Académique Documents
Professionnel Documents
Culture Documents
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets. Un routeur est chargé de recevoir sur une interface des données sous forme de paquets et
de les renvoyer sur une autre en utilisant le meilleur chemin possible. Selon l’adresse destination et
l’information contenue dans sa table de routage.
Tous Les routeurs Cisco ont une architecture interne qui peut être représenté par :
Telnet et SSH
Une autre méthode d’accès distant à une session ILC consiste à établir une connexion Telnet avec le
routeur. À la différence des connexions console, les sessions Telnet requièrent des services réseau
actifs sur le périphérique. Le périphérique réseau doit avoir au moins une interface active
configurée avec une adresse de couche 3, par exemple une adresse IPv4. Les périphériques Cisco
IOS disposent d’un processus serveur Telnet qui est lancé dès le démarrage du périphérique. IOS
contient également un client Telnet. Un hôte doté d’un client Telnet peut accéder aux sessions vty
en cours d’exécution sur le périphérique Cisco. Pour des raisons de sécurité, IOS exige l’emploi
d’un mot de passe dans la session Telnet en guise de méthode d’authentification minimale.
Le protocole Secure Shell (SSH) permet un accès distant plus sécurisé aux périphériques. À l’instar
de Telnet, ce protocole fournit la structure d’une ouverture de session à distance, mais il utilise des
services réseau plus sécurisés.
SSH fournit une authentification par mot de passe plus résistante que celle de Telnet et emploie un
chiffrement lors du transport des données de la session. La session SSH chiffre toutes les
communications entre le client et le périphérique IOS. Ceci préserve la confidentialité de l’ID
d’utilisateur, du mot de passe et des détails de la session de gestion. Il est conseillé de toujours
utiliser SSH à la place de Telnet dans la mesure du possible. La plupart des versions récentes de
Cisco IOS contiennent un serveur SSH. Dans certains périphériques, ce service est activé par
défaut. D’autres périphériques requièrent une activation du serveur SSH.
Les périphériques IOS incluent également un client SSH permettant d’établir des sessions SSH avec
d’autres périphériques. De même, vous pouvez utiliser un ordinateur distant doté d’un client SSH
pour démarrer une session ILC sécurisée. Le logiciel de client SSH n’est pas fourni par défaut sur
tous les systèmes d’exploitation. Il peut donc s’avérer nécessaire d’acquérir, d’installer et de
configurer un logiciel de client SSH pour votre ordinateur.
Port AUX
Une autre façon d’ouvrir une session ILC à distance consiste à établir une connexion téléphonique
commutée à travers un modem connecté au port AUX du routeur. À l’instar de la connexion
console, cette méthode ne requiert ni la configuration, ni la disponibilité de services réseau sur le
périphérique.
Le port AUX peut également s’utiliser localement, comme le port de console, avec une connexion
directe à un ordinateur exécutant un programme d’émulation de terminal. Le port de console est
requis pour la configuration du routeur, mais les routeurs ne possèdent pas tous un port AUX. En
outre, il est préférable d’utiliser le port de console plutôt que le port AUX pour le dépannage, car il
affiche par défaut les messages de démarrage, de débogage et d’erreur du routeur.
En général, le port AUX ne s’utilise localement à la place du port de console qu’en cas de
problèmes liés au port de console, par exemple lorsque vous ignorez certains paramètres de la
console.
Démarche à suivre:
Pour le mode console :
R1(config)#line console 0
R1(config-line)# password passer
R1(config-line)#login
R1(config-line)#exit
NB : Ce mot de passe sera demandé lorsqu’on passe au mode utilisateur au mode enable
NB : On peut filtrer les connexions ssh avec une liste de contrôle d’accès avec les commandes
suivantes :
R1(config)#access-list 10 permit 192.168.122.0 0.0.0.255
R1(config)#line vty 0 4
R1(config-line)#access-class 10 in
On ajoute sur le client ssh de linux pour l’échange des paramétres de diffie-hellman dans le fichier
/etc/ssh/ssh_config
2- Comment les routeurs R1 et R2 vont nommer les interfaces qu’on vient d ‘ajouter ?
Reseau1 : 192.168.1.0/24
Reseau 2 :192.168.2.0/24
reseauinter1 : 10.10.10.0/30
reseauinter2 : 10.10.10.4/30
reseauinter3 : 10.10.10.8/30
1- configurer les routeurs
R1 : fa0/0 :10.10.10.1/30 ;
fa0/1 : 10.10.10.5/30
R2 : fa0/0 : 10.10.10.6/30
fa0/1 : 10.10.10.9/30
R4 : fa0/0 : 10.10.10.10/30
fa0/1 : 192.168.2.254/24
R3 : fa0/0 : 10.10.10.2/30
fa0/1 : 192.168.1.254/24
4- Routage statique
1-Proposer sur chaque routeur les routes à ajouter de maniere statique pour que les machines du 1er
réseau puissent voir les machines du 2eme réseau et inversement.
#apt-get update
NB : Avant de restaurer il faut que le routeur soit dans le réseau, on peut faire en sorte qu’il ait les
élément TCP/IP par DHCP avec les commandes :
R2(config)# int fa0/0
R2(config)# ip address dhcp
Vérification de la restauration
On tape la commande show running-config pour vérifier la restauration
TP4 : Routage statique, dynamique avec interface serial
Ce TP vous permettra de comprendre :
1- La configuration des interfaces series des routeurs
2- Le routage statique
3- Le routage dynamique avec RIP
4- Le routage dynamique avec OSPF
ARCHITECTURE DU TP
Depuis la machine PC2 du lan 192.168.3.0 on pingue les deux autres machines :
Depuis la machine PC3 du lan 192.168.5.0 on pingue les deux autres machines :
Routage dynamique avec le même tp
Depuis la machine PC1 du lan 192.168.1.0 on pingue les deux autres machines :
Depuis la machine PC2 du lan 192.168.3.0 on pingue les deux autres machines :
Depuis la machine PC3 du lan 192.168.5.0 on pingue les deux autres machines :
TP 5 : Les
Listes
d’Accès :
ACL
1.
Généralités
Ces Tp qui suivront vont vous permettre de manipuler les ACL des routeurs sous GNS3. Les ACL (en anglais
« Acces Control Lists ») ou en Français « Listes de Contrôle d’Accès », vous permettent d’établir des règles de
filtrage sur les routeurs, pour régler le trafic des datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit « statique » des datagrammes, c'est-à-dire d’instaurer
un certain nombre de règles à appliquer sur les champs concernés des en-têtes des divers protocoles.
2. Fonctionnement des A
Généralités
Quelque soit le type d’ACL dont il s’agit ; leur utilisation se fait toujours selon les mêmes principes généraux :
• Première étape : En mode « config », on crée une ACL, c'est-à-dire une liste de règles. Chaque règle
est du type (condition, action). Les règles sont interprétées séquentiellement. Si la condition analysée
ne correspond pas, on passe à la règle suivante. Si la condition correspond, l’action correspondante
est effectuée, et le parcours de l’ACL est interrompu. Par défaut, toutes les ACL considèrent la règle
(VRAI, REJET) si aucune des règles précédentes n’a été prise en compte, c'est-à-dire que tout
datagramme non explicitement accepté par une règle préalable sera rejeté.
• Deuxième étape : En mode « config-int », on applique une ACL en entrée (in) (respectivement en
sortie(out)), c'est-à-dire que l’on décide d’activer la liste de règles correspondante à tous les
datagrammes « entrant » dans le routeur (respectivement « sortant » du routeur) par l’interface
considérée. En conséquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.
Lorsque l’on construit une ACL, les règles sont ajoutées à la fin de la liste dans l’ordre dans lequel on les
saisit. On ne peut pas insérer de règle dans une ACL, ni même en supprimer … le seul moyen reste d’effacer
complètement l’ACL et de recommencer ! En situation réelle, pour saisir une ACL assez longue, il peut être
judicieux de créer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture
de configuration de routeur …
Les ACL standards
Les ACL standards n’offrent pas énormément de possibilités, elles permettent simplement de créer des règles
dont les conditions ne prennent en compte que les adresses IP sources des datagrammes IP analysés.
C’est assez contraignant, mais cela permet déjà un certain nombre de manipulations intéressantes.
La commande pour créer une ACL standard (ou ajouter une règle à une ACL existante) est la suivante :
Le numéro de liste (#ACL) doit être compris entre 1 et 99 pour une ACL standard (tapez un ? après la
commande « access-list » pour visualiser toutes les fourchettes possibles en fonctions des types d’ACL).
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou refusé)
L’IP source + masque indique la condition.
Le numéro de liste (#ACL) doit être compris entre 100 et 199 pour une ACL étendue.
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou refusé)
« protocole » indique le protocole concerné par le filtre (tapez un ? pour avoir la liste des protocoles
disponibles) Les protocoles indiqués peuvent être de différents niveaux jusqu’au niveau transport (ex : TCP
ou UDP, mais également IP ou ICMP). La distinction sur les protocoles applicatifs (http, FTP …) se fera sur le
champ « port ».
IP et masques suivent les mêmes règles que pour les ACL standards,
« port » permet d’indiquer un numéro de port (ou son nom symbolique si il est connu http, FTP, Telnet, …).
Notez qu’un port doit être indiqué précédé d’un opérateur (ex : « eq http » ou « eq 80 » ou « lt 1024 ») avec
« eq » (pour « equal »), « lt » (pour « lower than ») ou « gt » (pour greater than), …
« established » indique qu’il s’agit d’une communication TCP déjà établie (et donc pas d’une demande de
connexion avec le bit « syn » positionné).Remarques essentielles sur la syntaxe des ACL
le masque est complètement inversé par rapport à la notion de masque que vous
connaissez jusqu’ici !!! (On parle de masque générique) ex : 193.55.221.0 avec le masque
0.0.0.255 désigne toute adresse source du type 193.55.221.X … merci Cisco !
En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent
être utilisées au contraire sur les routeurs les plus proches des équipements sources
concernés, ceci afin d’éviter du trafic superflu sur le réseau.
Exercices :
activité packet tracer sur les ACL standarts
activité packet tracer planification, configuration et verification des ACL standart, étendues
et nommées
3. MANIPULATIONS
ACL Standards
Pour tout le TP il est demandé de conserver la politique « all open » par défaut, c'est-à-dire
de conserver la politique du « tout autoriser » et de n’interdire que le strict nécessaire. C’est
loin d’être la plus sûre, mais c’est celle qui permettra aux autres binômes de travailler,
1. Depuis un terminal sur chacune des machines interne (PC sous Windows et sous
Linux) effectuez un PING sur « sv1mrim », Que constatez vous ?
2. Cette machine est en mesure de répondre au moins aux services , http (port 80), ftp
(port 21, entre autres), dns (port 53) et icmp bien sûr. Tester
3. Créez une ACL standard permettant d’interdire tout accès du réseau « mrim » à vos
PC mais pas internet. Activez cette ACL sur les datagrammes « sortant » sur
l’interface du LAN. Vérifiez que le filtre fonctionne et que vous avez toujours accès à
Internet. Remarque : attention aux échanges DNS.
4. Quelle règle auriez vous écrit maintenant pour interdire l’accès au réseau mrim à
tous les PCs de votre LAN SAUF le PC Linux (il n’y a pas de différence pour vous
étant donné que vous n’avez que 2 pc sur votre LAN, mais il en aurait eu une si vous
en aviez eu 3 !). Créez une autre ACL pour tester cette règle.
Faites valider les 2 ACL précédentes par votre enseignant.
ACL Etendues
1. Créez une ACL étendue pour interdire au PC Windows de faire des « pings » sur le
réseau de mrim.
2. Faites en sorte d’interdire tout trafic UDP à destination de sv1mrim depuis votre PC
Linux. Trouvez une manipulation pour valider ce filtre. Trouvez une manipulation
pour vérifier que le trafic est toujours autorisé sur une autre machine que sv1mrim
(PC16 par exemple).
3. Interdisez le trafic web à tout votre réseau local.
4. Allégez les restrictions en permettant uniquement à votre PC Windows d’accéder
uniquement au site web de sv1mrim.
5. Mettez en place un filtre autorisant votre PC Linux à faire un telnet sur sv1mrim,
mais pas à sv1mrim de faire un telnet sur votre PC Linux.
Faites valider par votre enseignant.
• Enregistrez les configurations.
a- Créer une liste d’accès sortante numérotée 150 et l’appliquer à l’interface Fast Ethernet
0/1.1
b- Créer une liste d’accès sortant numérotée 160 et l’appliquer à l’interface Fast Ethernet
0/1.2
INTRODUCTION
I. FONCTIONNEMENT DE LA NAT
II. CONFIGURATION DE LA TRADUCTION D’ADRESSES RESEAU (NAT)
CONCLUSION
• NAT STATIQUE
• NAT DYNAMIQUE
• PAT
Introduction
L'espace d'adressage IPv4 est trop restreint pour accommoder tous les périphériques à connecter à
Internet.
Les adresses privées des réseaux sont conçues pour être utilisées dans une organisation ou un site
uniquement.
Elles ne sont pas routées sur internet, contrairement aux adresses publiques.
Elles peuvent pallier la pénurie d'adresses IPv4, mais comme elles ne sont pas routées par les
périphériques Internet, elles doivent d'abord être traduites.
C'est le rôle de la fonction NAT.
➢ NAT STATIQUE
La fonction NAT statique utilise un mappage « un à un » entre les adresses privées et publiques.
Ces mappages sont configurés par l'administrateur réseau et ne changent pas.
La fonction NAT statique est particulièrement utile lorsque les serveurs hébergés dans le réseau
interne doivent être accessibles depuis le réseau externe.
NAT DYNAMIQUE
La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la méthode du premier
arrivé, premier servi.
Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT dynamique attribue une
adresse IPv4 publique disponible du pool.
Il doit y avoir suffisamment d'adresses publiques disponibles pour le nombre total de sessions
utilisateur simultanées.
LA TRANDUCTION D’ADRESSE DE PORT ( PAT )
La fonction PAT mappe les adresses IPv4 privées à des adresses IP publiques uniques ou à quelques
adresses.
Elle utilise la paire port source/adresse IP source pour garder une trace du trafic de chaque client
interne.
II. CONFIGURATION DE LA TRADUCTION D’ADRESSES RESEAU (NAT)
NAT STATIQUE
ACHITECTURE
Etapes de configuration
Configurations des interfaces du routeur :
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no sh
ip nat inside
interface FastEthernet0/1
ip address 196.1.95.254 255.255.255.0
no sh
ip nat outside
Création du mappage entre adresse privée et publique
ip nat inside source static 192.168.1.1 196.1.95.1
ip nat inside source static 192.168.1.2 196.1.95.2
Vérification de la traduction satatic
show ip nat translations
Une capture wireshark
NAT DYNAMIQUE
Architecture
Etapes de configuration :
Etape 1 : définition du pool d’adresse publique
ip nat pool pl1 196.1.95.1 196.1.95.3 netmask 255.255.255.0
Etape 2 : définition d’une liste d’accès standard autorisant les adresses qui doivent être traduites.
access-list 1 permit 192.168.1.0 0.0.0.255
Etape 3 : lier le pool d’adresse à la liste d’accès
ip nat inside source list 1 pool pl1
Procédures de configuration
Nous aller prendre le cas d’une seule adresse publique
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
interface FastEthernet0/1
ip address 196.1.95.254 255.255.255.0
ip nat outside
ip nat inside source list 1 interface FastEthernet0/1 overload
access-list 1 permit 192.168.1.0 0.0.0.255
CONCLUSION
Ce TP nous a permis non seulement de mettre en pratique nos connaissances acquises sur la NAT à
travers le logiciel de simulation GNS3.
Mais aussi d’observer les mécanismes de traduction d’adresses privées en adresses publique grâce
au logiciel wireshark.