Pré-requis : Rappel sur les architecture des routeurs

Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets. Un routeur est chargé de recevoir sur une interface des données sous forme de paquets et
de les renvoyer sur une autre en utilisant le meilleur chemin possible. Selon l’adresse destination et
l’information contenue dans sa table de routage.

Tous Les routeurs Cisco ont une architecture interne qui peut être représenté par :

Ils contiennent tous :

• Une mémoire NVRam pour Ram non Volatile et sur laquelle l’administrateur va stocker la
configuration qu’il aura mise dans le routeur. Elle contient également la configuration de
l’IOS,
• Une carte mère qui est en général intégrée au châssis,
• Un CPU qui est un microprocesseur Motorola avec un BIOS spécial nommé » I.O.S.
«pours Internetwork Operating System,
• Une mémoire RAM principale contenant le logiciel IOS, c‟est dans laquelle tout sera
exécuté un peu à la manière d’un simple ordinateur,
• Une mémoire FLASH, également une mémoire non volatile sur laquelle on stocke la
version courante de l’IOS du routeur,
• Une mémoire ROM non volatile et qui, quant à elle, contient les instructions de démarrage
(bootstrap) et est utilisée pour des opérations de maintenance difficiles de routages, ARP,
etc.), mais aussi tous les buffers utilisés par les cartes d’entrée.
Méthodes d’accès à Cisco IOS :
Il y a plusieurs moyens d’accéder à l’environnement ILC. Les méthodes les plus répandues
utilisent :
• le port de console,
• le protocole Telnet ou SSH,
 • le port AUX
Port de console
Il est possible d’accéder à l’environnement ILC par une session console, également appelée ligne
CTY. La console connecte directement un ordinateur ou un terminal au port de console du routeur
ou du commutateur via une liaison série lente. Le port de console est un port de gestion permettant
un accès hors réseau à un routeur. Le port de console est accessible même si aucun service réseau
n’a été configuré sur le périphérique. Le port de console est souvent utilisé pour accéder à un
périphérique avant que les services réseau ne soient lancés ou lorsqu’ils sont défaillants.
La console s’utilise en particulier dans les circonstances suivantes :
- configuration initiale du périphérique réseau,
- procédures de reprise après sinistre et dépannage lorsque l’accès distant est impossible,
- procédures de récupération des mots de passe.
Lorsqu’un routeur est mis en service pour la première fois, ses paramètres réseau n’ont pas été
configurés. Le routeur ne peut donc pas communiquer via un réseau. Pour préparer le démarrage
initial et la configuration du routeur, un ordinateur exécutant un logiciel d’émulation de terminal est
connecté au port de console du périphérique. Ainsi, il est possible d’entrer au clavier de l’ordinateur
connecté les commandes de configuration du routeur. S’il est impossible d’accéder à distance à un
routeur pendant qu’il fonctionne, une connexion à son port de console peut permettre à un
ordinateur de déterminer l’état du périphérique. Par défaut, la console transmet les messages de
démarrage, de débogage et d’erreur du périphérique.
Pour de nombreux périphériques IOS, l’accès console ne requiert par défaut aucune forme de
sécurité. Il convient toutefois de configurer un mot de passe pour la console afin d’empêcher l’accès
non autorisé au périphérique. En cas de perte du mot de passe, un jeu de procédures spéciales
permet d’accéder aux périphériques sans mot de passe. Il est recommandé de placer le périphérique
dans une pièce ou une armoire fermée à clé pour interdire l’accès physique.

Telnet et SSH
Une autre méthode d’accès distant à une session ILC consiste à établir une connexion Telnet avec le
routeur. À la différence des connexions console, les sessions Telnet requièrent des services réseau
actifs sur le périphérique. Le périphérique réseau doit avoir au moins une interface active
configurée avec une adresse de couche 3, par exemple une adresse IPv4. Les périphériques Cisco
IOS disposent d’un processus serveur Telnet qui est lancé dès le démarrage du périphérique. IOS
contient également un client Telnet. Un hôte doté d’un client Telnet peut accéder aux sessions vty
en cours d’exécution sur le périphérique Cisco. Pour des raisons de sécurité, IOS exige l’emploi
d’un mot de passe dans la session Telnet en guise de méthode d’authentification minimale.
Le protocole Secure Shell (SSH) permet un accès distant plus sécurisé aux périphériques. À l’instar
de Telnet, ce protocole fournit la structure d’une ouverture de session à distance, mais il utilise des
services réseau plus sécurisés.
SSH fournit une authentification par mot de passe plus résistante que celle de Telnet et emploie un
chiffrement lors du transport des données de la session. La session SSH chiffre toutes les
communications entre le client et le périphérique IOS. Ceci préserve la confidentialité de l’ID
d’utilisateur, du mot de passe et des détails de la session de gestion. Il est conseillé de toujours
utiliser SSH à la place de Telnet dans la mesure du possible. La plupart des versions récentes de
Cisco IOS contiennent un serveur SSH. Dans certains périphériques, ce service est activé par
défaut. D’autres périphériques requièrent une activation du serveur SSH.
Les périphériques IOS incluent également un client SSH permettant d’établir des sessions SSH avec
d’autres périphériques. De même, vous pouvez utiliser un ordinateur distant doté d’un client SSH
pour démarrer une session ILC sécurisée. Le logiciel de client SSH n’est pas fourni par défaut sur
tous les systèmes d’exploitation. Il peut donc s’avérer nécessaire d’acquérir, d’installer et de
configurer un logiciel de client SSH pour votre ordinateur.
Port AUX
Une autre façon d’ouvrir une session ILC à distance consiste à établir une connexion téléphonique
commutée à travers un modem connecté au port AUX du routeur. À l’instar de la connexion
console, cette méthode ne requiert ni la configuration, ni la disponibilité de services réseau sur le
périphérique.
Le port AUX peut également s’utiliser localement, comme le port de console, avec une connexion
directe à un ordinateur exécutant un programme d’émulation de terminal. Le port de console est
requis pour la configuration du routeur, mais les routeurs ne possèdent pas tous un port AUX. En
outre, il est préférable d’utiliser le port de console plutôt que le port AUX pour le dépannage, car il
affiche par défaut les messages de démarrage, de débogage et d’erreur du routeur.
En général, le port AUX ne s’utilise localement à la place du port de console qu’en cas de
problèmes liés au port de console, par exemple lorsque vous ignorez certains paramètres de la
console.

Les différents modes d’utilisateur

• Mode Utilisateur: Permet de consulter toutes les informations liées au routeur sans pouvoir
les modifier. Le Shell est le suivant:
Router >
 • Utilisateur privilégié: Permet de visualiser l’état du routeur et d’importer/exporter des
images d’IOS. Le Shell est le suivant:
Router #
• . Mode de configuration globale: Permet d’utiliser les commandes de configuration
générale du routeur. Le Shell est le suivant:
Router (config) #
• Mode de configuration d’interfaces: Permet d’utiliser des commandes de configuration
des interfaces (Adresses IP, masque, etc.). Le Shell est le suivant:
Router (config-if) #
• Mode de configuration de ligne: Permet de configurer une ligne (exemple: accès au
routeur par Telnet). Le Shell est le suivant:
Router (config-line) #

TP1 : Accès à distance

1- Reproduire l’architecture suivante en vous reférant sur le TP en intégrant une machine ubuntu
On compte mettre un mot de passe pour passer en mode de configuration du routeur quelque soit les
moyens utilisés.
1- Telnet et port console : activation sur un routeur

Démarche à suivre:
Pour le mode console :

R1(config)#line console 0
R1(config-line)# password passer
R1(config-line)#login
R1(config-line)#exit

Pour mode Telnet

R1(config)#line vty 0 4
R1(config-line)# password passer
R1(config-line)#login
R1(config-line)#exit

Pour le mode général

R1(config)# enable secret passera

NB : Ce mot de passe sera demandé lorsqu’on passe au mode utilisateur au mode enable

NB : Notre routeur a l’adresse 192.168.122.89

Test de connexion par telnet à partir de la machine Ubuntu

2- ssh : activation de connexion sur routeur
Demarche à suivre :
a- On donne un nom de domaine au routeur apr la commande :
R1(config)# ip domain-name ec2lt.sn
b- on gérére la clé de chiffrement par la commande :
R1(config)# crypto key generate rsa genral-keys modulus 1024
c- On active le ssh par la commande :
R1(config)# ip ssh version 2
d- On configure l’authentification et onajoute un compte utilisateurs
R1(config)# aaa new-model
R1(config)# aaa authentication login default local
R1(config)# username admin secret passer

NB : On peut filtrer les connexions ssh avec une liste de contrôle d’accès avec les commandes
suivantes :
R1(config)#access-list 10 permit 192.168.122.0 0.0.0.255
R1(config)#line vty 0 4
R1(config-line)#access-class 10 in

On ajoute sur le client ssh de linux pour l’échange des paramétres de diffie-hellman dans le fichier
/etc/ssh/ssh_config

Test de connexion depuis la machine ubuntu

TP2: Routage directe, Routage indirecte et Routage statique avec interface fastethernet

1- Ajouter sur le slot0 des routeurs R1 et R2 l’interface C7200-IO-2FE

2- Comment les routeurs R1 et R2 vont nommer les interfaces qu’on vient d ‘ajouter ?

3- Adressage des reseaux

Reseau1 : 192.168.1.0/24
Reseau 2 :192.168.2.0/24
reseauinter1 : 10.10.10.0/30
reseauinter2 : 10.10.10.4/30
reseauinter3 : 10.10.10.8/30
1- configurer les routeurs

R1 : fa0/0 :10.10.10.1/30 ;
fa0/1 : 10.10.10.5/30
R2 : fa0/0 : 10.10.10.6/30
fa0/1 : 10.10.10.9/30

R4 : fa0/0 : 10.10.10.10/30
fa0/1 : 192.168.2.254/24

R3 : fa0/0 : 10.10.10.2/30
fa0/1 : 192.168.1.254/24

4- Routage statique
1-Proposer sur chaque routeur les routes à ajouter de maniere statique pour que les machines du 1er
réseau puissent voir les machines du 2eme réseau et inversement.

TP3 : Sauvegarde et restauration des routeurs et switches

1. reproduire l’architecture ci-apres en prenant ubuntu sous docker

NB : Le nat permet d’avoir un réseau privé d’avoir internet via la machine physique qui est utilisée
comme Modem ADSL
1- Cliquer droit sur la machine ubuntu puis

configure pour la mettre en client DHCP

2-On se connecte sur la machine ubuntu et on met à jour sa source-list

#apt-get update

3- on installe sur la machine ubuntu le serveur tftpd

# apt-get install tftpd-hpa

4- configurer le serveur tftpd et le tester

on installe le client tftp-hpa

On donne le dossier /var/lib/tftpboot ainsi son contenu à tftp
# chown -R tftp /var/lib/tftpboot

on cree un fichier pour tester le serveur

#touch essai
on se connecte sur le serveur
#tftp @IP_serveurtftp
>put essai
on devait avoir le fichier essai dans le repertoire /var/lib/tftpboot du serveur ; donc le serveur tftp
fonctionne.

5- parametrer le routeur R1 et sauvegarder sa configuration sur le serveur TFTPD

6- on simule une panne en arretant le routeur R1 et en ajoutant un nouveau routeur R2 comme le
montre la figure

7-Connecter un nouveau routeur R2 au switch et utiliser la configuration de R1 stockée sur R2

NB : Avant de restaurer il faut que le routeur soit dans le réseau, on peut faire en sorte qu’il ait les
élément TCP/IP par DHCP avec les commandes :
R2(config)# int fa0/0
R2(config)# ip address dhcp
Vérification de la restauration
On tape la commande show running-config pour vérifier la restauration
TP4 : Routage statique, dynamique avec interface serial
Ce TP vous permettra de comprendre :
1- La configuration des interfaces series des routeurs
2- Le routage statique
3- Le routage dynamique avec RIP
4- Le routage dynamique avec OSPF

ARCHITECTURE DU TP

CONFIGURATION DU ROUTEUR DE COTONOU

CONFIGURATION DU ROUTEUR D'ABIJAN

CONFIGURATION DU ROUTEUR DE DAKAR

TEST DE CONNECTIVITE ENTRE LES DIFFERENTS LANS

Depuis la machine PC1 du lan 192.168.1.0 on pingue les deux autres machines :

Depuis la machine PC2 du lan 192.168.3.0 on pingue les deux autres machines :

Depuis la machine PC3 du lan 192.168.5.0 on pingue les deux autres machines :
 Routage dynamique avec le même tp

CONFIGURATION DU ROUTEUR DE COTONOU

CONFIGURATION DU ROUTEUR D'ABIJAN

 CONFIGURATION DU ROUTEUR DE DAKAR

La table de routage du routeur de cotonou

La table de routage du routeur d'ABIJAN

La table de routage du routeur de DAKAR

TEST DE CONNECTIVITE ENTRE LES DIFFERENTS LANS

Depuis la machine PC1 du lan 192.168.1.0 on pingue les deux autres machines :
 Depuis la machine PC2 du lan 192.168.3.0 on pingue les deux autres machines :

Depuis la machine PC3 du lan 192.168.5.0 on pingue les deux autres machines :

TP 5 : Les
Listes
d’Accès :
ACL
1.

Généralités
Ces Tp qui suivront vont vous permettre de manipuler les ACL des routeurs sous GNS3. Les ACL (en anglais
« Acces Control Lists ») ou en Français « Listes de Contrôle d’Accès », vous permettent d’établir des règles de
filtrage sur les routeurs, pour régler le trafic des datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit « statique » des datagrammes, c'est-à-dire d’instaurer
un certain nombre de règles à appliquer sur les champs concernés des en-têtes des divers protocoles.
 2. Fonctionnement des A

Généralités
Quelque soit le type d’ACL dont il s’agit ; leur utilisation se fait toujours selon les mêmes principes généraux :

• Première étape : En mode « config », on crée une ACL, c'est-à-dire une liste de règles. Chaque règle
est du type (condition, action). Les règles sont interprétées séquentiellement. Si la condition analysée
ne correspond pas, on passe à la règle suivante. Si la condition correspond, l’action correspondante
est effectuée, et le parcours de l’ACL est interrompu. Par défaut, toutes les ACL considèrent la règle
(VRAI, REJET) si aucune des règles précédentes n’a été prise en compte, c'est-à-dire que tout
datagramme non explicitement accepté par une règle préalable sera rejeté.
• Deuxième étape : En mode « config-int », on applique une ACL en entrée (in) (respectivement en
sortie(out)), c'est-à-dire que l’on décide d’activer la liste de règles correspondante à tous les
datagrammes « entrant » dans le routeur (respectivement « sortant » du routeur) par l’interface
considérée. En conséquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.
Lorsque l’on construit une ACL, les règles sont ajoutées à la fin de la liste dans l’ordre dans lequel on les
saisit. On ne peut pas insérer de règle dans une ACL, ni même en supprimer … le seul moyen reste d’effacer
complètement l’ACL et de recommencer ! En situation réelle, pour saisir une ACL assez longue, il peut être
judicieux de créer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture
de configuration de routeur …
Les ACL standards
Les ACL standards n’offrent pas énormément de possibilités, elles permettent simplement de créer des règles
dont les conditions ne prennent en compte que les adresses IP sources des datagrammes IP analysés.
C’est assez contraignant, mais cela permet déjà un certain nombre de manipulations intéressantes.
La commande pour créer une ACL standard (ou ajouter une règle à une ACL existante) est la suivante :

access-list <#ACL> {permit/deny} <@IP source> <masque>

Le numéro de liste (#ACL) doit être compris entre 1 et 99 pour une ACL standard (tapez un ? après la
commande « access-list » pour visualiser toutes les fourchettes possibles en fonctions des types d’ACL).
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou refusé)
L’IP source + masque indique la condition.

Les ACL étendues

La syntaxe un peu plus complète des ACL étendues, permet, selon le même principe que précédemment, de
créer des règles de filtrage plus précises, en utilisant des conditions applicables sur d’autres champs des en-
têtes des divers protocoles.
La commande pour créer une ACL (ou ajouter une règle à une ACL existante) est la suivante :
access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest>
<masque> [port] [established]

Le numéro de liste (#ACL) doit être compris entre 100 et 199 pour une ACL étendue.
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou refusé)
« protocole » indique le protocole concerné par le filtre (tapez un ? pour avoir la liste des protocoles
disponibles) Les protocoles indiqués peuvent être de différents niveaux jusqu’au niveau transport (ex : TCP
ou UDP, mais également IP ou ICMP). La distinction sur les protocoles applicatifs (http, FTP …) se fera sur le
champ « port ».
IP et masques suivent les mêmes règles que pour les ACL standards,
« port » permet d’indiquer un numéro de port (ou son nom symbolique si il est connu http, FTP, Telnet, …).
Notez qu’un port doit être indiqué précédé d’un opérateur (ex : « eq http » ou « eq 80 » ou « lt 1024 ») avec
« eq » (pour « equal »), « lt » (pour « lower than ») ou « gt » (pour greater than), …
« established » indique qu’il s’agit d’une communication TCP déjà établie (et donc pas d’une demande de
connexion avec le bit « syn » positionné).Remarques essentielles sur la syntaxe des ACL
 le masque est complètement inversé par rapport à la notion de masque que vous
connaissez jusqu’ici !!! (On parle de masque générique) ex : 193.55.221.0 avec le masque
0.0.0.255 désigne toute adresse source du type 193.55.221.X … merci Cisco !

 Abréviations dans une règle :

0.0.0.0 255.255.255.255 qui signifie « tout équipement » peut être remplacé par le mot
clé « any ».
 W.X.Y.Z 0.0.0.0 qui signifie « l’équipement W.X.Y.Z » peut être remplacé par « host
W.X.Y.Z »
 Par défaut, la règle « deny any » est prise en compte par toutes les ACL. En d’autre termes, le
simple fait de créer une ACL vide et de l’appliquer à une interface interdit le passage a tout
datagramme. Pour changer de politique par défaut d’une ACL, il suffit de mettre la règle
« permit any » (ou « permit ip any any » pour les ACL étendues) en fin de liste. Cette règle
sera prise en compte si aucune des précédentes ne l’est.
 En mode « enabled » la commande « show access-list <#ACL> » vous permet de visualiser
(et donc de capturer le cas échéant …) le contenu de l’ACL dont vous donnez le numéro.

Exercice compléter le masque générique

Compléter le tableau ci-dessous :

Activation d’une ACL

Pour activer une ACL sur une interface, il faut :
 Se positionner dans le mode de configuration de l’interface, grâce à la commande
« interface <nom de l’interface> »
 Saisir la commande : « ip access-group <#ACL> < in | out> ».
 N’oubliez pas de vous considérer « à l’intérieur du routeur », pour choisir entre le
mot clé « in » et le mot clé « out » …

Désactivation d’une ACL

Pour désactiver une ACL, les manipulations sont les mêmes que pour l’activer, en utilisant le
mot clé « no » devant la commande …

Utilisation des ACL standards et étendues dans la « vraie vie »

Dans la pratique, étant donné que les ACL standards ne peuvent prendre en compte que les
adresse IP sources, il est logique qu’elles soient souvent utilisées pour filtrer les
datagrammes proches de la destination finale, sur un passage « obligé » pour joindre le
destinataire final.

En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent
être utilisées au contraire sur les routeurs les plus proches des équipements sources
concernés, ceci afin d’éviter du trafic superflu sur le réseau.
 Exercices :
 activité packet tracer sur les ACL standarts
 activité packet tracer planification, configuration et verification des ACL standart, étendues
et nommées

3. MANIPULATIONS

Mise en place préliminaire

 Câblez correctement les éléments de votre réseau en respectant l’architecture proposée (cf tp
6 routeurs) Activer le protocole de routage RIP version 2.
 Configurez les PC en conséquence (@IP, masque, passerelle, et DNS : 192.168.1.3 sur chaque
machine), sous Windows pour le PC relié au port console (PC de gauche), sous Linux pour
l’autre (PC de droite).
 Vérifier les accès à toutes les machines du réseau.

ACL Standards
Pour tout le TP il est demandé de conserver la politique « all open » par défaut, c'est-à-dire
de conserver la politique du « tout autoriser » et de n’interdire que le strict nécessaire. C’est
loin d’être la plus sûre, mais c’est celle qui permettra aux autres binômes de travailler,
1. Depuis un terminal sur chacune des machines interne (PC sous Windows et sous
Linux) effectuez un PING sur « sv1mrim », Que constatez vous ?
2. Cette machine est en mesure de répondre au moins aux services , http (port 80), ftp
(port 21, entre autres), dns (port 53) et icmp bien sûr. Tester

3. Créez une ACL standard permettant d’interdire tout accès du réseau « mrim » à vos
PC mais pas internet. Activez cette ACL sur les datagrammes « sortant » sur
l’interface du LAN. Vérifiez que le filtre fonctionne et que vous avez toujours accès à
Internet. Remarque : attention aux échanges DNS.
4. Quelle règle auriez vous écrit maintenant pour interdire l’accès au réseau mrim à
tous les PCs de votre LAN SAUF le PC Linux (il n’y a pas de différence pour vous
étant donné que vous n’avez que 2 pc sur votre LAN, mais il en aurait eu une si vous
en aviez eu 3 !). Créez une autre ACL pour tester cette règle.
 Faites valider les 2 ACL précédentes par votre enseignant.

ACL Etendues
1. Créez une ACL étendue pour interdire au PC Windows de faire des « pings » sur le
réseau de mrim.
2. Faites en sorte d’interdire tout trafic UDP à destination de sv1mrim depuis votre PC
Linux. Trouvez une manipulation pour valider ce filtre. Trouvez une manipulation
pour vérifier que le trafic est toujours autorisé sur une autre machine que sv1mrim
(PC16 par exemple).
3. Interdisez le trafic web à tout votre réseau local.
 4. Allégez les restrictions en permettant uniquement à votre PC Windows d’accéder
uniquement au site web de sv1mrim.
5. Mettez en place un filtre autorisant votre PC Linux à faire un telnet sur sv1mrim,
mais pas à sv1mrim de faire un telnet sur votre PC Linux.
 Faites valider par votre enseignant.
• Enregistrez les configurations.

Consignes activité Packet tracer planification, configuration et verification des

ACL standart, étendues et nommées.
Objectifs
1. Configurer une liste d’accès VTY pour assurer la sécurité de l’accès à distance
2. Créer des listes de contrôle d’accès standard, étendues et nommées pour améliorer la
sécurité du réseau
Contexte / Préparation
L’atelier d’entretien du réseau nécessite un accès à un routeur installé récemment à Londres.
Vous devez configurer une liste de contrôle d’accès pour lui autoriser un accès Telnet au
routeur et refuser l’accès à tous les autres. Une liste d’accès supplémentaire doit être créée
sur les routeurs London et DC afin de remplir les conditions requises ci-après.
Autoriser l’accès de tous les clients London au serveur London et bloquer tous les autres
utilisateurs.
Autoriser l’accès de tous les clients au serveur DC et bloquer tous les autres utilisateurs.
Mot de passe actif : admin.

Étape 1 : création de liste d’accès pour limiter l’accès au VTY

a- Sélection du routeur London.
b- Configurez les lignes vty 0 à 4 pour la connexion. Le mot de passe doit être cisco123.
c- Créez une liste d’accès standard permettant un accès Telnet à tous les clients du sous-
réseau de maintenance.
1- Numéro de la liste d’accès : 10.
2- Sous-réseau de maintenance : 172.16.50.0 255.255.255.0.

d- Appliquez la liste d’accès aux lignes vty 0 à 4.

1- Entrez dans le mode de configuration.
2- Entrez line vty 0 4
3- Entrez access-class 10 in

e- Enregistrez les configurations.

Étape 2 : création de liste d’accès étendue sur le routeur DC

Planification et création de listes d’accès numérotées sur le routeur DC suivant les conditions
requises ci-après.

a- Créer une liste d’accès sortante numérotée 150 et l’appliquer à l’interface Fast Ethernet
0/1.1
b- Créer une liste d’accès sortant numérotée 160 et l’appliquer à l’interface Fast Ethernet
0/1.2

Étape 3 : création d’une liste d’accès nommée sur le routeur London

a- Planification et création d’une liste d’accès nommée sur le routeur London suivant les
conditions requises ci-après. Nommez la liste d’accès ICMP.
 b-Appliquez la liste d’accès à l’interface série comme une liste d’accès entrant.
c- Enregistrez les configurations.
Étape 4 : vérification des listes d’accès configurées
a- Vérification des restrictions applicables aux vty placés sur le routeur London.
1- Sélectionnez le PC Maint et le Telnet du routeur London.
2- Sélectionnez le PC2 et le Telnet du routeur London.
Le Telnet du PC Maint devrait aboutir contrairement à celui du PC2.
b- Vérifiez la liste d’accès étendue du routeur DC .
1- Sélectionnez le PC2 et recherchez le serveur DC (172.16.30.100).
2- Envoyez une requête ping au serveur DC (172.16.30.100).
3- Sélectionnez le PC1 et recherchez le serveur London (172.16.20.100).
4-Envoyez une requête ping au serveur London (172.16.30.100).
La navigation aboutit contrairement à la commande ping.
c- Vérifiez la liste d’accès nommée du routeur London .
1- Sélectionnez le PC2 et envoyez une requête ping au PC1.
2- Naviguez du PC2 au Server0 (172.16.100.250).
La commande ping aboutit contrairement à la navigation qui dépasse son délai d’attente.
d- Cliquez sur le bouton Check Results
Remarques générales :
que signifie le terme « out » en fin de ligne d’un énoncé d’une commande ip access-group ?
 Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès
sur une interface spécifique et le VTY ?
Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur une interface
spécifique et le VTY ?

TP6 : NAT et PAT

INTRODUCTION
I. FONCTIONNEMENT DE LA NAT
II. CONFIGURATION DE LA TRADUCTION D’ADRESSES RESEAU (NAT)
CONCLUSION
• NAT STATIQUE

• NAT DYNAMIQUE

• PAT

Introduction
L'espace d'adressage IPv4 est trop restreint pour accommoder tous les périphériques à connecter à
Internet.
Les adresses privées des réseaux sont conçues pour être utilisées dans une organisation ou un site
uniquement.
Elles ne sont pas routées sur internet, contrairement aux adresses publiques.
Elles peuvent pallier la pénurie d'adresses IPv4, mais comme elles ne sont pas routées par les
périphériques Internet, elles doivent d'abord être traduites.
C'est le rôle de la fonction NAT.

I. FONCTINNEMENT DE LA NAT (1/3)

Il existe trois techniques :

➢ NAT STATIQUE

La fonction NAT statique utilise un mappage « un à un » entre les adresses privées et publiques.
Ces mappages sont configurés par l'administrateur réseau et ne changent pas.
La fonction NAT statique est particulièrement utile lorsque les serveurs hébergés dans le réseau
interne doivent être accessibles depuis le réseau externe.
NAT DYNAMIQUE
La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la méthode du premier
arrivé, premier servi.
Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT dynamique attribue une
adresse IPv4 publique disponible du pool.
Il doit y avoir suffisamment d'adresses publiques disponibles pour le nombre total de sessions
utilisateur simultanées.
LA TRANDUCTION D’ADRESSE DE PORT ( PAT )
La fonction PAT mappe les adresses IPv4 privées à des adresses IP publiques uniques ou à quelques
adresses.
Elle utilise la paire port source/adresse IP source pour garder une trace du trafic de chaque client
interne.
II. CONFIGURATION DE LA TRADUCTION D’ADRESSES RESEAU (NAT)
NAT STATIQUE
ACHITECTURE

Etapes de configuration
Configurations des interfaces du routeur :
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no sh
ip nat inside
interface FastEthernet0/1
ip address 196.1.95.254 255.255.255.0
no sh
ip nat outside
Création du mappage entre adresse privée et publique
ip nat inside source static 192.168.1.1 196.1.95.1
ip nat inside source static 192.168.1.2 196.1.95.2
Vérification de la traduction satatic
show ip nat translations
Une capture wireshark
NAT DYNAMIQUE
Architecture

Etapes de configuration :
Etape 1 : définition du pool d’adresse publique
ip nat pool pl1 196.1.95.1 196.1.95.3 netmask 255.255.255.0
Etape 2 : définition d’une liste d’accès standard autorisant les adresses qui doivent être traduites.
access-list 1 permit 192.168.1.0 0.0.0.255
Etape 3 : lier le pool d’adresse à la liste d’accès
ip nat inside source list 1 pool pl1

Etape 4 : identifier l’interface interne et externe Interface f0/0

ip nat inside
Interface f0/1
ip nat outside

traduction d’adresses par port (PAT) Architecture

Procédures de configuration
Nous aller prendre le cas d’une seule adresse publique
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
interface FastEthernet0/1
ip address 196.1.95.254 255.255.255.0
ip nat outside
ip nat inside source list 1 interface FastEthernet0/1 overload
access-list 1 permit 192.168.1.0 0.0.0.255
CONCLUSION
Ce TP nous a permis non seulement de mettre en pratique nos connaissances acquises sur la NAT à
travers le logiciel de simulation GNS3.
Mais aussi d’observer les mécanismes de traduction d’adresses privées en adresses publique grâce
au logiciel wireshark.