Vous êtes sur la page 1sur 128

04/02/2021

Rendu des TPs


Packet Tracer
Sécurité des Réseaux

Professeur :

Naila BOUCHEMAL

Réalisé par :

Tierno Oumar DIALLO, Birane Guissé et Manzan


Marie Rose
BACHELOR 3 CYBERSECURITE ET RESEAUX
Table des matières

TP2– Routage statique : ....................................................................................................................................................... 7


Objectif : ........................................................................................................................................................................... 7
TP3 NAT .............................................................................................................................................................................. 17
Introduction ............................................................................................................................................................... 17
1) NAT statique : ......................................................................................................................................................... 17
2) NAT dynamique : .................................................................................................................................................... 23
3) PAT (Port Address Translation) .............................................................................................................................. 27
TP4 Configuration des VLANs ............................................................................................................................................. 31
2 Configuration Réseau .................................................................................................................................................. 31
3 Modèle Réseau ............................................................................................................................................................ 31
4 Création des VLANs ..................................................................................................................................................... 32
5 Affectation des ports du switch à un VLAN ................................................................................................................. 34
6 Configuration des interfaces Trunk ............................................................................................................................. 37
7 Test de connectivité .................................................................................................................................................... 38
8 Routage interVLAN ...................................................................................................................................................... 38
9 Gestion du réseau ....................................................................................................................................................... 40
Conclusion ...................................................................................................................................................................... 42
TP5 Configuration OSPF de base (OSPF Single area) .......................................................................................................... 43
Introduction ................................................................................................................................................................... 43
Objectif : ......................................................................................................................................................................... 43
Diagramme de topologie................................................................................................................................................ 43
Tâche 1 : Préparation du réseau .................................................................................................................................... 43
Étape 1 : configuration des routeurs.......................................................................................................................... 43
Étape 2 : Désactivation de la recherche DNS ............................................................................................................. 44
Étape 3 : configuration des interfaces sur R1, R2 et R3 ............................................................................................. 44
Étape 4 : Vérification de l'adressage IP et les interfaces............................................................................................ 44
Étape 5 : configuration des interfaces Ethernet de PC1, PC2 et PC3 ......................................................................... 46
Tâche 2 : Configuration de OSPF sur le routeur R1 ........................................................................................................ 47
Etape 1 : Utilisation de la commande router ospf en mode de configuration globale pour activer OSPF sur le
routeur R1. ................................................................................................................................................................. 47
Etape 2 : Configuration de l’état du réseau pour le réseau LAN................................................................................ 47
Etape 3 : Configuration du routeur pour annoncer le réseau 192.168.10.0/30 attaché à l’Interface Serial 2/0. ..... 47
Etape 4 : Configuration du routeur pour annoncer le réseau 192.168.10.4/30 attaché à l’Interface Serial 3/0. ..... 47
Etape 5 : Retour en mode privilégié ........................................................................................................................... 47
Tâche 3 : Configuration de OSPF sur les routeurs R2 et R3 ........................................................................................... 47
Etape 1 : Activation du routage ospf sur le router 2 .................................................................................................. 47
Etape 2 : Configuration de l’état du réseau pour le réseau LAN 10.10.10.0/24 ........................................................ 47
Etape 3 : Configuration du routeur pour annoncer le réseau 192.168.10.0/30 attaché à l’Interface Serial 2/0. ..... 47
Etape 4 : Configuration du routeur pour annoncer le réseau 192.168.10.8/30 attaché à l’Interface Serial 3/0. ..... 47
Etape 5 : Configuration de ospf sur le routeur R3 en utilisant les commandes router ospf et network. .................. 48
Tâche 4 : Configuration des IDs des routeurs OSPF ....................................................................................................... 48
Étape 1 : Examen des ID de routeur actuels dans la topologie. ................................................................................. 48
Étape 2 : Utilisation des adresses de bouclage pour modifier les ID de routeur des routeurs dans la topologie. .... 49
Étape 3 : Rechargement des routeurs pour forcer l'utilisation des nouveaux ID de routeur. ................................... 50
Étape 4 : utilisation de la commande show ip ospf neighbors pour vérifier que les IDs des routeurs ont changé. .. 51
Étape 5 : Utilisation de la commande router-id pour modifier l'ID du routeur sur le routeur R1. ............................ 51
Étape 6 : Utilisation de la commande show ip ospf neighbor sur le routeur R2 pour vérifier que l’ID routeur de R1
a été modifié. ............................................................................................................................................................. 52
Étape 7 : Suppression de l'ID de routeur configuré avec la forme no de la commande router-id. ........................... 52
Étape 8 : Redémarrage du processus OSPF à l'aide de la commande clear ip ospf process. .................................... 52
Tâche 5 : Vérification de l’opération OSPF..................................................................................................................... 52
Étape 1 : Sur le routeur R1, utilisons la commande show ip ospf neighbor pour afficher les informations sur les
routeurs voisins OSPF R2 et R3. ................................................................................................................................. 53
Étape 2 : Sur le routeur R1, utilisons la commande show ip protocols pour afficher les informations sur le
fonctionnement du protocole de routage. ................................................................................................................ 53
Tâche 6 : Examen des routes OSPF dans les tables de routage. .................................................................................... 53
Tâche 7 : Configuration du coût OSPF............................................................................................................................ 54
Étape 1 : Utilisation de la commande show ip route sur le routeur R1 pour afficher le coût OSPF pour atteindre le
réseau 10.10.10.0/24. ................................................................................................................................................ 54
Étape 2 : Utilisation de la commande show interfaces Se 2/0 sur le routeur R1 pour afficher la bande passante de
l'interface Se 2/0. ....................................................................................................................................................... 54
Étape 3 : Utilisation de la commande bandwidth pour modifier la bande passante des interfaces série des
routeurs R1 et R2 en la bande passante réelle, 64 kbps. ........................................................................................... 54
Étape 4 : Utilisation de la commande show ip ospf interface sur le routeur R1 pour vérifier le coût des liaisons
série. ........................................................................................................................................................................... 55
Étape 5 : Utilisons la commande ip ospf cost pour configurer le coût OSPF sur le routeur R3. ................................ 55
Étape 6 : Utilisons la commande show ip ospf interface sur le routeur R3 pour vérifier que le coût de la liaison, le
coût de chacune des liaisons série est désormais de 1562. ....................................................................................... 55
Tâche 8 : Redistribution d’une route OSPF par défaut. ................................................................................................. 56
Étape 1 : Configuration d’une adresse de bouclage sur le routeur R1 pour simuler un lien vers un FAI. ................. 56
Étape 2 : Configuration d’une route statique par défaut sur le routeur R1. ............................................................. 56
Étape 3 : Utilisation de la commande default-information originate pour inclure la route statique dans les mises à
jour OSPF envoyées depuis le routeur R1. ................................................................................................................. 56
Étape 4 : Consultation de la table de routage sur le routeur R2 pour vérifier que la route statique par défaut est
redistribuée via OSPF. ................................................................................................................................................ 57
Tâche 9 : Configuration des fonctionnalités OSPF supplémentaires. ............................................................................ 57
Étape 1 : utilisation de la commande auto-cost reference-bandwidth pour ajuster la valeur de la bande passante
de référence. .............................................................................................................................................................. 57
Étape 2 : Consultation de la table de routage sur le routeur R1 pour vérifier la modification de la métrique de coût
OSPF. .......................................................................................................................................................................... 57
Étape 3 : Utilisation de la commande show ip ospf Neighbor sur R1 pour afficher le compteur d’arrêt.................. 58
Étape 4 : Configuration des intervalles OSPF Hello et d’arrêt OSPF (Dead). ............................................................. 58
Étape 5 : Modification des intervalles des compteurs d’arrêt et Hello. .................................................................... 59
Étape 6 : Utilisation de la commande show ip ospf interface serial0 / 0/0 pour vérifier que les intervalles des
compteurs Hello et d’arrêt ont été modifiés. ............................................................................................................ 59
Étape 7 : Utilisation de la commande show ip ospf Neighbor sur R1 pour vérifier que la contiguïté du voisin avec
R2 a été rétablie. ........................................................................................................................................................ 59
Tâche 10 : Nettoyage ..................................................................................................................................................... 59
Conclusion ...................................................................................................................................................................... 60
TP5.1 Configuration du protocole OSPFv2 à zones multiples ............................................................................................ 61
Introduction ............................................................................................................................................................... 61
Objectifs : ................................................................................................................................................................... 61
Contexte/scénario .......................................................................................................................................................... 61
Partie 1 : Création du réseau et configuration des paramètres de base du périphérique ............................................ 61
Étape 1 : Câblage du réseau conformément à la topologie. ...................................................................................... 61
Étape 2 : Initialisation et redémarrage des routeurs. ................................................................................................ 61
Étape 3 : Étape 2 : Initialisation et redémarrage des routeurs. ................................................................................. 61
Étape 4 : Vérifiez la connectivité de la couche 3. ....................................................................................................... 65
Partie 2 : Configuration d’un réseau OSPFv2 à zones multiples .................................................................................... 66
Étape 1 : Identification des types de routeurs OSPF dans la topologie. .................................................................... 66
Étape 2 : configuration du protocole OSPF sur R1. .................................................................................................... 66
Étape 3 : Configurons le protocole OSPF sur R2. ....................................................................................................... 67
Étape 4 : Configurons le protocole OSPF sur R3. ....................................................................................................... 68
Étape 5 : Vérifiez que les paramètres OSPF sont corrects et que les contiguïtés ont été définies entre les routeurs.
.................................................................................................................................................................................... 69
Étape 6 : Configuration de l’authentification MD5 sur toutes les interfaces série. ................................................... 74
Étape 7 : Vérifiez que les contiguïtés OSPF ont bien été rétablies. ........................................................................... 74
Partie 3 : Configuration des routes récapitulatives interzones...................................................................................... 75
Étape 1 : Affichez les tables de routage OSPF sur tous les routeurs. ......................................................................... 75
Étape 2 : Affichez la LSDB sur tous les routeurs. ........................................................................................................ 76
Étape 3 : Configurez les routes récapitulatives interzones. ....................................................................................... 77
Étape 4 : Affichez à nouveau les tables de routage OSPF sur tous les routeurs. ....................................................... 78
Étape 5 : Affichons la LSDB sur tous les routeurs....................................................................................................... 79
Étape 6 : Vérification de la connectivité de bout en bout ......................................................................................... 80
Remarques générales ................................................................................................................................................. 82
Conclusion ...................................................................................................................................................................... 82
TP6 Configuration du protocole BGP avec routage par défaut.......................................................................................... 83
Contexte ......................................................................................................................................................................... 83
Objectifs ......................................................................................................................................................................... 83
Étape 1 : configuration des informations de base sur chaque routeur : ................................................................... 83
Étape 2 : configuration des routes par défaut et des routes statiques a) Configuration sur le routeur CR de la
route par défaut pour permettre aux utilisateurs d’accéder à FAI1. ......................................................................... 86
Étape 3 : configuration du protocole BGP sur les deux routeurs FAI......................................................................... 87
Étape 4 : affichage des tables de routage ................................................................................................................. 87
Étape 5 : vérification de la connectivité ..................................................................................................................... 88
Étape 6 : affichage des informations BGP sur les routeurs FAI .................................................................................. 89
Conclusion ...................................................................................................................................................................... 90
TP7 : ACL Liste de Contrôle d’Accès ................................................................................................................................... 91
Introduction ............................................................................................................................................................... 91
Objectifs généraux ..................................................................................................................................................... 91
ACL Standard ...................................................................................................................................................................... 91
Objectifs : ................................................................................................................................................................... 91
Architecture du réseau :............................................................................................................................................. 91
Étape 1 : Configuration des équipements conformément à la topologie .................................................................. 91
Étape 2 : Affichage des interfaces à l’aide de show ip interface brief ....................................................................... 93
Étape 3 : Affichage des tables de routage des deux routeurs à l’aide de show ip route ........................................... 93
Étape 4 : Ping de PC X vers PC A ................................................................................................................................. 94
Étape 5 : Activation du routage dynamique sur les routeurs. ................................................................................... 94
Étape 6 : Visualisation de la présence d’anciennes ACL ............................................................................................ 94
Étape 7 : Vérification de la connectivité .................................................................................................................... 95
Étape 8 : Création d’une ACL standard ...................................................................................................................... 96
Étape 9 : Visualisation de la présence et du contenu de l’ACL .................................................................................. 96
Étape 10 : Vérification de la communication ............................................................................................................. 96
Étape 11 : Affectation d’une ACL à une interface ...................................................................................................... 96
Étape 12 : Vérification de la communication ............................................................................................................. 96
Étape 13 : Désactivation des ACL ............................................................................................................................... 97
ACL Etendue CISCO :........................................................................................................................................................... 98
Objectifs : ................................................................................................................................................................... 98
Architecture du réseau :............................................................................................................................................. 98
Étape 1 : Configuration des équipements conformément à la topologie.................................................................. 98
Étape 2 : Visualisation de la présence d’anciennes ACL ............................................................................................ 99
Étape 3 : Suppression des ACL ................................................................................................................................... 99
Étape 4 : Vérification de la connectivité .................................................................................................................. 100
Étape 5 : Création d’une ACL étendue ..................................................................................................................... 100
Étape 6 : Visualisation de la présence et du contenu de l’ACL ................................................................................ 101
Étape 7 : Vérification de la communication ............................................................................................................. 101
Étape 8 : Affectation d’une ACL à une interface ...................................................................................................... 101
Étape 9 : Vérification de la communication ............................................................................................................. 101
Étape 10 : Observation du nombre de fois où l’ACL a été sollicitée ........................................................................ 103
Étape 11 : Désactivation des ACL ............................................................................................................................. 103
Conclusion .................................................................................................................................................................... 103
TP8 : Configuration des paramètres de base ASA et du pare-feu à l'aide de la CLI ......................................................... 105
Objectifs : ................................................................................................................................................................. 105
Architecture du réseau............................................................................................................................................. 105
Étape 1 : Configuration des équipements conformément à la topologie ................................................................ 105
Étape 2 : Configuration des paramètres ASA et la sécurité d’interface en utilisant le CLI ...................................... 107
Configuration des interfaces internes et externes................................................................................................... 108
Étape 3 : Utilisation la commande show interface ip brief pour afficher l'état de toutes les interfaces ASA. ....... 108
Étape 4 : Utilisation de la commande show ip address pour afficher les informations des interfaces VLAN de
couche 3. .................................................................................................................................................................. 109
Étape 5 : Utilisation de la commande show switch vlan pour afficher les VLAN intérieurs et extérieurs configurés
sur l'ASA et pour afficher les ports attribués. .......................................................................................................... 109
Étape 6 : Test de la connectivité à l'ASA ................................................................................................................. 110
Étape 7 : Configuration du routage : ....................................................................................................................... 110
Étape 8 : Configuration de la traduction d'adresses à l'aide des objets PAT et réseau. .......................................... 111
Étape 9 : Configuration d’une DMZ : ........................................................................................................................ 112
Étape 10 : Assignation de l'interface physique ASA E0 / 2 au DMZ VLAN 3 et activons l'interface. ....................... 113
Étape 11 : Utilisation les commandes de vérification suivantes pour vérifier vos configurations : ........................ 113
Étape 12 : Configuration du NAT sur le serveur DMZ à l'aide d'un objet réseau..................................................... 114
Étape 13 : Configuration d’une ACL pour autoriser l'accès au serveur DMZ à partir d'Internet. ............................ 115
Conclusion .................................................................................................................................................................... 115
TP9 Configuration et vérification d’un VPN IPsec site à site ............................................................................................ 116
Introduction :............................................................................................................................................................ 116
Objectifs : ................................................................................................................................................................. 116
Contexte / scénario .................................................................................................................................................. 116
Architecture du réseau............................................................................................................................................. 116
Partie 0 : Configurer des paramètres de base et activation du protocole OSPF ......................................................... 116
Partie 1 : Configuration des paramètres IPsec sur R1 .................................................................................................. 119
Étape 1 : tester la connectivité................................................................................................................................. 119
Étape 2 : Activation du package Security Technology.............................................................................................. 119
Étape 3 : Identification du trafic intéressant sur R1................................................................................................. 120
Étape 4 : Configuration de la stratégie ISAKMP IKE Phase 1 sur R1. ........................................................................ 120
Étape 5 : Configuration de la stratégie IPsec IKE Phase 2 sur R1. ............................................................................ 121
Étape 6 : Configuration de la carte cryptographique sur l'interface sortante. ........................................................ 121
Partie 2 : Configuration des paramètres IPsec sur R3 .................................................................................................. 121
Étape 1 : Activation du package Security Technology.............................................................................................. 121
Étape 2 : Configuration du routeur R3 pour prendre en charge un VPN de site à site avec R1. ............................. 122
Étape 3 : Configuration des propriétés ISAKMP IKE Phase 1 sur R3. ....................................................................... 122
Étape 4 : Configuration de la stratégie IPsec IKE Phase 2 sur R3. ............................................................................ 122
Étape 5 : Configurez la carte cryptographique sur l'interface sortante. .................................................................. 123
Partie 3 : Vérification du VPN IPsec.............................................................................................................................. 123
Étape 1 : Vérifiez le tunnel avant le trafic intéressant. ............................................................................................ 123
Étape 2 : Création d’un trafic intéressant. ............................................................................................................... 124
Étape 3 : Vérification du tunnel après un trafic intéressant. ................................................................................... 124
Étape 4 : Création d’un trafic sans intérêt. .............................................................................................................. 125
Étape 5 : Vérification du tunnel. .............................................................................................................................. 126
Conclusion .................................................................................................................................................................... 127
TP2– Routage statique :
Objectif :
L’objectif de ce TP est de configurer une route statique entre 2 routeurs reliés par une interface série afin que les
machines des différents réseaux puissent communiqués entre elles.

1. Nous allons créer un réseau sous Packet Tracer (voir ci-dessous) et configurer un routage statique.

Avec les configurations suivantes :


NB : Pour la configuration des adressees IP des interfaces du routeur, après avoir cliqué sur le routeur, nous avons 2
possibilités : le mode console et le mode graphique

Mode console : après s’être mis en mode configuration terminal nous renseignons l’addresse ip avec la commande ip
address <adresse_ip_du_routeur> <masque_sous_réseau>. Nous avons comme exemple la configuration de
l’interface série du routeur0.

Router>enable
Router#
Router# configure terminal
Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 10.0.0.1 255.0.0.0
Router(config-if)#
Router(config-if)#exit
Router(config)#interface Serial2/0
Router(config-if)#ip address 200.200.200.1 255.255.255.0
Router(config-if)#ip address 200.200.200.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exitt

- Mode graphique: Dans l’onglet Config cliquons sur l’interface que nous voulons configurer ( Interface
FastEthernet 0/0 et Serial 2/0 dans notre cas) et renseignons l’adresse ip et le masque de sous-réseau.
2. Affichage l’état des interfaces (show ip int brief) et activation.

Dans la console, après s’être connecté en mode configuration nous tapons la commande show ip int brief
Router>enable
Router#show ip int brief

Etant donné que nous avons auparavant configurer les interfaces de sorte qu’elles soient toujours allumées
nous pouvons verifier que les interfaces Fa0/0 et Se2/0 sont up.
3. Vérification dans le tableau suivant si les tests fonctionnent ou non :
Résultat

Test Résultat
Ping entre PC0 et R0 sur Fa0/0 Réussi
Ping entre PC0 et R0 sur Se2/0 Réussi
Ping entre PC0 et R1 sur Se2/0 Echec
Ping entre PC0 et R1 sur Fa0/0 Echec
Ping entre R0 et R1 sur Se2/0 Réussi
Ping entre R0 et R1 sur Fa0/0 Echec

4) Affichage des tables de routage des 2 routeurs (show ip route), et précision des routes directement connectées.

Nous pouvons remarquer que pour le routeur R0 le réseau 10.0.0.0/8 est directement connecté à l’interface Fa0/0 et
que le réseau 200.200.200.0/24 est également connecté à l’interface série 2/0 de même pour pour le routeur R1 le
réseau 156.12.0.0/16 est directement connecté à l’interface Fa0/0 et que le réseau 200.200.200.0/24 est également
connecté à l’interface série 2/0
5. Retournons dans le mode de configuration du R1 et définissons une route statique vers le réseau 10.0.0.0.

Dans la console, en mode configuration terminal rentrons la commande

Router(config)#ip route 10.0.0.0 255.0.0.0 200.200.200.1

6) Sortie du mode configuration et enregistrement.

Router#copy running-config startup-config

7. Affichage de la table de routage.

Router#show ip route

nous remarquons que la ligne suivante a été ajoutée


S 10.0.0.0 [1/0] via
200.200.200.1

Ce qui est la preuve que notre


route statique est bel et bien
configurée

8. Ping à partir de PC0 sur l’interface Se2/0 du routeur R1.

Nous pouvons remarquer que PC0 arrive à


communiquer avec l’interface Se2/0 du
routeur R1 car une route statique a été
configurée

9. ping à partir du PC0 sur l’interface Fa0/0 du routeur R1.

Nous pouvons remarquer que PC0 n’arrive


pas à communiquer avec du routeur R1 car
une route statique vers l’interface Fa0/0 du
routeur 1 n’a pas encore été configurée.
10. Retournons dans le mode de configuration du R0, et corrigeons le problème via la commande ip route.

Dans la console, en mode configuration terminal rentrons la commande « ip route 10.0.0.0 255.0.0.0 200.200.200.1 »

11. Vérifions que l’on puisse maintenant faire un ping du PC1 au PC0

Comme nous le
constatons PC0 arrive
maintenant à
communiquer avec PC1.

Conclusion :
Dans ce TP, nous avons configuré une route statique entre deux routeurs de deux différents réseaux reliés
entre elles par leur interfaces séries. Nous avons ensuite vérifié que les configurations ont bien été faites par
des pings entre les ordinateurs du réseau 10.0.0.0 et 156.12.0.0 qui ont tous aboutis.
Pour configurer une route statique entre deux routeurs, il faut rentrer la commande suivante en mode de
configuration.
ip route# <adresse du réseau à joindre> <masque de ce réseau> <adresse de l’interface de sortie du
routeur pour atteindre le réseau>
TP3 NAT

Introduction
Les routeurs Internet sont tous configurés pour éliminer toutes les adresses privées. C’est-à-dire, qu’elles ne sont pas
routables sur internet. Lorsqu’un réseau qui utilise des adresses privées veut se connecter à Internet, il faudra, alors
faire, une translation des adresses privées en adresses publiques. Le processus, qui transforme les adresses privées en
public, pour pouvoir aller sur internet, s’appelle le NAT.

Le NAT, "Network Address Translation" est une bonne réponse aux problématiques de routage que l'on peut
rencontrer lorsque l'on souhaite lier un réseau privé (c'est à dire sur lequel nous avons la main) à un réseau public (sur
lequel nous ne pouvons modifier la configuration).

Il existe trois types de NAT :

- Le NAT Statique
- Le Nat Dynamique avec pool d’adresses
- Le NAT dynamique avec surcharge appelé NAT Overload ou encore PAT (Port Address Translation)

Le NAT Statique permet de translater/transformer une adresse IP par une autre adresse IP.

Le NAT Dynamique permet de translater plusieurs adresses IP par un pool d’adresses.

Le PAT ou NAT Overload permet de translater plusieurs adresses IP par une adresse IP.

L’objectif de ce TP est de configurer ces trois types de NAT

1) NAT statique :
Nous allons translater l’adresse privée de notre serveur pour qu’elle soit routable sur internet

Étape 1 : Représentation de la topologie réseau sur le simulateur Packet Tracer.


Étape 2 : Configuration des interfaces de deux routeurs.

Sur le routeur R0
Router>enable
Router# configure terminal
Router(config)#hostname R0
R0(config)#interface fastethernet 0/0
R0(config-if)#ip address 30.0.0.1
255.0.0.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface se2/0
R0(config-if)#ip address 20.0.0.1
255.0.0.0
R0(config-if)#clock rate 64000
R0(config-if)#bandwidth 64
R0(config-if)#no shutdown
Sur le routeur R1
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface fastethernet
0/0
R1(config-if)#ip address 10.0.0.1
255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Se2/0
R1(config-if)#ip address 20.0.0.2
255.0.0.0
R1(config-if)#no shutdown
R1(config)#exit

Étape 3 : Configuration des routes statiques pour chaque routeur.


- Sur le routeur R0

R0(config)#ip route 50.0.0.0 255.0.0.0 20.0.0.2

- Sur le routeur R1

R1(config)#ip route 30.0.0.0 255.0.0.0 20.0.0.1

Vérification
Étape 4 : Configuration de l’adresse IP privée et publique dans la table de translation d’adresse.

Affectons comme adresse statique pour le serveur l’adresse 50.0.0.1

R0>enable
R0#configure terminal
R0(config)#ip route 50.0.0.0 255.0.0.0
20.0.0.2

Étape 5 : Configuration du NAT pour les différentes interfaces.


R1(config)#ip nat inside source static 10.0.0.2 50.0.0.1
R1(config)#interface fastethernet 0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#interface Se2/0
R1(config-if)#ip nat outside
R1(config-if)#exit

Étape 6 : Test à travers l’invite de commande de l’un des PC la commande

PC>ping 50.0.0.1 & PC>ping 10.0.0.1


Interprétation du résultat

Nous remarquons qu’à l’étape 3 PC0 arrivait à pinger directement l’adresse IP du serveur. A l’étape 5 après avoir
translaté l’adresse privée du serveur en adresse publique (10.0.0.2 NATé en 50.0.0.1) nous ne pouvons plus joindre le
serveur via son adresse IP physique. Notre configuration NAT statique a bien réussi. Dorénavant pour pouvoir joindre
le serveur il va falloir passer par l’adresse statique 50.0.0.1 car le routeur R1 a mappé l’adresse privée du serveur.

Conclusion :

Nous avons configuré dans ce TP une route statique qui a permis de mapper l’adresse IP privée de notre serveur en
une adresse publique routable sur internet. Pour commencer (après avoir configuré les interfaces des postes et
routeurs ainsi que les routes statiques pour chaque routeur, nous avons configuré sur le routeur R1 l’adresse IP
publique sur son interface coté internet, et on a tagué l’interface avec la commande « ip nat outside » pour lui dire
qu’elle est bien connectée vers l’extérieur, du côté WAN. Ensuite, nous avons configuré une IP, sur l’interface
connecté au LAN Local et on a tagué cette interface en « Inside », car elle est du côté LAN. Et pour finir, en mode de
configuration global, on a utilisé la commande « ip nat inside source static » pour lui dire de translater l’IP interne, la
10.0.0.2, en IP externe, la 50.0.0.1. Nous avons ensuite testé grâce à la commande ping qui a réussi.
2) NAT dynamique :
Si l'on dispose par exemple d'une plage IP de 8 adresses sur internet mais que l'on a 500 machines dans notre LAN,
nous ne pourrons pas les rendre toutes disponibles sur internet en même temps car à force il n'y aurait plus assez
d'adresses IPv4. Le NAT dynamique va alors nous permettre de traduire les 500 adresses IP internes dans le lot des 8
adresses que nous avons sur internet. L’objectif de ce TP est de configurer le NAT dynamique.

Étape 1 : Représentation de la topologie réseau sur le simulateur Packet Tracer

Étape 2 : Configuration des interfaces des deux routeurs


- Router R0

Router>enable
Router# configure terminal
Router(config)#hostname R0
R0(config)#interface fastethernet 0/0
R0(config-if)#ip address 192.168.0.1
255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface Se2/0
R0(config-if)#ip address 30.0.0.1
255.0.0.0
R0(config-if)#clock rate 64000
R0(config-if)#bandwidth 64
R0(config-if)#no shutdown
R0(config-if)#exit

- Router R1
Router>enable
Router# configure terminal
Router(config)#hostname R1
R1(config)#interface fastethernet
0/0
R1(config-if)#ip address 20.0.0.1
255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Se2/0
R1(config-if)#ip address 30.0.0.2
255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#bandwidth 64
R1(config-if)#exit
R1(config)#
Étape 3 : Entrons les commandes suivantes pour chaque routeur et interpréter le résultat

R0 (config)#ip route 0.0.0.0 0.0.0.0 Se2/0

R1 (config)#ip route 0.0.0.0 0.0.0.0 Se2/0

Étape 4 : configurez le routeur Router0 afin qu’il admette le NAT dynamique avec les commandes suivantes :

Router0(config)#access-list 1 permit 192.168.0.0 0.0.0.255


Router0 (config)#ip nat pool test
50.0.0.1 50.0.0.5 netmask 255.0.0.0
Router0 (config)#ip nat inside source list
1 pool test

Étape 5 : Configuration du NAT pour les différentes interfaces.


R0(config)#interface fastethernet 0/0
R0(config-if)#ip nat inside
R0(config-if)#exit
R0(config)#interface Se2/0
R0(config-if)#ip nat outside
R0(config-if)#exit

Étape 6 : Test du NAT dynamique en introduisant la commande suivante dans le routeur0

R0#debug ip nat
Étape 7 : Ping à partir de PC0 vers 20.0.0.2

Interprétation du résultat :

Les PC du réseau 192.168.0.0 n’arrivent


plus à joindre le serveur directement via
son adresse 20.0.0.2 car nous l’avons
translaté par un pool d’adresses (la plage
d’adresse 50.0.0.1 – 50.0.0.5). Ce qui veut
notre configuration NAT dynamique a
réussi.

Conclusion :
Nous avons configuré dans ce TP une route dynamique et avons translaté plusieurs adresses privées avec une plage
d’adresses publiques routable sur internet. Sa configuration diffère un peu du NAT statique, mais il y’a tout de même
beaucoup de similitudes. Comme pour le NAT statique, il faut identifier chaque interface comme une interface
intérieure, dît « Inside » ou extérieure, dît « Outside ». Et ensuite, plutôt que de créer une carte statique d’une seule
adresse IP, la translation s’est faite sur un groupe d’adresse interne globale .

La différence avec le NAT statique que nous avons configuré au TP précédent et que le PC ne va pas toujours sortir sur
la même adresse IP externe. Avec cette configuration, si nous avons plus d’IP interne que d’IP externe et que les IP du
pool externe sont toutes utilisées, les autres clients ne pourront pas sortir. Pour pallier à ce problème, il existe
le PAT que nous allons voir ci-dessous.
3) PAT (Port Address Translation)
Dans cette partie, Nous allons configurer un PAT (192.168.0.0/24 ->50.0.0.1-5) sur l’architecture ci-dessous. L’objectif
est que le PC arrive à joindre le serveur avec l’IP 20.0.0.2

Étape 1 : Représentation de la topologie réseau (la même que celle du NAT dynamique)
Étape 2 : Configuration des interfaces de deux routeurs.

Router R0

Router>enable
Router# configure terminal
Router(config)#hostname R0
R0(config)#interface fastethernet 0/0
R0(config-if)#ip address 192.168.0.1
255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface Se2/0
R0(config-if)#ip address 30.0.0.1
255.0.0.0
R0(config-if)#clock rate 64000
R0(config-if)#bandwidth 64
R0(config-if)#no shutdown
R0(config-if)#exit

- Router R1
Router>enable
Router# configure terminal
Router(config)#hostname R1
R1(config)#interface fastethernet
0/0
R1(config-if)#ip address 20.0.0.1
255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface Se2/0
R1(config-if)#ip address 30.0.0.2
255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#bandwidth 64
R1(config-if)#exit
R1(config)#
Étape 3 : Entrons les commandes suivantes pour chaque routeur.

Router (config)#ip route 0.0.0.0 0.0.0.0 Se2/0

C’est la route par défaut, tous les paquets utiliserons par


défaut les interfaces de sortie des deux routeurs.

Étape 4 : configurons le routeur Router0 afin qu’il admette le NAT dynamique avec les commandes suivantes :

R0(config)#access-list 1 permit 192.168.0.0 0.0.0.255


R0 (config)#ip nat pool test 50.0.0.1
50.0.0.5 netmask 255.0.0.0
R0 (config)#ip nat inside source list 1
pool test overload

Étape 5 : Configuration du NAT pour les différentes interfaces.

Étape 6 : Pour tester, faisons un ping 20.0.0.2 à partir de n’importe quel PC puis introduisons la commande

Router0#show ip nat translations


Interprétation du résultat

Nous avons configuré le routeur R0 de sorte qu’il translate les paquets provenant des adresses décrites dans la liste
d’accès 1 (192.168.0.0/24) et de remplacer l’adresse IP source par celle configurée sur l’interface Serial 2/0 en la
surchargeant pour permettre à plus d’une machine de communiquer avec l’extérieur (PAT). Nous avons ensuite vérifié
que notre PAT est fonctionnel en réalisant un ping avec succès sur le serveur et la commande show ip nat translation
nous l’a bel et bien confirmée.

PC1 (ainsi que toute machine de ce réseau) peut communiquer avec l’extérieur désormais.

Conclusion :
Nous avons configuré dans ce TP le PAT. La configuration est presque identique à celle réalisée pour
le NAT dynamique, la distinction se fait par l’ajout du paramètre « overload » qui va permettre de surcharger l’IP
externe. Nous avons donc comme toute sorte de nat, tagueé nos interfaces en entrée et sortie. Ensuite, comme pour
le nat dynamique, nous avons créé une aceess-list pour définir les adresses locales qui pourront être translater. Et
pour finir, nous avons indiqué au routeur, de translater notre access-list, à travers notre interface sortie, la Fast
Ethernet 0/0, avec la commande « ip nat inside ». Nous avons vérifier les configurations en utilisant la
commande « show IP nat translation ».

Conclusion générale du TP sur NAT

Les protocoles NAT et PAT sont utilisés pour minimiser le besoin d'adresses IP uniques globalement, permettant à un
hôte dont l'adresse n'est pas globalement unique de se connecter à Internet, en convertissant les adresses en un
espace d'adresses global routable. Il existe une légère différence entre NAT et PAT, c'est que NAT n'utilise pas de
ports, tandis que PAT utilise des ports source dans le processus de traduction. On pourrait cependant penser que le
NAT statique n’a pas d’utilité ce qui est une erreur la preuve en est qu’il est souvent utilisé pour rendre une
application disponible sur internet comme un serveur web, mail ou un serveur FTP.
TP4 Configuration des VLANs

Objectif : Pratiquer les configurations de base des routeurs et switchs et les concepts de base des VLANs

2 Configuration Réseau

3 Modèle Réseau
Nous allons construire le réseau montré dans la Figure 1. Pour les switchs, utilisez le modèle 2960.

Nous utilisons un câble Ethernet droit pour connecter un PC à un port de switch, et nous utilisons un câble Ethernet
croisé pour connecter deux switchs.

Maintenant, configurons les adresses IP de chacun des PCs (PC1 à PC6) en accord avec le Tableau 1
4 Création des VLANs
Configurons le switch S1. Initialisons son nom (hostname) à S1. Par défaut, c’est switch0.

Ensuite, initialisons le mot de passe de enable secret à cisco.

switch0(config)#hostname S1
S1(config)#

Initialisez le mot de passe pour le mode


enable.

1 S1(config)#enable secret cisco

Pour vérifier les configurations, utilisons


la commande suivante pour vérifier la
configuration globale du switch, incluant
le nom du host et le mot de passe secret.

1 S1#show running−config

Créeons ensuite les 3 VLANs sur le switch S1 : VLAN10 (avec le nom staff), VLAN 20 (avec le nom students), VLAN 30
(avec le nom guest) comme indiqué dans le Tableau 2. Par exemple, vous créez le VLAN 10 comme suit :

1 S1(config)#vlan 10
2 S1(config−vlan)#name staff

Ensuite, vérifions les statuts des VLANs avec la commande suivante : S1#show vlan brief

Configurons de la même manière les switchs S2 et S3


Nous avons 8 VLANs actifs
dont les 3 que nous venons de
créer.
5 Affectation des ports du switch à un VLAN
Les switchs S2 et S3 ont des interfaces connectées aux PCs (PC1 à PC6).

Ce sont des interfaces d’accès (access interface). Ce type d’interface ne peut appartenir qu’à un seul VLAN. Il faut
affecter ces interfaces aux VLANs correspondants, du VLAN 10 au VLAN 30, avec le mode d’accès mentionné dans le
tableau 2.

Affectons l’interface S2-Fa0/2 au VLAN 10 en mode access en utilisant les commandes suivantes.

S2(config)#interface fa0/2
S2(config−if)#switchport mode access
S2(config−if)#switchport access vlan 10

Pour vérifier la configuration utilisons la commande suivante :

1 S2#show interfaces fa0/2 switchport

Répétons la même opération pour les autres interfaces connectées aux PCs.
6 Configuration des interfaces Trunk
Les liens trunk sont les connections entre les switchs (ou bien entre un switch et un routeur) qui permettent aux
switchs l’échange d’information sur tous les VLANs. Par défaut, une interface Trunk appartient à tous les VLANs.

Ce type d’interface a besoin d’être configurée en mode trunk. L’interface S1-Fa0/2 est une interface trunk et devrait
être configurée avec les commandes suivantes :

S1(config)#interface fa0/2
S1(config−if)#switchport mode trunk
Quelles interfaces devraient-elles être configures de la même manière ? S1-Fa0/3 S2-Fa0/1 et S3-Fa0/1

Configurons-les !

Ensuite, utilisons la commande


suivante pour vérifier.
S1#show interfaces trunk
7 Test de connectivité

Maintenant nous pouvons commencer votre premier test de connectivité. Essayez des pings entre les PCs.

PC1 arrive-t-il à pinguer PC4 ? Oui

PC1 arrive-t-il à pinguer PC5 ? Non Car


ils n’appartiennent pas au même réseau
(VLAN)

8 Routage interVLAN

Rajoutons un routeur qui se connecte au switch S1, comme indiqué dans la Figure 2. Initialisez son nom à R1

Nous utilisez un câble Ethernet droit pour connecter R1 au S1.

Initialisons l’interface S1-Fa0/1 au mode trunk.


Maintenant nous avons besoin de configurer 3 réseaux sur la même interface du routeur, R1-Fa0/0. Cela suppose que
nous avons besoin de 3 adresses IP pour la même interface. Pour pouvoir le faire, nous avons besoin d’utiliser les sous-
interfaces pour supporter les VLANs.

La configuration de la sous-interface R1-Fa0/0.1, utilisée pour supporter le VLAN 10, peut être réalisé comme suit :

R1(config)#interface fa0/0.1
R1(config−subif)#encapsulation dot1Q 10
R1(config−subif)#ip address 192.168.10.254 255.255.255.0
R1(config−subif)#no shutdown

Configurez les 3 sous-interfaces du routeur R1 pour les VLANs, VLAN 10, VLAN 20 et VLAN 30.

Une fois la configuration terminée, essayons de pinguer PC2 à partir de PC1. Est-ce que le ping aboutit ? oui

A travers quels équipements cette requête ping traverse-t-elle dans le réseau ? le routeur
La norme de trame 802.1q indique que les
trames sont étiquetées pour contenir le
numéro de vlan à laquelle elles sont
destinées/attribuées. La commande
"encapsulation dot1q 30" permet donc
d'encapsuler une trame pour transiter sur le
vlan 30 si elle est destinée à celui-ci. Le routeur
a besoin de cette information par exemple
quand il voit une trame venant du vlan 20
(étiquetée vlan 20) qui souhaite se diriger sur le
vlan 30. Il change donc à ce moment-là son
étiquetage 802.1q pour que les switchs
puissent correctement acheminer la trame vers
le ou les postes du vlan 30.

9 Gestion du réseau
Afin de gérer le réseau LAN, nous pouvons affecter des adresses IP aux switchs pour un contrôle à distance à travers le
réseau IP.

Un VLAN de gestion est un VLAN que l’on configure pour accéder aux capacités de gestion d’un switch. Pour ce faire,
nous créons un VLAN de gestion 192.168.99.0/24 au niveau de chaque switch. Ensuite, nous affectons une adresse IP
au VLAN 99 à chaque switch en accord avec le tableau 1. Et nous avons besoin de déclarer le VLAN 99 comme étant un
VLAN natif. Utilisez les commandes suivantes pour le switch S1.

S1(config)#interface vlan 99
S1(config−if)#ip address 192.168.99.1 255.255.255.0
S1(config−if)#interface fa0/1
S1(config−if)#switchport trunk native vlan 99

Configurons également le VLAN 99 sur les switchs S2 et S3.


Configurons la sous-interface Fa0/0.99 sur le routeur R1-Fa0/0, et déclarez ce VLAN en tant que Native VLAN comme :
R1(config)#int fa0/0.99

R1(config−subif)#encapsulation
dot1Q 99 native

R1(config−subif)#ip address
192.168.99.254 255.255.255.0

R1(config−subif)#no shutdown

Essayons de pinguer S1/S2/S3 à partir du R1. Le ping fonctionne-t-il ? oui.

Nous avons un accès réseau IP


aux switchs au sein du LAN.
Conclusion
Dans ce TP, nous avons mis en place un réseau simple composé de 6 postes de travail, trois switchs et un routeur.
Nous avons dans un premier temps créé 3 VLANs sur les trois switchs, ensuite nous avons affecté les ports des switchs
aux VLANs correspondants puis nous avons configuré les interfaces trunk entre les switchs et entre le switch S1 et le
routeur R1 et nous avons le routeur configuré pour le routage inter-VLANs. Nous avons testé les VLANs et le routage
inter VLAN avec succès. Nous avons terminé par créer et configurer un VLAN de gestion de notre LAN.
TP5 Configuration OSPF de base (OSPF Single area)
Introduction
Le protocole OSPF (Open Shortest Path First) est un protocole de routage à état de liens, sans classe qui a été
développé pour remplacer le protocole de routage à vecteur de distance RIP. Il présente des avantages considérables
par rapport au protocole RIP car il offre une convergence plus rapide et s'adapte mieux aux réseaux de plus grande
taille. Ce protocole est basé sur les normes ouvertes, ce qui signifie qu’il peut être développé et amélioré par les
fournisseurs. C’est un protocole complexe dont la mise en œuvre au sein d’un grand réseau représente un vrai défi.
Dans ce module, nous abordons les bases de l’OSPF.

Objectif :
L’objectif de ce TP est de configurer le protocole OSPF avec une seule zone. A l’issue de ce TP nous serons en mesure
de :

• Installer un réseau conformément au diagramme de topologie


• Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres par défaut
• Exécuter des tâches de configuration de base sur un routeur
• Configurer et activer des interfaces
• Configurer le routage OSPF sur tous les routeurs
• Configurer les identifiants des routeurs OSPF
• Vérifier le routage OSPF à l’aide des commandes show
• Configurer une route statique par défaut
• Transmettre les informations de route par défaut aux voisins OSPF
• Configurer les compteurs Hello et d’arrêt OSPF
• Configurer le protocole OSPF sur un réseau à accès multiple
• Configurer la priorité OSPF
• Comprendre le processus de sélection OSPF
• Décrire la configuration OSPF

Diagramme de topologie

Tâche 1 : Préparation du réseau

Étape 1 : configuration des routeurs


Configurons le mot de passe de la console et des lignes de terminal virtuel ‘’cisco’’ et le mot de passe privilégié ’’class’’
Étape 2 : Désactivation de la recherche DNS
Étape 3 : configuration des interfaces sur R1, R2 et R3
Configuration des interfaces sur les routeurs R1, R2 et R3 avec les adresses IP du tableau du diagramme de topologie.

Étape 4 : Vérification de l'adressage IP et les interfaces


Utilisons ‘’show ip interface brief’’ pour vérifier que l'adressage IP est correct et que les interfaces sont actives.

Sur le routeur R1
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#enable secret class
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#line vty 0 4
R1(config-line)#no ip domain
lookup
R1(config)#no ip domain lookup
R1(config)#interface fa0/0
R1(config-if)#ip address
172.16.1.17 255.255.255.240
R1(config-if)#no shutdown
R1(config-if)#interface Se2/0
R1(config-if)#ip address
192.168.10.1 255.255.255.252
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
R1(config-if)#interface Se3/0
R1(config-if)#ip address
192.168.10.5 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#end
R1#show ip interface brief
Sur le routeur R2
Router>enable
Router#configure terminal
Router(config)#hostname R2
R2(config)#enable secret class
R2(config)#line console 0
R2(config-line)#password cisco
R2(config-line)#line vty 0 4
R2(config-line)#no ip domain
lookup
R2(config)#no ip domain-lookup
R2(config)#interface fa0/0
R2(config-if)#ip address 10.10.10.1
255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#interface Se2/0
R2(config-if)#ip address
192.168.10.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#interface Se3/0
R2(config-if)#ip address
192.168.10.9 255.255.255.252
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown
R2(config-if)#end
R2#show ip interface brief
Sur le routeur R3
Router>enable
Router#configure terminal
Router(config)#hostname R3
R3(config)#enable secret class
R3(config)#line console 0
R3(config-line)#password cisco
R3(config-line)#line vty 0 4
R3(config-line)# password cisco
R3(config)#no ip domain-lookup
R3(config)#interface fa0/0
R3(config-if)#ip address
172.16.1.33 255.255.255.248
R3(config-if)#no shutdown
R3(config-if)#interface Se2/0
R3(config-if)#ip address
192.168.10.6 255.255.255.252
R3(config-if)#clock rate 64000
R3(config-if)#no shutdown
R3(config-if)#interface Se3/0
R3(config-if)#ip address
192.168.10.10 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#end
R3#show ip interface brief

Étape 5 : configuration des interfaces Ethernet de PC1, PC2 et PC3


Configurons les interfaces Ethernet de PC1, PC2 et PC3 avec les adresses IP et les passerelles par défaut du tableau.
Tâche 2 : Configuration de OSPF sur le routeur R1

Etape 1 : Utilisation de la commande router ospf en mode de configuration globale pour activer OSPF sur le
routeur R1.
Etape 2 : Configuration de l’état du réseau pour le réseau LAN
Utilisons 0 comme ID de zone pour le paramètre OSPF area-id. L’ID de zone OSPF aura la valeur 0 dans toutes les
instructions network de cette topologie

Etape 3 : Configuration du routeur pour annoncer le réseau 192.168.10.0/30 attaché à l’Interface Serial 2/0.
Etape 4 : Configuration du routeur pour annoncer le réseau 192.168.10.4/30 attaché à l’Interface Serial 3/0.
Etape 5 : Retour en mode privilégié

R1(config)#router ospf 1
R1(config-router)#network 172.16.1.16 0.0.0.15 area 0
R1(config-router)#network 192.168.10.0 0.0.0.3 area 0
R1(config-router)#network 192.168.10.4 0.0.0.3 area 0
R1(config-router)#end

Tâche 3 : Configuration de OSPF sur les routeurs R2 et R3

Etape 1 : Activation du routage ospf sur le router 2


Etape 2 : Configuration de l’état du réseau pour le réseau LAN 10.10.10.0/24
Etape 3 : Configuration du routeur pour annoncer le réseau 192.168.10.0/30 attaché à l’Interface Serial 2/0.
Etape 4 : Configuration du routeur pour annoncer le réseau 192.168.10.8/30 attaché à l’Interface Serial 3/0.

R2(config)#router ospf 1
R2(config-router)#network 10.10.10.0
0.0.0.255 area 0
R2(config-router)#network 192.168.10.0
0.0.0.3 area 0
R2(config-router)#network 192.168.10.8
0.0.0.3 area 0
R2(config-router)#end

Notons que lorsque le réseau pour la liaison série de R1 à R2 est ajouté à la configuration OSPF, le routeur envoie un
message de notification à la console indiquant qu'une relation de voisinage avec un autre routeur OSPF a été établie.
Etape 5 : Configuration de ospf sur le routeur R3 en utilisant les commandes router ospf et network.

R3(config)#router ospf 1
R3(config-router)#network 172.16.1.32
0.0.0.7 area 0
R3(config-router)#network
192.168.10.4 0.0.0.3 area 0
R3(config-router)#network
192.168.10.8 0.0.0.3 area 0
R3(config-router)#end

Notons que lorsque les réseaux pour les liaisons série de R3 à R1 et R3 à R2 sont ajoutés à la configuration OSPF, le
routeur envoie un message de notification à la console indiquant qu'une relation de voisinage avec un autre routeur
OSPF a été établie.

Tâche 4 : Configuration des IDs des routeurs OSPF

L'ID de routeur OSPF est utilisé pour identifier de manière unique le routeur dans le domaine de routage OSPF. Un ID
de routeur est une adresse IP. Les routeurs Cisco créent l'ID de routeur de l'une des trois manières suivantes et avec
les priorités suivantes :

1. Adresse IP configurée avec la commande OSPF router-id.

2. Adresse IP la plus élevée de l’une des adresses de bouclage du routeur.

3. Adresse IP active la plus élevée sur l’une des interfaces physiques du routeur.

Étape 1 : Examen des ID de routeur actuels dans la topologie.


Étant donné qu'aucun ID de routeur ou interface de bouclage n'a été configuré sur les trois routeurs, l’ID routeur de
chaque routeur est déterminé par l'adresse IP la plus élevée de toute interface active.

Quel est l'ID de routeur pour R1 ? 192.168.10.5

Quel est l'ID de routeur pour R2 ? 192.168.10.9

Quel est l'ID de routeur pour R3 ? 192.168.10.10

L'ID du routeur peut également être vu dans la sortie des commandes show ip protocols, show ip ospf et show ip ospf
interfaces.
Étape 2 : Utilisation des adresses de bouclage pour modifier les ID de routeur des routeurs dans la topologie.

R1(config)#interface loopback 0
R1(config-if)#ip address 10.1.1.1
255.255.255.255

R2(config-if)# interface loopback 0


R2(config-if)#ip address 10.2.2.2
255.255.255.255
R3(config)#interface loopback 0
R3(config-if)#ip address 10.3.3.3
255.255.255.255

Étape 3 : Rechargement des routeurs pour forcer l'utilisation des nouveaux ID de routeur.

Lorsqu'un nouvel ID de routeur est configuré, il ne sera pas utilisé tant que le processus OSPF ne sera pas redémarré.
Assurons-nous que la configuration actuelle est enregistrée dans NRAM, puis utilisons la commande reload et
redémarrons chacun des routeurs.

R1#copy running-config startup-config


R1#reload

R2#copy running-config startup-config


R2#reload
R3#copy running-config startup-
config
R3#reload

Lorsque le routeur est rechargé, quel est l'ID du routeur pour R1 ? 10.1.1.1

Lorsque le routeur est rechargé, quel est l'ID du routeur pour R2 ? 10.2.2.2

Lorsque le routeur est rechargé, quel est l'ID du routeur pour R3 ? 10.3.3.3

Étape 4 : utilisation de la commande show ip ospf neighbors pour vérifier que les IDs des routeurs ont changé.

R1#show ip ospf neighbor

R2#show ip ospf neighbor

R2#show ip ospf neighbor

Étape 5 : Utilisation de la commande router-id pour modifier l'ID du routeur sur le routeur R1.
R1(config)#router ospf 1
R1(config-router)#router-id
10.4.4.4
R1(config-router)#end
R1#clear ip ospf process
Reset ALL OSPF processes? [no]:
yes

Si cette commande est utilisée sur un processus de routeur OSPF qui est déjà actif (a des voisins), le nouvel ID de
routeur est utilisé lors du prochain rechargement ou lors d'un redémarrage manuel du processus OSPF. Pour
redémarrer manuellement le processus OSPF, utilisez la commande clear ip ospf process.

Étape 6 : Utilisation de la commande show ip ospf neighbor sur le routeur R2 pour vérifier que l’ID routeur de
R1 a été modifié.

R2#show ip ospf neighbor

Étape 7 : Suppression de l'ID de routeur configuré avec la forme no de la commande router-id.

R1(config)#router ospf 1
R1(config-router)#no router-id 10.4.4.4

Étape 8 : Redémarrage du processus OSPF à l'aide de la commande clear ip ospf process.


R1(config-router)#end
R1#clear ip ospf process
Reset ALL OSPF processes? [no]: yes

Tâche 5 : Vérification de l’opération OSPF


Étape 1 : Sur le routeur R1, utilisons la commande show ip ospf neighbor pour afficher les informations sur les
routeurs voisins OSPF R2 et R3.

Nous devrons pouvoir voir l’ID de voisin et l’adresse IP de chaque routeur adjacent, et l'interface que R1 utilise pour
atteindre ce routeur voisin OSPF

R1#show ip ospf neighbor

Étape 2 : Sur le routeur R1, utilisons la commande show ip protocols pour afficher les informations sur le
fonctionnement du protocole de routage.

R1#show ip protocols

Notons que les informations configurées


dans les tâches précédentes, telles que le
protocole, l’ID du processus, l'ID du voisin et
les réseaux sont affichés dans la sortie. Les
adresses IP des voisins adjacents sont
également affichées.

Notons également que la sortie spécifie l'ID


de processus utilisé par OSPF. Et que l'ID de
processus doit être le même sur tous les
routeurs pour qu'OSPF établisse des
contiguïtés voisines et partage les
informations de routage.

Tâche 6 : Examen des routes OSPF dans les tables de routage.

Affichage de la table de routage


sur le routeur R1. Les routes
OSPF sont désignées dans la
table de routage par un O.

R1#show ip route
Notons que contrairement à RIPv2 et EIGRP, OSPF ne résume pas automatiquement aux principales limites du réseau.

Tâche 7 : Configuration du coût OSPF.

Étape 1 : Utilisation de la commande show ip route sur le routeur R1 pour afficher le coût OSPF pour atteindre
le réseau 10.10.10.0/24.
R1#show ip route

Étape 2 : Utilisation de la commande show interfaces Se 2/0 sur le routeur R1 pour afficher la bande passante
de l'interface Se 2/0.
R1#show interfaces Se2/0

Sur la plupart des liaisons série, la métrique de bande passante sera par défaut de 1544 Kbits. S'il ne s'agit pas de la
bande passante réelle de la liaison série, la bande passante devra être modifiée afin que le coût OSPF puisse être
calculé correctement

Étape 3 : Utilisation de la commande bandwidth pour modifier la bande passante des interfaces série des
routeurs R1 et R2 en la bande passante réelle, 64 kbps.
R1(config)#interface Se2/0
R1(config-if)#bandwidth 64
R1(config-if)#interface Se3/0
R1(config-if)#bandwidth 64
R2(config)#int Se 2/0
R2(config-if)#bandwidth 64
R2(config-if)#int Se 3/0
R2(config-if)#bandwidth 64

Étape 4 : Utilisation de la commande show ip ospf interface sur le routeur R1 pour vérifier le coût des liaisons
série.
Le coût de chacune des liaisons série est désormais de 1562, résultat du calcul : 108/64 000 bps.

R1#show ip ospf interface

Étape 5 : Utilisons la commande ip ospf cost pour configurer le coût OSPF sur le routeur R3.

Une méthode alternative à l'utilisation de la commande bandwidth consiste à utiliser la commande ip ospf cost, qui
nous permet de configurer directement le coût. Utilisons la commande ip ospf cost pour changer la bande passante
des interfaces série du routeur R3 en 1562.

R3(config)#int Se2/0
R3(config-if)#ip ospf cost 1562
R3(config-if)#int Se3/0
R3(config-if)#ip ospf cost 1562

Étape 6 : Utilisons la commande show ip ospf interface sur le routeur R3 pour vérifier que le coût de la liaison,
le coût de chacune des liaisons série est désormais de 1562.
R3#show ip ospf interface

Tâche 8 : Redistribution d’une route OSPF par défaut.

Étape 1 : Configuration d’une adresse de bouclage sur le routeur R1 pour simuler un lien vers un FAI.
R1(config)#interface loopback1

R1(config-if)#ip address 172.30.1.1


255.255.255.252

Étape 2 : Configuration d’une route statique par défaut sur le routeur R1.
Utilisons l'adresse de bouclage qui a été configurée pour simuler un lien vers un FAI comme interface de sortie.

R1(config-if)#ip route 0.0.0.0 0.0.0.0 loopback1

Étape 3 : Utilisation de la commande default-information originate pour inclure la route statique dans les
mises à jour OSPF envoyées depuis le routeur R1.

R1(config)#router ospf 1
R1(config-router)#default-information originate
Étape 4 : Consultation de la table de routage sur le routeur R2 pour vérifier que la route statique par défaut
est redistribuée via OSPF.

R2#show ip route

Tâche 9 : Configuration des fonctionnalités OSPF supplémentaires.

Étape 1 : utilisation de la commande auto-cost reference-bandwidth pour ajuster la valeur de la bande


passante de référence.
Augmentons la bande passante de référence à 10000 pour simuler des vitesses 10GigE. Configurons cette commande
sur tous les routeurs du domaine de routage OSPF.

R1(config)#router ospf 1
R1(config-router)#auto-cost reference-
bandwidth 10000

R2(config)#router ospf 1
R2(config-router)#auto-cost
reference-bandwidth 10000

R1(config)#router ospf 1
R1(config-router)#auto-cost
reference-bandwidth 10000

Étape 2 : Consultation de la table de routage sur le routeur R1 pour vérifier la modification de la métrique de
coût OSPF.
Notons que les valeurs sont des valeurs de coût beaucoup plus élevées pour les routes OSPF.
R1#show ip route

Étape 3 : Utilisation de la commande show ip ospf Neighbor sur R1 pour afficher le compteur d’arrêt.
Le compteur d’arrêt compte à rebours à partir de l'intervalle par défaut de 40 secondes.

R1#show ip ospf neighbor

Étape 4 : Configuration des intervalles OSPF Hello et d’arrêt OSPF (Dead).


Les intervalles OSPF Hello et Dead peuvent être modifiés manuellement à l'aide des commandes d'interface ip ospf
hello-interval et ip ospf dead-interval. Utilisons ces commandes pour changer l'intervalle de hello à 5 secondes et
l'intervalle d’arrêt à 20 secondes sur l'interface série Se2/0 du routeur R1.
R1(config-if)#interface Se2/0
R1(config-if)#ip ospf hello-interval 5
R1(config-if)#ip ospf dead-interval
20

Au bout de 20 secondes, le compteur d’arrêt (Dead Timer) sur R1 expire. R1 et R2 perdent la contiguïté parce que le
compteur d’arrêt et le compteur Hello doivent être configurés de manière identique de chaque côté de la liaison série
entre R1 et R2.
Étape 5 : Modification des intervalles des compteurs d’arrêt et Hello.

Modifions les intervalles des compteurs d’arrêt et Hello sur l'interface Serial Se2/0 du routeur R2 pour qu'ils
correspondent aux intervalles configurés sur l'interface Serial Se2/0 du routeur R1.
R2(config)#interface Se2/0
R2(config-if)#ip ospf hello-interval 5
R2(config-if)#ip ospf dead-interval 20

Notons que l'IOS affiche un message lorsque la contiguïté a été établie avec un état Complet (FULL)

Étape 6 : Utilisation de la commande show ip ospf interface serial0 / 0/0 pour vérifier que les intervalles des
compteurs Hello et d’arrêt ont été modifiés.

R2#show ip ospf interface Se2/0

Étape 7 : Utilisation de la commande show ip ospf Neighbor sur R1 pour vérifier que la contiguïté du voisin
avec R2 a été rétablie.

Notons que le temps d’arrêt pour l’interface série Se2/0 est sensiblement inférieur étant donné qu’il déclenche
compte à rebours à partir de 20 secondes au lieu des 40 secondes par défaut. L’interface série Se3/0 a conservé ses
compteurs par défaut.

R1#show ip ospf neighbor

Tâche 10 : Nettoyage
Effaçons les configurations et déconnectons le câblage connecté.

(Nous n’allons pas faire cette partie pour vérification par le professeur)
Conclusion

Dans ce TP nous avons fait une configuration basique de l’OSPF Single area. Après avoir créé le réseau et configurer les
paramètres de base, Nous avons activer et configurer le protocole OSPF sur les interfaces physiques actives de nos
routeurs le tout dans une seule zone (area 0). A ce stade, nos routeurs arrivaient déjà à communiquer entre elles.
Ensuite nous avons configurer les IDs de routeur OSPF (puisque nous n’avions pas configurer d’ID de routeur ni
d’adresse de bouclage auparavant, l’ID de routeur par défaut était l’adresse IP active la plus élevée sur les interfaces
physiques des routeurs) nous avons donc configuré des adresses de bouclage pour modifier les ID de routeur des
routeurs et aussi utiliser la commande router-id pour modifier l’ID routeur sur le routeur R1.

Nous avons également procédé à la vérification de l’opération OSPF en utilisant les commandes show ip ospf neighbor
(pour afficher les informations sur les routeurs voisins OSPF) et show ip protocols pour afficher les informations sur le
fonctionnement du protocole de routage (le protocole, l’ID du processus, l'ID du voisin, les réseaux et les adresses IP des
voisins adjacents).

Dans la tâche suivante nous avons configurer le coût OSPF notamment avec les commandes bandwidth et ip ospf cost
et avons vérifier le coût des liaisons avec la commande show ip ospf interface. Puis nous avons configurer une adresse
de bouclage sur le routeur R1 pour simuler un lien vers un FAI et configurer une route statique par défaut et inclut
cette route dans les mises à jour OSPF avec la commande default-information originate.

Enfin nous avons configurer les fonctionnalités OSPF supplémentaires telles que l’ajustement de la valeur de la bande
passante de référence (avec la commande auto-cost reference-bandwidth) et les intervalles OSPF Hello et Dead.

En somme OSPF est économe en trafic, gère l'équilibrage du trafic entre les routes de même coût mais aussi peut être
complexe et gourmand en calcul et en mémoire.
TP5.1 Configuration du protocole OSPFv2 à zones multiples
Introduction
Le protocole OSPF (Open Shortest Path First) est un protocole de routage à état de liens qui a été développé pour
remplacer le protocole de routage à vecteur de distance RIP. C’est un protocole complexe dont la mise en œuvre au
sein d’un grand réseau représente un vrai défi. Dans ce module, nous abordons les bases de l’OSPF. Dans les grands
réseaux complexes, l’OSPF peut être configuré pour recouvrir un grand nombre de zones de types différents. La
possibilité de concevoir et de mettre en œuvre de grands réseaux OSPF est due à la capacité de configurer OSPF dans
une zone unique. Ce module traite également de la configuration d’une zone unique OSPF.

Objectifs :
Partie 1 : création du réseau et configuration des paramètres de base du périphérique
Partie 2 : configuration d’un réseau OSPFv2 à zones multiples
Partie 3 : configuration de routes récapitulatives interzone

Contexte/scénario

Pour une efficacité et une évolutivité supérieure, le protocole OSPF prend en charge le routage hiérarchique basé sur
des zones. Une zone OSPF correspond à un groupe de routeurs qui partagent les mêmes informations dans leur base
de données d’états de liens (LSDB). Lorsqu’une zone OSPF de grande taille est divisée en zones plus petites, on parle
de protocole OSPF à zones multiples. Le protocole OSPF à zones multiples est utile pour les déploiements de réseaux
plus importants afin de réduire la charge de traitement et de stockage.
Dans le cadre de ces travaux pratiques, nous configurerons un réseau OSPFv2 à zones multiples à l’aide de routes
récapitulatives interzones.

Partie 1 : Création du réseau et configuration des paramètres de base du périphérique

Dans la Partie 1, nous définirons la topologie du réseau et configurerons les paramètres de base des routeurs.

Étape 1 : Câblage du réseau conformément à la topologie.

Étape 2 : Initialisation et redémarrage des routeurs.

Étape 3 : Étape 2 : Initialisation et redémarrage des routeurs.

a. Désactivons la recherche DNS.


b. Configurons le nom du périphérique conformément à la topologie.
c. Attribuons class comme mot de passe du mode d’exécution privilégié.
d. Attribuons cisco comme mots de passe de console et vty.
e. Configurons logging synchronous pour la ligne de console.
f. Configurons une bannière MOTD pour avertir les utilisateurs que tout accès non autorisé est interdit.

g. Configurons les adresses IP indiquées dans la table d’adressage pour toutes les interfaces. Les interfaces DCE
doivent être configurées avec une fréquence d’horloge de 128 000. La bande passante doit être de 128 Kb/s sur toutes
les interfaces série.
h. Copions la configuration en cours en tant que configuration de démarrage.

Pour le routeur 1
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#no ip domain-lookup
R1(config)#enable secret class
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#logging
synchronous
R1(config-line)#banner motd
"Tout acces non autorise est
formellement interdit"
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#exit
R1(config)#interface loopback 0
R1(config-if)#ip address
209.165.200.225
255.255.255.252
R1(config-if)#interface loopback
1
R1(config-if)#ip address
192.168.1.1 255.255.255.0
R1(config-if)#interface loopback
2
R1(config-if)#ip address
192.168.2.1 255.255.255.0
R1(config-if)#interface Se2/0
R1(config-if)#ip address
192.168.12.1 255.255.255.252
R1(config-if)#clock rate 128000
R1(config-if)#bandwidth 128
R1(config-if)#no shutdown
R1#copy running-config startup-
config
Destination filename [startup-
config]?
Building configuration...
[OK]
R1#
Pour le routeur 2
Router>enable
Router#configure terminal
Router(config)#no ip domain lookup
Router(config)#hostname R2
R2(config)#enable secret class
R2(config)#line vty 0 4
R2(config-line)#password cisco
R2(config-line)#line console 0
R2(config-line)#password cisco
R2(config-line)#login
R2(config-line)#logging
synchronous
R2(config-line)#banner motd "Tout
acces non autorise est formellement
interdit"
R2(config-if)#interface loopback 6
R2(config-if)#ip address 192.168.6.1
255.255.255.0
R2(config)#interface Se2/0
R2(config-if)#ip address
192.168.12.2 255.255.255.252
R2(config-if)#bandwidth 128
R2(config-if)#no shutdown
R2(config-if)#interface Se3/0
R2(config-if)#ip address
192.168.23.1 255.255.255.252
R2(config-if)#clock rate 128000
R2(config-if)#bandwidth 128
R2(config-if)#no shutdown
R2#copy running-config startup-
config
Destination filename [startup-
config]?
Building configuration...
[OK]
Pour le routeur 3

Router>enable
Router#configure terminal
Router(config)#no ip domain
lookup
Router(config)#hostname R3
R3(config)#enable secret class
R3(config)#line vty 0 4
R3(config-line)#password cisco
R3(config-line)#line console 0
R3(config-line)#password cisco
R3(config-line)#login
R3(config-line)#logging
synchronous
R3(config-line)#banner motd
"Tout acces non autorise est
formellement interdit"
R3(config-if)#interface loopback
4
R3(config-if)#ip address
192.168.4.1 255.255.255.0
R3(config-if)#interface loopback
5
R3(config-if)#ip address
192.168.5.1 255.255.255.0
R3(config)#interface Se2/0
R3(config-if)#ip address
192.168.23.2 255.255.255.252
R3(config-if)#bandwidth 128
R3(config-if)#no shutdown
R3#copy running-config startup-
config
Destination filename [startup-
config]?
Building configuration...
[OK]
Étape 4 : Vérifiez la connectivité de la couche 3.
Utilisons la commande show ip interface brief pour vérifier que l’adressage IP est correct et que les interfaces sont
actives. Vérifions que chaque routeur peut envoyer une requête ping à l’interface série de ses voisins.
Partie 2 : Configuration d’un réseau OSPFv2 à zones multiples

Dans la Partie 2, nous allons configurer un réseau OSPFv2 à zones multiples avec un ID de processus de 1.
Toutes les interfaces de bouclage LAN doivent être passives et toutes les interfaces série doivent être configurées avec
une authentification MD5, en utilisant Cisco123 comme clé.

Étape 1 : Identification des types de routeurs OSPF dans la topologie.

Identifions les routeurs fédérateurs : R1 et R2


Identifions les routeurs ASBR (Autonomous System Boundary Router) : R1
Identifions les routeurs ABR (Area Border Router) : R1 et R2
Identifiez les routeurs internes : R3

Étape 2 : configuration du protocole OSPF sur R1.

a. Configurons un ID de routeur de 1.1.1.1 avec « 1 » comme ID de processus OSPF.


b. Ajoutons les réseaux pour R1 au protocole OSPF.
R1(config-router)# network 192.168.1.0 0.0.0.255
area 1
R1(config-router)# network 192.168.2.0 0.0.0.255
area 1
R1(config-router)# network 192.168.12.0 0.0.0.3
area 0

c. Configurons comme passives toutes les interfaces de bouclage LAN, Lo1 et Lo2.

d. Créons une route par défaut vers Internet, à


l’aide de l’interface de sortie Lo0.
e. Configurez le protocole OSPF pour propager les routes dans toutes les zones OSPF.

Récapitulatif de l’étape 2

Étape 3 : Configurons le protocole OSPF sur R2.

a. Configurons un ID de routeur de 2.2.2.2 avec l’ID de processus OSPF 1.


b. Ajoutons les réseaux pour R2 au protocole OSPF. Ajoutez les réseaux à la zone appropriée. Indiquez les commandes
utilisées dans l’espace ci-dessous.

R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network
192.168.6.0 0.0.0.255 area 3
R2(config-router)#network
192.168.12.0 0.0.0.3 area 0
R2(config-router)#network
192.168.23.0 0.0.0.3 area 3

c. Définissons toutes les interfaces de bouclage LAN comme étant passives.

R2(config-router)#passive-interface loopback 6
R2(config-router)#exit

Récapitulatif de l’étape 3
Étape 4 : Configurons le protocole OSPF sur R3.

a. Configurons un ID de routeur de 3.3.3.3 avec l’ID de processus OSPF 1.


b. Ajoutons les réseaux pour R3 au protocole OSPF. Indiquez les commandes utilisées dans l’espace ci-dessous.

R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network
192.168.4.0 0.0.0.255 area 3
R3(config-router)#network
192.168.5.0 0.0.0.255 area 3
R3(config-router)#network
192.168.23.0 0.0.0.3 area 3

c. Définissons toutes les interfaces de bouclage LAN comme étant passives.


R3(config-router)#passive-interface loopback 4
R3(config-router)#passive-interface loopback 5
R3(config-router)#end

Récapitulatif de l’étape 4
Étape 5 : Vérifiez que les paramètres OSPF sont corrects et que les contiguïtés ont été définies
entre les routeurs.

a. Exécutons la commande show ip protocols pour vérifier les paramètres OSPF de chaque routeur.
Utilisez cette commande pour identifier les types de routeur OSPF et déterminer les réseaux affectés à chaque zone.
R1# show ip protocols
Quel est le type de routeur OSPF pour chaque routeur ?

R1 : ASBR (Autonomous System Boundary Router) et ABR (Area Border Router)


R2 : ABR (Area Border Router)
R3 : Routeur interne

b. Exécutons la commande show ip ospf neighbor pour vérifier que des contiguïtés OSPF ont bien été établies entre
les routeurs.
R1# show ip ospf neighbor

R2# show ip ospf neighbor

R3# show ip ospf neighbor

c. Exécutez la commande show ip ospf interface brief pour afficher un résumé des coûts des routes d'interface.

R1# show ip ospf interface brief


R2# show ip ospf interface brief
R3# show ip ospf interface brief
Étape 6 : Configuration de l’authentification MD5 sur toutes les interfaces série.
Configurons l’authentification MD5 OSPF au niveau interface, avec Cisco123 comme clé d’authentification

R1(config)#interface Se2/0
R1(config-if)#ip ospf message-
digest-key 1 md5 Cisco123
R1(config-if)#ip ospf authentication
message-digest

R2(config)#interface Se2/0
R2(config-if)#ip ospf message-
digest-key 1 md5 Cisco123
R2(config-if)#ip ospf authentication
message-digest
R2(config-if)#interface Se3/0
R2(config-if)#ip ospf message-
digest-key 1 md5 Cisco123
R2(config-if)#ip ospf authentication
message-digest

R3(config)#interface Se2/0
R3(config-if)#ip ospf message-digest-key 1 md5
Cisco123
R3(config-if)#ip ospf authentication message-
digest

Pourquoi est-il recommandé de vérifier que le protocole OSPF fonctionne correctement avant de configurer
l’authentification OSPF ?

Le dépannage des problèmes OSPF est beaucoup plus facile si les contiguïtés OSPF ont été établies et vérifiées avant
d'implémenter l'authentification. C’est pourquoi il est fortement récommandé de vérifier que le protocole OSPF
fonctionne correctement, nous savons alors que notre implémentation d'authentification est imparfaite, car les
adjacences ne se rétablissent pas.

Étape 7 : Vérifiez que les contiguïtés OSPF ont bien été rétablies.

Exécutons la commande show ip ospf neighbor à nouveau pour vérifier que les contiguïtés ont bien été rétablies après
l’implémentation de l’authentification MD5.
Partie 3 : Configuration des routes récapitulatives interzones
Le protocole OSPF n’effectue pas de récapitulation automatique. La récapitulation des routes interzone doit être
configurée manuellement sur les routeurs ABR. Dans la Partie 3 de ces travaux pratiques, nous allons appliquer des
routes récapitulatives interzones aux routeurs ABR. À l’aide des commandes show, nous pourrons observer en quoi la
récapitulation affecte la table de routage et les bases de données LSDB.

Étape 1 : Affichez les tables de routage OSPF sur tous les routeurs.

a. Exécutons la commande show ip route ospf sur R1. Dans le cas de routes OSPF provenant d’une zone différente, la
description (O IA) indique qu’il s’agit de routes interzones.

R1# show ip route ospf

b. Répétons la commande show ip route ospf pour R2 et R3 et notons les routes OSPF interzones pour chaque
routeur.
Les routes OSPF interzones pour le routeur R2 sont :
O IA 192.168.1.1 [110/65] via 192.168.12.1, 00:05:31, Serial2/0 et
O IA 192.168.2.1 [110/65] via 192.168.12.1, 00:05:31, Serial2/0

Les routes OSPF interzones pour le routeur R3 sont :


- O IA 192.168.1.1 [110/129] via 192.168.23.1, 00:05:49, Serial2/0
- O IA 192.168.2.1 [110/129] via 192.168.23.1, 00:05:49, Serial2/0
- O IA 192.168.12.0 [110/128] via 192.168.23.1, 00:05:49, Serial2/0

Étape 2 : Affichez la LSDB sur tous les routeurs.

a. Exécutons la commande show ip ospf database sur R1. Un routeur entretient une LSDB distincte pour chaque zone
à laquelle il appartient.

R1# show ip ospf database

b. Répétons la commande show ip ospf database pour R2 et R3 et enregistrons les ID de liaison des « Summary Net
Link States » pour chaque zone.
R2 : - Area 0 : 192.168.6.1, 192.168.23.0, 192.168.4.1, 192.168.5.1, 192.168.1.1 et 192.168.2.1

- Area 3 : 192.168.12.0, 192.168.1.1 et 192.168.2.1


R3 : Area 3 : 192.168.12.0, 192.168.1.1 et 192.168.2.1

Étape 3 : Configurez les routes récapitulatives interzones.

a. Calculons la route récapitulative pour les réseaux de la zone 1.


Les réseaux 192.168.1.0 et 192.168.2.0 peuvent être résumés comme le réseau 192.168.0.0/22. (Nous faisons un ET
logique entre les réseaux 192.168.1.0 et 192.168.2.0)

b. Configurons la route récapitulative pour la zone 1, sur R1.

R1(config)# router ospf 1


R1(config-router)# area 1 range 192.168.0.0
255.255.252.0

c. Calculons la route récapitulative pour les réseaux de la zone 3. Notons les résultats.
Les réseaux 192.168.4.0, 192.168.5.0 et 192.168.6.0 peuvent être résumés comme le réseau 192.168.4.0/22. (Nous
faisons un ET logique entre les réseaux 192.168.4.0, 192.168.5.0 et 192.168.6.0)

d. Configurons la route récapitulative pour la zone 3, sur R2.

R2(config)#router ospf 1
R2(config-router)#area 3 range 192.168.4.0
255.255.252.0

Étape 4 : Affichez à nouveau les tables de routage OSPF sur tous les routeurs.

Exécutons la commande show ip route ospf sur chaque routeur et notons les résultats pour les routes interzones et
récapitulatives.

R1 : - IA 192.168.4.0 [110/65] via 192.168.12.2, 00:03:54, Serial2/0


- IA 192.168.23.0 [110/128] via 192.168.12.2, 01:16:01, Serial2/0

R2 : - IA 192.168.0.0 [110/65] via 192.168.12.1, 00:17:25, Serial2/0


- 192.168.4.0 [110/65] via 192.168.23.2, 01:15:30, Serial3/0

R3 : - IA 192.168.0.0 [110/129] via 192.168.23.1, 00:18:19, Serial2/0


- IA 192.168.12.0 [110/128] via 192.168.23.1, 01:16:29, Serial2/0
Étape 5 : Affichons la LSDB sur tous les routeurs.
Exécutons à nouveau la commande show ip ospf database sur chaque routeur. Enregistrons les ID de liaison des «
Summary Net Link States » pour chaque zone.

R1 : Area 0 : 192.168.0.0,
192.168.4.0 et 192.168.23.0
Area 1 : 192.168.12.0,
192.168.23.0 et 192.168.4.0

R2 : Area 0 : 192.168.23.0,
192.168.4.0 et 192.168.0.0

Area 3 : 192.168.12.0 et
192.168.0.0
R3 : Area 3 : 192.168.0.0 et
192.168.12.0

Type de LSA est injecté dans la zone fédératrice par le routeur ABR lorsque la récapitulation interzone est activée : Un
LSA de type 3 ou une route récapitulative interzone.

Étape 6 : Vérification de la connectivité de bout en bout

Vérifions que tous les réseaux


sont accessibles depuis chaque
routeur.

Ping depuis R2
Ping depuis R1

Ping depuis R3
Remarques générales

Les trois avantages d’une conception de réseau OSPF à zones multiples ?

1. Tables de routage plus petites.

2. Réduction de la surcharge de mise à jour de l'état des liaisons.

3. Fréquence réduite des calculs SPF.

Conclusion

Dans ce TP, nous avons configuré le protocole OSPF à zones multiples. Après avoir créé et configurer les paramètres de
base des périphériques ainsi que la connectivité du réseau dans la Partie 1, nous avons, dans la Partie 2, configuré un
réseau OSPFv2 à zones multiples avec un ID de processus de 1. Nous avons d’abord fait passer toutes les interfaces de
bouclage LAN en mode passives ensuite, nous avons configuré les ID des routeurs et propager les routes dans toutes
les zones OSPF ainsi que configurer toutes les interfaces série avec une authentification MD5 et enfin vérifier que les
contiguïtés ont bien été rétablies après l’implémentation de l’authentification MD5.

Dans la dernière partie, nous avons configurer manuellement les routes récapitulatives interzone sur les routeurs ABR
étant donné que le protocole OSPF n’effectue pas de récapitulation automatique. Enfin, à l’aide des commandes
show, nous avons pu observer en quoi la récapitulation affecte la table de routage et les bases de données LSDB.

En somme, à mesure que notre réseau grandi, il est plus avantageux de configurer le protocole OSPF à zone multiple
que d’un protocole à une seule zone.
TP6 Configuration du protocole BGP avec routage par défaut

Contexte

Une petite société a besoin d’un accès à l’Internet. Elle a demandé à son FAI local (FAI1) de lui fournir ses services.
FAI1 se connecte à l’Internet par l’intermédiaire de FAI2 à l’aide d’un protocole de routage externe. Le protocole BGP4
est le protocole de routage le plus courant entre les FAI sur l’Internet. Au cours de ces travaux pratiques, le routeur
client va se connecter au FAI à l’aide d’une route par défaut et FAI1 va se connecter à FAI2 via le protocole BGP4.

Objectifs

Configurer le routeur client avec un réseau interne annoncé par FAI1 via le protocole BGP (Border Gateway Protocol).
Configurer le protocole BGP pour l’échange d’informations de routage entre FAI1 dans AS 100 et FAI2 dans AS 200.

Étape 1 : configuration des informations de base sur chaque routeur :

a) Installation et configuration du réseau conformément au schéma topologique, sans protocole de routage.


Pour le routeur 1 (CR)

Router>enable
Router#configure terminal
Router(config)#hostname CR
CR(config)#interface fa0/0
CR(config-if)#ip address 192.168.1.1
255.255.255.0
CR(config-if)#no shutdown
CR(config-if)#interface se2/0
CR(config-if)#ip address 10.10.10.1
255.255.255.0
CR(config-if)#no shutdown

Pour le routeur 2 (FAI1)

Router>enable
Router#configure terminal
Router(config)#hostname FAI1
FAI1(config)#interface se2/0
FAI1(config-if)#ip address
10.10.10.2 255.255.255.0
FAI1(config-if)#clock rate 64000
FAI1(config-if)#no shutdown
FAI1(config-if)#ip address
10.10.10.2 255.255.255.0
FAI1(config-if)#interface se3/0
FAI1(config-if)#ip address
172.16.1.1 255.255.255.0
FAI1(config-if)#clock rate 64000
FAI1(config-if)#no shutdown
Pour le routeur 3 (FAI2)

Router>enable
Router#configure terminal
Router(config)#hostname FAI2
FAI2(config)#interface se2/0
FAI2(config-if)#ip address 172.16.1.2
255.255.255.0
FAI2(config-if)#no shutdown

b) Configuration de l’adresse IP et le masque de sous-réseau de l’hôte H1 sur le réseau client pour qu’ils soient
compatibles avec l’interface Fast Ethernet du routeur CR avec la
passerelle par défaut 192.168.1.1.

c) Envoi d’une requête ping pour tester la connectivité entre les routeurs connectés directement.

Le routeur CR est-il en mesure


d’atteindre le routeur FAI2 ? Non
L’hôte client est-il en mesure d’atteindre
FAI1 ? Non

d) Sur les routeurs FAI1 et FAI2, configurons une interface de bouclage en lui donnant une adresse IP, comme indiqué
dans le schéma topologique.

FAI1(config-if)#interface loopback 0
FAI1(config-if)#ip address
192.168.100.1 255.255.255.0

FAI2(config-if)#interface loopback 0
FAI2(config-if)#ip address
192.168.200.1 255.255.255.0

Étape 2 : configuration des routes par défaut et des routes statiques


a) Configuration sur le routeur CR de la route par défaut pour permettre aux utilisateurs d’accéder à FAI1.
CR(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.2
b) Configuration sur le routeur FAI1 d’une route statique de retour au réseau du client.
FAI1(config)#ip route 192.168.1.0 255.255.255.0
10.10.10.1

c) Test de la connectivité en envoyant une requête ping à partir de l’hôte vers FAI1 à l’adresse 10.10.10.2.

Étape 3 : configuration du protocole BGP sur les deux routeurs FAI

a) Configuration du protocole BGP sur le routeur FAI1.

FAI1(config)#router bgp 100


FAI1(config-router)#neighbor 172.16.1.2 remote-
as 200
FAI1(config-router)#network 192.168.1.0
FAI1(config-router)#network 192.168.100.0
FAI1(config-router)#end
FAI1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

b) Configuration du protocole BGP sur le routeur FAI2.

FAI2(config)#router bgp 200


FAI2(config-router)#neighbor 172.16.1.1
remote-as 100
FAI2(config-router)#network 192.168.200.0
FAI2(config-router)#end
FAI2#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

Étape 4 : affichage des tables


de routage

a) FAI2#show ip route
1) Le réseau 192.168.1.0 est-il dans la table de routage du routeur FAI2 ? OUI
2) Quelle lettre se trouve à gauche de l’entrée du réseau 192.168.1.0 ? B
3) Que signifie cette lettre ? La route a été signalée par le protocole BGP
4) Le réseau 192.168.100.0 est-il dans la table de routage ? Oui
5) Quel routeur a annoncé le réseau 192.168.1.0 ? C’est le routeur FAI1

b) FAI1#show ip route

1) Quels sont les réseaux signalés par le routeur FAI2 au routeur FAI1 ? c’est le réseau 192.168.200.0

2) Comment le réseau 192.168.1.0 a-t-il été signalé au routeur FAI1 ?

Une route statique a été configurée sur le routeur FAI1 et une entrée de réseau a été ajoutée lors de la
configuration du protocole BGP, afin d’annoncer le réseau via ce protocole.

3) Le routeur FAI1 va-t-il annoncer des réseaux au routeur client ? NON

c) CR#show ip route
Pourquoi les réseaux
192.168.100.0 et 192.168.200.0
n’apparaissent-ils pas dans la
table de routage du routeur
CR ?

FAI1 a une route statique au


routeur CR. Le routeur FAI1
n’annonce aucun réseau au
routeur CR et celui-ci n’exécute
aucun protocole de routage.

Étape 5 : vérification de la connectivité

a) À partir de l’hôte H1, envoi une requête ping sur le LAN du CR à destination de l’interface de bouclage de FAI2.
b) À partir du routeur FAI2, envoi d’une requête ping à l’hôte H1 sur le réseau Ethernet du CR.

Étape 6 : affichage des informations BGP sur les routeurs FAI

#show ip bgp
Conclusion
Dans ce TP nous avons configuré le protocole BGP afin que la société puisse se connecter à internet. Après avoir
configuré les informations de bases sur chaque routeur ainsi que les routes statique et par défaut, nous avons
configuré le protocole BGP sur les deux routeurs FAI pour l’échange d’informations de routage entre les deux FAI et
enfin nous avons vérifié la connectivité et affiché les informa BGP et les tables de routage sur les deux routeurs FAI à
l’aide des commandes ping et show ip route.
TP7 : ACL Liste de Contrôle d’Accès
Introduction

Il est parfois nécessaire de contrôler le trafic entre réseaux pour interdire ou filtrer les accès au réseau à protéger. Les
listes de contrôle d’accès ou ACL (Access Control List), « listes d’accès » ou Access List… permettent ainsi aux routeurs
CISCO de contrôler ce trafic.

L’usage le plus courant des listes de contrôle d’accès est le filtrage des paquets. Sans ce filtrage, tous les paquets
pourraient être transmis n’importe où sur le réseau. Leur filtrage permet de contrôler les mouvements de ceux-ci sur
le réseau. Les listes de contrôle d’accès ACL (Access Control List) offrent un outil puissant pour contrôler le réseau.
Elles permettent de filtrer le flux des paquets entrant et sortant sur les interfaces du routeur.

Objectifs généraux
• Réaliser des configurations de base de routeurs et de postes
• Configurer une liste de contrôle d’accès standard
• Configurer une liste de contrôle d’accès étendue

ACL Standard
Objectifs :
• Réaliser des configurations de base de routeurs et de postes
• Configurer et appliquer une liste de contrôle d’accès standard en vue d’autoriser ou de refuser un type de
trafic particulier.
• Tester la liste de contrôle d’accès pour déterminer si les résultats escomptés ont été atteints.

Architecture du réseau :

Étape 1 : Configuration des équipements conformément à la topologie


Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address
192.168.1.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)#interface Se2/0
R1(config-if)#ip address
200.100.100.1 255.255.255.0
R1(config-if)#clock rate 64
R1(config-if)#bandwidth 64000
R1(config-if)#no shutdown
Router>enable
Router#configure terminal
Router(config)#hostname R2
R2(config)#interface fa0/0
R2(config-if)#ip address
172.16.16.254 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)#interface Se2/0
R2(config-if)#ip address
200.100.100.2 255.255.255.0
R2(config-if)#clock rate 64
R2(config-if)#bandwidth 64000
R2(config-if)#no shutdown

Étape 2 : Affichage des interfaces à l’aide de show ip interface brief

Étape 3 : Affichage des tables de routage des deux routeurs à l’aide de show ip route
Les interfaces séries des deux routeurs sont directement connectés
Étape 4 : Ping de PC X vers PC A

Non car aucune route (statique ou


dynamique), aucun protocole de routage
n’a été configurée

Étape 5 : Activation du routage dynamique sur les routeurs.

Étape 6 : Visualisation de la présence d’anciennes ACL


Routeur_1# show access-list
Étape 7 : Vérification de la connectivité
Avant de passer au filtrage par ACL vérifions que tout le monde communique bien avec tout le monde. Faisons des
pings entre PC pour vérifier que tout passe bien
entre tous les postes.

Tous les postes arrivent à communiquer entre


elles.
Étape 8 : Création d’une ACL standard

Nous allons créer une première ACL de type standard n’opérant son filtrage qu’à partir de l’adresse IP source contenue
dans le datagramme.
• Nous allons tout d’abord interdire l’accès au réseau 192.168.1.0, pour le poste PCX d’adresse 172.16.16.1.
• La structure générique d’une ACL : Router(config)#access-list numéro_d’ACL {permit|deny} instructions

Étape 9 : Visualisation de la présence et du contenu de l’ACL

R1# show access-list 1

Étape 10 : Vérification de la communication


• Nous allons vérifier si l’ACL est mise en œuvre en faisant un ping depuis PCX (172.16.16.1) vers PCA (192.168.1.1).

Nous pouvons remarquer que le ping passe.


L’ACL ne s’applique car il n’a été affecté à
aucune interface du routeur.

Étape 11 : Affectation d’une ACL à une interface


L’ACL a bien été préparée mais elle n’est pas encore appliquée. Affectons-la à une interface du routeur.

R1(config)# interface fastethernet 0/0


R1(config-if)# ip access-group 1 out

Étape 12 : Vérification de la communication


• Nous allons vérifier si l’ACL est mise en œuvre en faisant un ping depuis PCX (172.16.16.1) vers PCA (192.168.1.1).

Ici le ping passe car ne passe pas car nous avons affecter l’ACL à
l’interface fa0/0
Étape 13 : Désactivation des ACL
Nous allons à présent désactiver les ACL en entrant les commandes suivantes :
Routeur_1# conf t
Routeur_1(config)# no access-list 1 permit any any any
Routeur_1(config)# end
ACL Etendue CISCO :
Objectifs :
Il est parfois nécessaire de contrôler « finement » le trafic entre réseaux pour interdire ou filtrer les accès au réseau à
protéger. Les listes de contrôle d’accès étendues ou EACL (Extend Access Control Lists) offrent un outil puissant pour
contrôler le réseau. Elles permettent de filtrer, sur les interfaces du routeur, le flux des paquets entrant et sortant, en
s’appuyant sur les IP source et/ou destination, les ports, les protocoles etc. l’objectif de TP est :

• Configurer et appliquer une liste de contrôle d’accès étendue en vue d’autoriser ou de refuser un type de trafic
particulier.
• Tester la liste de contrôle d’accès pour déterminer si les résultats escomptés ont été atteints.

Architecture du réseau :

Étape 1 : Configuration des équipements conformément à la topologie


Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address
192.168.1.254 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)#interface Se2/0
R1(config-if)#ip address
200.100.100.1 255.255.255.0
R1(config-if)#clock rate 64
R1(config-if)#bandwidth 64000
R1(config-if)#no shutdown

Router>enable
Router#configure terminal
Router(config)#hostname R2
R2(config)#interface fa0/0
R2(config-if)#ip address
172.16.16.254 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)#interface Se2/0
R2(config-if)#ip address
200.100.100.2 255.255.255.0
R2(config-if)#clock rate 64
R2(config-if)#bandwidth 64000
R2(config-if)#no shutdown

Étape 2 : Visualisation de la présence d’anciennes ACL

Pour vérifier si d’anciennes ACL subsistent, entrons la commande :


Routeur1# show access-list

Étape 3 : Suppression des ACL


Si d’anciennes ACL subsiste il faut les désactiver au moyen des commandes suivantes :

Routeur_1(config)# int fa 0/0 (interface à déconfigurer)


Routeur_1(config-if)# no ip access-group 1 out
Routeur_1(config-if)# exit
Routeur_1(config)# no access-list 1 permit any

Étape 4 : Vérification de la connectivité


Avant de passer au filtrage par ACL vérifions que tout le monde communique bien avec tout le monde. Faisons des
pings entre PC pour vérifier que tout passe bien entre tous les postes.

Étape 5 : Création d’une ACL étendue


Nous allons créer une ACL de type étendue c'est-à-dire qui considère les notions de protocoles, adresses sources et
destination et/ou port…
L’objectif de notre EACL va être de bloquer les pings effectués sur le Poste A (192.168.1.1) mais exclusivement s’ils
proviennent du Poste X (172.16.16.1). Dans les autres cas le ping doit passer…
Étape 6 : Visualisation de la présence et du contenu de l’ACL

Étape 7 : Vérification de la communication


Nous allons vérifier si l’ACL est mise en œuvre en faisant un ping depuis PCX (172.16.16.1) vers PCA (192.168.1.1).

Nous pouvons remarquer que le ping passe.


L’ACL ne s’applique car il n’a été affecté à
aucune interface du routeur.

Étape 8 : Affectation d’une ACL à une interface


L’ACL a bien été préparée mais elle n’est pas encore appliquée. Il faut donc l’affecter à une interface du routeur.

Étape 9 : Vérification de la communication


Nous allons vérifier si l’ACL est mise en œuvre.
Ping depuis le PC Y (172.16.16.2) vers le PC A (192.168.1.1).

Nous remarquons que le ping passe car la

règle de notre ACL ne s’applique que si le

ping provient du poste X

Ping depuis PCX (172.16.16.1) vers PCA (192.168.1.1).

Nous pouvons remarquer ici que le ping ne

passe pas car notre EAL a appliqué la règle de

bloquer tout ping vers le poste A provenant

du poste X.

Ping depuis le PC X (172.16.16.1) vers le PC B


(192.168.1.2).

Nous remarquons que le ping passe car la

règle de notre ACL ne s’applique que si le ping

provient du poste X
Ping depuis le PC A (192.168.1.1) vers le PC Y

(172.16.16.2).

Nous remarquons que le ping passe car la

règle de notre ACL ne s’applique que si le ping

provient du poste X

Faites un ping depuis le PC A (192.168.1.1)


vers le PC X (172.16.16.1).

Nous remarquons que le ping passe car la

règle de notre ACL ne s’applique que si le ping

provient du poste X

Étape 10 : Observation du nombre de fois où l’ACL a été sollicitée


Routeur_1# show access-lists (ou sh acl)

L’ACL a été sollicitée au total 16 fois dont 4 interdites (4 match(es)) et 8 permises (8 match(es))

Étape 11 : Désactivation des ACL

Conclusion

Dans ce TP nous avons filtrer certains accès sur une infrastructure réseau simple (2 réseaux avec 2 postes chacun).
Nous avons donc créé des listes de contrôle d’accès pour contrôler le trafic.
Dans la première partie de ce TP, après les configurations de bases (adresse IP des postes et routeurs ainsi que
l’activation du protocole de routage OSPF) et la vérification de la connectivité entre équipements, nous avons créé une
ACL standard afin d’interdire l’accès au réseau 192.168.1.0 pour le poste PCX qui se trouve dans le réseau 172.16.16.0
ensuite nous avons affecter notre ACL standard à l’interface routeur du PC concerné enfin nous avons vérifié que
notre ACL s’applique bel et bien à travers la commande ping qui n’a pas passé.

Dans la seconde partie nous avons fait les mêmes configuration que dans la première partie (même architecture et
même configuration de base, protocole de routage et vérification de la connectivité) mais nous avons créer une ACL
de type étendue (EACL) pour bloquer les pings effectués sur le poste A mais exclusivement s’ils proviennent du poste
X, nous l’avons ensuite affecter à l’interface concernée et vérifier notre configuration en faisant des pings avec succès
(tous les pings ont réussi sauf ceux provenant du poste X vers le poste A).
TP8 : Configuration des paramètres de base ASA et du pare-feu à l'aide de la CLI

Objectifs :

L’Appliance de sécurité adaptative Cisco (ASA) est un périphérique de sécurité réseau avancé qui intègre un pare-feu,
un VPN et d'autres fonctionnalités. Ce laboratoire utilise un ASA 5505 pour créer un pare-feu et protéger un réseau
d'entreprise interne contre les intrus externes tout en permettant aux hôtes internes d'accéder à Internet. L'ASA crée
trois interfaces de sécurité : extérieur, intérieur et DMZ. Il fournit aux utilisateurs extérieurs un accès limité à la DMZ
et aucun accès aux ressources internes. Les utilisateurs internes peuvent accéder à la DMZ et aux ressources externes.

L'objectif de ce TP est la configuration de l'ASA en tant que pare-feu de base. D'autres périphériques recevront une
configuration minimale pour prendre en charge la partie ASA. Notre objectif dans ce TP est donc :

- Configuration la topologie et les périphériques non ASA.


- Configuration des paramètres ASA de base et le pare-feu entre les réseaux intérieurs et extérieurs.
- Configuration d’une DMZ sur l'ASA et fournir l'accès à un serveur dans la DMZ.

Architecture du réseau

Étape 1 : Configuration des équipements conformément à la topologie


Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#interface Se2/0
R1(config-if)#ip address 10.1.1.1
255.255.255.252
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
R1(config-if)#interface fa0/0
R1(config-if)#ip address
209.165.200.225 255.255.255.248
R1(config-if)#no shutdown
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#interface Se2/0
R2(config-if)#ip address 10.1.1.2
255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#interface Se2/0
R2(config-if)#interface Se3/0
R2(config-if)#ip address 10.2.2.2
255.255.255.252
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown

Router>enable
Router#conf t
Router(config)#hostname R3
R3(config)#interface fa0/0
R3(config-if)#ip address 172.16.3.1
255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#interface Se2/0
R3(config-if)#ip address 10.2.2.1
255.255.255.252
R3(config-if)#no shutdown

Étape 2 : Configuration des paramètres ASA et la sécurité d’interface en utilisant le CLI


Configuration des interfaces internes et externes

A cette étape nous allons :

- Configurer une interface logique VLAN 1 pour le réseau intérieur (192.168.1.0/24) et définissez le niveau de sécurité
sur le paramètre le plus élevé de 100.

ciscoasa(config)#hostname CCNAS-ASA
CCNAS-ASA(config)#interface vlan 1
CCNAS-ASA(config-if)#nameif inside
CCNAS-ASA(config-if)#ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)#security-level 100

- Créer une interface logique VLAN 2 pour le réseau extérieur (209.165.200.224/29), définissez le niveau de sécurité
sur le paramètre le plus bas de 0 et activez l'interface VLAN 2.

CCNAS-ASA(config-if)#interface vlan
2
CCNAS-ASA(config-if)#nameif outside
CCNAS-ASA(config-if)#ip address
209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)#security-level
0

- Attribuer le port E0 / 1 de la couche


2 ASA au VLAN 1 et le port E0 / 0 au
VLAN2

CCNAS-ASA(config-if)#interface e0/2
CCNAS-ASA(config-if)#switchport
access vlan 1
CCNAS-ASA(config-if)#no shutdown
CCNAS-ASA(config-if)#interface e0/0
CCNAS-ASA(config-if)#switchport
access vlan 2
CCNAS-ASA(config-if)#no shutdown

Étape 3 : Utilisation la commande show interface ip brief pour afficher l'état de toutes les interfaces ASA.
CCNAS-ASA#show interface ip brief

Étape 4 : Utilisation de la commande show ip address pour afficher les informations des interfaces VLAN de
couche 3.

CCNAS-ASA#show ip address

Étape 5 : Utilisation de la commande show switch vlan pour afficher les VLAN intérieurs et extérieurs
configurés sur l'ASA et pour afficher les ports attribués.
CCNAS-ASA#show switch vlan

Étape 6 : Test de la connectivité à l'ASA

Nous devons pouvoir pinger depuis le


PC-B l'adresse d'interface interne ASA
(192.168.1.1) par contre la requête ping
à l'interface VLAN 2 (externe) à l'adresse
IP 209.165.200.226 ne passe pas.

Étape 7 : Configuration du routage :


Configurons une route statique par défaut sur l'interface extérieure ASA pour permettre à l'ASA d'atteindre les réseaux
externes.

- Configuration d’une route statique par défaut de R1 à R2 et de R3 à R2.

R1(config)#ip route 0.0.0.0 0.0.0.0 Se2/0

R3(config)#ip route 0.0.0.0 0.0.0.0 Se3/0

- Configuration d’une route statique de R2 vers le sous-réseau R1 G0 / 0 (connecté à l'interface ASA E0 / 0) et


une route statique de R2 vers le LAN R3.
R2(config)#ip route 209.165.200.224
255.255.255.248 Se2/0
R2(config)#ip route 172.16.3.0
255.255.255.0 Se3/0

- Créons une route par défaut « quad zéro » à l'aide de la commande route, associons-la à l'interface externe ASA et
pointons vers l'adresse IP R1 G0 / 0 (209.165.200.225) comme passerelle de dernier recours.

CCNAS-ASA (config) # route outside


0.0.0.0 0.0.0.0 209.165.200.225
- Entrons la commande show route pour vérifier que la route statique par défaut est dans la table de routage ASA.

Nous pouvons vérifier que l'ASA peut pinguer l'adresse IP de R1 Se2/0 (10.1.1.1)

Étape 8 : Configuration de la traduction d'adresses à l'aide des objets PAT et réseau.


a. Créons le network Object INSIDE-NET et attribuons-lui des attributs à l'aide des commandes subnet et nat.

CCNAS-ASA(config)#object network inside-net


CCNAS-ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)#nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)#end

b. L'ASA divise la configuration en la partie Object qui définit le réseau à traduire et les paramètres de commande nat
réels. Ceux-ci apparaissent à deux endroits différents dans la configuration en cours.

Affichons la configuration de l'objet NAT à l'aide de la commande show run.


c. À partir de PC-B, envoyons une requête ping à l'interface R1 G0 / 0 à l'adresse IP 209.165.200.225.

Les pings ne passent pas.

Étape 9 : Configuration d’une DMZ :

Configurons l'interface DMZ VLAN 3 sur l’ASA. Attribuons-lui l'adresse IP 192.168.2.1/24, nommons-le dmz et
attribuons-lui un niveau de sécurité de 70. Étant donné que le serveur n'a pas besoin d'initier la communication avec
les utilisateurs internes, désactivons le transfert vers l'interface VLAN 1.
CCNAS-ASA(config)#interface vlan 3
CCNAS-ASA(config-if)#ip address 192.168.2.1
255.255.255.0
CCNAS-ASA(config-if)#no forward interface
vlan 1
CCNAS-ASA(config-if)#nameif dmz
INFO: Security level for "dmz" set to 0 by
default.
CCNAS-ASA(config-if)#security-level 70

Étape 10 : Assignation de l'interface physique ASA E0 / 2 au DMZ VLAN 3 et activons l'interface.


CCNAS-ASA(config-if)#interface Ethernet0/2
CCNAS-ASA(config-if)#switchport access vlan 3

Étape 11 : Utilisation les commandes de vérification suivantes pour vérifier vos configurations :

- Utilisons la commande show interface ip brief pour afficher l'état de toutes les interfaces ASA.

- Utilisons la commande show ip address pour afficher les informations des interfaces VLAN de couche 3.
- Utilisez la commande show switch vlan pour afficher les VLAN intérieurs et extérieurs configurés sur l'ASA et
pour afficher les
ports attribués.

Étape 12 : Configuration du NAT sur le serveur DMZ à l'aide d'un objet réseau.

Configurons un objet réseau nommé dmz-server et attribuons-lui l'adresse IP statique du serveur DMZ (192.168.2.3).
En mode de définition d'objet, utilisons la commande nat pour spécifier que cet objet est utilisé pour traduire une
adresse DMZ en une adresse externe à l'aide d'un NAT statique, et spécifions une adresse publique traduite de
209.165.200.227.

CCNAS-ASA#conf t
CCNAS-ASA(config)#object network dmz-server
CCNAS-ASA(config-network-object)#host 192.168.2.3
CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227
CCNAS-ASA(config-network-object)#exit
Étape 13 : Configuration d’une ACL pour autoriser l'accès au serveur DMZ à partir d'Internet.

Configurons une liste d'accès nommée OUTSIDE-DMZ qui autorise le protocole TCP de n'importe quel hôte externe à
l'adresse IP interne du serveur DMZ. Appliquons la liste d'accès à l'interface extérieure ASA dans la direction «IN».
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)#access-group OUTSIDE-DMZ in interface outside

Remarque : Contrairement aux listes de contrôle d'accès IOS, la déclaration d'autorisation ASA ACL doit autoriser
l'accès à l'adresse DMZ privée interne. Les hôtes externes accèdent au serveur en utilisant son adresse NAT statique
publique, l'ASA le traduit en adresse IP d'hôte interne, puis applique l'ACL.

Conclusion

Dans ce TP nous avons configurer l'ASA en tant que pare-feu de base. Après avoir configuré l’adressage des
équipements, nous avons dans un premier temps configurer une interface logique VLAN 1 pour le réseau intérieur
(192.168.1.0/24), créer une interface logique VLAN 2 pour le réseau extérieur (209.165.200.224/29), en définissant
pour chacun de ces réseaux le niveau de sécurité et en attribuant les ports de la couche 2 ASA aux VLANs
correspondants. Nous avons ensuite configuré une route statique par défaut sur l'interface extérieure ASA pour
permettre à l'ASA d'atteindre les réseaux externes. Par la suite, nous avons configurer l'interface DMZ VLAN 3 sur
l’ASA et l’avons assigné à une interface. Enfin nous avons configurer le protocole NAT sur le serveur DMZ et
configurer une liste d’accès pour autoriser l’accès au serveur à partir d’internet
TP9 Configuration et vérification d’un VPN IPsec site à site

Introduction :
Un VPN (Virtual Private Network) est un réseau virtuel s’appuyant sur un autre réseau comme Internet. Il permet de
faire transiter des informations, entre les différents membres de ce VPN, le tout de manière sécurisée.
On peut considérer qu’une connexion VPN revient à se connecter en réseau local mais en utilisant Internet. On peut
ainsi communiquer avec les machines de ce réseau en prenant comme adresse de destination, l’adresse IP local de la
machine que l’on veut atteindre. Le but d’un VPN est d’authentifier et de chiffrer les données transmises où seul le
routeur final pourra lire les données.

Il existe plusieurs types de VPN fonctionnant sur différentes couches réseau, voici les VPN que nous pouvons mettre
en place sur un serveur dédié ou à la maison :

- PPTP : Facile à mettre en place, mais beaucoup d’inconvénients liés à la lourdeur du protocole de transport GRE,
le matériel réseau (routeur ADSL, wifi, doit être compatible avec le PPTP)
- Ipsec : Plus efficace que le PPTP en termes de performance, mais aussi très contraignant au niveau de la mise en
place
- OpenVPN : La Rolls des VPN, il suffit de se prendre un peu la tête sur la mise en place, mais son utilisation est très
souple.

IPSec VPN est une fonctionnalité de sécurité qui permet de créer un lien de communication sécurisé (également
appelé tunnel VPN) entre deux réseaux différents situés sur des sites différents. Les routeurs Cisco IOS peuvent être
utilisés pour configurer un tunnel VPN entre deux sites. Le trafic tel que données, voix, vidéo, etc. peut être transmis
de manière sécurisée via le tunnel VPN.

Objectifs :
Le TP vise à montrer la configuration de base pour l’établissement du VPN IPsec site à site (de routeur à routeur),
reposant sur le protocole ISAKMP avec secret partagé.

Contexte / scénario
La topologie du réseau montre trois routeurs. Notre tâche consiste à configurer R1 et R3 pour prendre en charge un
VPN IPsec site à site lorsque le trafic circule entre leurs LAN respectifs. Le tunnel VPN IPsec va de R1 à R3 via R2. R2
agit comme un intermédiaire et n'a aucune connaissance du VPN. IPsec assure la transmission sécurisée
d'informations sensibles sur des réseaux non protégés, tels qu'Internet. IPsec fonctionne au niveau de la couche
réseau et protège et authentifie les paquets IP entre les périphériques IPsec participants (pairs), tels que les routeurs
Cisco.

Architecture du réseau

Partie 0 : Configurer des paramètres de base et activation du protocole OSPF


Partie 1 : Configuration des paramètres IPsec sur R1

Étape 1 : tester la connectivité

Le ping passe donc notre


configuration de base marche.

Étape 2 : Activation du package Security Technology


Étape 3 : Identification du trafic intéressant sur R1.

Configurons ACL 110 pour identifier le trafic du LAN sur R1 vers le LAN sur R3 comme intéressant. Ce trafic intéressant
déclenchera la mise en œuvre du VPN IPsec lorsqu'il y a du trafic entre les LAN R1 à R3. Tout autre trafic provenant des
LAN ne sera pas chiffré. En raison de l’implicite deny all, il n'est pas nécessaire de configurer une instruction deny ip
any any.

R1 (config) # liste d'accès 110 permis ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Étape 4 : Configuration de la stratégie ISAKMP IKE Phase 1 sur R1.


Activons une politique IKE avec la commande ‘’crypto iskamp policy 10’’ sur R1 avec la clé de cryptage partagée
vpnpa55. Configurons la méthode de chiffrement, la méthode d'échange de clé et la méthode DH (Diffie-Hellman)

Remarque : Le groupe DH le plus élevé actuellement pris en charge par Packet Tracer est le groupe 5. Dans un réseau
de production, nous devons configurer au moins DH 14.

R1(config)#crypto isakmp policy 10


R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 5
R1(config-isakmp)#exit
R1(config)#crypto isakmp key vpnpa55 address
10.2.2.2
Étape 5 : Configuration de la stratégie IPsec IKE Phase 2 sur R1.
a. Créons le VPN-SET transform-set pour utiliser esp-aes et esp-sha-hmac
R1(config)#crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. Créons la carte de chiffrement VPN-MAP qui lie tous les paramètres de la phase 2 ensemble. Utilisons le numéro de
séquence 10 et identifions-le comme une carte ipsec-isakmp.

R1(config)#crypto map VPN-MAP 10 ipsec-isakmp


R1(config-crypto-map)#description VPN
connection to R3
R1(config-crypto-map)#set peer 10.2.2.2
R1(config-crypto-map)#set transform-set
VPN-SET
R1(config-crypto-map)#match address 110
R1(config-crypto-map)#exit

Étape 6 : Configuration de la carte cryptographique sur l'interface sortante.


Lions la carte cryptographique VPN-MAP à l'interface série 0/0/0 sortante
R1(config)#interface s0/0/0
R1(config-if)#crypto map VPN-MAP

Partie 2 : Configuration des paramètres IPsec sur R3

Étape 1 : Activation du package Security Technology.

a. Sur R3, exécutons la commande show version pour vérifier que les informations de licence du package
Security Technology ont été activées.
Étape 2 : Configuration du routeur R3 pour prendre en charge un VPN de site à site avec R1.
Configurons les paramètres réciproques sur R3. Configurons l'ACL 110 identifiant le trafic du LAN sur R3 au LAN sur R1
comme intéressant.

R3(config)#access-list 110 permit ip


192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Étape 3 : Configuration des propriétés ISAKMP IKE Phase 1 sur R3.


Configurons les propriétés de la stratégie 10 de crypto ISAKMP sur R3 avec la clé de cryptage partagée vpnpa55.

R3(config)#crypto isakmp policy 10


R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 5
R3(config-isakmp)#exit
R3(config)#crypto isakmp key vpnpa55 address
10.1.1.2

Étape 4 : Configuration de la stratégie IPsec IKE Phase 2 sur R3.


a. Créons le VPN-SET transform-set pour utiliser esp-aes et esp-sha-hmac.
R3(config)#crypto ipsec transform-
set VPN-SET esp-aes esp-sha-hmac

b. Créons la carte de chiffrement VPN-MAP qui lie tous les paramètres de la phase 2 ensemble. Utilisons le numéro de
séquence 10 et identifiez-le comme une carte ipsec-isakmp.

R3(config)#crypto map VPN-MAP 10


ipsec-isakmp
R3(config-crypto-map)#description VPN
connection to R1
R3(config-crypto-map)#set peer 10.1.1.2
R3(config-crypto-map)#set transform-set
VPN-SET
R3(config-crypto-map)#match address 110
R3(config-crypto-map)#exit

Étape 5 : Configurez la carte cryptographique sur l'interface sortante.


Lieons le mappage de chiffrement VPN-MAP à l'interface série 0/0/1 sortante.

R3(config)#interface S0/0/0
R3(config-if)#crypto map VPN-MAP

Partie 3 : Vérification du VPN IPsec


Étape 1 : Vérifiez le tunnel avant le trafic intéressant.
Exécutons la commande show crypto ipsec sa sur R1.
Notez que le nombre de
paquets encapsulés, chiffrés,
décapsulés et déchiffrés est
tous mis à 0.
Étape 2 : Création d’un trafic intéressant.
Envoi d’une requête ping à PC-C depuis PC-A.

Étape 3 : Vérification du tunnel après un trafic intéressant.


Sur R1, relançons la commande show crypto ipsec sa. Notez que le nombre de paquets est supérieur à 0, ce qui
indique que le tunnel VPN IPsec fonctionne.
Étape 4 : Création d’un trafic sans intérêt.
Envoi d’une requête ping à PC-B depuis PC-A.

Remarque : l'émission d'un ping du routeur R1 vers PC-C ou R3 vers PC-A n'est pas un trafic intéressant.
Étape 5 : Vérification du tunnel.
Sur R1, relancez la commande show
crypto ipsec sa. Notez que le
nombre de paquets n'a pas changé,
ce qui vérifie que le trafic sans
intérêt n'est pas chiffré.
Conclusion
Dans ce TP nous avons fait la configuration de base pour l’établissement du VPN IPsec site à site (après avoir
configurer les paramètres de base (adressage et protocole de routage)), reposant sur le protocole ISAKMP avec secret
partagé. Il y a deux phases dans la configuration Ipsec sur les deux routeurs appelées Phase 1 et Phase 2. Dans la
phase 1 nous avons activé le protocole IKE avec la clé partagée et configurer la méthode de chiffrement, la méthode
d'échange de clé et la méthode DH (Diffie-Hellman). Dans la phase 2, nous avons créé la méthode de cryptage
(transform-set) que nous avons nommé VPN-SET avec ''esp aes'' comme méthode de cryptage et ''esp-sha-hmac''
comme méthode d’authentification ensuite, nous avons déclarer une carte de cryptage que nous avons appelé VPN-
MAP servant à spécifier le pair distant, le 'transform set' et l'access list. Enfin nous avons lié cette carte
cryptographique à l’interface sortante.

Dans la dernière partie, nous avons vérifier le fonctionnement du tunnel VPN en envoyant du trafic au travers du
tunnel en utilisant les commandes ping, show crypto isakmp policy, show crypto isakmp sa et show crypto ipsec sa.