Vous êtes sur la page 1sur 63

Enonc du TP 8-9 Rseaux

Administration dun rseau local


C. Pain-Barre, A. Meyer et F. Dumas
INFO - IUT Aix-en-Provence

version du 14/5/2013

Manipulez le matriel avec la plus grande prcaution ! Ne tirez pas sur les prises !
30 minutes avant la fin de la sance, procdez la remise en tat du matriel :

sauver une copie de votre running-config et lajouter votre rapport dans une partie
intitule configuration de fin de sance

crer une archive de ce que vous devez remettre votre enseignant


copier votre travail sur cl USB
restaurer sur le routeur la configuration startup-config.defaut
dbrancher le matriel et le remettre en ordre sa place initiale. Les cbles et cordons
doivent tre correctement enrouls et attachs
teindre le PC-LAN et le rebrancher sur le rseau du dpartement
teindre le PC-IUT.

Dans ce sujet, il sera souvent fait rfrence au document de prparation du TP, quon appellera DP.
Reportez-vous aux sections concernes lorsque cest prcis.

Table des matires


I

Installation
Exercice 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
I.1 Cration du rapport sur le PC-IUT . . . . . . . . . . . . . . . .
Exercice 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
I.2 Prparation du PC-LAN . . . . . . . . . . . . . . . . . . . . .
I.2.A Dmontage de net-home . . . . . . . . . . . . . . . .
Exercice 3 . . . . . . . . . . . . . . . . . . . . . . . . .
I.2.B Suppression des routes et dbranchement du rseau
Exercice 4 . . . . . . . . . . . . . . . . . . . . . . . . .
I.2.C Cration (dune partie) du rapport sur le PC-LAN . . .
Exercice 5 . . . . . . . . . . . . . . . . . . . . . . . . .
I.2.D Lancement de la machine virtuelle . . . . . . . . . . .
Exercice 6 . . . . . . . . . . . . . . . . . . . . . . . . .
I.3 Dcouverte du matriel . . . . . . . . . . . . . . . . . . . . .
Exercice 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

INFO - IUT Aix-en-Provence

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.

4
6
7
7
7
8
8
8
8
9
9
9
9
10
10

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

II Familiarisation avec le routeur


II.1 Utilisation de la console . . . . . . . . . . . . .
Exercice 8 . . . . . . . . . . . . . . . . . . . . .
Exercice 9 . . . . . . . . . . . . . . . . . . . . .
II.2 Utilisation des aides la saisie . . . . . . . . .
Exercice 10 . . . . . . . . . . . . . . . . . . . .
II.3 Relev dinformations principales sur le routeur
Exercice 11 . . . . . . . . . . . . . . . . . . . .
II.4 Relev dinformations complmentaires . . . .
II.4.A Les espaces de stockage . . . . . . . .
Exercice 12 . . . . . . . . . . . . . . . .
II.4.B Information sur les interfaces rseau . .
Exercice 13 . . . . . . . . . . . . . . . .

2/63

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

10
10
10
11
13
13
14
15
16
16
16
18
19

III Configurations lmentaires du routeur


III.1 Protection du mode privilgi par un mot de passe
Exercice 14 . . . . . . . . . . . . . . . . . . . . . .
III.2 Sauvegarde de la configuration . . . . . . . . . . .
Exercice 15 . . . . . . . . . . . . . . . . . . . . . .
III.3 Dsactivation des services inutiles . . . . . . . . .
Exercice 16 . . . . . . . . . . . . . . . . . . . . . .
III.4 Vrification de la dsactivation des interfaces . . .
Exercice 17 . . . . . . . . . . . . . . . . . . . . . .
III.5 Changer le nom du routeur . . . . . . . . . . . . .
Exercice 18 . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

20
20
20
21
21
22
22
23
23
23
24

IV Conception Rseau
Exercice 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24
24

V Configurations Rseau
V.1 Mise en place du LAN . . . . . . . . . . . . . . . .
V.1.A Cblage du LAN . . . . . . . . . . . . . . .
Exercice 20 . . . . . . . . . . . . . . . . . .
V.1.B Configuration de linterface LAN du routeur
Exercice 21 . . . . . . . . . . . . . . . . . .
V.1.C Configuration de linterface LAN du PC-LAN
Exercice 22 . . . . . . . . . . . . . . . . . .
V.2 Sauvegarde de la configuration par TFTP . . . . .
Exercice 23 . . . . . . . . . . . . . . . . . . . . . .
V.3 Accs la CLI par TELNET . . . . . . . . . . . . .
Exercice 24 . . . . . . . . . . . . . . . . . . . . . .
V.4 Accs linterface Web du routeur . . . . . . . . .
Exercice 25 . . . . . . . . . . . . . . . . . . . . . .
V.5 Raccordement et configuration ct WAN . . . . .
V.5.A Cblage de linterface WAN du routeur . . .
Exercice 26 . . . . . . . . . . . . . . . . . .
Exercice 27 . . . . . . . . . . . . . . . . . .
V.6 Configuration du routage sur le routeur . . . . . . .
Exercice 28 . . . . . . . . . . . . . . . . . . . . . .
V.7 Configuration de la rsolution DNS sur le routeur .
Exercice 29 . . . . . . . . . . . . . . . . . . . . . .

25
25
26
26
26
30
30
30
31
32
32
33
34
34
34
34
35
35
35
36
36
37

C. Pain-Barre, A. Meyer et F. Dumas, 2010

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

INFO - IUT Aix-en-Provence

3/63

Version du 14/5/2013

V.8 Configuration du routage sur le PC-LAN . . . . .


Exercice 30 . . . . . . . . . . . . . . . . . . . . .
V.9 Configuration de la rsolution DNS sur le PC-LAN
Exercice 31 . . . . . . . . . . . . . . . . . . . . .
V.10 Configuration du service DHCP sur le routeur . .
V.10.A Configuration de lallocation dynamique .
Exercice 32 . . . . . . . . . . . . . . . . .
V.10.B Configuration de lallocation statique . . .
Exercice 33 . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

Enonce du TP 8-9 Reseaux

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

37
37
37
38
38
38
40
41
41

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

42
42
44
47
48
48
50
50
51
52
53
54
55
55
55
56
57
57
58

VII Prise de contrle du routeur sans mot de passe


VII.1 Prise de contrle du routeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exercice 39 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exercice 40 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

58
58
58
59

VIIIAnnexe
VIII.1Message ICMP de test daccessibilit et dtat (PING) . . . . . . . . . . . . . . . . . . .

63
63

VI Configuration du NAT/PAT
VI.1 Le PAT sur le routeur daccs vers Internet (RPAT) . . . . . . . . .
VI.2 Principes et terminologie du NAT . . . . . . . . . . . . . . . . . . .
VI.2.A Traductions inside et outside . . . . . . . . . . . . . . . . .
VI.2.B Variantes du NAT . . . . . . . . . . . . . . . . . . . . . . . .
VI.3 Configuration du PAT dynamique . . . . . . . . . . . . . . . . . . .
Exercice 34 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.4 Fonctionnement de la traduction dynamique PAT . . . . . . . . . .
VI.4.A Initiation dune traduction dynamique PAT . . . . . . . . . .
VI.4.B Traduction dynamique PAT des messages sortants . . . . .
VI.4.C Traduction dynamique PAT des messages entrants . . . . .
VI.5 PAT statique pour la redirection de port des connexions entrantes .
Exercice 35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.6 Scurisation des accs rseau . . . . . . . . . . . . . . . . . . . .
Exercice 36 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.7 Gestion et mise jour de la table des traductions . . . . . . . . . .
Exercice 37 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI.8 Interactions entre le NAT et les autres protocoles . . . . . . . . . .
Exercice 38 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

INFO - IUT Aix-en-Provence

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

4/63

Installation

Installez-vous la place que vous a communique votre enseignant. Votre espace de travail devrait ressembler
lune des prises de vues de la figure 1.

(a) Avec sries 2500, 2600 et modle 1760

(b) Avec routeur 1720 ou 1721

F IGURE 1 Prsentations probables de lespace de travail


Vous disposez de 2 PC et dun certain nombre dquipements qui seront comments lexercice suivant. Le
PC le plus proche de la porte dentre de la salle de TP sera dsign comme le PC-LAN. Comme le montre la figure 2, il sera dconnect du rseau du dpartement, et connect au LAN que vous mettrez en place laide dun
hub/switch et dun routeur que vous connecterez au rseau gr par lenseignant. Lautre PC, quon nommera
PC-IUT, va rester connect au rseau du dpartement (et Internet) et va servir ds le dbut pour administrer le
routeur par lintermdiaire du cble console.
PCLAN

PCIUT
connect au rseau du dpartement

LAN du binme

cble console

cot WAN connect au rseau


du TP (gr par lenseignant)

F IGURE 2 Environnement de travail dun binme : le PC-IUT reste connect au rseau du dpartement et servira
administrer le routeur. Le PC-LAN sera reli au LAN du binme qui comprend un hub/switch et un routeur. Le
binme devra effectuer les cblages (en rouge). Le routeur devra tre connect au rseau gr par lenseignant
(ct WAN).
La figure 3 prsente un aperu du rseau qui sera form au cours du TP, en faisant abstraction du PC-IUT.
Lorganisation exacte est sensiblement diffrente dune salle de TP lautre. Les traits pais rouges de la figure
reprsentent les cblages que devront raliser les binmes : cblage des quipements de leur LAN et raccordement de leur routeur au rseau de lenseignant. Le rseau gr par lenseignant se trouve dans la partie basse
de la figure. Il comprend les switchs SW1, SW2 et SW3, ainsi que le routeur RPAT et le serveur TPSERVEUR.
Comme on le voit, le routeur RPAT permettra daccder Internet. Notons que les adresses IP de RPAT et de
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

5/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

TPSERVEUR font partie des paramtres qui vous ont t remis et diffrent dun groupe lautre.

PCLAN

SW2

PCLAN

PCLAN

LAN Binme
PCLAN

LAN Binme

LAN Binme

LAN Binme

LAN Binme

PCLAN

LAN Binme

SW1

PCLAN

LAN Binme

PCLAN

PCLAN

LAN Binme

PCLAN

LAN Binme

LAN Binme

PCLAN

PCLAN

LAN Binme

PCLAN

LAN Binme

PCLAN

LAN Binme

LAN Binme

PCLAN

SW3

RPAT

TPSERVEUR

Internet

F IGURE 3 Topologie physique globale du rseau du TP. La partie du bas est gre par lenseignant. Les binmes
devront raliser les cblages en traits pais rouges.

La position des binmes na pas dimportance. Malgr la topologie physique apparente de la figure 3, le
rseau gr par lenseignant a en ralit une topologie logique bien diffrente car il est form de 4 vlans : VLAN
10, VLAN 20, VLAN 30 et VLAN 40, comme le montre la figure 4. chaque vlan a t attribu un bloc dadresses
IP, qui figure dans vos paramtres. Les vlans sont partags entre les 3 switchs SW1 SW3 qui sont relis par
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Version du 14/5/2013

VLAN 10

...

PCLAN

VLAN 20

PCLAN

...

LAN Binme

PCLAN

LAN Binme

...

PCLAN

LAN Binme

PCLAN

LAN Binme

LAN Binme

PCLAN

6/63

LAN Binme

Enonce du TP 8-9 Reseaux

VLAN 30

RPAT
TPSERVEUR
VLAN 40

Internet

F IGURE 4 Topologie logique du rseau du TP. Les binmes dun mme vlan sont rpartis dans la salle de TP.

des trunks 802.1Q. RPAT appartient ces 4 vlans, alors que TPSERVEUR nappartient quau VLAN 40. Leurs
adresses dans les vlans correspondants sont prcises dans les paramtres. Les paramtres dun binme indiquent
le numro de leur vlan dappartenance.

Tout ceci sera clarifi plus tard. Retenons que les binmes appartenant un mme vlan peuvent tre
quelconques, ne sont pas forcment situs physiquement cte cte, ni forcment relis au mme
switch du rseau de lenseignant.

Exercice 1 (Checklist)
Vrifier que votre espace de travail est bien quip des lments suivants :
 1 routeur de marque CISCO, parmi les sries 1700, 2500 et 2600, accompagn de son alimentation :
 1 cble dalimentation standard pour les routeurs "rackables" (modle 1760 de la srie 1700 et tous
les modles des sries 2500 et 2600) ;
 1 alimentation spcifique pour les modles 1720 et 1721 (petits routeurs dentreprise) de la srie
1700 ;
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

7/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

 1 Hub ou un Switch dune marque quelconque (CISCO, 3Com, D-Link, . . .) avec 1 cble dalimentation
standard ;
 1 cble console DB-9/RJ-45 (gnralement de couleur bleu clair) ;
 3 cbles droits de catgorie 5 ou suprieure dont 1 de longueur significative (entre 3 et 10 mtres).
 1 gobelet (!) qui servira ranger les attaches des cbles afin dviter de les garer. . .

Lespace de travail doit tre restitu dans le mme tat en fin de sance, propre, les cbles correctement enrouls et attachs, le PC-LAN rebranch sur le rseau et le routeur rinitialis. Les
binmes ne respectant pas ces consignes seront pnaliss ! Merci de manipuler le matriel avec
prcaution.

Dmarrer les 2 PC sous Linux et se loger (on peut utiliser le mme nom dutilisateur sur les 2 PC).

I.1

Cration du rapport sur le PC-IUT

Un rapport et un certain nombre de fichiers seront remettre lenseignant, de prfrence par courrier lectronique, une adresse quil prcisera. Le PC-IUT pourra servir cet envoi car il reste connect au rseau du
dpartement. La rdaction du rapport doit se faire de prfrence sur le PC-IUT. Les fichiers remettre crs sur
le PC-LAN devront tre dposs sur le PC-IUT, soit par cl USB, soit via le rseau si lavancement du binme le
permet.
Exercice 2 (cration du rapport)
Sur le PC-IUT, ouvrir OpenOffice.org Writer (menu Applications Bureautique) et commencer la rdaction de votre rapport en faisant figurer vos noms, prnoms, numro de groupe et de binme. Lenregistrer sous
le nom groupe-binome-Nom1 _Nom2 -pciut.odt o Nom1 et Nom2 sont vos noms.

Dans lnonc, licne


spar.

Un rapport non soign ou difficilement lisible entranera des pnalits !


Utiliser une police chasse fixe (type Courrier) et moduler sa taille pour les commandes tapes
et leur rsultat, qui doivent apparatre clairement afin de faciliter le contrle par lenseignant.
Penser indiquer le numro de lexercice correspondant vos rponses !

I.2

prcise les informations rendre, soit dans le rapport, soit dans un fichier

Prparation du PC-LAN

Le PC-LAN va tre dconnect du rseau de lIUT pour tre raccord au LAN que vous formerez. Mais avant,
il faut prendre un minimum de prcautions. . .
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

I.2.A

Version du 14/5/2013

8/63

Dmontage de net-home

Comme vous le savez srement, votre rpertoire net-home est un montage SAMBA (type CIFS) de votre espace de stockage hberg par les serveurs de luniversit. Vous ny aurez plus accs une fois le PC-LAN dbranch
du rseau du dpartement. Afin de ne pas risquer de corrompre le montage, il vaut mieux le dsactiver.
Exercice 3 (dmontage de net-home)
Sur un terminal du PC-LAN :
1. vrifier les montages actuels des systmes de fichiers en tapant :
$ mount

et reprer la ligne concernant le montage de votre net-home ;


2. dmonter net-home (qui doit tre inutilis) en levant temporairement vos privilges (grce sudo) pour
excuter nonet-home avec la commande suivante :
$ sudo nonet-home

et saisir votre mot de passe lorsque cest demand ;


3. licne reprsentant net-home a d disparatre du bureau. Vrifier toutefois le dmontage en constatant
quil napparat plus dans la sortie de mount.

I.2.B

Suppression des routes et dbranchement du rseau

Avant de dbrancher le PC-LAN du rseau, nous allons supprimer ses routes afin de rduire le trafic quil
pourrait mettre dans le LAN que vous formerez. En effet, comme nous le verrons dans la section suivante, ce
nest pas vraiment le PC-LAN que vous connecterez votre LAN, mais une machine virtuelle quil excutera.
Exercice 4 (arrt rseau du PC-LAN)
Sur un terminal du PC-LAN :
1. afficher la liste des routes connues en tapant :
$ /sbin/route -n

2. supprimer les routes en levant temporairement vos privilges pour excuter noroute avec la commande
suivante :
$ sudo noroute

et saisir votre mot de passe, sil vous est nouveau demand ;


3. vrifier la suppression en constatant que route naffiche plus aucune route.
4. dbrancher alors le cble rseau du PC-LAN, en laissant lautre ct du cble reli la goulotte de raccordement au rseau du dpartement.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

9/63

Version du 14/5/2013

I.2.C

Enonce du TP 8-9 Reseaux

Cration (dune partie) du rapport sur le PC-LAN

Une partie des informations communiquer proviendra du PC-LAN. Pour les prsenter, il nous faut crer un
second rapport sur le PC-LAN, quil faudra ensuite remettre aussi, ainsi que les fichiers qui y auront t gnrs.
Exercice 5 (cration dune partie du rapport sur le PC-LAN)
Sur le PC-LAN, crer le fichier groupe-binome-Nom1 _Nom2 -pclan.odt avec OpenOffice.org Writer
et commencer par faire figurer la mention PCLAN, ainsi que vos noms, prnoms, numro de groupe et de binme.

I.2.D

Ce rapport ne devrait tre utilis que pour les rponses relatives aux informations prsentes uniquement
sur le PC-LAN.

Lancement de la machine virtuelle

Sur votre session sur le PC-LAN, vous tes un utilisateur sans possibilit dadministration, comme dhabitude
(do les utilisations de sudo). Vous ne pouvez (et ne devez) donc pas administrer directement ce PC, notamment
sa configuration rseau. Cela dit, grce VirtualBox, nous allons y excuter une machine virtuelle Linux, sous
laquelle vous serez root. Dans cette machine virtuelle (VM), vous pourrez utiliser toutes les commandes dadministration ncessaires pour lintgrer dans le LAN que vous allez constituer. Nous navons pas encore besoin
dadministrer cette VM, mais nous la crons maintenant car sa cration prend du temps.

Pour tre raccorde votre LAN, la VM est cre avec une carte rseau virtuelle relie par un bridge
(pont virtuel) la carte rseau du PC-LAN. Cela lui donne la possibilit dmettre des trames avec
sa propre adresse MAC en utilisant la carte rseau de lhte, mais aussi den recevoir, sans gner le
systme hte qui peut continuer mettre et recevoir ses propres trames. En supprimant les routes du
systme hte, nous avons limit ses intentions dmettre des trames. . .

Exercice 6 (Lancement de la machine virtuelle sur le PC-LAN)


Se reporter DP (document Prparation au TP dadministration LAN), section 5.I page 25 pour des informations sur la machine virtuelle, et :
1. sur un terminal du PC-LAN, excuter le script mkdebbrg.bash qui automatise la cration et le lancement
dune machine virtuelle Linux. Fournir les renseignements demands concernant votre groupe dtudiant
et votre numro de binme ;
2.

quelle adresse MAC a t donne la carte rseau de votre machine virtuelle ?

3. cliquer sur Ok aux diffrentes fentres dinformation affiches (sur la capture du clavier et de la souris)
lorsque le systme dmarre sous Linux Debian/Lenny ;
4. sur la machine virtuelle (VM), se loger graphiquement en tant que root (mot de passe <re>zo++).
Cliquer sur Suivant au message davertissement ;
5.

sur la VM, ouvrir un terminal. Taper la commande adquate pour vrifier ladresse MAC de la carte
rseau. Lindiquer dans le rapport.

6. sur cette VM, effectuer un clic droit sur licne


Licne devrait tre remplace par

INFO - IUT Aix-en-Provence

ou

en haut droite et dcocher Activer le rseau.

. Nous activerons manuellement le rseau plus tard.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

I.3

Version du 14/5/2013

10/63

Dcouverte du matriel

Exercice 7 (inspection du routeur et du hub/switch)


1. Distinguer le routeur du hub/switch se trouvant sur votre espace de travail. Tous les routeurs sont tiquets
1700-x, 2500-x ou 2600-x (avec x tant un caractre alphanumrique qui varie). Un hub ou un switch
se reconnat car il dispose dune srie de ports RJ-45 colls les uns aux autres. Tous les matriels non
CISCO du TP sont des hubs ou des switchs. Les switchs CISCO prsentent gnralement la mention
Catalyst. Une liste de quelques caractristiques des hubs/switchs sera disposition.
2.

Retirer avec prcaution le routeur de son emplacement et linspecter de tous les cts. Sur le rapport
du PC-IUT, indiquer les lments suivants :

Par dfaut, vos rponses doivent tre incluses dans le rapport du PC-IUT sil ne sagit pas dinformations prsentent (uniquement) sur le PC-LAN. Ne pas rpartir les rponses un exercice
sur les 2 rapports !

(a) son code didentification correspondant ltiquette de sa face avant ( gauche) ;


(b) le numro de sa srie (chercher en faade la mention Cisco numserie series) ;
(c) son numro de modle (chercher larrire une autre mention du type Cisco nummod`ele, o nummod`ele est le numro de modle dans la srie, par exemple modle 2514 de la srie 2500) ;
(d) le nom des ports et interfaces rseaux intgrs au routeur (sur la carte mre). Ils sont gnralement
crits en couleur et cercls (voir DP, sections 2.I et 2.II).
(e) part les routeurs de la srie 2500, tous les autres routeurs ont des slots (emplacements) dextension
(cf. DP, section 2.III). Prciser, pour chaque slot :
i. son type (NM ou WIC), cest dire sil est destin accueillir une carte NM ou une carte WIC ;
ii. pour le type WIC, prciser le code identifiant son emplacement. Par exemple, W0 ou WIC 0
dsignent le premier emplacement, W1 ou WIC 1, le second, etc. Cette information se trouve
proximit du slot dextension ;
iii. si ce slot est occup 1 ou non par une carte approprie. Sil est occup, indiquer le nom inscrit
sur la carte dextension (WIC. . . ou NM. . .), ainsi que le nom des interfaces quelle fournit
(noms de couleurs cercls tiquetant le connecteur correspondant).
3. Replacer le routeur, de prfrence avec les interfaces rseau face vous. Si le routeur est plat, le placer
entre le PC-IUT et son moniteur, sinon le placer de faon stable. Sassurer que son interrupteur est sur
Off, puis brancher son alimentation.

II

Familiarisation avec le routeur

II.1

Utilisation de la console

Nous allons procder la mise en place de la console, partir de laquelle nous prendrons le contrle du
routeur.
1. Les slots inoccups ont un simple cache, sans connecteur.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

11/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Exercice 8 (Liaison srie PC-IUT - routeur)


Consulter DP, section 4.I, page 20, et procder au cblage de la liaison srie entre le PC-IUT et le port console
du routeur avec le cble console :

Attention aux cbles si vous dplacez les PCs ! Il peut tre plus simple de passer de lautre ct
de la table pour se connecter au port srie.

Exercice 9 (Minicom pour muler la console)


Se rfrer DP, section 4.II, page 21, concernant minicom, son paramtrage et son utilisation, et raliser les
tapes suivantes pour accder la console :
1. Dans une fentre terminal sur le PC-IUT, lancer minicom dans son mode de configuration :
$ minicom -s

2. Un menu saffiche. Utiliser les flches pour choisir Configurer le port srie :

3. Le sous-menu affich rsume les paramtres actuels dont certains doivent tre modifis :

4. Taper A pour spcifier le port srie adquat (voir les paramtres utiliser dans DP, section 4.II.A,
page 22), puis valider le changement par Entre
5. Taper E pour modifier les paramtres de communication. Le sous-menu correspondant devrait tre :
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

12/63

Modifier les paramtres pour obtenir 9600 8N1. Valider les changements en tapant Entre
6. Taper nouveau Entre pour revenir au menu principal
7. Puis, choisir "Sortir" afin de commencer la simulation du terminal
8. Dmarrer le routeur. Les premiers messages du routeur devraient apparatre (voir DP, section 4.II.B,
page 22). Si, aprs quelques secondes, toujouts rien nest affich, teindre le routeur et revoir le cblage
et les paramtres de minicom
9. Le routeur est plus ou moins long avant dtre oprationnel. Attendre quil affiche le prompt (tel que
Router> ou 2600-2>) ou un message vous invitant taper sur Entre (auquel cas, taper Entre
pour afficher le prompt), signifiant quon est en mode utilisateur (user mode)

Il peut arriver que laffichage du prompt passe inaperu suite laffichage de messages dinformation (lignes commenant par %). Si le prompt nest toujours pas apparent aprs un temps
significatif dinactivit du routeur, taper Entre , ce qui devrait le faire afficher.

Si le routeur vous demande (en anglais) si vous voulez entrer dans le menu de configuration, rpondre no !

10. Tenter dexcuter la commande :


Router>sh run

cela devrait chouer car vous ntes pas en mode privilgi (enable mode)
11. Tenter dentrer en mode privilgi. Sans le mot de passe, vous chouerez, et le rsultat doit tre similaire
celui-ci :
Router>enable
Password: taper quelque chose Entre
Password: taper quelque chose Entre
Password: taper quelque chose Entre
% Bad secrets
Router>

Lentre en mode privilgi doit chouer (sinon, le routeur a une mauvaise configuration).
Si elle russit, taper exit pour revenir au mode utilisateur, et continuer comme si vous naviez
pas accs au mode privilgi.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

13/63

II.2

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Utilisation des aides la saisie

La console tant oprationnelle, on va se familiariser avec la CLI et son aide intgre qui est aussi disponible
en mode utilisateur.
Exercice 10 (facilits de la CLI)
Se rfrer DP, section 3.IV, page 17 pour la pagination et section 3.V, page 17 pour les diffrentes aides
manipules ci-aprs :
1. Sur la CLI, taper :
Routeur>?

pour afficher la liste des commandes disponibles en mode utilisateur. Comme il y en a de nombreuses,
cette liste est pagine ;

Pour la pagination, Espace fait passer la page suivante ; Entre fait avancer dune
ligne ; et toute autre touche termine la pagination.

2. Puis taper :
Routeur>sh Tabulation

pour faire complter sh en show


3. Puis continuer en tapant un point dinterrogation :
Router>show ?

Pour voir les paramtres que prend la commande show. nouveau, la liste est longue et pagine car la
sortie occupe plus de 24 lignes
4. Puis taper :
Router>show v?

Pour voir les paramtres commenant par v que prend show


5. Excuter
Router>show ve

pour faire afficher les informations sur le routeur.

Il sagit dune criture raccourcie de la commande show version, qui aurait pu mme
scrire sh ve

6. Rappeler la commande avec la flche du haut et ajouter une tabulation :


Router>show ve Tabulation

qui devrait complter la commande en show version, qui a t excute prcdemment avec un nom
court
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

14/63

7. Demander nouveau de laide sur les possibilits restantes en tapant un ? :


Router>show version ?

Parmi elles, il y a <cr> qui indique quon peut terminer la commande. Il y a aussi le pipe | qui permet
de filtrer 2 laffichage.
8.
Complter la commande avec le pipe | pour ne faire afficher que les lignes contenant Boot. Reporter
dans le rapport la commande correspondante et son rsultat.

Aide : aprs le pipe, ajouter un espace puis utiliser laide pour afficher la liste des possibilits
de filtrage de laffichage.

9. Procder de la mme faon pour connatre les utilisations possibles des commandes traceroute et telnet.

II.3

Ne pas hsiter par la suite utiliser laide fournie avec ?, ainsi que les noms courts, le rappel des
commandes avec les flches et lutilisation de la tabulation. Cela vous vitera de commettre des erreurs,
notamment de frappe, parfois dramatiques. . .

Relev dinformations principales sur le routeur

Avant de commencer la configuration du routeur, nous allons dabord en relever les caractristiques principales
matrielles et logicielles. La commande show version que nous avons excute prcdemment est disponible
dans les modes utilisateur et privilgi, et permet dafficher une partie des informations qui nous intressent.
Comme nous lavons vu, la sortie de show version est pagine car elle dpasse 24 lignes. Lexemple qui suit
explique certaines des informations quelle affiche. Nous nous en inspirerons pour lexercice qui suit.
Exemple 1
La figure 5 prsente le rsultat de la commande show version excute sur un routeur quelconque. Les informations mises en vidence par les cadres, en commenant en haut, sont les suivantes :
La version de lIOS :
C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)

il sagit de la version 12.2(28) pour la srie 2600 (indiqu par c2600)


La localisation de limage (fichier) de lIOS charg :
flash:c2600-i-mz.122-28.bin

qui indique le fichier c2600-i-mz.122-28.bin qui figure dans la mmoire flash


Type et modle du matriel, et la taille de mmoire vive (RAM) installe : ici, cest un modle 2620
utilisant un processeur MPC860 et possdant 65 536 Ko de RAM (60 416 Ko libres et 5 120 Ko rservs
pour le traitement des informations), soit 64 Mo de RAM ;
Les interfaces rseaux reconnues par le routeur : celui-ci possde une interface Ethernet, une FastEthernet
et une interface srie ;
La taille de la NVRAM : ici, elle est de 32 Ko ;
La taille de la mmoire flash : ici, elle fait 16 384 Ko ;
et, pour finir, la valeur du registre de configuration en hexadcimal : 0x2102

2. le pipe est ici en lui-mme une sorte de filtre, analogue lutilisation dun tube avec grep sous Unix, mais bien plus limit.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

15/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Router>show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 27-Apr-04 19:01 by miwang
Image text-base: 0x8000808C, data-base: 0x80A1FECC
ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
ROM: C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
System returned to ROM by reload
System image file is "flash:c2600-i-mz.122-28.bin"
cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory
Processor board ID JAD05190MTZ (4292891495)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
1 FastEthernet/IEEE 802.3 interface(s)
1 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102

F IGURE 5 Affichage des informations obtenues avec show version, comment dans lexemple 1.

CISCO produit rgulirement des nouvelles versions de son IOS pour les diffrents modles de sa
gamme, en y ajoutant de nouvelles fonctionnalits et en corrigeant des bugs. Par exemple, pour les
seuls routeurs de la gamme 2501-2525 le nombre de versions dIOS disponibles a fini par dpasser les
6000 !
Pour un routeur donn, ladministrateur choisit lIOS en fonction de diffrents paramtres : les fonctionnalits voulues et le matriel supporter, la taille de la mmoire flash et la taille de la RAM.
Pour trouver limage IOS adquate, ladministrateur CISCO peut employer le CISCO Feature Navigator sur le site web de CISCO (http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp).

Exercice 11 (informations principales du routeur)


Utiliser show version sur la CLI pour dterminer :
1. la version de lIOS
2. le nom du fichier image de lIOS et son emplacement
3. le type exact de votre routeur (dans la srie CISCO 1700, 2500 ou 2600)
4. la taille de la RAM
5. les interfaces reconnues
6. la taille de la NVRAM
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

16/63

7. la taille de la flash
8. la valeur du registre de configuration (de la forme 0xvaleur-en-hexa). Nous aurons besoin de cette valeur
par la suite.

II.4

Relev dinformations complmentaires

Nous avons obtenu prcdemment les informations principales sur le routeur. Nous allons pousser un peu plus
nos connaissances sur celui-ci, notamment sur ses espaces de stockage ainsi que sur ses interfaces rseau.
II.4.A

Les espaces de stockage

Le routeur possde 2 espaces de stockage (voir DP, section 2.IV, page 10) : la flash, plutt destine contenir le(s) fichier(s) image(s) de lIOS, et la NVRAM, plutt destine accueillir des fichiers de configuration,
notamment la startup-config. Nous allons relever le contenu de ces espaces.
Exercice 12 (prise dinformations sur la flash et la NVRAM)
1. Depuis le mode courant (utilisateur), taper la commande :
Router#enable

pour entrer en mode privilgi en fournissant le mot de passe mypassword2

i
2.

Nous verrons dans la section VII une procdure de prise de contrle du routeur oprer quand
on ne dispose pas de son mot de passe.

En mode privilgi, relever le contenu de la flash en tapant :


Router#dir flash:

3.

Faire de mme avec la NVRAM en tapant :


Router#dir nvram:

et observer au passage la prsence du fichier de configuration de dmarrage startup-config


4. Visualiser le fichier startup-config en tapant la commande suivante ou son abrviation :
Router#show startup-config

ou en abrg, simplement :

sh start

5. La commande show ne peut afficher que le fichier startup-config (et dautres informations comme la
running-config), alors que la commande more sert afficher un fichier quelconque. Faire afficher
le contenu du fichier startup-config, cette fois en tapant :
Router#more nvram:startup-config

6. Puis, faire afficher le contenu du fichier startup-config.defaut, qui devrait tre une sauvegarde de
startup-config, en tapant :
Router#more nvram:startup-config.defaut

7. Visualiser la configuration actuelle du routeur (celle actuellement prsente dans sa RAM) en tapant :
Router#show running-config

C. Pain-Barre, A. Meyer et F. Dumas, 2010

ou en abrg, simplement :

sh run

INFO - IUT Aix-en-Provence

17/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

8. Effacer le fichier startup-config de la NVRAM en tapant (et en confirmant) :


Router#delete nvram:startup-config
Delete filename [startup-config]? Entre
Delete nvram:startup-config? [confirm] Entre
[OK]

Notons que lorsque lIOS pose une question telle quune demande de confirmation comme
dans la commande prcdente, il indique entre crochets la rponse par dfaut. Si elle convient,
il suffit de la valider en tapant Entre .

La rinitialisation dun espace de stockage se fait avec la commande erase. Dans certaines
versions dIOS, elle peut aussi tre utilise pour supprimer un fichier donn en paramtre,
mais ce nest pas recommand, car on risque deffacer de manire irrversible tous les fichiers
prsents sur lespace de stockage, ce quon remarque (tardivement) dans les messages affichs :
Router#erase startup-config
Erasing ... will remove all files! Continue? [confirm] Entre
[OK]
Erase of nvram: complete
YS-7-NV_BLOCK_INIT: Initialized the geometry of nvram

9. Afficher le contenu du fichier startup-config avec show. En ralit, il na pas vraiment t effac
mais rduit son strict minimum (il aurait t vid en utilisant erase) :
Router#sh start
Using 5 out of 29688 bytes
end

10. La configuration actuelle (running-config) est encore dans la RAM. La sauvegarder en crasant le
fichier startup-config en tapant :
Router#copy run start
Router#sh start

(abrviation de copy running-config startup-config)


(pour vrifier)

De faon gnrale lors des manipulations des fichiers, prendre bien soin de taper correctement les noms de fichiers car un effacement de la flash (et de limage quelle contient)
est (trop) vite arriv, rendant le routeur HS !

11. Aussi, le fichier startup-config.defaut prsent en NVRAM tait une sauvegarde de lancien
startup-config. Restituer startup-config comme une copie de startup-config.defaut en
tapant :
Router#copy nvram:startup-config.defaut start

o start est une abrviation de nvram:startup-config

puis vrifier la copie en tapant nouveau :


Router#sh start

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

18/63

Router>show interfaces
FastEthernet0 is up, line protocol is down
Hardware is Lance, address is 0002.163e.0320 (bia 0002.163e.0320)
MTU 1500 bytes, BW 100000 Kbit , DLY 100 usec, rely 255/255, load 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00,
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
...
Serial0 is administratively down, line protocol is down (disabled)
Hardware is HD64570
MTU 1500 bytes, BW 128 Kbit , DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
...
Ethernet0 is administratively down, line protocol is down (disabled)
Hardware is Lance, address is 0001.63b1.a82d (bia 0001.63b1.a82d)
MTU 1500 bytes, BW 10000 Kbit , DLY 1000 usec, rely 255/255, load 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 10BaseT
...

F IGURE 6 Affichage des informations obtenues avec show interfaces, comment dans lexemple 2.

II.4.B

Nous tudierons plus loin la diffrence entre la startup-config et la running-config.

Information sur les interfaces rseau

Les informations sur les interfaces rseau du routeur peuvent tre obtenues en mode utilisateur ou privilgi en
utilisant la commande show interfaces. Les informations affiches sont de diffrentes natures et relatives
diffrentes couches du modle OSI.

Exemple 2
La figure 6 prsente un exemple daffichage obtenu par la commande show interfaces sur un routeur
quelconque. Il y a un paragraphe par interface, chacun commenant par le nom IOS de linterface. Ce nom a la
forme gnrale :
type[slot/]numero
o type est le type dinterface, slot est le numro du slot dextension et numero est le numro de linterface
(sur la carte). La partie slot/ ne figure pas forcment, notamment lorsquil ny a quune interface sur la carte
dextension. Les informations particulirement intressantes sont en gras et encadres. Elles diffrent selon le
type de linterface. Sur la figure, on dduit quil y a 3 interfaces rseau, chacune correspondant une interface
intgre la carte mre ou une interface fournie par une carte dextension (NM ou WIC) :
FastEthernet0 : interface Ethernet (numro 0) active (up), mais le cble rseau est dbranch
(line protocol is down). Son adresse MAC figure aprs address o il faut enlever le premier

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

19/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

00. Au format standard, cette adresse est donc 02:16:3e:03:20. La partie bia... donne la vritable
adresse MAC de linterface, car on peut lui demander den utiliser une autre. Le MTU utilis est 1500 octets et le dbit maximum (BW pour BandWidth) de linterface est de 100 Mbit/s. Enfin, linterface est
du type 100BaseTX/FX, actuellement configure pour ngocier le duplex et le dbit (Auto-duplex,
Auto Speed).
Serial0 : interface srie (numro 0) dsactive (administratively down) ce qui fait que la liaison lest aussi (line protocol is down (disabled)). Elle na pas dadresse MAC. Le MTU
utilis est 1500 et son dbit maximum est 128 Kbit/s
Ethernet0 : interface Ethernet (numro 0) 10Base-T dsactive, en half-duplex, dadresse MAC
01:63:b1:a8:2d, de MTU 1500 et de dbit max 10 Mbit/s. On note une diffrence de dbit max avec
la FastEthernet.

Si lon connecte linterface FastEthernet0 un quipement rseau actif (hub, switch), un message
dinformation apparat notifiant lvnement :
%LINEPROTO-5-UPDOWN : ... Interface FastEthernet0/0, changed state to up.

Un message similaire est affich si la liaison est coupe.

Les diffrentes interfaces et cartes ventuelles qui nous intressent effectivement (type Ethernet ou Srie) dont
peuvent disposer vos routeurs sont recenses dans DP, section 2.II, page 8 et section 2.III, page 9.

Les noms IOS des interfaces peuvent aussi tre abrgs. Par exemple, on pourra utiliser :
fa0 la place de FastEthernet0
e0 la place de Ethernet0
s0 la place de Serial0
fa0/0 la place de FastEthernet0/0
etc.

Exercice 13 (dcouverte des interfaces)


1.

En mode privilgi, utiliser la commande show interfaces pour afficher les informations sur les
interfaces de votre routeur

2.

Utiliser la commande show interfaces description pour nobtenir que le statut des interfaces. En principe, elles devraient toutes apparatre comme dsactives (statut administratively down). Si
des interfaces ne le sont pas, noter leur nom car on les dsactivera plus tard.

3.

En vous basant sur les informations releves lexercice 7, page 10, associer les interfaces physiques
que vous avez repres aux noms IOS obtenus par les commandes prcdentes, et remplir le tableau
suivant, contenant une ligne par interface :
nom sur routeur et emplacement
...
...

INFO - IUT Aix-en-Provence

nom IOS
...
...

type
...
...

dbit max
...
...

MTU
...
...

adresse MAC
...
...

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

20/63

o lemplacement est soit la carte mre soit une carte dextension (NM ou WIC) ; le type est Ethernet,
Srie ou autre ; et ladresse MAC nest prciser que pour les interfaces Ethernet.
Pour remplir le tableau, vous pouvez demander dafficher les informations sur une interface en particulier
en indiquant son nom IOS la suite de show interfaces :
Router#show interfaces nom-interface

Par exemple :
Router#sh int e0

(en abrg pour Ethernet0)

naffiche que les informations sur linterface Ethernet0


4. Vrifier que toutes les interfaces sont bien recenses dans les fichiers de configuration du routeur :
Router#show running-config
Router#show startup-config

III

Configurations lmentaires du routeur

La premire action de ladministrateur srieux doit tre la configuration dun mot de passe pour protger laccs au mode privilgi de la CLI, ainsi que la dsactivation des services et interfaces inutiles. Nous constaterons
plus tard que le mot de passe nest pas une scurit absolue car il faut aussi physiquement protger laccs au
routeur, mais il ajoute un certain degr de scurit et rend beaucoup plus difficile tout accs non autoris. Ne pas
mettre un mot de passe est grossirement ngligent.

III.1

Protection du mode privilgi par un mot de passe

LIOS CISCO actuel prend en compte deux types de mots de passe : secret et password. Pour des raisons
de scurit, les nouveaux IOS nutilisent en principe que le mot de passe secret (appel aussi enable secret)
qui est crypt dans la configuration. Pour des raisons de compatibilit le mot de passe password existe toujours
mais est enregistr en clair.
Les mots de passe se dfinissent dans le mode de configuration globale. Le mot de passe secret est dfini
par la commande :
Router(config)#enable secret secret-password

o secret-password est le mot de passe que lon veut donner.


Pour rester compatible avec certaines fonctionnalits IOS et avec des anciens versions dIOS, nous devons
galement configurer le mot de passe password avec la commande :
Router(config)#enable password normal-password

o normal-password est le mot de passe que lon veut donner.


Exercice 14 (Protection de la console)
1. Sur la CLI, passer en mode de configuration globale. Pour cela, il faut dabord passer en mode privilgi
si on est en mode utilisateur puis en mode de configuration globale :
Router>enable
Router#configure terminal
Router(config)#

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

21/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

2. Utiliser les commandes adquates pour :


spcifier binpass1 comme mot de passe normal
spcifier binpass2 comme mot de passe secret

Ne pas spcifier dautres mots de passe !

3. Taper CTRL + Z ou exit pour revenir au mode privilgi


4. Revenir au mode utilisateur en tapant :
Router#exit

5. Vrifier le mot de passe (secret). Pour cela, passer nouveau en mode privilgi et entrer le mot de passe
secret lorsquil vous est demand :
Router>enable
Password:
Router#

6. Faire afficher la configuration actuelle du routeur avec la commande show running-config (ou sh
run en abrg).
7.

III.2

Quelle est la diffrence vidente entre les deux mots de passe ?

Sauvegarde de la configuration

Exercice 15 (running-config versus startup-config)


Comme nous le savons dj (cf. DP, sections 2.IV et 2.V), la startup-config contient la configuration de
dmarrage, alors que la running-config contient la configuration courante. Les modifications de configuration
opres par ladministrateur nimpactent que la running-config. Si elles ne sont pas sauvegardes (dans la
startup-config), elles ne seront plus effectives en cas de redmarrage du routeur. Nous allons illustrer cela
dans cet exercice.
1. Depuis le mode courant (privilgi), taper la commande :
Router#reload

afin de redmarrer le routeur.


2. laffichage du prompt, entrer nouveau en mode privilgi en tapant :
Router>enable
Password:

et en fournissant le mot de passe attendu. . .


3. La modification du mot de passe dans lexercice prcdent na impact que la running-config et pas
la startup-config, qui a t laiss inchange. En redmarrant, le routeur a charg la configuration
contenue dans la startup-config. Les modifications prcdentes ont donc t perdues ! Changer
nouveau les mots de passes comme cela avait t demand lexercice prcdent.
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

22/63

4. En mode privilgi (et non pas en mode de configuration globale), procder une sauvegarde de la
running-config dans la startup-config en tapant :
Router#copy run start
Destination filename [startup-config] ?

et confirmer la sauvegarde avec Entre


5. teindre le routeur puis le rallumer aprs quelques secondes
6. laffichage du prompt, entrer nouveau en mode privilgi en tapant :
Router>enable
Password:

o le mot de passe attendu devrait tre cette fois celui que vous avez modifi (et sauv)

III.3

En fin de sance, le routeur du binme doit tre restitu dans son tat dorigine du dbut de
TP. Pour cela, il faudra penser restaurer la startup-config en copiant (avec copy) le fichier
nvram:startup-config.defaut dans la startup-config.

Dsactivation des services inutiles

Les routeurs (et les commutateurs) CISCO peuvent proposer de nombreux services, dont certains sont parfois
activs par dfaut. Il y en a de trs utiles, mais dautres sont au contraire gnants et/ou peuvent savrer dangereux pour la scurit des routeurs. Par ailleurs, la dsactivation de services inutiles rduit aussi la consommation
mmoire et processeur, rendant le routeur plus performant.
Le fait de dsactiver un service permet en outre dviter quil soit attaqu par un pirate qui en exploite une
faille. Cest dautant plus vrai pour certains services facilitent la vie des pirates, comme le protocole CDP (CISCO
Discovery Protocol) qui liste les priphriques CISCO voisins. De nombreux sites sur Internet recensent les failles
rencontres sur les diffrentes versions du CISCO IOS.
Exercice 16 (dsactivation des services inutiles)
Il y a de nombreux services possibles selon la version de lIOS, activs ou non par dfaut. Ceux que nous
souhaitons dsactiver (au moins dans un premier temps) sont :
les services rseaux basiques (echo, discard, chargen, ...)
les services BOOTP et DHCP (y compris relais), FINGER, HTTP, HTTPS et CDP
le service de configuration distance
le service Source Routing
la rsolution DNS qui, dans un premier temps, peut savrer gnante
dont certains seront ractivs lorsque nous en aurons besoin.
1.

Se placer en mode de configuration globale et taper les commandes suivantes afin de dsactiver les
services inutiles, en fournissant les traces des commandes tapes partir du mode privilgi :

Certaines de ces commandes se rapportent des fonctionnalits que nous navons pas mentionnes. Certains services sont peut-tre dj dsactivs. Dautres services ne sont peut-tre
pas reconnus, ce qui provoque une erreur sans gravit. Cela dpend du modle du routeur et de
la version du IOS. Continuer la dsactivation des autres services.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

23/63

Version du 14/5/2013

Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no
Router(config)#no

2.

Enonce du TP 8-9 Reseaux

aaa new-model
service pad
service tcp-small-servers
service udp-small-servers
service dhcp
cdp run
ip bootp server
ip finger
ip http server
ip http secure-server
mop enabled
ip source-route
ip proxy-arp
ip redirects
ip domain-lookup

Retourner en mode privilgi et taper les commandes suivantes :


Router#show cdp
Router#ping infodoc.aix.univ-amu.fr

3. Vrifier les modifications en faisant afficher la running-config


4. Puis, sauvegarder la configuration :
Router#copy run start

III.4

Vrification de la dsactivation des interfaces

En principe, nous avons constat lexercice 13 page 19 que toutes les interfaces rseau du routeur sont
dsactives. En effet, laisser des interfaces inutilises mais actives peut tre source dennuis et/ou dattaque surtout
pour les interfaces cbles.
Exercice 17 (vrification des interfaces)
La dsactivation dune interface se fait dans le mode de configuration de linterface en question (voir DP,
section 3.I.D, pour lentre dans ce mode), en spcifiant la commande shutdown.
Les interfaces dsactives sont administratively down, ce quon peut vrifier en utilisant show interfaces
(suivi ou non du nom dune interface), ainsi quavec show interfaces description. Nanmoins, nous allons aussi vrifier la configuration courante et celle de dmarrage :
1. Afficher la running-config et vrifier que toutes les interfaces sont configures en shutdown
2. Faire de mme avec la startup-config
3. Pour toutes les interfaces qui ne sont pas dsactives (voir running-config), entrer dans le mode de
configuration dinterface correspondant et les dsactiver avec shutdown ;
4. Si des interfaces ont t ainsi manuellement dsactives, sauver la configuration avec copy run start

III.5

Changer le nom du routeur

Le changement du nom du routeur se fait avec la commande hostname en mode de configuration globale.
Bien que cela ait peu dintrt dans notre cas, ce changement modifie le prompt ce qui permet un adminsitrateur,
qui se connecte distance sur diffrents routeurs, de se reprer plus facilement.
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

24/63

Exercice 18 (changement du nom du routeur)


1. En mode de configuration globale, utiliser la commande suivante pour changer le nom du routeur (et qui
figurera sur le prompt) :
Router(config)#hostname nom-routeur

o nom-routeur est le nom donner au routeur dont le format doit tre le nom quil avait (exemple
2500-2) suivi du groupe et du binme : par exemple, 2500-2-G1-B3 pour le binme 3 du groupe 1.
2. Sauvegarder la configuration.

IV

Conception Rseau

Il est temps de se pencher effectivement sur la partie "rseau". Mais avant de procder la configuration
effective du matriel, nous allons travailler sur papier et nous pencher dun peu plus prs sur lorganisation du
rseau mis en place et son plan dadressage.
Exercice 19 (conception rseau)

Aucune configuration ni aucun cblage ne sont encore demands dans cet exercice, o lon travaille exclusivement sur papier.

1. Situer votre routeur et votre rseau local (LAN) sur le schma global du rseau de la figure 3 de la page 5
(o seul figure votre PC-LAN et non le PC-IUT), qui devra tre mis en place pour le TP et apprhender
lenvironnement du rseau gr par lenseignant, notamment en situant le switch de bout de table (parmi
SW1, SW2 et SW3) sur lequel vous connecterez plus tard votre routeur.
2. Choix des interfaces : votre routeur devra tre connect en Ethernet la fois ct WAN et ct LAN.
Choisir comme interface LAN de votre routeur, linterface Ethernet qui admet le plus grand dbit. En
effet, lessentiel du trafic rseau est suppos tre local dans un LAN. Linterface WAN de votre routeur
devra tre choisie comme une interface Ethernet admettant ventuellement un dbit moindre.

On pourra revenir sur ce choix de linterface LAN en cas dimpossibilit technique (peu probable).

3. (Adresses dans le LAN) Le bloc dadresses attribu votre LAN, et que vous devez grer, est indiqu
dans vos paramtres. Dans votre LAN, ladresse attribuer votre routeur doit tre la plus grande adresse
de station de votre bloc, alors que celle (de la VM) du PC-LAN devra tre la plus petite 3 .
4. (Adresses ct WAN) Ct WAN (partie du rseau du TP gre par lenseignant), chaque binme devra
raccorder son routeur au switch (SW1, SW2 ou SW3) prsent en tte de sa range de tables. Les paramtres du binme indiquent le vlan auquel doit appartenir son routeur. Pour cela, le routeur devra tre
connect un port adquat du switch, que lenseignant a dj pralablement plac en mode access dans
ce vlan. Vos paramtres listent, pour chacun de ces switch, les vlans actifs et les ports correspondants.
3. Il sagit dune restriction de lnonc car on peut attribuer nimporte quelle adresse valide nimporte quel quipement du rseau,
si elle nest pas dj utilise.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

25/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Les trois switchs sont relis par des trunks 802.1q et partagent donc les vlans. Il en rsulte que les routeurs de certains binmes, mme raccords des switchs diffrents, peuvent appartenir au mme vlan.
Autrement dit, des routeurs de binmes quelconques appartiennent au mme vlan et doivent possder une
adresse IP (distincte) prise dans le bloc dadresses affect ce vlan (cf. paramtres).
Le routeur RPAT, gr par lenseignant, appartient tous les vlans, et possde dj une adresse IP dans
chacun de leur bloc (cf. paramtres).
Chaque binme doit maintenant dduire ladresse que son routeur doit possder ct WAN en suivant
scrupuleusement les contraintes suivantes :
ladresse retenue pour le binme doit tre disponible. On ne peut pas prendre une adresse dj utilise
soit par RPAT, soit par le routeur dun autre binme. Consultez vos paramtres pour voir le bloc
dadresses du VLAN de raccordement et en dduire la plage dadresses utilisables ;
ladresse retenue doit tre la plus petite possible. Si plusieurs binmes appartiennent au mme vlan
(cf. paramtres), leur numro de binme indique dtermine lordre croissant des adresses retenues (le
binme de plus petit numro doit avoir la plus petite adresse disponible du bloc). Attention, suivre
cette rgle mme si des binmes manquent !
5.

Noter sur le schma les adresses attribuer au routeur (cts LAN et WAN) et au PC-LAN, ainsi que
les masques associs. Indiquer pour le routeur le nom IOS des interfaces associes. Noter ces informations
dans le rapport.

6.

crire les tables de routage (contenant les colonnes destination, masque et routeur) que devront avoir
le PC-LAN et votre routeur pour pouvoir accder Internet. Indiquer aussi les routes menant aux LANs
des binmes partageant votre vlan. Faire aussi figurer dans les tables les rseaux directement accessibles,
bien que les routes directes soient automatiquement ajoutes lors de la configuration des interfaces. . .

V
V.1

Penser la route par dfaut (IP 0.0.0.0 et masque 0.0.0.0) pour le routage direction
Internet (WAN). Ladresse du routeur utiliser la route par dfaut de votre routeur est celle de
RPAT dans votre vlan.

Configurations Rseau
Mise en place du LAN

Votre binme doit mettre en place un LAN form de votre routeur, dun hub/switch et (de la VM) du PC-LAN,
tel que schmatis dans la figure 7. Il pourra ventuellement accueillir plus tard dautres PC ou VM. Dans cette
section, vous allez cbler et configurer les quipements du LAN.

LAN du binme
interface LAN

Routeur

Hub/Switch

PCLAN (VM)

F IGURE 7 Topologie physique et cblage du LAN du binme, correspondant aux traits rouges pais.

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

V.1.A

Version du 14/5/2013

26/63

Cblage du LAN

Exercice 20 (cblage des quipements du LAN)


1. Brancher le cble dalimentation au hub/switch et le positionner de faon stable (de prfrence sous un
moniteur) avec ses ports face vous, puis connecter lalimentation la prise.
2. En se rfrant la figure 7, procder au cblage de votre LAN (correspondant aux traits rouges pais) en
utilisant les cbles de petite longueur pour relier sur des ports 4 du hub/switch :
linterface du routeur choisie comme interface LAN lexercice 19 ;
linterface (carte rseau) du PC-LAN.

V.1.B

Configuration de linterface LAN du routeur

Dans cette section, nous allons configurer linterface LAN du routeur. Dans la CLI, la configuration et lactivation dune interface se fait dans le mode de configuration de linterface (voir DP, section 3.I.D, page 15).
Pour entrer dans ce mode, il faut spcifier le nom IOS de linterface configurer :

On attendra lexercice qui suivra pour procder aux configurations effectives.

Router>enable
Router#configure terminal
Router(config)#interface nom-interface
Router(config-if)#

On doit configurer linterface aux niveaux (couches OSI) 1-2 (pour la partie Ethernet) et 3 (partie IP). Aux
niveaux 1 et 2, nous devons prendre en considration le matriel que nous utilisons, sachant :
quil y a diffrents types de hub/switch (10 Mbit/s en half-duplex, FastEthernet en full-duplex) ;
que les routeurs possdent diffrents types dinterfaces des routeurs (FastEthernet 100Base-TX fullduplex ou auto-ngociation, Ethernet 10Base-T half-duplex ou full-duplex) ;
Lidal est que les interfaces du routeur fonctionnent au mieux de leurs capacits : leur plus haut dbit
et en full-duplex si possible. Alors que les cartes Ethernet modernes dtectent les caractristiques de la liaison
Ethernet et sadaptent cette liaison, ce nest pas le cas de la plupart des cartes de nos routeurs. Il est ncessaire
dadapter les caractristiques physiques des interfaces Ethernet lquipement utilis.
Pour cela, nous disposons de commandes pour la configuration de niveaux 1 et 2 dans le mode configuration
de linterface, prcises dans ce qui suit.

Selon linterface (et lIOS), certaines de ces commandes peuvent ne pas tre disponibles. Dans ce cas,
les caractristiques correspondantes ne sont pas modifiables.

4. Prfrer les 6 premiers ports du hub/switch car ils ont t tests et sont oprationnels. . .

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

27/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Configurations de niveaux 1 et 2 pour tout type dinterface (pas uniquement Ethernet) :


Router(config-if)#full-duplex

(ou selon le cas, duplex full)

pour grer la liaison en full-duplex


Router(config-if)#half-duplex

(ou selon le cas, duplex half)

pour grer la liaison en half-duplex


Router(config-if)#no shutdown
pour activer la liaison. Cela a pour effet de rendre linterface administrativement active (up) et dessayer
de rendre la liaison oprationnelle (up).

Notons que selon le cas, il est possible de laisser le routeur configurer automatiquement le
mode duplex, par ngociation. Cela se fait en configurant linterface avec :
Router(config-if)#duplex auto

mais comme nous ne ferons aucune configuration automatique, nous ne lutiliserons pas. . .
Configuration de niveaux 1 et 2 spcifique Ethernet :
Router(config-if)#speed debit
pour fixer le dbit de la liaison. Dans notre cas, debit devrait valoir 10 ou 100. Utiliser laide de la CLI
pour voir les paramtres disponibles.

Notons nouveau que dans certains cas, speed admet comme argument auto, signifiant
quon laisse le routeur ngocier la vitesse de la liaison. Nous nutiliserons pas non plus cette
facilit.

Il est inutile dessayer de faire fonctionner une carte Ethernet 10BaseT en 100 Mbit/s ! !

Configurations de niveau 3 (IP) pour tout type dinterfaces :


Concernant la configuration de niveau 3 (IP), nous devrons affecter linterface une adresse IP et un masque
de sous-rseau, puis spcifier ladresse broadcast sur le rseau correspondant. Pour cela nous disposons des
commandes (toujours en mode de configuration de linterface) :
Router(config-if)#ip address adresse masque
o adresse est ladresse IP de linterface et masque est son masque de sous-rseau en notation dcimale
pointe ;
Router(config-if)#ip broadcast-address adresse-broadcast
o adresse-broadcast est ladresse IP de broadcast sur le rseau de linterface
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

28/63

Vrification de la configuration :
Une fois une interface configure et active, on peut vrifier que tout fonctionne correctement en utilisant la
commande ping (echange de messages ICMP de type ECHO) dans le mode privilgi ou utilisateur en spcifiant
ladresse IP (ou ventuellement le nom) dun hte (ou routeur) connect ce rseau (et correctement configur) :
Router#ping adresse-cible

o adresse-cible est ladresse (ou le nom) de lhte cible. En retour on obtient un taux de rponse pour lenvoi
de 5 messages ICMP ECHO REQUEST. Si ce taux est nul, il y a un problme quelque part.

Noubliez pas dutiliser laide contextuelle de la CLI pour voir chaque fois les paramtres possibles.

Exemple 3
(Configuration dune interface Ethernet) Supposons que lon connecte une interface FastEthernet
10/100Base-TX du routeur un Hub/Switch 10Base-T (ce qui nest pas forcment votre cas). Supposons que
ce rseau de raccordement a pour bloc dadresses 139.124.187.0/24. Dans un premier temps, on va configurer linterface aux niveaux 1 et 2 :
Router#show interfaces FastEthernet0
FastEthernet0 is administratively down, line protocol is down
Hardware is PQUICC_FEC, address is 0011.93ca.ffb5 (bia 0011.93ca.ffb5)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
...

on voit que linterface est inactive et doit pouvoir ngocier la vitesse et le mode duplex, ce que nous ne
laisserons pas faire dans le TP.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0
Router(config-if)#no shutdown
Router(config-if)#exit
*Apr 17 09:46:51.895: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up
Router(config)#
*Apr 17 09:46:59.643: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet
Router(config)#exit
Router#
*Apr 17 09:47:09.739: 05-configurations_reseauYS-5-CONFIG_I: Configured from console by
Router#show interfaces FastEthernet0
FastEthernet0 is up, line protocol is up
...
Half-duplex, 10Mb/s, 100BaseTX/FX
...

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

29/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

on a juste activ linterface par le no shutodown et laiss la ngociation se faire. Linterface sest
configure. Cependant, il arrive que la ngociation se fasse la baisse alors quon aurait pu obtenir des
caractristiques plus importantes. Dans notre cas, le full-duplex est possible et on va lactiver ! Puisque
nous ne voulons pas nous plus que la vitesse soit ngocie, nous la spcifions aussi dans ce qui suit.

Router#configure terminal
Enter configuration commands, one per line.
Router(config)#interface FastEthernet0
Router(config-if)#speed 10
Router(config-if)#full-duplex
Router(config-if)# CTRL + Z
Router#sh int fa0
FastEthernet0 is up, line protocol is up
...
Full-duplex, 10Mb/s, 100BaseTX/FX
...

End with CNTL/Z.

Dans le mode de configuration de linterface, on configure aussi la couche IP avec les paramtres voulus (on
aurait pu tout faire la fois) :
Router#conf ter
Router(config)#int f0
Router(config-if)#ip address 139.124.187.50 255.255.255.0
Router(config-if)#ip broadcast-address 139.124.187.255
Router(config-if)# CTRL + Z
Router#sh int fa0
FastEthernet0 is up, line protocol is up
...
Internet address is 139.124.187.50/24
...
Router#show ip interface fa0
FastEthernet0 is up, line protocol is up
Internet address is 139.124.187.50/24
Broadcast address is 139.124.187.255
...

En supposant que ce rseau comporte une station (ou un routeur) oprationnel dadresse 139.124.187.25, on
peut vrifier la configuration avec un ping :
Router#ping 139.124.187.25
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 139.124.187.25, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms

le taux de russite est acceptable : tout est ok.

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

30/63

Pour annuler une commande, il faut la faire prcder du mot-cl no dans le mme mode. Par exemple,
on peut annuler laffectation de ladresse prcdente en tapant :
Router(config-if)#no ip address 139.124.187.50 255.255.255.0

ou encore par :
Router(config-if)#no ip address

car il ny a pas dambigut.

Exercice 21 (configuration de linterface LAN du routeur)


1.

Raliser la configuration de linterface LAN du routeur (niveaux 1-2 et 3) et lactiver. Ne pas laisser
de configuration automatique de la vitesse et du mode duplex, et essayer de la configurer manuellement
au mieux, de prfrence en 100 Mbit et en full-duplex. Vrifier chaque tentative si linterface est up
(line protocol) et revoir la baisse la configuration si ce nest pas le cas. Fournir la trace des commandes
de configuration que vous avez effectivement retenues, en justifiant vos choix.

2.

Explorer et vrifier la configuration de linterface avec les commandes suivantes tapes en mode
privilgi (fournir les traces de leur longue sortie en les sparant clairement) :
show
show
show
show
show

interfaces nom-interface
interfaces nom-interface summary
interfaces nom-interface description
ip interface nom-interface
protocols nom-interface

Il se peut que le Hub/Switch soit plac dans un mode forc et incompatible avec linterface
du routeur, cause du branchement du PC. Si la liaison reste down en ayant test toutes
les possibilits, dbrancher temporairement le cble rseau du PC et recommencer. Si a ne
marche toujours pas, le signaler lenseignant.

3. Pour terminer la configuration IP, enregistrer la configuration actuelle avec la commande


copy run start

V.1.C

Configuration de linterface LAN du PC-LAN

Nous allons maintenant configurer linterface rseau de la machine virtuelle pour lintgrer effectivement dans
le LAN du binme.
Exercice 22 (configuration de linterface (de la VM) du PC-LAN)

Si vous avez d dconnecter le PC-LAN du Hub/Switch, reconnectez-le maintenant.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

31/63

1.

Version du 14/5/2013

En vous basant sur vos rponses lexercice 19 (page 24), procder la configuration de linterface
(de la VM) du PC-LAN (se reporter DP, section 6.I pour la configuration dune interface rseau sous
Linux)

2.
3.

Enonce du TP 8-9 Reseaux

Par la suite, PC-LAN fera rfrence la VM. Si besoin, pour prciser quil sagit effectivement
du PC-LAN et non de notre VM, nous parlerons alors du systme hte du PC-LAN.

partir dun terminal du PC-LAN, tenter denvoyer un ping votre routeur. Revoir le cblage et les
configurations (routeur et PC-LAN) si cela ne va pas
partir du routeur, envoyer un ping au PC-LAN

4. Excuter Wireshark sur le PC-LAN (menu Applications Internet), et capturer les trames (cf. DP
section 8 pour une documentation sur Wireshark).
5.

Vider le cache ARP du PC-LAN. Afficher le cache ARP pour vrifier quil est vide. Fournir les traces.

6. Refaire un ping du PC-LAN vers le routeur. Arrter la capture quand 5 requtes ping ont t mises (et
les rponses reues).
7.

Sauvegarder (menu File Save As) les trames captures dans le fichier 22-ping_lan_all.pcap

8.

Faire une capture dcran montrant les trames captures, nomme 22-ping_lan_all.png

9.

V.2

Filtrer laffichage de Wireshark pour ne garder que les trames relatives au ping. Sauver ces trames
dans le fichier 22-ping_lan_filtre.pcap. Pour cela, cliquer sur le bouton Displayed dans la bote
de dialogue de sauvegarde afin de ne sauver que les trames affiches et non pas celles captures.

Il nest peut tre pas inutile dutiliser Wireshark pour charger les fichiers sauvs et sassurer que
leur contenu est conforme ce qui est demand. Aussi, penser joindre les fichiers demands dans le
rapport (cf. DP, sections 5.III et 5.IV pour les possibilits de rcupration des fichiers de la VM). Il
vaut peut-tre mieux le faire au fur et mesure, plutt que de le faire en urgence la fin en risquant
doublier quelque chose. . .

Sauvegarde de la configuration par TFTP

Jusqu maintenant, la sauvegarde de la configuration active (stocke dans la RAM) consistait la copier dans
le fichier startup-config sur la NVRAM. Ainsi la configuration restait conserve pour le prochain redmarrage du routeur. Seulement, cette sauvegarde est effectue sur le routeur lui-mme ! Si la startup-config est
modifie par quelquun dautre (ou perdue suite une panne du matriel ou par une erreur de saisie) vous navez
plus rien. Nous allons sauvegarder la configuration sur le PC-LAN avec TFTP.

Se reporter DP, section 7 page 29 pour plus dinformations sur lutilisation dun serveur TFTP sous
Linux et le transfert de fichier avec le routeur.

Depuis la CLI du routeur, la sauvegarde sur un serveur TFTP se fait de la mme manire que la sauvegarde
locale (mais vous seront demands ladresse IP du serveur TFTP et le nom sous lequel on souhaite enregistrer le
fichier sur le serveur TFTP) :
Routeur#copy running-config tftp
Routeur#copy running-config tftp:nom-copie

INFO - IUT Aix-en-Provence

(pour sauver sous un autre nom)

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

32/63

Cette fonction de copie permet le transfert dans les deux sens ; vous pouvez copier la running-config (ou
la startup-config) vers le serveur TFTP, mais aussi copier un fichier de configuration partir du serveur
TFTP vers la running-config ou la startup-config du routeur.
Exercice 23 (transferts par TFTP)
1.

Transfrer la configuration courante sur le serveur TFTP dj actif sur le PC-LAN en la nommant
23-running-config. Fournir le fichier.

2. Sur le PC-LAN, aller dans le rpertoire /srv/tftp et copier le fichier dans 23-run.new
3.

Avec gedit, modifier ladresse IP LAN du routeur dans 23-run.new et lui donner une autre adresse
dans le LAN. Sauver le fichier (et le fournir). Indiquer ladresse choisie.

4. Depuis le routeur, copier (via TFTP) dans la running-config (qui nest pas dans la nvram ni dans la
flash ! !) le contenu de ce fichier 23-run.new.

Cette opration risque de mettre le routeur HS si vous fates des erreurs. En aucun cas il
ne faut sauver dans la flash !

Afficher la nouvelle configuration sur le routeur pour vrifier le changement dadresse du routeur.
5.

Depuis le PC-LAN, faire un ping vers votre routeur (et qui doit russir)

6.

Restaurer la running-config par transfert TFTP de 23-running-config

7.

V.3

Transfrer la startup-config sur le serveur TFTP en la nommant 23-startup-config, mais


cette fois sans utiliser ladresse du serveur TFTP mais la place ladresse de diffusion (broadcast) dirige
ou limite. Inclure les traces. Comment sappelle ladresse broadcast quil faut utiliser pour que cela
fonctionne ?

la fin de la sance, vous devez inclure la configuration courante (running-config) du routeur


dans larchive du rapport. Pour cela, il vaut mieux la tlcharger sur le serveur TFTP, sous le
nom running-config, chaque fin dexercice qui modifiera la configuration du routeur.

Accs la CLI par TELNET

Puisque notre routeur et notre PC possdent maintenant une adresse IP, nous pouvons lgitimement penser
accder au routeur via le rseau. Essayez de le contacter avec telnet depuis un terminal (de la machine virtuelle)
du PC-LAN.
La rponse ngative vient du fait quun routeur CISCO naccepte une connexion sur son interface telnet que
si elle a t active et quun mot de passe a t dfini pour celle-ci. Il va donc falloir encore utiliser un peu la
console pour la configuration de ce mot de passe (qui est un compltement indpendant du secret ou password du
mode privilgi).
Un accs distance est vu comme un terminal rseau par le routeur. Ces terminaux sont dnomms des VTY
(Virtual Terminal). Pour configurer le mot de passe du terminal telnet, il faut entrer dans le mode de configuration
de cette interface en tapant line vty 0 4 depuis le mode de configuration globale. Le prompt devrait alors
changer pour devenir (config-line)# :
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

33/63

Version du 14/5/2013

On attendra lexercice suivant pour configurer cet accs. . .

Enonce du TP 8-9 Reseaux

Router#conf ter
Router(config)#line vty 0 4
Router(config-line)#password mon-vty-password
Router(config-line)#login
Router(config-line)#end
Router#

une fois dans la configuration du VTY, on peut entrer un le mot de passe mon-vty-password (avec la commande password) et activer la possibilit de se connecter (avec la commande login sans paramtre)

Une fois connect par TELNET, on peut afficher sur le routeur les sessions TELNET en cours avec la commande show user.

Lorsquon est connect la console, on ne figure pas dans la liste affiche par show user.

Exercice 24 (accs par TELNET)


1. Configurer laccs par TELNET sur le routeur avec pour mot de passe binpass3.

Certaines configurations qui suivront pourront tre fates si besoin via TELNET, notamment
lorsquon voudra rserver la console du "debugging".

2. Sur le PC-LAN, relancer Wireshark si vous lavez ferm


3. Sur un terminal du PC-LAN, faire un ping du routeur et laisser ce ping continuer
4. Commencer capturer des trames avec un filtre de capture pour ne retenir que les trames destination du
serveur TELNET de votre routeur (et pas ses rponses). Utiliser un filtre le plus prcis que possible.

i
5.

Un serveur TELNET utilise le port TCP 23. . .

Indiquer dans le rapport le filtre que vous avez utilis

6. Se connecter au routeur par TELNET partir du PC-LAN. Cela doit fonctionner


7.

Arrter la capture de Wireshark. Sauver les trames captures dans le fichier 24-telnet_all.pcap

8.

Parmi les dernires trames captures, certaines transportent dans comme donnes (champ Data) du
message TELNET un (seul) caractre du mot de passe (non chiffr !). Retrouver ces trames. Attention,
il peut arriver que Wireshark peut considrer tort que des checksums sont errons et nanalyse pas
compltement une trame. Dans ce cas, le message TELNET nest pas retrouv par Wireshark, mais on
peut voir le caractre de ce message apparaissant comme dernier caractre dans la zone de visualisation
ASCII de la trame (zone du bas de linterface). Slectionner les trames correspondantes et sauver cette
slection sous le nom 24-telnet_password.pcap

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

i
9.

Version du 14/5/2013

34/63

On comprend pourquoi les connexions par TELNET travers Internet ne sont pas du tout
recommandes. . .

Sur la console du routeur, afficher les utilisateurs TELNET connects

10. Sur le routeur, sauvegarder la configuration actuelle (copy run start)

V.4

Accs linterface Web du routeur

Le serveur Web nest pas toujours disponible. Cela dpend du modle de routeur et de sa version dIOS. Le
serveur HTTP se configure partir du mode de configuration globale :
Router#conf ter
Router(config)#ip http server
Router(config)#ip http port 80
Router(config)#exit
Router#

o lon a prcis ici le port sur lequel doit couter le serveur.


Exercice 25 (administration via HTTP)
1.

Configurer le serveur HTTP du routeur en le faisant couter sur le port 8000

2. Sur le PC-LAN, ouvrir le navigateur Web Iceweasel (Applications Internet) et tester laccs HTTP
au routeur. Le mot de passe demand est le mot de passe secret.

Pour indiquer un navigateur sur quel port se connecter si ce nest celui par dfaut, il faut le
prciser dans lURL qui doit avoir la forme suivante :
[http://]hote:port

3.

V.5

Le serveur HTTP du routeur permet de raliser des tches dadministration distance. Cliquer sur le
lien de monitoring du routeur et faire afficher sa running-config. Fournir la capture dcran (du dbut)
de la page affichant la running-config dans le fichier 25-http.png

Raccordement et configuration ct WAN

Le LAN tant oprationnel, nous allons dans cette section nous intresser le relier au reste du rseau du
TP, gr par lenseignant, tel que schmatis sur la figure 3 de la page 5. Rappelons que ce rseau est form des
switchs SW1, SW2 et SW3, placs en tte des ranges de tables, dun serveur TPSERVEUR, et du routeur RPAT
qui permet laccs Internet. Pour cela, il nous faut cbler puis configurer linterface WAN du routeur du binme.
V.5.A

Cblage de linterface WAN du routeur

La figure 8 prsente par des traits pais rouges, le cblage ct WAN quun binme quelconque doit encore
raliser dans lexercice suivant, en se raccordant au switch de sa range de tables. Cependant, le port auquel le
binme doit se raccorder nest pas quelconque puisquil doit appartenir au vlan auquel le binme est affect (cf.
paramtres).
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

35/63

Version du 14/5/2013

SW(1, 2 ou 3)

Enonce du TP 8-9 Reseaux

LAN Binme

cblage WAN
interface WAN
Routeur

PCLAN

reste du rseau du TP
F IGURE 8 Topologie physique et cblage ct WAN du routeur dun binme quelconque, correspondant aux
traits pais rouges.
Exercice 26 (cblage de linterface WAN du routeur du binme)
En se basant sur vos paramtres, trouver un port disponible sur votre switch de raccordement, qui soit plac
dans votre vlan. Utiliser le cble Ethernet de longueur significative afin de procder au cblage de linterface
WAN de votre routeur ce port.
Exercice 27 (configuration de linterface WAN du routeur)
1.

Raliser la configuration (niveaux 1-2 et 3) de linterface WAN de votre routeur et lactiver. Fournir
les commandes ncessaires en justifiant vos choix.

2.

Depuis votre routeur, envoyer un ping (ladresse approprie de) RPAT. En cas dchec rpt,
reprendre la configuration de linterface (et fournir les bonnes commandes)

3.

Explorer et vrifier la configuration de linterface WAN avec les commandes suivantes :


show
show
show
show
show

interfaces nom-interface
interfaces nom-interface summary
interfaces nom-interface description
ip interface nom-interface
protocols nom-interface

4. Pour terminer la configuration IP, enregistrer la configuration actuelle avec copy run start
5.

Supposons que lon raccorde maintenant un hub 10 Mbit/s fonctionnant en half-duplex sur linterface
FastEthernet0 du routeur. Quelles sont les commandes ncessaires pour configurer cette interface
sur le routeur (configuration des couches 1 et 2) si on est en mode utilisateur ?

6. Depuis le routeur, essayer denvoyer un ping ladresse 139.124.182.99


7. Depuis le routeur, essayer denvoyer un ping TPSERVEUR
8.

V.6

Expliquer pourquoi les ping prcdents ne marchent pas.

Configuration du routage sur le routeur

Pour le moment, le routeur ne sert pas grand chose. Il ne peut mme pas envoyer un ping vers TPSERVEUR
et encore moins vers Internet. Nous allons configurer son routage dans lexercice 28. Prsentons avant comment
procder.
Tout dabord il faudra sassurer dactiver le routage sur le routeur avec la commande suivante tape en mode
de configuration globale :
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

36/63

Router(config)#ip routing

La configuration de la table de routage est simple : on ajoute ligne par ligne les destinations qui nous intressent (les lignes pour des routes directes sont gnres automatiquement par le systme lors de la configuration
de linterface).
Exemple
Si lon doit ajouter la route suivante :
Destination
150.151.152.0

Masque
255.255.255.0

Interface
Serial0

Routeur
195.196.20.254

on utilisera, en mode de configuration globale, la commande :


Router(config)#ip route 150.151.152.0 255.255.255.0 Serial0 195.196.20.254

et on utilise :
Router(config)#no ip route 150.151.152.0 255.255.255.0 Serial0 195.196.20.254

. . . pour lenlever.
Ltat de la table de routage est affich avec :
Router#show ip route

Exercice 28 (configuration de la table de routage du routeur)


1.
2.
3.
4.
5.
6.
7.

V.7

En vous basant sur la conception rseau faite sur papier, configurer correctement les routes de votre
routeur, en incluant celles vers les LANs des binmes partageant votre vlan
Essayer denvoyer un ping TPSERVEUR. En cas dchec rpt, revoir la table de routage
Essayer denvoyer un ping ladresse 139.124.182.99 (ladresse dinfodoc). En cas dchec
rpt, revoir la table de routage.
Essayer denvoyer un ping la station 64.170.98.47 (station hbergeant le serveur web de
www.rfc-editor.org). En cas dchec rpt, revoir la table de routage
Vrifier la table de routage en mode privilgi avec la commande show ip route. Fournir la sortie
cran. Indiquer clairement quelles sont les entres qui ont t gnres automatiquement.
Essayer denvoyer un ping la station infodoc.aix.univ-amu.fr.
Expliquer pourquoi le ping prcdent na pas fonctionn.

Configuration de la rsolution DNS sur le routeur

Bien que cela nous sera probablement peu utile, il est agrable de pouvoir se servir des noms DNS des htes
sur le routeur. Pour permettre une rsolution de noms sur le routeur (notamment sur la CLI), il est ncessaire dindiquer le ou les serveur(s) DNS utiliser par le systme de rsolution des noms (resolver) dIOS, ventuellement
de prciser un domaine de recherche par dfaut, et dactiver le service de rsolution.
Exemple 4
Router(config)#ip name-server 139.124.187.10 139.124.187.3 150.151.152.153
Router(config)#ip domain name nom-domaine
Router(config)#ip domain-lookup

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

37/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

la premire commande liste les serveurs DNS utiliser, dans lordre de prfrence. La seconde indique
que la recherche des noms courts doit se faire par dfaut dans le nom de domaine indiqu, et la dernire
active la rsolution DNS. Si tout va bien on pourra utiliser des noms la place des adresses IP.

Attention, selon lIOS, une deuxime commande ip name-server annule la prcdente !

Exercice 29 (configuration de la rsolution DNS du routeur)


Les serveurs que nous devons utiliser sont, par ordre de prfrence, 139.124.1.2 et 194.57.187.3 :
1. Vrifier laccessibilit ces serveurs avec un ping depuis le routeur
2. Configurer et activer la rsolution DNS en utilisant les adresses de ces serveurs
3.

Vrifier la rsolution DNS en envoyant un ping vers infodoc.aix.univ-amu.fr partir du routeur. Cela
doit fonctionner

4.

Vrifier la rsolution DNS en envoyant un ping vers www.rfc-editor.org partir du routeur. Cela doit
fonctionner

V.8

Configuration du routage sur le PC-LAN

Le PC-LAN nest pas encore vraiment oprationnel au niveau rseau : sa table de routage nest pas encore
configure.
Exercice 30 (configuration du routage et du DNS sur le PC-LAN)
1.

Se rfrer DP, section 6.II page 28 pour configurer la table de routage de la machine virtuelle du
PC A

2. Depuis le PC-LAN, vrifier dans un premier temps avec un ping que vous pouvez toujours joindre votre
routeur. . .
3.

Depuis le PC-LAN, effectuer un ping vers un routeur (configur) dun binme partageant votre vlan.
Cela doit fonctionner.

4. Depuis le PC-LAN, essayer deffectuer un ping vers ladresse 139.124.182.99. Cela doit chouer !
5.
6.

Depuis le PC-LAN, effectuer un ping vers le routeur RPAT (utiliser son adresse la plus approprie).
Cela doit chouer !
Donner des raisons plausibles (et claires) de ces 2 checs. Sont-ils normaux ?

V.9

Aide : quel type dadresse utilisez-vous dans votre LAN ?

Configuration de la rsolution DNS sur le PC-LAN

La rsolution DNS est au moins aussi souhaitable sur une station de travail que sur un routeur. Cest ce que
nous allons paramtrer.
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

38/63

Exercice 31 (configuration du DNS sur le PC-LAN)


1.

diter le fichier /etc/hosts et lui ajouter les deux lignes suivantes :


adresse-routeur
adresse-routeur-internet

myrouteur
rpat

o adresse-routeur est ladresse IP de votre routeur dans le LAN et adresse-routeur-internet est ladresse
IP (approprie) de RPAT.
Sauver le fichier.
2.

Essayer deffectuer un ping vers myrouteur. Cela devrait fonctionner.

3.

diter le fichier /etc/resolv.conf et lui ajouter autant de lignes de la forme :


nameserver adresse-serveur-dns

quil y a de serveurs DNS utiliser (voir exercice 29), puis ajouter la ligne :
search aix.univ-amu.fr

Sauver le fichier.
4. Depuis le PC-LAN, essayer de faire un ping de infodoc puis de www.rfc-editor.org
5.

Expliquer pourquoi la rsolution DNS ne fonctionne pas.

V.10

Aide : la rsolution DNS nest pas opre par votre routeur mais par les serveurs mentionns
de le fichier. Essayer de les "pinguer" aussi. . .

Nous verrons la section VI comment rgler ce problme daccs Internet. . .

Configuration du service DHCP sur le routeur

Nous allons configurer un serveur DHCP sur le routeur puis demander au PC-LAN de se configurer par DHCP.
V.10.A

Configuration de lallocation dynamique

Lallocation (ou attribution) dynamique consiste attribuer une adresse IP non utilise un client qui en fait
la demande.

Exemple 5
Soit le rseau dadresse 195.196.20.0/24 prsent la figure 9 sur lequel le routeur
195.196.20.254/24 doit faire office de serveur DHCP : et o les adresses IP 195.196.20.250
195.196.20.254 ne doivent pas tre alloues dynamiquement : elles sont dj utilises par des stations,
ou sont attribuer statiquement (voir section suivante). Une configuration possible du routeur pourrait tre la
suivante :

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

39/63

Version du 14/5/2013

195.196.20.0/24

Enonce du TP 8-9 Reseaux

195.196.20.254 (Ethernet0)
routeur CISCO

PC (client DHCP)

F IGURE 9 Rseau de lexemple 5

Router#show running-config
...
ip dhcp excluded-address 195.196.20.250 195.196.20.254
!
ip dhcp pool my-pool
network 195.196.20.0 255.255.255.0
dns-server 195.196.20.1 195.196.110.10 150.151.152.3
domain-name un.domaine.fr
default-router 195.196.20.254
lease 0 2
!
interface Ethernet0
ip address 195.196.20.254 255.255.255.0
duplex auto
speed auto
no shutdown
!
service dhcp
...

o les quatre parties de cette configuration comprennent :


lexclusion des adresses 195.196.20.250 195.196.20.254 du panel dadresses attribuables
dynamiquement
la dfinition dun pool dattribution dynamique nomm my-pool dfinissant les adresses attribuables ainsi
que les informations communiquer aux clients :
 le rseau a pour adresse 195.196.20.0 de masque 255.255.255.0. Ces informations, comme
celles qui suivent, sont communiques au client. Aussi cette information indique au routeur les
adresses quil doit allouer dynamiquement (moins celles exclues). On en dduit que le routeur allouera dynamiquement les adresses 195.196.20.1 195.196.20.249
 les serveurs DNS utiliser, par ordre de prfrence, sont 195.196.20.1, 195.196.110.10 et
150.151.152.3

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

40/63

 le domaine DNS par dfaut est un.domaine.fr. Pour un client DHCP, cela correspondant au champ
search de /etc/resolv.conf
 le routeur par dfaut est 195.196.20.254
 la dure du bail est fixe 0 jour et 2 heures
la configuration de linterface du routeur sur le rseau 195.196.20.0/24
lactivation du service DHCP

Exercice 32 (configuration du service DHCP sur le routeur)


Procdons maintenant la configuration et au test du service DHCP du routeur :
1.

Sur le routeur, passer dabord en mode configuration globale. Puis, utiliser la commande
Router(config)#ip dhcp excluded-address d
ebut-adr-exclue [ fin-adr-exclue]

pour exclure du "pool" dadresses alloues dynamiquement, celles qui ne doivent pas ltre (et uniquement
celles-ci). Ne permettre lattribution que des adresses se terminant entre 100 et 150 dans votre LAN.
Le paramtre fin-adr-exclue est optionnel. Sil est manquant, seule debut-adr-exclue est exclue. Vous
pouvez utiliser plusieurs fois cette commande, sil y a plusieurs plages ou adresses exclure. Fournir les
commandes tapes.
2. Passer ensuite en mode dhcp pool configuration avec la commande :
Router(config)#ip dhcp pool nom-pool

o nom-pool est un nom pour cette configuration


3. En mode dhcp pool configuration, taper ? pour obtenir la liste des commandes disponibles.
4.

Configurer ce pool en adaptant les paramtres de lexemple prcdent votre environnement (plage
dadresses IP, serveur DNS, nom de domaine, routeur par dfaut et dure de bail), sachant que les serveurs
DNS utiliser et le nom de domaine sont ceux de lexercice prcdent, et que le bail doit durer 2,5 jours.
Fournir les commandes (et le pool).

5. Retourner au mode de configuration globale, et activer le service DHCP avec la commande :


Router(config)#service dhcp

6. En mode privilgi, sauvegarder votre configuration avec copy run start


7. En mode privilgi sur la console du routeur, taper :
Router#debug ip dhcp server events

pour activer le debugage des vnements lies lactivit du serveur DHCP.


8. Sur le PC-LAN, utiliser le service DHCP pour configurer linterface (voir DP, section 6.III page 29).
Observer les messages de la console.
9.

Envoyer un ping vers votre routeur. Cela doit fonctionner !

10.

Depuis le PC-LAN, effectuer un ping vers un routeur (configur) dun binme partageant votre vlan.
Cela doit fonctionner.

11.

Faire afficher la configuration de linterface du PC, sa table de routage, le fichier /etc/resolv.conf,


ainsi que le fichier /var/lib/dhcp3/dhclient.leases qui contient le bail (ne garder que la partie
concernant linterface que vous venez de configurer)

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

41/63

12.

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Vrifier le serveur DHCP comme suit :


Routeur#show ip dhcp server statistics
Memory usage
13906
Address pools
1
...
Routeur#show ip dhcp binding
IP address
Hardware address
195.196.20.2
0021.9bdf.dbf9
...

V.10.B

Lease expiration
Mar 01 2010 02:28 AM

Type
Automatic

Configuration de lallocation statique

Linconvnient avec lallocation dynamique dadresse est quon ne sait jamais trop quelle adresse on va obtenir, puisque le serveur DHCP nous donnera la premire disponible. Cest parfois gnant et on peut souhaiter que
le serveur nous attribue toujours la mme adresse : cest lallocation statique.
Cette allocation particulire de type BOOTP demande ce que le serveur soit configur pour reconnatre
des clients en particulier, en se basant sur leur adresse MAC, et leur allouer toujours la mme adresse. Sur un
routeur CISCO, il faut dfinir un pool par client "statique".

Exemple 6
Supposons que le routeur/serveur DHCP prcdent doit attribuer statiquement ladresse 195.196.20.250
la station possdant ladresse MAC 00:21:9b:df:db:f9, alors en plus du pool prcdent, on peut ajouter
un autre pool pour cette allocation :
ip dhcp pool pool-toto
host 195.196.20.250 255.255.255.0
hardware-address 0021.9bdf.dbf9
client-name ordidetoto

o lon voit que ladresse MAC du client est au "format CISCO", et le paramtre client-name communique au client son nom court (information ignore par dfaut par le client). Les mmes paramtres que prcdemment peuvent tre dfinis dans ce pool, mais puisque le paramtre host indique une adresse IP appartenant au
rseau indiqu en paramtre network du pool prcdent (my-pool), lensemble des paramtres de my-pool
sont hrits par ce pool (mais peuvent tre redfinis).

On remarque que ladresse alloue statiquement est une des adresses qui avaient t exclues de lensemble des adresses allouables dynamiquement.

Exercice 33 (configuration de lallocation statique)


1. Sur le PC-LAN, rsilier le bail obtenu prcdemment en tapant :
$ dhclient -r interface

o interface est linterface qui a t configure par DHCP. Observer les messages sur la console du routeur.
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

2.

Version du 14/5/2013

42/63

Sur le routeur, dsactiver le debugage des vnements DHCP en annulant la commande qui la activ.

3. Sur le routeur, dfinir un pool statique pour le PC-LAN en lui associant ladresse quil avait avant (cf.
exercice 19 page 24) avec une allocation pour une dure de 5 jours
4. Sur le PC-LAN, lancer une capture de toutes les trames avec Wireshark
5. Sur le PC-LAN, configurer nouveau linterface par DHCP avec dhclient
6.

Sassurer que ladresse obtenue est celle attendue. Fournir le rsultat de ifconfig, la partie de
/var/lib/dhcp3/dhclient.leases concernant linterface ainsi configure, le rsultat de show ip
dhcp binding et enfin la partie du show run qui concerne DHCP (uniquement)

7.

Envoyer un ping vers votre routeur. Cela doit fonctionner !

8.

Depuis le PC-LAN, effectuer un ping vers un routeur (configur) dun binme partageant votre vlan.
Cela doit fonctionner.

9.

Depuis le PC-LAN, effectuer un ping vers le routeur RPAT. Cela doit encore chouer. Nous rglerons
a la section suivante.

10. En mode privilgi sur le routeur, sauvegarder votre configuration


11.

VI

Arrter la capture des trames. Filtrer pour ne retenir que les trames concernant DHCP. Faire une
capture dcran nomme 33-dhcp.png. Sauver ces trames dans le fichier 33-dhcp.pcap.

Configuration du NAT/PAT

Vous avez pu constater que la discussion entre le PC-LAN et Internet nest pas possible. Il ne parvient mme
pas joindre RPAT ! En fait, il peut tout fait envoyer un datagramme un hte dInternet ou RPAT. Cest
la rponse qui ne peut lui revenir ! En effet, la rponse a pour adresse de destination celle du PC-LAN. Cest
une adresse dans votre LAN et ces adresses font partie des plages dadresses prives non routables sur Internet
(RFC 1918 et RFC 3927) : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 et 169.254.0.0/16. En
clair, ni RPAT ni les autres routeurs dInternet ne sont censs connatre lemplacement de votre LAN priv et les
rponses ventuelles sont perdues.
Mais vous avez pu aussi constater que votre routeur a accs Internet, alors quil utilise lui aussi une adresse
prive ct WAN (dans le bloc 192.168.0.0/16). Ceci parce que le NAT/PAT est activ sur RPAT pour
permettre aux quipements du rseau du TP (ceux des vlans), mais pas vos LAN, de communiquer avec Internet.
Afin de permettre laccs Internet aux stations de votre LAN, vous devrez configurer le NAT/PAT sur votre
propre routeur.

VI.1

Dans ce qui suit, nous simplifions quelque peu la nature du rseau du TP en considrant quil sagit
dun unique rseau 192.168.0.0/16, sans vlan, et que RPAT y possde seulement ladresse
192.168.255.254.

Le PAT sur le routeur daccs vers Internet (RPAT)

Avant dentrer dans les dtails, prsentons ds maintenant ce que fait RPAT vers Internet. Sa situation est
illustre par la figure 10. Il met en uvre le PAT (Port Address Tranlsation) contraction de NAPT (Network
Address and Port Translation), soit en franais traduction dadresse rseau et de port . Le PAT est aussi appel
single address NAT ou encore port-level multiplexed NAT , une variante du NAT (Network Address
Translation), en franais traduction dadresse rseau . Aujourdhui, le terme NAT (ou aliasing) est souvent
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

43/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

LAN du binme

LAN du binme

"rseau"
LAN du binme

RPAT

Internet
192.168.255.254

139.124.187.94

LAN du binme

192.168.0/16
LAN du binme

LAN du binme

F IGURE 10 Schma simplifi du rseau du TP, et emplacement de RPAT sur le chemin dInternet.
utilis pour dsigner lensemble des techniques NAT y compris le PAT.
Vu dInternet, le rseau 192.168.0.0/16 nexiste pas, et donc aucun des vlans du TP. Seule est connue (et
routable) ladresse IP publique de RPAT (voir paramtres), qui est reli au rseau du dpartement : considrons
que cest 139.124.187.94. Pour permettre aux quipements du rseau 192.168.0.0/16 de communiquer
avec lextrieur, ce dernier doit modifier les messages envoys afin que les rponses puissent revenir.
Exemple 7
Suivons un exemple pour en comprendre le principe. Dans les schmas, on utilisera les abrviations suivantes :
AS : adresse IP source ; AD : adresse IP destination ; PS : port TCP source et PD : port TCP destination.
1. lhte 192.168.0.1 du rseau priv envoie un message TCP de port source 10000 direction du port
25 (serveur SMTP) de lhte 165.87.29.11 dInternet :
IP

TCP

AS : 192.168.0.1

PS : 10000

AD : 165.87.29.11

PD : 25

RPAT

Internet
192.168.0.1

LAN 192.168.0.0/16

192.168.255.254

139.124.187.94

165.87.29.11

2. arriv au routeur daccs vers Internet, celui-ci remplace ladresse source du datagramme par la sienne
139.124.187.94 et le port source par le port 15000, met jour sa table de traductions PAT, puis
route le datagramme vers Internet :

RPAT

IP

TCP

AS : 139.124.187.94

PS : 15000

AD : 165.87.29.11

PD : 25

Internet

LAN 192.168.0.0/16
192.168.0.1

INFO - IUT Aix-en-Provence

192.168.255.254

139.124.187.94

165.87.29.11

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

44/63

3. le serveur SMTP de 165.87.29.11 envoie en rponse un message destination du port 15000 de


139.124.187.94 :

192.168.255.254

139.124.187.94

Internet

LAN 192.168.0.0/16
192.168.0.1

165.87.29.11
IP

RPAT

TCP

AS : 165.87.29.11

PS : 25

AD : 139.124.187.94

PD : 15000

4. arrive au routeur daccs vers Internet, celui-ci consulte sa table PAT, qui lui dit de remplacer ladresse
139.124.187.94 et le port 15000 par 192.168.0.1 et 10000. Puis il route le datagramme sur le
rseau 192.168.0.0/16 :

LAN 192.168.0.0/16

192.168.255.254

139.124.187.94

Internet

192.168.0.1

165.87.29.11
IP

TCP

AS : 165.87.29.11

PS : 25

AD : 192.168.0.1

PD : 10000

RPAT

5. la rponse parvient alors 192.168.0.1 et est remise lapplication utilisant le port TCP 10000.

Lexemple prcdent montre une partie dune communication TCP. Ce peut tre aussi une communication
UDP ou ICMP. Le routeur PAT traduit (translate) les adresses IP et les ports afin que ne sortent vers Internet que
des datagrammes ayant pour adresse source son adresse publique, et que les rponses revenant soient correctement
achemines vers leurs destinataires rels du LAN. Cest exactement les oprations des *Box que les FAI mettent
disposition des particuliers.

VI.2

Principes et terminologie du NAT

Le NAT (Network Address Translation) ou traduction dadresse rseau a t propos en 1994 dans la
RFC 1631 5 comme solution court terme face au manque dadresses IPv4, le temps de mettre au point IPv6
et de le dployer. Le NAT a des inconvnients parce quil contredit le principe selon lequel les adresses IP des
datagrammes doivent tre celles des extrmits du dialogue. Il complique alors considrablement les communications pour certains protocoles (DNS, FTP, peer-to-peer, authentification/chiffrement, . . .). Mais ses avantages
sont tels quil sera probablement encore utilis aprs le dploiement dIPv6, qui se fait du cop sans prcipitation.
Lobjectif principal du NAT tait de permettre aux adresses IP publiques dtre partages par un grand nombre
de priphriques rseau qui utiliseraient des adresses IP nayant pas de signification dans Internet (en particulier,
les adresses prives dfinies dans la RFC 1918).
Le cas le plus courant aujourdhui est celui de notre routeur PAT : avec une seule adresse IP publique permettre
une multitude dhtes (LAN) avec des adresses prives de communiquer avec Internet. Cest le type de NAT
utilis sur pratiquement tous les routeurs 6 DSL de type SOHO/PME, tels que les *Box.
5. Des versions plus actuelles sont les RFC 1663 et RFC 3022.
6. La quasi-totalit des routeurs du march incluent les fonctionnalits NAT/PAT (et firewall).

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

45/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Si plusieurs PC de votre LAN (socit ou domicile) doivent accder simultanment Internet, alors
que votre FAI (Fournisseur dAccs Internet) ne vous fournit quune seule adresse IP publique, vous
tes obligs de mettre en place un NAT/PAT.

Dans la terminologie du NAT (issue de CISCO mais adopte par la communaut rseau), on fait la distinction
entre :
les adresses globales (ou publiques) sont les adresses routables (sur Internet) car elles ont une signification porte globale (pour lensemble dInternet). Elles sont attribues (indirectement) par lIANA.
les adresses locales qui nont un sens que localement, pour les htes du LAN
La diffrence se situe sur lendroit o ces adresses sont utilises dans les messages :
lintrieur (inside), appel Site NAT, on utilise des adresses locales
lextrieur (outside), cest dire le WAN, on utilise des adresses globales.
La NATBox (ou routeur NAT) est la frontire entre ces mondes (et ces adresses), le seul point de passage :
adresses locales

adresses globales
NATBox

Site NAT

Internet

Intrieur (inside)

Extrieur (outside)

localement, les adresses des messages sont libres

lextrieur, les adresses doivent tre publiques

Exemple 8
Dans lexemple prcdent, 192.168.0.1 est une adresse locale alors que 139.124.187.94 est une
adresse globale. En revanche, ladresse 165.87.29.11 est la fois locale et globale, car elle apparat dans les
messages lintrieur et lextrieur du Site NAT. Cela sera clarifi par la suite.

Tous les messages franchissant la frontire inside/outside passent forcment par la NATBox qui en traduit les
adresses :
pour les messages sortants (inside outside) :
les adresses locales sont traduites en adresses globales
pour les messages entrants (inside outside) :
les adresses globales sont traduites en adresses locales
adresses locales

adresses globales
NATBox

Site NAT

adresses locales

Intrieur (inside)
INFO - IUT Aix-en-Provence

Internet

adresses globales

Extrieur (outside)
C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

46/63

Le NAT/PAT nest concern que par les messages passant cette frontire. Les messages restant du ct
inside ne sont pas soumis au NAT. De mme que ceux qui restent du ct outside.

cela sajoutent les qualificatifs dinterne et dexterne :


les adresses internes (inside) sont celles matrises par ladministrateur du site NAT ;
les adresses externes (outside) font rfrence des htes situs sur le WAN et qui possdent (en principe)
des adresses publiques.
On distingue donc en ralit les 4 types dadresses suivantes :
adresses locales internes ou ALI (inside local address) : les adresses (en principe prives) des htes du
Site NAT ;
adresses globales internes ou AGI (inside global address) : la (ou les) adresse(s) publique(s) de la
NATBox et qui sont utilises la place des adresses locales internes quand un message sort du LAN vers
Internet ;
adresses locales externes ou ALE (outside local address) : les adresses des htes du WAN vues par les
htes du LAN ;
adresses globales externes ou AGE (outside global address) : les adresses des htes du WAN.
La NATBox traduit les adresses source (AS) et destination (AD) des messages qui franchissent la frontire inside/outside. Le schma complet des traductions NAT oprables est :
message sortant
AS : adresse locale interne

AS : adresse globale interne

AD : adresse locale externe

AD : adresse globale externe


NATBox

Site NAT

Internet

AS : adresse locale externe

AS : adresse globale externe

AD : adresse locale interne

AD : adresse globale interne


message entrant

Intrieur (inside)

Extrieur (outside)

Dans le cadre du NAT, les AS et les AD sont des adresses IP.


Dans sa variante PAT, il sagit dadresses dapplications.

Dans le cas normal (hors overlapping), les adresses externes ne sont pas traduites (adresse locale
externe adresse globale externe).

Exemple 9
Reprenons encore lexemple du dbut de cette section :
192.168.0.1 est une adresse locale interne ;

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

47/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

139.124.187.94 est une adresse gloable interne ;


165.87.29.11 est la fois locale externe et globale externe.
Mais puisquil met en uvre le PAT (dynamique), il traduit des adresses dapplication qui incluent aussi le protocole concern (TCP, UDP ou ICMP), ainsi que les ports utiliss. Ce sera dtaill en section VI.4.

VI.2.A

Traductions inside et outside

Les traductions oprer dpendent des situtations, et les routeurs NAT professionnels peuvent tre configurs
pour oprer des traductions prcises :
traduction inside : traduire les adresses internes (inside)
AS : adresse locale interne

sortant

AS : adresse globale interne

Site NAT

Internet

AD : adresse locale interne

AD : adresse globale interne


entrant

traduction outside : traduire les adresses externes (outside)


AD : adresse locale externe

sortant

AD : adresse globale externe

Site NAT

Internet

AS : adresse locale externe

AS : adresse globale externe


entrant

En temps normal, cette traduction nest pas opre. Et si elle lest, cest quon doit aussi oprer une
traduction inside pour traiter loverlapping.
les deux traductions la fois afin de traiter loverlapping (voir plus loin).

Les *Box des FAI ne pratiquent que la traduction inside.

Loverlapping
Loverlapping (ou chevauchement dadresses) se caractrise par une intersection non vide des adresses locales
internes et des adresses globales externes. En clair, des stations du Site NAT ont des adresses qui appartiennent
aussi des stations du WAN.
Exemple 10
Si au lieu de ladresse 192.168.0.0/16 en interne, on avait utilis 165.87.0.0/16 et attribu ladresse
165.87.29.11 une station du LAN, alors on ne saurait plus lintrieur du Site NAT ce que reprsente
cette adresse. La NATBox devrait alors pratiquer les traductions inside et outside, pour notamment modifier les
adresses globales externes (lgitimes) qui sont dj utilises (sans lgitimit) en interne. Par exemple, la station
externe 165.87.29.11 serait "vue" dans le Site NAT comme ayant ladresse 10.0.0.1. Cest tout le sens
des adresses locales externes.

Cette situation est plutt exceptionnelle (voir des exemples dans le cours), et pose de nombreux problmes.
Elle ne sapplique pas ce TP. Vous naurez besoin que de la traduction inside.
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

VI.2.B

Version du 14/5/2013

48/63

Variantes du NAT

Avec un pool de n adresses publiques (AGI), plusieurs variantes sont possibles/combinables :


NAT statique : on choisit par avance n stations et on associe leur adresse locale interne une adresse
globale interne. La traduction est un un. Seules ces n stations pourront accder Internet. Lavantage
est que ces n stations peuvent tre contactes par des htes externes, et peuvent donc tre des serveurs ;
NAT dynamique : on choisit m stations autorises (en gnral m est bien suprieur n) accder
internet. Les adresses globales internes leur sont associes dynamiquement et temporairement, lorsquune
station entreprend un dialogue avec une station externe.
PAT dynamique : une mme adresse globale interne est associe dynamiquement plusieurs adresses
locales internes. La NATBox utilise aussi les informations des protocoles TCP, UDP ou ICMP et traduit
les ports. La table dassociation comprend aussi les ports, ce qui permet de distinguer le trafic. Avec le
PAT, on na besoin en gnral que dune seule adresse globale interne qui peut tre partage par
des milliers de stations ! Cest la traduction opre par notre routeur PAT.
PAT statique : utilise pour permettre des serveurs internes dtre joints depuis lextrieur, alors quon
na pas assez dAGI pour du NAT statique. nouveau, les ports TCP et UDP sont utiliss pour distinguer
les ALI.

Les *Box des FAI ralisent des traduction PAT dynamiques si plusieurs ordinateurs du foyer doivent
avoir accs Internet. Elles permettent aussi le PAT statique.

Nous allons nous concentrer sur le PAT (appel overloading par CISCO), dabord dynamique puis
statique.

VI.3

Configuration du PAT dynamique

Le routeur RPAT daccs Internet doit oprer une traduction inside : quand un message le traverse dans
le sens inside outside, il doit traduire (remplacer) les adresses 7 locales internes en adresses globales internes.
Il doit faire la traduction inverse quand un message le traverse dans le sens outside inside.
Il ne dispose que dune seule adresse globale interne, 139.124.187.94. Cest ladresse de son interface
Ethernet0/0, ct externe (WAN). Son interface interne est Ethernet0/1 dadresse 192.168.255.254.
Il doit traduire les adresses du rseau 192.168.0.0/16 :
RPAT

192.168.0.0/16

Ethernet0/1
192.168.255.254
(adresse locale interne)

Intrieur (inside)

Ethernet0/0
139.124.187.94
(adresse globale interne)

Internet

Extrieur (outside)

7. On verra par la suite que adresse est prendre dans un sens plus large car cela comprend le port.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

49/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

La configuration du PAT dynamique se fait dans les quelques lignes extraites de sa running-config, figurant ci-dessous :
interface Ethernet0/1
ip address 192.168.255.254
ip nat inside
...
interface Ethernet0/0
ip address 139.124.187.94
ip nat outside
...

...

...

access-list 1 permit 192.168.0.0 0.0.255.255


ip nat inside source list 1 interface Ethernet0/0 overload

Les diffrentes tapes suivre pour la configuration PAT dynamique sont les suivantes :
1. Dfinition des interfaces inside et outside en mode de configuration dinterface :
(a) pour linterface inside :
Router(config)#interface nom-interface-inside
Router(config-if)#ip nat inside

(b) pour linterface outside :


Router(config)#interface nom-interface-outside
Router(config-if)#ip nat outside

2. En mode de configuration globale, dfinition dun filtre dadresses IP par une access-list (ACL) qui
caractrise les adresses locales internes soumises au NAT/PAT :
access-list num
ero-ACL

permit IP-source wildcard-mask

o :
numero-ACL est le numro dune ACL, compris entre 1 et 99

Une ACL est un filtre. Quand une commande prcise une ACL, elle ne sera applique
que pour les datagrammes passant ce filtre. Les ACL comprises entre 1 et 99 sont les IP
standard access-list (les plus basiques) : elles nexaminent que les adresses IP sources des
datagrammes. Par dfaut, les ACL sont vierges (vides), et aucun datagramme ne peut passer le filtre correspondant. La commande ci-dessus permet (permit) aux datagrammes,
dont ladresse source correspond ce qui suit, de passer le filtre de lACL numero-ACL.

IP-source et wildcard-mask, conjointement, reprsentent les adresses sources des datagrammes retenir. Mais attention ! wildcard-mask nest pas un masque de sous-rseau, cest mme son inverse :
les bits 0 indiquent la partie de ladresse IP source du datagramme comparer avec la valeur IPsource, alors que ceux 1 indiquent les bits ignorer
3. En mode de configuration globale, activation de la traduction PAT inside.
ip nat inside source list ACL-number interface nom-interface-outside overload

qui se traduit par : faire du PAT inside sur les messages entrant par une interface dclare comme
inside et sortant par une interface dclare comme outside, et dont ladresse source concorde avec
le filtre de lACL ACL-number. Traduire (to translate) le message en utilisant ladresse globale interne de
linterface nom-interface-outside (WAN). Plus prcismment :
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

50/63

ip nat inside active la traduction NAT inside, et, overload, sa variante PAT
source list ACL-number filtre les messages traduire par lACL ACL-number
interface nom-interface-outside indique linterface outside dont il faut utiliser ladresse globale
interne pour la traduction

Si lon dispose dun ensemble dadresses globales internes, on peut remplacer cette partie
de la commande par pool nom-pool, o nom-pool est le nom du pool dadresses, dfini
avec ip nat pool.

En dpit des apparences, les messages seront traduits dans les deux sens. Les adresses internes sont
traduites de local en global pour les messages sortants (inside outside). Elles sont traduites de
global en local pour les messages entrants (outside inside)

Exercice 34 (activation du PAT dynamique sur le routeur du binme)


Il vous faut maintenant activer le PAT sur votre routeur en vous inspirant de la configuration du routeur daccs
vers Internet. Pour cela :
Identifier les interfaces interne et externe de votre routeur, ainsi que les adresses IP associes
1.
2.
Prciser, dans la configuration des interfaces, laquelle est inside et laquelle est outside
3.
Dfinir lACL caractrisant les adresses locales internes traduire (celles de votre LAN)
4.
Activer la traduction inside de type PAT des messages correspondant ce filtre
5.
partir du PC-LAN, faire un ping de TPSERVEUR et de 139.124.182.99 (infodoc). Cela doit
fonctionner.
6.
partir du PC-LAN, faire un ping de www.wireshark.org. Ce doit aussi fonctionner !
7.
Ouvrir un navigateur et afficher la page http://www.wireshark.org/. Faire une capture
dcran nomme 34-pat.png.
partir du PC-LAN, utiliser traceroute pour tenter de voir quels sont les routeurs traverss pour
8.
arriver jusqu la station 139.124.182.99 et jusqu www.wireshark.org.
9. Sauver la configuration

VI.4

Fonctionnement de la traduction dynamique PAT

Nous prendrons le cas de notre routeur RPAT simplifi (quon appellera aussi NATBox) : une seule adresse
globale interne doit tre partage par un ensemble de stations du site NAT. Pour cela, la NATBox doit raliser une
traduction interne dynamique PAT. Avec le PAT, la NATBox ne traduit pas seulement les adresses IP mais doit
traduire des adresses dapplication.

Le PAT traduit des adresses dapplication locales en adresses dapplication globales (internes et externes), et inversement.

La NATBox tient compte et traduit les informations des protocoles utilisant IP : TCP, UDP et ICMP. Pour
TCP et UDP, elle doit traduire les ports utiliss. Pour ICMP, cela dpend du message.
En tendant ainsi les informations utilises, elle ne garde pas seulement trace de la station interne qui dialogue avec Internet mais plutt du dialogue lui-mme, travers les adresses des applications impliques dans ce
dialogue.
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

51/63

VI.4.A

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Initiation dune traduction dynamique PAT

Pour une traduction interne dynamique PAT, la cration dune traduction dynamique na lieu qu
linitiative dune station interne, lorsquelle entame un dialogue avec une station externe. Quand une application (interne) initie un dialogue avec une application (station) externe, le message parvient la NATBox qui
identifie lapplication (interne) par son adresse locale interne, le protocole (TCP, UDP, ICMP) et le port local 8
interne source du message. La NATBox traduit ladresse locale interne en adresse globale interne. Le port local
interne est aussi traduit en port global interne. La traduction modifie sa valeur si une autre application interne
utilisant le mme protocole et le mme port source est dj en train de dialoguer. Dans ce cas, le port global
interne est choisi parmi les ports du protocole considr qui sont libres sur la NATBox.
La NATBox doit alors grer une table de traduction dynamique PAT dans laquelle figurent les protocoles
(TCP, UDP, ICMP) et les ports. Sur un routeur CISCO, cette table possde 5 colonnes : Protocol, Inside global,
Inside local, Outside global et Outside local, o :
Protocol est lun des protocoles TCP, UDP ou ICMP
Inside global a la forme addresse-globale-interne:port-global-interne
Inside local a la forme addresse-locale-interne:port-local-interne
Outside global a la forme addresse-globale-externe:port-global-externe
Outside local a la forme addresse-locale-externe:port-local-externe
Le schma complet des traductions PAT oprables est :

(source)

ALI:PLI

(dest.)

ALE:PLE

Proto

Proto

message sortant
(source)

AGI:PGI

(dest.)

AGE:PGE

NATBox

(source)

ALE:PLE

(dest.)

ALI:PLI

Internet
Proto

Proto

Site NAT

(source)

AGE:PGE

(dest.)

AGI:PGI

message entrant

Intrieur (inside)

Extrieur (outside)

Notre routeur PAT est configur pour oprer une traduction inside : les adresses internes (Inside) sont remplaces de local en global quand le message le traverse pour aller vers lextrieur, et inversement pour un message
entrant. Parce que cest inutile dans notre cas (pas doverlapping), il nest pas configur pour oprer une traduction outside, o les adresses externes (Outside) sont (aussi) traduites.
La table de traduction dun routeur CISCO est visible en mode privilgi avec la commande :
Router#show ip nat translations

Exemple 11
En reprenant lexemple du routeur PAT (cf. section VI.1), la traduction opre apparatrait ainsi :
8. Par abus de langage, nous utiliserons port mme pour un message ICMP. On verra le traitement particulier de ICMP plus loin.

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Router#show ip nat translations


Pro
Inside global
tcp
139.124.187.94:15000
...
...

Version du 14/5/2013

Inside local
192.168.0.1:10000
...

Outside local
165.87.29.11:25
...

52/63

Outside global
165.87.29.11:25
...

Nous voyons les traductions effectues (seulement) sur les adresses internes. On remarque que le port 10000
a t traduit en port 15000, probablement parce quune station interne utilise dj le port TCP 10000 dans
un dialogue en cours avec une station externe. Si cette station est 192.168.0.21 et quelle dialogue avec le
serveur POP3 (port 110) de la machine 124.2.96.28, alors la ligne suivante apparat aussi dans cette table :
tcp

VI.4.B

139.124.187.94:10000

192.168.0.21:10000

124.2.96.28:110

124.2.96.28:110

Traduction dynamique PAT des messages sortants

On vient de le voir, pour une traduction interne, ce sont les messages sortants (inside outside) qui sont
lorigine de la cration dune traduction dynamique. Mais pour un dialogue donn entre une application interne et
une application externe, seul le premier message sortant cre une traduction dynamique, et donc une entre dans
la table des traductions. Les autres messages sortants de ce dialogue sont traduits conformment cette entre.
Plus prcisment, lorquun message sortant se prsente la NATBox, celle-ci cherche dans sa table de traductions le dialogue correspondant, cest dire une entre o Protocole correspond celui du message, o Inside
local correspond sa source (adresse et port) et o Outside local correspond sa destination (adresse et port).
Sil en existe une, le message est traduit en remplaant les champs correspondant Inside local par ceux figurant en Inside global. Les informations Outside seraient traduites aussi de local en global si la NATBox oprait
aussi un NAT outside.
Sinon, il sagit dun nouveau dialogue et une nouvelle traduction (nouvelle entre) est cre.

Exemple 12
On continue lexemple prcdent, o le dialogue a t initit par lapplication interne utilisant le
port TCP 10000 de la station 192.168.0.1, et o lapplication externe utilise le port 25 de la station 165.87.29.11. Quand lapplication externe envoie dautres messages de ce dialogue, ceux-ci ont
192.168.0.1 comme adresse locale interne, TCP comme protocole et 10000 comme port source. Quand
ces messages passent par la NATBox pour sortir, elle se rend compte que la table contient une entre (TCP)
avec pour Inside local 192.168.0.1:10000, et traduit ces messages avec lInside global correspondant
(139.124.187.94:15000).

Dautre part, si une application interne (identifie par une adresse locale interne, un protocole, et un port) a
initi des dialogues simultanment avec plusieurs applications externes, alors la table de traduction contient autant
dentres quil y a de dialogues en cours. Chez CISCO, si le protocole utilis est UDP ou ICMP, le routeur garde
le mme Inside global pour chacune de ces entres. Mais si le protocole est TCP, le routeur cre une nouvelle
traduction dynamique pour chacune de ces entres en associant, chaque Inside local, un nouvel Inside global
(la mme adresse globale interne mais un port global diffrent).

Ce comportement des routeurs CISCO est un peu surprenant. En thorie, la NATBox pourrait utiliser
le mme Inside global pour les mmes Inside local. Sils ne le font pas, ce doit tre par ce que cela
leur facilite la tche. . .

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

53/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Exemple 13
Si lapplication interne prcdente initie, partir du mme port, un nouveau dialogue avec lapplication externe (serveur FTP) utilisant le port 21 de la station 85.110.28.91, alors que le dialogue prcdent est toujours
en cours, alors on aura une table qui ressemble (si le port global 15001 tait libre) :
Router#show ip nat translations
Pro
Inside global
tcp
139.124.187.94:15000
tcp
139.124.187.94:15001

Inside local
192.168.0.1:10000
192.168.0.1:10000

Outside local
165.87.29.11:25
85.110.28.91:21

Outside global
165.87.29.11:25
85.110.28.91:21

o lon voit quune nouvelle entre a bien t cre, avec un Inside global qui diffre du prcdent par le port
global utilis. Mais si le protocole est UDP, on peut trs bien avoir plusieurs entres ayant le mme couple Inside
global et Inside local :
Router#show ip nat translations
Pro
Inside global
udp
139.124.187.94:22000
udp
139.124.187.94:22000

VI.4.C

Inside local
192.168.0.1:22000
192.168.0.1:22000

Outside local
138.142.18.5:13
76.34.151.39:7

Outside global
138.142.18.5:13
76.34.151.39:7

Traduction dynamique PAT des messages entrants

Dans le cadre dune traduction interne, les messages entrants (outside inside) ne peuvent pas crer
de nouvelle traduction dynamique. Lorsquils arrivent la NATBox, celle-ci recherche dans sa table le dialogue
correspondant, cest dire une entre o Protocole correspond celui du message, o Outside global correspond
sa source (adresse et port) et o Inside global correspond sa destination (adresse et port).
Sil elle en trouve une, le message est traduit en remplaant les informations Inside de global en local (les
adresses Outside seraient traduites aussi si la NATBox oprait aussi un NAT outside).
Si elle nen trouve pas, le message est purement et simplement rejet (un message derreur ICMP est ventuellement renvoy). De cette faon, le NAT introduit un certain niveau de scurit : les stations du LAN ne sont
pas directement accessibles de lextrieur sauf pour les dialogues en cours, qui rappelons-le sont tablis
linitiative des stations internes 9 . Ainsi, une NATBox est un peu un pare-feu. En revanche, en matire de scurit, il ne sagit toutefois que dune option qui ne peut remplacer un vritable pare-feu avec un filtrage pertinent
des communications TCP/IP (par exemple pour fournir une protection contre les communications abusives dun
Cheval de Troie).

Exemple 14
En tenant compte de la table de lexemple prcdent, un message entrant ne sera accept que sil correspond
lune des quatre entres (en comptant UDP). Le triplet Protocole, Inside global et Outside global doit concider
avec les champs du message. Seuls seront donc accepts :
les messages TCP dadresse source 165.87.29.11 et port source 25, et dadresse destination
139.124.187.94 et port destination 15000
les messages TCP dadresse source 85.110.28.91 et port source 21, et dadresse destination
139.124.187.94 et port destination 15001
9. Nous verrons plus loin quon peut tablir des correspondances de ports TCP/UDP pour raliser ce quon appelle communment
la redirection de ports (port redirection ou port forwarding) pour les connexions entrantes (traduction PAT statique).

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

54/63

les messages UDP dadresse source 138.142.18.5 et port source 13, et dadresse destination
139.124.187.94 et port destination 22000
les messages UDP dadresse source 76.34.151.39 et port source 7, et dadresse destination
139.124.187.94 et port destination 22000

VI.5

PAT statique pour la redirection de port des connexions entrantes

Nous avons vu prcdemment que les connexions et sessions TCP/IP entrantes sont rejetes par la NATBox.
Alors, que faire si une socit souhaite mettre en place un serveur de messagerie (SMTP) ou un serveur Web
(HTTP) derrire le NAT ? A priori, en utilisant le NAT sur votre routeur Internet, cette station ne sera jamais
accessible partir de lextrieur.
La solution pour permettre une connexion entrante au travers dun NAT est la mise en place dune redirection
de port (port redirection, ou port forwarding). Il sagit dune traduction PAT statique base sur ladresse dun port
TCP ou UDP. Souvent, la redirection de port est aussi appel virtual serveur ou virtual application.

Exemple 15
Dans lexemple suivant (Live Box dOrange), une redirection de port est dfinie pour rendre un serveur Web
(derrire le NAT) accessible partir de lextrieur :
port externe
80

protocole
tcp

adresse locale
192.168.11.1

Certains routeurs PAT plus sophistiqus dont le ntrepermettent une redirection la fois plus dtaille et
plus restrictive, comme le montre lexemple suivant :
adresse IP
source externe
80.139.53.71

port externe
(ou plage de ports)
86318632

protocole(s)
tcp,udp

adresse IP
interne
192.168.11.1

port interne
(ou plage de ports)
56315632

Dans cet exemple, uniquement les datagrammes provenant de ladresse IP 80.139.53.71 vhiculant des paquets TCP ou UDP, dont le port de destination est 8631 ou 8632, sont traduits vers ladresse
192.168.11.1. Le port de destination 8631 est traduit vers 5631 et le port de destination 8632 est traduit
vers 5632. La traduction inverse est opre pour les datagrammes destination de 80.139.53.71, provenant
de 192.168.11.1 et dont le port source est 5631 ou 5632.

Sur un routeur CISCO, sur lequel le PAT est activ en utilisant la seule adresse publique de linterface
Ethernet0, la redirection de port pour un serveur HTTP, FTP et un serveur SMTP hbergs par lhte
192.168.11.5 du LAN, peut tre configure comme suit :
ip nat inside source static tcp 192.168.11.5 21 interface Ethernet0 21
ip nat inside source static tcp 192.168.11.5 25 interface Ethernet0 25
ip nat inside source static tcp 192.168.11.5 80 interface Ethernet0 80

Pour un serveur FTP interne, il est parfois ncessaire dinformer la NATBox quelle doit suivre la communication TCP au niveau de la couche application (couches 5-7 du modle TCP/IP simplifi) en ajoutant le paramtre
C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

55/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

extendable la fin de la commande (ceci concerne en vrit que quelques anciens modles des routeurs
CISCO). La NAT box des CISCO 1720/1721 (IOS version 12.3) suit la couche application du protocole FTP par
dfaut et le paramtre extendable nest pas ncessaire.
Exercice 35 (redirection de ports)
Dans vos paramtres sont indiques les redirections vous concernant configures sur le routeur daccs vers
Internet. Ainsi, les connexions TCP entrantes ( destination de ladresse publique de RPAT) sur les ports mentionns en colonne Port WAN et vous concernant sont traduites et rediriges vers les ports mentionns en colonne
Port LAN vers ladresse WAN de votre routeur :
1.

Quelles sont les rgles qui ont t utilises pour votre binme ?

2. Configurer votre routeur pour quil opre une redirection de port pour les connexions entrantes (donc
destination de ladresse WAN de votre routeur) sur ces ports (redirigs par RPAT) vers les ports TCP 22,
Fournir les commandes correspondantes.
23 et 80 du PC-LAN.
3.

Depuis un nagivateur sur le PC-IUT, afficher la page dacceuil du serveur Web qui est dj actif sur le
PC-LAN. Faire une capture dcran et la nommer 35-staticpat-http.png

4.

Depuis un terminal sur le PC-IUT, se connecter au serveur SSH du PC-LAN (se connecter en tant que
root). Faire une capture dcran et la nommer 35-staticpat-ssh.png

5. Depuis un terminal du PC-LAN, installer un serveur TELNET en tapant (simplement) les commandes
suivantes :
# apt-get update
# apt-get install telnetd

6.

Depuis un terminal sur le PC-IUT, se connecter au serveur TELNET du PC-LAN (se connecter en tant
que toto). Faire une capture dcran et la nommer 35-staticpat-telnet.png

7. Sauver la configuration

VI.6

Scurisation des accs rseau

Nous souhaitons maintenant scuriser les accs aux serveurs du PC-LAN, de la manire suivante :
tout Internet doit pouvoir accder son serveur Web ;
seules les stations des rseaux 139.124.187.0/24 et 192.168.0.0/16 doivent pouvoir accder
son serveur SSH ;
seul PC-IUT doit avoir accs son serveur TELNET.
Pour cela, votre routeur doit faire office de pare-feu (firewall). Il ne dispose que des fonctionnalits dun parefeu sans tat (stateless firewall) mais cela sera suffisant. Il doit filtrer les datagrammes qui proviennent dInternet
et destination des ports des serveurs de PC-LAN. Pour cela, il faut tablir une ACL tendue, puis configurer
linterface LAN du routeur pour quelles ne laissent passer que les datagrammes satisfaisant cette ACL.
Exercice 36 (scurisation des accs aux serveurs)
Demander lenseignant des prcisions sur la manire doprer et configurer le routeur pour scuriser laccs.
Demander lenseignant de valider cet exercice.

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

VI.7

Version du 14/5/2013

56/63

Gestion et mise jour de la table des traductions

Afin de retirer des entres de la table dassociation, et librer les adresses globales internes et les ports globaux
internes quelle utilise, la NATBox doit maintenir un tat des "sessions" en cours, savoir :
les connexions TCP
les dialogues UDP
les dialogues ICMP (ping essentiellement)
et dceler la fin de ces sessions. Cest un problme auquel il ny a pas de solution "transparente".
Une session (connexion) TCP sera considre termine dans lun des cas suivants :
les deux cts ont envoy leur segment FIN
un ct envoy un segment RST
mais rien ne dit quils lont reu. Sur un routeur CISCO, la connexion est considre comme close 60 secondes
aprs lune de ces situations.
Pour une "session" UDP ou ICMP, cest dpendant des applications ! Elle est considre close si aucun datagramme la concernant nest reu par la NATBox pendant un certain temps, qui est configurable sur la NATBox.
La NATBox peut aussi disposer dun module reconnaissant des applications utilisatrices de ces protocoles pour
reconnatre ce type de sessions.
Le commandes suivantes sont utilises pour configurer la dure de vie dune association de traduction dynamique
sur le routeur :
Router(config)#ip
Router(config)#ip
Router(config)#ip
Router(config)#ip
Router(config)#ip

nat
nat
nat
nat
nat

translation
translation
translation
translation
translation

udp-timeout secondes
tcp-timeout secondes
finrst-timeout secondes
icmp-timeout secondes
dns-timeout secondes

(par dfaut, 300 secondes)


(par dfaut, 24 heures)
(par dfaut, 60 secondes)
(par dfaut, 60 secondes)
(par dfaut, 60 secondes)

o secondes indique le temps aprs lequel, si aucun message de la session ne se prsente, celle-ci sera considre
comme termine.

Un paramtrage plus fin est aussi possible, en prcisant un timeout pour un protocole donn (TCP ou
UDP) et pour des ports donns.

Nous avons dj vu que pour afficher la table de traduction (et vrifier que tout fonctionne), il fallait utiliser la
commande suivante en mode privilgi :
Router#show ip nat translations

On peut galement afficher les traductions opres en temps rel sur la console (mais il deviendra un peu difficile
de travailler dessus) avec :
Router#debug ip nat

ainsi que des statistiques avec :


Router#show ip nat statistics

Il est possible deffacer toutes les entres de la table de translation :


Router#clear ip nat translation *

ou seulement des entres spcifiques :


C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

57/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

clear ip nat translation inside global-ip [ global-port] local-ip [ local-port] ...


... [outside local-ip global-ip]

Exercice 37 (gestion des traductions)

Pour cette question, travailler sur le routeur via TELNET afin de garder la console libre pour
afficher les messages du debugging.

1. partir dun terminal du PC-LAN, recommencer un ping de TPSERVEUR et de 139.124.182.99.


Avec un navigateur, afficher dans deux onglets les URL http://www.wireshark.org/ et http:
//139.124.182.99.
2.

Afficher la table des traductions de votre routeur

3. partir dun terminal du PC-LAN, faire un traceroute jusqu la station 139.124.132.127.


4.

Afficher la table des traductions

5.

Utiliser le pipe pour nafficher que les traductions des messages TCP. Fournir la commande.

6. Vider la table de traductions


7.

Modifier la dure de vie des entres de la table de traduction : 20 minutes pour le protocole TCP,
seulement 5 secondes pour UDP, ICMP et DNS. Fournir les commandes.

8. Dboguer la traduction en affichant les informations de la traduction en temps rel sur la console
9. Sur le PC-LAN, lancer une capture de toutes les trames avec Wireshark
10. Sur le PC-LAN, ouvrir dans un navigateur lURL http://TPSERVEUR/index.php, o TPSERVEUR
est remplacer par son adresse.
11. Faire aussitt une copie dcran des informations de debugging de la console du routeur et la nommer
37-debug-pat.png.
12.

Sur la session TELNET, afficher la table de traduction.

13.

Arrter la capture de Wireshark et lenregistrer sous le nom 37-debug-pat.pcap

14. Laffichage de la page Web a ncessit lenvoi/rception de plusieurs datagrammes IP, vhiculant les
messages TCP du protocole HTTP. Pour le premier datagramme mis par le PC-LAN contenant la requte
HTTP, et le premier datagramme reu en rponse, fournir ladresse IP source, ladresse IP destination, le
port source, le port destination et le protocole de couche 4, contenu dans ces datagrammes lorsque ceuxci ont circul ct LAN et ct WAN. En effet, vous avez tous les lments pour dduire les traductions
opres par votre routeur. Il y a donc 4 datagrammes prciser (requte ct LAN et ct WAN ; rponse
ct WAN et ct LAN).

VI.8

Interactions entre le NAT et les autres protocoles

La traduction opre par le NAT/PAT doit tre transparente, autant pour les ordinateurs que les protocoles
de TCP/IP. Or, la modification des adresses/ports source et destination nest pas anodine pour de nombreux
protocoles comme IP, ICMP, TCP, UDP, FTP, etc. :
IP inclut les adresses IP dans le calcul du checksum
TCP et UDP les incluent aussi dans le calcul de leur checksum (pseudo en-tte)
TCP et UDP y incluent aussi les ports et les donnes
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

58/63

ICMP ne fournit pas de ports (problme pour le PAT). Les messages derreur ICMP (types 3 5 et 11)
contiennent toutefois les en-ttes IP et TCP/UDP des datagrammes en cause et peuvent donc tre traduits.
Les messages ICMP de demande (ECHO 10 , Horodatage, etc.) contiennent un identificateur. Lidentificateur (ainsi que ladresse locale interne) est traduit par un identificateur global comme sil sagissait dun
port.
FTP envoie, dans la commande PORT et en rponse de la commande PASV, une adresse IP et un port
TCP utiliser pour tablir une connexion de donnes. Ils doivent tre traduits, ce qui modifie le segment
TCP qui transporte ce message.

La NAT box doit en tenir compte et modifier tous les messages des protocoles qui utilisent les
adresses quelle traduit !

Il en dcoule que le NAT/PAT complique lutilisation des protocoles utilisant les adresses et les ports dans leurs
messages. Les NATBox savent en gnral traduire les messages des protocoles classiques. Mais elles peuvent tre
incompatibles avec des protocoles moins "standard", comme le protocole GRE (couche 4), utilis par le protocole
PTPP (Point To Point Protocol) qui permet de crer des tunnels VPN (accs distance scuris).
Exercice 38 (Dialogue ICMP au travers dun routeur NAT/PAT)
1. Vider la table de traduction de votre routeur NAT
2. Augmenter la dure de vie des associations de la table de traduction pour les messages ICMP (par exemple
10 min)
3. Lancer une capture par Wireshark sur le PC-LAN
4. partir du PC-LAN, envoyer un ping (message ICMP de type ECHO) partir de votre station vers
TPSERVEUR en utilisant deux paquets ICMP (ping -c 2 . . .)
5.

Arrter la capture. Sauver les 4 trames (2 fois un message cho et la rponse cho) concernant les
messages ICMP dans le fichier 38-pat-icmp.pcap

6.

Fournir les valeurs des 5 premiers champs de chaque message ICMP (voir annexe).

7.

Afficher la table de traduction

8.

VII
VII.1

En dduire les 5 champs des deux premiers messages ICMP circulant du ct WAN de votre routeur
PAT (la premire requte et la premire rponse)

Prise de contrle du routeur sans mot de passe


Prise de contrle du routeur

Il arrive quon doive prendre le contrle dun routeur dont on ne possde pas le mot de passe. . .

Attention, cet exercice prend un bon quart dheure minimum !

Exercice 39 (oubli du mot de passe)


10. Voir aussi http://www.reseaucerta.org/exonets/exonet83.htm

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

59/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

1. Prendre soin de bien avoir sauvegard sa configuration, notamment sur votre serveur TFTP, puis demander
votre enseignant de changer le mot de passe de votre routeur.
2. teindre puis rallumer le routeur
3. Tenter de visualiser la startup-config (notamment en tentant de rentrer dans le mode privilgi). Vous
ne pouvez plus faire grand chose. . .
Le mot de passe du routeur fait partie de la configuration : il est enregistr (et chiffr) dans le fichier
startup-config. Nous allons faire dmarrer le routeur en ignorant ce fichier, comme sil avait une confi-

guration vierge, sans mot de passe.

La procdure de rcupration dun mot de passe est gnralement dcrite dans le chapitre Recovering
a Lost Enable Password 11 du manuel qui accompagne le matriel CISCO. En principe, lobjectif de
cette procdure est de conserver la configuration actuelle du routeur tout en rinitialisant le mot de
passe.

Dans les grandes lignes, cette procdure est la suivante (ne pas la suivre pour le moment) :
1. dmarrer en mode monitoring de la ROM afin de changer la valeur du registre de configuration pour ignorer
la startup-config au dmarrage ;
2. redmarrer le routeur et laisser lIOS se charger jusqu obtenir le prompt de la CLI
3. entrer en mode privilgi : la startup-config ayant t ignore, la running-config (configuration
courante) est vierge, sans mot de passe
4. copier la startup-config dans la running-config. Le routeur a maintenant comme configuration
courante, celle quil aurait eu sil navait pas ignor la startup-config. La diffrence est que lon se
trouve en mode privilgi, ce qui aurait ncessit de connatre le mot de passe ;
5. changer le mot de passe
6. copier la running-config dans la startup-config. On aura donc simplement chang le mot de passe.
7. modifier le registre de configuration pour dmarrer en prenant en compte la startup-config
8. redmarrer le routeur
Exercice 40 (rinitialisation du routeur)

Nous avons besoin de la valeur du registre de configuration (0xvaleur-en-hexa) releve lexercice 11, page 15. Assurez-vous de lavoir fait.

Cette partie est trs dlicate. La moindre erreur peut rendre le routeur HS ! Fates surtout attention lorsque vous modifiez la valeur du registre de configuration (taper lentement, ne pas
copier-coller) et dans les noms des fichiers que vous copiez (un mauvais nom et la copie risque
dcraser la flash).

1. Entre en mode monitoring de la ROM et modification du registre de configuration


(a) Sans quitter minicom, teindre le routeur et attendre quelques secondes
11. http://www.cisco.com/en/US/products/hw/routers/ps221/products_password_
recovery09186a0080094773.shtml

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

60/63

(b) Le rallumer et, sur la fentre minicom, ds que le routeur affiche :


System Bootstrap, Version...

taper Ctrl + A puis F pour envoyer un break. Rpter plusieurs fois cette squence pour tre sr
que le routeur reoive le break au bon moment. Le routeur dmarre alors en mode monitoring de la
ROM. En fonction du modle de routeur, diffrentes invites sont possibles (rommon 1 >, rom 1
> ou simplement >) :
System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 2003 by cisco Systems, Inc.
PC = 0xfff0c93c, Vector = 0x500, SP = 0xff0027a0
PC = 0xfff0c93c, Vector = 0x500, SP = 0xff002780
C1700 platform with 65536 Kbytes of main memory
PC = 0xfff0c93c, Vector = 0x500, SP = 0x8000486c
monitor: command "boot" aborted due to user interrupt
rommon 1 >

o les messages en italiques peuvent apparatre quand le routeur reoit le break


(c) Taper ? puis Entre linvite. Il sagit dune demande daide (synomyme de la commande
help), moins labore que celle de la CLI. On obtient en rsultat une liste de commandes disponibles dans ce mode. Elle dpend du matriel. En voici un extrait en exemple :
rommon 1 > ?
...
confreg
...
dev
dir
...
help
...
meminfo
...
reset
...
tftpdnld
...
rommon 2 >

configuration register utility


list the device table
list files in file system
monitor builtin command help
main memory information
system reset
tftp image download

(d) Modifier la valeur du registre de configuration pour empcher le chargement de la startup-config


au dmarrage. La commande de modification et la valeur lui affecter dpendent du modle :
Pour un CISCO sries 1700 ou 2600 :
rommon 2> confreg 0x2142

Pour un CISCO srie 2500 :


rommon 2> o/r 0x0142

Dans les deux cas, le routeur rpond par un message indiquant quil faut redmarrer pour que cela
ait un effet :
You must reset or power cycle for new config to take effect

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

61/63

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

(e) On peut maintenant redmarrer le routeur en tapant :


Pour un CISCO sries 1700 ou 2600 :
rommon 3> reset

Pour un CISCO srie 2500 :


rommon 3> i

et le routeur redmarre aussitt.


2. Rcupration de la startup-config
(a) En ignorant la startup-config, le routeur a dmarr avec une running-config vierge. Il est
susceptible de demander :
--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]:

ce quoi, rpondre no

Ici, le routeur indique les rponses possibles entre crochets "[yes/no]". Quand
il nen propose quune, cest celle par dfaut qui est retenue si on ne tape que sur
Entre . Faites attention de bien rpondre "no" cette question car selon lIOS, il
se peut que la proposition soit "[yes]". Si vous entrez par mgarde dans le dialogue
de configuration, teignez le routeur et attendre quelques secondes pour le rallumer.

(b) linvite du mode utilisateur (user mode), taper enable puis Entre pour passer en mode
privilgi :
Router>enable

Le mot de passe nest pas demand car il nexiste pas. On peut observer quon est bien en mode
privilgi car le prompt se termine maintenant par # :
Router#

(c) Visualiser la configuration courante en tapant :


Router#show running-config
Building configuration...
Current configuration : 623 bytes
!
! Last configuration change at 02:36:48 UTC Thu Apr 9 2009
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
...

Laffichage de la configuration est pagin, comme tous les affichages excdant 25 lignes.
INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010

Enonce du TP 8-9 Reseaux

Version du 14/5/2013

62/63

(d) Copier la startup-config dans la running-config :


Router#copy startup-config running-config

3. Changement des mots de passe


(a) Entrer en mode de configuration globale
(b) Changer les mots de passe password et secret en mettant binpass1 et binpass2 (cf. exercice 14, page 20)
(c) Retourner au mode privilgi et craser la startup-config par copie de la nouvelle configuration
courante :
Router#copy running-config startup-config
Destination filename [startup-config]? Entre
Building configuration...
[OK]

La commande ci-dessous aurait eu le mme effet :


Router#write memory

4. Restauration de la valeur du registre de configuration En mode de configuration globale, restaurer la valeur du registre de configuration en tapant :
Router(config)#config-register 0xvaleur-en-hexa

o 0xvaleur-en-hexa est la valeur du registre de configuration, releve au cours de lexercice 11, page 15
5. Taper Ctrl + Z ou exit pour quitter le mode de configuration globale et revenir au mode privilgi
6. Redmarrage
(a) Vrifier que le registre a bien t chang en tapant :
Router#show version

Quest-ce qui confirme que le registre a t modifi ?


(b) Puis redmarrer le routeur en tapant :
Router#reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm] Entre

(c) Aprs le redmarrage, entrer en mode privilgi et faire afficher la configuration courante :
Router>enable
Router#show running-config

Si le mot de passe nest pas accept, cest que vous avez srement omis de copier prcdemment la running-config dans la startup-config. Vous devez reprendre
lexercice zro !
(eh oui, il faut bien lire lnonc. . .)

Le routeur est maintenant rinitialis.

C. Pain-Barre, A. Meyer et F. Dumas, 2010

INFO - IUT Aix-en-Provence

63/63

VIII
VIII.1

Version du 14/5/2013

Enonce du TP 8-9 Reseaux

Annexe
Message ICMP de test daccessibilit et dtat (PING)

Ces messages ICMP, utiliss notamment par la commande ping, ont le format suivant :
8 bits

8 bits

16 bits

Type (0 ou 8)

Code (0)

Total de Contrle

Identificateur

Numro de squence

Donnes optionnelles

...
Format du message ICMP dECHO
o les champs ont la signification suivante :
Type : (8 bits) Sa valeur indique sil sagit dune demande ou dune rponse dECHO :
0 : rponse une demande dECHO
8 : demande dECHO
Identificateur : (16 bits)
Permet lindentification (unique) de la demande. Puisque plusieurs demandes dECHO peuvent tre transmises un mme ordinateur, ce champ permettra de distinguer les rponses. Par exemple, on peut utiliser
deux fois ping en mme temps sur deux terminaux destination dun seul ordinateur. Les deux processus
ping recevront toutes les rponses et utiliseront ce champ pour distinguer les rponses qui les concernent.

En cas de PAT, ce champ est utilis et traduit comme un port TCP ou UDP.

Numro de squence : (16 bits)


Une demande dECHO nest gnralement pas unique : certaines versions de ping sarrtent aprs un
nombre prdfini de demandes/rponses et, pour dautres, il faut stoper manuellement le processus. Bien
souvent, le nombre de demandes/rponses est paramtrable (option -c sur Linux, option -n sur Windows).
Dans ce cas, toutes les demandes ont le mme Identificateur et cest le Numro de squence qui change
entre 2 demandes. Celui-ci commence 1 et est incrment de 1 chaque demande.
Donnes : (taille variable)
Zone optionnelle et ces donnes ne sont pas utilises (mais reproduites dans la rponse). ping sur Linux
place dans cette zone 56 octets, alors quil ny en a que 32 sur Windows. Cette taille est paramtrable
(option -s sur Linux et -l sur Windows). Un intrt majeur de cette zone est de tester si le datagramme IP
gnr peut arriver sans fragmentation, quand on met 1 son bit Dont Fragment (par dfaut sur Linux,
option -f sur Windows).

INFO - IUT Aix-en-Provence

C. Pain-Barre, A. Meyer et F. Dumas, 2010