveur DHCP. Excutez la commande
ipconfig sur les ordinateurs PC1 et PC2 pour vrifier quils ont reu une adresse IP de faon dynamique.
Vous pouvez ensuite entrer des commandes sur le routeur pour obtenir des informations supplmentaires.
La commande show ip dhcp binding renvoie des informations sur les adresses DHCP actuellement
attribues. Ainsi, les informations suivantes, renvoyes par la commande, indiquent que ladresse IP
192.168.10.11 a t associe ladresse MAC 3031.632e.3537.6563. Le bail IP expire le 14 septembre
2007 19:33:00.
R1#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address
Client-ID/
Lease expiration
Hardware address/
User name
192.168.10.11
0063.6973.636f.2d30. Sep 14 2007 07:33 PM
3031.632e.3537.6563.
2e30.3634.302d.566c.
31

Type
Automatic

La commande show ip dhcp pool affiche des informations concernant tous les pools DHCP
actuellement configurs sur le routeur. Dans le rsultat ci-aprs, le pool R1Fa0 est configur sur R1.
Lune des adresses a t loue partir de ce pool. Le prochain client mettant une demande dadresse
recevra ladresse 192.168.10.12.
R2#show ip dhcp pool
Pool R1Fa0 :
Utilization mark (high/low)
: 100 / 0
Subnet size (first/next)
: 0 / 0
Total addresses
: 254
Leased addresses
: 1
Pending event
: none
1 subnet is currently in the pool :
Current index
IP address range
192.168.10.12
192.168.10.1
- 192.168.10.254

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Leased addresses
1

Page 7 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

La commande debug ip dhcp server events peut savrer extrmement utile pour rsoudre les
problmes lis aux baux DHCP avec un serveur DHCP Cisco IOS. Les informations de dbogage
affiches sur R1 suite la connexion dun hte sont les suivantes. La partie en surbrillance indique que
ladresse 192.168.10.12 et le masque 255.255.255.0 sont attribus au client par le protocole DHCP.
*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER:
*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000
*Sep 13 21:04:18.072: DHCPD: circuit id 00000000
*Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool
class:
*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000
*Sep 13 21:04:18.072: DHCPD: circuit id 00000000
*Sep 13 21:04:18.072: DHCPD: there is no address pool for 192.168.11.1.
*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER:
R1#
*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000
*Sep 13 21:04:18.072: DHCPD: circuit id 00000000
*Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool
class:
*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000
*Sep 13 21:04:18.072: DHCPD: circuit id 00000000
R1#
*Sep 13 21:04:20.072: DHCPD: Ajout de liaisons larbre de base
(192.168.10.12)
*Sep 13 21:04:20.072: DHCPD: Ajout de liaisons larbre de base
*Sep 13 21:04:20.072: DHCPD: assigned IP address 192.168.10.12 to client
0063.6973.636f.2d30.3031.632e.3537.6563.2e30.3634.302d.566c.31.
*Sep 13 21:04:20.072: DHCPD: Sending notification of ASSIGNMENT:
*Sep 13 21:04:20.072: DHCPD: address 192.168.10.12 mask 255.255.255.0
*Sep 13 21:04:20.072: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:20.072: DHCPD: lease time remaining (secs) = 86400
*Sep 13 21:04:20.076: DHCPD: Sending notification of ASSIGNMENT:
*Sep 13 21:04:20.076: DHCPD: address 192.168.10.12 mask 255.255.255.0
R1#
*Sep 13 21:04:20.076: DHCPD: htype 1 chaddr 001c.57ec.0640
*Sep 13 21:04:20.076: DHCPD: lease time remaining (secs) = 86400

Tche 5 : configuration du routage statique et du routage par dfaut


FAI fait appel au routage statique pour acccder aux rseaux situs au-del de R2. Cependant, avant
denvoyer le trafic vers FAI, R2 traduit les adresses prives en adresses publiques. Par consquent,
il est ncessaire de configurer sur FAI les adresses publiques impliques dans la configuration de
la traduction dadresses de rseau de R2. Indiquez la route statique suivante sur FAI :
FAI(config)#ip route 209.165.200.240 255.255.255.240 serial 0/0/1
Cette route statique comprend toutes les adresses usage publique attribues R2.
Configurez une route par dfaut sur R2 et propagez-la dans OSPF.
R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.200.226
R2(config)#router ospf 1
R2(config-router)#default-information originate

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

Attendez que R1 apprenne la route par dfaut transmise par R2, puis consultez la table de routage de
R1. Vous pouvez galement supprimer le contenu de la table de routage laide de la commande clear
ip route *. Une route par dfaut pointant vers R2 doit figurer dans la table de routage de R1. partir de
R1, envoyez une requte ping vers linterface srie 0/0/1 de FAI (209 165 200 226). En principe, cette
requte ping doit aboutir. Envisagez un dpannage en cas dchec.

Tche 6 : configuration de la traduction dadresses de rseau (NAT) statique


tape 1 : mappage statique dune adresse IP publique une adresse IP prive
Les htes externes situs derrire FAI peuvent accder au serveur interne connect R2. Dsignez de
manire statique ladresse IP publique 209.165.200.254 comme adresse utiliser lors de la traduction
dadresses de rseau pour associer les paquets ladresse IP prive du serveur interne, ladresse
192.168.20.254.
R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254
tape 2 : dsignation des interfaces de traduction dadresses de rseau internes et externes
Pour que la traduction dadresses de rseau puisse fonctionner, vous devez dsigner les interfaces
internes et les interfaces externes.
R2(config)#interface serial 0/0/1
R2(config-if)#ip nat outside
R2(config-if)#interface fa0/0
R2(config-if)#ip nat inside
Remarque : si vous utilisez un serveur interne simul, affectez la commande ip nat inside linterface
de bouclage.
tape 3 : vrification de la configuration de la traduction dadresses de rseau statique
partir dFAI, envoyez une requte ping vers ladresse IP publique 209.165.200.254.

Tche 7 : configuration dun pool dadresses pour la traduction dadresses de rseau


dynamique
Tandis que la fonction NAT statique fournit un mappage permanent entre une adresse interne et une
adresse publique spcifique, la fonction NAT dynamique mappe des adresses IP prives avec des
adresses publiques. Ces adresses IP publiques proviennent dun pool NAT (pool de traduction
dadresses de rseau).
tape 1 : dfinition dun pool dadresses globales
Crez un pool dadresses utiliser pour la traduction des adresses source correspondantes. La commande
suivante cre un pool appel MY-NAT-POOL, qui convertit les adresses correspondantes en une adresse
IP disponible dans la plage 209.165.200.241 - -209 165 200 246.
R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask
255.255.255.248
tape 2 : cration dune liste de contrle daccs tendue permettant didentifier les adresses
internes traduites
R2(config)#ip access-list extended NAT
R2(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
R2(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

tape 3 : tablissement dune traduction de source dynamique par association du pool la liste
de contrle daccs
Un routeur peut disposer de plusieurs pools de traduction dadresses de rseau et de plusieurs listes de
contrle daccs. La commande suivante indique au routeur le pool dadresses qui doit tre utilis pour
convertir les htes autoriss par la liste de contrle daccs.
R2(config)#ip nat inside source list NAT pool MY-NAT-POOL
tape 4 : dsignation des interfaces de traduction dadresses de rseau internes et externes
Vous avez dj dsign les interfaces internes et externes de votre configuration de traduction dadresses
de rseau statique. Ajoutez maintenant linterface srie connecte R1 comme interface interne.
R2(config)#interface serial 0/0/0
R2(config-if)#ip nat inside
tape 5 : vrification de la configuration
Envoyez une requte ping au routeur FAI partir de PC1 ou de linterface Fast Ethernet de R1, en
utilisant une commande ping tendue. Vrifiez ensuite la fonction NAT en excutant les commandes
show ip nat translations et show ip nat statistics sur R2.
R2#show ip nat translations
Pro Inside global
Inside local
icmp 209.165.200.241:4 192.168.10.1:4
--- 209.165.200.241
192.168.10.1
--- 209.165.200.254
192.168.20.254

Outside local
209.165.200.226:4
-----

Outside global
209.165.200.226:4
-----

R2#show ip nat statistics


Total active translations: 2 (1 static, 1 dynamic; 0 extended)
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/0/0, Loopback0
Hits: 23 Misses: 3
CEF Translated packets: 18, CEF Punted packets: 0
Expired translations: 3
Dynamic mappings:
-- Inside Source
[Id: 1] access-list NAT pool MY-NAT-POOL refcount 1
pool MY-NAT-POOL: netmask 255.255.255.248
start 209.165.200.241 end 209.165.200.246
type generic, total addresses 6, allocated 1 (16%), misses 0
Queued Packets: 0
Pour rsoudre les problmes relatifs la fonction NAT, vous pouvez utiliser la commande debug ip nat.
Activez la commande de dbogage de la fonction NAT et rexcutez la commande ping partir de PC1.
R2#debug ip nat
IP NAT debugging is on
R2#
*Sep 13 21:15:02.215: NAT*:
*Sep 13 21:15:02.231: NAT*:
*Sep 13 21:15:02.247: NAT*:
*Sep 13 21:15:02.263: NAT*:
*Sep 13 21:15:02.275: NAT*:
*Sep 13 21:15:02.291: NAT*:
*Sep 13 21:15:02.307: NAT*:

s=192.168.10.11->209.165.200.241, d=209.165.200.226
s=209.165.200.226, d=209.165.200.241->192.168.10.11
s=192.168.10.11->209.165.200.241, d=209.165.200.226
s=209.165.200.226, d=209.165.200.241->192.168.10.11
s=192.168.10.11->209.165.200.241, d=209.165.200.226
s=209.165.200.226, d=209.165.200.241->192.168.10.11
s=192.168.10.11->209.165.200.241, d=209.165.200.226

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 15

[25]
[25]
[26]
[26]
[27]
[27]
[28]

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

*Sep 13 21:15:02.323: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [28]


*Sep 13 21:15:02.335: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [29]
*Sep 13 21:15:02.351: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [29]
R2#

Tche 8 : configuration de la surcharge de la fonction NAT


Dans lexemple prcdent, que se passerait-il si vous deviez utiliser un nombre dadresses IP publiques
suprieur aux six adresses autorises dans le pool ?
__________________________________________________________________________________
Le septime utilisateur et les utilisateurs suivants ne pourraient pas accder aux emplacements situs
au-del du routeur R2.
Grce au suivi des numros de port, la fonction de surcharge de traduction dadresses de rseau permet
plusieurs utilisateurs internes de rutiliser une adresse IP publique.
Dans le cadre de cette tche, vous supprimerez le pool et linstruction de mappage configurs au cours
de la tche prcdente. Vous configurerez ensuite la surcharge de traduction dadresses de rseau sur
R2, de manire ce que toutes les adresses IP internes soient traduites en une adresse associe
linterface S0/0/1 de R2 lors de la connexion un priphrique externe.
tape 1 : suppression du pool de traduction dadresses de rseau et de linstruction de mappage
Utilisez les commandes suivantes pour supprimer le pool de traduction dadresses de rseau et
lassociation la liste de contrle daccs.
R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL
R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask
255.255.255.248
Si vous recevez le message suivant, effacez vos traductions dadresses de rseau.
%Pool MY-NAT-POOL in use, cannot destroy
R2#clear ip nat translation *
tape 2 : configuration de la traduction dadresses de port sur R2 laide de ladresse IP publique
de linterface srie 0/0/1
La configuration est similaire une traduction dadresses de rseau dynamique, mais au lieu dun pool
dadresses, cest le mot cl interface qui est utilis pour identifier ladresse IP externe. Par consquent,
aucun pool de traduction dadresses de rseau nest dfini. Le mot cl overload permet dajouter le
numro de port la traduction.
Comme vous avez dj configur une liste de contrle daccs pour identifier les adresses IP internes
traduire ainsi que les interfaces internes et externes, il ne vous reste plus qu configurer la commande
suivante :
R2(config)#ip nat inside source list NAT interface S0/0/1 overload
tape 3 : vrification de la configuration
Envoyez une requte ping au routeur FAI partir de PC1 ou de linterface Fast Ethernet de R1, en
utilisant une commande ping tendue. Vrifiez ensuite la fonction NAT en excutant les commandes
show ip nat translations et show ip nat statistics sur R2.
R2#show ip nat translations
Pro Inside global
Inside local
icmp 209.165.200.225:6 192.168.10.11:6
--- 209.165.200.254
192.168.20.254

Outside local
209.165.200.226:6
---

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Outside global
209.165.200.226:6
---

Page 11 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

R2#show ip nat statistics


Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
Serial0/0/1
Inside interfaces:
Serial0/0/0, Loopback0
Hits: 48 Misses: 6
CEF Translated packets: 46, CEF Punted packets: 0
Expired translations: 5
Dynamic mappings:
-- Inside Source
[Id: 2] access-list NAT interface Serial0/0/1 refcount 1
Queued Packets: 0
Remarque : au cours de la tche prcdente, vous auriez pu ajouter le mot cl overload la commande
ip nat inside source list NAT pool MY-NAT-POOL pour autoriser plus de six utilisateurs simultans.

Tche 9 : consignation des informations relatives au rseau


Excutez la commande show run sur chaque routeur et capturez les configurations.
R1#show run
<rsultat omis>
!
hostname R1
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip helper-address 10.1.1.2
no shutdown
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
ip helper-address 10.1.1.2
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 125000
!
interface Serial0/0/1
no ip address
shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
!
banner motd ^C
***********************************
!!!AUTHORIZED ACCESS ONLY!!!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

***********************************
^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
password cisco
logging synchronous
login
line vty 0 4
exec-timeout 0 0
password cisco
logging synchronous
login
!
end
R2#show run
!
hostname R2
!
!
enable secret class
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
ip dhcp excluded-address 192.168.11.1 192.168.11.10
!
ip dhcp pool R1Fa0
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.11.5
!
ip dhcp pool R1Fa1
network 192.168.11.0 255.255.255.0
dns-server 192.168.11.5
default-router 192.168.11.1
!
no ip domain lookup
!
interface Loopback0
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
ip nat inside
ip virtual-reassembly
!
interface Serial0/0/1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

ip address 209.165.200.225 255.255.255.252


ip nat outside
ip virtual-reassembly
clock rate 125000
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
default-information originate
!
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
!
no ip http server
no ip http secure-server
ip nat inside source list NAT interface Serial0/0/1 overload
ip nat inside source static 192.168.20.254 209.165.200.254
!
ip access-list extended NAT
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any
!
!
banner motd ^C
***********************************
!!!AUTHORIZED ACCESS ONLY!!!
***********************************
^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
password cisco
logging synchronous
login
line vty 0 4
exec-timeout 0 0
password cisco
logging synchronous
login
!
end

FAI#show run
<rsultat omis>
!
hostname FAI
!
enable secret class
!
no ip domain lookup

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 15

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.1 :


configuration de base de DHCP et NAT

!
interface Serial0/0/1
ip address 209.165.200.226 255.255.255.252
no shutdown
!
!
!
ip route 209.165.200.240 255.255.255.240 Serial0/0/1
!
banner motd ^C
***********************************
!!!AUTHORIZED ACCESS ONLY!!!
***********************************
^C
!
line con 0
exec-timeout 0 0
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end

Tche 10 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 15

Travaux pratiques 7.4.2 : configuration avance de DHCP et NAT


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

FAI

Interface

Adresse IP

Masque de sous-rseau

S0/0/0

172.16.0.1

255.255.255.252

Fa0/0

172.16.10.1

255.255.255.0

Fa0/1

172.16.11.1

255.255.255.0

S0/0/0

172.16.0.2

255.255.255.252

S0/0/1

209.165.201.1

255.255.255.252

Fa0/0

172.16.20.1

255.255.255.0

S0/0/1

209.165.201.2

255.255.255.252

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Prparer le rseau

Effectuer des configurations de routeur de base

Configurer un serveur DHCP Cisco IOS

Configurer le routage statique et le routage par dfaut

Configurer la fonction NAT statique

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

Configurer la fonction NAT dynamique laide dun pool dadresses

Configurer la surcharge de la fonction NAT

Scnario
Dans le cadre de cet exercice, vous apprendrez configurer les services dadressage IP sur le rseau
reprsent dans le diagramme de topologie. Si vous avez besoin daide, reportez-vous aux travaux
pratiques consacrs la configuration des paramtres de base des services DHCP et NAT. Essayez
cependant de travailler en parfaite autonomie.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur durant les travaux pratiques, condition qu'il soit quip des
interfaces indiques dans la topologie.
Remarque : il est possible que les sorties du routeur ainsi que les descriptions dinterface paraissent
diffrentes si vous utilisez un routeur de type 1700, 2500 ou 2600.
tape 2 : suppression de toutes les configurations existantes sur les routeurs

Tche 2 : excution des configurations de routeur de base


Configurez les routeurs R1, R2 et FAI conformment aux instructions suivantes :

Configurez le nom dhte du priphrique.

Dsactivez la recherche DNS.

Configurez un mot de passe de mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe pour les connexions console.

Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty).

Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront
attribuer des adresses IP par le service DHCP.

Activez OSPF en utilisant lID de processus 1 sur R1 et R2. Nannoncez pas le rseau
209.165.200.224/27.

Remarque : Au lieu de relier un serveur R2, vous pouvez configurer une interface de bouclage sur R2
de faon utiliser ladresse IP 192.168.20.254/24. De cette faon, il nest pas ncessaire de configurer
linterface Fast Ethernet.
Pour tous les priphriques :
enable
conf t
no ip domain-lookup
enable secret class
banner motd $Authorized Access Only!$
!
line con 0
logging synchronous
password cisco
login
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

line vty 0 4
password cisco
login
end
copy run start
R1 :
hostname R1
int fa0/0
ip address 172.16.10.1 255.255.255.0
no shut
int fa0/1
ip address 172.16.11.1 255.255.255.0
no shut
int s0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shut
!
router rip
version 2
network 172.16.0.0
no auto-summary
R2 :
hostname R2
int fa0/0
ip address 172.16.20.1 255.255.255.0
no shut
int s0/0/0
ip address 172.16.0.2 255.255.255.252
no shut
int s0/0/1
ip address 209.165.201.1 255.255.255.252
clock rate 125000
no shut
!
router rip
version 2
network 172.16.0.0
no auto-summary
FAI :
hostname FAI
int s0/0/1
ip address 209.165.201.2 255.255.255.252
no shut
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

Tche 3 : configuration dun serveur DHCP Cisco IOS


Configurez le routeur R2 en tant que serveur DHCP pour les deux rseaux locaux (LAN) du routeur R1.
tape 1 : exclusion des adresses attribues de manire statique
Excluez les trois premires adresses de chaque pool.
R2(config)#ip dhcp excluded-address 172.16.10.1 172.16.10.3
R2(config)#ip dhcp excluded-address 172.16.11.1 172.16.11.3
tape 2 : configuration du pool DHCP
Crez deux pools DHCP. Attribuez au premier pool le nom R1_LAN10 pour le rseau 172.16.10.0/24
et attribuez au deuxime pool le nom R1_LAN11 pour le rseau 172.16.11.0/24.
Pour chaque pool, configurez une passerelle par dfaut et un serveur DNS simul, ladresse
172.16.20.254.
R2(config)#ip dhcp pool R1_LAN10
R2(dhcp-config)#network 172.16.10.0 255.255.255.0
R2(dhcp-config)#default-router 172.16.10.1
R2(dhcp-config)#dns-server 172.16.20.254
R2(dhcp-config)#ip dhcp pool R1_LAN11
R2(dhcp-config)#network 172.16.11.0 255.255.255.0
R2(dhcp-config)#default-router 172.16.11.1
R2(dhcp-config)#dns-server 172.16.20.254
tape 3 : configuration de lagent relais DHCP
Configurez des commandes helper-address de sorte que les broadcasts envoys par un client soient
achemins vers le serveur DHCP.
R1(config)#interface fa0/0
R1(config-if)#ip helper-address 172.16.0.2
R1(config-if)#interface fa0/1
R1(config-if)#ip helper-address 172.16.0.2
tape 4 : vrification de la configuration DHCP

Tche 4 : configuration du routage statique et du routage par dfaut


Sur FAI, configurez une route statique pour le rseau 209.165.201.0/27. Utilisez largument exit interface.
FAI(config)#ip route 209.165.201.0 255.255.255.224 serial 0/0/1
Configurez une route par dfaut sur R2 et propagez-la dans OSPF. Utilisez ladresse IP du tronon
suivant comme argument.
R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.201.2
R2(config)#router rip
R2(config-router)#default-information originate

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

Tche 5 : configuration de la traduction dadresses de rseau (NAT) statique


tape 1 : mappage statique dune adresse IP publique une adresse IP prive
Associez de manire statique ladresse IP du serveur interne ladresse publique 209.165.201.30.
R2(config)#ip nat inside source static 172.16.20.254 209.165.201.30
tape 2 : dsignation des interfaces de traduction dadresses de rseau internes et externes
R2(config)#interface serial 0/0/1
R2(config-if)#ip nat outside
R2(config-if)#interface fa0/0
R2(config-if)#ip nat inside
tape 3 : vrification de la configuration de la traduction dadresses de rseau statique

Tche 6 : configuration dun pool dadresses pour la traduction dadresses de rseau


dynamique
tape 1 : dfinition dun pool dadresses globales
Crez un pool appel NAT_POOL pour les adresses IP 209.165.201.9 209.165.201.14 en utilisant
le masque de sous-rseau /29.
R2(config)#ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask
255.255.255.248
tape 2 : cration dune liste de contrle daccs standard permettant didentifier les adresses
internes traduites
Utilisez le nom NAT_ACL et autorisez tous les htes relis aux deux rseaux locaux sur R1.
R2(config)#ip access-list standard NAT_ACL
R2(config-std-nacl)#permit 172.16.10.0 0.0.0.255
R2(config-std-nacl)#permit 172.16.10.0 0.0.0.255
tape 3 : activation de la source de traduction dynamique
Associez le pool de traduction dadresses de rseau la liste de contrle daccs et autorisez
la surcharge de traduction dadresses de rseau.
R2(config)#ip nat inside source list NAT_ACL pool NAT_POOL overload
tape 4 : dsignation des interfaces de traduction dadresses de rseau internes et externes
Vrifiez si les interfaces de traduction dadresses de rseau internes et externes sont correctement
dfinies.
R2(config)#interface serial 0/0/0
R2(config-if)#ip nat inside
tape 5 : vrification de la configuration

Tche 7 : consignation des informations relatives au rseau


Excutez la commande show run sur chaque routeur et capturez les configurations.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

Tche 8 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).
Scripts finaux
!-------------!R1
!-------------hostname R1
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 172.16.10.1 255.255.255.0
ip helper-address 172.16.0.2
no shutdown
!
interface FastEthernet0/1
ip address 172.16.11.1 255.255.255.0
ip helper-address 172.16.0.2
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shutdown
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
banner motd $
***********************************
!!!AUTHORIZED ACCESS ONLY!!!
***********************************
$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
!-------------!R2
!--------------

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

hostname R2
!
enable secret class
!
ip dhcp excluded-address 172.16.10.1 172.16.10.3
ip dhcp excluded-address 172.16.11.1 172.16.11.3
!
ip dhcp pool R1_LAN10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 172.16.20.254
!
ip dhcp pool R1_LAN11
network 172.16.11.0 255.255.255.0
default-router 172.16.11.1
dns-server 172.16.20.254
!
no ip domain lookup
!
interface Loopback0
ip address 172.16.20.254 255.255.255.0
ip nat inside
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
ip nat inside
no shutdown
!
interface Serial0/0/1
ip address 209.165.201.1 255.255.255.252
ip nat outside
clock rate 125000
no shutdown
!
router rip
version 2
network 172.16.0.0
default-information originate
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.201.2
!
ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
ip nat inside source list NAT_ACL pool NAT_POOL overload
ip nat inside source static 172.16.20.254 209.165.201.30
!
ip access-list standard NAT_ACL
permit 172.16.10.0 0.0.0.255
permit 172.16.11.0 0.0.0.255
!
banner motd $
***********************************
!!!AUTHORIZED ACCESS ONLY!!!
***********************************
$
!
line con 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 8

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.2 :


configuration avance de DHCP et NAT

password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
!-------------!FAI
!-------------hostname FAI
!
enable secret class
!
interface Serial0/0/1
ip address 209.165.201.2 255.255.255.252
no shutdown
!
ip route 209.165.201.0 255.255.255.224 Serial0/0/1
!
banner motd $
***********************************
!!!AUTHORIZED ACCESS ONLY!!!
***********************************
$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 8

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

Interface

Adresse IP

Masque de sous-rseau

S0/0/0

172.16.0.1

255.255.255.252

Fa0/0

172.16.10.1

255.255.255.0

Fa0/1

172.16.11.1

255.255.255.0

S0/0/0

172.16.0.2

255.255.255.252

S0/0/1

209.165.201.1

255.255.255.252

Fa0/0

172.16.20.1

255.255.255.0

S0/0/1

209.165.201.2

255.255.255.252

R1

R2

FAI

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Prparer le rseau

Charger les routeurs avec les scripts fournis

Dtecter et corriger des erreurs rseau

Documenter le rseau corrig

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 1 sur 7

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

Scnario
Les routeurs R1 et R2 de votre socit ont t configurs par un ingnieur rseau peu expriment.
La prsence de plusieurs erreurs dans la configuration a provoqu des problmes de connectivit. Votre
responsable vous demande de dtecter les erreurs de configuration et de les corriger, puis de dcrire
le travail ralis. En utilisant vos connaissances en matire de services DHCP et NAT, ainsi que des
mthodes de vrification standard, dtectez les erreurs et corrigez-les. Vrifiez que tous les clients
disposent dune connectivit complte. Le FAI a t correctement configur.
Assurez-vous que le rseau prend en charge les conditions suivantes :
1. Le routeur R2 doit faire office de serveur DHCP pour les rseaux 172.16.10.0/24 et
172.16.11.0/24, connects au routeur R1.
2. Tous les PC connects au routeur R1 doivent recevoir une adresse IP dans le rseau appropri
via le protocole DHCP.
3. Le trafic provenant des rseaux locaux de R1, entrant dans linterface srie Serial 0/0/0 et sortant
de linterface srie Serial 0/0/1 de R2, doit recevoir une traduction NAT avec un pool dadresses
fourni par le FAI.
4. Le serveur interne doit tre accessible partir des rseaux externes laide de ladresse IP
209.165.201.30 et partir des rseaux internes laide de ladresse IP 172.16.20.254.

Tche 1 : prparation du rseau


tape 1 : cblage dun rseau similaire celui du diagramme de topologie
tape 2 : suppression de toutes les configurations existantes sur les routeurs
tape 3 : importation des configurations
[Note au formateur : les configurations suivantes comportent des commandes mal configures. Il est
possible de les charger dans les routeurs figurant dans la topologie. Les configurations finales figurant
la fin de ce document comprennent des commandes manquantes (en rouge) et des commandes mal
configures (en rouge barr), suivies de la commande adquate en rouge.]
R1
hostname R1
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 172.16.10.1 255.255.255.0
ip helper-address 172.16.0.2
no shutdown
!
interface FastEthernet0/1
ip address 172.16.11.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 7

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

!
router rip
version 2
network 172.16.0.0
no auto-summary
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
R2
hostname R2
!
enable secret class
!
ip dhcp excluded-address 172.16.10.1 172.16.10.3
ip dhcp excluded-address 172.16.10.1 172.16.11.3
!
ip dhcp pool R1_LAN10
network 172.16.10.0 255.255.255.0
dns-server 172.16.20.254
!
ip dhcp pool R1_LAN11
network 172.16.11.0 255.255.255.0
dns-server 172.16.20.254
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 172.16.20.1 255.255.255.0
ip nat inside
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
no shutdown
!
interface Serial0/0/1
ip address 209.165.201.1 255.255.255.252
ip nat outside
clock rate 125000
no shutdown
!
router rip
version 2
network 172.16.0.0
default-information originate

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 7

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.201.2
!
ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
ip nat inside source list NAT_ACL pool NATPOOL overload
!
ip access-list standard NAT_ACL
permit 172.16.10.0 0.0.0.255
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
FAI
hostname FAI
!
enable secret class
!
interface Serial0/0/1
ip address 209.165.201.2 255.255.255.252
no shutdown
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 7

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

Tche 2 : recherche et correction des erreurs sur le rseau


Lorsque le rseau est correctement configur :

Les ordinateurs PC1 et PC2 doivent tre en mesure de recevoir des adresses IP depuis le pool
DHCP appropri, comme lindique la commande ipconfig. En outre, une commande show ip dhcp
bindings excute sur le routeur R2 doit indiquer que les deux PC ont reu des adresses IP.

Les requtes ping envoyes depuis les ordinateurs PC1 et PC2 au FAI doivent recevoir une
traduction NAT avec surcharge, comme indiqu par la commande show ip nat
translations sur le routeur R2.

Les requtes ping envoyes depuis le serveur interne au FAI doivent recevoir la traduction NAT
statique indique dans la topologie. Pour le vrifier, utilisez la commande show ip nat
translations.

Lenvoi dune requte ping depuis le FAI ladresse globale du serveur interne doit aboutir.

Les requtes ping envoyes depuis le FAI au routeur R1 ne doivent recevoir aucune traduction
dadresses de rseau (NAT), comme indiqu par la commande show ip nat translations
ou debug ip nat sur le routeur R2.

Tche 3 : documentation des configurations des routeurs


Excutez la commande show run sur chaque routeur et capturez les configurations.

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).

Configurations finales
R1
hostname R1
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 172.16.10.1 255.255.255.0
ip helper-address 172.16.0.2
no shutdown
!
interface FastEthernet0/1
ip address 172.16.11.1 255.255.255.0
ip helper-address 172.16.0.2
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 125000
no shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 7

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

!
router rip
version 2
network 172.16.0.0
no auto-summary
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
R2
hostname R2
!
enable secret class
!
ip dhcp excluded-address 172.16.10.1 172.16.10.3
ip dhcp excluded-address 172.16.10.1 172.16.11.3
!
ip dhcp pool R1_LAN10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 172.16.20.254
!
ip dhcp pool R1_LAN11
network 172.16.11.0 255.255.255.0
default-router 172.16.11.1
dns-server 172.16.20.254
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 172.16.20.1 255.255.255.0
ip nat inside
no shutdown
!
interface Serial0/0/0
ip address 172.16.0.2 255.255.255.252
ip nat inside
no shutdown
!
interface Serial0/0/1
ip address 209.165.201.1 255.255.255.252
ip nat outside
clock rate 125000
no shutdown
!
router rip

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 7

CCNA Exploration
Accs au rseau tendu : services dadressage IP

Travaux pratiques 7.4.3 : dpannage de DHCP et NAT

version 2
network 172.16.0.0
default-information originate
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.201.2
!
ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
ip nat inside source list NAT_ACL pool NATPOOL overload
ip nat inside source list NAT_ACL pool NAT_POOL overload
ip nat inside source static 172.16.20.254 209.165.201.30
!
ip access-list standard NAT_ACL
permit 172.16.10.0 0.0.0.255
permit 172.16.11.0 0.0.0.255
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end
FAI
hostname FAI
!
enable secret class
!
interface Serial0/0/1
ip address 209.165.201.2 255.255.255.252
no shutdown
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
!
banner motd $AUTHORIZED ACCESS ONLY$
!
line con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
logging synchronous
login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 7

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

R3

Comm1
Comm2

Interface

Adresse IP

Fa0/0
Fa0/1
S0/0/0
S0/0/1
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
Fa0/1.11
Fa0/1.30
S0/0/0
S0/0/1
VLAN10
VLAN11

192.168.10.1
192.168.11.1
10.1.1.1
10.3.3.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
N/D
192.168.11.3
192.168.30.1
10.3.3.2
10.2.2.2
Protocole DHCP
192.168.11.2

Masque de
sous-rseau
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
N/D
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle par dfaut


N/D
N/D
N/D
N/D
N/D
N/D
N/D
209.165.200.226
N/D
N/D
N/D
N/D
N/D
N/D
N/D

Page 1 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Comm3
PC1
PC2
PC3
Serveur TFTP

VLAN30
Carte rseau
Carte rseau
Carte rseau
Carte rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

192.168.30.2
192.168.10.10
192.168.11.10
192.168.30.10
192.168.20.254

255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0

N/D
192.168.10.1
192.168.11.1
192.168.30.1
192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Charger les routeurs et les commutateurs avec les scripts fournis

Identifier et corriger toutes les erreurs rseau

Documenter le rseau corrig

Scnario
Vous tes charg de corriger les erreurs de configuration du rseau de la socit. Dans le cadre de cet
exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les lignes de console, afin
dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna pour tous les mots de passe.
Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des
connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques
prcdents.

Conditions requises

Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle
du rseau local virtuel VLAN 30.

Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2.

La liaison srie entre les routeurs R1 et R2 est de type Frame Relay. Assurez-vous que chaque
routeur peut envoyer une requte ping sa propre interface Frame Relay.

La liaison srie entre R2 et R3 utilise lencapsulation HDLC.

La liaison srie entre R1 et R3 utilise le protocole PPP.

La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP.

En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise.

Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis
les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique.
Indice :
R2# telnet 10.1.1.1 /source-interface loopback 0
Trying 10.1.1.1 ...
% Connection refused by remote host

Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres
routeurs.

Les protocoles de routage doivent tre scuriss. Tous les routeurs RIP doivent utiliser
lauthentification MD5.

R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie
directement connecte.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/0.

Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP.

Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP
auprs du service DHCP de R1. Cela concerne notamment Comm1.

R1 doit tre accessible via SDM.

Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les
priphriques.

Notes au formateur
Les configurations charger dans les routeurs sont fournies aux participants. Les configurations qui sont
prsentes dans les travaux pratiques destins aux participants ne comportent pas les lignes affiches
en rouge. En tant que formateur, vous pouvez utiliser ces lignes pour guider les participants tout au long
du processus de dpannage.
Tels quils sont prsents ici, les travaux pratiques permettent de sentraner la rsolution de problmes
et au dpannage, ainsi que de vrifier lacquisition de nombreuses comptences dveloppes dans le
cadre des cours CCNA. Une autre configuration de dmarrage est disponible pour des travaux pratiques
moins avancs. Elle comporte moins de problmes rsoudre et permet aux participants de terminer
plus rapidement les exercices.

Tche 1 : chargement des routeurs avec les scripts fournis


!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret 5 ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
no ip domain lookup
frame-relay switching
!La liaison Frame Relay ne fonctionne que si lune des extrmits commute des
!trames.
!
key chain RIP_KEY
key 1
key-string cisco
!Une chane cl doit tre utilise pour que l'authentification RIP
!fonctionne.
!
username R3 password 0 ciscoccna
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

username ccna password 0 ciscoccna


!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no shutdown
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation frame-relay
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
no shutdown
frame-relay intf-type dce
! Linterface srie du routeur qui remplit le rle de commutateur
! Frame Relay doit tre dsigne du ct DCE de la connexion.
!
interface Serial0/0/1
ip address 10.3.3.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation ppp
ppp authentication chap
no shutdown
!
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
! Les interfaces doivent tre dans un tat non passif pour propager
! les mises jour RIP lorsque la commande passive interface default est
! entre.
network 10.1.1.0
network 10.0.0.0
! La commande network 10.1.1.0 fonctionne. Cependant, RIP la changera
! en 10.0.0.0. La commande show run permet de confirmer ceci.
network 192.168.10.0
network 192.168.11.0
no auto-summary
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

ip classless
!
no ip http server
ip http server
! Le serveur HTTP a certainement t dsactiv pour des raisons de scurit.
! Cependant, pour que SDM soit accessible, le serveur HTTP doit tre activ.
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
aaa authentication login local_auth local
! Le nom de la liste dauthentification est sensible la casse, les lignes
! vty essaient donc dauthentifier une liste qui nexiste pas. Les erreurs de
! casse et de typographie sont les plus courantes.
aaa session-id common
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password 0 ciscoccna
!
interface Loopback0
description Simulated ISP Connection
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

ip address 209.165.200.245 255.255.255.224


!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
duplex auto
speed auto
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.0
ip address 10.1.1.2 255.255.255.252
ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
frame-relay map ip 10.1.1.2 201
! Sans cette commande, ce routeur ne peut pas envoyer de ping sa
! propre interface.
no frame-relay inverse-arp
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.0
ip address 10.2.2.1 255.255.255.252
! Le sous-rseau /24 tant utilis trs souvent, il est frquent de faire
! des erreurs de masques de sous-rseau.
ip access-group R3-telnet in
ip nat inside
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
!
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
default-information originate
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
permit ip any any
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!-----------------------------------------no service password-encryption
!
hostname R3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
username R1 password 0 ciscoccna
username ccna password 0 ciscoccna
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
interface FastEthernet0/1
no shutdown
!
interface FastEthernet0/1.11
encapsulation dot1Q 11
ip address 192.168.11.3 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
ip access-group Anti-spoofing in
no snmp trap link-status
!
!
interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation ppp
clockrate 125000
ppp authentication chap
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
! Tous les autres routeurs utilisent lauthentification. Par consquent, sans
! cette commande sur toutes les interfaces qui envoient des mises jour RIP,
! ce routeur ne peut pas participer RIP.
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/1.11
no passive-interface FastEthernet0/1.30
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.11.0
network 192.168.30.0
no auto-summary
!
ip classless
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny any
ip access-list standard VTY
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

permit 10.0.0.0 0.255.255.255


permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
!
hostname Comm1
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service password-encryption
!
hostname Comm2
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp mode client
! REMARQUE : comme le serveur tait dj configur, les informations de VLAN
! ne sont pas transmises Comm3, jusqu la prochaine modification. Ceci
! peut
! tre d la cration et la suppression dun VLAN sur Comm2, le serveur
! VTP.
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

spanning-tree mode rapid-pvst


spanning-tree extend system-id
spanning-tree vlan 11 priority 24576
spanning-tree vlan 30 priority 28672
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_troubleshooting
vtp domain CCNA_Troubleshooting
! Le mode VTP est sensible la casse, une faute de frappe de ce type peut
! empcher VTP
! de fonctionner normalement. Ce commutateur devrait afficher une erreur sur
! une non-correspondance de domaines lorsque les liaisons dagrgation sont
! actives.
vtp mode server
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 28672
spanning-tree vlan 30 priority 24576
!
vlan internal allocation policy ascending
!
vlan 11,30
! Il est frquent doublier de crer des VLAN, en particulier sils
! sont dj autoriss sur les liaisons dagrgation.
!
interface FastEthernet0/1
switchport trunk allowed vlan 30
switchport trunk allowed vlan 11,30
! VLAN 11 doit tre autoris sur lagrgation vers R3 pour tablir la
! connexion avec
R2
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

switchport mode trunk


!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.30.1
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Tche 2 : dtection et correction de toutes les erreurs rseau


Tche 3 : vrification de la conformit aux conditions requises
Les contraintes de temps ne permettant pas daborder le dpannage de problmes couvrant tous les
sujets, seul un certain nombre de sujets sont censs poser problme dans le cadre de cet exercice.
Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier le
respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque condition
requise, tel quune commande show ou debug.
Rappelez aux participants les diffrentes commandes utilises pendant ce cours, ainsi que dautres
permettant deffectuer des vrifications et des oprations de dpannage. Voici une liste de commandes
courantes pouvant savrer utiles :

show ip route

show ip interface brief

show spanning-tree

show vtp status

show interface serial

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

debug ppp authentication

show ip access-lists

show ip dhcp binding

show frame-relay map

show run

debug ppp authentication

ping

telnet

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

Cest intentionnellement que nous navons pas dtaill cette tche, car il existe de nombreuses faons
de vrifier les conditions. Voici un exemple de la condition n1 :
La condition n1 indique que Comm2 et Comm3 doivent respectivement correspondre aux racines des
rseaux locaux virtuels VLAN 11 et VLAN 30. Lexcution de la commande show spanning-tree permet
de vrifier que ces commutateurs ont t configurs correctement.
Comm2#show spanning-tree
VLAN0011
Spanning tree enabled protocol rstp
Root ID
Priority
24587
Address
001c.57ec.2480
This bridge is the root
Hello Time
2 sec Max Age 20 sec
Bridge ID

Priority
24587 (priority 24576 sys-id-ext 11)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300

Interface
---------------Fa0/2
Fa0/3
Fa0/4

Role
---Desg
Desg
Desg

Sts
--FWD
FWD
FWD

Cost
--------19
19
19

Prio.Nbr
-------128.2
128.3
128.4

Type
--------------------P2p
P2p
P2p

VLAN0030
Spanning tree enabled protocol rstp
Root ID
Priority
24606
Address
001c.57ec.1480
Cost
19
Port
3 (FastEthernet0/3)
Hello Time
2 sec Max Age 20 sec
Bridge ID

Forward Delay 15

Forward Delay 15

Priority
28702 (priority 28672 sys-id-ext 30)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300

Interface
---------------Fa0/3
Fa0/4

Role
---Root
Altn

Sts
--FWD
BLK

Cost
--------19
19

Prio.Nbr
-------128.3
128.4

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Type
--------------------P2p
P2p

Page 14 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

Tche 4 : documentation du rseau corrig


!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret 5 ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
no ip domain lookup
frame-relay switching
!
key chain RIP_KEY
key 1
key-string cisco
username R3 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation frame-relay
no keepalive
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
frame-relay intf-type dce
!

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

interface Serial0/0/1
ip address 10.3.3.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation ppp
ppp authentication chap
!
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.10.0
network 192.168.11.0
no auto-summary
!
ip classless
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

aaa session-id common


!
ip cef
!
no ip domain lookup
!
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password 0 ciscoccna
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
frame-relay map ip 10.1.1.2 201
no frame-relay inverse-arp
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
ip access-group R3-telnet in
ip nat inside
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
!
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
default-information originate
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny
any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
permit ip any any
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!-----------------------------------------no service password-encryption
!
hostname R3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
!
ip cef
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 18 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

no ip domain lookup
!
!
key chain RIP_KEY
key 1
key-string cisco
username R1 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.11
encapsulation dot1Q 11
ip address 192.168.11.3 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
ip access-group Anti-spoofing in
no snmp trap link-status
!
!
interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation ppp
clockrate 125000
ppp authentication chap
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/1.11
no passive-interface FastEthernet0/1.30
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.11.0
network 192.168.30.0
no auto-summary
!
ip classless
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
!
hostname Comm1
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

switchport mode access


!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Comm2
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode client
vtp password ciscoccna
ip subnet-zero
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 24576
spanning-tree vlan 30 priority 28672
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode Server
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 28672
spanning-tree vlan 30 priority 24576
!
vlan internal allocation policy ascending
!
Vlan 11,30
!
interface FastEthernet0/1
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 23 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.30.1
ip http server
!
control-plane
!
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Tche 5 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans
un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC
htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 24 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

Autres configurations
Vous pouvez utiliser ces configurations comme point de dpart. Elles contiennent moins derreurs.
Les mmes mthodes et commandes de dpannage doivent tre utilises pour identifier et rsoudre
les problmes. Les configurations de rseau corriges sont identiques celles obtenues pour les
configurations dorigine.
!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret 5 ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
no ip domain lookup
frame-relay switching
!
key chain RIP_KEY
key 1
key-string cisco
!Une chane cl doit tre utilise pour que lauthentification RIP
!fonctionne.
!
username R3 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no shutdown
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 25 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

encapsulation frame-relay
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
no shutdown
frame-relay intf-type dce
!
interface Serial0/0/1
ip address 10.3.3.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation ppp
ppp authentication chap
no shutdown
!
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
! Les interfaces doivent tre dans un tat non passif pour propager
! les mises jour RIP lorsque la commande passive interface default est
!entre.
network 10.0.0.0
network 192.168.10.0
network 192.168.11.0
no auto-summary
!
ip classless
!
no ip http server
ip http server
! Le serveur HTTP a certainement t dsactiv pour des raisons de scurit.
! Cependant, pour que SDM soit accessible, le serveur HTTP doit tre activ.
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 26 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

login local
!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login LOCAL_AUTH local
aaa authentication login local_auth local
! Le nom de la liste dauthentification est sensible la casse, les lignes vty
! essaient donc dauthentifier une liste qui nexiste pas. Les erreurs de casse
! et de typographie sont les plus courantes.
aaa session-id common
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
username ccna password 0 ciscoccna
!
interface Loopback0
description Simulated ISP Connection
ip address 209.165.200.245 255.255.255.224
!
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.0
ip address 10.1.1.2 255.255.255.252
ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 27 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

frame-relay map ip 10.1.1.2 201


no frame-relay inverse-arp
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.0
ip address 10.2.2.1 255.255.255.252
! Le sous-rseau /24 tant utilis trs souvent, il est frquent de faire
! des erreurs de masques de sous-rseau.
ip access-group R3-telnet in
ip nat inside
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
clockrate 128000
!
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.20.0
default-information originate
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
permit ip any any
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 28 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

login authentication local_auth


transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!-----------------------------------------no service password-encryption
!
hostname R3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
key chain RIP_KEY
key 1
key-string cisco
username R1 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/1
no shutdown
!
interface FastEthernet0/1.11
encapsulation dot1Q 11
ip address 192.168.11.3 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
ip access-group Anti-spoofing in
no snmp trap link-status
!
!
interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
encapsulation ppp
clockrate 125000
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 29 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

ppp authentication chap


!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_KEY
! Tous les autres routeurs utilisent lauthentification. Par consquent, sans
! cette commande sur toutes les interfaces qui envoient des mises jour RIP,
!ce routeur
! ne peut pas participer RIP.
!
router rip
version 2
passive-interface default
no passive-interface FastEthernet0/0,11
no passive-interface FastEthernet0/0,30
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.0.0.0
network 192.168.11.0
network 192.168.30.0
no auto-summary
!
ip classless
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 30 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
hostname Comm1
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 31 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service password-encryption
!
hostname Comm2
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp mode client
! REMARQUE : comme le serveur tait dj configur, les informations de VLAN
! ne sont pas transmises Comm3, jusqu la prochaine modification. Ceci
! peut
! tre d la cration et la suppression dun VLAN sur Comm2, le serveur
! VTP.
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 24576
spanning-tree vlan 30 priority 28672
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 32 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

interface range FastEthernet0/5-24


shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_troubleshooting
vtp domain CCNA_Troubleshooting
! Le mode VTP est sensible la casse, une faute de frappe de ce type peut
! empcher VTP
! de fonctionner normalement. Ce commutateur devrait afficher une erreur sur
! une non-correspondance de domaines lorsque les liaisons dagrgation sont
!actives.
vtp mode server
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 33 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 28672
spanning-tree vlan 30 priority 24576
!
vlan internal allocation policy ascending
!
vlan 11,30
! Il est frquent doublier de crer des VLAN, en particulier sils
! sont dj autoriss sur les liaisons dagrgation.
!
interface FastEthernet0/1
switchport trunk allowed vlan 30
switchport trunk allowed vlan 11,30
! VLAN 11 doit tre autoris sur lagrgation vers R3 pour tablir la
! connexion avec
! R2
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.30.1
ip http server
!
control-plane
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 34 sur 35

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.1 : dpannage des rseaux dentreprise 1

line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 35 sur 35

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

R3

Comm1
Comm2
Comm3

Interface

Adresse IP

Fa0/0
Fa0/1
S0/0/0
S0/0/1
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
Fa0/1.11
Fa0/1.30
S0/0/0
S0/0/1
VLAN10
VLAN11
VLAN30

192.168.10.1
192.168.11.1
10.1.1.1
10.3.3.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
N/D
192.168.11.3
192.168.30.1
10.3.3.2
10.2.2.2
Protocole DHCP
192.168.11.2
192.168.30.2

Masque de
sous-rseau
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
N/D
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle
par dfaut
N/D
N/D
N/D
N/D
N/D
N/D
N/D
209.165.200.226
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D

Page 1 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

PC1
PC2
PC3
Serveur TFTP

Carte rseau
Carte rseau
Carte rseau
Carte rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

Protocole DHCP
192.168.11.10
192.168.30.10
192.168.20.254

255.255.255.0
255.255.255.0
255.255.255.0

192.168.11.1
192.168.30.1
192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Charger les routeurs et les commutateurs avec les scripts fournis

Identifier et corriger toutes les erreurs rseau

Documenter le rseau corrig

Scnario
Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les
lignes de console, afin dempcher tout verrouillage accidentel. Dans ces travaux pratiques, le mot de
passe utiliser est ciscoccna.
Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des
connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques
prcdents.

Conditions requises

Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle
du rseau local virtuel VLAN 30.

Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2.

La liaison srie entre les routeurs R1 et R2 est de type Frame Relay.

La liaison srie entre R2 et R3 utilise lencapsulation HDLC.

La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP.

En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise.

Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions depuis
les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse publique.

Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres
routeurs.

Les protocoles de routage doivent tre utiliss de manire scurise. Le protocole EIGRP est
utilis dans ce scnario.

R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie
directement connecte.

R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/1.

Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP.

Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP
auprs du service DHCP de R1. Cela concerne notamment Comm1.

Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les
priphriques.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

Tche 1 : chargement des routeurs avec les scripts fournis


!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
no ip domain lookup
frame-relay switching
!
username R2 password ciscoccna
username R3 password ciscoccna
! Une faute de frappe dans le nom dutilisateur empche R3 de sauthentifier
! avec CHAP.
username ccna password ciscoccna
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip access-group Anti-spoofing out
ip access-group Anti-spoofing in
! La liste daccs na pas t applique dans la bonne direction. Cette erreur
! courante empche tout trafic de sortir de linterface.
duplex auto
speed auto
no shutdown
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
encapsulation frame-relay
no keepalive
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
frame-relay intf-type dce
no shutdown

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!
interface Serial0/0/1
ip address 10.3.3.1 255.255.255.0
ip address 10.3.3.1 255.255.255.252
! Le sous-rseau a t mal configur, probablement cause de lutilisation
! courante du sous-rseau /24.
encapsulation ppp
ppp authentication chap
no shutdown
!
interface Serial0/1/0
no ip address
shutdown
clockrate 2000000
!
interface Serial0/1/1
no ip address
shutdown
!
router eigrp 10
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.1.1.0 0.0.0.255
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.255
network 10.2.2.0 0.0.0.3
! Une fois encore, il est facile doublier que tous les sous-rseaux ne sont
! pas /24.
network 192.168.10.0 0.0.0.255
network 192.168.11.0 0.0.0.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
aaa session-id common
!
ip cef
!
no ip domain lookup
!
username ccna password 0 ciscoccna
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
ip access-group private in
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
no shutdown
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
frame-relay map ip 10.1.1.2 201
no frame-relay inverse-arp
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
ip access-group R3-telnet in
! Il arrive souvent quune liste daccs soit cre mais pas applique
! sur une interface, ce qui est requis pour que la liste de contrle daccs
! fonctionne.
ip nat inside
clockrate 128000
no shutdown
!
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

router eigrp 100


router eigrp 10
! Le numro de SA est incorrect, la touche 0 a certainement t enfonce
! une fois de trop. Tous les commandes de ce systme autonome doivent tre
! rentres pour le systme correct pour quEIGRP fonctionne.
passive-interface default
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
no passive interface lo0
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.20.0 0.0.0.255
network 209.165.200.0 0.0.0.7
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny
any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
ip access-list standard private
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.16.0.0 0.15.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
permit ip any any
! Lutilisateur a oubli que toutes les listes de contrle daccs se termine
! par un deny implicite, donc cette commande est ncessaire pour autoriser
! tout autre trafic.
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

transport output telnet


line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!-----------------------------------------no service password-encryption
!
hostname R3
!
security passwords min-length 6
enable secret ciscoccna
! Un utilisateur a oubli dentrer le mot de passe enable secret , qui non
! seulement nest pas sr, mais qui empche lauthentification CHAP sur la
! liaison PPP de fonctionner correctement.
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
username R1 password ciscoccna
username ccna password ciscoccna
!
interface FastEthernet0/1
no shutdown
!
interface FastEthernet0/1.11
encapsulation dot1Q 11
ip address 192.168.11.3 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip access-group Anti-Spoofin in
ip access-group Anti-spoofing in
! La liste daccs est mal orthographie. Elle fait donc rfrence une
! liste inexistante, le trafic est donc abandonn cause du deny all
! implicite la fin de toutes les listes daccs de contrle.
no shutdown
!
!
interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
! La frquence dhorloge a t oublie sur linterface DCE.
ppp authentication pap
ppp authentication chap
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

! PAP a t configur par erreur la place de CHAP.


!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no shutdown
!
router eigrp 10
passive-interface default
no passive interface Fa0/0
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
! Ces commandes ont t oublies, EIGRP est donc envoy toutes les interfaces.
network 10.3.3.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.11.0 0.0.0.255
network 192.168.30.0 0.0.0.255
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.2.1
! La route par dfaut de la passerelle Internet a t oubli, ce qui
! empche le priphrique de latteindre.
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY out
access-class VTY in
! Cette liste daccs nest pas applique dans la bonne direction. Dans ce
! cas, il nen rsulte pas que tout le trafic est abandonn. Au contraire,
! toutes les connexions sont acceptes.
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!----------------------------------------no service password-encryption


!
hostname Comm1
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Comm2
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode Client
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode mst
spanning-tree mode rapid-pvst
! MST a t configur par erreur pour Spanning Tree. Le mme mode devrait
! tre dfini sur tous les commutateurs.
spanning-tree extend system-id
spanning-tree vlan 11 priority 4096
spanning-tree vlan 30 priority 4096
spanning-tree vlan 30 priority 8192
! Les racines ne sont pas leur place car les priorits taient incorrectes.
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/3
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk allowed vlan 11,30
switchport mode trunk
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

interface range FastEthernet0/5-24


shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode Server
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 4096
spanning-tree vlan 11 priority 8192
! Ce commutateur devrait avoir une priorit plus leve (pire) que Comm2 pour
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

! ce VLAN. Ceci se produit si lutilisteur oublie que les lections de racine


! doivent avoir une priorit moins leve.
spanning-tree vlan 30 priority 4096
! La priorit par dfaut a t conserve pour ce VLAN. Elle devrait tre la plus
! basse des deux commutateurs.
vlan internal allocation policy ascending
!
Vlan 11,30
!
interface FastEthernet0/1
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.30.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 12 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

Tche 2 : dtection et correction de toutes les erreurs rseau


Tche 3 : vrification de la conformit aux conditions requises
Les contraintes de temps ne permettant pas daborder le dpannage de problmes couvrant tous les
sujets, seul un certain nombre de sujets sont censs poser problme dans le cadre de cet exercice.
Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier
le respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque
condition requise, tel quune commande show ou debug.
Cest intentionnellement que nous navons pas dtaill cette tche, car il existe de nombreuses faons
de vrifier les conditions. Voici un exemple de la condition n1 :
1. Comm2#show spanning-tree
VLAN0011
Spanning tree enabled protocol rstp
Root ID
Priority
24587
Address
001c.57ec.2480
This bridge is the root
Hello Time
2 sec Max Age 20 sec
Bridge ID

Priority
24587 (priority 24576 sys-id-ext 11)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300

Interface
---------------Fa0/2
Fa0/3
Fa0/4

Role
---Desg
Desg
Desg

Sts
--FWD
FWD
FWD

Cost
--------19
19
19

Prio.Nbr
-------128.2
128.3
128.4

Type
--------------------P2p
P2p
P2p

VLAN0030
Spanning tree enabled protocol rstp
Root ID
Priority
24606
Address
001c.57ec.1480
Cost
19
Port
3 (FastEthernet0/3)
Hello Time
2 sec Max Age 20 sec
Bridge ID

Forward Delay 15

Forward Delay 15

Priority
28702 (priority 28672 sys-id-ext 30)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300

Interface
---------------Fa0/3
Fa0/4

Role
---Root
Altn

Sts
--FWD
BLK

Cost
--------19
19

Prio.Nbr
-------128.3
128.4

Type
--------------------P2p
P2p

Tche 4 : documentation du rseau corrig


!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret 5 ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
no ip domain lookup
frame-relay switching
!
username R3 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
encapsulation frame-relay
no keepalive
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
frame-relay intf-type dce
!
interface Serial0/0/1
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
ppp authentication chap
!
!
router eigrp 10
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.1.1.0 0.0.0.3
network 10.3.3.0 0.0.0.3
network 192.168.10.0 0.0.0.255
network 192.168.11.0 0.0.0.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
aaa session-id common
!
ip cef
!
no ip domain lookup
!
username ccna password 0 ciscoccna
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
ip access-group private in
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
duplex auto
speed auto
!
interface Serial0/0/0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

ip address 10.1.1.2 255.255.255.252


ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
frame-relay map ip 10.1.1.2 201
no frame-relay inverse-arp
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
ip access-group R3-telnet in
ip nat inside
clockrate 128000
!
interface Serial0/1/0
no ip address
shutdown
!
interface Serial0/1/1
no ip address
shutdown
clockrate 2000000
!
router eigrp 10
passive-interface default
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.1.1.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.20.0 0.0.0.255
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny
any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
ip access-list standard private
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.0.0.0 0.31.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

permit ip any any


!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!-----------------------------------------no service password-encryption
!
hostname R3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
username R1 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/1
no shutdown
!
interface FastEthernet0/1.11
encapsulation dot1Q 11
ip address 192.168.11.3 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip access-group Anti-spoofing in
no snmp trap link-status
!
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
ppp authentication chap
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
!
router eigrp 10
passive-interface default
no passive-interface FastEthernet0/0,11
no passive-interface FastEthernet0/0,30
no passive-interface Serial0/0/0
no passive-interface Serial0/0/1
network 10.3.3.0 0.0.0.3
network 10.2.2.0 0.0.0.3
network 192.168.11.0 0.0.0.255
network 192.168.30.0 0.0.0.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.2.2.1
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
!
hostname Comm1
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 18 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

security passwords min-length 6


enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!----------------------------------------!
Comm2
!----------------------------------------!
hostname Comm2
!
enable secret ciscoccna
!
vtp domain CCNA_Troubleshooting
vtp mode client
vtp password ciscoccna
!
no ip domain-lookup
!
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 24576
spanning-tree vlan 30 priority 28672
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no shutdown
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!
ip http server
!
control-plane
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode Server
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 28672
spanning-tree vlan 30 priority 24576
!
vlan internal allocation policy ascending
!
Vlan 11,30
!
interface FastEthernet0/1
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.2 : dpannage des rseaux dentreprise 2

!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no shutdown
!
ip default-gateway 192.168.30.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Tche 5 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans
un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC
htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 22

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3


(version du formateur)
Diagramme de topologie

Table dadressage
Priphrique

R1

R2

R3

Comm1
Comm2
Comm3

Interface

Adresse IP

Fa0/0
Fa0/1
S0/0/0
S0/0/1
Fa0/1
S0/0/0
S0/0/1
Lo0
Fa0/1
Fa0/1.11
Fa0/1.30
S0/0/0
S0/0/1
VLAN10
VLAN11
VLAN30

192.168.10.1
192.168.11.1
10.1.1.1
10.3.3.1
192.168.20.1
10.1.1.2
10.2.2.1
209.165.200.225
N/D
192.168.11.3
192.168.30.1
10.3.3.2
10.2.2.2
Protocole DHCP
192.168.11.2
192.168.30.2

Masque de
sous-rseau
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.224
N/D
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Passerelle par dfaut


N/D
N/D
N/D
N/D
N/D
N/D
N/D
209.165.200.226
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D

Page 1 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

PC1
PC2
PC3
Serveur TFTP

Carte rseau
Carte rseau
Carte rseau
Carte rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

192.168.10.10
192.168.11.10
192.168.30.10
192.168.20.254

255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0

192.168.10.1
192.168.11.1
192.168.30.1
192.168.20.1

Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :

Cbler un rseau conformment au diagramme de topologie

Supprimer la configuration de dmarrage et recharger un routeur pour revenir aux paramtres


par dfaut

Charger les routeurs et les commutateurs avec les scripts fournis

Identifier et corriger toutes les erreurs rseau

Documenter le rseau corrig

Scnario
Dans le cadre de cet exercice, nutilisez pas de protection par nom dutilisateur ou mot de passe sur les
lignes de console, afin dempcher tout verrouillage accidentel. Dans ce scnario, utilisez ciscoccna
pour tous les mots de passe.
Remarque : cet exercice tant un rcapitulatif, il vous sera ncessaire dutiliser lensemble des
connaissances et des techniques de dpannage acquises au cours des exercices et travaux pratiques
prcdents.

Conditions requises

Comm2 correspond la racine Spanning Tree du rseau local virtuel VLAN 11 et Comm3 celle
du rseau local virtuel VLAN 30.

Comm3 correspond un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2.

La liaison srie entre les routeurs R1 et R2 est de type Frame Relay.

La liaison srie entre R2 et R3 utilise lencapsulation HDLC.

La liaison srie entre R1 et R3 est authentifie laide du protocole CHAP.

En tant que routeur connect Internet, R2 doit utiliser des procdures de connexion scurise.

Toutes les lignes vty, lexception de celles appartenant R2, nautorisent que les connexions
depuis les sous-rseaux affichs dans le diagramme de topologie, excluant ainsi ladresse
publique.

Lusurpation de ladresse IP source doit tre vite sur tous les liens non connects dautres
routeurs.

Les protocoles de routage doivent tre utiliss de manire scurise. Le protocole OSPF est
utilis dans ce scnario.

R3 ne doit pas pouvoir tablir de connexion telnet avec R2 au moyen de la liaison srie
directement connecte.

R3 peut accder aux rseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/1.

Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse dorigine situe hors du sousrseau. Tous les priphriques ont accs au serveur TFTP.

Tous les priphriques du sous-rseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP
auprs du service DHCP de R1. Cela concerne notamment Comm1.

Toutes les adresses indiques dans le diagramme doivent tre accessibles partir de tous les
priphriques.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 2 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

Tche 1 : chargement des routeurs avec les scripts fournis


!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.11.0 255.255.255.0
network 192.168.10.0 255.255.255.0
! Le rseau est mal orthographi, ce qui empche le sous-rseau correct
! de joindre le pool.
default-router 192.168.10.1
!
no ip domain lookup
!
ip dhcp excluded-address 192.168.10.2 192.168.10.254
! Cette instruction na pas lieu dtre car elle exclut tout lespace
! dadressage disponible pour DHCP.
!
frame-relay switching
!
username R3 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
no shutdown
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
encapsulation frame-relay
no keepalive
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
frame-relay intf-type dce

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 3 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

no shutdown
!
interface Serial0/0/1
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
ppp authentication chap
no shutdown
!
interface Serial0/1/0
no ip address
shutdown
clockrate 2000000
!
interface Serial0/1/1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
passive-interface FastEthernet0/0
network 10.1.1.0 0.0.0.255 area 0
network 10.2.2.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
! Le mauvais masque gnrique a t configur, avec le masque /24 le plus
! courant au lieu du masque /30 correct.
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 4 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
aaa session-id common
!
ip cef
!
no ip domain lookup
!
username ccna password 0 ciscoccna
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
ip access-group private in
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat inside
ip nat outside
duplex auto
speed auto
no shutdown
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
ip nat outside
ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
frame-relay map ip 10.1.1.2 201
no frame-relay inverse-arp
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
ip access-group R3-telnet in
no shutdown
! Cette commande a t oublie, empchant la connexion R2.
ip nat outside
ip nat inside
! Les interfaces interne et externe sont appliques dans le mauvais sens.
clockrate 128000
! Il arrive souvent doublier la frquence dhorloge pour une interface, ce
! qui empche lactivation de la liaison.
!
!
router ospf 1
passive-interface FastEthernet0/1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 5 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

network 10.1.1.0 0.0.0.3 area 0


network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
default-information originate
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list nat interface FastEthernet0/0
ip nat inside source list NAT interface FastEthernet0/0 overload
! La liste daccs est mal tape, indiquant quaucune adresse IP ne
! sera traduite. De plus, le mot cl overload a t oubli. Ceci
! empche plusieurs traductions simultanes.
!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny
any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
ip access-list standard private
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.0.0.0 0.31.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
permit ip any any
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 6 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

!-----------------------------------------no service password-encryption


!
hostname R3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
username R1 password ciscoccna
username ccna password ciscoccna
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
no shutdown
!
interface FastEthernet0/1.11
encapsulation dot1Q 12
encapsulation dot1Q 11
! Une erreur dans le VLAN place le sous-rseau sur le mauvais VLAN.
ip address 192.168.11.3 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip access-group Anti-spoofing in
!
!
interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
ppp authentication chap
no shutdown
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
encapsulation lapb
encapsulation hdlc
! Linterface a t mal configure en tant que liaison lapb.
no shutdown
!
router ospf 1
passive-interface FastEthernet0/1.30
network 10.2.2.0 0.0.0.3 area 1
network 10.3.3.0 0.0.0.3 area 1
network 192.168.11.0 0.0.0.255 area 1
network 192.168.30.0 0.0.0.255 area 1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 7 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

network 10.2.2.0 0.0.0.3 area 0


network 10.3.3.0 0.0.0.3 area 0
network 192.168.11.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
! Les rseaux ont t placs par erreur dans la mauvaise zone.
!
ip classless
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
!
hostname Comm1
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 8 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Comm2
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode client
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 9 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

vtp password ciscoccna


ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 24576
spanning-tree vlan 30 priority 28672
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
! Le VLAN natif a t modifi sur Comm3, puis oubli. La non-correspondance
! de VLAN natif entrane des erreurs dagrgation.
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 10 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode Server
vtp password ciscoccna
ip subnet-zero
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 28672
spanning-tree vlan 30 priority 24576
!
vlan internal allocation policy ascending
!
vlan 30
vlan 11
! Le VLAN 11 doit exister pour tre plac dans le domaine de gestion actif et
! pour que le trafic le traverse.
!
interface FastEthernet0/1
switchport trunk allowed vlan 11
switchport trunk allowed vlan add 30
! Le VLAN 30 a t oubli lors de la dsignation des VLAN autoriss sur
! lagrgat vers R3.
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 11 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

switchport trunk native vlan 99


switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.30.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end

Tche 2 : dtection et correction de toutes les erreurs rseau


Tche 3 : vrification de la conformit aux conditions requises
Les contraintes de temps ne permettant pas daborder le dpannage de problmes couvrant tous les
sujets, seul un certain nombre de sujets sont censs poser problme dans le cadre de cet exercice.
Cependant, pour renforcer vos comptences en matire de dpannage, il est conseill de vrifier le
respect de chacune des conditions requises. Pour ce faire, prsentez un exemple pour chaque condition
requise, tel quune commande show ou debug.
Cest intentionnellement que nous navons pas dtaill cette tche, car il existe de nombreuses faons
de vrifier les conditions. Voici un exemple de la condition n1 :
1. Comm2#show spanning-tree
VLAN0011
Spanning tree enabled protocol rstp
Root ID
Priority
24587
Address
001c.57ec.2480
This bridge is the root
Hello Time
2 sec Max Age 20 sec

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Forward Delay 15

Page 12 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Bridge ID

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

Priority
24587 (priority 24576 sys-id-ext 11)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300

Interface
---------------Fa0/2
Fa0/3
Fa0/4

Role
---Desg
Desg
Desg

Sts
--FWD
FWD
FWD

Cost
--------19
19
19

Prio.Nbr
-------128.2
128.3
128.4

Type
--------------------P2p
P2p
P2p

VLAN0030
Spanning tree enabled protocol rstp
Root ID
Priority
24606
Address
001c.57ec.1480
Cost
19
Port
3 (FastEthernet0/3)
Hello Time
2 sec Max Age 20 sec
Bridge ID

Forward Delay 15

Priority
28702 (priority 28672 sys-id-ext 30)
Address
001c.57ec.2480
Hello Time
2 sec Max Age 20 sec Forward Delay 15
Aging Time 300

Interface
---------------Fa0/3
Fa0/4

Role
---Root
Altn

Sts
--FWD
BLK

Cost
--------19
19

Prio.Nbr
-------128.3
128.4

Type
--------------------P2p
P2p

Tche 4 : documentation du rseau corrig


!-----------------------------------------!
R1
!-----------------------------------------no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
enable secret 5 ciscoccna
!
ip cef
!
ip dhcp pool Access1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
no ip domain lookup
frame-relay switching
!
username R3 password 0 ciscoccna
username ccna password 0 ciscoccna
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 13 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.11.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
encapsulation frame-relay
no keepalive
clockrate 128000
frame-relay map ip 10.1.1.1 201
frame-relay map ip 10.1.1.2 201 broadcast
no frame-relay inverse-arp
frame-relay intf-type dce
!
interface Serial0/0/1
ip address 10.3.3.1 255.255.255.252
encapsulation ppp
ppp authentication chap
!
interface Serial0/1/0
no ip address
shutdown
clockrate 2000000
!
interface Serial0/1/1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
passive-interface FastEthernet0/0
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
default-information originate always
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.10.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
line con 0
exec-timeout 5 0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 14 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

logging synchronous
line aux 0
line vty 0 4
access-class VTY in
login local
!
end
!-----------------------------------------!
R2
!-----------------------------------------no service password-encryption
!
hostname R2
!
security passwords min-length 6
enable secret ciscoccna
!
aaa new-model
!
aaa authentication login local_auth local
aaa session-id common
!
ip cef
!
no ip domain lookup
!
username ccna password 0 ciscoccna
!
interface Loopback0
ip address 209.165.200.245 255.255.255.224
ip access-group private in
!
interface FastEthernet0/1
ip address 192.168.20.1 255.255.255.0
ip access-group TFTP out
ip access-group Anti-spoofing in
ip nat outside
duplex auto
speed auto
!
!
interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
ip nat inside
encapsulation frame-relay
no keepalive
frame-relay map ip 10.1.1.1 201 broadcast
frame-relay map ip 10.1.1.2 201
no frame-relay inverse-arp
!
interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
ip access-group R3-telnet in
ip nat inside
clockrate 128000
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 15 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

!
router ospf 1
passive-interface FastEthernet0/1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
default-information originate
!
ip route 0.0.0.0 0.0.0.0 209.165.200.226
!
no ip http server
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list standard Anti-spoofing
permit 192.168.20.0 0.0.0.255
deny
any
ip access-list standard NAT
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
ip access-list standard private
deny
127.0.0.1
deny
10.0.0.0 0.255.255.255
deny
172.0.0.0 0.31.255.255
deny
192.168.0.0 0.0.255.255
permit any
!
ip access-list extended R3-telnet
deny
tcp host 10.2.2.2 host 10.2.2.1 eq telnet
deny
tcp host 10.3.3.2 host 10.2.2.1 eq telnet
deny
tcp host 192.168.11.3 host 10.2.2.1 eq telnet
deny
tcp host 192.168.30.1 host 10.2.2.1 eq telnet
permit ip any any
!
ip access-list standard TFTP
permit 192.168.20.0 0.0.0.255
!
line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport output telnet
line vty 0 4
exec-timeout 15 0
logging synchronous
login authentication local_auth
transport input telnet
!
end
!-----------------------------------------!
R3
!-----------------------------------------no service password-encryption
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 16 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

hostname R3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
!
ip cef
!
no ip domain lookup
!
username R1 password 0 ciscoccna
username ccna password 0 ciscoccna
!
interface FastEthernet0/1
no shutdown
!
interface FastEthernet0/1.11
encapsulation dot1Q 11
ip address 192.168.11.3 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip access-group Anti-spoofing in
!
!
interface Serial0/0/0
ip address 10.3.3.2 255.255.255.252
encapsulation ppp
clockrate 125000
ppp authentication chap
!
interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
!
router ospf 1
passive-interface FastEthernet0/1.30
network 10.2.2.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.11.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
ip http server
!
ip access-list standard Anti-spoofing
permit 192.168.30.0 0.0.0.255
deny
any
ip access-list standard VTY
permit 10.0.0.0 0.255.255.255
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 17 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

line con 0
exec-timeout 5 0
logging synchronous
line aux 0
exec-timeout 15 0
logging synchronous
line vty 0 4
access-class VTY in
exec-timeout 15 0
logging synchronous
login local
!
end
!----------------------------------------!
Comm1
!----------------------------------------no service password-encryption
!
hostname Comm1
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode transparent
vtp password ciscoccna
!
no ip domain-lookup
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface range FastEthernet0/3-24
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 18 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

no ip route-cache
!
interface Vlan10
ip address dhcp
no ip route-cache
!
ip default-gateway 192.168.10.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm2
!----------------------------------------no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Comm2
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode client
vtp password ciscoccna
!
no ip domain-lookup
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 24576
spanning-tree vlan 30 priority 28672
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 11
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 11
switchport mode access
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 19 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan11
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
no login
!
end
!----------------------------------------!
Comm3
!----------------------------------------no service password-encryption
!
hostname Comm3
!
security passwords min-length 6
enable secret ciscoccna
!
no aaa new-model
vtp domain CCNA_Troubleshooting
vtp mode Server
vtp password ciscoccna
!
no ip domain-lookup
!
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 20 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

no file verify auto


!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 11 priority 28672
spanning-tree vlan 30 priority 24576
!
vlan internal allocation policy ascending
!
Vlan 11,30
!
interface FastEthernet0/1
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk native vlan 99
switchport trunk allowed vlan 11,30
switchport mode trunk
!
interface range FastEthernet0/5-24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan30
ip address 192.168.30.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.30.1
ip http server
!
line con 0
exec-timeout 5 0
logging synchronous
line vty 0 4
password ciscoccna
login
line vty 5 15
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 21 sur 22

CCNA Exploration
Accs au rseau tendu : dpannage du rseau

Travaux pratiques 8.5.3 : dpannage des rseaux dentreprise 3

no login
!
end

Tche 4 : remise en tat


Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans
un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les PC
htes habituellement connects aux autres rseaux (rseaux locaux de votre site ou Internet).

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.

Page 22 sur 22

Vous aimerez peut-être aussi