Académique Documents
Professionnel Documents
Culture Documents
CCNA 2 Essentiel PDF
CCNA 2 Essentiel PDF
CCNA 2 Essentiel PDF
CCNA 2 - Essentiel
2 / 69
2.
3.
4.
4.1. CDP...................................................................................................................................................................27
4.1.1. Thorie .......................................................................................................................................................27
4.1.2. Configuration .............................................................................................................................................28
4.1.3. Visualisation et rsolution de problmes....................................................................................................28
4.2. Telnet ................................................................................................................................................................28
4.2.1. Thorie .......................................................................................................................................................28
4.2.2. Commandes et utilisation ...........................................................................................................................29
CCNA 2 - Essentiel
5.
3 / 69
6.
Routage ..............................................................................................................................................36
7.
8.
CCNA 2 - Essentiel
9.
4 / 69
10.
11.
ACL....................................................................................................................................................65
5 / 69
CCNA 2 - Essentiel
1. Rseaux WAN
1.1. Dfinition
Par dfinition, un rseau WAN est :
Un rseau longue distance.
Un rseau qui interconnecte des rseaux LAN qui sont gnralement spars par de vastes tendues
gographiques.
Les principales caractristiques des rseaux WAN sont les suivantes :
Ils fonctionnent au niveau des couches physique et liaison de donnes du modle de rfrence OSI.
Ils fonctionnent au-del de la porte gographique des rseaux LAN.
Ils utilisent les services doprateurs Tlcoms.
Ils utilisent diverses connexions srie pour communiquer.
Les dispositifs WAN les plus couramment utiliss sont les suivants :
Routeur : Dispositif de couche 3 basant ses dcisions dacheminement sur les adresses de la couche rseau
(IP, IPX, etc.). Il offre des interfaces LAN et WAN permettant linterconnexion des rseaux locaux au
rseau mondial (Internet).
Commutateur : Dispositif de couche 2 qui assure la commutation du trafic WAN. Ce dispositif est prsent
au cur dun rseau WAN.
Modem et unit CSU/DSU : Unit de couche 1 agissant au niveau de la forme du signal lectrique. Ce
dispositif se place aux extrmits des liaisons WAN, adaptant ainsi les signaux au format dsir pour
chaque ct.
Serveur de communication : Il concentre les communications utilisateur entrantes et sortantes.
6 / 69
CCNA 2 - Essentiel
ETTD
ETCD
La couche physique dun rseau WAN dcrit principalement linterface entre lETTD et lETCD :
EIA/TIA-232
EIA/TIA-449
EIA/TIA-612/613
V.24
V.35
X.21
G.703
CCNA 2 - Essentiel
7 / 69
HDLC :
o Encapsulation par dfaut pour les interfaces WAN dun routeur Cisco.
o Incompatibilit possible entre les diffrents constructeurs, due aux diffrences dimplmentation.
o Driv et remplaant de SDLC.
PPP :
o Comprend un champ identifiant le protocole de couche rseau.
o Gestion de lauthentification grce aux protocoles PAP et CHAP.
o Remplace le protocole SLIP due sa polyvalence.
Frame Relay :
o Encapsulation simplifie, drive de LAPB.
o Dpourvue de mcanismes de correction derreurs.
o Prvue pour des units numriques haut de gamme.
LAPB :
o Utilise sur les rseaux X.25.
LAPD :
o Utilise sur les canaux D des liaisons RNIS.
CCNA 2 - Essentiel
8 / 69
Les liaisons WAN doivent toujours tre des liaisons point--point entre les quipements dextrmit. Ceci peut tre
obtenu de deux manires :
Utilisation dune liaison physique distincte (services commutation de circuits ou services ddis).
Utilisation dun circuit virtuel au travers dun environnement commut (services commutation de
paquets/cellules).
La liaison est tablie grce un identifiant, savoir un numro de tlphone, pour indiquer au rseau tlphonique
la destination avec laquelle on souhaite crer une liaison. Aprs tablissement de lappel, la liaison ddie est
tablie. Il sagit donc dune commutation physique des diffrents centraux tlphoniques.
Les technologies bases sur ce type de services offrent la bande passante maximale du lien mais uniquement pour
la dure de lappel.
Les exemples de services commutation de circuits sont :
POTS (Plain Old Telephone Service).
RNIS (Rseau Numrique Intgration de Services).
Laboratoire SUPINFO des Technologies Cisco
Site Web : www.labo-cisco.com E-mail : labo-cisco@supinfo.com
Ce document est la proprit de SUPINFO et est soumis aux rgles de droits dauteurs
CCNA 2 - Essentiel
9 / 69
Lutilisation de circuits virtuels par dessus un rseau commut permet de respecter le principe de connexion point-point entre la source et la destination. Le rsultat est donc davoir un circuit virtuel par destination.
La diffrence entre les services commutation de paquets et de cellules est sur la taille des trames ainsi que sur leur
traitement :
Pour la commutation de paquets, les trames ont une taille variable et le traitement est logiciel.
Pour la commutation de cellules, les trames ont une taille fixe et rduite permettant un traitement matriel.
Les technologies bases sur ces services offrent une bande passante partage entre les diffrents trafics de faon
permanente.
Les technologies bases sur le service commutation de paquets sont :
Frame Relay
X.25
Le seul exemple de service commutation de cellules est :
ATM (Asynchronous Transfer Mode)
CCNA 2 - Essentiel
10 / 69
11 / 69
CCNA 2 - Essentiel
La connaissance exacte de lemplacement de chaque composant interne dun routeur nest pas fondamentale. Il
peut tout de mme tre utile de savoir reconnatre les diffrents slots pour les barrettes de RAM et de Flash au cas
o une mise jour serait effectuer.
12 / 69
CCNA 2 - Essentiel
Schmatiquement, les composants internes qui nous intressent principalement sont les diffrentes mmoires
utilises :
RAM : Cest la mmoire principale de travail du routeur. Elle contient entre autres le systme
dexploitation une fois charg, le fichier de configuration active, la ou les tables de routage, ainsi que les
mmoires tampon utilises par les interfaces et la pile utilise par les processus logiciels. Sa taille varie en
fonction du modle de routeur (64 ou 96 Mo sur un 2620XM). Le contenu de cette mmoire est effac lors
de la mise hors tension ou du redmarrage.
NVRAM (Non-Volatile RAM) : Cette mmoire est non volatile, cest--dire que son contenu nest pas
effac lorsque lalimentation est coupe. Sa trs petite capacit de stockage (32 Ko sur un 2620XM) ne lui
permet pas de stocker autre chose que le registre de configuration et le fichier de configuration de
sauvegarde.
Flash : Cest la mmoire de stockage principale du routeur. Elle contient limage du systme dexploitation
Cisco IOS (32 Mo sur un 2620XM). Son contenu est conserv lors de la mise hors tension et du
redmarrage.
ROM : Elle contient le bootstrap ainsi que la squence damorage du routeur. Celle-ci est donc
uniquement utilise au dmarrage du routeur.
13 / 69
CCNA 2 - Essentiel
2.1.2. Composants externes
Un routeur Cisco peut offrir plusieurs types de connectiques parmi les suivantes :
Port console : Accs de base pour configuration.
Port auxiliaire : Accs pour configuration au travers dune ligne analogique et modems interposs.
Interface(s) LAN
Interface(s) WAN
Slot(s) NM (Network Module)
Slot(s) WIC (WAN Interface Card)
14 / 69
CCNA 2 - Essentiel
2.2. Branchements
2.2.1. Interfaces LAN et WAN
Les interfaces rseaux fournies par un routeur Cisco peuvent tre de divers
types et sont classifies en fonction du type de rseau connecter (LAN ou
WAN).
Elles peuvent tre fixes au chssis ou livres sous la forme de cartes (WIC
ou NM) pour les routeurs modulaires.
Ces interfaces seront utilises par les protocoles de couche 3 du modle OSI
pour le routage.
Carte WIC-2A/S
15 / 69
CCNA 2 - Essentiel
La ligne console est laccs de configuration utiliser lorsque aucune
configuration nest charge ou si cette dernire ne permet pas laccs
par un autre moyen (Telnet, etc.).
Il faut connecter le port console du routeur un port srie (RS-232)
en utilisant un cble console (rollover).
16 / 69
CCNA 2 - Essentiel
Invite de commande
Router >
Router #
Router (config) #
Router (config-if) #
Router (config-line) #
Router (config-router) #
Nous allons maintenant voir les commandes et les combinaisons de touches permettant de naviguer dans ces
diffrents modes dIOS :
17 / 69
CCNA 2 - Essentiel
Les commandes utiliser pour passer dans un mode de configuration spcifique sont les suivantes :
line {type} {numro}
o Mode de configuration globale
o Permet de passer dans le mode de configuration dune ligne
interface {type} {numro}
o Mode de configuration globale
o Permet de passer dans le mode de configuration dinterface
router {protocole} [option]
o Mode de configuration globale
o Permet de passer dans le mode de configuration du routeur
Pour les lignes et les interfaces, la numrotation commence 0.
Le caractre ^ : Celui-ci nous indique quel endroit se trouve une erreur dans une commande errone.
Dans ce cas, il suffit juste de retaper la commande jusqu ce caractre, puis dutiliser le caractre ? pour
obtenir la liste des possibilits pour cette commande.
La touche de tabulation : Cette touche est trs couramment utilise en environnement IOS car, linstar
de certains Shell UNIX, elle effectue une compltion maximale par rapport aux diffrentes possibilits.
Description
Revient au dbut de la ligne de commande
Recule dun mot
Recule dun caractre
Va la fin de la ligne de commande
Avance dun caractre
Avance dun mot
Active/dsactive les commandes ddition avance
Il existe un autre point voir. Il ne sagit pas dune commande en lui-mme, mais plutt dun petit systme
dinformation pratique. Il sagit du caractre $ qui peut apparatre en dbut ou en fin de ligne dcran lorsque la
commande en elle-mme fait plus dune ligne cran. Ceci indique donc quune partie de la ligne de commande est
masque.
18 / 69
CCNA 2 - Essentiel
Description
Rappel de la commande prcdente
Rappel de la commande suivante
Affiche la liste des commandes en mmoire
Dfinit la taille de la mmoire de commandes (valeur maximale de 256)
Active/dsactive les fonctions dhistorique
Les trois dernires commandes sont utilisables dans les modes utilisateur et privilgi uniquement.
19 / 69
CCNA 2 - Essentiel
Les diffrentes commandes (IOS >= 11) associes aux fichiers de configuration sont les suivantes :
Terminal
show running-config
show startup-config
RAM
Serveur
TFTP
NVRAM
erase startup-config
Corbeille
CCNA 2 - Essentiel
20 / 69
CCNA 2 - Essentiel
21 / 69
show clock
o Affiche la date et lheure du systme
Cette configuration est manuelle, et est ncessaire chaque redmarrage du routeur. Il est possible dutiliser le
protocole NTP (Network Time Protocol), afin de maintenir synchronis le routeur avec un serveur de temps.
CCNA 2 - Essentiel
22 / 69
[no] ip domain-lookup
o Mode de configuration globale
o Active/dsactive la rsolution dynamique de noms (DNS)
ip domain-name {prfixe}
o Mode de configuration globale
o Prcise le prfixe DNS par dfaut utiliser pour la rsolution dadresses dynamique
La commande show hosts permet dafficher la table des correspondances entre les noms dhte et leur(s) adresse(s)
de couche 3. Les champs de cette table sont les suivants :
Information Description
Host
Noms des machines connues
Description de la mthode utilise pour apprendre les informations
Flag
et pour juger de leur pertinence actuelle
perm
Configur manuellement dans une table dhtes
temp
Acquis par le biais dun serveur DNS
OK
Entre valide
EX
Entre obsolte, expire
Age
Temps (en heures) coul depuis que le logiciel a appris lentre
Type
Champ identifiant le protocole de couche 3
Address(es) Adresses logiques associes au nom de machine
CCNA 2 - Essentiel
23 / 69
description {texte}
o Mode de configuration dinterface
o Le texte de description ne peut pas excder 80 caractres sur les anciens modles
(exemple : Routeur 2500) ou 240 caractres sur les modles plus rcent (exemple : Routeur 2600).
o Cette description est visible en utilisant la commande show interfaces.
login
o
o
o
CCNA 2 - Essentiel
24 / 69
Les mots de passe pour les lignes console et auxiliaire ne sont pris en compte quaprs le redmarrage du routeur.
Les lignes auxiliaire et VTY ne sont pas oprationnelles si elles nont pas de mot de passe configur. Cela signifie
quaucun accs autre que par la ligne console nest faisable sans configuration pralable.
On peut aussi restreindre laccs au mode privilgi en utilisant au moins une de ces commandes :
enable password {mot de passe}
o Mode de configuration globale
o Le mot de passe est crit en clair dans le fichier de configuration
Malheureusement, tous les mots de passe, lexception du enable secret, sont crits en clair dans le fichier de
configuration. Ceci implique une plausible faille de scurit (sauvegarde dun fichier de configuration sur un
serveur TFTP non scuris, etc.).
Pour y remdier, il faut utiliser la commande service password-encryption depuis le mode de configuration
globale. Cette commande permet de crypter tous les mots de passe crits en clair dans le fichier de configuration en
utilisant un algorithme propritaire Cisco.
25 / 69
CCNA 2 - Essentiel
CCNA 2 - Essentiel
26 / 69
La configuration basique de ces interfaces est trs simple, et se rsume ces commandes :
interface {Ethernet | FastEthernet} {numro | slot/numro}
o Mode de configuration globale
o Permet de passer dans le mode de configuration dinterface
[no] keepalive
o Mode de configuration dinterface
o Active/dsactive les "keep alive" sur linterface
o Utile pour rendre une interface oprationnelle sans avoir brancher un mdia
[no] shutdown
o Mode de configuration dinterface
o Active/dsactive administrativement linterface
[no] shutdown
o Mode de configuration dinterface
o Active/dsactive administrativement linterface
27 / 69
CCNA 2 - Essentiel
4.1.1. Thorie
Le protocole CDP permet principalement de connatre les plateformes et les protocoles utiliss par les dispositifs
voisins (cest--dire directement connects).
Voici les diffrentes caractristiques du protocole CDP :
Existe depuis IOS 10.3
Actif par dfaut
Fonctionne au niveau de la couche 2 (permet donc dobtenir des informations sur les voisins mme si les
protocoles de couche 3 sont diffrents ou non configurs)
Trames CDP multicast envoyes toutes les 60 secondes
CDP peut fournir ces informations :
Information
ID de dispositif
Liste dadresses
Identifiant de port
Liste de capacits
Version dIOS
Plateforme
Description
Nom dhte et nom de domaine du voisin
Une adresse pour chaque protocole rout du voisin
Interface du voisin utilise pour se connecter au routeur local
Fonction du dispositif voisin (routeur, pont, commutateur, etc.)
Version dIOS du voisin
Type de dispositif (Cisco 2620XM, Catalyst 2950, etc.)
CCNA 2 - Essentiel
28 / 69
4.1.2. Configuration
La configuration de CDP est trs simple, et se rsume ces commandes :
[no] cdp run
o Mode de configuration globale
o Active/dsactive le protocole CDP pour tout le routeur
o Actif par dfaut
4.2. Telnet
4.2.1. Thorie
Telnet est un protocole faisant partie intgrante de la pile de protocole TCP/IP et fonctionnant au niveau de la
couche application du modle OSI. Il offre un moyen daccs distant aux dispositifs rseaux sous la forme dun
terminal virtuel (VTY).
La communication rseau seffectue laide du protocole TCP sur le port 23.
Telnet est utilis la fois pour laccs distant pour configuration ainsi qu des fins de tests et de rsolution de
problmes. Ce dernier point sera tudi dans le chapitre correspondant.
Laboratoire SUPINFO des Technologies Cisco
Site Web : www.labo-cisco.com E-mail : labo-cisco@supinfo.com
Ce document est la proprit de SUPINFO et est soumis aux rgles de droits dauteurs
29 / 69
CCNA 2 - Essentiel
CCNA 2 - Essentiel
30 / 69
La deuxime phase correspond la recherche de limage dIOS proprement parler, en utilisant ces squences de
recherche. Si la squence de recherche dimage IOS prcise dans le fichier de configuration de sauvegarde ne
permet pas de trouver une image valide ou si elle est ignore, le routeur tentera de dmarrer en utilisant la premire
image prsente en Flash.
Si aucune image IOS na pu tre trouve, le dmarrage du routeur sarrtera au mode RXBoot.
31 / 69
CCNA 2 - Essentiel
Ltape n3 consiste charger une configuration. Par dfaut, le routeur importera le fichier de configuration de
sauvegarde dans le fichier de configuration courante.
Si le fichier de configuration de sauvegarde nest pas charg, car inexistant ou ignor, la configuration initiale est
charge et le mode SETUP est automatiquement lanc, afin de procder la configuration basique du routeur.
Les commandes ci-dessus permettent donc de prciser lemplacement ainsi que lordre de recherche de limage
IOS pour la squence damorage. Lemplacement est explicit par la commande elle-mme, alors que lordre de
recherche est dfinit par lordre dans lequel on a entr les commandes.
Description
Passer par le mode moniteur de mmoire ROM et attendre que
lutilisateur tape la commande b ou boot pour dmarrer
Dmarrer avec la premire image prsente en Flash ou en utilisant
limage minimaliste prsente en ROM (anciens routeurs)
Demander dutiliser les commandes boot system prsentes dans
la configuration de sauvegarde. Si aucune commande boot system
ne permet datteindre une image IOS valide, le routeur tentera de
dmarrer avec la premire image disponible en Flash.
CCNA 2 - Essentiel
32 / 69
Les 12 autres bits du registre de configuration ont une signification qui ne sera pas tudie dans ce cours. Il faudra
par consquent toujours garder la valeur par dfaut sauf si lon en connat leffet.
Les commandes lies au registre de configuration sont :
config-register {valeur}
o Mode de configuration globale
o Permet de modifier la valeur du registre de configuration
o Le paramtre valeur est exprim en hexadcimal (prfixe 0x)
o Toute modification de la valeur est prise en compte lors du redmarrage
show version
o Affiche la valeur du registre de configuration
33 / 69
CCNA 2 - Essentiel
Signification
Mmoire Flash du routeur
Mmoire NVRAM du routeur
Mmoire RAM du routeur
Serveur rseau utilisant le protocole FTP
Serveur rseau utilisant le protocole TFTP
Il existe beaucoup dautres prfixes qui ne seront pas tudis dans ce cours.
Il nexiste pas une seule, mais une multitude de versions dIOS. Cest pourquoi une convention de noms est dfinie
afin de fournir toutes les informations sur limage concerne.
Cette convention de noms est la suivante : {Plateforme}-{Feature Set}-{Format}.{Version}.bin
Plateforme est le matriel sur lequel limage est prvue pour fonctionner (exemple : c2600 pour un routeur
de la gamme Cisco 2600).
Feature Set correspond lensemble des fonctionnalits incluses dans limage (exemple : js pour une
image de type "Entreprise Plus" et k9 pour un niveau dencryption).
Format permet de connatre le format de conditionnement de limage (exemple : mz pour une image
compresse).
Version est le numro de version de limage IOS (exemple : 123-9 pour un IOS version "12.3(9)").
CCNA 2 - Essentiel
34 / 69
Export
o Source interne vers une destination externe
o Utilis pour la sauvegarde des donnes
Au travers de cette commande copy, on peut donc effectuer une opration importante, savoir la mise jour de
limage IOS.
Pour cette opration, il faut donc prendre quelques prcautions prliminaires, et procder comme suit :
Etape n1 : Vrifier si la quantit de mmoire Flash disponible est suffisante pour une nouvelle image IOS
Etape n2 : Sauvegarder limage IOS actuelle sur un serveur TFTP ou FTP
Etape n3 : Lancer la mise jour laide de la commande copy
Etape n4 : Vrification de la validit de limage IOS par le systme (checksum)
CCNA 2 - Essentiel
35 / 69
IP_SUBNET_MASK={SM}
o Variable denvironnement spcifiant le masque de sous-rseau du routeur
DEFAULT_GATEWAY={IP}
o Variable denvironnement spcifiant ladresse IP de la passerelle par dfaut pour le routeur
TFTP_SERVER={IP}
o Variable denvironnement spcifiant ladresse IP du serveur TFTP utiliser
TFTP_FILE={{rpertoire/}{nom fichier}}
o Variable denvironnement spcifiant lemplacement de limage IOS sur ce serveur TFTP
tftpdnld
o Lance le tlchargement de limage IOS en utilisant les valeurs des variables denvironnement
reset
o Redmarre le routeur
i
o Quitte le mode RXBoot et continue la squence damorage du routeur
Les commandes ci-dessus peuvent varier en fonction de la plateforme utilise. Elles correspondent au mode
RXBoot des dernires plateformes Cisco et ne fonctionnent pas sur les anciennes (tel que les routeurs Cisco 2500).
Il est plausible quun problme survienne avec IOS. Ceci peut aller de lutilisation dune image non prvue pour la
plateforme lutilisation dune image nayant pas assez de mmoire RAM pour se lancer, en passant par de bien
nombreuses autres possibilits.
Dans ce genre de situations, le seul recours est le mode RXBoot. Pour la rcupration dune image IOS, on peut
procder de 2 manires diffrentes :
Mthode Xmodem
Mthode tftpdnld
La premire mthode (Xmodem) est utilise lorsque le routeur nest branch qu un ordinateur via son port
console (il faut possder limage IOS sur lordinateur reli au routeur par le cble console) :
Etape n1 : Modifier les paramtres de la ligne console avec la commande confreg (vitesse par dfaut de
56000 bauds changer en 115200 bauds)
Etape n2 : Redmarrer le routeur avec la commande reset puis entrer de nouveau dans le mode RXBoot
Etape n3 : Lancer la demande de tlchargement avec la commande xmodem c {nom fichier}
Etape n4 : Lancer le tlchargement de limage grce au protocole Xmodem depuis le logiciel
dmulation de terminaux
Etape n5 : Une fois le tlchargement termin, effectuer un redmarrage du routeur
La deuxime mthode (tftpdnld) est utilise lorsquun serveur TFTP est disponible sur le rseau :
Etape n1 : Configurer toutes les variables denvironnement
Etape n2 : Vrifier les variables denvironnement avec la commande set
Etape n3 : Lancer le tlchargement de limage IOS avec la commande tftpdnld
Etape n4 : relancer la squence damorage du routeur avec la commande i ou reset
CCNA 2 - Essentiel
36 / 69
6. Routage
6.1. Principes fondamentaux
6.1.1. Fonctions de routage et de commutation
La couche rseau fournit un acheminement de bout en bout et au mieux des paquets travers les rseaux
interconnects. Ceci est effectu par 2 fonctions distinctes :
Fonction de routage
Fonction de commutation
La fonction de routage utilise la table de routage du protocole rout utilis par le paquet faire transiter pour
dterminer le meilleur chemin emprunter pour atteindre le rseau de destination. La mtrique est utilise pour
offrir une mesure de qualit des diffrents chemins.
La fonction de commutation permet un routeur d'accepter un paquet dune file dattente d'entre et de le
transmettre une file dattente de sortie.
Le but de ces deux fonctions est donc compltement diffrent et entirement complmentaire.
Il existe plusieurs mthodes permettant doptimiser la relation entre les fonctions de routage et de commutation.
Ces mthodes permettent lacclration de la transmission des paquets au travers dun routeur en mettant en
mmoire cache, les dcisions de routage dj prises. Il existe les mthodes suivantes :
Fast Switching
Silicon Switching
Autonomous Switching
CEF (Cisco Express Forwarding)
Par dfaut, un routeur Cisco utilise le Fast Switching, qui permet de mettre en mmoire cache les dcisions de
routage pour chaque destination. Pour cela, la premire dcision est effectue normalement, en passant
successivement par les fonctions de routage et de commutation. A ce moment l, on place en mmoire cache la
dcision de routage (linterface de sortie) ainsi que len-tte de trame qui fut gnr pour la trame de sortie.
Les paquets suivants pour cette mme destination se verront alors automatiquement traits de la mme manire que
le premier, en utilisant la mme interface de sortie ainsi que le mme en-tte de trame. Cela permet donc
dconomiser le temps de parcours de la table de routage ainsi que le temps de cration de len-tte pour la nouvelle
trame.
Sauf exceptions, ces mthodes ont un inconvnient majeur, savoir que seule la premire dcision de routage est
mise en mmoire cache. Cela signifie que le partage de charge entre plusieurs liens pour une mme destination
devient impossible. Il faut donc choisir entre rapidit de transmission par le routeur et rpartition de charge.
La commande suivante peut tre utilise :
[no] ip route-cache
o Mode de configuration dinterface
o Active/dsactive le Fast Switching sur linterface courante
o Actif par dfaut
37 / 69
CCNA 2 - Essentiel
6.1.2. Processus de transmission
Si les adresses IP de sous-rseau sont les mmes, alors la source met la trame avec ladresse de couche 2
de la destination. Lmission est ainsi directe.
Par contre, si les adresses IP de sous-rseau sont diffrentes, alors la source encapsule la trame avec
ladresse de couche 2 de sa passerelle par dfaut puis lenvoie.
La passerelle par dfaut, savoir gnralement un routeur, reoit cette trame. Ce routeur va dterminer le
chemin emprunter afin datteindre le rseau de destination. Ceci se fait grce aux informations de couche
3 fournies par le paquet ainsi que par lanalyse dune table de routage.
Le routeur actuel est un routeur intermdiaire sur le chemin, cest--dire quil va falloir passer
obligatoirement par un autre routeur afin datteindre le rseau de destination. La trame va donc tre
encapsule avec ladresse de couche 2 de linterface de ce routeur, et celle du prochain saut dans le champ
adresse de destination.
38 / 69
CCNA 2 - Essentiel
Interface de sortie
o Interface locale du routeur vers laquelle le paquet sortira.
Prochain saut
o Adresse de couche 3 du prochain routeur sur le chemin pour atteindre le rseau de destination.
Mtrique
o Il sagit dune valeur numrique, utilise par les protocoles de routage, qui permet la slection du
meilleur chemin et qui est base sur des critres propres chaque protocole de routage.
o Plus la mtrique est petite, meilleure est la route.
Distance administrative
o Cette valeur numrique permet dindiquer un ordre de prfrence entre les diffrents protocoles
lorsque plusieurs dentre eux concourent pour une mme entre dans la table de routage. En effet,
il est presque impossible de comparer objectivement les informations fournies par diffrents
protocoles de routage en utilisant leurs mtriques calcules avec des critres diffrents.
o Plus la distance administrative est petite, plus le protocole est considr comme prioritaire.
o Les diffrentes valeurs connatre sont :
Protocole
Directement connect
Statique
RIP
IGRP
Distance administrative
0
1
120
100
Moyen dapprentissage
o Ce champ explicite la mthode dapprentissage pour chaque entre dans la table de routage, en
nous prcisant le protocole de routage qui nous a inform de cette entre :
Code
C
S
R
I
*
Protocole
Directement connect
Statique
RIP
IGRP
Candidat par dfaut
39 / 69
CCNA 2 - Essentiel
Un rseau candidat par dfaut (aussi appel route par dfaut) est une entre de table de routage qui dirige les
paquets vers un saut suivant dfinit, lorsquil ny a pas dentre explicite pour le rseau de destination. Ce type de
route est utilis par exemple pour rediriger les paquets dun rseau LAN vers Internet.
Paquet entrant
Entre
explicite dans
la table de
routage ?
Oui
Non
Rseau
candidat par
dfaut ?
Non
Paquet supprim
Message ICMP "Network Unreachable"
envoy la source
Oui
Paquet dirig vers
linterface de sortie
Tout paquet quun routeur reoit nayant pas dentre explicite ou implicite (rseau candidat par dfaut) dans la
table de routage est dtruit. Le message ICMP "Network Unreachable" est alors envoy par le routeur la station
source du paquet.
La dcision prise par la fonction de routage est base sur le principe de la correspondance la plus longue. Ceci
signifie que si plusieurs entres existent dans la table de routage, la plus prcise correspondant la destination sera
choisie.
CCNA 2 - Essentiel
40 / 69
Dynamique : Une fois qu'un administrateur rseau a entr les commandes de configuration pour lancer le
routage dynamique, les informations relatives aux routes sont mises jour automatiquement, par un
processus de routage.
Lorsqu'un rseau n'est accessible que par un seul chemin, une route statique vers ce rseau peut s'avrer
suffisante. Ce type de rseau est appel rseau d'extrmit. La configuration d'une route statique vers un
rseau d'extrmit permet d'viter la surcharge lie au routage dynamique.
Il vite davoir une perte en bande passante due aux mises jour envoyes par les protocoles de routage.
Le routage dynamique possde comme avantage principal de sadapter automatiquement aux modifications
topologiques.
CCNA 2 - Essentiel
41 / 69
Lorsqu'un algorithme de routage met jour une table de routage, son principal objectif est de dterminer les
meilleures informations inclure dans cette table. Chaque algorithme de routage interprte sa faon les meilleures
informations.
Un protocole de routage peut calculer les mtriques en fonction de critres tels que :
Bande passante : Le dbit d'une liaison, mesur en bits par seconde.
Dlai : Le temps requis pour acheminer un paquet, de la source la destination.
Charge : La quantit de trafic sur une ressource rseau telle qu'un routeur ou une liaison.
Fiabilit : Cette notion indique gnralement le taux d'erreurs sur chaque liaison du rseau.
Nombre de sauts : Le nombre de routeurs par lesquels un paquet doit passer avant d'arriver destination.
Tics : L'intervalle de temps entre 2 trames pour une liaison de donne prcise (environ 55 millisecondes).
Cot : Gnralement base sur une dpense montaire attribue un lien par un administrateur rseau.
42 / 69
CCNA 2 - Essentiel
Le principe du Split Horizon est simple. Aucune information de mise jour ne sera renvoye par le chemin par
lequel on a appris la modification de topologie. Ceci permet dviter de renvoyer la source des informations
errones.
Ceci implique donc que linformation se propage toujours du plus prs du rseau de destination au plus loign,
sans jamais revenir en arrire.
43 / 69
CCNA 2 - Essentiel
Combin au Split Horizon, le Route Poisoning nexclut pas les routes concernes par la rgle du Split Horizon mais
leur attribue une mtrique infinie.
CCNA 2 - Essentiel
44 / 69
45 / 69
CCNA 2 - Essentiel
Table de
voisinage
Table de
topologie
Etablir/maintenir des
relations avec les
voisins, pour connatre
leur tat
Echanges de LSAs
Table de
routage
Connatre la ou les
meilleures routes pour
chaque destination
46 / 69
CCNA 2 - Essentiel
Ressource mmoire : Une grande quantit de mmoire RAM est utilise par un protocole de routage tat
de liens car il faut stocker les tables de voisinage ainsi que de topologie en plus de la classique table de
routage.
Protocoles de routage extrieurs (EGP) : Protocoles permettant le routage entre les systmes autonomes.
Les protocoles de routage intrieurs voient un systme autonome comme un seul et unique protocole de routage. De
ce point de vue, si plusieurs protocoles de routage existent dans un mme systme autonome, chaque protocole
considrera le protocole adjacent comme externe.
Les protocoles de routage sont donc classifis ainsi :
Classification
IGP
EGP
Protocoles
RIP, IGRP, EIGRP, OSPF et IS-IS
EGP et BGP
Typiquement, la convergence dun rseau est restreinte au systme autonome. Le temps de convergence dpend
donc du protocole utilis dans le systme autonome.
47 / 69
CCNA 2 - Essentiel
ip classless
o Mode de configuration globale
o Active le routage Classless sur le routeur
o Actif par dfaut
o Permet lutilisation dinformation de routage Classless, telles que les routes par dfaut
Il est possible de crer une route statique par dfaut. Pour cela, il suffit dutiliser le pseudo rseau ayant pour
prfixe 0.0.0.0 et pour masque de sous-rseau 0.0.0.0. Cette route statique sera considre par le routeur comme un
rseau candidat par dfaut dans la table de routage.
Les routes statiques sont prioritaires nimporte quel protocole de routage, cause de la distance administrative par
dfaut (gale 1). Cette distance peut tre modifie afin de rendre une route statique moins prfrable une entre
fournie par un protocole de routage.
Pour cela, il faut expliciter pour la route statique une distance administrative plus grande que celle du protocole de
routage.
On cre ainsi une route statique flottante, qui est une route alternative une autre en cas de dfaillance de la
premire. Une route statique flottante doit tre pour la mme destination quune entre fournie par un protocole de
routage.
48 / 69
CCNA 2 - Essentiel
Cette route statique flottante napparat dans la table de routage que lorsque lentre fournie par le protocole de
routage nest plus valide.
Les commandes utilises pour la visualisation dtat sont :
show ip protocols : Affiche la liste des protocoles de routage configurs sur le routeur ainsi que les
informations gnrales les concernant (interfaces participant chaque processus de routage, rseaux
avertis, compteurs, etc.).
49 / 69
CCNA 2 - Essentiel
7. Protocole RIP
7.1. Thorie
RIP (Routing Information Protocol) est un protocole de routage vecteur de distance. Il existe en deux versions :
RIPv1 (RFC 1058) : Premire version du protocole RIP.
RIPv2 (RFC 1723) : Evolution permettant le routage Classless (en transmettant les masques de sousrseaux en plus des prfixes dans les mises jour) et la transmission des mises jour en multicast.
RIPv1
Classful
Broadcast pour les mises jour
Prfixes dans les mises jour
RIPv2
Classless
Multicast (224.0.0.9) pour les mises jour
Prfixes et masques de sous-rseau dans les mises jour
Support du VLSM
Authentification des voisins
Inconvnients
Temps de convergence lent
Nombre de sauts pour calculer les mtriques
Nombre de sauts limit 15
RIP na pas de notion de systme autonome. Ceci signifie quil ne connat rien dautre que lui-mme. Le seul
moyen de pouvoir sortir du systme autonome RIP est par consquent une route statique par dfaut.
Limplmentation Cisco de RIP supporte les mises jour dclenches. De plus, les caractristiques de ce protocole
font de RIP le protocole de prdilection pour les rseaux LAN homognes de petite taille.
En tant que protocole de routage vecteur de distance, RIP utilise quatre compteurs :
Update : Intervalle de temps entre les mises jour priodiques (30 secondes par dfaut).
Invalid : Intervalle de temps aprs rception de la dernire mise jour pour chaque entre dans la table de
routage avant de la considrer comme prime. Aprs ce temps, lentre concerne ne sera plus analyse
lors du parcours de la table de routage (180 secondes par dfaut).
Holddown : Intervalle de temps aprs rception de la dernire mise jour avant dautoriser le
remplacement de cette route par une autre moins bonne (180 secondes par dfaut).
Flush : Intervalle de temps aprs rception de la dernire mise jour pour chaque entre dans la table de
routage avant de la supprimer de la table de routage (240 secondes par dfaut).
50 / 69
CCNA 2 - Essentiel
Update
Invalid
Holddown
Flush
Temps
0 sec
30 sec
180 sec
240 sec
7.2. Configuration
7.2.1. Commandes
Les commandes lies la configuration du protocole RIP sont :
router rip
o Mode de configuration globale
o Active le protocole RIP
o Passe dans le mode de configuration du routeur
network {prfixe}
o Mode de configuration du routeur
o Spcifie le rseau qui sera inclut dans les mises jour de routage
o Dtermine les interfaces appartenant ce rseau qui participent au processus de routage
o Le prfixe doit tre un rseau directement connect au routeur
neighbor {IP}
o Mode de configuration du routeur
o Dfinit ladresse IP dun voisin avec lequel RIP changera des mises jour de routage
o Par dfaut, aucun voisin nest dfinit
[no] ip split-horizon
o Mode de configuration dinterface
o Active/dsactive Split Horizon sur linterface courante
version {1 | 2}
o Mode de configuration du routeur
o Indique la version de RIP utilise par le routeur
o Ceci modifie automatiquement le type (RIPv1 ou RIPv2) de mises jour envoyes et reues
o Par dfaut, les mises jour sont de type RIPv1
CCNA 2 - Essentiel
51 / 69
default-information originate
o Mode de configuration du routeur
o Propage le rseau candidat par dfaut aux autres routeurs RIP du systme autonome
maximum-paths {nombre}
o Mode de configuration du routeur
o Spcifie le nombre maximum de liens ayant la mme mtrique pouvant tre utiliss pour la
rpartition de charge
o Par dfaut 4 et maximum 6 ou 16 (IOS >= 12.3(2)T)
redistribute static
o Mode de configuration du routeur
o Injecte les routes statiques locales et les propagent dans les mises jour RIP
7.3. Vrification
IOS fournit une panoplie de commandes permettant de visualiser ltat du protocole RIP ainsi que deffectuer du
dboguage. Ces commandes sont les suivantes :
show ip protocols : Affiche les compteurs RIP, les interfaces participant au processus de routage, les
rseaux avertis ainsi que la version pour les mises jour envoyes et reues.
debug ip rip [events] : Affiche en temps rel les mises jour RIP envoyes et reues.
CCNA 2 - Essentiel
52 / 69
8. Protocole IGRP
8.1. Thorie
IGRP (Interior Gateway Routing Protocol) est un protocole de routage vecteur de distance propritaire Cisco. Il a
t conu au milieu des annes 1980 pour remplacer RIP. En effet, des incohrences de routage peuvent survenir
avec RIP sur des rseaux htrognes.
IGRP est donc capable de fonctionner sur des rseaux htrognes de trs grande taille, tout en proposant un calcul
des mtriques bas sur les critres suivants :
Bande passante
Dlai
Fiabilit
Charge
Les mtriques IGRP sont des nombres sur 24 bits (de 0 16 777 215) calculs laide de cette formule :
Mtrique = (K1 Bandwidth + K2 Bandwidth (256 Load) + K3 Delay) + K5 (Reliability + K4)
Les diffrents paramtres de cette formule sont les suivants :
K1 : Coefficient rattach la bande passante (valeur par dfaut = 1)
K2 : Coefficient rattach la charge (valeur par dfaut = 0)
K3 : Coefficient rattach au dlai (valeur par dfaut = 1)
K4 : Coefficient rattach la fiabilit (valeur par dfaut = 0)
K5 : Coefficient rattach au MTU (valeur par dfaut = 0)
Bandwidth : Valeur correspondant la plus petite bande passante de liaison entre les htes source et
destination. Cette valeur est calcule avec la formule 107 BP, avec BP la bande passante exprime en
Kbps.
Load : Charge sur la liaison. Cest un pourcentage binaire dont la valeur peut aller de 0 255.
Delay : Dlai de transmission sur le chemin exprim en microsecondes (s). Cest la somme des dlais de
toutes les liaisons entre les htes source et destination. Cette valeur est calcule via la formule dlais.
Reliability : Fiabilit de la liaison. Cest aussi un pourcentage binaire dont la valeur peut aller de 0 255 et
qui est dtermine par le ratio entre le nombre de paquets corrects et le nombre de paquets transmis sur le
mdia.
Ainsi, avec les valeurs par dfaut, on arrive la formule simplifie suivante :
Mtrique = Bandwidth + Delay
Mtrique = (107 BP + dlais)
53 / 69
CCNA 2 - Essentiel
Il peut
types :
y avoir jusqu 4 routes pour une mme destination dans la table de routage. Ces routes peuvent tre de 3
Intrieure : Route entre des sous-rseaux directement connects au routeur local.
Systme : Route interne au systme autonome propage par un routeur.
Extrieure : Route externe lAS qui a t redistribue dans lAS IGRP (inclus aussi les routes statiques
redistribues).
En tant que protocole de routage vecteur de distance, IGRP utilise quatre compteurs :
Update : Intervalle de temps entre les mises jour priodiques (90 secondes par dfaut).
Invalid : Intervalle de temps aprs rception de la dernire mise jour pour chaque entre dans la table de
routage avant de la considrer comme prime. Aprs ce temps, lentre concerne ne sera plus analyse
lors du parcours de la table de routage (270 secondes par dfaut, ou 3 fois lUpdate).
Holddown : Intervalle de temps aprs rception de la dernire mise jour avant dautoriser le
remplacement de cette route par une autre moins bonne (280 secondes par dfaut).
Flush : Intervalle de temps aprs rception de la dernire mise jour pour chaque entre dans la table de
routage avant de la supprimer de la table de routage (630 secondes par dfaut, ou 7 fois lUpdate).
IGRP utilise aussi les mises jour Poison Reverse. Ceci permet de placer des routes directement ltat Holddown.
Toute route dont la mtrique augmentant dun facteur de 1,1 fera lobjet dune mise jour Poison Reverse.
CCNA 2 - Essentiel
54 / 69
8.2. Configuration
8.2.1. Commandes
Les commandes pouvant tre utilises pour la configuration du protocole IGRP sont les suivantes :
router igrp {AS}
o Mode de configuration globale
o Active le protocole de routage IGRP sur le routeur pour le systme autonome indiqu en paramtre
o Permet de passer dans le mode de configuration du routeur
network {prfixe}
o Mode de configuration du routeur
o Spcifie le rseau qui sera inclut dans les mises jour de routage
o Dtermine les interfaces appartenant ce rseau qui participent au processus de routage
o Le prfixe doit tre un rseau directement connect au routeur.
neighbor {IP}
o Mode de configuration du routeur
o Dfinit ladresse IP dun voisin avec lequel IGRP changera des mises jour de routage
o Par dfaut, aucun voisin nest dfinit
[no] ip split-horizon
o Mode de configuration dinterface
o Active/dsactive Split Horizon sur linterface courante
maximum-paths {nombre}
o Mode de configuration du routeur
o Spcifie le nombre maximum de liens ayant la mme mtrique pouvant tre utiliss pour la
rpartition de charge
o Par dfaut 4 et maximum 6 ou 16 (IOS >= 12.3(2)T)
variance {valeur}
o Mode de configuration du routeur
o Permet la rpartition de charge entre des liens nayant pas la mme mtrique
o valeur est un entier pouvant aller de 1 128 (dfaut = 1)
o La variance est un coefficient multiplicateur permettant de slectionner les routes ayant des
mtriques identiques la variance prs pour faire de la rpartition de charge pondre (Weighted
Round Robin)
CCNA 2 - Essentiel
55 / 69
ip default-network {prfixe}
o Mode de configuration globale
o Dfinit un rseau candidat par dfaut propager dans le systme autonome
o Le rseau indiqu doit tre connu des routeurs IGRP et doit tre directement connect
o La route propage sera vue par les autres routeurs IGRP comme une route externe
redistribute static
o Mode de configuration du routeur
o Injecte les routes statiques locales et les propagent dans les mises jour IGRP
bandwidth {BP}
o Mode de configuration dinterface
o Dfinit la bande passante de la liaison
o Cette valeur est utilise par IGRP et EIGRP pour le calcul de leurs mtriques.
o Le paramtre BP est exprim en Kbps
CCNA 2 - Essentiel
56 / 69
8.3. Vrification
Comme pour RIP, IOS fournit des commandes de visualisation dtat et de dboguage pour IGRP :
show ip protocols : Affiche les diffrentes instances dIGRP, avec leur numro dAS, les compteurs, les
coefficients utiliss pour le calcul des mtriques, les rseaux avertis ainsi que les interfaces participant au
processus de routage.
57 / 69
CCNA 2 - Essentiel
9. Protocole ICMP
9.1. Thorie
ICMP (Internet Control Message Protocol) est un protocole faisant partie de la pile de protocoles TCP/IP et
fonctionne au niveau de la couche 3 du modle OSI.
Les messages du protocole ICMP sont classifis en deux catgories :
Messages derreurs
Messages de contrle
Les messages derreurs sont prsents pour informer les pairs communiquant dune erreur de transmission,
permettant ainsi de contrer la limitation du protocole IP.
Ces messages derreurs ICMP sont eux-mmes des paquets IP et sont donc aussi sujets aux erreurs de transmission.
Afin dviter une boucle de messages derreurs, les erreurs survenant des messages ICMP ne gnrent pas de
messages derreur ICMP.
Les messages de contrle servent informer sur ltat du rseau (dispositif congestionn, meilleure passerelle par
dfaut existante, etc.).
Les messages ICMP sont encapsuls comme toute autre donne dans un paquet :
En-tte de paquet
Type
En-tte ICMP
Code
Donnes ICMP
Somme de
contrle
58 / 69
CCNA 2 - Essentiel
Message
Echo Reply
Destination Unreachable
Source Quench
Redirect/Change Request
Echo Request
Router Discovery
Router Solicitation
Time Exceeded
Parameter Problem
Timestamp Request
Timestamp Reply
Information Request
Information Reply
Address Mask Request
Address Mask Reply
Le numro de squence est utilis pour distinguer les diffrentes requtes effectues.
59 / 69
CCNA 2 - Essentiel
Les diffrentes valeurs possibles pour le code permettent didentifier la cause du problme :
Code
0
1
2
3
4
5
6
7
8
9
10
11
12
Signification
Rseau inaccessible
Hte inaccessible
Protocole inaccessible
Port inaccessible
Fragmentation ncessaire mais refuse
Echec de la route source
Rseau de destination inconnu
Hte de destination inconnu
Hte source isol
Communication avec le rseau de destination administrativement refuse
Communication avec lhte de destination administrativement refuse
Rseau inaccessible pour le ToS utilis
Hte inaccessible pour le ToS utilis
60 / 69
CCNA 2 - Essentiel
Len-tte du message ICMP envoy par la passerelle par dfaut est le suivant :
Le champ "IP dun routeur" fournit la source ladresse IP du prochain saut utiliser pour la destination quelle a
cherche atteindre.
Le code peut avoir ces valeurs :
Code
0
1
2
3
Signification
Redirection pour le rseau de destination
Redirection pour lhte de destination
Redirection pour le ToS pour le rseau de destination
Redirection pour le Tos pour lhte de destination
Pour configurer le ICMP Redirect sur un routeur Cisco, il faut utiliser cette commande :
[no] ip redirects
o Mode de configuration dinterface
o Active/dsactive les messages ICMP Redirect
o Actif par dfaut
61 / 69
CCNA 2 - Essentiel
Les trois temps envoys, en millisecondes depuis minuit du temps universel (UT), permettent aux deux pairs de
vrifier lheure de lautre, et sont inscrits suivant cette squence :
Temps
dorigine crit
Temps de
rception crit
Timestamp Request
Source
Destination
Timestamp Reply
Temps envoy
crit
Processus dchange de messages ICMP Timestamp
Ces messages sont trs utiles pour synchroniser les dispositifs entre eux ainsi que pour dterminer le temps de
transmission sur la liaison les reliant. De nos jours, le protocole NTP (Network Time Protocol) est utilis la place
de ces messages ICMP.
62 / 69
CCNA 2 - Essentiel
ping [IP ou nom dhte] : Mcanisme de test de base pour la couche 3 permettant de vrifier la connexion
matrielle et l'adresse de couche rseau du modle OSI pour une destination prcise.
trace {IP ou nom dhte} : Gnration de messages partir de chaque routeur situ tout au long du
chemin jusqu la destination.
La commande telnet permet, en plus doffrir un accs un hte pour pouvoir ladministrer, de vrifier ltat
fonctionnel dun service. Il nous est possible par consquent dexpliciter le service, par le biais du port TCP qui lui
est rattach, afin den vrifier le bon fonctionnement.
La commande ping nous renvoie des informations de la forme suivante :
!
.
U
C
I
?
&
Utilise sans aucun paramtre depuis le mode privilgi, la commande ping devient ce qui est appel la commande
ping tendue, permettant de modifier les paramtres pour les requtes.
Lorsquon utilise la commande traceroute, 3 analyseurs sont lancs sur chaque routeur rencontr sur le chemin
menant la destination, afin dobtenir les temps de rponse pour chacun dentre eux. Ceci est trs utile pour
dterminer lemplacement dun plausible problme ou dun goulet dtranglement.
Sil y a un problme quelconque, les rsultats ne seront pas ces temps, mais seront parmi les suivants :
!H
!P
!N
!U
*
CCNA 2 - Essentiel
63 / 69
10.3. Dbogage
IOS met notre disposition toute une panoplie de commandes nous permettant de vrifier en temps rel les
interactions et communications. Cela nous permet de vrifier le bon fonctionnement du routeur et, le cas chant,
davoir des informations sur les problmes rencontrs.
Il faut utiliser les commandes de dbogage avec parcimonie car elles exigent un temps processeur important.
Elles sont disponibles depuis le mode privilgi.
En plus des commandes de dbogage dj tudies, les commandes suivantes sont disponibles :
no debug all : Permet de stopper tous les dbogages en cours.
undebug all : Permet de stopper tous les dbogages en cours.
debug all : Affiche lintgralit des informations de dbogage disponibles.
CCNA 2 - Essentiel
64 / 69
65 / 69
CCNA 2 - Essentiel
11. ACL
11.1. Thorie
11.1.1. Principe fondamental
Une ACL (Access Control List) est une liste squentielle de critres utilise pour du filtrage des paquets. Les ACLs
sont capables dautoriser ou dinterdire des paquets, que ce soit en entre ou en sortie.
Cette liste est parcourue de la premire la dernire instruction jusqu trouver une correspondance. Si le paquet
rpond aux critres dune instruction, le reste des instructions est ignor et le paquet est autoris ou refus. Si
aucune correspondance nest trouve dans les critres explicits par ladministrateur, le paquet est implicitement
supprim.
Il ne peut y avoir quune seule ACL par protocole, par interface et par direction (entre/sortie).
Les ACLs permettent ainsi dautoriser ou dinterdire des trafics en fonctions de critres tels que les adresses
sources et destinations, les protocoles utiliss et les numros de ports.
Une ACL est identifiable par son numro ou son
nom, attribu suivant le protocole et le type :
ACL standard (numrote)
ACL tendue (numrote)
ACL nomme (peut tre de type standard ou
tendue)
Plage de numros
1 99 et 1300 1999
100 199 et 2000 2699
600 699
800 899
900 999
1000 1099
Lavantage principal des ACLs est donc de fournir une base de scurit rseau en filtrant les trafics traversant un
routeur.
Laboratoire SUPINFO des Technologies Cisco
Site Web : www.labo-cisco.com E-mail : labo-cisco@supinfo.com
Ce document est la proprit de SUPINFO et est soumis aux rgles de droits dauteurs
66 / 69
CCNA 2 - Essentiel
Le principal inconvnient est malheureusement un traitement supplmentaire effectuer pour chaque paquet
entrant et/ou sortant du routeur, rallongeant ainsi la latence rseau et la surcharge CPU.
La configuration des ACLs se fait en deux parties distinctes, savoir :
Cration de lACL
Application de lACL sur une interface rseau
Quelques prcautions sont prendre en compte lors de la configuration ou de lutilisation des ACLs :
Les instructions sont toujours parcourues de la premire la dernire, jusqu correspondance des critres.
Si aucune instruction ne correspond au paquet, la dernire instruction implicite indique alors de supprimer
ce paquet.
Une ACL applique sur une interface mais dont les instructions ne sont pas configures na pour seule
instruction que la dernire qui bloque tout. Tout trafic serait alors interdit.
Lors de la cration des instructions, il faut toujours procder du plus prcis (exceptions) jusquau plus
gnrique.
Une ACL IP qui interdit un paquet enverra automatiquement un message ICMP Host Unreachable.
Une ACL pour un trafic sortant naffecte pas le trafic originaire du routeur local.
Par consquent, un masque gnrique ne peut prendre que ces valeurs (pour chaque octet) :
0
15
31
63
127
255
Au niveau syntaxique, deux masques gnriques prcis (les deux extrmes, savoir tout ou rien) peuvent scrire
normalement, sous la forme prfixe/masque gnrique, ou sous une forme plus conviviale. Ces deux exceptions
dcriture sont les suivantes :
{IP} {0.0.0.0} = host {IP}
{IP} {255.255.255.255} = any
CCNA 2 - Essentiel
67 / 69
Lordre de parcours des instructions dpend de lordre dans lequel on a configur les instructions. Une nouvelle
instruction est donc obligatoirement ajoute la fin de la liste, et il est impossible de supprimer une instruction
particulire.
Pour toute modification, il est donc conseill dutiliser un diteur de texte, de copier la liste des instructions de
lACL devant tre modifie, de supprimer cette ACL sur le routeur, dditer les instructions pour faire les
modifications voulues puis de les insrer dans le routeur.
68 / 69
CCNA 2 - Essentiel
Signification
Egal
Diffrent de
Infrieur
Suprieur
Entre (ncessite 2 numros de port)
Le paramtre icmp-type ne peut tre utilis que pour le protocole ICMP, et correspond au nom ou
au numro du type de message ICMP devant tre vrifi.
Le paramtre established ne peut tre utilis que pour le protocole TCP et permet de faire
correspondre uniquement les sessions TCP dj tablies (drapeaux ACK, FIN, PSH, RST, SYN ou
URG).
Pour lordre de parcours ou la modification, les rgles sont les mmes quavec une ACL standard.
69 / 69
CCNA 2 - Essentiel
{permit | deny} {protocole} {prfixe source} {masque source} [{oprateur} {oprande}] {prfixe
destination} {masque destination}[{oprateur} {oprande}] [icmp-type] [log] [established]
o Mode de configuration dACL nomme tendue
o Les paramtres sont identiques que pour une ACL tendue numrote
remark {commentaire}
o Mode de configuration dACL nomme (standard ou tendue)
o Fournit un commentaire pour indiquer lutilit de lACL
no access-list {numro}
o Mode de configuration globale
o Supprime compltement une ACL numrote
Les commandes suivantes servent vrifier le placement des ACLs, ainsi que leurs instructions :
show access-lists [numro | nom] : Affiche la liste des ACLs cres sur le routeur, leurs instructions ainsi
que le nombre de correspondance pour chaque instruction
show ip interface [{type} {numro}] : Permet entre autres de voir quelles sont les ACLs appliques sur les
interfaces et pour quelle direction
Parce que les ACLs standards ne permettent que de filtrer en fonction dadresses sources, il faut les placer au plus
prs de la destination, et inversement pour les ACLs tendues qui doivent toujours tre places au plus prs de la
source.
De plus, les ACLs standards, interdisant intgralement un trafic pour une source donne, bloquent implicitement le
trafic dans le sens oppos (explicitement bloqu de la source vers la destination et implicitement bloqu de la
destination la source).