Vous êtes sur la page 1sur 265

Page 1

Revenez au chapitre 2, « Mise en réseau Ethernet et encapsulation de données », pour

passez en revue comment configurer un PC et lui permettre de se connecter à un port de console de routeur.

Vous pouvez également vous connecter à un routeur Cisco via un port auxiliaire , ce qui est vraiment la même chose
en tant que port de console, il s'ensuit que vous pouvez l'utiliser comme un seul. La principale différence avec un auxiliaire
est qu'il vous permet également de configurer les commandes du modem afin qu'un modem puisse être connecté
au routeur. C'est une fonctionnalité intéressante car elle vous permet de connecter un routeur distant et de vous connecter au
port auxiliaire si le routeur est en panne et que vous devez le configurer à distance, hors bande . Un des
les différences entre les routeurs et les commutateurs Cisco sont que les commutateurs n'ont pas de port auxiliaire.

La troisième façon de se connecter à un appareil Cisco est intrabande , via le programme Telnet ou Secure
Shell (SSH) . In-band signifie configurer l'appareil via le réseau, à l'opposé de l' out-of-band .
Nous avons couvert Telnet et SSH au chapitre 3, « Introduction à TCP/IP », et dans ce chapitre, je vais
vous montrer comment configurer l'accès à ces deux protocoles sur un périphérique Cisco.

La figure 6.1 montre une illustration d'un commutateur Cisco 2960. Concentrez-vous vraiment sur tous les types
d'interfaces et de connexions ! Sur le côté droit se trouve la liaison montante 10/100/1000. Vous pouvez utiliser soit
le port UTP ou le port fibre, mais pas les deux à la fois.

FIGURE 6.1 Un commutateur Cisco 2960

Le commutateur 3560 que j'utiliserai dans ce livre ressemble beaucoup au 2960, mais il peut effectuer la couche 3
commutation, contrairement au 2960, qui est limité aux seules fonctions de la couche 2.

Je veux aussi prendre un moment et vous parler du routeur de la série 2800 parce que c'est le routeur
série que je vais utiliser dans ce livre. Ce routeur est connu sous le nom de routeur à services intégrés (ISR) et
Cisco l'a mis à jour vers la série 2900, mais j'ai encore beaucoup de routeurs de la série 2800 dans mon
réseaux de production. La figure 6.2 montre un nouveau routeur de la série 1900. La nouvelle série de routeurs ISR
Sont gentils; ils sont ainsi nommés car de nombreux services, comme la sécurité, y sont intégrés. L'ISR
Le routeur de la série est un appareil modulaire, beaucoup plus rapide et beaucoup plus élégant que l'ancienne série 2600
routeurs, et il est élégamment conçu pour prendre en charge une large gamme d'options d'interface. Le nouveau
Le routeur de la série ISR peut offrir plusieurs interfaces série, qui peuvent être utilisées pour connecter un T1 à l'aide
une connexion WAN série V.35. Et plusieurs ports Fast Ethernet ou Gigabit Ethernet peuvent être utilisés
sur le routeur, selon le modèle. Ce routeur dispose également d'une console via un connecteur RJ45
et un autre via le port USB. Il y a aussi une connexion auxiliaire pour permettre une console
connexion via un modem distant.

FIGURE 6.2 Un nouveau routeur Cisco 1900

Vous devez garder à l'esprit que la plupart du temps, vous en avez pour votre argent avec
le 2800/2900, à moins que vous ne commenciez à y ajouter un tas d'interfaces. Vous avez à poney pour
chacune de ces petites beautés, donc cela peut vraiment commencer à s'additionner et rapidement !

Quelques autres séries de routeurs qui vous coûteront beaucoup moins que la série 2800 sont les
1800/1900, alors regardez ces routeurs si vous voulez une alternative moins chère au

Page 2

2800/2900 mais souhaitez toujours exécuter le même IOS.


Donc, même si je vais utiliser principalement des routeurs de la série 2800 et des commutateurs 2960/3560
tout au long de ce livre pour montrer des exemples de configurations IOS, je tiens à souligner que le
Le modèle de routeur particulier que vous utilisez pour vous entraîner à l'examen Cisco n'est pas vraiment important. L' interrupteur
types sont, cependant, vous avez certainement besoin de quelques commutateurs 2960 ainsi que d'un commutateur 3560 si vous
voulez être à la hauteur des objectifs de l'examen !
Vous pouvez trouver plus d'informations sur tous les routeurs Cisco sur

www.cisco.com/en/US/products/hw/routers/index.html .

Faire apparaître un interrupteur


Lorsque vous ouvrez un périphérique Cisco IOS pour la première fois, il exécute un auto-test à la mise sous tension, un POST. Sur
en passant cela, la machine recherchera puis chargera le Cisco IOS à partir de la mémoire flash si un IOS
fichier est présent, puis développez-le dans la RAM. Comme vous le savez probablement, la mémoire flash est électroniquement
mémoire morte programmable effaçable—une EEPROM. L'étape suivante consiste pour l'IOS à localiser
et chargez une configuration valide connue sous le nom de startup-config qui sera stockée dans la RAM non volatile
(NVRAM) .

Une fois l'IOS chargé et opérationnel, la configuration de démarrage sera copiée de la NVRAM dans
RAM et à partir de ce moment-là appelé le running-config.

Mais si une configuration de démarrage valide n'est pas trouvée dans la NVRAM, votre commutateur entrera en mode de configuration, vous donnant
une boîte de dialogue étape par étape pour aider à configurer certains paramètres de base dessus.

Vous pouvez également entrer en mode configuration à tout moment à partir de la ligne de commande en tapant la commande setup
du mode privilégié, auquel je reviendrai dans une minute. Le mode de configuration ne couvre que certains éléments de base
commandes et n'est généralement pas vraiment utile. Voici un exemple :

Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui / non]: y

À tout moment, vous pouvez entrer un point d'interrogation '?' pour aider.
Utilisez ctrl-c pour abandonner la boîte de dialogue de configuration à n'importe quelle invite.
Les paramètres par défaut sont entre crochets '[]'.

La configuration de gestion de base ne configure que suffisamment de connectivité


pour la gestion du système, la configuration étendue vous demandera
pour configurer chaque interface sur le système

Souhaitez-vous accéder à la configuration de gestion de base ? [oui / non]: y


Configuration des paramètres globaux :

Saisissez le nom d'hôte [Switch] : Ctrl+C


Configuration abandonnée, aucune modification apportée.

Vous pouvez quitter le mode de configuration à tout moment en appuyant sur Ctrl+C.

Je recommande fortement de passer par le mode de configuration une fois, puis plus jamais parce que vous devriez
utilisez toujours la CLI à la place !

Interface de ligne de commande (CLI)


J'appelle parfois la CLI « interface de ligne de trésorerie » parce que la possibilité de créer des
les configurations sur les routeurs et les commutateurs Cisco utilisant la CLI vous rapporteront de l'argent décent !

Entrer dans la CLI

Page 3

Une fois que les messages d'état de l'interface apparaissent et que vous appuyez sur Entrée, l' invite Switch> apparaîtra.
C'est ce qu'on appelle le mode d'exécution utilisateur , ou mode utilisateur en abrégé, et bien qu'il soit principalement utilisé pour afficher
statistiques, c'est aussi un tremplin vers la connexion au mode d'exécution privilégié , appelé
mode privilégié pour faire court.

Vous pouvez afficher et modifier la configuration d'un routeur Cisco uniquement en mode privilégié, et
vous l'entrez via la commande enable comme ceci :

Commutateur> activer
Changer#

L' invite Switch# signale que vous êtes en mode privilégié où vous pouvez à la fois afficher et modifier le
configuration du commutateur. Vous pouvez revenir du mode privilégié au mode utilisateur en utilisant la désactivation
commander:

Commutateur # désactiver
Commutateur>

Vous pouvez saisir logout depuis l'un ou l'autre mode pour quitter la console :

Basculer> se déconnecter
Le commutateur con0 est maintenant disponible
Appuyez sur RETOUR pour commencer.

Ensuite, je vais montrer comment effectuer certaines configurations administratives de base.

Présentation des modes du routeur


Pour configurer à partir d'une CLI, vous pouvez apporter des modifications globales au routeur en tapant configure terminal
ou simplement config t . Cela vous amènera en mode de configuration globale où vous pourrez apporter des modifications à
la configuration en cours d'exécution. Les commandes exécutées à partir du mode de configuration globale sont référencées de manière prévisible
en tant que commandes globales, et elles ne sont généralement définies qu'une seule fois et affectent l'ensemble du routeur.
Tapez config à partir de l'invite du mode privilégié, puis appuyez sur Entrée pour opter pour la valeur par défaut de
terminal comme ceci :

# configuration du commutateur
Configuration à partir du terminal, de la mémoire ou du réseau [terminal] ? [ appuyez sur entrée ]
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Commutateur(config)#

À ce stade, vous apportez des modifications qui affectent le routeur dans son ensemble (globalement), d'où le terme global
mode de configuration . Par exemple, pour modifier la configuration courante, la configuration actuelle
fonctionnant dans la RAM dynamique (DRAM) - utilisez la commande configure terminal , comme je viens de le démontrer.

Invites CLI
Explorons les différentes invites que vous rencontrerez lors de la configuration d'un commutateur ou d'un routeur maintenant,
car bien les connaître vous aidera vraiment à vous orienter et à reconnaître exactement où vous
sont à tout moment en mode de configuration. Je vais démontrer certaines des invites
utilisé sur un commutateur Cisco et couvrent les différents termes utilisés en cours de route. Assurez-vous que vous êtes très
familiarisez-vous avec eux, et vérifiez toujours vos invites avant d'apporter des modifications à un routeur
configuration!

Nous n'allons pas nous aventurer dans chaque dernière invite de commande obscure que vous pourriez potentiellement venir
dans le monde du mode de configuration parce que cela nous plongerait profondément dans un territoire qui est
au-delà de la portée de ce livre. Au lieu de cela, je vais me concentrer sur les invites que vous devez absolument
savoir pour réussir l'examen ainsi que ceux très pratiques et vraiment vitaux dont vous aurez besoin et que vous utiliserez le plus
dans le réseautage réel, la crème de la crème.

Ne paniquez pas ! Il n'est pas important que vous compreniez exactement ce que chacun de ces

les invites de commande accomplissent pour l'instant parce que je vais vous renseigner complètement sur tout
eux très bientôt. Pour l'instant, détendez-vous et concentrez-vous sur le fait de vous familiariser avec les différents

Page 4

invites disponibles et tout ira bien!

Interfaces

Pour apporter des modifications à une interface, vous utilisez la commande interface de la configuration globale
mode:

Switch(config)# interface ?
Asynchrone Interface asynchrone
BVI Interface virtuelle de groupe de pont
CTunnel Interface CTunnel
Numéroteur Interface de numérotation
FastEthernet FastEthernet IEEE 802.3
Filtre Filtrer l'interface
Groupe de filtres Interface de groupe de filtres
GigabitEthernet GigabitEthernet IEEE 802.3z
Groupe-Async Interface de groupe asynchrone
Lex Interface lexique
Bouclage Interface de bouclage
Nul Interface nulle
Port-channel Ethernet Canal d'interfaces
Groupe de ports Interface de groupe de ports
Pos-canal POS Canal d'interfaces
Tunnel Interface de tunnel
Vif Interface hôte de multidiffusion PGM
Interface de modèle virtuel de modèle virtuel
Virtual-TokenRing Virtual TokenRing
Vlan Vlans catalyseurs
FCPA Fibre Channel
gamme commande de plage d'interface
Switch(config)# interface fastEthernet 0/1
Commutateur(config-if)#)

Avez-vous remarqué que l'invite est devenue Switch(config-if)# ? Cela vous indique que vous êtes dans
mode de configuration des interfaces . Et ne serait-il pas bien que l'invite vous donne également une indication
de quelle interface tu étais en train de configurer ? Eh bien, au moins pour l'instant, nous devrons vivre sans le
des informations rapides, car ce n'est pas le cas. Mais il devrait déjà être clair pour vous que vous avez vraiment besoin
faire attention lors de la configuration d'un périphérique IOS !

Commandes de ligne

Pour configurer les mots de passe en mode utilisateur, utilisez la commande line . L'invite devient alors
Switch(config-line)# :

Switch(config)# ligne ?
<0-16> Numéro de première ligne
console Ligne terminale primaire
vty Terminal virtuel
Switch(config)# ligne console 0
Commutateur (ligne de configuration)#

La commande line console 0 est une commande globale, et parfois vous entendrez également des personnes se référer à
commandes globales comme commandes principales. Dans cet exemple, toute commande tapée à partir de (config-
line) est connue comme une sous-commande.

Configurations de liste d'accès

Pour configurer une liste d'accès nommée standard, vous devez accéder à l'invite Switch(config-std-
ncl)# :
Switch# config t
Switch(config)# ip access-list standard Todd
Commutateur (config-std-nacl)#

Ce que vous voyez ici est une invite ACL standard de base typique. Il existe différentes manières de configurer
listes d'accès, et les invites ne sont que légèrement différentes de cet exemple particulier.

Configurations de protocole de routage

Je dois souligner que nous n'utilisons pas de protocoles de routage ou de routeur sur les commutateurs 2960, mais nous pouvons

Page 5

et je les utiliserai sur mes commutateurs 3560. Voici un exemple de configuration de routage sur une couche 3
changer:

Switch(config)# routeur rip


Routage IP non activé
Switch(config)# routage ip
Switch(config)# routeur rip
Commutateur (config-routeur)#

Avez-vous remarqué que l'invite est devenue Switch(config-router)# ? Pour vous assurer d'atteindre le
objectifs spécifiques à l'examen Cisco et à ce livre, je vais configurer le routage statique, RIPv2 et
RIPng. Et ne vous inquiétez pas, j'expliquerai tout cela en détail bientôt, au chapitre 9, « Routage IP » et
Chapitre 14, « Protocole Internet version 6 (IPv6) » !

Définition des termes du routeur

Le tableau 6.1 définit certains des termes que j'ai utilisés jusqu'à présent.

TABLEAU 6.1 Termes du routeur

Mode Définition

Mode d'exécution utilisateur Limité aux commandes de surveillance de base

Mode d'exécution privilégié Donne accès à toutes les autres commandes du routeur

Mode de configuration globale Commandes qui affectent l'ensemble du système

Modes de configuration spécifiques Commandes affectant uniquement les interfaces/processus

Mode de configuration Boîte de dialogue de configuration interactive

Fonctionnalités d'édition et d'aide


Les fonctionnalités d'édition avancées de Cisco peuvent également vous aider à configurer votre routeur. Si vous saisissez un
point d'interrogation ( ? ) à n'importe quelle invite, vous recevrez une liste de toutes les commandes disponibles à partir de cette
rapide:

Commutateur # ?
Exécuter les commandes :
access-enable Créer une entrée de liste d'accès temporaire
access-template Créer une entrée de liste d'accès temporaire
archiver gérer les fichiers d'archives
CD Changer le répertoire courant
dégager Fonctions de réinitialisation
l'horloge Gérer l'horloge système
cns Agents du SNC
configurer Entrer en mode configuration
relier Ouvrir une connexion terminale
copie Copier d'un fichier à un autre
déboguer Fonctions de débogage (voir aussi 'undebug')
effacer Supprimer un fichier
diagnostic Commandes de diagnostic
réal Lister les fichiers sur un système de fichiers
désactiver Désactiver les commandes privilégiées
déconnecter Déconnecter une connexion réseau existante
point1x Commandes d'exécution IEEE 802.1X
permettre Activer les commandes privilégiées
euh EAPoUDP
effacer Effacer un système de fichiers
sortir Sortie de l'EXEC
––Plus–– ?
Appuyez sur RETOUR pour une autre ligne, ESPACE pour une autre page, autre chose pour quitter

Et si ce n'est pas assez d'informations pour vous, vous pouvez appuyer sur la barre d'espace pour obtenir un autre entier
page d'informations, ou vous pouvez appuyer sur Entrée pour passer une commande à la fois. Vous pouvez également appuyer sur Q,
ou toute autre touche d'ailleurs, pour quitter et revenir à l'invite. Remarquez que j'ai tapé une question
marque (?) à l' invite plus et il m'a dit quelles étaient mes options à partir de cette invite.

Voici un raccourci : pour rechercher des commandes commençant par une certaine lettre, utilisez la lettre et le
point d'interrogation sans espace entre eux, comme ceci :

Page 6

Commutateur # c?
cd effacer l'horloge cns configurer
connecter la copie
Commutateur # c

D'accord, tu vois ça ? En tapant c? , j'ai reçu une réponse listant toutes les commandes commençant par c . Aussi
notez que l' invite Switch# c réapparaît après l'affichage de la liste des commandes. Cela peut être
vraiment utile lorsque vous travaillez avec de longues commandes mais que vous manquez de patience
et encore besoin du prochain possible. Il vieillirait vite si vous deviez réellement retaper l'intégralité
commande à chaque fois que vous utilisez un point d'interrogation !

Alors avec ça, trouvons la commande suivante dans une chaîne en tapant la première commande puis un
point d'interrogation:

Commutateur# horloge ?
régler Régler l'heure et la date

Switch# horloge réglée ?


hh:mm:ss Heure actuelle

Switch# horloge réglée 2:34 ?


% Commande non reconnue
Commutateur# horloge réglé 2:34:01 ?
<1-31> Jour du mois
MOIS Mois de l'année

Switch# clock set 2:34:01 21 juillet ?


<1993-2035> Année

Switch# horloge réglée 2:34:01 21 août 2013


Changer#
00:19:45 : %SYS-6-CLOCKUPDATE : l'horloge système a été mise à jour à partir de 00:19:45
UTC lun. 1 mars 1993 à 02:34:01 UTC mer. 21 août 2013, configuré à partir de la console
par console.

J'ai entré l' horloge ? commande et a obtenu une liste des prochains paramètres possibles ainsi que ce qu'ils font.
Notez que vous pouvez simplement continuer à taper une commande, un espace, puis une question
marquez jusqu'à ce que <cr> (retour chariot) soit votre seule option restante.

Et si vous tapez des commandes et recevez

Commutateur# horloge réglé 11:15:11


% Commande incomplète.

pas de soucis, cela vous dit seulement que la chaîne de commande n'est tout simplement pas encore complète. Tous
vous devez faire est d'appuyer sur la touche fléchée vers le haut pour réafficher la dernière commande entrée, puis
continuez avec la commande en utilisant votre point d'interrogation.

Mais si vous obtenez l'erreur

Switch(config)# access-list 100 permit host 1.1.1.1 host 2.2.2.2


^
% Entrée non valide détectée au marqueur '^'.

tout ne va pas bien car cela signifie que vous avez entré une commande de manière incorrecte. Voir ce petit
caret—le ^ ? C'est un outil très utile qui marque le point exact où vous l'avez fait sauter et fait un
désordre.

Voici un autre exemple de cas où vous verrez ce caret :

Switch# sh fastethernet 0/0


^
% Entrée non valide détectée au marqueur '^'.

Cette commande semble correcte, mais soyez prudent ! Le problème est que la commande complète est show interface
Fastethernet 0/0 .

Maintenant, si vous recevez l'erreur

Commutateur# sh cl
% Commande ambiguë : "sh cl"

on vous dit qu'il y a plusieurs commandes qui commencent par la chaîne que vous avez entrée et c'est

Page 7

Pas unique. Utilisez le point d'interrogation pour trouver la commande exacte dont vous avez besoin :

Commutateur # sh cl?
cluster d'horloge de mappage de classe

Exemple : il y a trois commandes qui commencent par show cl .

Le Tableau 6.2 répertorie les commandes d'édition améliorées disponibles sur un routeur Cisco.

TABLEAU 6.2 Commandes d'édition améliorées

Commande Signification

Ctrl+A Déplace votre curseur au début de la ligne

Ctrl+E Déplace votre curseur à la fin de la ligne

Échap+B Recule d'un mot

Ctrl+B Recule d'un caractère

Ctrl+F Avance d'un caractère

Echap+F Avance d'un mot

Ctrl+D Supprime un seul caractère

Retour arrière Supprime un seul caractère

Ctrl+R Réaffiche une ligne

Ctrl+U Efface une ligne


Ctrl+W Efface un mot
Ctrl+Z Termine le mode de configuration et retourne à EXEC

Languette Termine de taper une commande pour vous

Une autre fonctionnalité d'édition vraiment intéressante que vous devez connaître est le défilement automatique de longs
lignes. Dans l'exemple suivant, la commande que j'ai tapée a atteint la marge de droite et automatiquement
déplacé de 11 cases vers la gauche. Comment puis-je savoir cela? Parce que le signe dollar [ $ ] me dit que le
la ligne a été défilée vers la gauche :

Switch# config t
Commutateur (config) # 100 $ autorisent l'hôte IP 192.168.10.1 192.168.10.0 0.0.0.255

Vous pouvez consulter l'historique des commandes du routeur avec les commandes indiquées dans le Tableau 6.3 .

TABLEAU 6.3 Historique des commandes IOS

Commander Sens

Ctrl+P ou flèche vers le haut Affiche la dernière commande entrée

Ctrl+N ou flèche vers le bas Affiche les commandes saisies précédemment

afficher l'historique Affiche les 20 dernières commandes entrées par défaut

afficher le terminal Affiche les configurations de terminal et la taille de la mémoire tampon d'historique

taille de l'historique du terminal Modifie la taille du tampon (max 256)

L'exemple suivant illustre la commande show history ainsi que la façon de modifier le
taille de l'histoire. Il montre également comment vérifier l'historique avec la commande show terminal . Première utilisation
la commande show history , qui vous permettra de voir les 20 dernières commandes entrées sur
le routeur (même si mon routeur particulier ne révèle que 10 commandes car c'est tout ce que j'ai
entré depuis son redémarrage). Vérifiez-le:

Switch# sh historique
sh fastethernet 0/0
sh ru
sh cl

Page 8

configuration t
sh histoire
sh flash
sh running-config
sh startup-config
sh ver
sh histoire

Bon, maintenant, nous allons utiliser la commande show terminal pour vérifier la taille de l'historique du terminal :

Commutateur # sh terminal
Ligne 0, Emplacement : "", Tapez : ""
Longueur : 24 lignes, Largeur : 80 colonnes
Le débit en bauds (TX/RX) est de 9600/9600, pas de parité, 2 bits d'arrêt, 8 bits de données
État : PSI activé, prêt, actif, Ctrl-c activé, Automore activé
0x40000
Capacités : aucune
État du modem : Prêt
[coupure de sortie]
Le type de modem est inconnu.
La limite de session n'est pas définie.
Temps depuis l'activation : 00:17:22
L'édition est activée.
L'historique est activé, la taille de l'historique est de 10.
La résolution DNS dans les commandes show est activée
L'aide complète à l'utilisateur est désactivée
Aucun transport d'entrée autorisé n'est autorisé.
Les transports de sortie autorisés sont telnet.
Le transport préféré est telnet.
Aucun caractère de sortie n'est rempli
Aucun caractère spécial de répartition des données

Quand dois-je utiliser les fonctionnalités d'édition Cisco ?

Vous vous retrouverez à utiliser quelques fonctionnalités d'édition assez souvent et d'autres moins, si à
tous. Comprenez que Cisco ne les a pas inventées ; ce ne sont que de vieilles commandes Unix ! Toutefois,
Ctrl+A est toujours un moyen très utile d'annuler une commande.

Par exemple, si vous deviez entrer une commande longue et décider ensuite que vous ne voulez pas utiliser
cette commande dans votre configuration après tout, ou si cela ne fonctionnait pas, vous pouvez simplement appuyer sur
votre flèche vers le haut pour afficher la dernière commande entrée, appuyez sur Ctrl+A, tapez non puis un
espace, appuyez sur Entrée et pouf ! La commande est annulée. Cela ne fonctionne pas sur tous
commande, mais cela fonctionne sur beaucoup d'entre eux et fait gagner un temps considérable !

Configurations administratives
Même si les sections suivantes ne sont pas critiques pour faire un routeur ou un commutateur travail sur un
réseau, ils sont toujours très importants. Je vais vous guider à travers la configuration spécifique
commandes particulièrement utiles lors de l'administration de votre réseau.

Vous pouvez configurer les fonctions administratives suivantes sur un routeur et un commutateur :
Noms d'hôtes

Bannières

Mots de passe

Description des interfaces

N'oubliez pas qu'aucun de ces éléments ne permettra à vos routeurs ou commutateurs de fonctionner mieux ou plus rapidement, mais croyez-moi,
votre vie sera bien meilleure si vous prenez juste le temps de régler ces configurations sur chacun des
vos périphériques réseau. En effet, cela facilite le dépannage et la maintenance de votre
réseauter beaucoup plus facilement—sérieusement ! Dans cette prochaine section, je vais démontrer des commandes sur un
Commutateur Cisco, mais comprenez que ces commandes sont utilisées exactement de la même manière sur un Cisco

Page 9

routeur.

Noms d'hôtes
Nous utilisons la commande hostname pour définir l'identité du routeur et du commutateur. C'est seulement localement
significatif, ce qui signifie qu'il n'affecte pas la façon dont le routeur ou le commutateur effectue les recherches de nom ou la façon dont le
l'appareil fonctionne réellement sur l'interréseau. Mais le nom d'hôte est toujours important dans les routes car
il est souvent utilisé pour l'authentification dans de nombreux réseaux étendus (WAN). Voici un exemple :

Switch# config t
Switch(config)# nom d'hôte Todd
Todd(config)# nom d'hôte Chicago
Chicago(config)# nom d'hôte Todd
Todd(config)#

Je sais qu'il est assez tentant de configurer le nom d'hôte après votre propre nom, mais c'est généralement un
bien meilleure idée de nommer l'appareil quelque chose qui se rapporte à son emplacement physique. Un nom qui
les cartes de l'endroit où se trouve l'appareil faciliteront grandement sa recherche, ce qui, entre autres,
confirme que vous configurez réellement le bon périphérique. Même s'il semble que je suis
abandonnant complètement mes propres conseils en nommant le mien Todd , je ne le suis pas, car cet appareil particulier
vit vraiment dans le bureau de « Todd ». Son nom correspond parfaitement à l'endroit où il se trouve, il ne sera donc pas confondu
avec ceux des autres réseaux avec lesquels je travaille !

Bannières
Une très bonne raison d'avoir une bannière est de donner à tous ceux qui osent essayer de telnet ou de se faufiler
dans votre interréseau un petit avis de sécurité. Et ils sont très cool parce que vous pouvez créer et
personnalisez-les afin qu'ils accueillent toute personne qui se présente sur le routeur avec exactement le
informations que vous voulez qu'ils aient !

Voici les trois types de bannières que vous devez connaître :

Bannière de création de processus d'exécution

Bannière de connexion

Message du jour bannière

Et vous pouvez les voir tous illustrés dans le code suivant :

Todd(config)# bannière ?
LIGNE c banner-text c, où 'c' est un caractère de délimitation
l'exécutif Définir la bannière de création de processus EXEC
entrant Définir la bannière de la ligne de terminal entrante
connexion Définir la bannière de connexion
mot Définir la bannière du message du jour
prompt-timeout Définir le message pour le délai d'expiration de l'authentification de connexion
slip-ppp Définir le message pour SLIP/PPP

Les bannières Message du jour (MOTD) sont les bannières les plus utilisées car elles donnent une
message à toute personne se connectant au routeur via Telnet ou un port auxiliaire ou même via un
port de console comme vu ici :

Todd(config)# banner motd ?


LIGNE c banner-text c, où 'c' est un caractère de délimitation
Todd(config)# banner motd #
Entrez le message TEXTE. Terminez par le caractère '#'.
$ Acme.com réseau, alors vous devez vous déconnecter immédiatement.
#

Todd(config)# ^Z (Appuyez sur la touche Ctrl + les touches z pour revenir en mode privilégié)
Todd# sortie
con0 est maintenant disponible
Appuyez sur RETOUR pour commencer.
Si vous n'êtes pas autorisé à faire partie du réseau Acme.com, vous
doit se déconnecter immédiatement.
Todd#

Cette bannière MOTD indique essentiellement à toute personne se connectant à l'appareil de se perdre si elle n'est pas allumée

Page 10

la liste des invités. La partie sur laquelle se concentrer ici est le caractère délimitant, qui est ce qui informe le
routeur, le message est terminé. De toute évidence, vous pouvez utiliser n'importe quel caractère pour cela, à l'exception du
caractère délimitant dans le message lui-même. Une fois le message terminé, appuyez sur Entrée, puis sur le
caractère de délimitation, puis appuyez à nouveau sur Entrée. Tout fonctionnera toujours si vous ne suivez pas cela
routine sauf si vous avez plus d'une bannière. Si tel est le cas, assurez-vous de le suivre ou
vos bannières seront toutes regroupées en un seul message et mises sur une seule ligne !

Vous pouvez définir une bannière sur une ligne comme ceci :

Todd(config)# banner motd x Accès non autorisé interdit ! X

Prenons une minute pour détailler les deux autres types de bannières que j'ai mentionnés :

Bannière d' exécution Vous pouvez configurer une bannière d'activation de ligne (exec) à afficher lors de l'exécution
des processus tels qu'une activation de ligne ou une connexion entrante à une ligne VTY ont été créés.
Le simple fait de lancer une session d'exécution utilisateur via un port de console activera la bannière d'exécution.

Bannière de connexion Vous pouvez configurer une bannière de connexion à afficher sur tous les terminaux connectés. Ce sera
apparaissent après la bannière MOTD mais avant les invites de connexion. Cette bannière de connexion ne peut pas être désactivée
sur une base par ligne, donc pour le désactiver globalement, vous devez le supprimer avec la connexion sans bannière
commander.

Voici à quoi ressemble une sortie de bannière de connexion :

!
connexion à la bannière ^C
—————————————————————————————————————————————————— —————————————————————————
Cisco Router and Security Device Manager (SDM) est installé sur cet appareil.
Cette fonctionnalité nécessite l'utilisation unique du nom d'utilisateur « cisco »
avec le mot de passe "cisco". Le nom d'utilisateur et le mot de passe par défaut
avoir un niveau de privilège de 15.
Veuillez modifier ces identifiants initiaux publiquement connus en utilisant
SDM ou l'interface de ligne de commande IOS.
Voici les commandes Cisco IOS.
nom d'utilisateur <monutilisateur> privilège 15 secret 0 <monmotdepasse>
pas de nom d'utilisateur cisco
Remplacez <myuser> et <mypassword> par le nom d'utilisateur et
mot de passe que vous souhaitez utiliser.
Pour plus d'informations sur SDM, veuillez suivre les instructions
dans le GUIDE DE DÉMARRAGE RAPIDE de votre routeur ou rendez-vous sur www.cisco.com/go/sdm
—————————————————————————————————————————————————— ——————————————————————————–
^C
!

La bannière de connexion précédente devrait sembler assez familière à quiconque s'est déjà connecté à un ISR
routeur car c'est la bannière que Cisco a dans la configuration par défaut de ses routeurs ISR.

N'oubliez pas que la bannière de connexion s'affiche avant les invites de connexion et après

la bannière MOTD.

Définition des mots de passe


Vous aurez besoin de cinq mots de passe pour sécuriser vos routeurs Cisco : console, auxiliaire, telnet/SSH
(VTY), activez le mot de passe et activez le secret. Le secret d'activation et le mot de passe d'activation sont ceux
utilisé pour définir le mot de passe pour sécuriser le mode privilégié. Une fois les commandes d' activation définies, les utilisateurs
sera invité à saisir un mot de passe. Les trois autres sont utilisés pour configurer un mot de passe lorsque l'utilisateur
Le mode est accessible via le port console, via le port auxiliaire ou via Telnet.

Jetons un coup d'œil à chacun d'eux maintenant.

Activer les mots de passe

Vous définissez les mots de passe d'activation à partir du mode de configuration global comme ceci :

Todd(config)# activer ?

Page 11

dernier recours Définir l'action d'activation si aucun serveur TACACS


répondre
mot de passe Attribuer le mot de passe de niveau privilégié
secret Attribuer le secret de niveau privilégié
use-tacacs Utilisez TACACS pour vérifier les mots de passe d'activation

La liste suivante décrit les paramètres d'activation du mot de passe :

dernier recours Cela


vous permet toujours d'entrer dans l'appareil si vous configurez l'authentification via un
serveur TACACS et il n'est pas disponible. Il ne sera pas utilisé si le serveur TACACS fonctionne.

mot de passe Cecidéfinit le mot de passe d'activation sur les systèmes antérieurs à 10.3 et n'est jamais utilisé si un
le secret est établi.

secret Le mot de passe crypté le plus récent qui remplace le mot de passe d'activation s'il a été défini.

use-tacacs Ceci
indique au routeur ou au commutateur de s'authentifier via un serveur TACACS. Il entre
vraiment pratique quand on a beaucoup de routeurs car changer le mot de passe sur une multitude de
ils peuvent être incroyablement fastidieux. Il est beaucoup plus facile de simplement passer par le serveur TACACS et
ne changez le mot de passe qu'une seule fois !

Voici un exemple qui montre comment définir les mots de passe d'activation :

Todd(config)# activer le secret todd


Todd(config)# activer le mot de passe todd
Le mot de passe d'activation que vous avez choisi est le même que votre
activer le secret. Ce n'est pas recommandé. Entrez à nouveau dans le
activer le mot de passe.
Si vous essayez de définir le secret d'activation et d'activer les mots de passe de la même manière, l'appareil vous donnera un poli
avertissement pour changer le deuxième mot de passe. Notez bien que s'il n'y a pas de vieux
routeurs hérités impliqués, vous ne prenez même pas la peine d'utiliser le mot de passe d'activation !

Les mots de passe en mode utilisateur sont attribués via la commande de ligne comme ceci :

Todd(config)# ligne ?
<0-16> Numéro de première ligne
console Ligne terminale primaire
vty Terminal virtuel

Et ces deux lignes sont particulièrement importantes pour les objectifs de l'examen :

console Définit un mot de passe pour le mode utilisateur de la console.

vty Définit un mot de passe Telnet sur le périphérique. Si ce mot de passe n'est pas défini, par défaut, Telnet ne peut pas
être utilisé.

Pour configurer les mots de passe en mode utilisateur, choisissez la ligne souhaitée et configurez-la à l'aide du login
commande pour que le commutateur invite à l'authentification. Concentrons-nous sur la configuration de
lignes individuelles maintenant.

Mot de passe de la console

Nous définissons le mot de passe de la console avec la commande line console 0 , mais regardez ce qui s'est passé lorsque j'ai
essayé de taper la ligne console ? à partir de l' invite (config-line)# : j'ai reçu une erreur ! Ici se trouve le
Exemple:

Todd(config-line)# ligne console ?


% Commande non reconnue
Todd(ligne de configuration)# sortie
Todd(config)# ligne console ?
<0-0> Numéro de la première ligne
Todd(config)# ligne console 0
Todd(config-line)# console de mot de passe
Todd(ligne de configuration)# connexion

Vous pouvez toujours taper la ligne console 0 et cela sera accepté, mais les écrans d'aide ne fonctionnent tout simplement pas
à partir de cette invite. Tapez exit pour revenir d'un niveau et vous constaterez que vos écrans d'aide s'affichent maintenant
travail. Il s'agit d'une « fonctionnalité ». Vraiment.

Parce qu'il n'y a qu'un seul port de console, je ne peux choisir que la ligne console 0. Vous pouvez définir toute votre ligne

Page 12

mots de passe au même mot de passe, mais ce n'est pas exactement une mesure de sécurité brillante !

Et il est également important de se rappeler d'appliquer la commande de connexion ou le port de console ne


demande d'authentification. La façon dont Cisco a configuré ce processus signifie que vous ne pouvez pas définir la connexion
commande avant qu'un mot de passe ne soit défini sur une ligne car si vous le définissez mais ne définissez pas de mot de passe,
cette ligne ne sera pas utilisable. Vous serez en fait invité à entrer un mot de passe qui n'existe pas, donc Cisco
la méthode n'est pas seulement une corvée ; c'est logique et c'est une caractéristique après tout !

N'oubliez pas que bien que Cisco dispose de cette « fonctionnalité de mot de passe » sur son

routeurs commençant par IOS 12.2 et versions ultérieures, il n'est pas inclus dans les anciens IOS.

D'accord, vous devez connaître quelques autres commandes importantes concernant le port de console.

D'une part, la commande exec-timeout 0 0 définit le délai d'expiration de la session EXEC de la console à zéro,
s'assurer qu'il n'expire jamais. Le délai d'attente par défaut est de 10 minutes.

Si vous vous sentez malicieux, essayez ceci sur les personnes au travail : définissez le délai d'expiration de l' exécution

commande à 0 1. Cela fera expirer la console en 1 seconde, et pour le réparer, vous devez
appuyez continuellement sur la touche fléchée vers le bas tout en modifiant le temps d'attente avec votre main libre !

La journalisation synchrone est


une commande tellement intéressante qu'elle devrait être une valeur par défaut, mais ce n'est pas le cas. C'est bien
parce que c'est l'antidote pour ces messages de console ennuyeux qui perturbent l'entrée que vous essayez
à taper. Les messages apparaîtront toujours, mais au moins vous reviendrez à l'invite de votre appareil
sans que votre saisie soit interrompue ! Cela rend vos messages d'entrée beaucoup plus faciles à
lire!

Voici un exemple de configuration des deux commandes :

Todd(config-line)# ligne con 0


Todd(config-line)# exec-timeout ?
<0-35791> Délai d'attente en minutes
Todd(config-line)# exec-timeout 0 ?
<0-2147483> Délai d'attente en secondes
<cr>
Todd(ligne de configuration)# exec-timeout 0 0
Todd(config-line)# journalisation synchrone

Vous pouvez configurer la console pour qu'elle passe de ne jamais expirer (0 0) à expirer en 35 791

minutes et 2 147 483 secondes. N'oubliez pas que la valeur par défaut est de 10 minutes.
Mot de passe Telnet

Pour définir le mot de passe en mode utilisateur pour l'accès Telnet au routeur ou au commutateur, utilisez la ligne vty
commander. Les commutateurs IOS ont généralement 16 lignes, mais les routeurs exécutant l'édition Enterprise ont
considérablement plus. La meilleure façon de savoir combien de lignes vous avez est d'utiliser cette
point d'interrogation comme ceci :

Todd(config-line)# ligne vty 0 ?


% Commande non reconnue
Todd(ligne de configuration)# sortie
Todd(config)# ligne vty 0 ?
<1-15> Numéro de la dernière ligne
<cr>
Todd(config)# ligne vty 0 15
Todd(ligne de configuration)# mot de passe telnet
Todd(ligne de configuration)# connexion

Page 13

Cette sortie montre clairement que vous ne pouvez pas obtenir d'aide de votre invite (config-line)# . Vous devez aller
retour en mode de configuration globale afin d'utiliser le point d'interrogation ( ? ).

Alors, que se passera-t-il si vous essayez de vous connecter par telnet à un appareil qui n'a pas de mot de passe VTY défini ? Vous allez
recevoir une erreur indiquant que la connexion a été refusée car le mot de passe n'est pas défini. Alors, si vous
telnet dans un commutateur et recevez un message comme celui-ci que j'ai reçu du commutateur B

Todd# telnet SwitchB


Essayer SwitchB (10.0.0.1)…Ouvrir

Mot de passe requis, mais aucun défini


[Connexion à SwitchB fermée par un hôte étranger]
Todd#

cela signifie que le commutateur n'a pas défini de mot de passe VTY. Mais tu peux toujours contourner ça et dire
le commutateur pour autoriser les connexions Telnet sans mot de passe en utilisant la commande no login :

SwitchB(config-line)# ligne vty 0 15


SwitchB(config-line)# pas de connexion

Je ne recommande absolument pas d'utiliser la commande no login pour autoriser Telnet

connexions sans mot de passe, sauf si vous êtes dans un environnement de test ou de classe. Dans un
réseau de production, définissez toujours votre mot de passe VTY !

Une fois vos appareils IOS configurés avec une adresse IP, vous pouvez utiliser le programme Telnet pour
configurez et vérifiez vos routeurs au lieu d'avoir à utiliser un câble de console. Vous pouvez utiliser Telnet
programme en tapant telnet à partir de n'importe quelle invite de commande (DOS ou Cisco). Je couvrirai tout ce qui concerne Telnet
plus en détail au chapitre 7, « Gestion d'un interréseau Cisco ».

Mot de passe auxiliaire

Pour configurer le mot de passe auxiliaire sur un routeur, passez en mode de configuration globale et tapez line
aux ? .
Et au fait, vous ne trouverez pas ces ports sur un commutateur. Cette sortie montre que vous obtenez seulement
un choix de 0 à 0, car il n'y a qu'un seul port :

Todd# config t
Todd(config)# ligne aux ?
<0-0> Numéro de la première ligne
Todd(config)# ligne aux 0
Todd(ligne de configuration)# connexion
% Connexion désactivée sur la ligne 1, jusqu'à ce que le « mot de passe » soit défini
Todd(config-line)# mot de passe aux
Todd(ligne de configuration)# connexion

Configuration de Secure Shell (SSH)

Je recommande fortement d'utiliser Secure Shell (SSH) au lieu de Telnet car cela crée un plus
session sécurisée. L'application Telnet utilise un flux de données non crypté, mais SSH utilise
clés de cryptage pour envoyer des données afin que votre nom d'utilisateur et votre mot de passe ne soient pas envoyés en clair, vulnérable
à tous ceux qui rôdent !

Voici les étapes de configuration de SSH :

1. Définissez votre nom d'hôte :

Routeur(config)# nom d'hôte Todd

2. Définissez le nom de domaine—le nom d'hôte et le nom de domaine sont requis pour le cryptage
clés à générer :

Todd(config)# ip nom de domaine Lammle.com

3. Définissez le nom d'utilisateur pour autoriser l'accès client SSH :

Todd(config)# nom d'utilisateur Todd mot de passe Lammle

Page 14
4. Générez les clés de chiffrement pour sécuriser la session :

Todd(config)# clé de chiffrement génère rsa


Le nom des clés sera : Todd.Lammle.com
Choisissez la taille du module de clé dans la plage de 360 à
4096 pour vos clés à usage général. Choisir un module de clé
Plus de 512 peut prendre quelques minutes.

Combien de bits dans le module [512] : 1024


% Génération de clés RSA 1024 bits, les clés seront non exportables...
[OK] (le temps écoulé était de 6 secondes)

Todd(config)#
1d14h : %SSH-5-ENABLED : SSH 1.99 a été activé*24 juin
19:25:30.035 : %SSH-5-ENABLED : SSH 1.99 a été activé

5. Activez SSH version 2 sur l'appareil, non obligatoire, mais fortement suggéré :

Todd (config) # ip ssh version 2

6. Connectez-vous aux lignes VTY du commutateur ou du routeur :

Todd(config)# ligne vty 0 15

7. Dites aux lignes d'utiliser la base de données locale pour le mot de passe :

Todd(config-line)# connexion locale

8. Configurez vos protocoles d'accès :

Todd(config-line)# entrée de transport ?


tous Tous les protocoles
aucun Aucun protocole
ssh TCP/IP protocole SSH
telnet TCP/IP Protocole Telnet

Méfiez-vous de cette ligne suivante, et assurez-vous de ne jamais l'utiliser en production car c'est un
terrible risque de sécurité :

Todd(config-line)# transport input all

Je recommande d'utiliser la ligne suivante pour sécuriser vos lignes VTY avec SSH :

Todd(config-line)# transport input ssh ?


telnet TCP/IP Protocole Telnet
<cr>

En fait, j'utilise Telnet de temps en temps lorsqu'une situation l'exige spécifiquement. C'est juste
n'arrive pas très souvent. Mais si vous voulez utiliser Telnet, voici comment procéder :

Todd(config-line)# transport input ssh telnet

Sachez que si vous n'utilisez pas le mot-clé telnet à la fin de la chaîne de commande, alors seulement SSH
fonctionnera sur l'appareil. Vous pouvez choisir l'un ou l'autre, tant que vous comprenez que SSH est bien
plus sûr que Telnet.

Cryptage de vos mots de passe


Étant donné que seul le mot de passe secret d'activation est chiffré par défaut, vous devrez manuellement
configurer le mode utilisateur et activer les mots de passe pour le cryptage.

Notez que vous pouvez voir tous les mots de passe sauf le secret d'activation lors de l'exécution d'un spectacle
running-config sur un commutateur :
Todd# sh running-config
Configuration du bâtiment...

Configuration actuelle : 1020 octets


!
! Dernier changement de configuration à 00:03:11 UTC lun. 1 mars 1993
!
version 15.0
pas de tampon de service
les horodatages de service déboguent datetime msec

Page 15

horodatage du service journal datetime msec


pas de service de cryptage de mot de passe
!
nom d'hôte Todd
!
activer le secret 4 ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg
activer le mot de passe todd
!
[coupure de sortie]
!
ligne con 0
console de mot de passe
connexion
ligne vty 0 4
mot de passe telnet
connexion
ligne vty 5 15
mot de passe telnet
connexion
!
finir

Pour chiffrer manuellement vos mots de passe, utilisez la commande service password-encryption . Voici comment:

Todd# config t
Chiffrement du mot de passe du service Todd(config)#
Todd(config)# sortie
Todd# show run
Configuration du bâtiment...
!
!
activer le secret 4 ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg
activer le mot de passe 7 1506040800
!
[coupure de sortie]
!
!
ligne con 0
mot de passe 7 050809013243420C
connexion
ligne vty 0 4
mot de passe 7 06120A2D424B1D
connexion
ligne vty 5 15
mot de passe 7 06120A2D424B1D
connexion
!
finir
Todd# config t
Todd(config)# pas de service de cryptage de mot de passe
Todd(config)# ^Z
Todd#

Bien joué, les mots de passe seront désormais cryptés. Tout ce que vous avez à faire est de crypter les mots de passe,
effectuez un show run , puis désactivez la commande si vous le souhaitez. Cette sortie nous montre clairement que le
activer le mot de passe et les mots de passe de ligne sont tous cryptés.

Avant de découvrir comment définir des descriptions sur vos interfaces, je tiens à souligner certains
points sur le cryptage des mots de passe. Comme je l'ai dit, si vous définissez vos mots de passe, puis activez le
commande service password-encryption ,
vous devez effectuer un show running-config avant de tourner
désactiver le service de cryptage ou vos mots de passe ne seront pas cryptés. Vous n'avez pas besoin d'éteindre le
service de cryptage du tout - vous ne le feriez que si votre commutateur manque de processus. Et si
vous activez le service avant de définir vos mots de passe, vous n'avez même pas besoin de les afficher pour
les faire crypter.

Descriptifs
Définir des descriptions sur une interface est une autre chose utile sur le plan administratif, et comme le
hostname, il n'est également significatif que localement. Un cas où la commande de description entre en jeu
vraiment pratique, c'est quand vous voulez garder une trace des numéros de circuit sur un commutateur ou le numéro de série d'un routeur
port WAN.

Page 16

Voici un exemple sur mon switch :

Todd# config t
Todd(config)# int fa0/1
Todd(config-if)# description Sales VLAN Trunk Link
Todd(config-if)# ^Z
Todd#

Et sur un routeur série WAN :

Routeur# config t
Routeur(config)# int s0/0/0
Routeur(config-if)# description WAN vers Miami
Routeur(config-if)# ^Z

Vous pouvez afficher la description d'une interface avec la commande show running-config ou la commande show
interface — même avec la commande show interface description :
Todd#sh court
Configuration du bâtiment...

Configuration actuelle : 855 octets


!
interface FastEthernet0/1
description Ventes VLAN Trunk Link
!
[coupure de sortie]
Todd# sh int f0/1
FastEthernet0/1 est actif, le protocole de ligne est actif (connecté)
Le matériel est Fast Ethernet, l'adresse est ecc8.8202.8282 (bia ecc8.8202.8282)
Description : lien de jonction VLAN de vente
MTU 1500 octets, BW 100000 Kbit/sec, DLY 100 usec,
[coupure de sortie]

Todd# sh int description


Interface Statut Description du protocole
Vl1 en haut en haut
Fa0/1 en haut up Sales VLAN Trunk Link
Fa0/2 en haut en haut

description: Une commande utile

Bob, un administrateur réseau senior chez Acme Corporation à San Francisco, possède plus de 50 liens WAN
à des succursales partout aux États-Unis et au Canada. Chaque fois qu'une interface tombe en panne,
Bob perd beaucoup de temps à essayer de comprendre le numéro de circuit et le numéro de téléphone du
fournisseur de sa liaison WAN défaillante.

Ce genre de scénario montre à quel point la commande de description d' interface peut être utile. Ce
permettrait à Bob d'économiser beaucoup de travail car il pourrait l'utiliser sur ses liaisons LAN de commutation les plus importantes
pour savoir exactement où chaque interface est connectée. La vie de Bob serait aussi beaucoup faite
plus facile en ajoutant des numéros de circuit à chaque interface WAN sur ses routeurs, ainsi que
avec le numéro de téléphone du fournisseur responsable.

Alors si Bob avait juste pris le temps d'ajouter préventivement cette information à son
interfaces, il se serait épargné un océan de stress et une tonne de temps précieux quand
ses liens WAN tombent inévitablement en panne !

Faire la commande do

Dans tous les exemples précédents jusqu'à présent, nous avons dû exécuter toutes les commandes show à partir du mode privilégié. Mais
J'ai de bonnes nouvelles : à partir de la version 12.3 d'IOS, Cisco a finalement ajouté une commande au
IOS qui permet de visualiser la configuration et les statistiques depuis le mode configuration !

En fait, avec n'importe quel IOS, vous obtiendrez l'erreur suivante si vous essayez d'afficher la configuration à partir de
configuration globale :

Page 17

Todd(config)# sh exécuter
^
% Entrée non valide détectée au marqueur '^'.

Comparez cela à la sortie que j'obtiens en entrant cette même commande sur mon routeur en cours d'exécution
l'IOS 15.0 en utilisant la syntaxe "do":

Todd(config)# affiche l'exécution


Configuration du bâtiment...

Configuration actuelle : 759 octets


!
version 15.0
pas de tampon de service
les horodatages de service déboguent datetime msec
horodatage du service journal datetime msec
pas de service de cryptage de mot de passe
!
nom d'hôte Todd
!
marqueur de démarrage
marqueur de fin de démarrage
!
[coupure de sortie]

Alors maintenant, vous pouvez à peu près exécuter n'importe quelle commande à partir de n'importe quelle invite de configuration.
En repensant à tous ces exemples de cryptage de nos mots de passe, vous pouvez voir que le do
commande aurait certainement commencé la fête plus tôt, faisant de cette innovation un
célébrer à coup sûr!

Interfaces de routeur et de commutateur


La configuration de l'interface est sans doute la configuration de routeur la plus importante car sans
interfaces, un routeur est un objet assez inutile. De plus, les configurations d'interface doivent être
totalement précis pour permettre la communication avec d'autres appareils. Adresses de couche réseau, médias
type, bande passante et autres commandes d'administrateur sont toutes utilisées pour configurer une interface.

Sur un commutateur de couche 2, les configurations d'interface impliquent généralement beaucoup moins de travail que le routeur
configuration des interfaces. Vérifiez la sortie de la puissante commande de vérification show ip
bref d'interface , qui révèle toutes les interfaces sur mon commutateur 3560 :
Présentation de l'interface de livraison Todd#
Interface Adresse IP OK ? État de la méthode Protocole
Vlan1 192.168.255.8 OUI DHCP activé en haut
FastEthernet0/1 non affecté OUI non configuré en haut
FastEthernet0/2 non affecté OUI non configuré en haut
FastEthernet0/3 non affecté OUI non configuré vers le bas
FastEthernet0/4 non affecté OUI non configuré vers le bas
FastEthernet0/5 non affecté OUI non configuré en haut
FastEthernet0/6 non affecté OUI non configuré en haut
FastEthernet0/7 non affecté OUI non configuré vers le bas
FastEthernet0/8 non affecté OUI non configuré vers le bas
GigabitEthernet0/1 non affecté OUI non configuré vers le bas

La sortie précédente affiche le port routé par défaut trouvé sur tous les commutateurs Cisco (VLAN 1), plus
neuf ports d'interface FastEthernet de commutateur, un port étant un port Ethernet Gigabit utilisé pour
liaisons montantes vers d'autres commutateurs.

Différents routeurs utilisent différentes méthodes pour choisir les interfaces utilisées sur eux. Par exemple, le
la commande suivante montre l'un de mes routeurs Cisco 2800 ISR avec deux interfaces FastEthernet
avec deux interfaces WAN série :

Routeur> bref d'expédition


Interface Adresse IP OK ? État de la méthode Protocole
FastEthernet0/0 192.168.255.11 OUI DHCP activé en haut
FastEthernet0/1 unassigned OUI unset administrativement down down
Serial0/0/0 unassigned OUI unset administrativement down down
Serial0/1/0 unassigned OUI unset administrativement down down
Routeur>

Auparavant, nous utilisions toujours la séquence de numéros de type d'interface pour configurer une interface, mais le
Page 18

les routeurs plus récents sont livrés avec un emplacement physique réel et incluent un numéro de port sur le module
branché dessus. Ainsi, sur un routeur modulaire, la configuration serait le type d' interface slot/port , comme
démontré ici :

Todd# config t
Todd(config)# interface GigabitEthernet 0/1
Todd(config-if)#

Vous pouvez voir que nous sommes maintenant à l'invite Gigabit Ethernet slot 0, port 1, et à partir de là, nous pouvons
apporter des modifications de configuration à l'interface. Prenez note du fait que vous ne pouvez pas simplement taper int
gigabithernet 0 .
Pas de raccourcis sur le slot/port—vous devez taper les variables slot/port dans le
commande : tapez slot/port ou, par exemple, intgigabitethernet 0/1 (ou simplement int g0/1 ).

Une fois en mode de configuration de l'interface, nous pouvons configurer diverses options. Gardez à l'esprit que la vitesse
et duplex sont les deux facteurs à prendre en compte pour le LAN :

Todd# config t
Todd(config)# interface GigabitEthernet 0/1
Todd(config-if)# vitesse 1000
Todd(config-if)# duplex complet

Alors que s'est-il passé ici ? Eh bien, en gros, cela a désactivé le mécanisme de détection automatique sur le port,
l'obligeant à n'exécuter que des vitesses gigabit en duplex intégral. Pour le routeur de la série ISR, il s'agit essentiellement du
même chose, mais vous obtenez encore plus d'options ! Les interfaces LAN sont les mêmes, mais le reste du
les modules sont différents : ils utilisent trois nombres au lieu de deux. Les trois nombres utilisés ici peuvent
représentent slot/subslot/port , mais cela dépend de la carte utilisée dans le routeur ISR. Pour le
objectifs, vous devez juste vous rappeler ceci : le premier 0 est le routeur lui-même. Vous choisissez ensuite le
slot puis le port. Voici un exemple d'interface série sur mon 2811 :

Todd(config)# interface série ?


<0-2> Numéro d'interface série
Todd(config)# interface série 0/0/?
<0-1> Numéro d'interface série
Todd(config)# interface série 0/0/0
Todd(config-if)#

Cela peut vous sembler un peu risqué, mais je vous promets que ce n'est vraiment pas si difficile ! ça aide à se souvenir
que vous devriez toujours afficher la sortie de la commande show ip interface brief ou un show running-
config sortie
en premier afin que vous sachiez les interfaces exactes avec lesquelles vous devez traiter. Voici l'un de mes
La sortie du 2811 qui a encore plus d'interfaces série installées :

Todd(config-if)# affiche l'exécution


Configuration du bâtiment...
[coupure de sortie]
!
interface FastEthernet0/0
pas d'adresse ip
fermer
recto-verso automatique
vitesse automatique
!
interface FastEthernet0/1
pas d'adresse ip
fermer
recto-verso automatique
vitesse automatique
!
interface Série0/0/0
pas d'adresse ip
fermer
pas de file d'attente
!
interface Série0/0/1
pas d'adresse ip
fermer
!
interface Série0/1/0
pas d'adresse ip
fermer
!
interface Série0/2/0

Page 19

pas d'adresse ip
fermer
fréquence d'horloge 2000000
!
[coupure de sortie]

Par souci de concision, je n'ai pas inclus ma configuration de fonctionnement complète, mais je vous ai tout affiché
vraiment besoin. Vous pouvez voir les deux interfaces FastEthernet intégrées, les deux interfaces série dans l'emplacement
0 (0/0/0 et 0/0/1), l'interface série dans l'emplacement 1 (0/1/0) et l'interface série dans l'emplacement 2
(0/2/0). Et une fois que vous voyez les interfaces comme celle-ci, il est beaucoup plus facile de comprendre comment le
modules sont insérés dans le routeur.

Comprenez simplement que si vous tapez interface e0 sur un ancien routeur de la série 2500, interface fastethernet
0/0 sur
un routeur modulaire (comme le routeur de la série 2800), ou interface série 0/1/0 sur un ISR
routeur, tout ce que vous faites est de choisir une interface à configurer. Essentiellement, ils sont tous
configuré de la même manière après cela.

Approfondissons notre discussion sur l'interface du routeur en explorant comment faire apparaître l'interface
et définissez ensuite une adresse IP.
Faire apparaître une interface
Vous pouvez désactiver une interface avec la commande d'interface shutdown et l'activer avec le no
commande d' arrêt . Juste pour vous rappeler, tous les ports de commutation sont activés par défaut et tous les ports de routeur
sont désactivés par défaut, nous allons donc parler davantage de ports de routeur que de ports de commutateur dans le
quelques sections suivantes.

Si une interface est fermée, elle s'affichera comme administrativement arrêtée lorsque vous utiliserez le show
commande interfaces ( sh int pour faire court):
Routeur# sh int f0/0
FastEthernet0/1 est en panne administrative, le protocole de ligne est en panne
[coupure de sortie]

Une autre façon de vérifier l'état d'une interface consiste à utiliser la commande show running-config . Tu peux apporter
jusqu'à l'interface du routeur avec la commande no shutdown ( no shutdown pour faire court) :

Routeur(config)# int f0/0


Routeur(config-if)# pas d'arrêt
*21 août 13:45:08.455 : %LINK-3-UPDOWN : Interface FastEthernet0/0,
changé d'état en haut
Le routeur (config-if) # affiche l'int f0/0
FastEthernet0/0 est actif, le protocole de ligne est actif
[coupure de sortie]

Configuration d'une adresse IP sur une interface

Même si vous n'êtes pas obligé d'utiliser l'IP sur vos routeurs, c'est généralement ce que tout le monde utilise. À
configurer les adresses IP sur une interface, utilisez la commande ip address de la configuration de l'interface
et rappelez-vous que vous ne définissez pas d'adresse IP sur un port de commutateur de couche 2 !

Todd(config)# int f0/1


Todd(config-if)# adresse IP 172.16.10.2 255.255.255.0

En outre, ne pas oublier de permettre à l'interface avec l' arrêt aucune commande. N'oubliez pas de regarder le
commande show interface int sortie pour voir si l'interface est administrativement arrêtée ou non.
Show ip int brief et show running-config vous donneront également ces informations.

La commande ip address address mask démarre le traitement IP sur le routeur

interface. Encore une fois, vous ne configurez pas d'adresse IP sur une interface de commutateur de couche 2 !

D'accord, maintenant si vous souhaitez ajouter une deuxième adresse de sous-réseau à une interface, vous devez utiliser le
paramètre secondaire . Si vous saisissez une autre adresse IP et appuyez sur Entrée, elle remplacera l'adresse IP existante.

Page 20

adresse IP principale et masque. C'est certainement l'une des fonctionnalités les plus intéressantes de Cisco IOS !
Essayons donc. Pour ajouter une adresse IP secondaire, utilisez simplement le paramètre secondaire :

Todd(config-if)# adresse IP 172.16.20.2 255.255.255.0 ?


secondaire Faire de cette adresse IP une adresse secondaire
<cr>
Todd(config-if)# adresse IP 172.16.20.2 255.255.255.0 secondaire
Todd(config-if)# est- ce qu'il s'exécute
Configuration du bâtiment...
[coupure de sortie]

interface FastEthernet0/1
adresse IP 172.16.20.2 255.255.255.0 secondaire
adresse IP 172.16.10.2 255.255.255.0
recto-verso automatique
vitesse automatique
!

Mais je dois m'arrêter ici pour vous dire que je ne recommanderais vraiment pas d'avoir plusieurs IP
adresses sur une interface car c'est vraiment inefficace. Je t'ai montré comment de toute façon juste au cas où
vous vous retrouvez un jour face à un gestionnaire de SIG amoureux d'un très mauvais réseau
concevoir et vous fait administrer! Et qui sait? Peut-être que quelqu'un vous posera des questions à ce sujet
un jour et vous aurez l'air vraiment intelligent parce que vous le savez.

Utiliser le tuyau

Non, pas ce tuyau. Je veux dire le modificateur de sortie. Cependant, je dois dire que certains des routeurs
les configurations que j'ai pu voir dans ma carrière me font rêver ! Quoi qu'il en soit, ce tuyau ( | ) nous permet de patauger
à travers toutes les configurations ou autres sorties longues et accédez directement à nos marchandises rapidement. Voici un
Exemple:

Routeur# sh exécuter | ?
ajouter Ajouter la sortie redirigée à l'URL (URL prenant en charge l'ajout
fonctionnement uniquement)
commencer Commencer par la ligne qui correspond
exclure Exclure les lignes qui correspondent
inclure Inclure les lignes qui correspondent
rediriger Rediriger la sortie vers l'URL
section Filtrer une section de sortie
tee Copier la sortie vers l'URL

Routeur# sh exécuter | commencer l'interface


interface FastEthernet0/0
description VLAN de vente
adresse IP 10.10.10.1 255.255.255.248
recto-verso automatique
vitesse automatique
!
interface FastEthernet0/1
adresse IP 172.16.20.2 255.255.255.0 secondaire
adresse IP 172.16.10.2 255.255.255.0
recto-verso automatique
vitesse automatique
!
interface Série0/0/0
description Wan à SF numéro de circuit 6fdda 12345678
pas d'adresse ip
!

Donc, fondamentalement, le symbole du tuyau - le modificateur de sortie - est ce dont vous avez besoin pour vous aider à arriver là où vous
voulez aller des années-lumière plus vite que de fouiller dans toute la configuration d'un routeur. Je l'utilise beaucoup
lors de l'examen d'une grande table de routage pour savoir si une certaine route est dans la table de routage.
Voici un exemple :

Todd# itinéraire de navigation | inclure 192.168.3.32


R 192.168.3.32 [120/2] via 10.10.10.8, 00:00:25, FastEthernet0/0
Todd#

Tout d'abord, vous devez savoir que cette table de routage avait plus de 100 entrées, donc sans mon fidèle tuyau,
Je serais probablement encore en train de parcourir cette sortie ! C'est un outil puissant et efficace qui vous fait économiser
beaucoup de temps et d'efforts en trouvant rapidement une ligne dans une configuration - ou comme dans l'exemple précédent

Page 21

montre, une seule route dans une immense table de routage.

Donnez-vous un peu de temps pour jouer avec la commande pipe pour vous y habituer et vous serez
naturellement élevé sur votre nouvelle capacité à analyser rapidement la sortie du routeur !

Commandes d'interface série

Mais attendez! Avant de vous lancer et de configurer une interface série, vous avez besoin d'une clé
informations, comme savoir que l'interface sera généralement attachée à un périphérique de type CSU/DSU qui
fournit la synchronisation de la ligne au routeur. Consultez la figure 6.3 pour un exemple.

FIGURE 6.3 Une connexion WAN typique. La synchronisation est généralement fournie par un réseau DCE pour
routeurs. Dans les environnements hors production, un réseau DCE n'est pas toujours présent.

Ici vous pouvez voir que l'interface série est utilisée pour se connecter à un réseau DCE via un CSU/DSU
qui fournit la synchronisation à l'interface du routeur. Mais si vous avez une configuration dos à dos,
comme celui qui est utilisé dans un environnement de laboratoire comme celui de la Figure 6.4 , une extrémité—les données
l'extrémité du câble de l'équipement de communication (DCE) – doit fournir la synchronisation !

FIGURE 6.4 Fourniture d'un pointage sur un réseau hors production

Par défaut, les interfaces série des routeurs Cisco sont toutes des interfaces d'équipement de terminal de données (DTE), qui
signifie que vous devez configurer une interface pour fournir la synchronisation si vous en avez besoin pour agir comme un DCE
Page 22

dispositif. Encore une fois, vous ne fourniriez pas de pointage sur une connexion série WAN de production car
vous auriez un CSU/DSU connecté à votre interface série, comme le montre la figure 6.3 .

Vous configurez une interface série DCE avec la commande clock rate :

Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Routeur(config)# int s0/0/0
Fréquence d'horloge du routeur(config-if)# ?
Vitesse (bits par seconde)
1200
2400
4800
9600
14400
19200
28800
32000
38400
48000
56000
57600
64000
72000
115200
125000
128000
148000
192000
250000
256000
384000
500000
512000
768000
800000
1000000
2000000
4000000
5300000
8000000

< 300-8000000 > Choisissez la fréquence d'horloge dans la liste ci-dessus


Routeur(config-if)# fréquence d'horloge 1000000

La fréquence d'horloge de commande est définie en bits par seconde. En plus de regarder l'extrémité du câble pour vérifier un
étiquette de DCE ou DTE, vous pouvez voir si l'interface série d'un routeur a un câble DCE connecté au
commande show controllers int :

Routeur# sh contrôleurs s0/0/0


Interface Série0/0/0
Le matériel est GT96K
DTE V.35idb à 0x4342FCB0, structure de données de pilote à 0x434373D4

Voici un exemple de sortie représentant une connexion DCE :

Routeur# sh contrôleurs s0/2/0


Interface Série0/2/0
Le matériel est GT96K
DCE V.35, fréquence d'horloge 1000000

La prochaine commande que vous devez connaître est la commande de bande passante . Chaque Cisco
Le routeur est livré avec une bande passante de liaison série par défaut de T1 (1,544 Mbps). Mais cela n'a rien à voir
avec la façon dont les données sont transférées sur un lien. La bande passante d'une liaison série est utilisée par le routage
protocoles tels que EIGRP et OSPF pour calculer le meilleur chemin de coût vers un réseau distant. Donc si
vous utilisez le routage RIP, le paramètre de bande passante d'une liaison série n'a pas d'importance puisque le RIP n'utilise que
nombre de sauts pour le déterminer.

Vous êtes peut-être en train de relire cette partie et de penser : «

Métrique?" Mais ne paniquez pas ! Je vais revoir tout ça bientôt au chapitre 9.

Page 23

Voici un exemple d'utilisation de la commande de bande passante :

Routeur# config t
Routeur(config)# int s0/0/0
Routeur(config-if)# bande passante ?
<1-10000000> Bande passante en kilobits
hériter Spécifie que la bande passante est héritée
recevoir Spécifier la bande passante côté réception
Routeur(config-if)# bande passante 1000

Avez-vous remarqué que, contrairement à la commande de fréquence d'horloge , la commande de bande passante est configurée dans
kilobits par seconde ?

Après avoir parcouru tous ces exemples de configuration concernant la fréquence d'horloge
commande, comprenez que les nouveaux routeurs ISR détectent automatiquement les connexions DCE et
réglez la fréquence d'horloge sur 2000000. Mais sachez que vous devez toujours comprendre la fréquence d'horloge
commande pour les objectifs Cisco, même si les nouveaux routeurs le configurent automatiquement pour vous !

Affichage, enregistrement et effacement des configurations


Si vous passez en mode configuration, il vous sera demandé si vous souhaitez utiliser la configuration que vous venez de
créé. Si vous dites oui, la configuration s'exécutant dans la DRAM connue sous le nom de running-config sera
être copié dans la NVRAM et le fichier sera nommé startup-config . J'espère que vous serez intelligent et
utilisez toujours la CLI, pas le mode configuration !

Vous pouvez enregistrer manuellement le fichier de la DRAM, qui est généralement simplement appelée RAM, vers la NVRAM en
à l'aide de la commande copy running-config startup-config . Vous pouvez utiliser le raccourci de démarrage de la copie en tant que
bien:

Todd# copier running-config startup-config


Nom du fichier de destination [startup-config] ? [ appuyez sur entrée ]
Configuration du bâtiment...
[D'ACCORD]
Todd#
Configuration du bâtiment...

Lorsque vous voyez une question avec une réponse entre [] , cela signifie que si vous appuyez simplement sur Entrée, vous êtes
choisir la réponse par défaut.

De plus, lorsque la commande demande le nom du fichier de destination, la réponse par défaut est startup-config.
La raison pour laquelle il vous le demande est que vous pouvez copier la configuration à peu près n'importe où.
Jetez un oeil à la sortie de mon commutateur:

Todd# copy running-config ?

éclat: Copier dans la flash : système de fichiers


ftp : Copier vers ftp : système de fichiers
http: Copier vers http: système de fichiers
https : Copier vers https : système de fichiers
nul: Copier vers null : système de fichiers
nvram : Copier sur nvram : système de fichiers
rcp : Copier dans rcp : système de fichiers
running-config Mettre à jour (fusionner avec) la configuration actuelle du système
scp : Copier dans scp : système de fichiers
startup-config Copier dans la configuration de démarrage
syslog : Copier dans syslog : système de fichiers
système: Copier dans le système : système de fichiers
tftp : Copier sur tftp : système de fichiers
tmpsys : Copier dans tmsys : système de fichiers
vb : Copier vers vb : système de fichiers

Pour vous rassurer, nous verrons plus en détail comment et où copier des fichiers au chapitre 7.

Pour l'instant, vous pouvez afficher les fichiers en tapant show running-config ou show startup-config à partir de

Page 24

mode privilégié. La commande sh run , qui est un raccourci pour show running-config , nous dit que
nous visualisons la configuration actuelle :

Todd# sh courir
Configuration du bâtiment...

Configuration actuelle : 855 octets


!
! Dernier changement de configuration à 23:20:06 UTC lun. 1 mars 1993
!
version 15.0
[coupure de sortie]

La commande sh start, l' un des raccourcis de la commande show startup-config , nous montre le
configuration qui sera utilisée lors du prochain rechargement du routeur. Il nous dit aussi combien
La NVRAM est utilisée pour stocker le fichier de configuration de démarrage. Voici un exemple :

Todd# sh commence
Utilisation de 855 sur 524288 octets
!
! Dernier changement de configuration à 23:20:06 UTC lun. 1 mars 1993
!
version 15.0
[coupure de sortie]

Mais attention, si vous essayez d'afficher la configuration et voyez

Todd# sh commence
startup-config n'est pas présent

vous n'avez pas enregistré votre configuration en cours dans la NVRAM ou vous avez supprimé la configuration de sauvegarde !
Laissez-moi vous expliquer comment vous feriez cela maintenant.

Suppression de la configuration et rechargement de l'appareil


Vous pouvez supprimer le fichier startup-config à l'aide de la commande delete startup-config :

Todd# effacer commencer


% Commande incomplète.

Tout d'abord, notez que vous ne pouvez plus utiliser les commandes de raccourci pour effacer la sauvegarde
configuration. Cela a commencé dans IOS 12.4 avec les routeurs ISR.

Todd# effacer la configuration de démarrage


Effacer le système de fichiers nvram supprimera tous les fichiers de configuration ! Continuer? [confirmer]
[D'ACCORD]
Effacement de nvram : terminé
Todd#
* 5 mars 01:59:45.206 : %SYS-7-NV_BLOCK_INIT : initialisation de la géométrie de nvram
Todd# recharger
Continuer le rechargement ? [confirmer]

Maintenant, si vous rechargez ou éteignez le routeur après avoir utilisé la commande d' effacement de démarrage-config , vous
se voir proposer le mode de configuration car aucune configuration n'est enregistrée dans la NVRAM. Vous pouvez appuyer sur Ctrl+C
pour quitter le mode configuration à tout moment, mais la commande reload ne peut être utilisée qu'à partir du mode privilégié.

À ce stade, vous ne devez pas utiliser le mode de configuration pour configurer votre routeur. Alors dites non à la configuration
mode, car il est là pour aider les personnes qui ne savent pas utiliser l'interface de ligne de commande
(CLI), et cela ne s'applique plus à vous. Soyez fort, vous pouvez le faire !

Vérification de votre configuration


De toute évidence, show running-config serait le meilleur moyen de vérifier votre configuration et de montrer
startup-config serait
le meilleur moyen de vérifier la configuration qui sera utilisée la prochaine fois que le
le routeur est rechargé, n'est-ce pas ?

Eh bien, une fois que vous avez jeté un œil à la configuration en cours, si tout semble bien, vous pouvez vérifier votre
configuration avec des utilitaires comme Ping et Telnet. Ping est un programme qui utilise les requêtes d'écho ICMP
et les réponses, dont nous avons parlé au chapitre 3. Pour examen, Ping envoie un paquet à un hôte distant, et
si cet hôte répond, vous savez qu'il est vivant. Mais vous ne savez pas si c'est vivant et aussi bien ; seulement

25

parce que vous pouvez pinger un serveur Microsoft ne signifie pas que vous pouvez vous connecter ! Même ainsi, Ping est un
point de départ génial pour dépanner un interréseau.

Saviez-vous que vous pouvez cingler avec différents protocoles ? Vous pouvez, et vous pouvez tester cela en
taper ping ? à l'invite du routeur en mode utilisateur ou en mode privilégié :

Todd# ping ?
WORD Ping adresse de destination ou nom d'hôte
écho clns CLNS
ip écho IP
écho IPv6 IPv6
tag Tag écho IP encapsulé
<cr>

Si vous voulez trouver l'adresse de couche réseau d'un voisin, vous allez directement au routeur ou
basculer lui-même ou vous pouvez taper show cdp entry * protocol pour obtenir les adresses de la couche réseau que vous
besoin de ping.

Vous pouvez également utiliser un ping étendu pour modifier les variables par défaut, comme indiqué ici :

Todd# ping
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Répéter le décompte [5] :
% Un nombre décimal compris entre 1 et 2147483647.
Nombre de répétitions [5] : 5000
Taille du datagramme [100] :
% Un nombre décimal compris entre 36 et 18024.
Taille du datagramme [100] : 1500
Délai d'attente en secondes [2] :
Commandes étendues [n] : y
Adresse source ou interface : FastEthernet 0/1
Adresse source ou interface : Vlan 1
Type de prestation [0] :
Définir le bit DF dans l'en-tête IP ? [non]:
Valider les données de réponse ? [non]:
Modèle de données [0xABCD] :
Loose, Strict, Record, Timestamp, Verbose [aucun] :
Gamme de tailles de balayage [n] :
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 000 échos ICMP de 1 500 octets à 10.1.1.1, le délai d'attente est de 2 secondes :
Paquet envoyé avec une adresse source de 10.10.10.1

Notez qu'en utilisant le point d'interrogation, j'ai pu déterminer que le ping étendu vous permet de
définissez le nombre de répétitions supérieur à la valeur par défaut de 5 et la taille du datagramme plus grande. Cela soulève le
MTU et permet un test plus précis du débit. L'interface source est une dernière
information importante que je retirerai de la sortie. Vous pouvez choisir l'interface
ping provient de, ce qui est vraiment utile dans certaines situations de diagnostic. Utiliser mon commutateur pour
afficher les capacités de ping étendues, je devais utiliser mon seul port routé, nommé VLAN 1,
par défaut.

Cependant, si vous souhaitez utiliser un autre port de diagnostic, vous pouvez créer une interface logique appelée
interface de bouclage ainsi :

Todd(config)# bouclage d'interface ?


<0-2147483647> Numéro d'interface de bouclage

Todd(config)# interface bouclage 0


*19 mai 03:06:42.697 : %LINEPROTO-5-UPDOWN : Prot de ligne
état changé en ups
Todd(config-if)# adresse IP 20.20.20.1 255.255.255.0

Maintenant, je peux utiliser ce port pour les diagnostics, et même comme port source de mon ping ou traceroute, comme
donc:

Todd# ping
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Répéter le décompte [5] :
Taille du datagramme [100] :
Délai d'attente en secondes [2] :
Commandes étendues [n] : y

Page 26

Adresse source ou interface : 20.20.20.1


Type de prestation [0] :
Définir le bit DF dans l'en-tête IP ? [non]:
Valider les données de réponse ? [non]:
Modèle de données [0xABCD] :
Loose, Strict, Record, Timestamp, Verbose [aucun] :
Gamme de tailles de balayage [n] :
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 10.1.1.1, le délai d'attente est de 2 secondes :
Paquet envoyé avec une adresse source de 20.20.20.1

L'interface logique est idéale pour les diagnostics et pour les utiliser dans nos laboratoires à domicile où nous ne
avons de vraies interfaces avec lesquelles jouer, mais nous les utiliserons également dans nos configurations OSPF dans
ICND2.

Le protocole de découverte Cisco (CDP) est traité au chapitre 7.

Traceroute utilise ICMP avec des délais de durée de vie IP (TTL) pour suivre le chemin emprunté par un paquet donné
via un inter-réseau. Cela contraste avec Ping, qui trouve simplement l'hôte et répond.
Traceroute peut également être utilisé avec plusieurs protocoles. Découvrez cette sortie :

Todd# traceroute ?
WORD Trace la route vers l'adresse de destination ou le nom d'hôte
aaa Définir les options de trace pour les événements/actions/erreurs AAA
AppleTalk Trace
Clns ISO CLNS Trace
ip Trace IP
Trace IPv6 IPv6
ipx Suivi IPX
Mac Tracer le chemin Layer2 entre 2 points de terminaison
vieilles vignes Trace de vignes (Cisco)
Vignes Trace de Vignes (Banyan)
<cr>

Et comme avec ping, nous pouvons effectuer une traceroute étendue en utilisant des paramètres supplémentaires, généralement
utilisé pour changer l'interface source :

Todd# traceroute
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Adresse source : 172.16.10.1
Affichage numérique [n] :
Délai d'attente en secondes [3] :
Nombre de sondes [3] :
Durée de vie minimale [1] : 255
Durée de vie maximale [30] :
Tapez la séquence d'échappement pour abandonner.
Traçage de l'itinéraire vers 10.1.1.1

Telnet, FTP et HTTP sont vraiment les meilleurs outils car ils utilisent IP au niveau de la couche réseau et
TCP au niveau de la couche Transport pour créer une session avec un hôte distant. Si vous pouvez telnet, ftp ou http
dans un appareil, vous savez que votre connectivité IP doit simplement être solide !

Todd# telnet ?
WORD Adresse IP ou nom d'hôte d'un système distant
<cr>
Todd# telnet 10.1.1.1

Lorsque vous vous connectez par telnet à un appareil distant, vous ne verrez pas les messages de la console par défaut. Par exemple,
vous ne verrez pas la sortie de débogage. Pour autoriser l'envoi de messages de console à votre session Telnet,
utilisez la commande terminal monitor, comme indiqué sur le routeur SF.

Moniteur terminal SF#

À partir de l'invite du commutateur ou du routeur, il vous suffit de taper un nom d'hôte ou une adresse IP et cela supposera que vous
veulent-telnet vous n'avez pas besoin de taper la commande réelle, telnet .

À venir, je vais vous montrer comment vérifier les statistiques de l'interface.

27

Vérification avec la commande show interface

Une autre façon de vérifier votre configuration est de taper les commandes show interface , dont la première
est l' interface du spectacle ? commander. Cela révélera toutes les interfaces disponibles pour vérifier et
configurer.

La commande show interfaces , au pluriel, affiche les paramètres configurables et

statistiques de toutes les interfaces sur un routeur.


Cette commande est très pratique lorsque vous vérifiez et dépannez un routeur et
problèmes de réseau.

La sortie suivante provient de mon routeur 2811 fraîchement effacé et redémarré :

Routeur# sh int ?
Asynchrone Interface asynchrone
BVI Interface virtuelle de groupe de pont
CDMA-Ix Interface CDMA Ix
CTunnel Interface CTunnel
Numéroteur Interface de numérotation
FastEthernet FastEthernet IEEE 802.3
Bouclage Interface de bouclage
MFR Interface de faisceau de relais de trames multiliaison
Multilien Interface de groupe à liaisons multiples
Nul Interface nulle
Port-channel Ethernet Canal d'interfaces
En série En série
Tunnel Interface de tunnel
Vif Interface hôte de multidiffusion PGM
PPP virtuel Interface PPP virtuelle
Interface de modèle virtuel de modèle virtuel
Virtual-TokenRing Virtual TokenRing
comptabilité Afficher la comptabilité de l'interface
compteurs Afficher les compteurs d'interface
crb Afficher les informations de routage/de pontage de l'interface
amortissement Afficher les informations sur l'amortissement de l'interface
la description Afficher la description de l'interface
etherchannel Afficher les informations sur l'interface etherchannel
irb Afficher les informations de routage/de pontage de l'interface
mac-accounting Afficher les informations de comptabilité MAC de l'interface
exp-mpls Afficher les informations de comptabilité expérimentale MPLS de l'interface
priorité Afficher les informations de comptabilité de priorité de l'interface
taille Afficher les informations d'élagage VTP du tronc d'interface
taux-limite Afficher les informations sur la limite de débit de l'interface
statut Afficher l'état de la ligne d'interface
sommaire Afficher le résumé de l'interface
commutation Afficher la commutation d'interface
port de commutation Afficher les informations sur le port de commutation de l'interface
tronc Afficher les informations sur le tronc d'interface
| Modificateurs de sortie
<cr>

Les seules interfaces physiques « réelles » sont FastEthernet, Serial et Async, les autres sont toutes logiques
interfaces ou commandes que vous pouvez utiliser pour vérifier.

La commande suivante est show interface fastethernet 0/0 . Il révèle l'adresse matérielle, logique
adresse et méthode d'encapsulation ainsi que des statistiques sur les collisions, comme on le voit ici :

Routeur# sh int f0/0


FastEthernet0/0 est actif, le protocole de ligne est actif
Le matériel est MV96340 Ethernet, l'adresse est 001a.2f55.c9e8 (bia 001a.2f55.c9e8)
L'adresse Internet est 192.168.1.33/27
MTU 1500 octets, BW 100000 Kbit , DLY 100 usec,
fiabilité 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, bouclage non défini
Ensemble Keepalive (10 sec)
Duplex automatique, vitesse automatique, 100BaseTX/FX
Type d'ARP : ARPA, Délai d'expiration ARP 04:00:00
Dernière entrée jamais, sortie 00:02:07, sortie suspendue jamais
Dernier effacement des compteurs "show interface" jamais
File d'attente d'entrée : 0/75/0/0 (taille/max/gouttes/vidanges) ; Chutes de sortie totales : 0

Page 28

Stratégie de file d'attente : fifo


File d'attente de sortie : 0/40 (taille/max)
Taux d'entrée de 5 minutes 0 bits/sec, 0 paquets/sec
Taux de sortie de 5 minutes 0 bits/sec, 0 paquets/sec
0 entrée de paquets, 0 octet
Reçu 0 diffusions, 0 runts, 0 géants, 0 manettes
0 erreurs d'entrée, 0 CRC, 0 trame, 0 dépassement, 0 ignoré
0 chien de garde
0 paquets d'entrée avec condition de dribble détectée
16 paquets de sortie, 960 octets, 0 underruns
0 erreurs de sortie, 0 collisions , 0 réinitialisation d'interface
0 babillage, 0 collision tardive, 0 différé
0 porteuse perdue, 0 pas de porteuse
0 échecs de tampon de sortie, 0 tampons de sortie échangés
Routeur#

Vous avez probablement deviné que nous allons passer en revue les statistiques importantes de cette sortie, mais
tout d'abord, juste pour le plaisir, je dois vous demander de quel sous-réseau FastEthernet 0/0 est membre et de quoi
l'adresse de diffusion et la plage d'hôtes valide ?

Je suis sérieux, vous devez vraiment être capable de maîtriser ces choses rapidement en NASCAR ! Juste au cas où tu ne l'aurais pas fait,
l'adresse est 192.168.1.33/27. Et je dois être honnête - si tu ne sais pas ce qu'est un /27 à ça
point, vous aurez besoin d'un miracle pour réussir l'examen ! Cela ou vous devez réellement lire ce livre. (Comme un
rappel rapide, un /27 est 255.255.255.224.) Le quatrième octet est une taille de bloc de 32. Les sous-réseaux
sont 0, 32, 64, etc. ; l'interface FastEthernet se trouve dans le sous-réseau 32 ; l'adresse de diffusion est 63 ; et
les hôtes valides sont 33-62. Tout va bien maintenant ?

Si vous avez eu du mal avec tout cela, s'il vous plaît, sauvez-vous d'un certain malheur et obtenez

retournez au chapitre 4, « Easy Subnetting », maintenant ! Lisez-le et relisez-le jusqu'à ce que vous l'ayez
connecté !

D'accord, revenons à la sortie. L'interface précédente fonctionne et semble en bon état. Les
La commande show interfaces vous
montrera si vous recevez des erreurs sur l'interface, et elle sera également
vous montrer l'unité de transmission maximale (MTU). MTU est la taille de paquet maximale autorisée à
transmettre sur cette interface, la bande passante (BW) est à utiliser avec les protocoles de routage, et 255/255 signifie
cette fiabilité est parfaite ! La charge est de 1/255, ce qui signifie pas de charge.

En continuant à travers la sortie, pouvez-vous déterminer la bande passante de l'interface ? Eh bien, d'autres
que le cadeau facile de l'interface étant appelée une interface "FastEthernet", nous pouvons voir que
la bande passante est de 100 000 Kbit, soit 100 000 000. Kbit signifie ajouter trois zéros, ce qui est
100 Mbits par seconde, ou FastEthernet. Gigabit serait de 1000000 Kbits par seconde.

Assurez-vous de ne pas manquer les erreurs de sortie et les collisions, qui affichent 0 dans ma sortie. Si ces
les nombres augmentent, alors vous avez une sorte de problème de couche physique ou de liaison de données. Vérifier
votre duplex ! Si vous avez un côté en semi-duplex et un en duplex intégral, votre interface fonctionnera,
bien que très lent et ces chiffres augmenteront rapidement !

La statistique la plus importante de la commande show interface est la sortie de la ligne et de la liaison de données
état du protocole. Si la sortie révèle que FastEthernet 0/0 est actif et que le protocole de ligne est actif, alors
l'interface est opérationnelle :

Routeur# sh int fa0/0


FastEthernet0/0 est actif, le protocole de ligne est actif

Le premier paramètre fait référence à la couche physique, et elle est active lorsqu'elle reçoit la détection de porteuse. Les
le deuxième paramètre fait référence à la couche de liaison de données, et il recherche les keepalives de la connexion
finir. Keepalives sont importants car ils sont utilisés entre les appareils pour assurer la connectivité
n'a pas été abandonné.

Voici un exemple de l'endroit où votre problème se trouve souvent, sur les interfaces série :

Routeur# sh int s0/0/0


Serial0/0 est actif, le protocole de ligne est inactif

Page 29

Si vous voyez que la ligne est active mais que le protocole est en panne, comme indiqué ici, vous rencontrez un
problème de synchronisation (keepalive) ou de cadrage, peut-être une incompatibilité d'encapsulation. Vérifier la
keepalives aux deux extrémités pour s'assurer qu'ils correspondent. Assurez-vous que la fréquence d'horloge est réglée, si nécessaire,
et que le type d'encapsulation est égal aux deux extrémités. La sortie précédente nous dit qu'il y a un
Problème de couche de liaison de données.

Si vous découvrez que l'interface de ligne et le protocole sont en panne, il s'agit d'un câble ou d'une interface
problème. La sortie suivante indiquerait un problème de couche physique :

Routeur# sh int s0/0/0


Serial0/0 est en panne, le protocole de ligne est en panne

Comme vous le verrez ensuite, si une extrémité est fermée administrativement, l'extrémité distante se présentera comme
en bas et en bas :

Routeur# sh int s0/0/0


Serial0/0 est en panne administrative, le protocole de ligne est en panne

Pour activer l'interface, utilisez la commande no shutdown à partir du mode de configuration de l'interface.

La prochaine commande show interface serial 0/0/0 montre la ligne série et le maximum
unité de transmission (MTU) : 1 500 octets par défaut. Il affiche également la bande passante par défaut (BW) sur
toutes les liaisons série Cisco, soit 1,544 Kbps. Ceci est utilisé pour déterminer la bande passante de la ligne pour
protocoles de routage comme EIGRP et OSPF. Une autre configuration importante à noter est la
keepalive, qui est de 10 secondes par défaut. Chaque routeur envoie un message keepalive à son voisin
toutes les 10 secondes, et si les deux routeurs ne sont pas configurés pour la même durée de keepalive, il ne
travail! Découvrez cette sortie :

Routeur# sh int s0/0/0


Serial0/0 est actif, le protocole de ligne est actif
Le matériel est HD64570
MTU 1500 octets, BW 1544 Kbit, DLY 20000 usec,
fiabilité 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, bouclage non défini, keepalive défini
(10 secondes)
Dernière entrée jamais, sortie jamais, sortie suspendue jamais
Dernier effacement des compteurs "show interface" jamais
Stratégie de file d'attente : fifo
File d'attente de sortie 0/40, 0 gouttes ; file d'attente d'entrée 0/75, 0 gouttes
Taux d'entrée de 5 minutes 0 bits/sec, 0 paquets/sec
Taux de sortie de 5 minutes 0 bits/sec, 0 paquets/sec
0 entrée de paquets, 0 octet, 0 pas de tampon
Reçu 0 diffusions, 0 runts, 0 géants, 0 manettes
0 erreurs d'entrée, 0 CRC, 0 trame, 0 dépassement, 0 ignoré,
0 abandonner
0 sortie de paquets, 0 octet, 0 sous-exécution
0 erreurs de sortie, 0 collisions, 16 réinitialisations d'interface
0 échecs de tampon de sortie, 0 tampons de sortie échangés
0 transition de porteuse
DCD=bas DSR=bas DTR=bas RTS=bas CTS=bas

Vous pouvez effacer les compteurs sur l'interface en tapant la commande clear counters :

Routeur# effacer les compteurs ?


Asynchrone Interface asynchrone
BVI Interface virtuelle de groupe de pont
CTunnel Interface CTunnel
Numéroteur Interface de numérotation
FastEthernet FastEthernet IEEE 802.3
Groupe-Async Interface de groupe asynchrone
Ligne Ligne terminale
Bouclage Interface de bouclage
MFR Interface de faisceau de relais de trames multiliaison
Multilien Interface de groupe à liaisons multiples
Nul Interface nulle
En série En série
Tunnel Interface de tunnel
Vif Interface hôte de multidiffusion PGM
Interface de modèle virtuel de modèle virtuel
Virtual-TokenRing Virtual TokenRing
<cr>

Routeur# effacer les compteurs s0/0/0

Page 30

Effacer les compteurs "show interface" sur cette interface


[confirmer] [entrer]
Routeur#
00:17:35 : %CLEAR-5-COUNTERS : Effacer le compteur sur l'interface
Serial0/0/0 par console
Routeur#

Dépannage avec la commande show interfaces

Jetons un coup d' oeil à la sortie du show interfaces commande une fois de plus avant de passer.
Il y a quelques statistiques dans cette sortie qui sont importantes pour les objectifs de Cisco.

275496 paquets en entrée, 35226811 octets, 0 pas de tampon


69748 diffusions reçues (58822 multidiffusions)
0 avortons, 0 géants , 0 papillons
0 erreurs d'entrée, 0 CRC , 0 trame, 0 dépassement, 0 ignoré
0 chien de garde, 58822 multidiffusion, 0 entrée de pause
0 paquets d'entrée avec condition de dribble détectée
2392529 paquets de sortie , 337933522 octets, 0 sous-exécution
0 erreurs de sortie, 0 collisions , 1 réinitialisation d'interface
0 babillage, 0 collision tardive , 0 différé
0 porteuse perdue, 0 pas de porteuse, 0 sortie PAUSE
0 échecs de tampon de sortie, 0 tampons de sortie échangés

Trouver par où commencer lors du dépannage d'une interface peut être la partie difficile, mais certainement
nous chercherons immédiatement le nombre d'erreurs de saisie et de CRC. Typiquement, nous verrions ces statistiques
augmenter avec une erreur duplex, mais il pourrait s'agir d'un autre problème de couche physique tel que le câble pourrait
recevoir des interférences excessives ou les cartes d'interface réseau peuvent avoir une défaillance. Typiquement
vous pouvez dire s'il s'agit d'interférences lorsque le CRC et les erreurs d'entrée augmentent mais que la collision
les compteurs ne le font pas.

Jetons un coup d'œil à certaines des sorties :

Pas de tampon Ce n'est pas un nombre que vous voulez voir s'incrémenter. Cela signifie que vous n'avez aucun
espace tampon laissé pour les paquets entrants. Tous les paquets reçus une fois les tampons pleins sont
mis au rebut. Vous pouvez voir combien de paquets sont abandonnés avec la sortie ignorée.

Ignoré Si les tampons de paquets sont pleins, les paquets seront abandonnés. Vous voyez cet incrément le long
avec la sortie sans tampon. Généralement, si les sorties sans tampon et ignorées s'incrémentent, vous
avoir une sorte de tempête de diffusion sur votre réseau local. Cela peut être causé par une mauvaise carte réseau ou même une mauvaise
conception de réseau.

Je vais le répéter parce que c'est très important pour les objectifs de l'examen : généralement si le non

le tampon et les sorties ignorées s'incrémentent, vous avez une sorte de tempête de diffusion sur
votre réseau local. Cela peut être dû à une mauvaise carte réseau ou même à une mauvaise conception du réseau.

Runts Trames qui ne satisfont pas à l'exigence de taille de trame minimale de 64 octets. Typiquement
causés par des collisions.

Giants Frames reçues de plus de 1518 octets

Erreurs d'entrée Il s'agit du total de nombreux compteurs : runts, Giants, no buffer, CRC, frame, overrun,
et les comptes ignorés.

CRC À la fin de chaque trame se trouve un champ de séquence de contrôle de trame (FCS) qui contient la réponse à un
contrôle de redondance cyclique (CRC). Si la réponse de l'hôte destinataire au CRC ne correspond pas à la
envoyant la réponse de l'hôte, une erreur CRC se produira.

Frame Cette sortie s'incrémente lorsque les trames reçues sont d'un format illégal, ou incomplètes,
qui est généralement incrémenté lorsqu'une collision se produit.

Sortie de paquets Nombre total de paquets (trames) transmis à l'interface.

Erreurs de sortie Nombre total de paquets (trames) que le port de commutateur a essayé de transmettre mais pour
lequel un problème est survenu.

Page 31

Collisions Lors de la transmission d'une trame en semi-duplex, la carte réseau écoute sur la paire réceptrice du
câble pour un autre signal. Si un signal est transmis depuis un autre hôte, une collision s'est produite.
Cette sortie ne doit pas s'incrémenter si vous exécutez le duplex intégral.

Collisions tardives Si toutes les spécifications Ethernet sont respectées lors de l'installation du câble, toutes les collisions
devrait se produire par le 64e octet de la trame. Si une collision se produit après 64 octets, les collisions tardives
incréments du compteur. Ce compteur s'incrémentera sur une interface duplex incompatible, ou si le câble
la longueur dépasse les spécifications.
Une non-concordance de duplex provoque des erreurs de collision tardive à la fin de la connexion. À

éviter cette situation, définissez manuellement les paramètres duplex du commutateur pour qu'ils correspondent au
dispositif.

Une incompatibilité de duplex est une situation dans laquelle le commutateur fonctionne en duplex intégral et le
l'appareil fonctionne en semi-duplex, ou vice versa. Le résultat d'une non-concordance duplex est extrêmement lent
performances, connectivité intermittente et perte de connexion. Autres causes possibles de données-
les erreurs de liaison en duplex intégral sont des câbles défectueux, un port de commutateur défectueux ou des problèmes logiciels ou matériels de la carte réseau.
Utilisez la commande show interface pour vérifier les paramètres duplex.

Si la non-concordance se produit entre deux appareils Cisco avec Cisco Discovery Protocol activé, vous
verra les messages d'erreur Cisco Discovery Protocol sur la console ou dans le tampon de journalisation des deux
dispositifs.

%CDP-4-DUPLEX_MISMATCH : non-concordance duplex découverte sur FastEthernet0/2 (pas


demi-duplex)

Cisco Discovery Protocol est utile pour détecter les erreurs et pour rassembler le port et le système
statistiques sur les appareils Cisco à proximité. Le CDP est traité au chapitre 7.

Vérification avec la commande show ip interface

La commande show ip interface vous fournira des informations concernant la couche 3


configurations de l'interface d'un routeur, telles que l'adresse IP et le masque de sous-réseau, MTU, et si un
la liste d'accès est définie sur l'interface :

Interface d'expédition du routeur#


FastEthernet0/0 est actif, le protocole de ligne est actif
L'adresse Internet est 1.1.1.1/24
L'adresse de diffusion est 255.255.255.255
Adresse déterminée par la commande de configuration
MTU est de 1500 octets
L'adresse de l'assistant n'est pas définie
Le transfert de diffusion dirigé est désactivé
La liste d'accès sortante n'est pas définie
La liste d'accès entrants n'est pas définie
Proxy ARP est activé
Le niveau de sécurité est par défaut
L'horizon partagé est activé
[coupure de sortie]

L'état de l'interface, l'adresse IP et le masque, des informations indiquant si une liste d'accès est définie
sur l'interface, et les informations IP de base sont toutes incluses dans cette sortie.

Utilisation de la commande show ip interface brief

La commande show ip interface brief est probablement l'une des meilleures commandes que vous puissiez
utiliser sur un routeur ou un commutateur Cisco. Cette commande fournit un aperçu rapide des appareils
interfaces, y compris l'adresse logique et l'état :

Routeur# ship int brief


Interface Adresse IP OK ? Méthode Statut Protocole
FastEthernet0/0 non affecté OUI non configuré
FastEthernet0/1 non affecté OUI non configuré
Série0/0/0 non affecté OUI non configuré

Page 32

Série0/0/1 non affecté OUI non configuré administrativement inactif inactif


Série0/1/0 non affecté OUI non configuré administrativement inactif inactif
Série0/2/0 non affecté OUI non configuré administrativement inactif inactif

N'oubliez pas qu'administrativement down signifie que vous devez taper no shutdown afin d'activer le
interface. Notez que Serial0/0/0 est up/down, ce qui signifie que la couche physique est bonne et
la détection de porteuse est détectée mais aucune keepalives n'est reçue de l'extrémité distante. Dans un
réseau de non-production, comme celui avec lequel je travaille, cela nous indique que la fréquence d'horloge n'a pas été
ensemble.

Vérification avec la commande show protocols

La commande show protocols est également une commande très utile que vous utiliseriez pour rapidement
voir l'état des couches 1 et 2 de chaque interface ainsi que les adresses IP utilisées.

Voici un aperçu de l'un de mes routeurs de production :

Routeur# protocoles sh
Valeurs globales :
Le routage du protocole Internet est activé
Ethernet0/0 est en panne administrative, le protocole de ligne est en panne
Serial0/0 est actif, le protocole de ligne est actif
L'adresse Internet est 100.30.31.5/24
Serial0/1 est en panne administrative, le protocole de ligne est en panne
Serial0/2 est actif, le protocole de ligne est actif
L'adresse Internet est 100.50.31.2/24
Loopback0 est actif, le protocole de ligne est actif
L'adresse Internet est 100.20.31.1/24

Les commandes show ip interface brief et show protocols fournissent les statistiques des couches 1 et 2
d'une interface ainsi que les adresses IP. La commande suivante, show controllers , fournit uniquement
informations de la couche 1. Nous allons jeter un coup d'oeil.

Utilisation de la commande show controllers


La commande
vous donnershow controllers affiche des informations sur l'interface physique elle-même. ça va aussi
le type de câble série branché sur un port série. Habituellement, ce ne sera qu'un câble DTE
qui se branche sur un type d'unité de service de données (DSU).

Routeur# sh contrôleurs série 0/0


Unité HD 0, idb = 0x1229E4, structure du pilote à 0x127E70
taille de la mémoire tampon 1524 unité HD 0, câble V.35 DTE

Routeur# sh contrôleurs série 0/1


Unité HD 1, idb = 0x12C174, structure du pilote à 0x131600
taille de la mémoire tampon 1524 unité HD 1, câble V.35 DCE

Notez que série 0/0 a un câble DTE, alors que la connexion série 0/1 a un câble DCE. En série
0/1 devrait fournir la synchronisation avec la commande de fréquence d'horloge . Serial 0/0 obtiendrait son
pointage du DSU.

Regardons à nouveau cette commande. Dans la Figure 6.5 , voyez le câble DTE/DCE entre les deux routeurs ?
Sachez que vous ne verrez pas cela dans les réseaux de production !

Page 33

FIGURE 6.5 Où configurez-vous la synchronisation ? Utilisez la commande show controllers sur chaque
l'interface série du routeur pour le savoir.

Le routeur R1 dispose d'une connexion DTE, qui est généralement la valeur par défaut pour tous les routeurs Cisco. Routeurs R1
et R2 ne peut pas communiquer. Vérifiez la sortie de la commande show controllers s0/0 ici :

R1# sh contrôleurs série 0/0


Unité HD 0, idb = 0x1229E4, structure du pilote à 0x127E70
taille de la mémoire tampon 1524 unité HD 0, câble V.35 DCE

La commande show controllers s0/0 révèle que l'interface est un câble V.35 DCE. Ça signifie
que R1 doit fournir la synchronisation de la ligne au routeur R2. Fondamentalement, l'interface a le mauvais
étiquette sur le câble de l'interface série du routeur R1. Mais si vous ajoutez la synchronisation sur le routeur R1
interface série, le réseau devrait se mettre en place.

Chèque Let sur un autre problème dans la figure 6.6 que vous pouvez résoudre en utilisant les montrent contrôleurs
commander. Encore une fois, les routeurs R1 et R2 ne peuvent pas communiquer.

FIGURE 6.6 En regardant R1, la commande show controllers révèle que R1 et R2 ne peuvent pas
communiquer.

Voici la sortie de la commande show controllers s0/0 de R1 et de l'interface show ip s0/0 :

R1# sh contrôleurs s0/0


Unité HD 0, idb = 0x1229E4, structure du pilote à 0x127E70
taille de la mémoire tampon 1524 unité HD 0,
Horloges DTE V.35 arrêtées
cpb = 0xE2, eda = 0x4140, cda = 0x4000

R1# interface d'expédition s0/0


Serial0/0 est actif, le protocole de ligne est inactif
L'adresse Internet est 192.168.10.2/24
L'adresse de diffusion est 255.255.255.255

Si vous utilisez la commande show controllers et la commande show ip interface , vous verrez que
le routeur R1 ne reçoit pas la synchronisation de la ligne. Ce réseau est un réseau de non-production, donc non

Page 34

CSU/DSU est connecté pour fournir la synchronisation pour cela. Cela signifie que l'extrémité DCE du câble sera
fournissant la fréquence d'horloge - dans ce cas, le routeur R2. L' interface show ip indique que le
l'interface est active mais le protocole est en panne, ce qui signifie qu'aucun keepalives n'est reçu de
l'extrémité éloignée. Dans cet exemple, le coupable probable est le résultat d'un mauvais câble, ou simplement le manque de
pointage.

Sommaire
C'était un chapitre amusant ! Je vous ai montré beaucoup de choses sur Cisco IOS, et j'espère vraiment que vous avez beaucoup gagné
d'informations sur le monde des routeurs Cisco. J'ai commencé par expliquer l'interréseau Cisco
Système d'exploitation (IOS) et comment vous pouvez utiliser l'IOS pour exécuter et configurer les routeurs Cisco. Tu
appris comment mettre en place un routeur et ce que fait le mode de configuration. Oh, et au fait, puisque tu peux
configurez maintenant essentiellement les routeurs Cisco, vous ne devriez jamais utiliser le mode de configuration, n'est-ce pas ?

Après avoir expliqué comment se connecter à un routeur avec une console et une connexion LAN, j'ai couvert les
Fonctionnalités d'aide de Cisco et comment utiliser l'interface de ligne de commande pour rechercher des commandes et des paramètres de commande. Dans
De plus, j'ai discuté de quelques commandes show de base pour vous aider à vérifier vos configurations.

Les fonctions administratives d'un routeur vous aident à administrer votre réseau et à vérifier que vous êtes
configurer le bon appareil. La définition des mots de passe du routeur est l'un des plus importants
configurations que vous pouvez effectuer sur vos routeurs. Je vous ai montré les cinq mots de passe que vous devez définir,
De plus, je vous ai présenté le nom d'hôte, la description de l'interface et les bannières comme outils pour vous aider
administrer votre routeur.

Eh bien, cela conclut votre introduction à Cisco IOS. Et, comme d'habitude, c'est super important pour
vous devez avoir les bases que nous avons abordées dans ce chapitre avant de passer à
les chapitres suivants !

Essentiels de l'examen
Décrire les responsabilités de l'IOS. Le logiciel IOS du routeur Cisco est responsable de
protocoles réseau et fournissant des fonctions de support, connectant le trafic à haute vitesse entre
périphériques, en ajoutant la sécurité pour contrôler l'accès et empêcher l'utilisation non autorisée du réseau, en fournissant
évolutivité pour faciliter la croissance et la redondance du réseau, et fournir la fiabilité du réseau pour
connexion aux ressources du réseau.

Répertoriez les options disponibles pour se connecter à un périphérique Cisco à des fins de gestion.
Les trois options disponibles sont le port console, le port auxiliaire et la communication intrabande,
tels que Telnet, SSH et HTTP. N'oubliez pas qu'une connexion Telnet n'est pas possible tant qu'une IP
adresse a été configurée et un mot de passe Telnet a été configuré.

Comprendre la séquence de démarrage d'un routeur. Lorsque vous ouvrez un routeur Cisco pour la première fois, il
exécutez un autotest à la mise sous tension (POST), et si cela réussit, il recherchera et chargera le Cisco IOS à partir de
mémoire flash, si un fichier est présent. L'IOS procède ensuite au chargement et recherche un
configuration dans la NVRAM appelée startup-config. Si aucun fichier n'est présent dans la NVRAM, le routeur
passer en mode configuration.

Décrire l'utilisation du mode de configuration. Le mode de configuration est automatiquement lancé si un routeur démarre et
aucune configuration de démarrage n'est dans la NVRAM. Vous pouvez également afficher le mode de configuration en tapant setup à partir de
mode privilégié. Le programme d'installation fournit un minimum de configuration dans un format simple pour
quelqu'un qui ne comprend pas comment configurer un routeur Cisco à partir de la ligne de commande.

Différencier les modes de configuration utilisateur, privilégié et global, à la fois visuellement et


du point de vue des capacités de commandement. Mode utilisateur, indiqué par le nom du routeur>
prompt, fournit une interface de ligne de commande avec très peu de commandes disponibles par défaut. Utilisateur
mode ne permet pas de visualiser ou de modifier la configuration. Mode privilégié, indiqué par
l' invite routername# permet à un utilisateur d'afficher et de modifier la configuration d'un routeur. Tu
peut entrer en mode privilégié en tapant la commande enable et en entrant le mot de passe d'activation ou
activer le mot de passe secret, s'il est défini. Mode de configuration globale, indiqué par le routername(config)#

Page 35

invite, permet d'effectuer des modifications de configuration qui s'appliquent à l'ensemble du routeur (par opposition à un
changement de configuration pouvant affecter une seule interface, par exemple).

Reconnaître les invites supplémentaires disponibles dans d'autres modes et décrire leur utilisation.
Des modes supplémentaires sont atteints via l'invite de configuration globale, routername(config)# , et leur
les invites incluent l'interface, router(config-if)# , pour définir les paramètres de l'interface ; configuration de ligne
mode, router(config-line)# , utilisé pour définir des mots de passe et définir d'autres paramètres pour diverses connexions
méthodes; et modes de protocole de routage pour divers protocoles de routage ; router(config-router)# , utilisé
pour activer et configurer les protocoles de routage.

Accédez aux fonctions d'édition et d'aide et utilisez-les. Utilisez la saisie d'un point d'interrogation à la
fin des commandes pour obtenir de l'aide sur l'utilisation des commandes. De plus, comprenez comment filtrer
aide de commande avec le même point d'interrogation et les mêmes lettres. Utilisez l'historique des commandes pour récupérer
commandes précédemment utilisées sans retaper. Comprendre la signification du caret lorsqu'un
la commande incorrecte est rejetée. Enfin, identifiez les combinaisons de touches de raccourci utiles.

Identifiez les informations fournies par la commande show version . La version spectacle
La commande fournira une configuration de base pour le matériel du système ainsi que le logiciel
version, les noms et les sources des fichiers de configuration, le paramètre du registre de configuration et le
images de démarrage.

Définissez le nom d'hôte d'un routeur. La séquence de commandes pour définir le nom d'hôte d'un routeur est la
suit :

permettre
configuration t
nom d'hôte Todd

Différenciez le mot de passe d'activation et le mot de passe secret d'activation. Ces deux
les mots de passe sont utilisés pour accéder au mode privilégié. Cependant, le mot de passe secret d'activation est
plus récent et est toujours crypté par défaut. De plus, si vous définissez le mot de passe d'activation, puis définissez le
enable secret, seul le secret enable sera utilisé.

Décrire la configuration et l'utilisation des bannières. Les bannières fournissent des informations aux utilisateurs
accéder à l'appareil et peut être affiché à diverses invites de connexion. Ils sont configurés avec le
commande de bannière et un mot-clé décrivant le type spécifique de bannière.
Définissez le secret d'activation sur un routeur. Pour définir le secret d'activation, vous utilisez la configuration globale
commande activer secret . N'utilisez pas activer mot de passe secret mot de passe ou vous définirez votre mot de passe sur
mot de passe mot de passe . Voici un exemple:
permettre
configuration t
activer le secret todd

Définissez le mot de passe de la console sur un routeur. Pour définir le mot de passe de la console, utilisez ce qui suit
séquence:

permettre
configuration t
console de ligne 0
mot de passe à ajouter
connexion

Définissez le mot de passe Telnet sur un routeur. Pour définir le mot de passe Telnet, la séquence est la suivante
suit :
permettre
configuration t
ligne vty 0 4
mot de passe à ajouter
connexion

Décrivez les avantages de l'utilisation de Secure Shell et énumérez ses exigences. Enveloppe de protection
(SSH) utilise des clés cryptées pour envoyer des données afin que les noms d'utilisateur et les mots de passe ne soient pas envoyés dans le
dégager. Cela nécessite qu'un nom d'hôte et un nom de domaine soient configurés et que les clés de chiffrement soient
généré.

Page 36

Décrire le processus de préparation d'une interface à utiliser. Pour utiliser une interface, vous devez
configurez-le avec une adresse IP et un masque de sous-réseau dans le même sous-réseau des hôtes qui seront
connexion au commutateur qui est connecté à cette interface. Il doit également être activé avec le no
commande d' arrêt . Une interface série qui est connectée dos à dos avec un autre routeur série
L'interface doit également être configurée avec une fréquence d'horloge à l'extrémité DCE du câble série.

Comprendre comment résoudre un problème de liaison série. Si vous tapez show interface serial
0/0 etde voir vers le bas, le protocole de ligne est en baisse , cela sera considéré comme un problème de couche physique. Si tu vois
il est actif, le protocole de ligne est en panne , alors vous avez un problème de couche de liaison de données.

Comprenez comment vérifier votre routeur avec la commande show interfaces . Si vous tapez afficher
interfaces ,
vous pouvez afficher les statistiques des interfaces sur le routeur, vérifier si le
les interfaces sont fermées et voient l'adresse IP de chaque interface.

Décrire comment afficher, modifier, supprimer et enregistrer une configuration. Le show running-config
La commande est utilisée pour afficher la configuration actuelle utilisée par le routeur. Le démarrage du spectacle-
La commande config affiche la dernière configuration qui a été enregistrée et c'est celle qui sera utilisée à
prochain démarrage. La commande copy running-config startup-config est utilisée pour enregistrer les modifications apportées au
configuration en cours dans la NVRAM. La commande d' effacement startup-config supprime le
configuration et entraînera l'invocation du menu de configuration au redémarrage du routeur
car il n'y aura pas de configuration présente.

Atelier écrit 6 : Compréhension d'IOS


Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Atelier 6.1 : Compréhension d'IOS
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».

Écrivez la ou les commandes pour les questions suivantes :

1. Quelle commande est utilisée pour définir une interface série pour fournir la synchronisation à un autre routeur à 1000
Ko ?

2. Si vous vous connectez par telnet à un commutateur et que la connexion de réponse est refusée, le mot de passe n'est pas défini , qu'est-ce que
commandes que vous exécutez sur le périphérique de destination pour arrêter de recevoir ce message et
ne pas être invité à saisir un mot de passe ?

3. Si vous tapez show int fastethernet 0/1 et notez le port est administrativement vers le bas, ce qui
commandes exécuteriez-vous pour activer l'interface ?

4. Si vous vouliez supprimer la configuration stockée dans la NVRAM, quelle(s) commande(s) voudriez-vous
taper?

5. Si vous vouliez définir le mot de passe du mode utilisateur sur todd pour le port de console, quelle(s) commande(s)
taperiez-vous ?

6. Si vous vouliez définir le mot de passe secret d'activation sur cisco , quelle(s) commande(s) saisiriez-vous ?

7. Si vous vouliez déterminer si l'interface série 0/2 de votre routeur doit fournir la synchronisation,
quelle commande utiliserais-tu ?

8. Quelle commande utiliseriez-vous pour voir la taille de l'historique du terminal ?

9. Vous souhaitez réinitialiser le commutateur et remplacer totalement la configuration courante par la configuration actuelle
startup-config. Quelle commande allez-vous utiliser ?

10. Comment définiriez-vous le nom d'un commutateur en Ventes ?

Laboratoires pratiques
Dans cette section, vous exécuterez des commandes sur un commutateur Cisco (ou vous pouvez utiliser un routeur) qui

Page 37

vous aider à comprendre ce que vous avez appris dans ce chapitre.

Vous aurez besoin d'au moins un appareil Cisco : deux seraient mieux, trois seraient exceptionnels. Les
les travaux pratiques de cette section sont inclus pour une utilisation avec de vrais routeurs Cisco, mais tous ces travaux pratiques
fonctionne avec la version LammleSim IOS (voir www.lammle.com/ccna ) ou utilise Cisco Packet Tracer
simulateur de routeur. Enfin, pour l'examen Cisco, peu importe le modèle de commutateur ou de routeur que vous
à utiliser avec ces laboratoires, tant que vous utilisez IOS 12.2 ou une version plus récente. Oui, je sais que les objectifs sont de 15
code, mais ce n'est important pour aucun de ces laboratoires.

On suppose que l'appareil que vous allez utiliser n'a pas de configuration actuelle. Si
si nécessaire, effacez toute configuration existante avec Hands-on Lab 6.1 ; sinon, passez à Mains-
sur Lab 6.2 :

Atelier 6.1 : effacement d'une configuration existante

Atelier 6.2 : Exploration des modes utilisateur, privilégié et de configuration

Atelier 6.3 : Utilisation des fonctions d'aide et d'édition

Atelier 6.4 : Enregistrer une configuration

Atelier 6.5 : Définir des mots de passe

Atelier 6.6 : Définir le nom d'hôte, les descriptions, l'adresse IP et la fréquence d'horloge

Travaux pratiques 6.1 : effacement d'une configuration existante


L'atelier suivant peut nécessiter la connaissance d'un nom d'utilisateur et d'un mot de passe pour accéder à des privilèges
mode. Si le routeur a une configuration avec un nom d'utilisateur et un mot de passe inconnus pour
mode, cette procédure ne sera pas possible. Il est possible d'effacer une configuration sans
mot de passe en mode privilégié, mais les étapes exactes dépendent du modèle et ne seront pas couvertes avant
Chapitre 7.

1. Démarrez le commutateur et lorsque vous y êtes invité, appuyez sur Entrée.

2. À l' invite Switch> , tapez enable .

3. Si vous y êtes invité, saisissez le nom d'utilisateur et appuyez sur Entrée. Saisissez ensuite le mot de passe correct et appuyez sur
Entrer.

4. À l' invite du mode privilégié , tapez effacer startup-config .

5. À l' invite du mode privilégié , tapez reload , et lorsque vous êtes invité à enregistrer la configuration, tapez
n pour non.

Atelier pratique 6.2 : Exploration des modes utilisateur, privilégié et de configuration


Dans l'atelier suivant, vous découvrirez les modes utilisateur, privilégié et de configuration :

1. Branchez l'interrupteur ou allumez le routeur. Si vous venez d'effacer la configuration comme dans Hands-on
Lab 6.1, lorsque vous êtes invité à continuer avec la boîte de dialogue de configuration, entrez n pour non et appuyez sur
Entrer. Lorsque vous y êtes invité, appuyez sur Entrée pour vous connecter à votre routeur. Cela vous mettra en utilisateur
mode.

2. À l' invite Switch> , tapez un point d'interrogation ( ? ).


3. Remarquez le –plus– en bas de l'écran.
4. Appuyez sur la touche Entrée pour afficher les commandes ligne par ligne. Appuyez sur la barre d'espace pour afficher le
commande un plein écran à la fois. Vous pouvez taper q à tout moment pour quitter.

5. Tapez enable ou en et appuyez sur Entrée. Cela vous mettra en mode privilégié où vous pourrez
modifier et afficher la configuration du routeur.

6. À l' invite Switch# , tapez un point d'interrogation ( ? ). Remarquez combien d'options s'offrent à vous
en mode privilégié.

7. Tapez q pour quitter.

Page 38

8. Tapez config et appuyez sur Entrée.

9. Lorsque vous êtes invité à choisir une méthode, appuyez sur Entrée pour configurer votre routeur à l'aide de votre terminal.
(qui est la valeur par défaut).

10. Au Switch (config) # invite, tapez un point d'interrogation ( ? ), Alors q de quitter, ou appuyez sur la barre d' espace pour
voir les commandes.

11. Tapez interface f0/1 ou int f0/1 (ou même int gig0/1 ) et appuyez sur Entrée. Cela vous permettra de
configurer l'interface FastEthernet 0/1 ou Gigabit 0/1.

12. À l' invite Switch(config-if)# , tapez un point d'interrogation ( ? ).

13. Si vous utilisez un routeur, tapez int s0/0 , interface s0/0 ou même interface s0/0/0 et appuyez sur Entrée. Cette
vous permettra de configurer l'interface série 0/0. Notez que vous pouvez passer de l'interface à
interface facilement.

14. Type d' encapsulation ? .

15. Tapez sortie . Remarquez comment cela vous ramène d'un niveau.

16. Appuyez sur Ctrl+Z. Remarquez comment cela vous fait sortir du mode de configuration et vous remet dans
mode privilégié.

17. Tapez désactiver . Cela vous mettra en mode utilisateur.

18. Tapez exit , ce qui vous déconnectera du routeur ou du commutateur.

Travaux pratiques 6.3 : Utilisation des fonctions d'aide et d'édition


Ce laboratoire fournira une expérience pratique avec les fonctionnalités d'aide et d'édition de Cisco.

1. Connectez-vous à votre appareil et passez en mode privilégié en tapant en ou en activant .

2. Tapez un point d'interrogation ( ? ).

3. Tapez cl? puis appuyez sur Entrée. Notez que vous pouvez voir toutes les commandes commençant par cl .

4. Tapez horloge ? et appuyez sur Entrée.

Remarquez la différence entre les étapes 3 et 4. À l'étape 3, vous devez taper des lettres avec

pas d'espace et un point d'interrogation, qui vous donnera toutes les commandes commençant par cl .
À l'étape 4, vous devez taper une commande, un espace et un point d'interrogation. En faisant cela, vous verrez le
prochain paramètre disponible.

5. Réglez l'horloge en tapant clock ? et, en suivant les écrans d'aide, régler l'heure et la date. Les
Les étapes suivantes vous guident tout au long du réglage de la date et de l'heure.

6. Tapez horloge ? .

7. Tapez horloge réglée ? .

8. Tapez le réglage de l'horloge 10:30:30 ? .

9. Tapez l' horloge réglée 10:30:30 14 mai ? .

10. Tapez l' horloge réglée 10:30:30 14 mai 2011 .

11. Appuyez sur Entrée.

12. Tapez show clock pour voir l'heure et la date.

13. En mode privilégié, tapez show access-list 10 . N'appuyez pas sur Entrée.

14. Appuyez sur Ctrl+A. Cela vous amène au début de la ligne.

15. Appuyez sur Ctrl+E. Cela devrait vous ramener à la fin de la ligne.

16. Ctrl+A ramène votre curseur au début de la ligne, puis Ctrl+F déplace votre

Page 39

curseur en avant d'un caractère.


17. Appuyez sur Ctrl+B, ce qui vous fera reculer d'un caractère.
18. Appuyez sur Entrée, puis sur Ctrl+P. Cela répétera la dernière commande.
19. Appuyez sur la flèche vers le haut de votre clavier. Cela répétera également la dernière commande.

20. Tapez sh historique . Cela vous montre les 10 dernières commandes entrées.

21. Tapez la taille de l'historique du terminal ? . Cela modifie la taille de l'entrée de l'historique. Le ? est le nombre de
lignes autorisées.

22. Tapez show terminal pour collecter les statistiques du terminal et la taille de l'historique.

23. Tapez terminal sans édition . Cela désactive l'édition avancée. Répétez les étapes 14 à 18 pour voir
que les touches d'édition de raccourci n'ont aucun effet jusqu'à ce que vous tapiez l'édition du terminal .

24. Tapez l' édition du terminal et appuyez sur Entrée pour réactiver l'édition avancée.

25. Tapez sh run , puis appuyez sur la touche Tab. Cela finira de taper la commande pour vous.

26. Tapez sh start , puis appuyez sur la touche Tab. Cela finira de taper la commande pour vous.

Travaux pratiques 6.4 : Enregistrement d'une configuration


Dans cet atelier, vous allez acquérir une expérience pratique de l'enregistrement d'une configuration :

1. Connectez-vous à votre appareil et passez en mode privilégié en tapant en ou enable , puis appuyez sur Entrée.

2. Pour voir la configuration stockée dans la NVRAM, tapez sh start et appuyez sur Tab et Entrée, ou tapez
affichez startup-config et
appuyez sur Entrée. Cependant, si aucune configuration n'a été enregistrée, vous obtiendrez
un message d'erreur.

3. Pour enregistrer une configuration dans la NVRAM, connue sous le nom de configuration de démarrage, vous pouvez effectuer l'une des
Suivant:

Tapez copy run start et appuyez sur Entrée.

Tapez copy running , appuyez sur Tab, tapez start , appuyez sur Tab et appuyez sur Entrée.

Tapez copy running-config startup-config et appuyez sur Entrée.

4. Tapez sh start , appuyez sur Tab, puis appuyez sur Entrée.

5. Tapez sh run , appuyez sur Tab, puis appuyez sur Entrée.

6. Tapez effacer startup-config , appuyez sur Tab, puis appuyez sur Entrée.

7. Tapez sh start , appuyez sur Tab, puis appuyez sur Entrée. Le routeur vous dira que la NVRAM n'est pas
présenter ou afficher un autre type de message, selon l'IOS et le matériel.

8. Tapez recharger , puis appuyez sur Entrée. Confirmez le rechargement en appuyant sur Entrée. Attendez que l'appareil
à recharger.

9. Dites non au mode de configuration ou appuyez simplement sur Ctrl+C.

Atelier pratique 6.5 : Définir des mots de passe


Ce laboratoire pratique vous permettra de définir vos mots de passe.

1. Connectez-vous au routeur et passez en mode privilégié en tapant en ou enable .

2. Tapez config t et appuyez sur Entrée.

3. Tapez activer ? .

4. Définissez votre mot de passe d'activation secret en tapant enable secretpassword (le troisième mot doit être
votre propre mot de passe personnalisé) et appuyez sur Entrée. Ne pas ajouter le mot de passe du paramètre après
le paramètre secret (cela ferait de votre mot de passe le mot password ). Un exemple serait
être activer le todd secret .

Page 40

5. Voyons maintenant ce qui se passe lorsque vous vous déconnectez complètement du routeur, puis que vous vous connectez.
en appuyant sur Ctrl+Z, puis tapez exit et appuyez sur Entrée. Passez en mode privilégié. Avant que tu sois
autorisé à entrer en mode privilégié, un mot de passe vous sera demandé. Si vous entrez avec succès
le mot de passe secret, vous pouvez continuer.

6. Supprimez le mot de passe secret. Accédez au mode privilégié, tapez config t et appuyez sur Entrée. Tapez non
activez le secret et
appuyez sur Entrée. Déconnectez-vous puis reconnectez-vous ; maintenant on ne devrait pas te demander
pour un mot de passe.

7. Un autre mot de passe utilisé pour entrer en mode privilégié s'appelle le mot de passe d'activation. C'est un ancien,
mot de passe moins sécurisé et n'est pas utilisé si un mot de passe secret d'activation est défini. Voici un exemple de
comment le régler :

configuration t
activer le mot de passe todd1

8. Notez que les mots de passe enable secret et enable sont différents. Ils ne doivent jamais être réglés
le même. En fait, vous ne devriez jamais utiliser le mot de passe d'activation, seulement activer le secret.

9. Tapez config t pour être au bon niveau pour définir votre console et les mots de passe auxiliaires, puis tapez
ligne ? .

10. Notez que les paramètres des commandes de ligne sont auxiliaires , vty et console . vous définirez
les trois si vous êtes sur un routeur ; si vous êtes sur un switch, seules les lignes console et VTY sont
disponible.

11. Pour définir le mot de passe Telnet ou VTY, saisissez la ligne vty 0 4 , puis appuyez sur Entrée. Le 0 4 est le
plage des cinq lignes virtuelles disponibles utilisées pour se connecter à Telnet. Si vous avez une entreprise
IOS, le nombre de lignes peut varier. Utilisez le point d'interrogation pour déterminer le dernier numéro de ligne
disponible sur votre routeur.

12. La commande suivante est utilisée pour activer ou désactiver l'authentification. Tapez login et appuyez sur Entrée pour
demander un mot de passe en mode utilisateur lors de la connexion telnet dans l'appareil. Vous ne pourrez pas
telnet dans un périphérique Cisco si le mot de passe n'est pas défini.

Vous pouvez utiliser la commande no login pour désactiver l'invite de mot de passe en mode utilisateur

lors de l'utilisation de Telnet. Ne faites pas cela en production !

13. Une autre commande que vous devez définir pour votre mot de passe VTY est password . Tapez mot de passemot de passe
pour définir le mot de passe. (le mot de passe est votre mot de passe.)

14. Voici un exemple de définition du mot de passe VTY :

configuration t
ligne vty 0 4
mot de passe à ajouter
connexion

15. Définissez votre mot de passe auxiliaire en tapant d'abord line auxiliaire 0 ou line aux 0 (si vous utilisez un
routeur).

16. Tapez connexion .

17. Tapez mot de passemot de passe .

18. Définissez votre mot de passe de console en tapant d'abord line console 0 ou line con 0 .

19. Tapez connexion .

20. Tapez mot de passemot de passe . Voici un exemple des deux dernières séquences de commandes :
configuration t
ligne con 0
mot de passe todd1
connexion
ligne aux 0

Page 41

mot de passe à ajouter


connexion

21. Vous pouvez ajouter la commande Exec-timeout 0 0 à la ligne 0 de la console . Cela arrêtera la console
de l'expiration et de la déconnexion. La séquence de commandes ressemblera maintenant à ceci :

configuration t
ligne con 0
mot de passe todd2
connexion
Exec-timeout 0 0

22. Configurez l'invite de la console pour ne pas écraser la commande que vous tapez avec les messages de la console
en utilisant la commande logging synchronous .

configuration t
ligne con 0
journalisation synchrone

Travaux pratiques 6.6 : Définition du nom d'hôte, des descriptions, de l'adresse IP et


Fréquence d'horloge
Cet atelier vous permettra de définir vos fonctions administratives sur chaque appareil.

1. Connectez-vous au commutateur ou au routeur et passez en mode privilégié en tapant en ou enable . Si nécessaire,


entrez un nom d'utilisateur et un mot de passe.

2. Définissez votre nom d'hôte à l'aide de la commande hostname . Remarquez que c'est un mot. Voici un
exemple de définition de votre nom d'hôte sur votre routeur, mais le commutateur utilise exactement le même
commander:

Routeur#config t
Routeur(config)#hostname RouterA
RouteurA(config)#

Notez que le nom d'hôte du routeur a changé dans l'invite dès que vous avez appuyé sur Entrée.

3. Définissez une bannière que les administrateurs réseau verront à l'aide de la commande banner , comme indiqué
dans les étapes suivantes.

4. Tapez config t , puis banner ? .

5. Notez que vous pouvez définir au moins quatre bannières différentes. Pour ce laboratoire, nous ne nous intéressons qu'à
les bannières de connexion et de message du jour (MOTD).

6. Définissez votre bannière MOTD, qui s'affichera lorsqu'une console, un auxiliaire ou Telnet
la connexion est établie au routeur, en tapant ceci :

configuration t
bannière motd #
Ceci est une bannière motd
#

7. L'exemple précédent utilisait un signe # comme caractère de délimitation. Ceci indique au routeur quand le
le message est fait. Vous ne pouvez pas utiliser le caractère de délimitation dans le message lui-même.
8. Vous pouvez supprimer la bannière MOTD en tapant la commande suivante :

configuration t
pas de bannière

9. Définissez la bannière de connexion en tapant ceci :


configuration t
# de connexion à la bannière
Ceci est une bannière de connexion
#

10. La bannière de connexion s'affichera immédiatement après le MOTD mais avant le mode utilisateur
invite de mot de passe. N'oubliez pas que vous définissez vos mots de passe en mode utilisateur en configurant la console,
mots de passe de ligne auxiliaire et VTY.

Page 42

11. Vous pouvez supprimer la bannière de connexion en tapant ceci :

configuration t
pas de connexion à la bannière

12. Vous pouvez ajouter une adresse IP à une interface avec la commande ip address si vous utilisez un
routeur. Vous devez d'abord passer en mode de configuration d'interface ; voici un exemple de la façon dont vous
fais ça :

configuration t
entier f0/1
adresse IP 1.1.1.1 255.255.0.0
Pas d'extinction

Notez que l'adresse IP ( 1.1.1.1 ) et le masque de sous-réseau ( 255.255.0.0 ) sont configurés sur une seule ligne.
L' arrêt du pas (ou pas d' arrêt pour faire court) commande est utilisée pour activer l'interface. Toutes les interfaces
sont arrêtés par défaut sur un routeur. Si vous êtes sur un switch de couche 2, vous pouvez définir une adresse IP
uniquement sur l'interface VLAN 1.

13. Vous pouvez ajouter une identification à une interface à l'aide de la commande description . Ceci est utile pour
ajouter des informations sur la connexion. Voici un exemple:

configuration t
entier f0/1
adresse IP 2.2.2.1 255.255.0.0
pas de fermeture
description lien LAN vers Finance

14. Vous pouvez ajouter la bande passante d'une liaison série ainsi que la fréquence d'horloge lors de la simulation d'un DCE
Liaison WAN sur un routeur. Voici un exemple:
configuration t
int s0/0
bande passante 1000
fréquence d'horloge 1000000

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Vous tapez show interfaces fa0/1 et obtenez cette sortie :

275496 paquets en entrée, 35226811 octets, 0 pas de tampon


69748 diffusions reçues (58822 multidiffusions)
0 avortons, 0 géants, 0 manettes
111395 erreurs d'entrée, 511987 CRC, 0 trame, 0 dépassement, 0 ignoré
0 chien de garde, 58822 multidiffusion, 0 entrée de pause
0 paquets d'entrée avec condition de dribble détectée
2392529 paquets de sortie, 337933522 octets, 0 sous-exécution
0 erreurs de sortie, 0 collisions, 1 réinitialisation d'interface
0 babillage, 0 collision tardive, 0 différé
0 porteuse perdue, 0 pas de porteuse, 0 sortie PAUSE
0 échecs de tampon de sortie, 0 tampons de sortie échangés

Quel pourrait être le problème avec cette interface?

A. Inadéquation de vitesse sur les interfaces directement connectées

B. Collisions provoquant des erreurs CRC

C. Les trames reçues sont trop volumineuses

D. Interférence sur le câble Ethernet

Page 43
2. La sortie de la commande show running-config provient de _________.
A. NVRAM

B. Flash

C. RAM

D. Micrologiciel

3. Lesquelles des deux commandes suivantes sont requises lors de la configuration de SSH sur votre routeur ?
(Choisissez deux.)

A. activer le mot de passe secret

B. Exec-timeout 0 0

C. nom de domaine ip

D. nom d'utilisateur mot de passe mot de passe

E. ip ssh version 2

4. Quelle commande vous montrera si un câble DTE ou DCE est branché en série 0/0 sur
le port WAN de votre routeur ?

A. sh int s0/0

B. sh int serial0/0

C. afficher les contrôleurs s0/0

D. afficher les contrôleurs serial0/0

5. Dans la zone de travail, faites glisser le terme routeur vers sa définition sur la droite.
Mode Définition

mode d'exécution utilisateur Commandes qui affectent l'ensemble du système

mode d'exécution privilégié Commandes affectant uniquement les interfaces/processus

Mode de configuration globale Boîte de dialogue de configuration interactive

Modes de configuration spécifiques Donne accès à toutes les autres commandes du routeur

Mode de configuration Limité aux commandes de surveillance de base

6. En utilisant la sortie donnée, quel type d'interface est affiché ?

[coupure de sortie]
Le matériel est MV96340 Ethernet, l'adresse est 001a.2f55.c9e8 (bia 001a.2f55.c9e8)
L'adresse Internet est 192.168.1.33/27
MTU 1500 octets, BW 100000 Kbit, DLY 100 usec,
fiabilité 255/255, txload 1/255, rxload 1/255

A. 10 Mo

B. 100 Mo

C. 1000 Mo

D. 1000 Mo

7. Laquelle des commandes suivantes configurera tous les ports VTY par défaut sur un commutateur ?

A. Commutateur # ligne vty 0 4

B. Switch(config)# ligne vty 0 4

C. Switch(config-if)# ligne console 0

D. Switch(config)# line vty all

8. Laquelle des commandes suivantes définit le mot de passe du mode privilégié sur Cisco et crypte
le mot de passe?

Page 44

A. activer le mot de passe secret Cisco

B. activer le cisco secret

C. activer le secret Cisco

D. activer le mot de passe Cisco

9. Si vous souhaitez que les administrateurs voient un message lorsqu'ils se connectent au commutateur, quelle commande
utiliseriez-vous ?

A. message bannière motd

B. bannière de message motd

C. bannière motd

D. message

10. Laquelle des invites suivantes indique que le commutateur est actuellement en mode privilégié ?

A. Commutateur (config) #

B. Commutateur>

C. Commutateur #

D. Commutateur (config-if)
11. Quelle commande tapez-vous pour enregistrer la configuration stockée dans la RAM dans la NVRAM ?

A. Switch(config)# copier le courant au démarrage

B. La copie du commutateur # commence à s'exécuter

C. Switch(config)# copy running-config startup-config

D. Début de l'exécution de la copie du commutateur#

12. Vous essayez de vous connecter à SF depuis le routeur Corp et recevez ce message :

Corp# telnet SF
Essayer SF (10.0.0.1)...Ouvrir

Mot de passe requis, mais aucun défini


[Connexion à SF fermée par l'hôte étranger]
Numéro d'entreprise

Laquelle des séquences suivantes résoudra correctement ce problème ?

A. Corp(config)#line console 0
Corp(ligne de configuration)#password mot de passe
Corp(ligne de configuration)#login

B. SF config)#ligne console 0
SF(config-line)#enable mot de passe secret
SF(config-line)#login

C. Corp(config)#line vty 0 4
Corp(ligne de configuration)#password mot de passe
Corp(ligne de configuration)#login

D. SF(config)#ligne vty 0 4
SF(config-line)#password mot de passe
SF(config-line)#login

13. Quelle commande supprimera le contenu de la NVRAM sur un commutateur ?

A. supprimer la NVRAM

B. supprimer la configuration de démarrage

C. effacer le flash

D. effacer la configuration de démarrage

E. effacer le début

Page 45

14. Quel est le problème avec une interface si vous tapez show interface g0/1 et recevez ce qui suit
un message?
Gigabit 0/1 est en panne administrativement, le protocole de ligne est en panne

A. Les keepalives sont des temps différents.

B. L'administrateur fait fermer l'interface.

C. L'administrateur envoie un ping depuis l'interface.

D. Aucun câble n'est connecté.

15. Laquelle des commandes suivantes affiche les paramètres configurables et les statistiques de tous
interfaces sur un commutateur?

A. show running-config

B. afficher la configuration de démarrage

C. afficher les interfaces

D. afficher les versions

16. Si vous supprimez le contenu de la NVRAM et redémarrez le commutateur, dans quel mode serez-vous ?

A. Mode privilégié

B. Mode global

C. Mode configuration

D. Mode chargé NVRAM

17. Vous tapez la commande suivante dans le commutateur et recevez la sortie suivante :

Switch# show fastethernet 0/1


^
% Entrée non valide détectée au marqueur '^'.

Pourquoi ce message d'erreur s'est-il affiché ?

A. Vous devez être en mode privilégié.

B. Vous ne pouvez pas avoir d'espace entre fastethernet et 0/1 .

C. Le commutateur n'a pas d'interface FastEthernet 0/1.

D. Une partie de la commande est manquante.

18. Vous tapez Switch#sh r et recevez une erreur de commande % ambiguë . Pourquoi as-tu reçu ça
un message?

A. La commande requiert des options ou des paramètres supplémentaires.


B. Il existe plusieurs commandes show commençant par la lettre r .
C. Il n'y a pas de commande show qui commence par r.

D. La commande est exécutée à partir du mauvais mode.

19. Laquelle des commandes suivantes affichera l'adressage IP actuel et les couches 1 et 2
statut d'une interface ? (Choisissez deux.)

A. afficher la version

B. afficher les interfaces

C. afficher les contrôleurs

D. afficher l'interface IP

E. show running-config

20. À quelle couche du modèle OSI supposeriez-vous que le problème est si vous tapez show interface
série 1 et recevez le message suivant ?

Page 46

Serial1 est en panne, le protocole de ligne est en panne

A. Couche physique

B. Couche de liaison de données

C. Couche réseau

D. Aucun ; c'est un problème de routeur.


47

Chapitre 7
Gestion d'un interréseau Cisco

Les sujets d'examen ICND1 suivants sont traités dans ce


chapitre:
2.0 Technologies de commutation LAN

2.6 Configurer et vérifier les protocoles de couche 2

2.6.a Protocole de découverte Cisco

2.6.bLLDP

4.0 Services d'infrastructure

4.1 Décrire l'opération de recherche DNS

4.2 Résoudre les problèmes de connectivité client impliquant DNS

4.3 Configurer et vérifier DHCP sur un routeur (hors réservations statiques)

4.3.a Serveur

4.3.b Relais

4.3.c Client

4.3.d Options TFTP, DNS et passerelle

4.4 Résoudre les problèmes de connectivité DHCP basés sur les clients et les routeurs

4.5 Configurer et vérifier le fonctionnement de NTP en mode client/serveur

5.0 Gestion des infrastructures

5.1 Configurer et vérifier la surveillance des appareils à l'aide de syslog

5.2 Configurer et vérifier la gestion des appareils

5.2.a Sauvegarder et restaurer la configuration de l'appareil

5.2.b Utilisation du protocole de découverte Cisco et de LLDP pour la découverte de périphériques

5.2.d Journalisation

5.2.e Fuseau horaire

5.2.f Bouclage

Ici, au chapitre 7, je vais vous montrer comment gérer


Routeurs et commutateurs Cisco sur un interréseau. Vous découvrirez les principaux composants de

48

un routeur, ainsi que la séquence de démarrage du routeur. Vous découvrirez également comment gérer les appareils Cisco en
en utilisant la commande copy avec un hôte TFTP et comment configurer DHCP et NTP, plus vous obtiendrez un
étude du Cisco Discovery Protocol (CDP). Je vais également vous montrer comment résoudre les noms d'hôtes.

Je vais conclure le chapitre en vous guidant à travers certains dépannages importants de Cisco IOS
techniques pour vous assurer que vous êtes bien équipé avec ces compétences clés.

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna

ou la page Web du livre à l' adresse www.sybex.com/go/ccna .

Les composants internes d'un routeur et d'un commutateur Cisco


À moins que vous ne connaissiez vraiment le fonctionnement intérieur et extérieur de toutes les pièces de votre voiture.
systèmes et ses machines et comment toute cette technologie fonctionne ensemble, vous l'apporterez à
quelqu'un qui ne sait comment garder maintenu, figure ce qui ne va pas quand il arrête
en cours d'exécution, et le remettre en marche. C'est la même chose avec les périphériques réseau Cisco : vous
besoin de tout savoir sur leurs principaux composants, pièces et pièces ainsi que sur ce qu'ils font tous et
pourquoi et comment ils travaillent tous ensemble pour faire fonctionner un réseau. Plus vos connaissances sont solides,
plus vous serez expert sur ces choses et mieux vous serez équipé pour configurer et
dépanner un interréseau Cisco. Pour atteindre cet objectif, étudiez le tableau 7.1 pour une introduction
description des principaux composants d'un routeur Cisco.

TABLEAU 7.1 Composants du routeur Cisco

Description du composant

Amorcer Stocké dans le microcode de la ROM, le bootstrap est utilisé pour faire monter un routeur
lors de l'initialisation. Il démarre le routeur, puis charge l'IOS.

POST (alimentation-Egalement stocké dans le microcode de la ROM, le POST permet de vérifier les bases
sur l'autotest) fonctionnalité du matériel du routeur et détermine quelles interfaces sont
présent.

Moniteur ROM Encore une fois, stocké dans le microcode de la ROM, le moniteur ROM est utilisé pour
la fabrication, les tests et le dépannage, ainsi que l'exécution d'un mini-IOS lorsque
l'IOS en flash ne se charge pas.

Mini-IOS Appelé le RXBOOT ou bootloader par Cisco, le mini-IOS est un petit IOS en ROM
qui peut être utilisé pour faire apparaître une interface et charger un Cisco IOS dans la mémoire flash.
Le mini-IOS peut également effectuer quelques autres opérations de maintenance.

RAM Utilisé pour contenir les tampons de paquets, le cache ARP, les tables de routage, ainsi que le logiciel
(Aléatoire et des structures de données qui permettent au routeur de fonctionner. Running-config est stocké dans
accès RAM, et la plupart des routeurs étendent l'IOS de la mémoire flash à la RAM au démarrage.
Mémoire)

ROM (lecture- Utilisé pour démarrer et entretenir le routeur. Contient le POST et le bootstrap
seul souvenir) programme ainsi que le mini-IOS.

Éclat Stocke le Cisco IOS par défaut. La mémoire flash n'est pas effacée lorsque le routeur est
Mémoire rechargé. Il s'agit d'une EEPROM (électroniquement effaçable programmable en lecture seule
mémoire) créé par Intel.

NVRAM Utilisé pour contenir la configuration du routeur et du commutateur. La NVRAM n'est pas effacée lorsque
(non volatile le routeur ou le commutateur est rechargé. Ne stocke pas d'IOS. La config
RAM) registre est stocké dans la NVRAM.

Configuration Utilisé pour contrôler le démarrage du routeur. Cette valeur peut être trouvée comme dernière ligne

49

S'inscrire de la sortie de la commande show version et est défini par défaut sur 0x2102, ce qui indique
le routeur pour charger l'IOS depuis la mémoire flash ainsi que pour charger la configuration
de la NVRAM.

La séquence de démarrage du routeur et du commutateur


Lorsqu'un périphérique Cisco démarre, il exécute une série d'étapes, appelées séquence de démarrage , pour tester le
matériel et chargez le logiciel nécessaire. La séquence de démarrage comprend les étapes suivantes, comme
illustré à la figure 7.1 :

1. Le périphérique IOS effectue un POST, qui teste le matériel pour vérifier que tous les composants de
l'appareil sont présents et opérationnels. La poste fait le point sur les différentes interfaces sur le
commutateur ou routeur, et il est stocké et exécuté à partir de la mémoire morte (ROM).

2. Le bootstrap dans la ROM localise et charge ensuite le logiciel Cisco IOS en exécutant des programmes
responsable de trouver l'emplacement de chaque programme IOS. Une fois qu'ils sont trouvés, il charge
les fichiers appropriés. Par défaut, le logiciel IOS est chargé à partir de la mémoire flash de tous les appareils Cisco.

FIGURE 7.1 Processus de démarrage du routeur

3. Le logiciel IOS recherche alors un fichier de configuration valide stocké dans la NVRAM. Ce fichier s'appelle
startup-config et ne sera présent que si un administrateur a copié le fichier running-config
en NVRAM.

4. Si un fichier de configuration de démarrage est trouvé dans la NVRAM, le routeur ou le commutateur le copiera, le placera dans la RAM,
et nommez le fichier running-config. L'appareil utilisera ce fichier pour s'exécuter, et le
le routeur/commutateur devrait maintenant être opérationnel. Si un fichier de configuration de démarrage n'est pas dans la NVRAM, le routeur
diffusera toute interface qui détecte la détection de porteuse (CD) pour un hôte TFTP à la recherche d'un
configuration, et quand cela échoue (généralement, cela échouera - la plupart des gens ne réaliseront même pas le
routeur a tenté ce processus), il lancera le processus de configuration du mode de configuration.

L'ordre par défaut du chargement d'un IOS à partir d'un périphérique Cisco commence par flash, puis

serveur TFTP et enfin ROM.

Sauvegarde et restauration de la configuration Cisco


Toutes les modifications que vous apportez à la configuration sont stockées dans le fichier running-config. Et si tu

50

n'entrez pas de commande copy run start après avoir modifié running-config, ce changement sera
disparaissent totalement si l'appareil redémarre ou s'éteint. Comme toujours, les sauvegardes sont bonnes, donc
vous voudrez faire une autre sauvegarde des informations de configuration juste au cas où le routeur ou
l'interrupteur meurt complètement sur vous. Même si votre machine est en bonne santé et heureuse, il est bon d'avoir un
sauvegarde pour des raisons de référence et de documentation !

Ensuite, je couvrirai comment copier la configuration d'un routeur sur un serveur TFTP ainsi que comment
restaurer cette configuration.

Sauvegarde de la configuration Cisco


Pour copier la configuration d'un périphérique IOS à un serveur TFTP, vous pouvez utiliser la copie
running-config tftp ou
la commande copy startup-config tftp . L'un ou l'autre sauvegardera le routeur
configuration qui s'exécute actuellement dans la DRAM ou celle qui est stockée dans la NVRAM.

Vérification de la configuration actuelle

Pour vérifier la configuration dans la DRAM, utilisez la commande show running-config ( sh run pour faire court) comme
cette:

Routeur# show running-config


Configuration du bâtiment...

Configuration actuelle : 855 octets


!
version 15.0

Les informations de configuration actuelles indiquent que le routeur exécute la version 15.0 du
IOS.

Vérification de la configuration stockée

Ensuite, vous devez vérifier la configuration stockée dans la NVRAM. Pour voir cela, utilisez le show startup-
commande de configuration ( sh start pour faire court) comme ceci :
Routeur# sh start
Utilisation de 855 sur 524288 octets
!
! Dernier changement de configuration à 04:49:14 UTC vendredi 5 mars 1993
!
version 15.0

La première ligne vous indique l'espace occupé par votre configuration de sauvegarde. Ici, on peut
voyez que la NVRAM fait environ 524 Ko et que seuls 855 octets sont utilisés. Mais la mémoire est
plus facile à révéler via la commande show version lorsque vous utilisez un routeur ISR.

Si vous n'êtes pas sûr que les fichiers sont les mêmes et que le fichier running-config est ce que vous voulez utiliser
avec, puis utilisez la commande copy running-config startup-config . Cela vous aidera à vous assurer que les deux
les fichiers sont en fait les mêmes. Je vais vous guider à travers cela dans la section suivante.

Copie de la configuration actuelle dans la NVRAM

En copiant running-config sur NVRAM en tant que sauvegarde, comme indiqué dans la sortie suivante, vous vous assurez
que votre configuration en cours sera toujours rechargée si le routeur est redémarré. À partir du 12.0
IOS, vous serez invité à saisir le nom de fichier que vous souhaitez utiliser :

Router# copy running-config startup-config


Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]

La raison pour laquelle l'invite de nom de fichier apparaît est qu'il y a maintenant tellement d'options que vous pouvez utiliser lorsque
en utilisant la commande copy —vérifiez-le :

Router# copy running-config ?


éclat: Copier dans la flash : système de fichiers
ftp : Copier vers ftp : système de fichiers
http: Copier vers http: système de fichiers
51

https : Copier vers https : système de fichiers


nul: Copier vers null : système de fichiers
nvram : Copier sur nvram : système de fichiers
rcp : Copier dans rcp : système de fichiers
running-config Mettre à jour (fusionner avec) la configuration actuelle du système
scp : Copier dans scp : système de fichiers
startup-config Copier dans la configuration de démarrage
syslog : Copier dans syslog : système de fichiers
système: Copier dans le système : système de fichiers
tftp : Copier sur tftp : système de fichiers
tmpsys : Copier dans tmsys : système de fichiers

Copie de la configuration sur un serveur TFTP

Une fois le fichier copié dans la NVRAM, vous pouvez effectuer une deuxième sauvegarde sur un serveur TFTP en utilisant le
copiez la commande running-config tftp ou copiez run tftp en abrégé. Je vais définir le nom d'hôte sur Todd
avant de lancer cette commande :

Todd# copier running-config tftp


Adresse ou nom de l'hôte distant [] ? 10.10.10.254
Nom du fichier de destination [todd-confg] ?
!!
776 octets copiés en 0,800 s (970 octets/s)

Si vous avez déjà configuré un nom d'hôte, la commande utilisera automatiquement le nom d'hôte
plus l'extension -confg comme nom de fichier.

Restauration de la configuration Cisco


Que faites-vous si vous avez modifié votre fichier running-config et souhaitez restaurer la configuration
à la version dans le fichier startup-config ? Le moyen le plus simple d'y parvenir est d'utiliser la copie de démarrage-
config running-config command,
ou copy start run pour faire court, mais cela ne fonctionnera que si vous avez copié
running-config dans la NVRAM avant d'apporter des modifications ! Bien entendu, un rechargement de l'appareil
travaille aussi !

Si vous avez copié la configuration sur un serveur TFTP en tant que seconde sauvegarde, vous pouvez restaurer le
configuration à l'aide de la commande copy tftp running-config ( copy tftp run pour faire court), ou la copie
Commande tftp startup-config ( copiez tftp start pour faire court), comme indiqué dans la sortie suivante. Juste ainsi
vous savez, l'ancienne commande que nous utilisions pour cela est config net :

Todd# copier tftp running-config


Adresse ou nom de l'hôte distant [] ? 10.10.10.254
Nom du fichier source [] ? todd-confg
Nom du fichier de destination [running-config] ? [Entrer]
Accès à tftp://10.10.10.254/todd-confg...
Chargement de todd-confg depuis 10.10.10.254 (via FastEthernet0/0):
!!
[OK - 776 octets]
776 octets copiés en 9,212 secondes (84 octets/sec)
Todd#
* 7 mars 17:53:34.071 : %SYS-5-CONFIG_I : configuré à partir de
tftp://10.10.10.254/todd-confg par console

Bon, le fichier de configuration est un fichier texte ASCII. . . ce qui signifie qu'avant de copier le
configuration stockée sur un serveur TFTP vers un routeur, vous pouvez apporter des modifications au fichier avec
n'importe quel éditeur de texte.

N'oubliez pas que lorsque vous copiez ou fusionnez une configuration d'un serveur TFTP vers

la RAM d'un routeur fraîchement effacé et redémarré, les interfaces sont fermées par défaut et
vous devez activer manuellement chaque interface avec la commande no shutdown .

Effacement de la configuration
Pour supprimer le fichier startup-config sur un routeur ou un commutateur Cisco, utilisez la commande delete startup-
config , comme ceci :

Page 52

Todd# effacer la configuration de démarrage


Effacer le système de fichiers nvram supprimera tous les fichiers de configuration !
Continuer? [confirmer] [entrer]
[D'ACCORD]
Effacement de nvram : terminé
* 7 mars 17:56:20.407 : %SYS-7-NV_BLOCK_INIT : initialisation de la géométrie de nvram
Todd# recharger
La configuration du système a été modifiée. Sauvegarder? [oui/non] : n
Continuer le rechargement ? [confirmer] [entrer]
* 7 mars 17:56:31.059 : %SYS-5-RELOAD : rechargement demandé par la console.
Raison du rechargement : commande de rechargement.

Cette commande supprime le contenu de la NVRAM sur le commutateur et le routeur. Si vous tapez recharger pendant
en mode privilégié et dites non à l'enregistrement des modifications, le commutateur ou le routeur se rechargera et s'activera
en mode configuration.

Configuration de DHCP
Nous avons examiné DHCP au chapitre 3, « Introduction à TCP/IP », où j'ai décrit son fonctionnement et
ce qui se passe quand il y a un conflit. À ce stade, vous êtes prêt à apprendre à configurer DHCP
sur l'IOS de Cisco ainsi que comment configurer un redirecteur DHCP lorsque vos hôtes ne vivent pas dessus
le même réseau local que le serveur DHCP. Vous souvenez-vous du processus en quatre étapes utilisé par les hôtes pour obtenir un
adresse d'un serveur? Sinon, ce serait le moment idéal pour retourner au chapitre 3 et
examinez-le attentivement avant de passer à autre chose !

Pour configurer un serveur DHCP pour vos hôtes, vous avez besoin au minimum des informations suivantes :

Réseau et masque pour chaque ID de réseau LAN , également appelé étendue. Toutes les adresses dans un
le sous-réseau peut être loué à des hôtes par défaut.

Adresses réservées/exclues Adresses réservées pour les imprimantes, serveurs, routeurs, etc.
Ces adresses ne seront pas transmises aux hôtes. Je réserve habituellement la première adresse de chaque
sous-réseau pour le routeur, mais vous n'êtes pas obligé de le faire.

Routeur par défaut Il s'agit de l'adresse du routeur pour chaque réseau local.

Adresse DNS Une liste d'adresses de serveur DNS fournie aux hôtes afin qu'ils puissent résoudre les noms.

Voici vos étapes de configuration :

1. Excluez les adresses que vous souhaitez réserver. La raison pour laquelle vous effectuez cette étape en premier est que, en tant que
dès que vous définissez un identifiant de réseau, le service DHCP commencera à répondre aux demandes des clients.

2. Créez votre pool pour chaque réseau local en utilisant un nom unique.

3. Choisissez l'ID de réseau et le masque de sous-réseau pour le pool DHCP que le serveur utilisera pour fournir
adresses aux hôtes.

4. Ajoutez l'adresse utilisée pour la passerelle par défaut du sous-réseau.

5. Fournissez la ou les adresses du serveur DNS.

6. Si vous ne souhaitez pas utiliser la durée de location par défaut de 24 heures, vous devez définir la durée de location dans
jours, heures et minutes.

Je vais configurer le commutateur de la figure 7.2 pour qu'il soit le serveur DHCP du réseau local sans fil des ventes.

53

FIGURE 7.2 Exemple de configuration DHCP sur un commutateur

Comprenez que cette configuration aurait pu être facilement placée sur le routeur de la Figure 7.2 .
Voici comment nous allons configurer DHCP à l'aide de l'ID réseau 192.168.10.0/24 :

Switch(config)# ip dhcp exclu-adresse 192.168.10.1 192.168.10.10


Switch(config)# ip dhcp pool Sales_Wireless
Switch (dhcp-config) # réseau 192.168.10.0 255.255.255.0
Commutateur (dhcp-config)# routeur par défaut 192.168.10.1
Commutateur (dhcp-config)# dns-server 4.4.4.4
Commutateur (dhcp-config) # bail 3 12 15
Commutateur (dhcp-config) # option 66 ascii tftp.lammle.com

Tout d'abord, vous pouvez voir que j'ai réservé 10 adresses dans la plage pour le routeur, les serveurs et les imprimantes,
etc. J'ai ensuite créé le pool nommé Sales_Wireless, ajouté la passerelle par défaut et le serveur DNS,
et fixez le bail à 3 jours, 12 heures et 15 minutes (ce qui n'est pas vraiment significatif car je viens de
définissez-le de cette façon à des fins de démonstration). Enfin, j'ai donné un exemple sur vous de la façon dont vous
définissez l'option 66, qui envoie une adresse de serveur TFTP à un client DHCP. Généralement utilisé pour la VoIP
les téléphones ou les installations automatiques, et doit être répertorié en tant que nom de domaine complet. Assez simple, non? Les
le commutateur répondra désormais aux requêtes des clients DHCP. Mais que se passe-t-il si nous devons fournir une IP
adresse d'un serveur DHCP à un hôte qui n'est pas dans notre domaine de diffusion, ou si nous voulons recevoir
une adresse DHCP pour un client depuis un serveur distant ?

Relais DHCP
Si vous devez fournir des adresses d'un serveur DHCP à des hôtes qui ne sont pas sur le même LAN que le
Serveur DHCP, vous pouvez configurer l'interface de votre routeur pour relayer ou transférer le client DHCP
demandes, comme le montre la figure 7.3 . Si nous ne fournissons pas ce service, notre routeur recevra le
Diffusion du client DHCP, supprimez-la rapidement et l'hôte distant ne recevra jamais d'adresse

54

—à moins que nous ayons ajouté un serveur DHCP sur chaque domaine de diffusion ! Voyons comment nous ferions
configurent généralement le service DHCP dans les réseaux actuels.

FIGURE 7.3 Configuration d'un relais DHCP

Nous savons donc que parce que les hôtes du routeur n'ont pas accès à un serveur DHCP, le routeur
supprimera simplement les messages de diffusion de demande de client par défaut. Pour résoudre ce problème, nous
peut configurer l'interface Fa0/0 du routeur pour accepter les demandes du client DHCP et transmettre
les au serveur DHCP comme ceci :

Routeur# config t
Routeur(config)# interface fa0/0
Routeur(config-if)# ip helper-address 10.10.10.254

Maintenant, je sais que c'était un exemple assez simple, et il y a certainement d'autres façons de configurer
le relais, mais soyez assuré que j'ai couvert les objectifs pour vous. Aussi, je veux que vous sachiez que
ip helper-address transmet
plus que de simples demandes de client DHCP, alors assurez-vous de rechercher ceci
commande avant de l'implémenter ! Maintenant que j'ai montré comment créer le service DHCP,
prenons une minute pour vérifier DHCP avant de passer à NTP.

Vérification du DHCP sur Cisco IOS


Il existe des commandes de vérification très utiles à utiliser sur un périphérique Cisco IOS pour la surveillance
et vérifier un service DHCP. Vous verrez le résultat de ces commandes lorsque je créerai le
réseau au chapitre 9, « Routage IP » et ajoutez DHCP aux deux réseaux locaux distants. je veux juste que tu
commencez à vous familiariser avec eux, voici donc une liste de quatre très importants et ce qu'ils font :

show ip dhcp binding Répertorie les informations d'état sur chaque adresse IP actuellement louée à un client.

show ip dhcp pool [poolname] Répertorie


la plage configurée d'adresses IP, ainsi que les statistiques pour le
nombre d'adresses actuellement louées et le high watermark pour les baux de chaque pool.

show ip dhcp server statistics Répertorie les statistiques du serveur DHCP, beaucoup d'entre elles !

show ip dhcp conflict Si


quelqu'un configure statiquement une adresse IP sur un LAN et le DHCP
serveur distribue cette même adresse, vous vous retrouverez avec une adresse en double. Ce n'est pas bon,
c'est pourquoi cette commande est si utile !

Page 55

Encore une fois, pas de soucis car nous couvrirons ces commandes vitales en détail au chapitre 9.

Syslog
La lecture des messages système à partir de la mémoire tampon interne d'un commutateur ou d'un routeur est la méthode la plus populaire et
méthode efficace pour voir ce qui se passe avec votre réseau à un moment donné. Mais le meilleur
moyen est de consigner les messages sur un serveur syslog , qui stocke les messages de votre part et peut même chronométrer
tamponnez-les et séquencez-les pour vous, et c'est facile à installer et à configurer !

Syslog vous permet d'afficher, de trier et même de rechercher des messages, ce qui en fait un très bon
outil de dépannage. La fonction de recherche est particulièrement puissante car vous pouvez utiliser des mots-clés
et même des niveaux de gravité. De plus, le serveur peut envoyer des e-mails aux administrateurs en fonction du niveau de gravité du
un message.

Les périphériques réseau peuvent être configurés pour générer un message syslog et le transmettre à divers
destinations. Ces quatre exemples sont des moyens populaires de collecter des messages à partir d'appareils Cisco :

Tampon de journalisation (activé par défaut)

Ligne console (activée par défaut)

Lignes de terminal (à l'aide de la commande terminal monitor )

Serveur Syslog

Comme vous le savez déjà, tous les messages système et les sorties de débogage générés par l'IOS ne sortent que du
port de console par défaut et sont également enregistrés dans les tampons de la RAM. Et vous savez aussi que Cisco
les routeurs n'hésitent pas à envoyer des messages ! Pour envoyer un message aux lignes VTY, utilisez le
commande de moniteur de terminal . Nous allons également ajouter une petite configuration nécessaire pour syslog, que je vais montrer
vous bientôt dans la section de configuration.

Donc, par défaut, nous verrions quelque chose comme ceci sur notre ligne de console :

*21 octobre 17:33:50.565:%LINK-5-CHANGED:Interface FastEthernet0/0, modifié


l'état à administrativement vers le bas
*21 octobre 17:33:51.565:%LINEPROTO-5-UPDOWN:Protocole de ligne sur l'interface FastEthernet0/0, état modifié
vers le bas

Et le routeur Cisco enverrait une version générale du message au serveur syslog qui
être formaté dans quelque chose comme ceci:

N° de séquence : horodatage : %facility-severity-MNEMONIC : description

Le format du message système peut être décomposé de la manière suivante :

seq no Ce tampon enregistre les messages avec un numéro de séquence, mais pas par défaut. Si tu veux ça
sortie, vous devez le configurer.

Horodatage Données et heure du message ou de l'événement, qui à nouveau ne s'afficheront que s'ils sont configurés.

Facilité Facilité à laquelle le message fait référence.

Gravité Un code à un chiffre de 0 à 7 qui indique la gravité du message.

MNEMONIC Chaîne de texte décrivant le message de manière unique.

Description Chaîne de texte contenant des informations détaillées sur l'événement signalé.

Les niveaux de gravité, de niveau le plus sévère à la moins sévère, sont expliqués dans le tableau 7.2 .
Informational est la valeur par défaut et entraînera l'envoi de tous les messages aux tampons et à la console.

TABLEAU 7.2 Niveaux de gravité

Degré de gravité Explication

Urgence (gravité 0) Le système est inutilisable.

Alerte (gravité 1) Une action immédiate est nécessaire.

Critique (gravité 2) Un état critique.

Page 56

Erreur (gravité 3) État d'erreur.

Avertissement (gravité 4) Condition d'avertissement.

Notification (gravité 5) Etat normal mais significatif.

Informationnel (gravité 6) Message d'information normal.

Débogage (gravité 7) Message de débogage.

Si vous étudiez pour votre examen Cisco, vous devez mémoriser le tableau 7.2 à l' aide de ce

acronyme : Chaque ingénieur Cisco génial aura besoin de glace quotidiennement.


Comprenez que seuls les messages de niveau d'urgence seront affichés si vous avez configuré la gravité
niveau 0. Mais si, par exemple, vous optez pour le niveau 4 à la place, les niveaux 0 à 4 seront affichés, donnant
vous recevez également des messages d'urgence, d'alerte, de critique, d'erreur et d'avertissement. Le niveau 7 est le plus haut niveau
option de sécurité et affiche tout, mais sachez que l'utiliser pourrait avoir un sérieux
impact sur les performances de votre appareil. Utilisez donc toujours les commandes de débogage avec précaution, avec un
surveillez les messages dont vous avez vraiment besoin pour répondre aux besoins spécifiques de votre entreprise !

Configuration et vérification de Syslog


Comme je l'ai dit, les appareils Cisco envoient tous les messages de journal du niveau de gravité que vous avez choisi à la console.
Ils iront également dans le tampon, et les deux se produisent par défaut. Pour cette raison, il est bon de savoir que
vous pouvez désactiver et activer ces fonctionnalités avec les commandes suivantes :

Router(config)# journalisation ?
Nom d'hôte ou adresse IP ABCD de l'hôte de journalisation
tamponné Définir les paramètres de journalisation en mémoire tampon
bogueinf Activer la journalisation buginf pour le débogage
événements-cns Définir le niveau de journalisation des événements CNS
console Définir les paramètres de journalisation de la console
compter Compter chaque message de journal et horodater la dernière occurrence
esm Définir les restrictions de filtre ESM
exception Limiter la taille de la sortie de vidage des exceptions
établissement Paramètre de facilité pour les messages syslog
filtre Spécifier le filtre de journalisation
l'histoire Configurer la table d'historique syslog
hôte Définir l'adresse IP et les paramètres du serveur syslog
surveiller Définir les paramètres de journalisation de la ligne terminale (moniteur)
au Activer la journalisation vers toutes les destinations activées
ID-origine Ajouter l'ID d'origine aux messages syslog
limite de file d'attente Définir la taille de la file d'attente des messages de l'enregistreur
taux-limite Définir la limite de messages par seconde
recharger Définir le niveau de journalisation de rechargement
serveur-arp Activez l'envoi de requêtes ARP pour les serveurs syslog lorsque
d'abord configuré
source-interface Spécifier l'interface pour l'adresse source dans la journalisation
transactions
piéger Définir le niveau de journalisation du serveur syslog
informations utilisateur Activer la journalisation des informations utilisateur sur l'activation du mode privilégié

Router(config)# console de journalisation


Router(config)# journalisation mise en mémoire tampon

Wow, comme vous pouvez le voir dans cette sortie, il existe de nombreuses options que vous pouvez utiliser avec la journalisation
commander! La configuration précédente permettait à la console et au buffer de recevoir tous les logs
messages de toutes les sévérités, et n'oubliez pas qu'il s'agit du paramètre par défaut pour tous les périphériques Cisco IOS.
Si vous souhaitez désactiver les valeurs par défaut, utilisez les commandes suivantes :

Routeur(config)# pas de console de journalisation


Router(config)# pas de journalisation en mémoire tampon

J'aime laisser les commandes console et buffer activées pour recevoir les informations de journalisation, mais c'est
à toi de voir. Vous pouvez voir les tampons avec la commande show logging ici :

57

Routeur# sh journalisation
Journalisation Syslog : activée (11 messages abandonnés, 1 message à débit limité,
0 flush, 0 dépassement, xml désactivé, filtrage désactivé)
Journalisation de la console : débogage de niveau, 29 messages enregistrés, xml désactivé,
filtrage désactivé
Monitor logging : débogage de niveau, 0 messages enregistrés, xml désactivé,
filtrage désactivé
Buffer logging : débogage de niveau, 1 messages enregistrés, xml désactivé,
filtrage désactivé
Taille de l'exception de journalisation (4096 octets)
Messages de journalisation du nombre et de l'horodatage : désactivé
Aucun module de filtrage actif.

Trap logging : niveau d'information , 33 lignes de message enregistrées

Tampon de journal (4096 octets) :


*21 juin 23:09:37.822 : %SYS-5-CONFIG_I : configuré depuis la console par la console
Routeur#

Le niveau d'interruption par défaut (message de l'appareil vers NMS) est le débogage , mais vous pouvez également le modifier.
Et maintenant que vous avez vu le format de message système sur un appareil Cisco, je veux vous montrer comment
vous pouvez également contrôler le format de vos messages via des numéros de séquence et des horodatages, qui
ne sont pas activés par défaut. Nous commencerons par un exemple simple et basique de la façon de configurer un appareil pour
envoyer des messages à un serveur syslog, illustré à la figure 7.4 .
FIGURE 7.4 Messages envoyés à un serveur syslog
Un serveur syslog enregistre des copies des messages de la console et peut les horodater pour les consulter ultérieurement
temps. C'est en fait assez facile à configurer, et voici à quoi cela ressemblerait sur le SF
routeur :

SF(config)# journalisation 172.16.10.1


SF(config)# journalisation à titre informatif

C'est génial - maintenant tous les messages de la console seront stockés dans un seul endroit pour être consultés à votre
commodité! J'utilise généralement la commande logging host ip_address , mais logging IP_address sans
le mot-clé host obtient le même résultat.

Nous pouvons limiter la quantité de messages envoyés au serveur syslog, en fonction de la gravité, avec le
commande suivante :

Piège de journalisation SF(config)# ?


<0-7> Niveau de gravité de la journalisation
alertes Action immédiate nécessaire (gravité=1)
critique Conditions critiques (gravité=2)
débogage Messages de débogage (gravité=7)
urgences Le système est inutilisable (gravité=0)
les erreurs Conditions d'erreur (gravité=3)
Messages d'information (gravité=6)
notifications Conditions normales mais significatives (gravité=5)
avertissements Conditions d'avertissement (gravité=4)
<cr>
SF(config)# logging trap informatif

Notez que nous pouvons utiliser soit le numéro, soit le nom du niveau de gravité réel, et ils sont dans

Page 58

ordre alphabétique, pas ordre de gravité, ce qui rend encore plus difficile la mémorisation de l'ordre !
(Merci Cisco !) Depuis que je suis passé au niveau de gravité 6 (Informationnel), je vais recevoir des messages pour
niveaux 0 à 6. Ceux-ci sont également appelés niveaux locaux, tels que, par exemple, local6 - non
différence.

Configurons maintenant le routeur pour utiliser les numéros de séquence :

SF(config)# pas d'horodatage de service


Numéros de séquence de service SF(config)#
SF(config)# ^Z
000038 : %SYS-5-CONFIG_I : Configuré depuis console par console

Lorsque vous quittez le mode de configuration, le routeur enverra un message comme celui affiché dans le
lignes de code précédentes. Sans les horodatages activés, nous ne verrons plus d'heure et de date, mais
nous verrons un numéro de séquence.

Nous avons donc maintenant les éléments suivants :

Numéro de séquence : 000038

Installation : %SYS

Niveau de gravité : 5

MNEMONIQUE : CONFIG_I

Description : Configuré depuis console par console

Je tiens à souligner que de tous ces éléments, le niveau de gravité est ce à quoi vous devez le plus faire attention
pour les examens Cisco ainsi que pour un moyen de contrôler la quantité de messages envoyés au syslog
serveur.

Protocole de temps réseau (NTP)


Network Time Protocol fournit à peu près ce qu'il décrit : du temps pour tout votre réseau
dispositifs. Pour être plus précis, NTP synchronise les horloges des systèmes informatiques sur les paquets
réseaux de données commutés à latence variable.

En règle générale, vous aurez un serveur NTP qui se connecte via Internet à une horloge atomique. Cette
l'heure peut ensuite être synchronisée via le réseau pour conserver tous les routeurs, commutateurs, serveurs, etc.
recevoir les informations en même temps.

L'heure correcte du réseau au sein du réseau est importante :

L'heure correcte permet le suivi des événements dans le réseau dans le bon ordre.

La synchronisation de l'horloge est essentielle pour l'interprétation correcte des événements dans le syslog
Les données.

La synchronisation de l'horloge est essentielle pour les certificats numériques.

S'assurer que tous vos appareils ont l'heure correcte est particulièrement utile pour vos routeurs et
commutateurs pour consulter les journaux concernant les problèmes de sécurité ou d'autres problèmes de maintenance. Routeurs et
les commutateurs émettent des messages de journal lorsque différents événements ont lieu, par exemple, lorsqu'une interface
descend puis remonte. Comme vous le savez déjà, tous les messages générés par l'IOS ne vont qu'à
le port de console par défaut. Cependant, comme le montre la Figure 7.4 , ces messages de console peuvent être
dirigé vers un serveur syslog.

Un serveur syslog enregistre des copies des messages de la console et peut les horodater afin que vous puissiez les visualiser
à un moment ultérieur. C'est en fait assez facile à faire. Voici votre configuration sur le SF
routeur :

SF(config)# service timestamps log datetime msec


Même si j'avais les messages horodatés avec la datetime du journal des horodatages du service de commande
msec , cela ne signifie pas que nous connaîtrons l'heure exacte si nous utilisons des sources d'horloge par défaut.
Pour nous assurer que tous les appareils sont synchronisés avec les mêmes informations horaires, nous allons configurer notre

Page 59

appareils pour recevoir les informations de temps précises d'un serveur centralisé, comme indiqué ici dans le
commande suivante et dans la Figure 7.5 :

Serveur SF(config) #ntp 172.16.10.1 version 4

FIGURE 7.5 Synchronisation des informations de temps

Utilisez simplement cette commande simple sur tous vos appareils et sur chaque appareil réseau de votre réseau
auront alors les mêmes informations d'heure et de date exactes. Vous pouvez alors être assuré que votre
les horodatages sont exacts. Vous pouvez également faire de votre routeur ou commutateur un serveur NTP avec le ntp
commande maître .
Pour vérifier que notre client NTP reçoit les informations de synchronisation, nous utilisons les commandes suivantes :

SF# sh ntp ?
associations associations PNLT
statut Statut du statut NTP Statut du domaine VTP

SF# sh ntp statut


L'horloge n'est pas synchronisée, strate 16, pas d'horloge de référence
la fréquence nominale est de 119,2092 Hz, la fréquence réelle est de 119,2092 Hz, la précision est de 2**18
l'heure de référence est 0000000000000000 (00:00:00.000 UTC lun 1 janvier 1900)
le décalage d'horloge est de 0,0000 ms, le retard de racine est de 0,00 ms
Associations S1# sh ntp

adresse ref horloge st quand interrogation atteindre délai décalage disp


~172.16.0.10.1 0.0.0.0 16 - 64 0 0,0 0,00 16000.
* maître (synchronisé), # maître (non synchronisé), + sélectionné, - candidat, ~ configuré

Vous pouvez voir dans l'exemple que le client NTP dans SF n'est pas synchronisé avec le serveur en utilisant
la commande show ntp status . La valeur de la strate est un nombre de 1 à 15, et une strate inférieure
la valeur indique une priorité NTP plus élevée ; 16 signifie qu'il n'y a pas de pointage reçu.

Il existe de nombreuses autres configurations d'un client NTP qui sont disponibles, telles que l'authentification
de NTP afin qu'un routeur ou un commutateur ne soit pas dupe en changeant l'heure d'une attaque, par exemple.

Explorer les appareils connectés à l'aide de CDP et LLDP


Cisco Discovery Protocol (CDP) est un protocole propriétaire de couche 2 conçu par Cisco pour aider
les administrateurs collectent des informations sur les périphériques Cisco connectés localement. Armé du CDP, vous
peut recueillir des informations sur le matériel et le protocole sur les périphériques voisins, ce qui est crucial
informations à avoir lors du dépannage et de la documentation du réseau. Une autre dynamique
le protocole de découverte est Link Layer Discovery Protocol (LLDP), mais au lieu d'être propriétaire
comme CDP, il est indépendant du fournisseur.

Commençons par explorer le minuteur CDP et les commandes CDP dont nous aurons besoin pour vérifier notre réseau.

Page 60

Obtention d'informations sur les temporisateurs CDP et le temps d'attente


La commande show cdp ( sh cdp en abrégé) vous donne des informations sur deux paramètres globaux CDP
qui peut être configuré sur les appareils Cisco :

Le temporisateur CDP délimite la fréquence à laquelle les paquets CDP sont transmis à toutes les interfaces actives.

CDP holdtime délimite la durée pendant laquelle l'appareil conservera les paquets reçus de
appareils voisins.

Les routeurs et les commutateurs Cisco utilisent les mêmes paramètres. Consultez la figure 7.6 pour voir comment CDP
fonctionne au sein d'un réseau commuté que j'ai configuré pour mes laboratoires de commutation dans ce livre.
FIGURE 7.6 Protocole de découverte Cisco

La sortie sur mon 3560 SW-3 ressemble à ceci :

SW-3# sh cdp
Informations globales sur le CDP :
Envoi de paquets CDP toutes les 60 secondes
Envoi d'une valeur de temps d'attente de 180 secondes
L'envoi de publicités CDPv2 est activé

Cette sortie nous indique que la valeur par défaut transmet toutes les 60 secondes et contiendra les paquets d'un
voisin dans la table CDP pendant 180 secondes. Je peux utiliser les commandes globales cdp holdtime et cdp
timer pour configurer le holdtime CDP et le timer sur un routeur si nécessaire comme ceci :
SW-3(config) #cdp ?
Advert-v2 CDP envoie des publicités version-2
holdtime Spécifiez le temps d'attente (en secondes) à envoyer en paquets
Cours Activer le CDP
minuteur Spécifiez la vitesse à laquelle les paquets CDP sont envoyés (en secondes)
tlv Activer l'échange d'informations tlv spécifiques

SW-3(config)# cdp holdtime ?


<10-255> Durée (en secondes) pendant laquelle le récepteur doit conserver ce paquet

SW-3(config)# minuteur cdp ?


<5-254> Débit auquel les paquets CDP sont envoyés (en secondes)

Vous pouvez désactiver complètement CDP avec la commande no cdp run du mode de configuration globale
d'un routeur et activez-le avec la commande cdp run :

SW-3(config)# pas d'exécution de cdp


SW-3(config)# cdp exécuté

Pour activer ou désactiver le CDP pour une interface, utilisez les commandes no cdp enable et cdp enable .

Collecte d'informations sur les voisins


La commande show cdp voisin ( sh cdp nei en abrégé) fournit des informations sur directement

Page 61

des appareils connectés. Il est important de se rappeler que les paquets CDP ne passent pas par un Cisco
commutateur et que vous ne voyez que ce qui est directement attaché. Cela signifie donc que si votre routeur est
connecté à un commutateur, vous ne verrez aucun des appareils Cisco connectés au-delà de ce commutateur !

La sortie suivante montre la commande show cdp voisin que j'ai utilisée sur mon SW-3 :

SW-3# sh voisins cdp


Codes de capacité : R - Routeur, T - Pont Trans, B - Pont de la route source
S - Commutateur, H - Hôte, I - IGMP, r - Répéteur, P - Téléphone,
D - Remote, C - CVTA, M - Identifiant de périphérique de relais Mac à deux ports Intrfce local
ID de port de la plate-forme de capacité Holdtme
SW-1 Fas 0/1 170 SI WS-C3560- Fas 0/15
SW-1 Fas 0/2 170 SI WS-C3560- Fas 0/16
SW-2 Fas 0/5 162 SI WS-C3560- Fas 0/5
SW-2 Fas 0/6 162 SI WS-C3560- Fas 0/6

D'accord, nous pouvons voir que je suis directement connecté avec un câble de console au commutateur SW-3 et également
que SW-3 est directement connecté à deux autres commutateurs. Cependant, avons-nous vraiment besoin du chiffre pour
développer notre réseau ? Nous ne le faisons pas ! CDP me permet de voir qui sont mes voisins directement connectés
et recueillir des informations à leur sujet. Depuis le commutateur SW-3, nous pouvons voir qu'il y a deux
connexions à SW-1 et deux connexions à SW-2. SW-3 se connecte à SW-1 avec les ports Fas 0/1
et Fas 0/2, et nous avons des connexions à SW-2 avec les interfaces locales Fas 0/5 et Fas 0/6. Les deux
les commutateurs SW-1 et SW-2 sont des commutateurs 3650, et SW-1 utilise les ports Fas 0/15 et Fas 0/16 à
connectez-vous à SW-3. SW-2 utilise les ports Fas 0/5 et Fas 0/6.

Pour résumer, l'ID de l'appareil affiche le nom d'hôte configuré de l'appareil connecté, que le
L'interface locale est notre interface, et l'ID de port est directement connecté aux périphériques distants
interface. N'oubliez pas que tout ce que vous voyez sont des appareils directement connectés !

Le tableau 7.3 résume les informations affichées par la commande show cdp voisin pour chaque
dispositif.

TABLEAU 7.3 Sortie de la commande show cdp neighbors

Champ La description
Le
Reference de l'appareil nom d'hôte de l'appareil directement connecté.

Local Le port ou l'interface sur laquelle vous recevez le paquet CDP.


Interface

Temps d'attente Le temps restant pendant lequel le routeur conservera les informations avant de les rejeter
il si plus aucun paquet CDP n'est reçu.

Capacité Capacité du voisin—le routeur, le commutateur ou le répéteur. Les codes de capacité


sont répertoriés en haut de la sortie de la commande.

Plate-forme Le type de périphérique Cisco directement connecté. Dans la sortie précédente, le SW-3 affiche
il est directement connecté à deux commutateurs 3560.

Identifiant de port Le port ou l'interface du périphérique voisin sur lequel les paquets CDP sont multidiffusés.

Il est impératif que vous puissiez regarder la sortie d'une commande show cdp voisins

et déchiffrer les informations obtenues sur la capacité du périphérique voisin, qu'il s'agisse d'un
routeur ou commutateur, le numéro de modèle (plate-forme), votre port de connexion à cet appareil (local
interface) et le port du voisin qui se connecte à vous (ID de port).

Une autre commande qui livrera les marchandises sur les informations du voisin est le show cdp voisins
commande detail ( show cdp nei de pour faire court). Cette commande peut être exécutée sur les deux routeurs et
commutateurs, et il affiche des informations détaillées sur chaque appareil connecté à l'appareil que vous êtes
en exécutant la commande. Vérifiez la sortie du routeur dans l'extrait 7.1.

Listing 7.1 : Affichage des voisins CDP

62

SW-3# sh cdp détail des voisins


-------------------------
Identifiant de l'appareil : SW-1
Adresse(s) d'entrée :
Adresse IP : 10.100.128.10
Plate-forme : Cisco WS-C3560-24TS, Capacités : Switch IGMP
Interface : FastEthernet0/1, ID de port (port sortant) : FastEthernet0/15
Temps de maintien : 137 sec

Version :
Logiciel Cisco IOS, logiciel C3560 (C3560-IPSERVICESK9-M), version 12.2(55)SE7, RELEASE LOGICIEL
(fc1)
Support technique : http://www.cisco.com/techsupport
Copyright (c) 1986-2013 par Cisco Systems, Inc.
Compilé lun 28-jan-13 10:10 par prod_rel_team

version de la publicité : 2
Protocole Hello : OUI=0x00000C, ID de protocole=0x0112 ; longueur de charge utile=27,
valeur=00000000FFFFFFFF010221FF000000000000001C575EC880Fc00f000
Domaine de gestion VTP : 'NULL'
VLAN natif : 1
Duplex : complet
Puissance disponible TLV :

Identifiant de demande d'alimentation : 0, Identifiant de gestion de l'alimentation : 1, Puissance disponible : 0, Niveau de gestion de l'alimentation : -1
Adresse(s) de gestion :
Adresse IP : 10.100.128.10
-------------------------

[coupure de sortie]

-------------------------
Identifiant de l'appareil : SW-2
Adresse(s) d'entrée :
Adresse IP : 10.100.128.9
Plate-forme : Cisco WS-C3560-8PC, Capacités : Switch IGMP
Interface : FastEthernet0/5, ID de port (port sortant) : FastEthernet0/5
Temps de maintien : 129 sec

Version :
Logiciel Cisco IOS, logiciel C3560 (C3560-IPBASE-M), version 12.2(35)SE5, RELEASE LOGICIEL (fc1)
Copyright (c) 1986-2007 par Cisco Systems, Inc.
Compilé jeu. 19-juil.-07 18:15 par nachen

version de la publicité : 2
Protocole Hello : OUI=0x00000C, ID de protocole=0x0112 ; longueur de charge utile=27,
valeur=00000000FFFFFFFF010221FF000000000000B41489D91880Fc00f000
Domaine de gestion VTP : 'NULL'
VLAN natif : 1
Duplex : complet
Puissance disponible TLV :

Identifiant de demande d'alimentation : 0, Identifiant de gestion de l'alimentation : 1, Puissance disponible : 0, Niveau de gestion de l'alimentation : -1
Adresse(s) de gestion :
Adresse IP : 10.100.128.9
[coupure de sortie]

Alors qu'est-ce qui est révélé ici? Tout d'abord, nous avons reçu le nom d'hôte et l'adresse IP de tous directement
des appareils connectés. Et en plus des mêmes informations affichées par les voisins show cdp
(voir le tableau 7.3 ), la commande show cdp neighbors detail nous renseigne sur la version IOS
et l'adresse IP de l'appareil voisin, c'est beaucoup !

La commande show cdp entry * affiche les mêmes informations que le détail des voisins show cdp
commander. Il n'y a aucune différence entre ces commandes.
Le CDP peut sauver des vies !
Karen vient d'être embauchée en tant que consultante réseau senior dans un grand hôpital de Dallas, au Texas,
on s'attend donc à ce qu'elle soit capable de s'occuper de tout problème qui se présente. Comme si ça
n'y avait pas assez de pression, elle doit aussi s'inquiéter de l'horrible possibilité que les gens ne
recevoir les bonnes solutions de soins de santé, même les bons médicaments, si le réseau
vers le bas. Parlez d'une situation potentielle de vie ou de mort !

Page 63

Mais Karen est confiante et commence son travail avec optimisme. Bien sûr, il ne faut pas longtemps avant que le
réseau révèle qu'il a quelques problèmes. Imperturbable, elle demande à l'un des juniors
administrateurs pour une carte du réseau afin qu'elle puisse dépanner le réseau. Cette personne lui dit
que l'ancienne administratrice principale, qu'elle a remplacée, les avait avec lui et que maintenant personne ne peut
les trouver. Le ciel commence à s'assombrir !

Les médecins appellent toutes les deux minutes parce qu'ils ne peuvent pas obtenir le nécessaire
informations dont ils ont besoin pour prendre soin de leurs patients. Que devrait-elle faire?

C'est le CDP à la rescousse ! Et c'est un cadeau que cet hôpital utilise des routeurs Cisco
et les commutateurs exclusivement, car CDP est activé par défaut sur tous les appareils Cisco. Karen est
aussi de la chance parce que l'ancien administrateur mécontent n'a désactivé le CDP sur aucun appareil
avant qu'il parte!

Donc tout ce que Karen a à faire maintenant est d'utiliser la commande show cdp voisin detail pour trouver tous les
informations dont elle a besoin sur chaque appareil pour aider à dessiner le réseau hospitalier, en lui apportant
se remettre à niveau afin que le personnel qui en dépend puisse se consacrer à l'important travail de
sauver des vies !

Le seul hic pour vous de clouer cela dans votre propre réseau est si vous ne connaissez pas les mots de passe de
tous ces appareils. Votre seul espoir est alors de découvrir d'une manière ou d'une autre les mots de passe d'accès ou de
effectuer la récupération de mot de passe sur eux.

Alors, utilisez CDP - vous ne savez jamais quand vous pourriez sauver la vie de quelqu'un.

D'ailleurs, c'est une histoire vraie !

Documentation d'une topologie de réseau à l'aide de CDP


Avec ce scénario réel émouvant à l'esprit, je vais maintenant vous montrer comment documenter un
exemple de réseau en utilisant CDP. Vous apprendrez à déterminer les types de routeurs appropriés, l'interface
types et adresses IP de diverses interfaces en utilisant uniquement les commandes CDP et le show running-
commande de configuration . Et vous pouvez uniquement vous connecter au routeur Lab_A pour documenter le réseau.
Vous devrez attribuer à tous les routeurs distants la prochaine adresse IP dans chaque plage. Nous utiliserons un autre
figure pour cet exemple — Figure 7.7 — pour nous aider à compléter la documentation nécessaire.

Page 64
FIGURE 7.7 Documentation d'une topologie de réseau à l'aide de CDP

Dans cette sortie, vous pouvez voir que vous avez un routeur avec quatre interfaces : deux Fast Ethernet et deux
en série. Tout d'abord, déterminez les adresses IP de chaque interface en utilisant le show running-config
commande comme ceci :

Lab_A# sh running-config
Configuration du bâtiment...

Configuration actuelle : 960 octets


!
version 12.2
temps de débogage des horodatages de service
horodatage du service journalisation de la disponibilité
pas de service de cryptage de mot de passe
!
nom d'hôte Lab_A
!
ip sous-réseau-zéro
!
!
interface FastEthernet0/0
adresse IP 192.168.21.1 255.255.255.0
recto-verso automatique
!
interface FastEthernet0/1
adresse IP 192.168.18.1 255.255.255.0
recto-verso automatique
!
interface Série0/0
adresse IP 192.168.23.1 255.255.255.0
!
interface Série0/1
adresse IP 192.168.28.1 255.255.255.0
!
IP sans classe
!
ligne con 0
ligne aux 0
ligne vty 0 4
!
finir

Page 65

Une fois cette étape terminée, vous pouvez maintenant noter les adresses IP des quatre
interfaces. Ensuite, vous devez déterminer le type d'appareil à l'autre extrémité de chacun de ces
interfaces. C'est simple, il suffit d'utiliser la commande show cdp neighbors :

Lab_A# sh voisins cdp


Codes de capacité : R - Routeur, T - Pont Trans, B - Pont de la route source
S - Commutateur, H - Hôte, I - IGMP, r - Répéteur
ID de l'appareil ID de port de plate-forme de capacité d'intrfce local
Lab_B Fas 0/0 178 R 2501 E0
Lab_C Fas 0/1 137 R 2621 Fa0/0
Lab_D Ser 0/0 178 R 2514 S1
Lab_E Série 0/1 137 R 2620 S0/1

Wow, on dirait que nous sommes connectés à de vieux routeurs ! Mais ce n'est pas notre travail de juger. Notre mission est
pour tisser notre réseau, c'est donc bien que nous ayons de belles informations pour relever le défi
avec maintenant. En utilisant à la fois les commandes show running-config et show cdp neighbors , nous connaissons
toutes les adresses IP du routeur Lab_A, les types de routeurs connectés à chacun des Lab_A
les liens du routeur, et toutes les interfaces des routeurs distants.

Maintenant que nous sommes équipés de toutes les informations recueillies via show running-config et show cdp
voisins , nous pouvons créer avec précision la topologie de la figure 7.8 .
FIGURE 7.8 Topologie du réseau documentée

Si nous en avions besoin, nous aurions également pu utiliser la commande show cdp neighbors detail pour afficher le
les adresses IP du voisin. Mais comme nous connaissons les adresses IP de chaque lien sur le routeur Lab_A, nous
savez déjà quelle sera la prochaine adresse IP disponible.

Protocole de découverte de couche de liaison (LLDP)

Avant de passer de CDP, je veux vous parler d'un protocole de découverte non propriétaire qui
fournit à peu près les mêmes informations que CDP mais fonctionne dans les réseaux multi-fournisseurs.

L'IEEE a créé un nouveau protocole de découverte normalisé appelé 802.1AB pour Station and Media
Découverte de la connectivité du contrôle d'accès. Nous l'appellerons simplement Link Layer Discovery Protocol (LLDP) .

Page 66

LLDP définit les capacités de découverte de base, mais il a également été amélioré pour répondre spécifiquement aux
application vocale, et cette version s'appelle LLDP-MED (Media Endpoint Discovery). C'est bon de
rappelez-vous que LLDP et LLDP-MED ne sont pas compatibles.

LLDP a les directives de configuration et les limitations suivantes :

LLDP doit être activé sur l'appareil avant que vous puissiez l'activer ou le désactiver sur n'importe quelle interface.

LLDP est pris en charge uniquement sur les interfaces physiques.

LLDP peut découvrir jusqu'à un périphérique par port.

LLDP peut découvrir les serveurs Linux.

Vous pouvez désactiver complètement LLDP avec la commande no lldp run à partir du mode de configuration globale
d'un périphérique et activez-le avec la commande lldp run , qui l'active également sur toutes les interfaces :

SW-3(config)# pas d'exécution de lldp


SW-3(config)# lldp exécuté

Pour activer ou désactiver LLDP pour une interface, utilisez les commandes lldp transmit et lldp receive .

SW-3(config-if)# pas de transmission lldp


SW-3(config-if)# pas de réception de lldp

SW-3(config-if)# lldp transmettre


SW-3(config-if)# lldp recevoir

Utiliser Telnet
Faisant partie de la suite de protocoles TCP/IP, Telnet est un protocole de terminal virtuel qui vous permet de
établir des connexions à des appareils distants, collecter des informations et exécuter des programmes.

Une fois vos routeurs et commutateurs configurés, vous pouvez utiliser le programme Telnet pour reconfigurer
et/ou vérifiez-les sans utiliser de câble de console. Vous exécutez le programme Telnet en tapant
telnet à partir
de n'importe quelle invite de commande (Windows ou Cisco), mais vous devez définir des mots de passe VTY
sur les appareils IOS pour que cela fonctionne.

N'oubliez pas que vous ne pouvez pas utiliser CDP pour collecter des informations sur les routeurs et les commutateurs qui ne sont pas
directement connecté à votre appareil. Mais vous pouvez utiliser l'application Telnet pour vous connecter à votre
périphériques voisins, puis exécutez CDP sur ces périphériques distants pour obtenir des informations sur eux.

Vous pouvez émettre la commande telnet à partir de n'importe quel routeur ou commutateur. Dans le code suivant, je suis
essayer de telnet du commutateur 1 au commutateur 3:

SW-1# telnet 10.100.128.8


Essayer 10.100.128.8 ... Ouvrir

Mot de passe requis, mais aucun défini

[Connexion à 10.100.128.8 fermée par l'hôte étranger]

Oups—clairement, je n'ai pas défini mes mots de passe—comme c'est embarrassant ! N'oubliez pas que les ports VTY sont
par défaut configuré comme login , ce qui signifie que nous devons soit définir les mots de passe VTY, soit utiliser le no
commande de connexion . Si vous devez revoir le processus de définition des mots de passe, revenez rapidement dans
Chapitre 6, « Système d'exploitation Internet de Cisco (IOS) ».
Si vous ne pouvez pas connecter un telnet à un appareil, il se peut que le mot de passe de la télécommande

l'appareil n'a pas été configuré. Il est également tout à fait possible qu'une liste de contrôle d'accès filtre le Telnet
session.

Sur un périphérique Cisco, vous n'avez pas besoin d'utiliser la commande telnet ; vous pouvez simplement taper une adresse IP
à partir d'une invite de commande et le routeur supposera que vous souhaitez établir une connexion telnet avec l'appareil. Voici
à quoi cela ressemble en utilisant uniquement l'adresse IP :

67

SW-1# 10.100.128.8
Essayer 10.100.128.8... Ouvrir

Mot de passe requis, mais aucun défini

[Connexion à 10.100.128.8 fermée par l'hôte étranger]


SW-1#

Ce serait maintenant le bon moment pour définir ces mots de passe VTY sur le SW-3 dans lequel je veux me connecter.
Voici ce que j'ai fait sur le switch nommé SW-3 :

SW-3(config)# ligne vty 0 15


SW-3(ligne de configuration)# connexion
SW-3(config-line)# mot de passe telnet
SW-3(ligne de configuration)# connexion
SW-3(ligne de configuration)# ^Z

Essayons maintenant à nouveau. Cette fois, je me connecte à SW-3 depuis la console SW-1 :

SW-1# 10.100.128.8
Essayer 10.100.128.8 ... Ouvrir

Vérification de l'accès utilisateur

Mot de passe:
SW-3>

N'oubliez pas que le mot de passe VTY est le mot de passe du mode utilisateur, pas le mot de passe du mode d'activation.
Regardez ce qui se passe lorsque j'essaie de passer en mode privilégié après avoir connecté le telnet au commutateur :

SW-3> fr
% Aucun mot de passe défini
SW-3>

Il me claque totalement la porte au nez, ce qui se trouve être un élément de sécurité vraiment sympa !
Après tout, vous ne voulez pas que n'importe qui se connecte à votre appareil et tape la commande enable
pour passer en mode privilégié maintenant, n'est-ce pas ? Vous devez définir votre mot de passe de mode d'activation ou activer
mot de passe secret pour utiliser Telnet pour configurer les périphériques distants.

Lorsque vous vous connectez à un appareil distant, vous ne verrez pas les messages de la console en

défaut. Par exemple, vous ne verrez pas la sortie de débogage. Pour permettre aux messages de la console d'être
envoyé à votre session Telnet, utilisez la commande terminal monitor .

En utilisant le groupe d'exemples suivant, je vais vous montrer comment connecter telnet à plusieurs appareils
simultanément ainsi que comment utiliser les noms d'hôtes au lieu des adresses IP.

Telnet sur plusieurs appareils simultanément


Si vous utilisez un telnet vers un routeur ou un commutateur, vous pouvez mettre fin à la connexion en tapant exit à tout moment. Mais
que faire si vous souhaitez conserver votre connexion à un appareil distant tout en revenant à
votre console de routeur d'origine? Pour ce faire, vous pouvez appuyer sur la combinaison de touches Ctrl+Maj+6,
relâchez-le, puis appuyez sur X.

Voici un exemple de connexion à plusieurs appareils depuis ma console SW-1 :

SW-1# 10.100.128.8
Essayer 10.100.128.8... Ouvrir

Vérification de l'accès utilisateur

Mot de passe:
SW-3> Ctrl+Maj+6
SW-1#

Ici, vous pouvez voir que je me suis connecté à SW-1, puis j'ai tapé le mot de passe pour entrer en mode utilisateur. Prochain,
J'ai appuyé sur Ctrl+Maj+6, puis sur X, mais vous ne verrez rien de tout cela car cela ne s'affiche pas sur le

Page 68

sortie écran. Notez que mon invite de commande me ramène maintenant au commutateur SW-1.

Examinons maintenant quelques commandes de vérification.

Vérification des connexions Telnet


Si vous souhaitez afficher les connexions de votre routeur ou basculer vers un périphérique distant, utilisez simplement le
commande show sessions . Dans ce cas, je me suis connecté aux commutateurs SW-3 et SW-2 à partir de
SW1 :

SW-1# sessions sh
Conn Hôte Adresse Nom de connexion d'octet inactif
1 10.100.128.9 10.100.128.9 0 10.100.128.9
* 2 10.100.128.8 10.100.128.8 0 10.100.128.8
SW-1#

Vous voyez cet astérisque ( * ) à côté de la connexion 2 ? Cela signifie que la session 2 était la dernière session à laquelle je me suis connecté
à. Vous pouvez revenir à votre dernière session en appuyant deux fois sur Entrée. Vous pouvez également revenir à n'importe quelle session
en tapant le numéro de la connexion puis Enter.

Vérification des utilisateurs Telnet


Vous pouvez révéler toutes les consoles actives et les ports VTY utilisés sur votre routeur avec les utilisateurs du spectacle
commander:

SW-1# sh utilisateurs
Hôte(s) de l'utilisateur de ligne Lieu d'inactivité
* 0 contre 0 10.100.128.9 00:00:01
10.100.128.8 00:01:06

Dans la sortie de la commande, con représente la console locale, et nous pouvons voir que la console
session est connectée à deux adresses IP distantes, c'est-à-dire deux appareils.

Fermeture des sessions Telnet


Vous pouvez mettre fin aux sessions Telnet de différentes manières. Taper exit ou déconnecter sont probablement les deux
le plus rapide et le plus simple.

Pour mettre fin à une session à partir d'un appareil distant, utilisez la commande exit :

SW-3> sortie
[Connexion à 10.100.128.8 fermée par l'hôte étranger]
SW-1#

Pour mettre fin à une session à partir d'un périphérique local, utilisez la commande de déconnexion :

SW-1# sh session
Conn Hôte Adresse Nom de connexion d'octet inactif
*2 10.100.128.9 10.100.128.9 0 10.100.128.9
SW-1# déconnecter ?
<2-2> Le numéro d'une connexion réseau active
qdm Déconnecter les clients Web QDM
ssh Déconnecter une connexion SSH active
SW-1# déconnecter 2
Fermeture de la connexion au 10.100.128.9 [confirmer] [enter]

Dans cet exemple, j'ai utilisé la session numéro 2 car c'était la connexion que je voulais conclure.
Comme démontré, vous pouvez utiliser la commande show sessions pour voir le numéro de connexion.

Résolution des noms d'hôte


Si vous souhaitez utiliser un nom d'hôte au lieu d'une adresse IP pour vous connecter à un périphérique distant, le périphérique
que vous utilisez pour établir la connexion doit être capable de traduire le nom d'hôte en une adresse IP.

Il existe deux manières de résoudre les noms d'hôtes en adresses IP. La première consiste à construire une table d'hôtes sur
chaque routeur, et la seconde consiste à créer un serveur DNS (Domain Name System). Cette dernière méthode
est similaire à la création d'une table d'hôtes dynamique, en supposant que vous avez affaire à un DNS dynamique.

69

Construire une table d'hôtes


Un facteur important à retenir est que bien qu'une table d'hôtes fournisse une résolution de nom, elle ne
cela uniquement sur le routeur spécifique sur lequel il a été construit. La commande que vous utilisez pour créer une table d'hôtes
sur un routeur ressemble à ceci :

ip host host_name [tcp_port_number] ip_address

La valeur par défaut est le numéro de port TCP 23, mais vous pouvez créer une session en utilisant Telnet avec un autre
Numéro de port TCP si vous le souhaitez. Vous pouvez également attribuer jusqu'à huit adresses IP à un nom d'hôte.

Voici comment j'ai configuré une table d'hôtes sur le commutateur SW-1 avec deux entrées pour résoudre les noms pour
les SW-2 et SW-3 :

SW-1# config t
SW-1(config)# hôte IP SW-2 ?
<0-65535> Numéro de port telnet par défaut
Adresse IP de l'hôte ABCD
Ajouter des adresses supplémentaires

SW-1(config)# hôte IP SW-2 10.100.128.9


SW-1(config)# hôte IP SW-3 10.100.128.8

Notez que je peux simplement continuer à ajouter des adresses IP pour référencer un hôte unique, l'une après l'autre. À
voir notre table d'hôtes nouvellement construite, je vais simplement utiliser la commande show hosts :

SW-1(config)# do sho hôtes


Le domaine par défaut n'est pas défini
La recherche de nom/d'adresse utilise le service de domaine
Les serveurs de noms sont 255.255.255.255
Codes : u - inconnu, e - expiré, * - OK, ? - revalider
t - temporaire, p - permanent

Hôte Port Flags Age Type Adresse(s)


SW-3 Aucun (permanent, OK) 0 IP 10.100.128.8
SW-2 Aucun (permanent, OK) 0 IP 10.100.128.9

Dans cette sortie, vous pouvez voir les deux noms d'hôte ainsi que leurs adresses IP associées. La permanente dans le
La colonne Indicateurs signifie
que l'entrée a été configurée manuellement. S'il lisait temp , ce serait un
entrée qui a été résolue par DNS.

La commande show hosts fournit des informations sur les entrées DNS temporaires et

mappages nom-adresse permanents créés à l'aide de la commande ip host .

Pour vérifier que la table d'hôtes résout les noms, essayez de saisir les noms d'hôtes à l'invite du routeur.
N'oubliez pas que si vous ne spécifiez pas la commande, le routeur supposera que vous souhaitez utiliser telnet.

Dans l'exemple suivant, j'utiliserai les noms d'hôte pour me connecter aux appareils distants et j'appuierai sur
Ctrl+Maj+6 puis X pour revenir à la console principale du routeur SW-1 :

SW-1# sw-3
Essayer SW-3 (10.100.128.8)... Ouvrir

Vérification de l'accès utilisateur

Mot de passe:
SW-3> Ctrl+Maj+6
SW-1#

Cela a fonctionné - j'ai utilisé avec succès des entrées dans la table d'hôtes pour créer une session sur le périphérique SW-3 en
en utilisant le nom pour y accéder par telnet. Et juste pour que vous le sachiez, les noms dans la table d'hôtes ne sont pas en casse
sensible.

Notez que les entrées dans la sortie suivante de show sessions affichent maintenant les noms d'hôte et l'IP
adresses au lieu de simplement les adresses IP :

Page 70

SW-1# sessions sh
Conn Hôte Adresse Nom de connexion d'octet inactif
1 SW-3 10.100.128.8 0 1 SW-3
* 2 SW-2 10.100.128.9 0 1 SW-2
SW-1#

Si vous souhaitez supprimer un nom d'hôte de la table, il vous suffit d'utiliser l' hôte no ip
commande comme ceci :

SW-1(config)# pas d'hôte IP SW-3

L'inconvénient d'utiliser cette méthode de table d'hôtes est que vous devez créer une table d'hôtes sur chaque
routeur afin de pouvoir résoudre les noms. Donc clairement, si vous avez tout un tas de routeurs et
voulez résoudre des noms, l'utilisation de DNS est une bien meilleure option !

Utiliser DNS pour résoudre les noms


Si vous avez beaucoup d'appareils, vous ne voulez pas créer de table d'hôtes dans chacun d'eux à moins que
vous avez aussi beaucoup de temps à perdre. Comme la plupart d'entre nous ne le font pas, je recommande fortement d'utiliser un DNS
serveur pour résoudre les noms d'hôtes à la place !

Chaque fois qu'un périphérique Cisco reçoit une commande qu'il ne comprend pas, il essaiera de la résoudre via
DNS par défaut. Regardez ce qui se passe lorsque je tape la commande spéciale todd sur un routeur Cisco
rapide:

SW-1# todd
Traduction de "todd"... serveur de domaine (255.255.255.255)
% Commande ou nom d'ordinateur inconnu, ou impossible à trouver
adresse de l'ordinateur
SW-1#

Parce qu'il ne connaît pas mon nom ou la commande que j'essaie de taper, il essaie de résoudre ce problème
via DNS. C'est vraiment embêtant pour deux raisons : d'abord, parce qu'il ne connaît pas mon nom
<grin>, et deuxièmement, parce que je dois sortir et attendre que la recherche de nom expire. Tu
peut contourner ce problème et éviter une recherche DNS fastidieuse en utilisant la recherche de domaine sans ip
commande sur votre routeur à partir du mode de configuration globale.

Donc, si vous avez un serveur DNS sur votre réseau, vous devrez ajouter quelques commandes pour rendre DNS
la résolution de nom fonctionne bien pour vous :

La première commande est ip domain-lookup , qui est activée par défaut. Il faut le saisir
uniquement si vous l'avez précédemment désactivé avec la commande no ip domain-lookup . La commande peut
être utilisé sans le tiret avec la syntaxe ip domain lookup .

La deuxième commande est ip name-server . Cela définit l'adresse IP du serveur DNS. Vous pouvez
entrez les adresses IP d'un maximum de six serveurs.

La dernière commande est ip domain-name . Bien que cette commande soit facultative, vous devez vraiment définir
car il ajoute le nom de domaine au nom d'hôte que vous saisissez. Étant donné que DNS utilise un
système de nom de domaine qualifié (FQDN), vous devez avoir un nom DNS de second niveau, sous la forme
domaine.com .

Voici un exemple d'utilisation de ces trois commandes :


SW-1# config t
SW-1(config)# recherche de domaine ip
SW-1(config)# serveur de noms IP ?
Adresse IP du serveur de domaine ABCD (maximum de 6)
SW-1(config)# ip name-server 4.4.4.4
SW-1(config)# nom de domaine IP lammle.com
SW-1(config)# ^Z

Une fois les configurations DNS définies, vous pouvez tester le serveur DNS en utilisant un nom d'hôte pour
ping ou telnet dans un appareil comme celui-ci :

SW-1# ping SW-3


Traduction de "SW-3"...serveur de domaine (4.4.4.4) [OK]
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 10.100.128.8, le délai d'expiration est

Page 71

2 secondes:
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max
= 28/31/32 ms

Notez que le routeur utilise le serveur DNS pour résoudre le nom.

Une fois qu'un nom est résolu à l'aide de DNS, utilisez la commande show hosts pour vérifier que le périphérique a mis en cache
ces informations dans la table d'hôtes. Si je n'avais pas utilisé la commande ip domain-name lammle.com , j'aurais
ont dû taper ping sw-3.lammle.com , ce qui est un peu compliqué.

Devriez-vous utiliser une table d'hôte ou un serveur DNS ?

Karen a enfin fini de cartographier son réseau via CDP et le personnel de l'hôpital est maintenant bien
plus heureux. Mais Karen a encore de la difficulté à administrer le réseau parce qu'elle a
regarder le schéma du réseau pour trouver une adresse IP chaque fois qu'elle a besoin de se connecter à un telnet
routeur distant.

Karen pensait mettre des tables d'hôtes sur chaque routeur, mais avec littéralement des centaines de
routeurs, c'est une tâche ardue et pas la meilleure solution. Que devrait-elle faire?

La plupart des réseaux ont maintenant un serveur DNS de toute façon, donc en y ajoutant une centaine de noms d'hôtes
serait beaucoup plus facile, certainement mieux que d'ajouter ces noms d'hôtes à chaque
routeur ! Elle peut simplement ajouter les trois commandes sur chaque routeur et voilà, elle résout
noms!

L'utilisation d'un serveur DNS facilite également la mise à jour des anciennes entrées. Rappelez-vous, même pour un
peu de changement, son alternative serait d'aller sur chaque routeur pour mettre à jour manuellement son
table si elle utilise des tables hôtes statiques.

Gardez à l'esprit que cela n'a rien à voir avec la résolution de noms sur le réseau et rien à
faire avec ce qu'un hôte sur le réseau essaie d'accomplir. Vous n'utilisez cette méthode que lorsque
vous essayez de résoudre les noms à partir de la console du routeur.

Vérification de la connectivité réseau et dépannage


Vous pouvez utiliser les commandes ping et traceroute pour tester la connectivité aux périphériques distants, et les deux
ils peuvent être utilisés avec de nombreux protocoles, pas seulement IP. Mais n'oubliez pas que le show ip route
est une excellente commande de dépannage pour vérifier votre table de routage et le show
La commande interfaces vous révélera l'état de chaque interface.
Je ne vais pas entrer dans les commandes show interfaces ici parce que nous en avons déjà parlé
au chapitre 6. Mais je vais passer en revue à la fois la commande de débogage et la commande showprocess ,
les deux sont très utiles lorsque vous devez dépanner un routeur.

Utilisation de la commande ping


Jusqu'à présent, vous avez vu de nombreux exemples de périphériques ping pour tester la connectivité IP et le nom
résolution à l'aide du serveur DNS. Pour voir tous les différents protocoles que vous pouvez utiliser avec le Ping
programme, tapez ping ? :

SW-1# ping ?
WORD Ping adresse de destination ou nom d'hôte
écho clns CLNS
ip écho IP
écho IPv6 IPv6
tag Tag écho IP encapsulé
<cr>

La sortie ping affiche les temps minimum, moyen et maximum nécessaires à un paquet ping pour
trouver un système spécifié et revenir. Voici un exemple :

Page 72

SW-1# ping SW-3


Traduction de "SW-3"...serveur de domaine (4.4.4.4) [OK]
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 10.100.128.8, le délai d'expiration est
2 secondes:
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max
= 28/31/32 ms

Cette sortie nous indique que le serveur DNS a été utilisé pour résoudre le nom et que l'appareil a été ping
dans un minimum de 28 ms (millisecondes), une moyenne de 31 ms et jusqu'à 32 ms. Ce réseau a
un peu de latence !

La commande ping peut être utilisée en mode utilisateur et privilégié mais pas

mode de configuration !

Utilisation de la commande traceroute


Traceroute — la commande traceroute , ou trace en abrégé — montre le chemin emprunté par un paquet pour se rendre à un
appareil distant. Il utilise la durée de vie (TTL), les délais d'attente et les messages d'erreur ICMP pour décrire le chemin
un paquet traverse un interréseau pour arriver à un hôte distant.

La commande trace , que vous pouvez déployer en mode utilisateur ou en mode privilégié, vous permet
pour déterminer quel routeur dans le chemin vers un hôte réseau inaccessible devrait être examiné plus
étroitement comme la cause probable de la défaillance de votre réseau.

Pour voir les protocoles que vous pouvez utiliser avec la commande traceroute , tapez traceroute ? :

SW-1# traceroute ?
WORD Trace la route vers l'adresse de destination ou le nom d'hôte
AppleTalk Trace
Clns ISO CLNS Trace
ip Trace IP
Trace IPv6 IPv6
ipx Suivi IPX
Mac Tracer le chemin Layer2 entre 2 points de terminaison
vieilles vignes Trace de vignes (Cisco)
Vignes Trace de Vignes (Banyan)
<cr>

La commande traceroute affiche le ou les sauts qu'un paquet traverse sur son chemin vers un
dispositif.

Ne vous trompez pas ! Vous ne pouvez pas utiliser la commande tracert ; c'est un Windows

commander. Pour un routeur, utilisez la commande traceroute !

Voici un exemple d'utilisation de tracert sur une invite Windows - notez que la commande est tracert ,
pas traceroute :

C:\> tracer www.whitehouse.gov

Traçage de l'itinéraire vers a1289.g.akamai.net [69.8.201.107]


sur un maximum de 30 sauts :

1* * * La demande a expiré.
2 53 ms 61 ms 53 ms hlrn-dsl-gw15-207.hlrn.qwest.net [207.225.112.207]
3 53 ms 55 ms 54 ms hlrn-agw1.inet.qwest.net [71.217.188.113]
4 54 ms 53 ms 54 ms hlr-core-01.inet.qwest.net [205.171.253.97]
5 54 ms 53 ms 54 ms apa-cntr-01.inet.qwest.net [205.171.253.26]
6 54 ms 53 ms 53 ms 63.150.160.34
7 54 ms 54 ms 53 ms www.whitehouse.gov [69.8.201.107]

Trace terminée.

73

Bon, passons maintenant et parlons de la façon de dépanner votre réseau à l'aide du débogage
commander.

Débogage
Debug est une commande de dépannage utile qui est disponible à partir du mode d'exécution privilégié de
Cisco IOS. Il est utilisé pour afficher des informations sur les différentes opérations du routeur et le trafic associé
générés ou reçus par le routeur, ainsi que les éventuels messages d'erreur.

Même s'il s'agit d'un outil utile et informatif, il y a quelques faits importants que vous devez
le savoir. Le débogage est considéré comme une tâche très lourde car il peut consommer un énorme
quantité de ressources et le routeur est obligé de changer de processus les paquets en cours de débogage. Donc
vous n'utilisez pas uniquement le débogage comme outil de surveillance, il est destiné à être utilisé pendant une courte période et
uniquement comme outil de dépannage. C'est très utile pour découvrir des faits vraiment significatifs sur
à la fois des composants logiciels et/ou matériels fonctionnels et défectueux, mais n'oubliez pas de limiter son utilisation car
l'outil de dépannage avantageux pour lequel il est conçu.

Parce que la sortie de débogage est prioritaire sur le reste du trafic réseau, et parce que le débogage tout
commande génère plus de sortie que toute autre commande de débogage , elle peut sérieusement diminuer le
les performances du routeur, voire le rendre inutilisable ! Pour cette raison, il est presque toujours préférable d'utiliser
commandes de débogage plus spécifiques .

Comme vous pouvez le voir sur la sortie suivante, vous ne pouvez pas activer le débogage à partir du mode utilisateur, uniquement
mode privilégié :
SW-1> déboguer ?
% Commande non reconnue
SW-1> fr
SW-1# déboguer ?
aaa Authentification, autorisation et comptabilité AAA
expression_accès expression d'accès booléenne
proximité proximité
objectif Gestionnaire d'informations sur les pièces jointes
tous Activer tout le débogage
archiver commandes d'archive de débogage
arp Transactions IP ARP et HP Probe
authentification Débogage du gestionnaire d'authentification
auto Automatisation du débogage
bip BIP de débogage
bgp Informations BGP
bing Débogage Bing(d)
appel-admission Contrôle d'admission des appels
cca Activité du CCA
cdp Informations sur le PCD
cef CEF s'adresse aux exploitations familiales indépendantes
cfgdiff déboguer les commandes cfgdiff
cisp Débogage CISP
clns Informations CLNS
grappe Informations sur le cluster
cmdhd Gestionnaire de commandes
cns Agents du SNC
état État
configuration Comportement de la configuration de débogage
[coupure de sortie]

Si vous avez la liberté de retirer à peu près un routeur ou un commutateur et que vous voulez vraiment avoir
un peu de plaisir avec le débogage, utilisez la commande debug all :

Sw-1# tout déboguer

Cela peut avoir un impact important sur les performances du réseau. Continuer? (oui/[non]): oui
Tous les débogages possibles ont été activés

À ce stade, mon commutateur a été surchargé et s'est écrasé et j'ai dû le redémarrer. Essayez ceci sur votre commutateur à
travailler et voir si vous obtenez les mêmes résultats. Je rigole!

Pour désactiver le débogage sur un routeur, utilisez simplement la commande no devant la commande debug :

SW-1# pas de débogage tout

J'utilise généralement simplement la commande undebug all car c'est si facile d'utiliser le raccourci :

Page 74

SW-1# un tout

N'oubliez pas qu'au lieu d'utiliser la commande debug all , c'est généralement une bien meilleure idée d'utiliser
commandes spécifiques et uniquement pour de courtes périodes. Voici un exemple :

S1 # déboguer l'ip icmp


Le débogage des paquets ICMP est activé
S1# ping 192.168.10.17

Tapez la séquence d'échappement pour abandonner.


Envoi de 5 échos ICMP de 100 octets à 192.168.10.17, le délai d'attente est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max = 1/1/1 ms
S1#
1w4d : ICMP : réponse d'écho envoyée, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : écho de réponse rcvd, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : réponse d'écho envoyée, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : écho de réponse rcvd, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : réponse d'écho envoyée, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : écho de réponse rcvd, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : réponse d'écho envoyée, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : écho de réponse rcvd, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : réponse d'écho envoyée, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : écho de réponse rcvd, src 192.168.10.17, dst 192.168.10.17
SW-1# un tout

Je suis sûr que vous pouvez voir que la commande de débogage est une commande puissante. Et à cause de cela, je suis
Assurez-vous également que vous réalisez qu'avant d'utiliser l'une des commandes de débogage, vous devez vous assurer
vous vérifiez la capacité d'utilisation du processeur de votre routeur. Ceci est important car dans la plupart des cas,
vous ne voulez pas affecter négativement la capacité de l'appareil à traiter les paquets sur votre
interréseau. Vous pouvez déterminer les informations d'utilisation du processeur d'un routeur spécifique en utilisant le show
commande de processus .

N'oubliez pas que lorsque vous vous connectez à un appareil distant, vous ne verrez pas la console

messages par défaut ! Par exemple, vous ne verrez pas la sortie de débogage. Pour autoriser la console
messages à envoyer à votre session Telnet, utilisez la commande terminal monitor .

Utilisation de la commande showprocess


Comme je l'ai dit, vous devez vraiment faire attention lorsque vous utilisez la commande de débogage sur vos appareils. Si
l'utilisation du processeur de votre routeur est constamment à 50 % ou plus, ce n'est probablement pas une bonne idée
pour taper la commande debug all à moins que vous ne vouliez voir à quoi ressemble un routeur lorsqu'il plante !

Alors, quelles autres approches pouvez-vous utiliser ? Eh bien, les processus d'exposition (ou les processus d'exposition cpu ) sont un bon
outil pour déterminer l'utilisation du processeur d'un routeur donné. De plus, il vous donnera une liste des processus actifs
ainsi que leur ID de processus correspondant, priorité, test du planificateur (état), temps CPU utilisé,
nombre de fois invoqué, et ainsi de suite. Plein de bonnes choses ! De plus, cette commande est super pratique lorsque
vous souhaitez évaluer les performances de votre routeur et l'utilisation du processeur et êtes autrement tenté
pour atteindre la commande de débogage !

D'accord, que voyez-vous dans le résultat suivant ? La première ligne montre la sortie d'utilisation du processeur
pendant les 5 dernières secondes, 1 minute et 5 minutes. La sortie fournit 5%/0% devant le CPU
utilisation au cours des 5 dernières secondes : le premier nombre correspond à l'utilisation totale et le second
indique l'utilisation due aux routines d'interruption. Regarde:

SW-1# sh processus
Utilisation du processeur pendant cinq secondes : 5 %/0 % ; une minute : 7 % ; cinq minutes : 8%
PID QTy PC Runtime (ms) Invoqué uSecs Stacks TTY Processus
1 Cwe 29EBC58 0 22 0 5236/6000 0 Gestionnaire de blocs
2 Csp 1B9CF10 241 206881 1 2516/3000 0 Compteur de charge
3 Hwe 1F108D0 0 1 0 8768/9000 0 Gestionnaire de connexion
4 Lst 29FA5C4 9437909 454026 20787 5540/6000 0 Vérifier les tas
5 Cwe 2A02468 0 2 0 5476/6000 0 Gestionnaire de piscine
6 Mst 1E98F04 0 2 0 5488/6000 0 Minuteurs
7 Hwe 13EB1B4 3686 101399 36 5740/6000 0 Entrée nette

75

8 Mwe 13BCD84 0 1 0 23668/24000 0 Rédacteur de crash


9 Mwe 1C591B4 4346 53691 80 4896/6000 0 Entrée ARP
10 Lwe 1DA1504 0 1 0 5760/6000 0 API MIB CEF
11 Lwe 1E76ACC 0 1 0 5764/6000 0 AAA_SERVER_DEADT
12 Mwe 1E6F980 0 2 0 5476/6000 0 AAA haute capacité
13 Mwe 1F56F24 0 1 0 11732/12000 0 Policy Manager [coupure de sortie]

Donc , en gros, la sortie du spectacle traite commande révèle que notre routeur est heureusement en mesure
pour traiter les commandes de débogage sans être surchargé — sympa !

Sommaire
Dans ce chapitre, vous avez appris comment les routeurs Cisco sont configurés et comment les gérer.
configuration.

Nous avons couvert les composants internes d'un routeur, y compris la ROM, la RAM, la NVRAM et la mémoire flash.

Ensuite, vous avez découvert comment sauvegarder et restaurer la configuration d'un routeur et d'un commutateur Cisco.

Vous avez également appris à utiliser CDP et Telnet pour collecter des informations sur les périphériques distants. Finalement,
vous avez découvert comment résoudre les noms d'hôtes et utiliser les commandes ping et trace pour tester le réseau
la connectivité ainsi que l'utilisation des commandes de débogage et d' exposition des processus, bravo !

Essentiels de l'examen
Définissez les composants du routeur Cisco. Décrire les fonctions du bootstrap, POST, ROM
moniteur, mini-IOS, RAM, ROM, mémoire flash, NVRAM et le registre de configuration.

Identifiez les étapes de la séquence de démarrage du routeur. Les étapes de la séquence de démarrage sont POST,
chargement de l'IOS et copie de la configuration de démarrage de la NVRAM vers la RAM.

Enregistrez la configuration d'un routeur ou d'un commutateur. Il y a plusieurs façons de le faire, mais
la méthode la plus courante, ainsi que la plus testée, est copy running-config startup-config .

Effacez la configuration d'un routeur ou d'un commutateur. Tapez la commande d' effacement en mode privilégié
startup-config et rechargez le routeur.
Comprendre les différents niveaux de syslog. C'est plutôt simple de configurer syslog ; cependant,
il y a un tas d'options dont vous devez vous souvenir pour l'examen. Pour configurer le syslog de base avec
débogage comme niveau par défaut, c'est juste cette commande :
SF(config)# journalisation 172.16.10.1

Cependant, vous devez vous souvenir des huit options :

Piège de journalisation SF(config)# ?


<0-7> Niveau de gravité de la journalisation
alertes Action immédiate nécessaire (gravité=1)
critique Conditions critiques (gravité=2)
débogage Messages de débogage (gravité=7)
urgences Le système est inutilisable (gravité=0)
les erreurs Conditions d'erreur (gravité=3)
Messages d'information (gravité=6)
notifications Conditions normales mais significatives (gravité=5)
avertissements Conditions d'avertissement (gravité=4)
<cr>

Comprendre comment configurer NTP. C'est assez simple de configurer NTP, comme avant
syslog, mais nous n'avons pas à nous souvenir d'un tas d'options ! C'est juste dire au syslog de marquer le
l'heure et la date et l'activation de NTP :

SF(config)# service timestamps log datetime msec


Serveur SF(config) #ntp 172.16.10.1 version 4

Décrivez la valeur du CDP et du LLDP. Cisco Discovery Protocol peut être utilisé pour vous aider
documenter ainsi que dépanner votre réseau ; aussi, LLDP est un protocole non propriétaire qui peut
fournir les mêmes informations que le CDP.

Page 76
Répertoriez les informations fournies par la sortie de la commande show cdp neighbors . Les
La commande show cdp neighbors fournit
les informations suivantes : ID de périphérique, interface locale,
temps d'attente, capacité, plate-forme et ID de port (interface distante).

Comprendre comment établir une session Telnet avec plusieurs routeurs


simultanément. Si vous vous connectez par telnet à un routeur ou à un commutateur, vous pouvez mettre fin à la connexion en tapant exit
à tout moment. Cependant, si vous souhaitez conserver votre connexion à un appareil distant tout en revenant
à la console de votre routeur d'origine, vous pouvez appuyer sur la combinaison de touches Ctrl+Maj+6, la relâcher et
puis appuyez sur X.

Identifiez les sessions Telnet en cours. La commande show sessions vous fournira
informations sur toutes les sessions actuellement actives que votre routeur a avec d'autres routeurs.

Créez une table d'hôtes statique sur un routeur. En utilisant la commande de configuration globale ip host
host_name ip_address ,
vous pouvez créer une table d'hôtes statique sur votre routeur. Vous pouvez appliquer plusieurs IP
adresses par rapport à la même entrée d'hôte.

Vérifiez la table d'hôtes sur un routeur. Vous pouvez vérifier la table d'hôtes avec les hôtes du spectacle
commander.

Décrivez la fonction de la commande ping . Packet Internet Groper ( ping ) utilise l'écho ICMP
les requêtes et les réponses d'écho ICMP pour vérifier une adresse IP active sur un réseau.

Ping un ID d'hôte valide à partir de l'invite correcte. Vous pouvez cingler une adresse IP à partir d'un routeur
mode utilisateur ou mode privilégié mais pas depuis le mode configuration, sauf si vous utilisez la commande do .
Vous devez envoyer un ping à une adresse valide, telle que 1.1.1.1.

Laboratoires écrits 7
Dans cette section, vous effectuerez les travaux pratiques suivants pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :

Atelier 7.1 : Gestion de l'IOS

Atelier 7.2 : Mémoire du routeur

Vous pouvez trouver les réponses à ces laboratoires dans l'annexe A, « Réponses aux laboratoires écrits ».

Travaux pratiques écrits 7.1 : gestion IOS


Écrivez les réponses aux questions suivantes :

1. Quelle est la commande pour copier le fichier startup-config dans la DRAM ?

2. Quelle commande pouvez-vous utiliser pour voir l'adresse IP du routeur voisin à partir de votre routeur
rapide?

3. Quelle commande pouvez-vous utiliser pour voir le nom d'hôte, l'interface locale, la plate-forme et le port distant
d'un routeur voisin ?

4. Quelles frappes pouvez-vous utiliser pour telnet dans plusieurs appareils simultanément ?

5. Quelle commande vous montrera vos connexions Telnet actives au voisin et à distance
dispositifs?

6. Quelle commande pouvez-vous utiliser pour fusionner une configuration de sauvegarde avec la configuration en RAM ?

7. Quel protocole peut être utilisé sur un réseau pour synchroniser les informations d'horloge et de date ?

8. Quelle commande est utilisée par un routeur pour transmettre une demande de client DHCP à un DHCP distant
serveur?

9. Quelle commande permet à votre commutateur ou routeur de recevoir des informations d'horloge et de date et
synchroniser avec le serveur NTP ?

10. Quelle commande de vérification NTP affichera le maître de référence pour le client ?

77

Travaux pratiques 7.2 : Mémoire du routeur


Identifiez l'emplacement dans un routeur où chacun des fichiers suivants est stocké par défaut.

1. Cisco IOS

2. Bootstrap

3. Configuration de démarrage

4. Routine POST

5. Configuration en cours

6. Cache ARP

7. Mini-IOS

8. Moniteur ROM

9. Tables de routage

10. Tampons de paquets


Laboratoires pratiques
Pour terminer les travaux pratiques de cette section, vous avez besoin d'au moins un routeur ou un commutateur (trois serait mieux)
et au moins un PC fonctionnant en tant que serveur TFTP. Le logiciel serveur TFTP doit être installé et
fonctionnant sur le PC. Pour ce laboratoire, il est également supposé que votre PC et les périphériques Cisco sont
connecté avec un commutateur et que toutes les interfaces (PC NIC et interfaces de routeur) sont dans le
même sous-réseau. Vous pouvez alternativement connecter le PC directement au routeur ou connecter les routeurs
directement entre eux (utiliser un câble croisé dans ce cas). N'oubliez pas que les laboratoires répertoriés ici
ont été créés pour être utilisés avec de vrais routeurs mais peuvent facilement être utilisés avec la version LammleSim IOS
(voir www.lammle.com/ccna ) ou vous pouvez utiliser le simulateur de routeur Cisco Packet Tracer. Enfin, bien que
peu importe que vous utilisiez un commutateur ou un routeur dans ces laboratoires, je vais simplement utiliser mes routeurs,
mais n'hésitez pas à utiliser votre commutateur pour parcourir ces laboratoires !

Voici une liste des laboratoires de ce chapitre :

Atelier 7.1 : Sauvegarder la configuration du routeur

Atelier 7.2 : Utilisation du protocole de découverte Cisco (CDP)

Atelier 7.3 : Utiliser Telnet

Atelier 7.4 : Résoudre les noms d'hôte

Travaux pratiques 7.1 : Sauvegarder la configuration du routeur


Dans cet atelier, vous allez sauvegarder la configuration du routeur :

1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .

2. Envoyez un ping au serveur TFTP pour vous assurer que vous disposez d'une connectivité IP.

3. Depuis RouterB, tapez copy run tftp .

4. Lorsque vous y êtes invité, saisissez l'adresse IP du serveur TFTP (par exemple, 172.16.30.2) et
appuyez sur Entrée.

5. Par défaut, le routeur vous demandera un nom de fichier. Le nom d'hôte du routeur est suivi
par le suffixe -confg (oui, je l'ai correctement orthographié). Vous pouvez utiliser n'importe quel nom que vous voulez.

Nom du fichier de configuration à écrire [RouterB-confg] ?

Appuyez sur Entrée pour accepter le nom par défaut.

Écrire le fichier RouterB-confg sur l'hôte 172.16.30.2 ? [confirmer]

Appuyez sur Entrée pour confirmer.

Page 78

Travaux pratiques 7.2 : Utilisation du protocole de découverte Cisco (CDP)


Le CDP est un objectif important pour les examens Cisco. Veuillez parcourir ce laboratoire et utiliser CDP comme
autant que possible pendant vos études.

1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .

2. Depuis le routeur, tapez sh cdp et appuyez sur Entrée. Vous devriez voir que les paquets CDP sont envoyés
à toutes les interfaces actives toutes les 60 secondes et le temps d'attente est de 180 secondes (ce sont les
valeurs par défaut).

3. Pour changer la fréquence de mise à jour CDP à 90 secondes, tapez cdp timer 90 dans la configuration globale
mode.

Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminer par
CNTL/Z.
Routeur(config)# minuteur cdp ?
<5-900> Débit auquel les paquets CDP sont envoyés (en secondes)
Routeur (config) # minuteur cdp 90

4. Vérifiez que la fréquence de votre minuteur CDP a changé en utilisant la commande show cdp dans
mode privilégié.

Routeur# sh cdp
Informations globales sur le CDP :
Envoi de paquets CDP toutes les 90 secondes
Envoi d'une valeur de temps d'attente de 180 secondes

5. Utilisez maintenant CDP pour collecter des informations sur les routeurs voisins. Vous pouvez obtenir la liste des disponibles
commandes en tapant sh cdp ? .

Routeur# sh cdp ?
entrée Informations pour une entrée voisine spécifique
état et configuration de l'interface CDP
voisins entrées de voisins CDP
statistiques de trafic CDP
<cr>

6. Tapez sh cdp int pour voir les informations d'interface ainsi que l'encapsulation par défaut utilisée par le
interface. Il affiche également les informations de la minuterie CDP.

7. Tapez sh cdp entry * pour afficher les informations CDP complètes reçues de tous les appareils.

8. Tapez show cdp neighbors pour collecter des informations sur tous les voisins connectés. (Vous devriez
connaître les informations spécifiques sorties par cette commande.)

9. Tapez afficher les détails des voisins cdp . Notez qu'il produit la même sortie que show cdp entry * .
Atelier pratique 7.3 : Utilisation de Telnet
Secure Shell a été traité au chapitre 6, et c'est ce que vous devez utiliser pour accéder à distance à un
Appareil Cisco. Cependant, les objectifs de Cisco couvrent la configuration Telnet, alors faisons un laboratoire sur
Telnet !

1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .

2. Depuis RouterA, telnet dans votre routeur distant (RouterB) en tapant telnet ip_address à partir du
invite de commande. Tapez exit pour vous déconnecter.

3. Tapez maintenant l'adresse IP du routeur B à partir de l'invite de commande du routeur A. Notez que le routeur
essaie automatiquement de se connecter par telnet à l'adresse IP que vous avez spécifiée. Vous pouvez utiliser la commande telnet
ou tapez simplement l'adresse IP.

4. Depuis RouterB, appuyez sur Ctrl+Maj+6, puis sur X pour revenir à l'invite de commande de RouterA. Maintenant
telnet dans votre troisième routeur, RouterC. Appuyez sur Ctrl+Maj+6, puis sur X pour revenir à RouterA.

5. Depuis RouterA, saisissez show sessions . Remarquez vos deux séances. Vous pouvez appuyer sur le numéro
affiché à gauche de la session et appuyez deux fois sur Entrée pour revenir à cette session. L'astérisque
affiche la session par défaut. Vous pouvez appuyer deux fois sur Entrée pour revenir à cette session.

79

6. Accédez à la session de votre RouterB. Tapez afficher les utilisateurs . Cela montre la connexion de la console et
la connexion à distance. Vous pouvez utiliser la commande de déconnexion pour effacer la session ou simplement taper
quittez l'invite pour fermer votre session avec RouterB.
7. Accédez au port de console de RouterC en tapant show sessions sur le premier routeur et en utilisant le
numéro de connexion à retourner à RouterC. Tapez show user et notez la connexion à votre
premier routeur, RouterA.

8. Tapez clear line line_number pour déconnecter la session Telnet.

Atelier pratique 7.4 : Résoudre les noms d'hôte


Il est préférable d'utiliser un serveur DNS pour la résolution de noms, mais vous pouvez également créer une table d'hôtes locale pour
résoudre les noms. Nous allons jeter un coup d'oeil.

1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .

2. Depuis RouterA, tapez todd et appuyez sur Entrée à l'invite de commande. Remarquez l'erreur que vous
recevoir et le délai. Le routeur essaie de résoudre le nom d'hôte en une adresse IP en
à la recherche d'un serveur DNS. Vous pouvez désactiver cette fonctionnalité en utilisant la recherche de domaine sans ip
commande depuis le mode de configuration globale.

3. Pour créer une table d'hôtes, vous utilisez la commande ip host . Depuis RouterA, ajoutez une entrée de table d'hôtes pour
RouterB et RouterC en entrant les commandes suivantes :

ip host routerb ip_address


ip host routerc ip_address

Voici un exemple:

routeur hôte ipb 172.16.20.2


routeur hôte ip c 172.16.40.2

4. Testez votre table d'hôtes en tapant ping routerb à partir de l'invite du mode privilégié (pas le config
rapide).

RouteurA# ping routerb


Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 172.16.20.2, délai d'attente
est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour
min/moy/max = 4/4/4 ms

5. Testez votre table d'hôtes en tapant ping routerc .

RouterA# ping routerc


Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 172.16.40.2, délai d'attente
est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour
min/moy/max = 4/6/8 ms

6. Telnet au routeur B et gardez votre session sur le routeur B ouverte au routeur A en appuyant sur
Ctrl+Maj+6, puis X.

7. Telnet à RouterC en tapant routerc à l'invite de commande.

8. Revenez à RouterA et gardez la session sur RouterC ouverte en appuyant sur Ctrl+Maj+6, puis sur X.

9. Affichez la table des hôtes en saisissant show hosts et en appuyant sur Entrée.

Le domaine par défaut n'est pas défini


La recherche de nom/d'adresse utilise le service de domaine
Les serveurs de noms sont 255.255.255.255
Hôte Indicateurs Âge Type Adresse(s)
routeurb (permanent, OK) 0 IP 172.16.20.2
routeurc (permanent, OK) 0 IP 172.16.40.2

Questions de révision
Page 80

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Lequel des protocoles suivants est un protocole basé sur des normes qui fournit un réseau dynamique ?
Découverte?

A. DHCP

B. LLDP

C. DDNS

D. SSTP

E. CDP

2. Quelle commande peut être utilisée pour déterminer l'utilisation du processeur d'un routeur ?

A. afficher la version

B. afficher les contrôleurs

C. afficher les processus cpu

D. montrer la mémoire

3. Vous résolvez un problème de connectivité dans votre réseau d'entreprise et souhaitez


isoler le problème. Vous pensez qu'un routeur sur la route vers un réseau inaccessible est à
la faute. Quelle commande d' exécution utilisateur IOS devez-vous émettre ?

A. Routeur>ping

B. Routeur>trace

C. Routeur> afficher la route IP

D. Routeur>afficher l'interface

E. Routeur>afficher les voisins cdp

4. Vous copiez une configuration d'un hôte réseau vers la RAM d'un routeur. La configuration semble
correct, mais cela ne fonctionne pas du tout. Quel pourrait être le problème?

A. Vous avez copié la mauvaise configuration dans la RAM.

B. Vous avez plutôt copié la configuration dans la mémoire flash.

C. La copie n'a pas remplacé la commande shutdown dans running-config.

D. L'IOS est devenu corrompu après que la commande de copie ait été lancée.

5. Dans la commande suivante, à quoi fait référence l'adresse IP 10.10.10.254 ?

Routeur# config t
Routeur(config)# interface fa0/0
Routeur(config-if)# ip helper-address 10.10.10.254

A. Adresse IP de l'interface d'entrée sur le routeur

B. Adresse IP de l'interface de sortie sur le routeur

C. Adresse IP du prochain saut sur le chemin vers le serveur DHCP

D. Adresse IP du serveur DHCP

6. Le siège social vous envoie un nouveau routeur pour vous connecter, mais lors de la connexion de la console
câble, vous voyez qu'il y a déjà une configuration sur le routeur. Que faut-il faire avant

Page 81

une nouvelle configuration est entrée dans le routeur ?

A. La RAM doit être effacée et le routeur redémarré.

B. Flash doit être effacé et le routeur redémarré.

C. La NVRAM doit être effacée et le routeur redémarré.

D. La nouvelle configuration doit être saisie et enregistrée.

7. Quelle commande pouvez-vous utiliser pour déterminer l'adresse IP d'un voisin directement connecté ?

A. montrer cdp

B. afficher les voisins cdp

C. afficher le détail des voisins cdp

D. afficher les détails du voisin

8. Selon la sortie, quelle interface SW-2 utilise-t-il pour se connecter à SW-3 ?


SW-3# sh voisins cdp
Codes de capacité : R - Routeur, T - Pont Trans, B - Route source BridgeS - Commutateur, H - Hôte, I -
IGMP, r - Répéteur, P - Téléphone, D - Télécommande, C - CVTA, M - ID de périphérique de relais Mac à deux ports
ID de port de la plate-forme de capacité de Holdtme local d'intrfce
SW-1 Fas 0/1 170 SI WS-C3560- Fas 0/15
SW-1 Fas 0/2 170 SI WS-C3560- Fas 0/16
SW-2 Fas 0/5 162 SI WS-C3560- Fas 0/2

A. Fas 0/1

B. Fas 0/16

C. Fas 0/2

D. Fas 0/5

9. Laquelle des commandes suivantes active syslog sur un périphérique Cisco avec le débogage comme niveau ?

A. syslog 172.16.10.1

B. journalisation 172.16.10.1

C. débogage syslog de la console distante 172.16.10.1

D. transmettre les messages de la console niveau 7 172.16.10.1

10. Vous enregistrez la configuration sur un routeur avec le démarrage-config copy running-config commande
et redémarrez le routeur. Le routeur, cependant, propose une configuration vierge. Ce qui peut
le problème est-il ?

A. Vous n'avez pas démarré le routeur avec la bonne commande.

B. La NVRAM est corrompue.

C. Le réglage du registre de configuration est incorrect.

D. L'IOS nouvellement mis à niveau n'est pas compatible avec le matériel du routeur.

E. La configuration que vous avez enregistrée n'est pas compatible avec le matériel.

11. Si vous souhaitez ouvrir plusieurs sessions Telnet en même temps, quelle frappe
combinaison utiliseriez-vous?

A. Tab + barre d'espace

B. Ctrl+X, puis 6

C. Ctrl+Maj+X, puis 6

D. Ctrl+Maj+6, puis X

12. Vous ne parvenez pas à vous connecter à un périphérique distant à partir de votre commutateur, mais vous pourriez
au routeur plus tôt. Cependant, vous pouvez toujours envoyer un ping à l'appareil distant. Quel pourrait être le problème
être? (Choisissez deux.)

Page 82

A. Les adresses IP sont incorrectes.

B. La liste de contrôle d'accès filtre Telnet.

C. Il y a un câble série défectueux.

D. Le mot de passe VTY est manquant.

13. Quelles informations sont affichées par la commande show hosts ? (Choisissez deux.)

A. Entrées DNS temporaires

B. Les noms des routeurs créés à l'aide de la commande hostname

C. Les adresses IP des postes de travail autorisés à accéder au routeur

D. Mappages permanents nom-adresse créés à l'aide de la commande ip host

E. La durée pendant laquelle un hôte a été connecté au routeur via Telnet

14. Quelles trois commandes peuvent être utilisées pour vérifier les problèmes de connectivité LAN sur une entreprise
changer? (Choisissez trois.)

A. afficher les interfaces

B. afficher l'itinéraire IP

C. tracer

D. ping

E. recherches DNS

15. Quel est le niveau d'installation syslog par défaut ?

A. local4

B. local5

C. local6

D. local7

16. Vous telnet dans un périphérique distant et tapez debug ip icmp , mais aucune sortie de la commande debug
est vu. Quel pourrait être le problème?

A. Vous devez d'abord taper la commande show ip icmp .

B. L'adressage IP sur le réseau est incorrect.


C. Vous devez utiliser la commande Terminal Monitor .
D. La sortie de débogage est envoyée uniquement à la console.

17. Quelles sont les trois affirmations concernant l'utilisation de syslog qui sont vraies ? (Choisissez trois.)

A. L'utilisation de syslog améliore les performances du réseau.

B. Le serveur syslog informe automatiquement l'administrateur réseau des problèmes de réseau.

C. Un serveur syslog fournit l'espace de stockage nécessaire pour stocker les fichiers journaux sans utiliser de routeur
espace disque.

D. Il y a plus de messages Syslog disponibles dans Cisco IOS qu'il n'y en a de comparables
Messages d'interruption SNMP.

E. L'activation de syslog sur un routeur active automatiquement NTP pour un horodatage précis.

F. Un serveur syslog aide à l'agrégation des journaux et des alertes.

18. Vous devez collecter l'adresse IP d'un commutateur distant situé à Hawaï. Qu'est-ce que tu peux
faire pour trouver l'adresse?

A. Envolez-vous vers Hawaï, consolez-vous dans le commutateur, puis détendez-vous et prenez un verre avec un parapluie dedans.

B. Émettez la commande show ip route sur le routeur connecté au commutateur.

Page 83

C. Émettez la commande show cdp neighbor sur le routeur connecté au commutateur.

D. Émettez la commande show ip arp sur le routeur connecté au commutateur.

E. Émettez la commande show cdp neighbors detail sur le routeur connecté au commutateur.

19. Vous devez configurer tous vos routeurs et commutateurs pour qu'ils synchronisent leurs horloges à partir de
source unique. Quelle commande taperez-vous pour chaque appareil ?

A. synchronisation d'horloge ip_address

B. ntp maître ip_address

C. sync ntp ip_address

D. ntp server ip_address numéro de version

20. Un administrateur réseau entre la commande suivante sur un routeur : logging trap 3 . Quels sont
trois types de messages qui seront envoyés au serveur syslog ? (Choisissez trois.)

A. Informationnel

B. Urgence

C. Avertissement

D. Critique

E. Débogage

F. Erreur
84

Chapitre 8
Gestion des appareils Cisco

Les sujets d'examen ICND1 suivants sont traités dans ce


chapitre:
x 5.0 Gestion des infrastructures

5.2 Configurer et vérifier la gestion des appareils

5.2.c Licence

5.5 Effectuer la maintenance de l'appareil

5.5.a Mises à niveau et récupération de Cisco IOS (vérification SCP, FTP, TFTP et MD5)

5.5.b Récupération du mot de passe et registre de configuration

5.5.c Gestion du système de fichiers

Ici, au chapitre 8, je vais vous montrer comment gérer


Routeurs Cisco sur un interréseau. Le système d'exploitation interréseau (IOS) et la configuration
les fichiers résident à différents endroits dans un périphérique Cisco, il est donc très important de comprendre à la fois
où se trouvent ces fichiers et comment ils fonctionnent.

Vous découvrirez le registre de configuration, y compris comment utiliser la configuration


s'inscrire pour récupérer le mot de passe.

Enfin, je couvrirai comment vérifier les licences sur les routeurs ISRG2 ainsi que comment installer un
licence permanente et configurer les fonctionnalités d'évaluation dans les dernières images universelles.

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna

ou la page Web du livre à l' adresse www.sybex.com/go/ccna .

Gestion du registre de configuration


Tous les routeurs Cisco ont un registre logiciel 16 bits qui est écrit dans la NVRAM. Par défaut, le
le registre de configuration est défini pour charger le Cisco IOS à partir de la mémoire flash et pour rechercher et charger
le fichier startup-config de la NVRAM. Dans les sections suivantes, je vais discuter de la
paramètres de registre de configuration et comment utiliser ces paramètres pour permettre la récupération de mot de passe sur
vos routeurs.

Page 85

Comprendre les bits du registre de configuration


Les 16 bits (2 octets) du registre de configuration sont lus de 15 à 0, de gauche à droite. Les
le paramètre de configuration par défaut sur les routeurs Cisco est 0x2102. Cela signifie que les bits 13, 8 et 1 sont activés,
comme le montre le tableau 8.1 . Notez que chaque ensemble de 4 bits (appelé un quartet) est lu en binaire avec une valeur
de 8, 4, 2, 1.

TABLEAU 8.1 Les numéros de bits du registre de configuration

Registre de configuration 2 1 0 2

Numéro de bit 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0

Binaire 0010000100000010
Ajoutez le préfixe 0x à l'adresse du registre de configuration. Le 0x signifie que le

les chiffres qui suivent sont en hexadécimal.

Le Tableau 8.2 répertorie les significations des bits de configuration logicielle. Notez que le bit 6 peut être utilisé pour ignorer le
Contenu NVRAM. Ce bit est utilisé pour la récupération de mot de passe - quelque chose que je vais bientôt aborder avec vous
dans la section « Récupération des mots de passe », plus loin dans ce chapitre.

Rappelez-vous qu'en hexadécimal, le schéma est 0-9 et A-F (A = 10, B = 11, C = 12, D =

13, E = 14 et F = 15). Cela signifie qu'un paramètre 210F pour le registre de configuration est
en fait 210(15), ou 1111 en binaire.

TABLEAU 8.2 Significations de la configuration logicielle

Bit Hex La description

0–3 0x0000–0x000F Champ de démarrage (voir Tableau 8.3 ).

6 0x0040 Ignorer le contenu NVRAM.

7 0x0080 Bit OEM activé.

8 0x101 Pause désactivée.

dix 0x0400 Diffusion IP avec tous les zéros.

5, 11–12 0x0800–0x1000 Vitesse de ligne de la console.

13 0x2000 Démarrez le logiciel ROM par défaut si le démarrage du réseau échoue.

14 0x4000 Les diffusions IP n'ont pas de numéros nets.

15 0x8000 Activez les messages de diagnostic et ignorez le contenu NVRAM.

Le champ de démarrage, composé des bits 0 à 3 du registre de configuration (les 4 derniers bits), contrôle
la séquence de démarrage du routeur et localise Cisco IOS. Le tableau 8.3 décrit les bits du champ de démarrage.

TABLEAU 8.3 Le champ d'amorçage (bits 00–03 du registre de configuration)

Botte Signification Utilisation


Champ

00 ROM Pour démarrer en mode moniteur ROM, définissez le registre de configuration sur 2100. Vous
surveiller doit démarrer manuellement le routeur avec la commande b . Le routeur affichera le
mode rommon> invite.

01 Image de démarrage Pour démarrer l'image mini-IOS stockée dans la ROM, définissez le registre de configuration sur

86

à partir de la ROM 2101. Le routeur affichera l' invite Router(boot)> . Le mini-IOS n'est pas
disponible dans tous les routeurs et est également appelé RXBOOT.
02–F Spécifie un Toute valeur comprise entre 2102 et 210F indique au routeur d'utiliser le démarrage
défaut commandes spécifiées dans la NVRAM.
botte
nom de fichier

Vérification de la valeur actuelle du registre de configuration


Vous pouvez voir la valeur actuelle du registre de configuration en utilisant la commande show version ( sh
version ou show ver pour faire court), comme démontré ici :
Routeur> version sh
Logiciel Cisco IOS, logiciel 2800 (C2800NM-ADVSECURITYK9-M),
Version 15.1(4)M6, LIBÉRER LE LOGICIEL (FC2)
[coupure de sortie]
Le registre de configuration est 0x2102

La dernière information donnée par cette commande est la valeur du registre de configuration. Dans ce
exemple, la valeur est 0x2102—le paramètre par défaut. Le réglage du registre de configuration de 0x2102
indique au routeur de rechercher dans la NVRAM la séquence de démarrage.

Notez que la commande show version fournit également la version IOS, et dans le précédent
exemple, il affiche la version IOS comme 15.1(4)M6.

La commande show version affichera la configuration matérielle du système

informations, le numéro de série du système, la version du logiciel et les noms des images de démarrage
sur un routeur.

Pour modifier le registre de configuration, utilisez la commande config-register de la configuration globale


mode:

Routeur (config) #config-register 0x2142


Routeur (config) #do sh ver
[coupure de sortie]
Le registre de configuration est 0x2102 (sera 0x2142 au prochain rechargement)

Il est important que vous soyez prudent lorsque vous définissez le registre de configuration !

Si vous enregistrez votre configuration et rechargez le routeur et qu'il apparaît dans la configuration

mode, le paramètre du registre de configuration est probablement incorrect.

Commandes système de démarrage


Saviez-vous que vous pouvez configurer votre routeur pour démarrer un autre IOS si le flash est corrompu ?
Bien, vous pouvez. Vous pouvez démarrer tous vos routeurs à partir d'un serveur TFTP, mais c'est de la vieille école, et
les gens ne le font plus ; c'est juste pour la sauvegarde en cas d'échec.

Il existe des commandes de démarrage avec lesquelles vous pouvez jouer qui vous aideront à gérer la façon dont votre routeur
démarre le Cisco IOS, mais n'oubliez pas que nous parlons ici de l'IOS du routeur, pas du
configuration du routeur !

Routeur> fr
Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Routeur(config)# boot ?
bootstrap Fichier image de bootstrap
config Fichier de configuration
fichier de configuration spécifique au routeur hôte

87

réseau Fichier de configuration à l'échelle du réseau


système Fichier image système

La commande de démarrage vous offre vraiment une multitude d'options, mais d'abord, je vais vous montrer les paramètres typiques
que Cisco recommande. Alors commençons, la commande boot system vous permettra de dire au
routeur quel fichier IOS système pour démarrer à partir de la mémoire flash. N'oubliez pas que le routeur, par défaut,
démarre le premier fichier IOS système trouvé dans la mémoire flash. Vous pouvez changer cela avec les commandes suivantes,
comme indiqué dans la sortie :

Router(config)# système de démarrage ?


WORD TFTP nom de fichier ou URL
flash Démarrage à partir de la mémoire flash
ftp Boot à partir d'un serveur via ftp
mop Démarrez à partir d'un serveur Decnet MOP
rcp Démarrage à partir d'un serveur via rcp
rom Démarrez à partir de la rom
tftp Démarrage à partir d'un serveur tftp
Routeur(config)# boot système flash c2800nm-advsecurityk9-mz.151-4.M6.bin

Remarquez que je pourrais démarrer à partir de FLASH, FTP, ROM, TFTP ou d'autres options inutiles. La commande je
utilisé configure le routeur pour démarrer l'IOS qui y est répertorié. Il s'agit d'une commande utile lorsque vous
charger un nouvel IOS dans le flash et vouloir le tester, ou même quand vous voulez changer totalement quel IOS est
chargement par défaut.

La commande suivante est considérée comme une routine de secours, mais comme je l'ai dit, vous pouvez en faire une commande permanente
moyen de faire démarrer vos routeurs à partir d'un hôte TFTP. Personnellement, je ne recommanderais pas nécessairement
faire cela (point de défaillance unique) ; Je te montre juste que c'est possible :

Router(config)# boot system tftp ?


WORD Nom du fichier de l'image système
Routeur(config)# boot system tftp c2800nm-advsecurityk9-mz.151-4.M6.bin?
Nom d'hôte ou adresse ABCD à partir de laquelle télécharger le fichier
<cr>
Routeur(config)# boot system tftp c2800nm-advsecurityk9-mz.151-4.M6.bin 1.1.1.2
Routeur(config)#

Comme dernière option de secours recommandée - celle à laquelle aller si l'IOS en flash ne se charge pas et
l'hôte TFTP ne produit pas l'IOS — chargez le mini-IOS à partir de la ROM comme ceci :

Router(config)# rom système de démarrage


Router(config)# affiche l'exécution | inclure le système de démarrage
système de démarrage flash c2800nm-advsecurityk9-mz.151-4.M6.bin
système de démarrage tftp c2800nm-advsecurityk9-mz.151-4.M6.bin 1.1.1.2
rom système de démarrage
Routeur(config)#

Si la configuration précédente est définie, le routeur essaiera de démarrer à partir du serveur TFTP si flash
échoue, et si le démarrage TFTP échoue, le mini-IOS se chargera après six tentatives infructueuses d'essayer de
localisez le serveur TFTP.

Dans la section suivante, je vais vous montrer comment charger le routeur en mode moniteur ROM afin que vous puissiez
effectuer la récupération du mot de passe.

Récupération des mots de passe


Si vous êtes bloqué sur un routeur parce que vous avez oublié le mot de passe, vous pouvez modifier le
registre de configuration pour vous aider à vous remettre sur pied. Comme je l'ai dit plus tôt, le bit 6 dans le
Le registre de configuration est utilisé pour indiquer au routeur s'il doit utiliser le contenu de la NVRAM pour charger un
configuration du routeur.

La valeur par défaut du registre de configuration est 0x2102, ce qui signifie que le bit 6 est désactivé. Avec la valeur par défaut
paramètre, le routeur recherchera et chargera une configuration de routeur stockée dans la NVRAM (démarrage-
configuration). Pour récupérer un mot de passe, vous devez activer le bit 6. Cela indiquera au routeur d'ignorer
le contenu de la NVRAM. La valeur du registre de configuration pour activer le bit 6 est 0x2142.
Voici les principales étapes de la récupération du mot de passe :
1. Démarrez le routeur et interrompez la séquence de démarrage en effectuant une pause, ce qui prendra le

88

routeur en mode moniteur ROM.


2. Modifiez le registre de configuration pour activer le bit 6 (avec la valeur 0x2142).

3. Rechargez le routeur.

4. Dites « non » pour entrer en mode de configuration, puis entrez en mode privilégié.

5. Copiez le fichier startup-config dans running-config, et n'oubliez pas de vérifier que vos interfaces
sont réactivés.

6. Modifiez le mot de passe.

7. Réinitialisez le registre de configuration à la valeur par défaut.

8. Enregistrez la configuration du routeur.

9. Rechargez le routeur (facultatif).

Je vais couvrir ces étapes plus en détail dans les sections suivantes. Je vais aussi vous montrer le
commandes pour restaurer l'accès aux routeurs de la série ISR.

Vous pouvez entrer en mode moniteur ROM en appuyant sur Ctrl+Break ou Ctrl+Maj+6, puis b, pendant le routeur
démarrage. Mais si l'IOS est corrompu ou manquant, s'il n'y a pas de connectivité réseau disponible pour trouver un
Hôte TFTP, ou si le mini-IOS de la ROM ne se charge pas (ce qui signifie que le routeur de secours par défaut
échoué), le routeur entrera en mode moniteur ROM par défaut.

Interruption de la séquence d'amorçage du routeur

Votre première étape consiste à démarrer le routeur et à effectuer une pause. Cela se fait généralement en appuyant sur la
Combinaison de touches Ctrl+Break lors de l'utilisation d'HyperTerminal (personnellement, j'utilise SecureCRT ou
PuTTY) pendant le premier redémarrage du routeur.

Système d'amorçage, version 15.1(4)M6, RELEASE LOGICIEL (fc2)


Copyright (c) 1999 par Cisco Systems, Inc.
TAC:Home:SW:IOS:Spéciaux pour info
PC = 0xfff0a530, Vecteur = 0x500, SP = 0x680127b0
Plateforme C2800 avec 32768 Ko de mémoire principale
PC = 0xfff0a530, vecteur = 0x500, SP = 0x80004374
monitor : la commande « boot » a été abandonnée en raison d'une interruption de l'utilisateur
rommon 1 >

Remarquez le moniteur de ligne : la commande « boot » a été abandonnée en raison d'une interruption de l'utilisateur . À ce stade, vous serez à
l' invite rommon 1> , appelée mode moniteur ROM.

Modification du registre de configuration

Comme je l'ai expliqué précédemment, vous pouvez modifier le registre de configuration à partir de l'IOS en utilisant le
commande config-register . Pour activer le bit 6, utilisez la valeur du registre de configuration 0x2142.

N'oubliez pas que si vous modifiez le registre de configuration en 0x2142, le démarrage-

config sera contourné et le routeur se chargera en mode de configuration.

Pour modifier la valeur du bit sur un routeur de la série Cisco ISR, il vous suffit d'entrer la commande suivante à la
rommon 1> invite :
rommon 1 > confreg 0x2142
Vous devez réinitialiser ou éteindre et rallumer pour que la nouvelle configuration prenne effet
rommon 2 > réinitialiser

Rechargement du routeur et entrée en mode privilégié

À ce stade, vous devez réinitialiser le routeur comme ceci :

À partir du routeur de la série ISR, tapez I (pour initialiser) ou réinitialiser .

À partir d'un ancien routeur de série, tapez I .

89

Le routeur se rechargera et vous demandera si vous souhaitez utiliser le mode de configuration (car aucune configuration de démarrage n'est utilisée).
Répondez non à l'entrée en mode de configuration, appuyez sur Entrée pour passer en mode utilisateur, puis tapez enable pour y aller
en mode privilégié.

Affichage et modification de la configuration

Vous avez maintenant dépassé le point où vous auriez besoin d'entrer en mode utilisateur et en mode privilégié
mots de passe dans un routeur. Copiez le fichier startup-config dans le fichier running-config :

copier startup-config running-config

Ou utilisez le raccourci :
copier démarrer exécuter

La configuration s'exécute maintenant en mémoire vive (RAM) et vous êtes en mode privilégié
mode, ce qui signifie que vous pouvez maintenant afficher et modifier la configuration. Mais vous ne pouvez pas voir le
activez le paramètre secret pour le mot de passe puisqu'il est crypté. Pour changer le mot de passe, procédez comme suit :

configuration t
activer le secret todd

Réinitialisation du registre de configuration et rechargement du routeur

Une fois que vous avez terminé de changer les mots de passe, remettez le registre de configuration à la valeur par défaut
avec la commande config-register :

configuration t
config-registre 0x2102

Il est important de se rappeler d'activer vos interfaces après avoir copié la configuration depuis
NVRAM vers RAM.

Enfin, enregistrez la nouvelle configuration avec une copie running-config startup-config et utilisez reload pour
recharger le routeur.

Si vous enregistrez votre configuration et rechargez le routeur et qu'il apparaît dans la configuration

mode, le paramètre du registre de configuration est probablement incorrect.

Pour résumer, nous avons maintenant configuré la routine de sauvegarde IOS suggérée par Cisco sur notre routeur :
flash, hôte TFTP, ROM.

Sauvegarde et restauration de Cisco IOS


Avant de mettre à niveau ou de restaurer un Cisco IOS, vous devez vraiment copier le fichier existant sur un hôte TFTP
comme sauvegarde juste au cas où la nouvelle image se bloque et brûle.

Et vous pouvez utiliser n'importe quel hôte TFTP pour accomplir cela. Par défaut, la mémoire flash d'un routeur est
utilisé pour stocker le Cisco IOS. Dans les sections suivantes, je décrirai comment vérifier le montant de
mémoire flash, comment copier le Cisco IOS de la mémoire flash vers un hôte TFTP et comment copier
l'IOS d'un hôte TFTP vers la mémoire flash.

Mais avant de sauvegarder une image IOS sur un serveur réseau sur votre intranet, vous devez faire ces
trois choses:

Assurez-vous que vous pouvez accéder au serveur réseau.

Assurez-vous que le serveur réseau dispose de suffisamment d'espace pour l'image de code.

Vérifiez les exigences de nommage et de chemin de fichier.

Vous pouvez connecter le port Ethernet de votre ordinateur portable ou de votre poste de travail directement à l'Ethernet d'un routeur
interface, comme le montre la Figure 8.1 .

90

FIGURE 8.1 Copie d'un IOS d'un routeur vers un hôte TFTP

Vous devez vérifier les points suivants avant d'essayer de copier l'image vers ou depuis le routeur :

Le logiciel du serveur TFTP doit être exécuté sur l'ordinateur portable ou le poste de travail.

La connexion Ethernet entre le routeur et le poste de travail doit être effectuée avec un
câble croisé.

Le poste de travail doit se trouver sur le même sous-réseau que l'interface Ethernet du routeur.

L' adresse IP du poste de travail doit être fournie à la commande copy flash tftp si vous êtes
copie à partir du flash du routeur.

Et si vous copiez « dans » le flash, vous devez vérifier qu'il y a assez de place dans le flash
mémoire pour accueillir le fichier à copier.
Vérification de la mémoire flash
Avant d'essayer de mettre à niveau Cisco IOS sur votre routeur avec un nouveau fichier IOS, c'est une bonne idée
pour vérifier que votre mémoire flash dispose de suffisamment d'espace pour contenir la nouvelle image. Vous vérifiez le montant
de mémoire flash et le ou les fichiers stockés dans la mémoire flash en utilisant le show flash
commande ( sh flash pour faire court):

Routeur# sh flash
-#- --length-- -----date/heure------ chemin
1 45392400 14 avril 2013 05:31:44 +00:00 c2800nm-advsecurityk9-mz.151-4.M6.bin

18620416 octets disponibles (45395968 octets utilisés)

Il y a environ 45 Mo de flash utilisé, mais il reste encore environ 18 Mo disponibles. Si tu veux


copier un fichier dans la mémoire flash de plus de 18 Mo, le routeur vous demandera si vous souhaitez effacer
éclat. Soyez prudent ici!

La commande show flash affichera la quantité de mémoire consommée par le

image IOS actuelle et vous indique s'il y a assez de place disponible pour contenir les deux
et de nouvelles images. Vous devez savoir que s'il n'y a pas assez de place pour l'ancien et le nouveau
l'image que vous souhaitez charger, l'ancienne image sera effacée !

La quantité de RAM et de flash est en fait facile à calculer à l'aide de la commande show version sur les routeurs :

Routeur# afficher la version


[coupure de sortie]

Page 91

Le système est retourné à la ROM à la mise sous tension


Le fichier image système est " flash:c2800nm-advsecurityk9-mz.151-4.M6.bin "
[coupure de sortie]
Cisco 2811 (révision 1.0) avec 249856K/12288K octets de mémoire .
ID de la carte processeur FTX1049A1AB
2 interfaces FastEthernet
2 interfaces série (sync/async)
1 module de réseau privé virtuel (VPN)
La configuration DRAM a une largeur de 64 bits avec la parité activée.
239 Ko de mémoire de configuration non volatile.
62720K octets d'ATA CompactFlash (lecture/écriture)

La deuxième ligne en surbrillance nous montre que ce routeur dispose d'environ 256 Mo de RAM, et vous pouvez voir
que la quantité de flash apparaît sur la dernière ligne. En estimant, nous obtenons la quantité de flash à
64 Mo.

Notez dans la première ligne en surbrillance que le nom de fichier dans cet exemple est c2800nm-advsecurity k9-
mz.151-4.M6.bin .
La principale différence dans la sortie des commandes show flash et show version est
que la commande show flash affiche tous les fichiers dans la mémoire flash et la commande show version
affiche le nom réel du fichier utilisé pour exécuter le routeur et l'emplacement à partir duquel il a été
chargé, qui est la mémoire flash.

Sauvegarde de Cisco IOS


Pour sauvegarder le Cisco IOS sur un serveur TFTP, vous utilisez le flash tftp copie commande. C'est un
commande directe qui ne nécessite que le nom du fichier source et l'adresse IP du TFTP
serveur.

La clé du succès dans cette routine de sauvegarde est de s'assurer que vous disposez d'une bonne et solide connectivité à
le serveur TFTP. Vérifiez cela en pingant le périphérique TFTP à partir de l'invite de la console du routeur comme
cette:

Routeur# ping 1.1.1.2


Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 1.1.1.2, délai d'attente
est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max
= 4/4/8 ms

Après avoir envoyé un ping au serveur TFTP pour vous assurer que l'IP fonctionne, vous pouvez utiliser la copie flash tftp
commande pour copier l'IOS sur le serveur TFTP comme indiqué ensuite :

Routeur # copie flash tftp


Nom du fichier source [] ? c2800nm-advsecurityk9-mz.151-4.M6.bin
Adresse ou nom de l'hôte distant [] ? 1.1.1.2
Nom du fichier de destination [c2800nm-advsecurityk9-mz.151-4.M6.bin] ? [Entrer]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
45395968 octets copiés en 123,724 s (357532 octets/s)
Routeur#

Copiez simplement le nom de fichier IOS à partir de la commande show flash ou show version , puis collez-le
lorsqu'on vous demande le nom du fichier source.

Dans l'exemple précédent, le contenu de la mémoire flash a été copié avec succès dans le TFTP
serveur. L'adresse de l'hôte distant est l'adresse IP de l'hôte TFTP et la source
nom de fichier est le fichier dans la mémoire flash.

De nombreux routeurs Cisco récents ont une mémoire amovible. Vous pouvez voir des noms pour cela

mémoire telle que flash0: , auquel cas la commande de l'exemple précédent serait copy
flash0 : tftp : . Alternativement, vous pouvez le voir comme usbflash0 : .

Restauration ou mise à niveau de l'IOS du routeur Cisco


Que se passe-t-il si vous devez restaurer Cisco IOS dans la mémoire flash pour remplacer un fichier d'origine qui

92

a été endommagé ou si vous souhaitez mettre à niveau l'IOS ? Vous pouvez télécharger le fichier à partir d'un TFTP
serveur vers la mémoire flash à l'aide de la commande copy tftp flash . Cette commande nécessite l'IP
l'adresse de l'hôte TFTP et le nom du fichier que vous souhaitez télécharger.

Cependant, étant donné que les IOS peuvent être très volumineux aujourd'hui, nous pouvons vouloir utiliser autre chose que tftp,
ce qui n'est pas fiable et ne peut transférer que des fichiers plus petits. Regarde ça:

Corp# copie ?
/effacer Effacer le système de fichiers de destination.
/Erreur Autoriser à copier le fichier d'erreur.
/noverify Ne vérifie pas la signature de l'image avant le rechargement.
/Vérifier Vérifiez la signature de l'image avant de recharger.
archiver: Copier depuis l'archive : système de fichiers
cns : Copier depuis cns : système de fichiers
éclat: Copier depuis flash : système de fichiers
ftp : Copier depuis ftp : système de fichiers
http: Copier depuis http: système de fichiers
https : Copier depuis https : système de fichiers
nul: Copier depuis null : système de fichiers
nvram : Copier depuis nvram : système de fichiers
rcp : Copier depuis rcp : système de fichiers
running-config Copie à partir de la configuration système actuelle
scp : Copier depuis scp : système de fichiers
startup-config Copie à partir de la configuration de démarrage
système: Copier depuis le système : système de fichiers
le goudron: Copier depuis tar : système de fichiers
tftp : Copier depuis tftp : système de fichiers
tmpsys : Copier depuis tmsys : système de fichiers
xmodem : Copier depuis xmodem : système de fichiers
ymodem : Copier depuis ymodem : système de fichiers

Vous pouvez voir à partir de la sortie ci-dessus que nous avons de nombreuses options, et pour les fichiers plus volumineux, nous utiliserons
ftp :
ou scp : pour copier notre IOS dans ou depuis des routeurs et des commutateurs, et vous pouvez même effectuer un MD5
vérification avec le / verify à la fin d'une commande.

Utilisons simplement tftp pour nos exemples dans le chapitre car c'est plus simple. Mais avant de commencer, faites
assurez-vous que le fichier que vous souhaitez placer dans la mémoire flash est dans le répertoire TFTP par défaut sur votre hôte.
Lorsque vous exécutez la commande, TFTP ne vous demandera pas où se trouve le fichier, donc si le fichier que vous souhaitez utiliser
n'est pas dans le répertoire par défaut de l'hôte TFTP, cela ne fonctionnera tout simplement pas.

Routeur # copie tftp flash


Adresse ou nom de l'hôte distant [] ? 1.1.1.2
Nom du fichier source [] ? c2800nm-advsecurityk9-mz.151-4.M6.bin
Nom du fichier de destination [c2800nm-advsecurityk9-mz.151-4.M6.bin] ? [Entrer]
%Avertissement : Il existe déjà un fichier portant ce nom
Voulez-vous écraser ? [confirmer] [entrer]
Accès à tftp://1.1.1.2/c2800nm-advsecurityk9-mz.151-4.M6.bin...
Chargement de c2800nm-advsecurityk9-mz.151-4.M6.bin à partir de 1.1.1.2 (via
FastEthernet0/0 : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!
[OK - 21710744 octets]

45395968 octets copiés en 82,880 s (261954 octets/s)


Routeur#

Dans l'exemple précédent, j'ai copié le même fichier dans la mémoire flash, il m'a donc demandé si je voulais
réécrit dessus. N'oubliez pas que nous «jouons» avec des fichiers en mémoire flash. Si j'avais juste corrompu
mon fichier en l'écrasant, je ne le saurai pas avant de redémarrer le routeur. Soyez prudent avec cela
commander! Si le fichier est corrompu, vous devrez effectuer une restauration IOS à partir du mode moniteur ROM.

Si vous chargez un nouveau fichier et que vous n'avez pas assez de place dans la mémoire flash pour stocker à la fois le
copies nouvelles et existantes, le routeur demandera d'effacer le contenu de la mémoire flash avant d'écrire
le nouveau fichier dans la mémoire flash, et si vous pouvez copier l'IOS sans effacer l'ancien
version, puis assurez-vous de ne pas oublier d'utiliser la commande boot system flash:ios-file .

Un routeur Cisco peut devenir un hôte de serveur TFTP pour une image système de routeur qui est

exécuter dans la mémoire flash. La commande de configuration globale est tftp-server flash: ios-file .

Page 93

C'est lundi matin et vous venez de mettre à jour votre IOS

Vous êtes arrivé tôt pour mettre à niveau l'IOS de votre routeur. Après la mise à niveau, vous rechargez
le routeur et le routeur affiche maintenant l' invite rommon> .

On dirait que tu vas passer une mauvaise journée ! C'est ce que j'appelle un RGE : un CV-
événement générateur ! Alors, maintenant, que faites-vous ? Gardez votre calme et continuez ! Suivez ces étapes
pour sauvegarder votre travail :
rommon 1 > tftpdnld

Adresse IP manquante ou illégale pour la variable IP_ADDRESS


Adresse IP illégale.

utilisation : tftpdnld [-hr]


Utilisez cette commande pour la récupération après sinistre uniquement pour récupérer une image via TFTP.
Les variables de surveillance sont utilisées pour configurer les paramètres du transfert.
(Syntaxe : "VARIABLE_NAME=value" et utilisez "set" pour afficher les variables actuelles.)
"ctrl-c" ou "break" arrête le transfert avant que l'effacement flash ne commence.

Les variables suivantes doivent être définies pour tftpdnld :


IP_ADDRESS : L'adresse IP de cet appareil
IP_SUBNET_MASK : Le masque de sous-réseau pour cet appareil
DEFAULT_GATEWAY : la passerelle par défaut pour cet appareil
TFTP_SERVER : l'adresse IP du serveur à récupérer
TFTP_FILE : le nom du fichier à récupérer

Les variables suivantes sont FACULTATIVES :


[coupure de sortie inutile]
rommon 2 > définir l'adresse IP : 1.1.1.1
rommon 3> définir IP_SUBNET_MASK:255.0.0.0
rommon 4> définir DEFAULT_GATEWAY:1.1.1.2
rommon 5> définir TFTP_SERVER:1.1.1.2
Rommon 6> définissez TFTP_FILE : flash : c2800nm-advipservicesk9-mz.124-12.bin
Rommon 7 > tftpdnld

De là, vous pouvez voir les variables que vous devez configurer à l'aide de la commande set ; etre sur
vous utilisez ALL_CAPS avec ces commandes ainsi que le trait de soulignement (_). De là, vous devez
définissez l'adresse IP, le masque et la passerelle par défaut de votre routeur, puis l'adresse IP du
Hôte TFTP, qui dans cet exemple est un routeur directement connecté dont j'ai fait un serveur TFTP
avec cette commande :

Routeur(config)# tftp-serveur flash : c2800nm-advipservicesk9-mz.124-12.bin


Et enfin, vous définissez le nom de fichier IOS du fichier sur votre serveur TFTP. Ouf! Travail enregistré.

Il existe une autre façon de restaurer l'IOS sur un routeur, mais cela prend un certain temps. Vous pouvez utiliser quoi
est appelé le protocole Xmodem pour télécharger un fichier IOS dans la mémoire flash via la console
Port. Vous utiliseriez le Xmodem via la procédure de port de console si vous n'aviez pas de connectivité réseau
au routeur ou au commutateur.

Utilisation du système de fichiers Cisco IOS (Cisco IFS)


Cisco a créé un système de fichiers appelé Cisco IFS qui vous permet de travailler avec des fichiers et des répertoires
comme vous le feriez à partir d'une invite Windows DOS. Les commandes que vous utilisez sont dir , copy , more , delete ,
effacer ou formater , cd et pwd , et mkdir et rmdir .
Travailler avec IFS vous donne la possibilité de visualiser tous les fichiers, même ceux sur des serveurs distants. Et tu
voulez absolument savoir si une image sur l'un de vos serveurs distants est valide avant de la copier,
droit? Vous devez également connaître sa taille, la taille compte ici ! C'est aussi une très bonne idée de prendre un
regardez la configuration du serveur distant et assurez-vous que tout va bien avant de charger ce fichier sur
votre routeur.

C'est très cool qu'IFS rende l'interface utilisateur du système de fichiers universelle - ce n'est pas spécifique à la plate-forme
plus. Vous pouvez maintenant utiliser la même syntaxe pour toutes vos commandes sur tous vos routeurs, non

94

importe la plateforme !
C'est trop beau pour être vrai? Eh bien, c'est en quelque sorte parce que vous découvrirez que le soutien pour tous
commandes sur chaque système de fichiers et plate-forme n'est tout simplement pas là. Mais ce n'est vraiment pas grave puisque
les différents systèmes de fichiers diffèrent dans les actions qu'ils effectuent ; les commandes qui ne sont pas pertinentes pour un
système de fichiers particulier sont ceux-là mêmes qui ne sont pas pris en charge sur ce système de fichiers. Soyez assuré que
n'importe quel système de fichiers ou plate-forme prendra entièrement en charge toutes les commandes dont vous avez besoin pour le gérer.

Une autre fonctionnalité intéressante de l'IFS est qu'elle réduit toutes ces invites obligatoires pour la plupart des
commandes. Si vous souhaitez saisir une commande, il vous suffit de saisir toutes les informations nécessaires
directement dans la ligne de commande - plus besoin de sauter à travers des cerceaux d'invites ! Alors, si vous voulez
copier un fichier sur un serveur FTP, il vous suffirait d'indiquer d'abord où se trouve le fichier source souhaité sur votre
routeur, localisez où le fichier de destination doit être sur le serveur FTP, déterminez le nom d'utilisateur
et le mot de passe que vous allez utiliser lorsque vous souhaitez vous connecter à ce serveur, et tapez le tout sur
une ligne — élégant ! Et pour ceux d'entre vous qui résistent au changement, vous pouvez toujours avoir l'invite du routeur
vous pour toutes les informations dont il a besoin et profitez d'une version plus élégamment minimisée du
commande qu'avant.

Mais même en dépit de tout cela, votre routeur peut toujours vous inviter, même si vous avez tout fait correctement
dans votre ligne de commande. Cela dépend de la façon dont vous avez configuré la commande d' invite de fichier et
quelle commande vous essayez d'utiliser. Mais ne vous inquiétez pas, si cela se produit, la valeur par défaut sera
entré juste là dans la commande, et tout ce que vous avez à faire est d'appuyer sur Entrée pour vérifier le bon
valeurs.

IFS vous permet également d'explorer divers répertoires et fichiers d'inventaire dans n'importe quel répertoire de votre choix. Plus,
vous pouvez créer des sous-répertoires dans la mémoire flash ou sur une carte, mais vous ne pouvez le faire que si vous êtes
travaillant sur l'une des plates-formes les plus récentes.

Et obtenez ceci : la nouvelle interface du système de fichiers utilise des URL pour déterminer où se trouve un fichier. Donc
tout comme elles localisent des endroits sur le Web, les URL indiquent maintenant où se trouvent les fichiers sur votre routeur Cisco,
ou même sur un serveur de fichiers distant ! Il vous suffit de taper des URL directement dans vos commandes pour identifier où
le fichier ou le répertoire est. C'est vraiment aussi simple que cela : pour copier un fichier d'un endroit à un autre, vous n'avez qu'à
entrez la commande copy source-url destination-url —super ! Les URL IFS sont un peu différentes de ce que
vous y êtes habitué, et il existe un éventail de formats à utiliser qui varient selon l'endroit,
exactement, le fichier est que vous recherchez.

Nous allons utiliser les commandes Cisco IFS à peu près de la même manière que nous avons utilisé la copie
commande dans la section IOS plus tôt :

Pour sauvegarder l'IOS

Pour mettre à niveau l'IOS

Pour visualiser des fichiers texte

D'accord, avec tout cela en bas, jetons un coup d'œil aux commandes IFS courantes à notre disposition pour
gestion de l'IOS. Je vais bientôt entrer dans les fichiers de configuration, mais pour l'instant je vais vous aider à démarrer
en passant en revue les bases utilisées pour gérer le nouveau Cisco IOS.

dir Identiqueà Windows, cette commande permet de visualiser les fichiers dans un répertoire. Tapez dir , appuyez sur Entrée,
et par défaut, vous obtenez le contenu de la sortie du répertoire flash:/ .

copy Ils'agit d'une commande populaire, souvent utilisée pour mettre à niveau, restaurer ou sauvegarder un IOS. Mais comme je
dit, lorsque vous l'utilisez, il est vraiment important de se concentrer sur les détails : ce que vous copiez, où il se trouve
d'où il va atterrir.

more Identique à Unix, cela prendra un fichier texte et vous permettra de le regarder sur une carte. Vous pouvez l'utiliser pour
consultez votre fichier de configuration ou votre fichier de configuration de sauvegarde. J'y reviendrai plus quand nous
entrer dans la configuration réelle.

show file Cette


commande vous donnera le skinny sur un fichier ou un système de fichiers spécifié, mais c'est en quelque sorte
obscur parce que les gens ne l'utilisent pas beaucoup.

delete Trois suppositions—oui, ça supprime des trucs. Mais avec certains types de routeurs, pas aussi bien que vous le feriez

95

pense. C'est parce que même s'il frappe le fichier, il ne libère pas toujours l'espace qu'il était
à l'aide de. Pour récupérer réellement l'espace, vous devez également utiliser ce qu'on appelle la commande squeeze .

effacer/formater Utilisez-les
avec précaution—assurez-vous que lorsque vous copiez des fichiers, vous dites non au
dialogue qui vous demande si vous voulez effacer le système de fichiers ! Le type de mémoire que vous utilisez
détermine si vous pouvez annuler le lecteur flash ou non.

cd/pwd Identique
à Unix et DOS, cd est la commande que vous utilisez pour changer de répertoire. Utiliser le mot de passe
commande pour imprimer (afficher) le répertoire de travail.

mkdir/rmdir Utilisez
ces commandes sur certains routeurs et commutateurs pour créer et supprimer des répertoires
—la commande mkdir pour la création et la commande rmdir pour la suppression. Utiliser le cd et le pwd
commandes pour accéder à ces répertoires.

Cisco IFS utilise le terme alternatif system:running-config ainsi que

nvram:startup-config lors
de la copie des configurations sur un routeur, bien que ce ne soit pas
obligatoire que vous utilisiez cette convention de nommage.

Utilisation de Cisco IFS pour mettre à niveau un IOS

Jetons un coup d'œil à certaines de ces commandes Cisco IFS sur mon routeur ISR (série 1841) avec un
nom d'hôte de R1.

Nous allons commencer par la commande pwd pour vérifier notre répertoire par défaut, puis utiliser la commande dir pour
vérifier son contenu ( flash:/ ):

R1# mot de passe


éclat:
R1# dir
Répertoire de flash :/
1 -rw- 13937472 20 déc. 2006 19:58:18 +00:00 c1841-ipbase-
mz.124-1c.bin
2 -rw- 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
3 -rw- 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
4 -rw- 833024 20 déc. 2006 20:12:24 +00:00 es.tar
5 -rw- 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
6 -rw- 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
7 -rw- 102400 20 déc. 2006 20:13:30 +00:00 home.tar
8 -rw- 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
9 -rw- 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-
ios-3.1.1.27-k9.pkg
10 -rw- 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg

32071680 octets au total (8818688 octets libres)

Ce que nous pouvons voir ici, c'est que nous avons l'IOS IP de base ( c1841-ipbase-mz.124-1c.bin ). On dirait que nous
besoin de mettre à niveau notre 1841. Vous devez juste aimer la façon dont Cisco met le type IOS dans le nom de fichier
maintenant! Tout d'abord, vérifions la taille du fichier qui est en flash avec la commande show file ( show flash
fonctionnerait aussi):

R1 # afficher les informations du fichier flash : c1841-ipbase-mz.124-1c.bin


flash : c1841-ipbase-mz.124-1c.bin :
le type est une image (elfe) []
la taille du fichier est de 13937472 octets, la taille d'exécution est de 14103140 octets
Image exécutable, point d'entrée 0x8000F000, exécuté à partir de la RAM
Avec un fichier de cette taille, l'IOS existant devra être effacé avant de pouvoir ajouter notre nouveau fichier IOS
( c1841-advipservicesk9-mz.124-12.bin ), soit plus de 21 Mo. Nous utiliserons la commande delete , mais
rappelez-vous, nous pouvons jouer avec n'importe quel fichier dans la mémoire flash et rien de grave ne se produira jusqu'à ce que nous
redémarrer, c'est-à-dire si nous avons fait une erreur. Alors évidemment, et comme je l'ai souligné plus tôt, nous devons être
très prudent ici!

R1# supprimer le flash : c1841-ipbase-mz.124-1c.bin


Supprimer le nom de fichier [c1841-ipbase-mz.124-1c.bin] ? [Entrer]
Supprimer flash : c1841-ipbase-mz.124-1c.bin ? [confirmer] [entrer]

96

R1# sh flash
-#- --length-- -----date/heure------ chemin
1 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
2 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
3 833024 20 déc. 2006 20:12:24 +00:00 es.tar
4 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
5 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
6 102400 20 déc. 2006 20:13:30 +00:00 home.tar
7 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
8 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-ios-3.1.1.27-k9.pkg
9 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg
22757376 octets disponibles (9314304 octets utilisés)
Flash d'informations sur le fichier R1# sh : c1841-ipbase-mz.124-1c.bin
% Erreur lors de l'ouverture du flash : c1841-ipbase-mz.124-1c.bin (Fichier introuvable)
R1#

Donc avec les commandes précédentes, nous avons supprimé le fichier existant puis vérifié la suppression par
en utilisant à la fois les commandes show flash et show file . Nous allons ajouter le nouveau fichier avec la commande copy ,
mais encore une fois, nous devons nous assurer d'être prudents car cette façon n'est pas plus sûre que la première
méthode que je vous ai montré plus tôt:

R1# copier tftp://1.1.1.2/c1841-advipservicesk9-mz.124-12.bin/ flash :/


c1841-advipservicesk9-mz.124-12.bin
Nom du fichier source [/c1841-advipservicesk9-mz.124-12.bin/] ? [Entrer]
Nom du fichier de destination [c1841-advipservicesk9-mz.124-12.bin] ? [Entrer]
Chargement de /c1841-advipservicesk9-mz.124-12.bin/ depuis 1.1.1.2 (via
FastEthernet0/0) : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[coupure de sortie]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!
[OK - 22103052 octets]
22103052 octets copiés en 72,008 s (306953 octets/s)
R1# sh flash
-#- --length-- -----date/heure------ chemin
1 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
2 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
3 833024 20 déc. 2006 20:12:24 +00:00 es.tar
4 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
5 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
6 102400 20 déc. 2006 20:13:30 +00:00 home.tar
7 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
8 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-ios-3.1.1.27-k9.pkg
9 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg
10 22103052 10 mars 2007 19:40:50 +00:00 c1841-advipservicesk9-mz.124-12.bin
651264 octets disponibles (31420416 octets utilisés)
R1#

Nous pouvons également vérifier les informations du fichier avec la commande show file :

Flash d'informations sur le fichier R1# sh : c1841-advipservicesk9-mz.124-12.bin


flash : c1841-advipservicesk9-mz.124-12.bin :
le type est une image (elfe) []
la taille du fichier est de 22103052 octets, la taille d'exécution est de 22268736 octets
Image exécutable, point d'entrée 0x8000F000, exécuté à partir de la RAM

N'oubliez pas que l'IOS est étendu en RAM lorsque le routeur démarre, de sorte que le nouvel IOS ne fonctionnera pas
jusqu'à ce que vous rechargez le routeur.

Je recommande vraiment d'expérimenter les commandes Cisco IFS sur un routeur juste pour obtenir une bonne
ressentir pour eux parce que, comme je l'ai dit, ils peuvent certainement vous donner du chagrin s'ils ne sont pas exécutés
correctement!

Je mentionne souvent les « méthodes plus sûres » dans ce chapitre. Clairement, je me suis causé quelques

douleur grave en ne faisant pas assez attention lorsque l'on travaille en mémoire flash ! je ne peux pas insister là-dessus
assez - faites attention lorsque vous vous amusez avec la mémoire flash !

L'une des caractéristiques brillantes des routeurs ISR est qu'ils utilisent les cartes flash physiques qui sont
accessible depuis l'avant ou l'arrière de n'importe quel routeur. Ceux-ci ont généralement un nom comme usbflash0 :, donc pour
afficher le contenu, si vous tapez dir usbflash0: , par exemple. Vous pouvez retirer ces cartes flash, mettre

97

dans un emplacement approprié de votre PC, et la carte apparaîtra comme un lecteur. Vous pouvez ensuite ajouter,
modifier et supprimer des fichiers. Remettez simplement la carte flash dans votre routeur et allumez-le instantanément
améliorer. Joli!

Licence
L'octroi de licences IOS est désormais effectué de manière assez différente de ce qu'il était avec les versions précédentes de l'IOS.
En fait, il n'y avait pas de licence avant le nouveau code IOS 15.0, juste votre parole et votre honneur, et nous
ne peut que deviner en fonction de la façon dont tous les produits sont téléchargés quotidiennement sur Internet dans quelle mesure cela a
travaillé pour Cisco!

À partir du code IOS 15.0, les choses sont très différentes, presque trop différentes. je peux imaginer
que Cisco reviendra vers le milieu sur ses problèmes de licences, afin que l'administration et
la gestion ne sera pas aussi détaillée qu'elle ne l'est avec la nouvelle licence de code 15.0 ; mais tu peux être le
jugez-en après avoir lu cette section.

Un nouveau routeur ISR est pré-installé avec les images logicielles et les licences que vous avez commandées, afin que
tant que vous avez commandé et payé tout ce dont vous avez besoin, vous êtes prêt ! Sinon, vous pouvez simplement installer
une autre licence, ce qui peut être un peu fastidieux au début, assez pour que l'installation d'une licence soit faite
un objectif à l'examen Cisco ! Bien sûr, cela peut être fait, mais cela demande certainement un certain effort.
Comme c'est généralement le cas avec Cisco, si vous dépensez suffisamment d'argent pour leurs produits, ils ont tendance à vous faciliter la tâche.
sur vous et votre administration, et la licence pour le dernier IOS ne fait pas exception, car vous
bientôt voir.

Sur une note positive, Cisco fournit des licences d'évaluation pour la plupart des progiciels et fonctionnalités
qui sont pris en charge sur le matériel que vous avez acheté, et c'est toujours agréable de pouvoir l'essayer
avant d'acheter. Une fois la licence temporaire expirée après 60 jours, vous devez acquérir un
licence permanente afin de continuer à utiliser les fonctionnalités étendues qui ne sont pas disponibles dans votre
version actuelle. Cette méthode de licence vous permet de permettre à un routeur d'utiliser différentes parties de
l'IOS. Alors, que se passe-t-il après 60 jours ? Eh bien, rien, revenons au système d'honneur pour le moment. Cette
est maintenant appelé licence Right-To-Use (RTU) , et il ne sera probablement pas toujours disponible via votre
l'honneur, mais pour l'instant c'est le cas.

Mais ce n'est pas la meilleure partie des nouvelles fonctionnalités de licence. Avant la sortie du code 15.0, il
Il y avait huit ensembles de fonctionnalités logicielles différentes pour chaque type de routeur matériel. Avec le code IOS 15.0,
l'emballage est désormais appelé image universelle , ce qui signifie que tous les ensembles de fonctionnalités sont disponibles dans un seul fichier
avec toutes les fonctionnalités soigneusement emballées à l'intérieur. Donc, au lieu des packages de fichiers IOS antérieurs à 15.0 d'une image
par ensemble de fonctionnalités, Cisco ne crée désormais qu'une seule image universelle qui les inclut toutes dans le fichier.
Même ainsi, nous avons toujours besoin d'une image universelle différente par modèle ou série de routeur, mais pas d'une autre
image pour chaque ensemble de fonctionnalités comme nous l'avons fait avec les versions précédentes d'IOS.

Pour utiliser les fonctionnalités du logiciel IOS, vous devez les déverrouiller à l'aide du logiciel d'activation
traiter. Étant donné que toutes les fonctionnalités disponibles se trouvent déjà dans l'image universelle, vous pouvez simplement déverrouiller
les fonctionnalités dont vous avez besoin comme vous en avez besoin, et bien sûr payer pour ces fonctionnalités lorsque vous
déterminer qu'ils répondent aux exigences de votre entreprise. Tous les routeurs sont livrés avec quelque chose appelé
la licence IP Base, qui est la condition préalable à l'installation de toutes les autres fonctionnalités.

Il existe trois packages technologiques différents disponibles à l'achat qui peuvent être installés en tant que
des packs de fonctionnalités supplémentaires en plus de la base IP prérequise (par défaut), qui fournit des
Fonctionnalité IOS. Ceux-ci sont les suivants :

Données : prise en charge MPLS, ATM et multiprotocole

Communications unifiées : VoIP et téléphonie IP

Sécurité : pare-feu Cisco IOS, IPS, IPsec, 3DES et VPN

Par exemple, si vous avez besoin de MPLS et d'IPsec, vous aurez besoin de la base IP, des données et de la sécurité par défaut
forfaits premium débloqués sur votre routeur.

Pour obtenir la licence, vous aurez besoin de l'identifiant unique de l'appareil (UDI), qui comporte deux éléments :
l'ID du produit (PID) et le numéro de série du routeur. La commande show license UDI

Page 98

fournit ces informations dans une sortie comme indiqué :

Routeur# sh licence udi


PID de l'appareil n° SN UDI
-------------------------------------------------- -----------------------
*0 CISCO2901/K9 FTX1641Y07J CISCO2901/K9:FTX1641Y07J

Une fois la période d'évaluation de 60 jours expirée, vous pouvez soit obtenir la licence
du Cisco License Manager (CLM), qui est un processus automatisé, ou utilisez le manuel
via le portail d'enregistrement de licence de produit Cisco. Généralement, seules les grandes entreprises
utilisera le CLM parce que vous auriez besoin d'installer un logiciel sur un serveur, qui garde ensuite une trace de tous
vos licences pour vous. Si vous n'avez que quelques licences que vous utilisez, vous pouvez opter pour le web manuel
processus de navigateur trouvé sur le portail d'enregistrement de licence de produit Cisco, puis ajoutez simplement un
quelques commandes CLI. Après cela, vous gardez simplement une trace de la mise en place de toutes les différentes licences
fonctionnalités ensemble pour chaque appareil que vous gérez. Bien que cela ressemble à beaucoup de travail, vous ne
devez effectuer ces étapes souvent. Mais clairement, aller avec le CLM a beaucoup de sens si vous
avoir des tas de licences à gérer car il rassemblera tous les petits morceaux de licence pour
chaque routeur en un seul processus simple.

Lorsque vous achetez le progiciel avec les fonctionnalités que vous souhaitez installer, vous devez
activer en permanence le progiciel à l'aide de votre UDI et de la clé d'autorisation du produit
(PAK) que vous avez reçu avec votre achat. Il s'agit essentiellement de votre reçu attestant que
vous avez acheté la licence. Vous devez ensuite connecter la licence à un routeur particulier en
combinant le PAK et l'UDI, que vous faites en ligne lors de l'enregistrement de la licence de produit Cisco
portail ( www.cisco.com/go/license ). Si vous n'avez pas déjà enregistré la licence sur un autre
routeur, et il est valide, Cisco vous enverra alors par e-mail votre licence permanente, ou vous pouvez la télécharger
de votre compte.
Mais attendez! Vous n'avez toujours pas terminé. Vous devez maintenant activer la licence sur le routeur. Ouf...
ça vaut peut-être la peine d'installer le CLM sur un serveur après tout ! Rester avec la méthode manuelle,
vous devez mettre le nouveau fichier de licence à la disposition du routeur soit via un port USB sur le routeur
ou via un serveur TFTP. Une fois qu'il est disponible pour le routeur, vous utiliserez la licence d'installation
commande à partir du mode privilégié.

En supposant que vous ayez copié le fichier dans la mémoire flash, la commande ressemblerait à quelque chose
comme ça:

Installation de la licence du routeur # ?


archive : Installer à partir de l'archive : système de fichiers
flash : installer à partir de flash : système de fichiers
ftp : Installer à partir de ftp : système de fichiers
http : installer à partir du système de fichiers http :
https : installer à partir de https : système de fichiers
null : installer à partir de null : système de fichiers
nvram : installer à partir de nvram : système de fichiers
rcp : Installer à partir de rcp : système de fichiers
scp : installer à partir de scp : système de fichiers
syslog : Installer à partir de syslog : système de fichiers
système : installer à partir du système : système de fichiers
tftp : Installer à partir de tftp : système de fichiers
tmsys : Installer à partir de tmsys : système de fichiers
xmodem : installer à partir de xmodem : système de fichiers
ymodem : installer à partir de ymodem : système de fichiers
Flash d'installation de la licence du routeur # : FTX1628838P_201302111432454180.lic
Installation des licences à partir de "flash::FTX1628838P_201302111432454180.lic"
Installation... Fonctionnalité : datak9... Réussi : Pris en charge
1/1 licences ont été installées avec succès
0/1 licences étaient des licences existantes
Échec de l'installation des licences 0/1
12 avril 2:31:19.786 : %LICENSE-6-INSTALL : la fonctionnalité datak9 1.0 était
installé dans cet appareil. UDI=CISCO2901/K9:FTX1628838P; StoreIndex=1 : stockage de la licence principale

12 avril 2:31:20.078 : %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL : Nom du module =c2800 Prochain redémarrage


niveau = datak9 et Licence = datak9

Vous devez redémarrer pour que la nouvelle licence prenne effet. Maintenant que vous avez installé votre licence
et en cours d'exécution, comment utilisez-vous les licences Right-To-Use pour découvrir les nouvelles fonctionnalités de votre routeur ?
Regardons cela maintenant.

99

Licences de droit d'utilisation (licences d'évaluation)


Initialement appelées licences d'évaluation, les licences Right-To-Use (RTU) sont ce dont vous avez besoin lorsque vous
voulez mettre à jour votre IOS pour charger une nouvelle fonctionnalité mais ne voulez pas attendre pour obtenir la licence ou
Je veux juste tester si cette fonctionnalité répondra vraiment aux besoins de votre entreprise. C'est logique
car si Cisco compliquait le chargement et la vérification d'une fonctionnalité, ils pourraient potentiellement manquer
en solde ! Bien sûr, si la fonctionnalité fonctionne pour vous, ils voudront que vous achetiez un
licence, mais encore une fois, c'est sur le système d'honneur au moment d'écrire ces lignes.

Le modèle de licence de Cisco vous permet d'installer la fonctionnalité que vous souhaitez sans PAK. Le droit d'usage
La licence fonctionne pendant 60 jours avant que vous n'ayez besoin d'installer votre licence permanente. Pour activer le
Licence Right-To-Use, vous utiliseriez la commande license boot module . Ce qui suit
illustre le démarrage de la licence Right-To-Use sur mon routeur de la série 2900, activant la sécurité
module nommé securityk9 :

Router(config)# license boot module c2900 technology-package securityk9


VEUILLEZ LIRE ATTENTIVEMENT LES CONDITIONS SUIVANTES. INSTALLER LA LICENCE OU LA CLÉ DE LICENCE FOURNIE POUR TOUT
CARACTÉRISTIQUE DU PRODUIT CISCO OU UTILISATION
UNE TELLE CARACTÉRISTIQUE DU PRODUIT CONSTITUE VOTRE PLEINE ACCEPTATION DU
CONDITIONS SUIVANTES. VOUS NE DEVEZ PAS ALLER PLUS LOIN SI VOUS NE VOULEZ PAS
ÊTRE LIÉ PAR TOUTES LES CONDITIONS ÉNONCÉES DANS LES PRÉSENTES.
[coupure de sortie]
L'activation de l'interface de ligne de commande du logiciel sera la preuve de
votre acceptation de cet accord.

J'ACCEPTE? [oui/non] : oui

% utilise la commande 'write' pour que la configuration de démarrage de la licence prenne effet au prochain démarrage
12 février 01:35:45.060 : %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL :
Nom du module =c2900 Niveau de redémarrage suivant = securityk9 et Licence = securityk9

12 février 01:35:45.524 : %LICENSE-6-EULA_ACCEPTED : CLUF pour la fonctionnalité


securityk9 1.0 a été accepté. UDI=CISCO2901/K9:FTX1628838P; StoreIndex=0:Licence intégrée
Espace de rangement

Une fois le routeur rechargé, vous pouvez utiliser l'ensemble de fonctions de sécurité. Et c'est vraiment bien que tu
n'avez pas besoin de recharger à nouveau le routeur si vous choisissez d'installer une licence permanente pour cette fonctionnalité.
La commande show license affiche les licences installées sur le routeur :

Routeur# show license


Indice 1 Fonctionnalité : ipbasek9
Période restante : Durée de vie
Type de licence : permanente
État de la licence : actif, en cours d'utilisation
Nombre de licences : non compté
Priorité de la licence : moyenne
Indice 2 Fonctionnalité : securityk9
Période restante : 8 semaines 2 jours
Période utilisée : 0 minute 0 seconde
Type de licence : EvalRightToUse
État de la licence : actif, en cours d'utilisation
Nombre de licences : non compté
Priorité de la licence : aucune
Indice 3 Fonctionnalité : uck9
Période restante : Durée de vie
Type de licence : permanente
État de la licence : actif, en cours d'utilisation
Nombre de licences : non compté
Priorité de la licence : moyenne
Indice 4 Fonctionnalité : datak9
Période restante : Non activé
Période utilisée : 0 minute 0 seconde
Type de licence : EvalRightToUse
État de la licence : non utilisé, CLUF non accepté
Nombre de licences : non compté
Priorité de la licence : aucune
Indice 5 Fonctionnalité : garde-porte
[coupure de sortie]

Vous pouvez voir dans la sortie précédente que l' ipbasek9 est permanent et que le securityk9 a une licence
type de EvalRightToUse . La commande show license feature fournit les mêmes informations que show
license , mais il est résumé en une seule ligne comme indiqué dans la sortie suivante :

100

Fonctionnalité de licence du routeur# sh


Nom de la fonctionnalité Enforcement Evaluation Abonnement activé RightToUse
ipbasek9 non non non Oui Non
sécuriték9 Oui Oui non non Oui
uck9 Oui Oui non Oui oui
datak9 Oui Oui non non Oui
portier Oui Oui non non Oui
SSL_VPN Oui Oui non non Oui
ios-ips-update oui Oui Oui non Oui
SNASw Oui Oui non non Oui
hseck9 Oui non non non non
cme-srst Oui Oui non Oui oui
WAAS_Express Oui Oui non non Oui
UCVidéo Oui Oui non non Oui

La commande show version affiche également les informations de licence à la fin de la sortie de la commande :

Routeur# afficher la version


[coupure de sortie]
Informations sur la licence :

Licence UDI :

-------------------------------------------------
PID de l'appareil n° SN
-------------------------------------------------
*0 CISCO2901/K9 FTX1641Y07J

Informations sur la licence du package technologique pour le module : 'c2900'

-------------------------------------------------- ---------------
Technologie Pack technologique Pack technologique
Type de courant Redémarrage suivant
-------------------------------------------------- ----------------
ipbase ipbasek9 permanent ipbasek9
sécurité Aucun Rien Rien
uc uck9 uck permanent9
Les données Rien Rien Rien

Le registre de configuration est 0x2102

La commande show version indique si la licence a été activée. N'oubliez pas, vous devrez recharger
le routeur pour que les fonctionnalités de licence prennent effet si l'évaluation de la licence n'est pas déjà active.

Sauvegarde et désinstallation de la licence


Il serait dommage de perdre votre licence si elle a été stockée en flash et que vos fichiers flash deviennent
corrompu. Alors sauvegardez toujours votre licence IOS !

Si votre licence a été enregistrée dans un emplacement autre que Flash, vous pouvez facilement la sauvegarder dans Flash
mémoire via la commande license save :

Router# license save flash:Todd_License.lic

La commande précédente enregistrera votre licence actuelle dans la mémoire flash. Vous pouvez restaurer votre licence avec
la commande d' installation de licence que j'ai démontrée plus tôt.

Il y a deux étapes pour désinstaller la licence sur un routeur. Tout d'abord, pour désinstaller la licence dont vous avez besoin
pour désactiver le package technologique, à l'aide de la commande no license boot module avec le mot-clé
désactiver à la fin de la ligne de commande :
Module de démarrage de licence du routeur # c2900 pack technologique securityk9 désactiver

La deuxième étape consiste à effacer la licence. Pour y parvenir depuis le routeur, utilisez la licence clear
puis supprimez la licence avec la commande no license boot module :

Routeur # licence effacer securityk9


Routeur# config t
Router(config)# no license boot module c2900 technology-pack securityk9 disable
Routeur(config)# exit
Routeur# recharger

Après avoir exécuté les commandes précédentes, la licence sera supprimée de votre routeur.

101

Voici un résumé des commandes de licence que j'ai utilisées dans ce chapitre. Ceux-ci sont importants
commandes à avoir vers le bas et vous devez vraiment les comprendre pour atteindre les objectifs de Cisco :
show license détermineles licences actives sur votre système. Il affiche également un groupe de
lignes pour chaque fonctionnalité de l'image IOS en cours d'exécution avec plusieurs variables d'état
liés à l'activation du logiciel et à l'octroi de licences, à la fois aux fonctionnalités sous licence et sans licence.

show license feature vous


permet d'afficher les licences de packages technologiques et les licences de fonctionnalités
qui sont pris en charge sur votre routeur ainsi que plusieurs variables d'état liées au logiciel
d'activation et de licence. Cela inclut à la fois les fonctionnalités sous licence et sans licence.

show license udi affiche


l'identifiant de périphérique unique (UDI) du routeur, qui comprend le
ID de produit (PID) et numéro de série du routeur.

show version affichediverses informations sur la version actuelle de l'IOS, y compris


les détails de la licence à la fin de la sortie de la commande.

license install url installe un fichier de clé de licence dans un routeur.

Le module de démarrage de licence installe une fonction de licence de droit d'utilisation sur un routeur.

Pour vous aider à organiser un grand nombre de licences, recherchez sur Cisco.com le Cisco

Gestionnaire de logiciels intelligent. Cette page Web vous permet de gérer toutes vos licences à partir d'un seul
site web centralisé. Avec Cisco Smart Software Manager, vous organisez et visualisez votre
licences dans des groupes appelés comptes virtuels , qui sont des collections de licences et
instances de produit.

Sommaire
Vous savez maintenant comment les routeurs Cisco sont configurés et comment gérer ces configurations.

Ce chapitre a couvert les composants internes d'un routeur, qui comprenaient la ROM, la RAM, la NVRAM,
et flash.

De plus, j'ai expliqué ce qui se passe lorsqu'un routeur démarre et quels fichiers sont chargés à ce moment-là.
Le registre de configuration indique au routeur comment démarrer et où trouver les fichiers. Tu as appris comment
pour modifier et vérifier les paramètres du registre de configuration à des fins de récupération de mot de passe. moi aussi
vous a montré comment gérer ces fichiers à l'aide de la CLI et de l'IFS.

Enfin, le chapitre couvrait les licences avec le nouveau code 15.0, y compris comment installer un
licence permanente et une licence Right-To-Use pour installer des fonctionnalités pendant 60 jours. je t'ai aussi montré
les commandes de vérification utilisées pour voir quelles licences sont installées et pour vérifier leur statut.

Essentiels de l'examen
Définissez les composants du routeur Cisco. Décrire les fonctions du bootstrap, POST, ROM
moniteur, mini-IOS, RAM, ROM, mémoire flash, NVRAM et le registre de configuration.

Identifiez les étapes de la séquence de démarrage du routeur. Les étapes de la séquence de démarrage sont POST,
chargement de l'IOS et copie de la configuration de démarrage de la NVRAM vers la RAM.

Comprendre les commandes et les paramètres du registre de configuration. Le paramètre 0x2102 est le
par défaut sur tous les routeurs Cisco et indique au routeur de rechercher la séquence de démarrage dans la NVRAM. 0x2101
indique au routeur de démarrer à partir de la ROM et 0x2142 indique au routeur de ne pas charger la configuration de démarrage dans
NVRAM pour fournir la récupération de mot de passe.

Effectuez la récupération du mot de passe. Les étapes du processus de récupération du mot de passe interrompent le
séquence de démarrage du routeur, modifiez le registre de configuration, rechargez le routeur et entrez privilégié
mode, copiez le fichier startup-config dans running-config et vérifiez que vos interfaces sont re-
activé, modifier/définir le mot de passe, enregistrer la nouvelle configuration, réinitialiser le registre de configuration,

102

et rechargez le routeur.

Sauvegardez une image IOS. En utilisant la commande en mode privilégié copy flash tftp , vous pouvez sauvegarder
un fichier de la mémoire flash vers un serveur TFTP (réseau).

Restaurez ou mettez à niveau une image IOS. En utilisant la commande en mode privilégié copy tftp flash ,
vous pouvez restaurer ou mettre à niveau un fichier d'un serveur TFTP (réseau) vers la mémoire flash.

Décrire les meilleures pratiques pour préparer la sauvegarde d'une image IOS sur un serveur réseau.
Assurez-vous que vous pouvez accéder au serveur réseau, assurez-vous que le serveur réseau dispose
l'espace pour l'image de code et vérifiez l'exigence de nom de fichier et de chemin d'accès.

Comprendre et utiliser les commandes de gestion du système de fichiers Cisco IFS. Les commandes
à utiliser sont dir , copier , plus , supprimer , effacer ou formater , cd et pwd , et mkdir et rmdir , ainsi que
system:running-config et nvram:startup-config .

N'oubliez pas comment installer une licence permanente et de droit d'utilisation. Pour installer un
licence permanente sur un routeur, utilisez la commande install license url . Pour installer une évaluation
fonction, utilisez la commande license boot module .

N'oubliez pas les commandes de vérification utilisées pour les licences dans le nouvel ISR G2
routeurs. La commande show license détermine les licences actives sur votre système. Les
La commande show license feature vous
permet d'afficher les licences et la fonctionnalité du package technologique
licences prises en charge par votre routeur. La commande show license udi affiche l'unique
l'identifiant de l'appareil (UDI) du routeur, qui comprend l'ID du produit (PID) et le numéro de série de
le routeur, et la commande show version affiche des informations sur la version actuelle de l'IOS,
y compris les détails de la licence à la fin de la sortie de la commande.

Laboratoire écrit 8
Vous pouvez trouver les réponses à ces ateliers dans l'annexe A, « Réponses aux ateliers écrits ».

Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :

Atelier 8.1 : Gestion de l'IOS

Travaux pratiques écrits 8.1 : Gestion IOS


Écrivez les réponses aux questions suivantes :

1. Quelle est la commande pour copier un Cisco IOS sur un serveur TFTP ?

2. Sur quoi définissez-vous le paramètre de registre de configuration afin de démarrer le mini-IOS en ROM ?

3. Quel est le paramètre du registre de configuration pour dire au routeur de rechercher dans la NVRAM le démarrage
séquence?

4. Sur quoi définissez-vous le paramètre de registre de configuration pour démarrer en mode moniteur ROM ?

5. Qu'est-ce qui est utilisé avec un PAK pour générer un fichier de licence ?

6. Quel est le paramètre du registre de configuration pour la récupération du mot de passe ?

7. Quelle commande peut changer l'emplacement à partir duquel le système charge l'IOS ?

8. Quelle est la première étape de la séquence de démarrage du routeur ?

9. Quelle commande pouvez-vous utiliser pour mettre à niveau un Cisco IOS ?

10. Quelle commande détermine les licences actives sur votre système ?

Laboratoires pratiques
Pour effectuer les travaux pratiques de cette section, vous avez besoin d'au moins un routeur (trois serait le mieux) et à
au moins un PC fonctionnant en tant que serveur TFTP. Le logiciel du serveur TFTP doit être installé et exécuté sur

103

le PC. Pour ces travaux pratiques, il est également supposé que votre PC et le(s) routeur(s) sont connectés ensemble
avec un commutateur ou un concentrateur et que toutes les interfaces (interfaces NIC PC et routeur) se trouvent dans le même sous-réseau.
Vous pouvez alternativement connecter le PC directement au routeur ou connecter les routeurs directement à un
un autre (utilisez un câble croisé dans ce cas). N'oubliez pas que les laboratoires répertoriés ici ont été créés pour
utiliser avec de vrais routeurs mais peut facilement être utilisé avec la version LammleSim IOS (trouvée sur
www.lammle.com/ccna ) ou le programme Packet Tracer de Cisco.
Voici une liste des laboratoires de ce chapitre :

Atelier 8.1 : Sauvegarder l'IOS de votre routeur

Atelier 8.2 : Mise à niveau ou restauration de l'IOS de votre routeur

Travaux pratiques 8.1 : Sauvegarder l'IOS de votre routeur


Dans ce laboratoire, nous allons sauvegarder l'IOS de la mémoire flash vers un hôte TFTP.

1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .

2. Assurez-vous que vous pouvez vous connecter au serveur TFTP qui est sur votre réseau en pingant l'IP
adresse de la console du routeur.

3. Tapez show flash pour voir le contenu de la mémoire flash.

4. Tapez show version à l'invite du mode privilégié du routeur pour obtenir le nom de l'IOS actuellement
fonctionnant sur le routeur. S'il n'y a qu'un seul fichier dans la mémoire flash, le show flash et la version show
les commandes affichent le même fichier. N'oubliez pas que la commande show version vous montre le fichier
qui est en cours d'exécution et la commande show flash vous montre tous les fichiers en flash
Mémoire.

5. Une fois que vous savez que vous avez une bonne connectivité Ethernet au serveur TFTP et que vous savez également
le nom de fichier IOS, sauvegardez votre IOS en tapant copy flash tftp . Cette commande indique au routeur
pour copier un fichier spécifié de la mémoire flash (c'est là que l'IOS est stocké par défaut) vers un
Serveur TFTP.

6. Saisissez l'adresse IP du serveur TFTP et le nom de fichier IOS source. Le fichier est maintenant copié
et stocké dans le répertoire par défaut du serveur TFTP.

Travaux pratiques 8.2 : Mise à niveau ou restauration de l'IOS de votre routeur


Dans cet atelier, nous allons copier un IOS d'un hôte TFTP vers la mémoire flash.

1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .

2. Assurez-vous que vous pouvez vous connecter au serveur TFTP en pingant l'adresse IP du serveur à partir de
la console du routeur.

3. Une fois que vous savez que vous avez une bonne connectivité Ethernet au serveur TFTP, tapez la copie tftp
commande flash .
4. Confirmez que le routeur ne fonctionnera pas pendant la restauration ou la mise à niveau en suivant les
invites fournies sur la console du routeur. Il est possible que cette invite ne se produise pas.
5. Saisissez l'adresse IP du serveur TFTP.

6. Entrez le nom du fichier IOS que vous souhaitez restaurer ou mettre à niveau.

7. Confirmez que vous comprenez que le contenu de la mémoire flash sera effacé s'il n'y a pas
suffisamment de place dans le flash pour stocker la nouvelle image.

8. Regardez avec étonnement votre IOS supprimé de la mémoire flash et votre nouvel IOS copié
à la mémoire flash.

Si le fichier qui était dans la mémoire flash est supprimé mais que la nouvelle version n'a pas été copiée dans la mémoire flash,
le routeur démarrera à partir du mode moniteur ROM. Vous devrez comprendre pourquoi l'opération de copie
n'a pas eu lieu.

104

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Que fournit la commande confreg 0x2142 ?

A. Il est utilisé pour redémarrer le routeur.

B. Il est utilisé pour contourner la configuration dans la NVRAM.

C. Il est utilisé pour entrer en mode moniteur ROM.

D. Il est utilisé pour afficher le mot de passe perdu.

2. Quelle commande copiera l'IOS sur un hôte de sauvegarde sur votre réseau ?

A. transférer l'IOS vers 172.16.10.1

B. début de l'exécution de la copie

C. copier tftp flash

D. copier démarrer tftp

E. copie flash tftp

3. Quelle commande permet d'installer définitivement une licence sur un routeur ISR2 ?

A. installer la licence

B. installation de la licence

C. licence du système de démarrage

D. module de licence de démarrage

4. Vous tapez ce qui suit dans le routeur et rechargez. Que fera le routeur ?

Routeur(config)# boot système flash c2800nm-advsecurityk9-mz.151-4.M6.bin


Routeur(config)# config-register 0x2101
Router(config)# do sh ver
[coupure de sortie]
Le registre de configuration est 0x2102 (sera 0x2101 au prochain rechargement)

A. Le routeur étendra et exécutera l' IOS c2800nm-advsecurityk9-mz.151-4.M6.bin à partir du flash


Mémoire.

B. Le routeur passera en mode configuration.

C. Le routeur chargera le mini-IOS à partir de la ROM.

D. Le routeur entrera en mode moniteur ROM.

5. Un administrateur réseau souhaite mettre à niveau l'IOS d'un routeur sans supprimer l'image
actuellement installé. Quelle commande affichera la quantité de mémoire consommée par le
l'image IOS actuelle et indiquer s'il y a suffisamment d'espace disponible pour contenir à la fois le
images actuelles et nouvelles ?

A. afficher la version

B. montrer le flash

C. montrer la mémoire

D. afficher les tampons

105
E. show running-config
6. Le siège social vous envoie un nouveau routeur pour vous connecter, mais lors de la connexion de la console
câble, vous voyez qu'il y a déjà une configuration sur le routeur. Que faut-il faire avant
une nouvelle configuration est entrée dans le routeur ?

A. La RAM doit être effacée et le routeur redémarré.

B. Flash doit être effacé et le routeur redémarré.

C. La NVRAM doit être effacée et le routeur redémarré.

D. La nouvelle configuration doit être saisie et enregistrée.

7. Quelle commande charge une nouvelle version de Cisco IOS dans un routeur ?

A. copie flash ftp

B. copier nvram flash

C. copie flash tftp

D. copier tftp flash

8. Quelle commande vous montrera la version IOS en cours d'exécution sur votre routeur ?

A. sh IOS

B. sh flash

C. version sh

D. protocoles sh

9. Quelle doit être la valeur du registre de configuration une fois que vous avez terminé avec succès le mot de passe
procédure de récupération et remettre le routeur en fonctionnement normal ?

A. 0x2100

B. 0x2101

C. 0x2102

D. 0x2142

10. Vous enregistrez la configuration sur un routeur avec le démarrage-config copy running-config commande
et redémarrez le routeur. Le routeur, cependant, propose une configuration vierge. Ce qui peut
le problème est-il ?

A. Vous n'avez pas démarré le routeur avec la bonne commande.

B. La NVRAM est corrompue.

C. Le réglage du registre de configuration est incorrect.

D. L'IOS nouvellement mis à niveau n'est pas compatible avec le matériel du routeur.

E. La configuration que vous avez enregistrée n'est pas compatible avec le matériel.

11. Quelle commande installera une licence Right-To-Use afin que vous puissiez utiliser une version d'évaluation d'un
caractéristique?

A. installer la fonctionnalité de licence de droit d'utilisation

B. installer la fonctionnalité temporaire

C. fonction d'installation de licence

D. module de démarrage de licence

12. Quelle commande détermine les licences actives sur votre système ainsi que plusieurs
variables d'état ?

A. licence d'exposition

106

B. afficher la fonction de licence

C. montrer la licence udi

D. afficher la version

13. Quelle commande vous permet d'afficher les licences de packages technologiques et les licences de fonctionnalités qui
sont pris en charge sur votre routeur avec plusieurs variables d'état ?

A. licence d'exposition

B. afficher la fonction de licence

C. montrer la licence udi

D. afficher la version

14. Quelle commande affiche l'identifiant unique de l'appareil qui comprend l'ID du produit et
numéro de série du routeur ?

A. licence d'exposition

B. afficher la fonction de licence

C. montrer la licence udi

D. afficher la version
15. Quelle commande affiche diverses informations sur la version actuelle de l'IOS,
y compris les détails de la licence à la fin de la sortie de la commande ?

A. licence d'exposition

B. afficher la fonction de licence

C. montrer la licence udi

D. afficher la version

16. Quelle commande sauvegarde votre licence sur la mémoire flash ?

A. copier tftp flash

B. enregistrer la licence flash

C. licence enregistrer flash

D. copier la licence flash

17. Quelle commande affiche le paramètre du registre de configuration ?

A. afficher l'itinéraire IP

B. afficher la version de démarrage

C. afficher la version

D. montrer le flash

18. Quelles sont les deux étapes nécessaires pour supprimer une licence d'un routeur ? (Choisissez deux.)

A. Utilisez la commande d' effacement flash:license .

B. Rechargez le système.

C. Utilisez la commande license boot avec la variable disable à la fin de la ligne de commande.

D. Effacez la licence avec la commande license clear .

19. Votre ordinateur portable est directement connecté au port Ethernet d'un routeur. Lequel des suivants
font partie des conditions requises pour que la commande copy flash tftp réussisse ? (Choisir
Trois.)

A. Le logiciel du serveur TFTP doit être exécuté sur le routeur.

B. Le logiciel serveur TFTP doit être exécuté sur votre ordinateur portable.

107

C. Le câble Ethernet reliant l'ordinateur portable directement au port Ethernet du routeur doit être
un câble droit.

D. L'ordinateur portable doit se trouver sur le même sous-réseau que l'interface Ethernet du routeur.

E. La commande copy flash tftp doit être fournie avec l'adresse IP de l'ordinateur portable.

F. Il doit y avoir suffisamment d'espace dans la mémoire flash du routeur pour accueillir le fichier à
être copié.

20. Le paramètre de registre de configuration de 0x2102 fournit quelle fonction à un routeur ?

A. Indique au routeur de démarrer en mode moniteur ROM

B. Fournit la récupération de mot de passe

C. Indique au routeur de rechercher dans la NVRAM la séquence de démarrage

D. Démarre l'IOS à partir d'un serveur TFTP

E. Démarre une image IOS stockée dans la ROM


108

Chapitre 9
Routage IP

Les sujets d'examen ICND1 suivants sont traités dans ce


chapitre:
3.0 Technologies de routage

3.1 Décrire les concepts de routage

3.1.a Traitement des paquets le long du chemin à travers un réseau

3.1.b Décision de transfert basée sur la recherche de route

3.1.c Réécriture de trame

3.2 Interpréter les composants de la table de routage

3.2.a Préfixe

3.2.b Masque de réseau

3.2.c Saut suivant

3.2.d Code de protocole de routage

3.2.e Distance administrative

3.2.f Métrique

3.2.g Passerelle de dernier recours

3.3 Décrire comment une table de routage est remplie par différentes sources d'informations de routage

3.3.a Distance administrative

3.5 Comparer et contraster le routage statique et le routage dynamique

3.6 Configurer, vérifier et dépanner le routage statique IPv4 et IPv6

3.6.a Route par défaut

3.6.b Parcours réseau

3.6.c Route de l'hôte

3.6.d Flottant statique

3.7 Configurer, vérifier et dépanner RIPv2 pour IPv4 (hors authentification,


filtrage, récapitulation manuelle, redistribution)

Il est temps maintenant de nous concentrer sur le thème central de la


Page 109

processus de routage IP omniprésent. Il fait partie intégrante de la mise en réseau car il concerne tous les routeurs et
configurations qui l'utilisent, qui se taille facilement la part du lion. Le routage IP est essentiellement le processus de
déplacer des paquets d'un réseau à un autre réseau à l'aide de routeurs. Et par routeurs, je veux dire
Les routeurs Cisco, bien sûr ! Cependant, les termes routeur et périphérique de couche 3 sont interchangeables, et
tout au long de ce chapitre, lorsque j'utilise le terme routeur , je fais référence à n'importe quel périphérique de couche 3.

Avant d'entrer dans ce chapitre, je veux m'assurer que vous comprenez la différence entre un
protocole de routage et un protocole routé . Les routeurs utilisent des protocoles de routage pour trouver dynamiquement tous
réseaux au sein du plus grand interréseau et pour s'assurer que tous les routeurs ont le même routage
table. Les protocoles de routage sont également utilisés pour déterminer le meilleur chemin qu'un paquet doit emprunter
via un interréseau pour atteindre sa destination le plus efficacement possible. RIP, RIPv2, EIGRP et OSPF
sont d'excellents exemples des protocoles de routage les plus courants.

Une fois que tous les routeurs connaissent tous les réseaux, un protocole routé peut être utilisé pour envoyer des données utilisateur
(paquets) par l'intermédiaire de l'entreprise établie. Les protocoles routés sont affectés à une interface et
déterminer la méthode de livraison des paquets. IP et IPv6 sont des exemples de protocoles routés.

Je suis assez convaincu que je n'ai pas à souligner à quel point il est crucial pour vous d'avoir ce chapitre
matériel jusqu'à un niveau presque instinctif. Le routage IP est intrinsèquement ce que font les routeurs Cisco, et ils
le faire très bien, il est donc essentiel de bien comprendre les principes fondamentaux et les bases de ce sujet si vous
voulez exceller pendant l'examen et dans un environnement de réseautage réel également !

Dans ce chapitre, je vais vous montrer comment configurer et vérifier le routage IP avec les routeurs Cisco
et vous guide à travers ces cinq sujets clés :

Bases du routage

Le processus de routage IP

Routage statique

Routage par défaut

Routage dynamique

Je veux commencer par définir les bases de la façon dont les paquets se déplacent réellement à travers un interréseau,
Alors, commençons!

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna

ou la page Web du livre à l' adresse www.sybex.com/go/ccna .

Notions de base sur le routage


Une fois que vous avez créé un interréseau en connectant vos WAN et LAN à un routeur, vous devez
configurer les adresses réseau logiques, comme les adresses IP, à tous les hôtes de cet interréseau pour eux
pour communiquer avec succès tout au long de celui-ci.

Le terme routage fait référence au fait de prendre un paquet d'un appareil et de l'envoyer via le réseau à
un autre appareil sur un autre réseau. Les routeurs ne se soucient pas vraiment des hôtes, ils ne se soucient que
sur les réseaux et le meilleur chemin vers chacun d'eux. L'adresse réseau logique du
L'hôte de destination est la clé pour obtenir des paquets via un réseau routé. C'est l'adresse matérielle de
l'hôte qui est utilisé pour livrer le paquet d'un routeur et s'assurer qu'il arrive au bon
hôte de destination.

Le routage n'est pas pertinent si votre réseau n'a pas de routeurs car leur travail consiste à acheminer le trafic vers tous les
réseaux dans votre interréseau, mais c'est rarement le cas ! Voici donc une liste importante des
facteurs minimaux qu'un routeur doit connaître pour pouvoir acheminer efficacement les paquets :

Adresse de destination

Routeurs voisins à partir desquels il peut se renseigner sur les réseaux distants

Page 110

Routes possibles vers tous les réseaux distants

Le meilleur itinéraire vers chaque réseau distant

Comment gérer et vérifier les informations de routage

Le routeur apprend les réseaux distants à partir des routeurs voisins ou d'un administrateur.
Le routeur construit ensuite une table de routage, qui est essentiellement une carte de l'interréseau, et il
décrit comment trouver des réseaux distants. Si un réseau est directement connecté, le routeur
sait déjà comment y accéder.

Mais si un réseau n'est pas directement connecté au routeur, le routeur doit utiliser l'une des deux manières suivantes pour
Découvrez comment accéder au réseau distant. La méthode de routage statique nécessite que quelqu'un
tapez tous les emplacements réseau dans la table de routage, ce qui peut être une tâche assez intimidante lorsqu'il est utilisé
sur tous les réseaux sauf le plus petit !

Inversement, lorsque le routage dynamique est utilisé, un protocole sur un routeur communique avec le
même protocole s'exécutant sur les routeurs voisins. Les routeurs se mettent ensuite à jour sur tous les
réseaux qu'ils connaissent et placent ces informations dans la table de routage. Si un changement survient dans
le réseau, les protocoles de routage dynamique informent automatiquement tous les routeurs de l'événement. Si
le routage statique est utilisé, l'administrateur est responsable de la mise à jour manuelle de toutes les modifications sur tous
routeurs. La plupart des gens utilisent généralement une combinaison de routage dynamique et statique pour administrer un
grand réseau.

Avant de nous lancer dans le processus de routage IP, examinons un exemple très simple qui
montre comment un routeur utilise la table de routage pour acheminer les paquets hors d'une interface. Bien être
bientôt une étude plus détaillée du processus, mais je veux vous montrer quelque chose qui s'appelle le
« règle de correspondance la plus longue » en premier. Avec lui, IP va scanner une table de routage pour trouver la correspondance la plus longue comme
par rapport à l'adresse de destination d'un paquet. Jetons un coup d'œil à la figure 9.1 pour obtenir une image de
ce processus.

Page 111

FIGURE 9.1 Un exemple de routage simple

La figure 9.1 montre un réseau simple. Lab_A a quatre interfaces. Pouvez-vous voir quelle interface sera
utilisé pour transmettre un datagramme IP à un hôte avec une adresse IP de destination de 10.10.10.30 ?

En utilisant la commande show ip route sur un routeur, on peut voir la table de routage (carte du
interréseau) que Lab_A a utilisé pour prendre ses décisions de transfert :
Lab_A# itinéraire de livraison
Codes : L - local, C - connecté, S - statique,
[coupure de sortie]
10.0.0.0/8 est en sous-réseaux variable, 6 sous-réseaux, 4 masques
C 10.0.0.0/8 est directement connecté, FastEthernet0/3
L 10.0.0.1/32 est directement connecté, FastEthernet0/3
C 10.10.0.0/16 est directement connecté, FastEthernet0/2
L 10.10.0.1/32 est directement connecté, FastEthernet0/2
C 10.10.10.0/24 est directement connecté, FastEthernet0/1
L 10.10.10.1/32 est directement connecté, FastEthernet0/1
S* 0.0.0.0/0 est directement connecté, FastEthernet0/0

Le C dans la sortie de la table de routage signifie que les réseaux répertoriés sont « directement connectés » et
jusqu'à ce que nous ajoutions un protocole de routage tel que RIPv2, OSPF, etc. aux routeurs de notre interréseau, ou que nous saisissions
routes statiques, seuls les réseaux directement connectés apparaîtront dans notre table de routage. Mais attendez, quoi
à propos de ce L dans la table de routage, c'est nouveau, n'est-ce pas ? Oui, car dans le nouveau Cisco IOS 15
code, Cisco définit une route différente, appelée route hôte locale. Chaque route locale a un préfixe /32,
définir un itinéraire uniquement pour une seule adresse. Ainsi, dans cet exemple, le routeur s'est appuyé sur ces
routes qui répertorient leurs propres adresses IP locales pour transférer plus efficacement les paquets vers le routeur
lui-même.

Revenons donc à la question initiale : En regardant la figure et la sortie du routage


tableau, pouvez-vous déterminer ce que l'IP fera avec un paquet reçu qui a une adresse IP de destination

112

du 10.10.10.30 ? La réponse est que le routeur va commuter le paquet vers l'interface


FastEthernet 0/1, qui encadrera le paquet puis l'enverra sur le segment de réseau. Cette
est appelée réécriture de trame. Sur la base de la règle de correspondance la plus longue, IP rechercherait
10.10.10.30, et si cela ne se trouve pas dans le tableau, alors IP recherchera 10.10.10.0, puis
10.10.0.0, et ainsi de suite jusqu'à ce qu'un itinéraire soit découvert.

Voici un autre exemple : sur la base de la sortie de la table de routage suivante, quelle interface sera
paquet avec une adresse de destination de 10.10.10.14 à partir de ?

Lab_A# itinéraire de livraison


[coupure de sortie]
La passerelle de dernier recours n'est pas définie
C 10.10.10.16/28 est directement connecté, FastEthernet0/0
L 10.10.10.17/32 est directement connecté, FastEthernet0/0
C 10.10.10.8/29 est directement connecté, FastEthernet0/1
L 10.10.10.9/32 est directement connecté, FastEthernet0/1
C 10.10.10.4/30 est directement connecté, FastEthernet0/2
L 10.10.10.5/32 est directement connecté, FastEthernet0/2
C 10.10.10.0/30 est directement connecté, série 0/0
L 10.10.10.1/32 est directement connecté, Serial0/0

Pour comprendre cela, examinez attentivement la sortie jusqu'à ce que vous voyiez que le réseau est en sous-réseau et que chaque
l'interface a un masque différent. Et je dois vous dire que vous ne pouvez tout simplement pas répondre à cette question si vous
ne peut pas créer de sous-réseau ! 10.10.10.14 serait un hôte dans le sous-réseau 10.10.10.8/29 qui est connecté au
Interface FastEthernet0/1. Ne paniquez pas si vous avez du mal et ne comprenez pas ça ! A la place, vas-y
Revenez en arrière et relisez le chapitre 4, « Easy Subnetting », jusqu'à ce que cela devienne clair pour vous.

Le processus de routage IP
Le processus de routage IP est assez simple et ne change pas, quelle que soit la taille de votre réseau.
Pour un bon exemple de ce fait, j'utiliserai la figure 9.2 pour décrire étape par étape ce qui se passe lorsque
L'hôte A souhaite communiquer avec l'hôte B sur un autre réseau.

FIGURE 9.2 Exemple de routage IP utilisant deux hôtes et un routeur

Dans la figure 9.2, un utilisateur sur Host_A a envoyé un ping à l'adresse IP de Host_B. Le routage n'est pas plus simple que
ceci, mais cela implique encore beaucoup d'étapes, alors passons en revue maintenant :

1. Internet Control Message Protocol (ICMP) crée une charge utile de demande d'écho, qui est simplement
l'alphabet dans le champ de données.

2. ICMP transmet cette charge utile au protocole Internet (IP), qui crée ensuite un paquet. À
minimum, ce paquet contient une adresse IP source, une adresse IP de destination et un
Champ de protocole avec 01h. N'oubliez pas que Cisco aime utiliser 0x devant les caractères hexadécimaux, donc
cela pourrait aussi ressembler à 0x01. Cela indique à l'hôte destinataire à qui il doit remettre le
charge utile lorsque la destination est atteinte, dans cet exemple, ICMP.

3. Une fois le paquet créé, IP détermine si l'adresse IP de destination est sur le


réseau ou distant.

4. Étant donné qu'IP a déterminé qu'il s'agit d'une demande distante, le paquet doit être envoyé à la valeur par défaut
passerelle afin qu'il puisse être acheminé vers le réseau distant. Le registre de Windows est analysé pour trouver
la passerelle par défaut configurée.
Page 113

5. La passerelle par défaut de Host_A est configurée sur 172.16.10.1. Pour que ce paquet soit envoyé au
passerelle par défaut, l'adresse matérielle de l'interface Ethernet 0 du routeur, qui est
configuré avec l'adresse IP 172.16.10.1, doit être connu. Pourquoi? Le paquet peut donc être
transmis à la couche de liaison de données, encadré et envoyé à l'interface du routeur qui est
connecté au réseau 172.16.10.0. Parce que les hôtes ne communiquent que via le matériel
adresses sur le réseau local, il est important de reconnaître que pour que Host_A communique avec
Host_B, il doit envoyer des paquets à l'adresse de contrôle d'accès au support (MAC) de la valeur par défaut
passerelle sur le réseau local.

Les adresses MAC sont toujours locales sur le LAN et ne traversent jamais un

routeur.

6. Ensuite, le cache ARP (Address Resolution Protocol) de l'hôte est vérifié pour voir si l'adresse IP
l'adresse de la passerelle par défaut a déjà été résolue en une adresse matérielle.

Si c'est le cas, le paquet est alors libre d'être transmis à la couche de liaison de données pour le tramage. Rappelles toi
que l'adresse de destination matérielle est également transmise avec ce paquet. Pour voir l'ARP
cache sur votre hôte, utilisez la commande suivante :

C:\> arp -a
Interface : 172.16.10.2 --- 0x3
Adresse Internet Type d'adresse physique
172.16.10.1 00-15-05-06-31-b0 dynamique

Si l'adresse matérielle n'est pas déjà dans le cache ARP de l'hôte, une diffusion ARP sera
envoyé sur le réseau local pour rechercher l'adresse matérielle 172.16.10.1. Le routeur
répond ensuite à la demande et fournit l'adresse matérielle d'Ethernet 0, et l'hôte
met en cache cette adresse.

7. Une fois que le paquet et l'adresse matérielle de destination sont transmis à la couche de liaison de données, le réseau local
pilote est utilisé pour fournir un accès multimédia via le type de réseau local utilisé, qui est Ethernet dans
ce cas. Une trame est ensuite générée, encapsulant le paquet avec des informations de contrôle.
Dans ce cadre se trouvent les adresses de destination et de source matérielles plus, dans ce cas, un
Champ Ether-Type, qui identifie le protocole de couche réseau spécifique qui a remis le paquet
à la couche de liaison de données. Dans ce cas, c'est IP. À la fin du cadre se trouve quelque chose appelé un
Champ Frame Check Sequence (FCS) qui abrite le résultat du contrôle de redondance cyclique
(CRC). Le cadre ressemblerait à ce que j'ai détaillé dans la figure 9.3 . Il contient l'hôte
L'adresse matérielle (MAC) de A et l'adresse matérielle de destination de la passerelle par défaut. Ce
n'inclut pas l'adresse MAC de l'hôte distant—n'oubliez pas cela !

FIGURE 9.3 Trame utilisée de l'hôte A au routeur Lab_A lorsque l'hôte B est ping

8. Une fois la trame terminée, elle est transmise à la couche physique pour être placée sur le physique
moyen (dans cet exemple, un fil à paire torsadée) un bit à la fois.

9. Chaque périphérique dans le domaine de collision reçoit ces bits et construit la trame. Ils exécutent chacun un
CRC et vérifiez la réponse dans le champ FCS. Si les réponses ne correspondent pas, la trame est supprimée.

Si le CRC correspond, l'adresse de destination matérielle est vérifiée pour voir si elle correspond
(qui, dans cet exemple, est l'interface Ethernet 0 du routeur).

S'il s'agit d'une correspondance, le champ Ether-Type est vérifié pour trouver le protocole utilisé au
Couche réseau.

10. Le paquet est extrait de la trame et ce qui reste de la trame est rejeté. Le paquet est
remis au protocole répertorié dans le champ Ether-Type - il est attribué à IP.

114

11. IP reçoit le paquet et vérifie l'adresse IP de destination. Depuis la destination du paquet


l'adresse ne correspond à aucune des adresses configurées sur le routeur de réception lui-même, le
Le routeur recherchera l'adresse du réseau IP de destination dans sa table de routage.

12. La table de routage doit avoir une entrée pour le réseau 172.16.20.0 ou le paquet sera
immédiatement et un message ICMP sera renvoyé à l'appareil d'origine avec un
message réseau de destination inaccessible.

13. Si le routeur trouve une entrée pour le réseau de destination dans sa table, le paquet est commuté
à l'interface de sortie — dans cet exemple, l'interface Ethernet 1. La sortie suivante affiche le
Table de routage du routeur Lab_A. Le C signifie « directement connecté ». Aucun protocole de routage n'est
nécessaire dans ce réseau puisque tous les réseaux (tous les deux) sont directement connectés.

Lab_A> itinéraire de navigation


C 172.16.10.0 est directement connecté, Ethernet0
L 172.16.10.1/32 est directement connecté, Ethernet0
C 172.16.20.0 est directement connecté, Ethernet1
L 172.16.20.1/32 est directement connecté, Ethernet1

14. Le routeur commute le paquet vers la mémoire tampon Ethernet 1.

15. Le tampon Ethernet 1 doit connaître l'adresse matérielle de l'hôte de destination et


vérifie le cache ARP.

Si l'adresse matérielle de Host_B a déjà été résolue et se trouve dans l'ARP du routeur
cache, le paquet et l'adresse matérielle seront transmis au Data Link
couche à encadrer. Regardons le cache ARP sur le routeur Lab_A en utilisant le
commande show ip arp :
Lab_A# arp expédition
Âge de l'adresse du protocole (min) Type d'adresse du matériel Interface
Internet 172.16.20.1 - 00d0.58ad.05f4 ARPA Ethernet1
Internet 172.16.20.2 3 0030.9492.a5dd ARPA Ethernet1
Internet 172.16.10.1 - 00d0.58ad.06aa ARPA Ethernet0
Internet 172.16.10.2 12 0030.9492.a4ac ARPA Ethernet0

Le tiret (-) signifie qu'il s'agit de l'interface physique sur le routeur. Cette sortie nous montre
que le routeur connaît le matériel 172.16.10.2 (Host_A) et 172.16.20.2 (Host_B)
adresses. Les routeurs Cisco conserveront une entrée dans la table ARP pendant 4 heures.

Maintenant, si l'adresse matérielle n'a pas déjà été résolue, le routeur enverra un ARP
demandez à E1 de rechercher l'adresse matérielle 172.16.20.2. Host_B répond avec son
l'adresse matérielle, et les adresses matérielles du paquet et de destination sont alors toutes deux envoyées
à la couche de liaison de données pour le cadrage.

16. La couche Data Link crée une trame avec les adresses matérielles de destination et source,
Champ Ether-Type et champ FCS à la fin. La trame est ensuite remise à la couche Physique pour
être envoyé sur le support physique un bit à la fois.

17. Host_B reçoit la trame et exécute immédiatement un CRC. Si le résultat correspond aux informations
dans le champ FCS, l'adresse de destination matérielle sera ensuite vérifiée. Si l'hôte trouve un
correspondent, le champ Ether-Type est ensuite vérifié pour déterminer le protocole que le paquet doit
être remis à la couche réseau - IP dans cet exemple.

18. Au niveau de la couche réseau, IP reçoit le paquet et exécute un CRC sur l'en-tête IP. Si ça passe,
IP vérifie ensuite l'adresse de destination. Puisqu'un match a finalement été fait, le Protocole
est vérifié pour savoir à qui la charge utile doit être donnée.

19. La charge utile est remise à ICMP, qui comprend qu'il s'agit d'une demande d'écho. ICMP
répond à cela en rejetant immédiatement le paquet et en générant une nouvelle charge utile en tant que
réponse en écho.

20. Un paquet est alors créé comprenant les adresses source et destination, le champ Protocole et
charge utile. Le périphérique de destination est maintenant Host_A.

21. IP vérifie ensuite si l'adresse IP de destination est un périphérique sur le LAN local ou sur un
réseau distant. Étant donné que le périphérique de destination se trouve sur un réseau distant, le paquet doit être

Page 115

envoyé à la passerelle par défaut.

22. L'adresse IP de la passerelle par défaut se trouve dans le Registre de l'appareil Windows et l'ARP
le cache est vérifié pour voir si l'adresse matérielle a déjà été résolue à partir d'une adresse IP.

23. Une fois l'adresse matérielle de la passerelle par défaut trouvée, le paquet et la destination
les adresses matérielles sont transmises à la couche de liaison de données pour le cadrage.

24. La couche de liaison de données encadre le paquet d'informations et inclut les éléments suivants dans le
entête:

Les adresses matérielles de destination et source

Le champ Ether-Type avec 0x0800 (IP) dedans

Le champ FCS avec le résultat CRC en remorque

25. La trame est maintenant transmise à la couche physique pour être envoyée sur le support réseau
un peu à la fois.

26. L'interface Ethernet 1 du routeur reçoit les bits et construit une trame. Le CRC est exécuté et le
Le champ FCS est vérifié pour s'assurer que les réponses correspondent.

27. Une fois que le CRC est correct, l'adresse de destination matérielle est vérifiée. Depuis le
l'interface du routeur correspond, le paquet est extrait de la trame et le champ Ether-Type est
vérifié pour déterminer à quel protocole le paquet doit être livré au niveau de la couche réseau.

28. Le protocole est déterminé comme étant IP, il obtient donc le paquet. IP exécute un contrôle CRC sur l'IP
d'abord, puis vérifie l'adresse IP de destination.

IP n'exécute pas un CRC complet comme le fait la couche de liaison de données - il vérifie seulement

l'en-tête pour les erreurs.

Étant donné que l'adresse IP de destination ne correspond à aucune des interfaces du routeur, la table de routage
est vérifié pour voir s'il a une route vers 172.16.10.0. S'il n'y a pas de route vers le
réseau de destination, le paquet sera immédiatement rejeté. Je veux prendre une minute pour
souligner que c'est exactement là que la source de confusion commence pour beaucoup d'administrateurs
car lorsqu'un ping échoue, la plupart des gens pensent que le paquet n'a jamais atteint l'hôte de destination.
Mais comme on le voit ici, ce n'est pas toujours le cas. Tout ce qu'il faut pour que cela se produise, c'est même juste
l'un des routeurs distants n'a pas de route de retour vers le réseau de l'hôte d'origine et— pouf ! -
le paquet est déposé sur le voyage de retour , pas sur son chemin vers l'hôte !

Juste un petit mot pour mentionner que quand (et si) le paquet est perdu en chemin

à l'hôte d'origine, vous verrez généralement un message d'expiration du délai de demande car il
est une erreur inconnue. Si l'erreur se produit en raison d'un problème connu, par exemple si une route est
pas dans la table de routage sur le chemin vers l'appareil de destination, vous verrez une destination
message inaccessible. Cela devrait vous aider à déterminer si le problème est survenu sur le
chemin vers la destination ou sur le chemin du retour.

29. Dans ce cas, le routeur sait comment accéder au réseau 172.16.10.0—l'interface de sortie
est Ethernet 0 : le paquet est donc commuté sur l'interface Ethernet 0.

30. Le routeur vérifie ensuite le cache ARP pour déterminer si l'adresse matérielle pour
172.16.10.2 a déjà été résolu.

31. Étant donné que l'adresse matérielle de 172.16.10.2 est déjà mise en cache depuis le voyage d'origine vers
Host_B, l'adresse matérielle et le paquet sont ensuite transmis à la couche de liaison de données.

32. La couche Data Link construit une trame avec l'adresse matérielle de destination et la source

116

adresse matérielle, puis place IP dans le champ Ether-Type. Un CRC est exécuté sur le châssis et le
résultat est placé dans le champ FCS.

33. La trame est ensuite transmise à la couche Physique pour être envoyée sur le réseau local un bit à
un temps.

34. L'hôte de destination reçoit la trame, exécute un CRC, vérifie le matériel de destination
adresse, puis regarde dans le champ Ether-Type pour savoir à qui remettre le paquet.

35. IP est le récepteur désigné, et une fois le paquet remis à IP au niveau de la couche réseau, il
vérifie le champ Protocole pour plus d'informations. IP trouve des instructions pour donner la charge utile à
ICMP, et ICMP détermine que le paquet est une réponse d'écho ICMP.

36. ICMP reconnaît avoir reçu la réponse en envoyant un point d'exclamation (!) au
interface utilisateur. ICMP tente ensuite d'envoyer quatre autres demandes d'écho à l'hôte de destination.

Vous venez de découvrir les 36 étapes faciles de Todd pour comprendre le routage IP. Le point clé ici est
que si vous aviez un réseau beaucoup plus vaste, le processus serait le même . C'est juste que plus le
interréseau, plus le paquet parcourt de sauts avant de trouver l'hôte de destination.

Il est très important de se rappeler que lorsque Host_A envoie un paquet à Host_B, la destination
l'adresse matérielle utilisée est l'interface Ethernet de la passerelle par défaut. Pourquoi? Parce que les cadres ne peuvent pas être
placés sur des réseaux distants, uniquement des réseaux locaux. Ainsi, les paquets destinés aux réseaux distants doivent
passer par la passerelle par défaut.

Jetons maintenant un coup d'œil au cache ARP de Host_A :

C:\ > arp -a


Interface : 172.16.10.2 --- 0x3
Adresse Internet Type d'adresse physique
172.16.10.1 00-15-05-06-31-b0 dynamique
172.16.20.1 00-15-05-06-31-b0 dynamique

Avez-vous remarqué que l'adresse matérielle (MAC) que Host_A utilise pour accéder à Host_B est le Lab_A
Interface E0 ? Les adresses matérielles sont toujours locales et ne passent jamais par le routeur d'un routeur.
interface. Comprendre ce processus est aussi important que l'air pour vous, alors écrivez-le dans votre
Mémoire!

Le processus interne du routeur Cisco


Une dernière chose avant de tester votre compréhension de mes 36 étapes de routage IP. je pense
il est important d'expliquer comment un routeur transfère les paquets en interne. Pour IP pour rechercher une destination
adresse dans une table de routage sur un routeur, le traitement dans le routeur doit avoir lieu, et s'il y a
des dizaines de milliers de routes dans cette table, le temps CPU serait énorme. Il en résulte
dans une quantité potentiellement écrasante de frais généraux - pensez à un routeur chez votre FAI qui doit
calculez des millions de paquets par seconde et même des sous-réseaux pour trouver la bonne interface de sortie ! Même
avec le petit réseau que j'utilise dans ce livre, il faudrait faire beaucoup de traitement s'il y a
étaient des hôtes réels connectés et envoyant des données.

Cisco utilise trois types de techniques de transfert de paquets.

Changement de processus C'est en fait le nombre de personnes qui voient des routeurs à ce jour, car c'est vrai
que les routeurs ont effectivement effectué ce type de commutation de paquets à nu en 1990 lorsque
Cisco a sorti son tout premier routeur. Mais ces jours où les demandes de trafic étaient inimaginablement
la lumière ont disparu depuis longtemps—pas dans les réseaux d'aujourd'hui ! Ce processus est maintenant extrêmement complexe et
implique de rechercher chaque destination dans la table de routage et de trouver l'interface de sortie pour chaque
paquet. C'est à peu près comme ça que je viens d'expliquer le processus dans mes 36 étapes. Mais même si
ce que j'ai écrit était absolument vrai dans son concept, le processus interne nécessite bien plus que
technologie de commutation de paquets aujourd'hui en raison des millions de paquets par seconde qui doivent maintenant
en traitement. Cisco a donc proposé d'autres technologies pour aider avec le « grand processus
problème."

Commutation rapide Cette solution a été créée pour rendre les performances lentes de la commutation de processus
plus rapide et plus efficace. La commutation rapide utilise un cache pour stocker les destinations les plus récemment utilisées

Page 117

de sorte que les recherches ne sont pas nécessaires pour chaque paquet. En mettant en cache l'interface de sortie de la destination
périphérique, ainsi que l'en-tête de couche 2, les performances ont été considérablement améliorées, mais comme notre
les réseaux ont évolué avec le besoin d'encore plus de vitesse, Cisco a créé une autre technologie !

Cisco Express Forwarding (CEF) C'est la création la plus récente de Cisco, et c'est le paquet par défaut-
méthode de transfert utilisée sur tous les derniers routeurs Cisco. CEF crée de nombreuses tables de cache différentes pour
aider à améliorer les performances et est déclenché par le changement, pas par paquet. Traduit, cela signifie
que lorsque la topologie du réseau change, le cache change avec elle.

Pour voir quelle méthode de commutation de paquets votre interface de routeur utilise, utilisez le

commande show ip interface .

Tester votre compréhension du routage IP


Puisque comprendre le routage IP est super important, il est temps de faire ce petit test dont j'ai parlé
plus tôt sur la façon dont vous avez le processus de routage IP jusqu'à présent. Je vais le faire en ayant
vous regardez quelques chiffres et répondez à quelques questions de routage IP très basiques basées sur
eux.

La figure 9.4 montre un réseau local connecté au routeur A qui est connecté via une liaison WAN au routeur B.
RouterB a un LAN connecté avec un serveur HTTP connecté.

FIGURE 9.4 Exemple de routage IP 1

L'information critique que vous voulez obtenir en regardant cette figure est exactement comment le routage IP va
se produire dans cet exemple. Déterminons les caractéristiques d'une trame lorsqu'elle quitte HostA. D'accord-
on va tricher un peu. Je vais vous donner la réponse, mais alors vous devriez revenir sur la figure et voir si
vous pouvez répondre à l'exemple 2 sans regarder ma réponse en trois étapes !

1. L'adresse de destination d'une trame de HostA serait l'adresse MAC du routeur A


Interface Fa0/0.

Page 118

2. L'adresse de destination d'un paquet serait l'adresse IP du réseau du serveur HTTP


carte d'interface (NIC).

3. Le numéro de port de destination dans l'en-tête de segment serait 80.

C'était un scénario assez simple et direct. Une chose à retenir est que lorsque plusieurs
les hôtes communiquent avec un serveur via HTTP, ils doivent tous utiliser un port source différent
numéro. Les adresses IP source et de destination et les numéros de port permettent au serveur de conserver les
données séparées au niveau de la couche Transport.

Compliquons les choses en ajoutant un autre appareil au réseau, puis voyons si vous pouvez trouver
les réponses. La figure 9.5 montre un réseau avec un seul routeur mais deux commutateurs.
FIGURE 9.5 Exemple de routage IP 2

L'élément clé à comprendre sur le processus de routage IP dans ce scénario est ce qui se passe lorsque
HostA envoie des données au serveur HTTPS ? Voici votre réponse :

1. L'adresse de destination d'une trame de HostA serait l'adresse MAC du routeur A


Interface Fa0/0.

2. L'adresse de destination d'un paquet est l'adresse IP de l'interface réseau du serveur HTTPS
carte (NIC).

3. Le numéro de port de destination dans l'en-tête de segment aura une valeur de 443.

Avez-vous remarqué que les commutateurs n'étaient pas utilisés comme passerelle par défaut ou comme autre
destination? C'est parce que les commutateurs n'ont rien à voir avec le routage. Je me demande combien d'entre vous
a choisi le commutateur comme adresse MAC de passerelle par défaut (destination) pour HostA ? Si vous l'avez fait, ne
se sentir mal, il suffit de jeter un autre coup d'œil pour voir où vous vous êtes trompé et pourquoi. Il est très important de
rappelez-vous que l'adresse MAC de destination sera toujours l'interface du routeur, si vos paquets
sont destinés à l'extérieur du LAN, comme dans ces deux derniers exemples !

Page 119

Avant de passer à certains des aspects les plus avancés du routage IP, examinons un autre
problème. Jetez un œil à la sortie de la table de routage de ce routeur :

Route d'expédition de l'entreprise #


[coupure de sortie]
R 192.168.215.0 [120/2] via 192.168.20.2, 00:00:23, Série0/0
R 192.168.115.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
R 192.168.30.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
C 192.168.20.0 est directement connecté, Serial0/0
L 192.168.20.1/32 est directement connecté, Serial0/0
C 192.168.214.0 est directement connecté, FastEthernet0/0
L 192.168.214.1/32 est directement connecté, FastEthernet0/0

Que voit-on ici ? Si je vous disais que le routeur d'entreprise a reçu un paquet IP avec un
une adresse IP source de 192.168.214.20 et une adresse de destination de 192.168.22.3, que faites-vous
pensez-vous que le routeur Corp fera avec ce paquet ?

Si vous avez dit : « Le paquet est arrivé sur l'interface FastEthernet 0/0, mais parce que la table de routage
n'affiche pas de route vers le réseau 192.168.22.0 (ou une route par défaut), le routeur rejettera le
paquet et renvoyer un message de destination ICMP inaccessible à l'interface FastEthernet
0/0 », tu es un génie ! La raison pour laquelle c'est la bonne réponse est parce que c'est le LAN source
d'où provient le paquet.

Voyons maintenant la figure suivante et parlons en détail des trames et des paquets. N'étaient pas
vraiment passer en revue quelque chose de nouveau ici; Je m'assure juste que vous totalement, complètement, complètement,
comprendre parfaitement le routage IP de base ! C'est le cœur de ce livre, et le sujet les objectifs de l'examen
sont orientés vers. Tout est une question de routage IP, ce qui signifie que vous devez être au courant de tout cela ! Bien
utilisez la figure 9.6 pour les quelques scénarios suivants.
FIGURE 9.6 Routage IP de base utilisant les adresses MAC et IP

En vous référant à la Figure 9.6 , voici une liste de toutes les réponses aux questions dont vous avez besoin inscrites dans votre
cerveau:

1. Afin de commencer à communiquer avec le serveur de vente, l'hôte 4 envoie une requête ARP.
Comment les appareils présentés dans la topologie répondront-ils à cette demande ?

2. L'hôte 4 a reçu une réponse ARP. L'hôte 4 va maintenant construire un paquet, puis place ce paquet dans le
Cadre. Quelles informations seront placées dans l'en-tête du paquet qui quitte l'hôte 4 si l'hôte
4 va communiquer avec le serveur Sales ?

3. Le routeur Lab_A a reçu le paquet et l'enverra Fa0/0 sur le LAN vers le

120

serveur. Qu'est-ce que la trame aura dans l'en-tête comme adresses source et destination ?
4. L'hôte 4 affiche deux documents Web du serveur de vente dans deux fenêtres de navigateur à la
en même temps. Comment les données se sont-elles retrouvées dans les bonnes fenêtres de navigateur ?

Ce qui suit devrait probablement être écrit dans une police minuscule et mis à l'envers dans une autre partie de
le livre, il serait donc très difficile pour vous de tricher et de jeter un coup d'œil, mais comme je ne suis pas si méchant et
vous avez vraiment besoin de noter cela, voici vos réponses dans le même ordre que les scénarios
viennent d'être présentés :

1. Afin de commencer à communiquer avec le serveur, l'hôte 4 envoie une requête ARP. Comment sera
les appareils présentés dans la topologie répondent à cette requête ? Étant donné que les adresses MAC doivent rester
sur le réseau local, le routeur Lab_B répondra avec l'adresse MAC du Fa0/0
l'interface et l'hôte 4 enverront toutes les trames à l'adresse MAC de l'interface Lab_B Fa0/0
lors de l'envoi de paquets au serveur de vente.

2. L'hôte 4 a reçu une réponse ARP. L'hôte 4 va maintenant construire un paquet, puis place ce paquet dans le
Cadre. Quelles informations seront placées dans l'en-tête du paquet qui quitte l'hôte 4 si l'hôte
4 va communiquer avec le serveur Sales ? Puisque nous parlons maintenant de paquets, non
trames, l'adresse source sera l'adresse IP de l'hôte 4 et l'adresse de destination sera
l'adresse IP du serveur de vente.

3. Enfin, le routeur Lab_A a reçu le paquet et l'enverra Fa0/0 sur le LAN


vers le serveur. Qu'est-ce que le cadre aura dans l'en-tête comme source et destination
adresses ? L'adresse MAC source sera l'interface Fa0/0 du routeur Lab_A, et le
l'adresse MAC de destination sera l'adresse MAC du serveur de vente car toutes les adresses MAC
doit être local sur le réseau local.

4. L'hôte 4 affiche deux documents Web du serveur de vente dans deux navigateurs différents
fenêtres en même temps. Comment les données se sont-elles retrouvées dans les bonnes fenêtres de navigateur ? TCP
les numéros de port sont utilisés pour diriger les données vers la fenêtre d'application appropriée.

Super! Mais nous n'avons pas encore tout à fait terminé. J'ai encore quelques questions à vous poser avant que vous n'obteniez
pour configurer le routage dans un réseau réel. Prêt? La figure 9.7 montre un réseau de base et l'hôte 4
doit recevoir un e-mail. Quelle adresse sera placée dans le champ d'adresse de destination du cadre
quand il quitte l'hôte 4 ?
FIGURE 9.7 Test des connaissances de base sur le routage

La réponse est que l'hôte 4 utilisera l'adresse MAC de destination de l'interface Fa0/0 sur le

Page 121

Routeur Lab_B, vous le saviez, n'est-ce pas ? Regardez à nouveau la figure 9.7 : et si l'hôte 4 doit
communiquer avec l'hôte 1—pas le serveur, mais avec l'hôte 1. Quelle adresse source OSI de couche 3
être trouvé dans l'en-tête du paquet lorsqu'il atteint l'hôte 1 ?

J'espère que vous avez ceci : à la couche 3, l'adresse IP source sera l'hôte 4 et la destination
l'adresse dans le paquet sera l'adresse IP de l'hôte 1. Bien sûr, l'adresse MAC de destination
de l'hôte 4 sera toujours l'adresse Fa0/0 du routeur Lab_B, n'est-ce pas ? Et puisque nous avons
plus d'un routeur, nous aurons besoin d'un protocole de routage qui communique entre les deux afin
que le trafic peut être transféré dans la bonne direction pour atteindre le réseau auquel l'hôte 1 est connecté
à.

D'accord, encore un scénario et vous êtes sur la bonne voie pour devenir une machine de routage IP ! Encore une fois, en utilisant
Figure 9.7 , l'hôte 4 transfère un fichier vers le serveur de messagerie connecté au routeur Lab_A. Quoi
serait l'adresse de destination de la couche 2 quittant l'hôte 4 ? Oui, j'ai posé cette question plus de
une fois que. Mais pas celle-ci : quelle sera l'adresse MAC source lorsque la trame sera reçue au
serveur de messagerie ?

J'espère que vous avez répondu que l'adresse de destination de la couche 2 quittant l'hôte 4 est l'adresse MAC
de l'interface Fa0/0 sur le routeur Lab_B et que l'adresse source de la couche 2 que l'email
serveur recevra est l'interface Fa0/0 du routeur Lab_A.

Si vous l'avez fait, vous êtes prêt à découvrir comment le routage IP est géré dans un environnement réseau plus vaste !

Configuration du routage IP
Il est temps de passer aux choses sérieuses et de configurer un vrai réseau. La figure 9.8 montre trois routeurs : Corp, SF,
et LA. N'oubliez pas que, par défaut, ces routeurs ne connaissent que les réseaux qui sont directement
connecté à eux. Je continuerai à utiliser ce chiffre et ce réseau dans le reste du
chapitres de ce livre. Au fur et à mesure que je progresse dans ce livre, j'ajouterai d'autres routeurs et commutateurs au fur et à mesure
nécessaire.

Page 122
FIGURE 9.8 Configuration du routage IP

Comme vous pouvez le deviner, j'ai une assez belle collection de routeurs avec lesquels nous pouvons jouer. Mais tu ne
besoin d'un placard rempli d'appareils pour exécuter la plupart, sinon la totalité, des commandes que nous utiliserons dans ce livre.
Vous pouvez vous en tirer avec à peu près n'importe quel routeur ou même avec un bon simulateur de routeur.

Pour reprendre les affaires, le routeur Corp dispose de deux interfaces série, qui fourniront un WAN
connexion au routeur SF et LA ainsi que deux interfaces Fast Ethernet. Les deux télécommandes
les routeurs ont deux interfaces série et deux interfaces Fast Ethernet.

La première étape de ce projet consiste à configurer correctement chaque routeur avec une adresse IP sur chaque
interface. La liste suivante montre le schéma d'adresse IP que je vais utiliser pour configurer le
réseau. Après avoir expliqué comment le réseau est configuré, j'expliquerai comment configurer le routage IP.
Faites attention aux masques de sous-réseau, ils sont importants ! Les réseaux locaux utilisent tous un masque /24, mais le
Les WAN utilisent un /30.

Société

Série 0/0 : 172.16.10.1/30

Série 0/1 : 172.16.10.5/30

Fa0/0 : 10.10.10.1/24

SF

S0/0/0 : 172.16.10.2/30

Fa0/0 : 192.168.10.1/24

123

LA

S0/0/0 : 172.16.10.6/30

Fa0/0 : 192.168.20.1/24

La configuration du routeur est vraiment un processus assez simple puisqu'il suffit d'ajouter l'IP
adresses à vos interfaces, puis effectuez un arrêt sans arrêt sur ces mêmes interfaces. ça devient un peu
plus complexe par la suite, mais pour l'instant, configurons les adresses IP dans le réseau.

Configuration de l'entreprise
Nous devons configurer trois interfaces pour configurer le routeur Corp. Et la configuration du
les noms d'hôte de chaque routeur faciliteront grandement l'identification. Pendant que nous y sommes, définissons le
les descriptions d'interface, la bannière et les mots de passe du routeur aussi, car c'est une très bonne idée de faire un
l'habitude de configurer ces commandes sur chaque routeur !

Pour commencer, j'ai effectué une effacement de configuration de démarrage sur le routeur et rechargé, nous allons donc commencer dans
Mode de configuration. J'ai choisi non lorsqu'on m'a demandé d'entrer en mode de configuration, ce qui nous amènera directement au
invite de nom d'utilisateur de la console. Je vais configurer tous mes routeurs de la même manière.

Voici à quoi ressemble ce que je viens de faire :


--- Boîte de dialogue de configuration du système ---
Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui/non] : n

Appuyez sur RETOUR pour commencer !


Routeur> fr
Routeur# config t
Routeur(config)# nom d'hôte Corp
Corp(config)# activer le secret GlobalNet
Corp(config)# pas de recherche de domaine IP
Corp(config)# int f0/0
Corp(config-if)# desc Connexion au réseau LAN BackBone
Corp(config-if)# adresse IP 10.10.10.1 255.255.255.0
Corp(config-if)# non fermé
Corp(config-if)# int s0/0
Corp(config-if)# desc connexion WAN à SF
Corp(config-if)# adresse IP 172.16.10.1 255.255.255.252
Corp(config-if)# non fermé
Corp(config-if)# int s0/1
Corp(config-if)# desc connexion WAN à LA
Corp(config-if)# adresse IP 172.16.10.5 255.255.255.252
Corp(config-if)# non fermé
Corp(config-if)# ligne con 0
Corp(config-line)# console de mot de passe
Corp(ligne de configuration)# journalisation
Corp(config-line)# synchronisation de la journalisation
Corp(ligne de configuration)# exit
Corp(config)# ligne vty 0 ?
<1-181> Numéro de la dernière ligne
<cr>
Corp(config)# ligne vty 0 181
Corp(config-line)# mot de passe telnet
Corp(ligne de configuration)# connexion
Corp(ligne de configuration)# exit
Corp(config)# banner motd # Ceci est mon routeur Corp #
Corp(config)# ^Z
Début de l'exécution de la copie Corp#
Nom du fichier de destination [startup-config] ?
Configuration du bâtiment...
[D'ACCORD]
Numéro de société [OK]

Parlons de la configuration du routeur Corp. Tout d'abord, j'ai défini le nom d'hôte et activé le secret,
mais qu'est-ce que c'est qu'aucune commande ip domain-lookup ? Cette commande empêche le routeur d'essayer de
résolvez les noms d'hôtes, ce qui est une fonctionnalité ennuyeuse à moins que vous n'ayez configuré une table d'hôtes ou un DNS.
Ensuite, j'ai configuré les trois interfaces avec des descriptions et des adresses IP et les ai activées avec
la commande no shutdown . Les mots de passe de la console et du VTY sont venus ensuite, mais qu'est-ce que cette journalisation
commande de synchronisation sous la ligne de console ? La commande logging synchronous arrête la console

124

messages d'écrire sur ce que vous tapez, ce qui signifie que c'est une commande d'économie d'esprit qui
tu finiras par aimer ! Enfin, j'ai mis ma bannière, puis j'ai enregistré mes configs.

Si vous avez du mal à comprendre ce processus de configuration, reportez-vous en arrière

au chapitre 6, « Système d'exploitation Internet de Cisco (IOS) ».

Pour afficher les tables de routage IP créées sur un routeur Cisco, utilisez la commande show ip route . Voici
le résultat de la commande :

Route d'expédition de l'entreprise #


Codes : L - local, C - connecté, S - statique, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP externe, O - OSPF, IA - interzone OSPF
N1 - OSPF NSSA externe type 1, N2 - OSPF NSSA externe type 2
E1 - OSPF externe type 1, E2 - OSPF externe type 2
i - IS-IS, su - IS-IS résumé, L1 - IS-IS niveau-1, L2 - IS-IS niveau-2
ia - IS-IS inter zone, * - candidat par défaut, U - route statique par utilisateur
o - ODR, P - route statique téléchargée périodique, H - NHRP, l - LISP
+ - route répliquée, % - remplacement du prochain saut
La passerelle de dernier recours n'est pas définie

10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux


C 10.10.10.0 est directement connecté, FastEthernet0/0
L 10.10.10.1/32 est directement connecté, FastEthernet0/0
Numéro d'entreprise

Il est important de se rappeler que seuls les réseaux configurés et connectés directement vont afficher
dans la table de routage. Alors pourquoi se fait-il que seule l'interface FastEthernet 0/0 s'affiche dans le
table? Pas de soucis, c'est juste parce que vous ne verrez pas les interfaces série apparaître avant l'autre
côté des liens sont opérationnels. Dès que nous configurons nos routeurs SF et LA, ces interfaces
devrait apparaître tout de suite !

Mais avez-vous remarqué le C sur le côté gauche de la sortie de la table de routage ? Quand tu vois ça
là, cela signifie que le réseau est directement connecté. Les codes pour chaque type de connexion sont
répertoriés en haut de la commande show ip route , avec leurs descriptions.

Par souci de concision, les codes en haut de la sortie seront coupés dans le reste de ce

chapitre.

Configuration SF
Nous sommes maintenant prêts à configurer le prochain routeur, SF. Pour que cela se produise correctement, gardez à l'esprit
que nous avons deux interfaces à gérer : Serial 0/0/0 et FastEthernet 0/0. Alors assurons-nous
nous n'oublions pas d'ajouter le nom d'hôte, les mots de passe, les descriptions d'interface et les bannières au routeur
configuration. Comme je l'ai fait avec le routeur Corp, j'ai effacé la configuration et rechargé depuis ce
routeur avait déjà été configuré auparavant.

Voici la configuration que j'ai utilisée :

R1# début d'effacement


% Commande incomplète.
R1 # effacer la configuration de démarrage
Effacer le système de fichiers nvram supprimera tous les fichiers de configuration !
Continuer? [confirmer] [entrer]
[D'ACCORD]
Effacement de nvram : terminé
R1# recharger
Continuer le rechargement ? [confirmer] [entrer]
[coupure de sortie]
%Erreur d'ouverture de tftp://255.255.255.255/network-confg (expiration du délai)
%Erreur d'ouverture de tftp://255.255.255.255/cisconet.cfg (expiration du délai)

--- Boîte de dialogue de configuration du système ---

125

Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui/non] : n

Avant de continuer, parlons une seconde de cette sortie. Tout d'abord, notez qu'en commençant par IOS
12.4, les routeurs ISR ne prendront plus la commande delete start . Le routeur n'a qu'une seule commande
après effacement qui commence par s , comme indiqué ici :

Routeur# effacer s?
configuration de démarrage

Je sais, on pourrait penser que l'IOS continuerait à accepter la commande, mais non, désolé ! Les
La deuxième chose que je veux souligner est que la sortie nous indique que le routeur recherche un hôte TFTP pour
voir s'il peut télécharger une configuration. En cas d'échec, il passe directement en mode configuration. Cela donne
vous avez une excellente image de la séquence de démarrage par défaut du routeur Cisco dont nous avons parlé au chapitre 7,
« Gestion d'un interréseau Cisco ».

Revenons à la configuration de notre routeur :

Appuyez sur RETOUR pour commencer !


Routeur# config t
Routeur(config)# nom d'hôte SF
SF(config)# activer le secret GlobalNet
SF(config)# pas de recherche de domaine IP
SF(config)# int s0/0/0
SF(config-if)# desc Connexion WAN à la société
SF(config-if)# adresse IP 172.16.10.2 255.255.255.252
SF(config-if)# non fermé
SF(config-if)# fréquence d'horloge 1000000
SF(config-if)# int f0/0
SF(config-if)# desc SF LAN
SF (config-if) # adresse ip 192.168.10.1 255.255.255.0
SF(config-if)# non fermé
SF(config-if)# ligne avec 0
SF(config-line)# console de mot de passe
SF(config-line)# connexion
SF(config-line)# synchronisation de la journalisation
SF(ligne de configuration)# sortie
SF(config)#ligne vty 0 ?
<1-1180> Numéro de la dernière ligne
<cr>
SF(config)# ligne vty 0 1180
SF(config-line)# mot de passe telnet
SF(config-line)# connexion
SF(config-line)# banner motd #Ceci est le routeur de la branche SF#
SF(config)# sortie
Lancement de l' exécution de la copie SF#
Nom du fichier de destination [startup-config] ?
Configuration du bâtiment...
[D'ACCORD]

Jetons un œil à notre configuration des interfaces avec les deux commandes suivantes :

SF # sh exécuter | commencer int


interface FastEthernet0/0
description SF LAN
adresse IP 192.168.10.1 255.255.255.0
recto-verso automatique
vitesse automatique
!
interface FastEthernet0/1
pas d'adresse ip
fermer
recto-verso automatique
vitesse automatique
!
interface Série0/0/0
description Connexion WAN à la société
adresse IP 172.16.10.2 255.255.255.252
fréquence d'horloge 1000000
!
SF# expédition brève
Interface Adresse IP OK ? État de la méthode Protocole
FastEthernet0/0 192.168.10.1 OUI manuel up en haut
FastEthernet0/1 unassigned OUI unset administrativement down down

Page 126

Série0/0/0 172.16.10.2 OUI manuel haut en haut


Série0/0/1 non affecté OUI non configuré administrativement inactif inactif
SF#

Maintenant que les deux extrémités de la liaison série sont configurées, la liaison est établie. Rappelez-vous, le haut/haut
l'état des interfaces sont des indicateurs d'état de la couche Physique/Liaison de données qui ne reflètent pas la couche
3 statuts ! Je demande aux élèves de mes cours : « Si le lien s'affiche, pouvez-vous envoyer un ping directement au
réseau connecté ?” Et ils disent : « Oui ! » La bonne réponse est « Je ne sais pas », parce que nous
ne peut pas voir l'état de la couche 3 avec cette commande. Nous ne voyons que les couches 1 et 2 et vérifions que l'IP
les adresses n'ont pas de faute de frappe. C'est vraiment important à comprendre !

La commande show ip route pour le routeur SF révèle ce qui suit :

SF # itinéraire de navigation
C 192.168.10.0/24 est directement connecté, FastEthernet0/0
L 192.168.10.1/32 est directement connecté, FastEthernet0/0
172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.0 est directement connecté, Serial0/0/0
L 172.16.10.2/32 est directement connecté, Serial0/0/0

Notez que le routeur SF sait comment accéder aux réseaux 172.16.10.0/30 et 192.168.10.0/24 ; nous
peut maintenant envoyer un ping au routeur Corp depuis SF :

SF# ping 172.16.10.1

Tapez la séquence d'échappement pour abandonner.


Envoi de 5 échos ICMP de 100 octets à 172.16.10.1, le délai d'attente est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max = 1/3/4 ms

Revenons maintenant au routeur Corp et vérifions la table de routage :

Corp> itinéraire d'expédition


172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.0 est directement connecté, Serial0/0
L 172.16.10.1/32 est directement connecté, Serial0/0
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
C 10.10.10.0 est directement connecté, FastEthernet0/0
L 10.10.10.1/32 est directement connecté, FastEthernet0/0

Sur l'interface série 0/0/0 du routeur SF se trouve une connexion DCE, ce qui signifie qu'une fréquence d'horloge doit
être défini sur l'interface. N'oubliez pas que vous n'avez pas besoin d'utiliser la commande clock rate dans
production. Bien que cela soit vrai, il est toujours impératif que vous sachiez comment/quand vous pouvez l'utiliser et que vous
comprenez-le très bien lorsque vous préparez votre examen CCNA !

Nous pouvons voir notre synchronisation avec la commande show controllers :

SF# sh contrôleurs s0/0/0


Interface Série0/0/0
Le matériel est GT96K
DCE V.35, fréquence d'horloge 1000000

Corp> sh contrôleurs s0/0


Interface Série0/0
Le matériel est PowerQUICC MPC860
Horloges DTE V.35 TX et RX détectées.

Étant donné que le routeur SF dispose d'une connexion par câble DCE, j'ai dû ajouter une fréquence d'horloge à cette interface
parce que le DTE reçoit l'horloge. Gardez à l'esprit que les nouveaux routeurs ISR détecteront automatiquement cela et définiront
la fréquence d'horloge à 2000000. Et vous devez toujours vous assurer que vous êtes en mesure de trouver une interface qui est
DCE et régler le pointage pour atteindre les objectifs.

Puisque les liaisons série apparaissent, nous pouvons maintenant voir les deux réseaux dans la table de routage Corp.
Et une fois que nous aurons configuré LA, nous verrons un réseau de plus dans la table de routage du routeur Corp.
Le routeur Corp ne peut pas voir le réseau 192.168.10.0 car nous n'avons aucun routage
configuré pour le moment : les routeurs ne voient que les réseaux directement connectés par défaut.

Configuration LA
Pour configurer LA, nous allons faire à peu près la même chose que nous avons fait avec les deux autres routeurs.

Page 127

Il y a deux interfaces à gérer, Serial 0/0/1 et FastEthernet 0/0, et encore une fois, nous serons sûrs
pour ajouter le nom d'hôte, les mots de passe, les descriptions d'interface et une bannière à la configuration du routeur :

Routeur(config)# nom d'hôte LA


LA(config)# activer le secret GlobalNet
LA(config)# pas de recherche de domaine IP
LA(config)# int s0/0/1
LA(config-if)# adresse IP 172.16.10.6 255.255.255.252
LA(config-if)# non fermé
LA(config-if)# fréquence d'horloge 1000000
LA(config-if)# description WAN vers entreprise
LA(config-if)# int f0/0
LA(config-if)# adresse IP 192.168.20.1 255.255.255.0
LA(config-if)# non fermé
LA(config-if)# description LA LAN
LA(config-if)# ligne con 0
LA(config-line)# console de mot de passe
LA(ligne de configuration)# connexion
LA (ligne de configuration) # synchronisation de la journalisation
LA(ligne de configuration)# sortie
LA(config)# ligne vty 0 ?
<1-1180> Numéro de la dernière ligne
<cr>
LA(config)# ligne vty 0 1180
LA(ligne de configuration)# mot de passe telnet
LA(ligne de configuration)# connexion
LA(ligne de configuration)# sortie
LA(config)# banner motd #This is my LA Router#
LA(config)# sortie
LA# début de l'exécution de la copie
Nom du fichier de destination [startup-config] ?
Configuration du bâtiment...
[D'ACCORD]
Bien, tout était assez simple. La sortie suivante, que j'ai obtenue via le show ip
commande route , affiche les réseaux directement connectés de 192.168.20.0 et 172.16.10.0 :
itinéraire de navire LA#
172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.6/32 est directement connecté, Serial0/0/1
C 192.168.20.0/24 est directement connecté, FastEthernet0/0
L 192.168.20.1/32 est directement connecté, FastEthernet0/0

Alors maintenant que nous avons configuré les trois routeurs avec des adresses IP et des fonctions administratives, nous
peut passer à la gestion du routage. Mais je veux faire une autre chose sur les routeurs SF et LA—
puisqu'il s'agit d'un très petit réseau, construisons un serveur DHCP sur le routeur Corp pour chaque réseau local.

Configuration de DHCP sur notre routeur Corp

S'il est vrai que je pourrais aborder cette tâche en allant sur chaque routeur distant et en créant un pool,
pourquoi s'embêter avec tout ça quand je peux facilement créer deux pools sur le routeur Corp et avoir le
les routeurs distants transmettent les requêtes au routeur Corp ? Bien sûr, vous vous souvenez comment faire cela
du chapitre 7 !

Essayons :

Corp# config t
Corp(config)# ip dhcp exclu-adresse 192.168.10.1
Corp(config)# ip dhcp exclu-adresse 192.168.20.1
Corp(config)# ip dhcp pool SF_LAN
Corp(dhcp-config)# réseau 192.168.10.0 255.255.255.0
Corp(dhcp-config)# routeur par défaut 192.168.10.1
Corp(dhcp-config)# dns-server 4.4.4.4
Corp(dhcp-config)# sortie
Corp(config)# ip dhcp pool LA_LAN
Corp(dhcp-config)# réseau 192.168.20.0 255.255.255.0
Corp(dhcp-config)# routeur par défaut 192.168.20.1
Corp(dhcp-config)# dns-server 4.4.4.4
Corp(dhcp-config)# sortie
Corp(config)# sortie

Page 128

Début de l'exécution de la copie Corp#


Nom du fichier de destination [startup-config] ?
Configuration du bâtiment...

La création de pools DHCP sur un routeur est en fait un processus simple, et vous
configuration de la même manière sur n'importe quel routeur auquel vous souhaitez ajouter un pool DHCP. Pour désigner un routeur
en tant que serveur DHCP, vous créez simplement le nom du pool, ajoutez le réseau/sous-réseau et la valeur par défaut
passerelle, puis excluez toutes les adresses que vous ne souhaitez pas distribuer. Vous voulez absolument
assurez-vous que vous avez exclu l'adresse de passerelle par défaut et que vous ajoutez généralement un serveur DNS en tant que
bien. J'ajoute toujours les exclusions en premier et n'oubliez pas que vous pouvez facilement exclure une plage
d'adresses sur une seule ligne. Bientôt, je vais vous montrer les commandes de vérification que j'ai promis de
vous montrer au chapitre 7, mais d'abord, nous devons comprendre pourquoi le routeur Corp ne peut toujours pas accéder à
les réseaux distants par défaut !

Maintenant, je suis presque sûr d'avoir correctement configuré DHCP, mais j'ai juste ce sentiment persistant que j'ai oublié
quelque chose d'important. Qu'est-ce que cela pourrait être? Eh bien, les hôtes sont distants via un routeur, alors quoi
aurais-je besoin de faire cela leur permettrait d'obtenir une adresse d'un serveur DHCP ? Si tu
conclu que je dois configurer les interfaces SF et LA F0/0 pour transférer le client DHCP
requêtes au serveur, vous l'avez compris !

Voici comment nous procéderions :

LA# config t
LA(config)# int f0/0
LA(config-if)# ip helper-address 172.16.10.5

SF# config t
SF(config)# int f0/0
SF(config-if)# ip helper-address 172.16.10.1

Je suis presque sûr d'avoir fait cela correctement, mais nous ne le saurons pas avant d'avoir un certain type de routage
configuré et fonctionnel. Alors allons-y ensuite !

Configuration du routage IP dans notre réseau


Alors, notre réseau est-il vraiment prêt à partir ? Après tout, je l'ai configuré avec l'adressage IP,
fonctions administratives, et même la synchronisation qui se produira automatiquement avec les routeurs ISR.
Mais comment nos routeurs enverront-ils des paquets aux réseaux distants lorsqu'ils auront leur destination
informations en examinant leurs tableaux qui ne contiennent que des instructions sur les
réseaux ? Et vous savez que les routeurs rejettent rapidement les paquets qu'ils reçoivent avec des adresses pour
réseaux qui ne sont pas répertoriés dans leur table de routage !

Nous ne sommes donc pas vraiment prêts à basculer après tout. Mais nous le serons bientôt car il y a plusieurs façons de
configurer les tables de routage pour inclure tous les réseaux dans notre petit interréseau afin que les paquets
sera correctement transmis. Comme d'habitude, une taille unique convient rarement du tout, et ce qui est mieux pour un
réseau n'est pas nécessairement ce qu'il y a de mieux pour un autre. C'est pourquoi comprendre les différents types de
le routage sera vraiment utile pour choisir la meilleure solution pour votre environnement spécifique et
besoins de l'entreprise.

Voici les trois méthodes de routage que je vais aborder avec vous :

Routage statique
Routage par défaut
Routage dynamique

Nous allons commencer par la première méthode et implémenter le routage statique sur notre réseau, car si
vous pouvez implémenter le routage statique et le faire fonctionner, vous avez démontré que vous
avoir une solide compréhension de l'interréseau. Alors, commençons.

Routage statique
Le routage statique est le processus qui s'ensuit lorsque vous ajoutez manuellement des routes dans le routage de chaque routeur

Page 129

table. Comme on pouvait s'y attendre, il y a des avantages et des inconvénients au routage statique, mais c'est vrai pour tous les routages
approches.

Voici les avantages :

Il n'y a pas de surcharge sur le processeur du routeur, ce qui signifie que vous pourriez probablement vous contenter d'un
routeur moins cher que ce dont vous auriez besoin pour le routage dynamique.

Il n'y a pas d'utilisation de bande passante entre les routeurs, ce qui vous permet d'économiser de l'argent sur les liaisons WAN ainsi que sur
minimisant les frais généraux sur le routeur puisque vous n'utilisez pas de protocole de routage.

Cela ajoute de la sécurité car vous, l'administrateur, pouvez être très exclusif et choisir d'autoriser
routage de l'accès à certains réseaux uniquement.

Et voici les inconvénients :

Quel que soit l'administrateur, il doit avoir une connaissance approfondie de l'interréseau et de la façon dont
chaque routeur est connecté afin de configurer correctement les routes. Si vous n'avez pas de bon,
carte précise de votre interréseau, les choses vont vite devenir très compliquées !

Si vous ajoutez un réseau à l'interréseau, vous devez péniblement y ajouter une route sur tous les routeurs
à la main, ce qui devient de plus en plus insensé à mesure que le réseau se développe.

En raison de ce dernier point, il n'est tout simplement pas possible de l'utiliser dans la plupart des grands réseaux car le maintien
ce serait un travail à temps plein en soi.

Mais cette liste d'inconvénients ne signifie pas que vous ne devez pas tout apprendre à ce sujet principalement à cause de ce premier
inconvénient que j'ai énuméré - le fait que vous devez avoir une si solide compréhension d'un réseau pour
le configurer correctement et que vos connaissances administratives doivent pratiquement frôler le
surnaturel! Alors plongeons et développons ces compétences. Commençant par le début, voici le
syntaxe de commande que vous utilisez pour ajouter une route statique à une table de routage à partir de la configuration globale :

ip route [destination_network] [mask] [next-hop_address ou


interface de sortie] [distance_administrative] [permanent]

Cette liste décrit chaque commande de la chaîne :

ip route La commande utilisée pour créer la route statique.

destination_network Le réseau que vous placez dans la table de routage.

mask Le masque de sous-réseau utilisé sur le réseau.

next-hop_address Il
s'agit de l'adresse IP du routeur du prochain saut qui recevra les paquets et
les transmettre au réseau distant, ce qui doit signifier une interface de routeur qui est directement sur un
réseau connecté. Vous devez être en mesure d'envoyer un ping à l'interface du routeur avant de pouvoir
ajouter l'itinéraire. Remarque importante pour moi-même : si vous saisissez la mauvaise adresse de saut suivant ou le
l'interface vers le bon routeur est en panne, la route statique apparaîtra dans la configuration du routeur
mais pas dans la table de routage.

exitinterface Utilisé
à la place de l'adresse du saut suivant si vous le souhaitez, et s'affiche directement
itinéraire connecté.

administrative_distance Par
défaut, les routes statiques ont une distance administrative de 1 ou 0 si vous
utilisez une interface de sortie au lieu d'une adresse de saut suivant. Vous pouvez modifier la valeur par défaut en ajoutant
un poids administratif en fin de commande. J'en parlerai beaucoup plus tard dans le
chapitre lorsque nous arrivons à la section sur le routage dynamique.

permanente Si
l'interface est arrêté ou le routeur ne peut pas communiquer au routeur suivant-hop, la
route sera automatiquement supprimé de la table de routage par défaut. Choisir la permanente
L'option conserve l'entrée dans la table de routage quoi qu'il arrive.

Avant de vous guider dans la configuration des routes statiques, examinons un exemple de route statique vers
voir ce qu'on peut en savoir :

Routeur(config)# ip route 172.16.3.0 255.255.255.0 192.168.2.4

La commande ip route nous dit simplement qu'il s'agit d'une route statique.

Page 130

172.16.3.0 est le réseau distant auquel nous voulons envoyer des paquets.

255.255.255.0 est le masque du réseau distant.

192.168.2.4 est le prochain saut, ou routeur, auquel les paquets seront envoyés.
Mais que se passe-t-il si la route statique ressemble à ceci à la place ?

Router (config) # ip route 172.16.3.0 255.255.255.0 192.168.2.4 150

Ce 150 à la fin change la distance administrative (AD) par défaut de 1 à 150. Comme je l'ai dit, je vais
parler beaucoup plus d'AD lorsque nous entrons dans le routage dynamique, mais pour l'instant, n'oubliez pas que le
AD est la fiabilité d'un itinéraire, où 0 est le meilleur et 255 est le pire.

Un autre exemple, puis nous allons commencer la configuration :

Router (config) # ip route 172.16.3.0 255.255.255.0 s0 / 0/0

Au lieu d'utiliser une adresse de saut suivant, nous pouvons utiliser une interface de sortie qui fera apparaître la route
comme un réseau directement connecté. Fonctionnellement, l'interface de saut suivant et de sortie fonctionne exactement comme
même.

Pour vous aider à comprendre le fonctionnement des routes statiques, je vais vous montrer la configuration sur le
l'interréseau illustré précédemment à la figure 9.8 . Le voici à nouveau dans la figure 9.9 pour vous éviter la peine
d'avoir à faire des allers-retours pour voir la même figure.

FIGURE 9.9 Notre interréseau

Société

Page 131

Chaque table de routage inclut automatiquement les réseaux directement connectés. Pour être en mesure d'acheminer vers tous
réseaux indirectement connectés au sein de l'interréseau, la table de routage doit inclure
informations qui décrivent où se trouvent ces autres réseaux et comment y accéder.

Le routeur Corp est connecté à trois réseaux. Pour que le routeur Corp puisse router vers tous
réseaux, les réseaux suivants doivent être configurés dans sa table de routage :

192.168.10.0

192.168.20.0

La sortie de routeur suivante montre les routes statiques sur le routeur Corp et la table de routage après
la config. Pour que le routeur Corp trouve les réseaux distants, je devais placer une entrée dans
la table de routage décrivant le réseau distant, le masque distant, et où envoyer le
paquets. Je vais ajouter un 150 à la fin de chaque ligne pour augmenter la distance administrative. Vous allez
voir pourquoi bientôt lorsque nous arrivons au routage dynamique. Souvent, cela est également appelé flotteur
route statique car la route statique a une distance administrative plus élevée que n'importe quel routage
protocole et ne sera utilisé que si les routes trouvées avec les protocoles de routage tombent en panne. Ici se trouve le
sortir:

Corp# config t
Corp(config)# ip route 192.168.10.0 255.255.255.0 172.16.10.2 150
Corp(config)# ip route 192.168.20.0 255.255.255.0 s0/1 150
Corp(config)# affiche l'exécution | commencer la route ip
route IP 192.168.10.0 255.255.255.0 172.16.10.2 150
ip route 192.168.20.0 255.255.255.0 Serial0/1 150

J'avais besoin d'utiliser des chemins différents pour les réseaux 192.168.10.0 et 192.168.20.0, j'ai donc utilisé un saut suivant
adresse pour le routeur SF et une interface de sortie pour le routeur LA. Une fois que le routeur a été
configuré, vous pouvez simplement taper show ip route pour voir les routes statiques :

Corp(config)# affiche la route IP


S 192.168.10.0/24 [150/0] via 172.16.10.2
172.16.0.0/30 est divisé en sous-réseaux, 2 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/1
L 172.16.10.5/32 est directement connecté, Serial0/1
C 172.16.10.0 est directement connecté, Serial0/0
L 172.16.10.1/32 est directement connecté, Serial0/0
S 192.168.20.0/24 est directement connecté, Serial0/1
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
C 10.10.10.0 est directement connecté, FastEthernet0/0
L 10.10.10.1/32 est directement connecté, FastEthernet0/0

Le routeur Corp est configuré pour acheminer et connaître toutes les routes vers tous les réseaux. Mais pouvez-vous voir un
différence dans la table de routage pour les routes vers SF et LA ? C'est exact! Le prochain saut
la configuration s'est présentée comme via, et la route configurée avec une configuration d'interface de sortie
apparaît comme statique mais aussi comme directement connecté ! Cela montre comment ils sont fonctionnellement
le même mais s'affichera différemment dans la table de routage.

Comprenez que si les routes n'apparaissent pas dans la table de routage, c'est parce que le routeur ne peut pas
communiquer avec l'adresse de saut suivant que vous avez configurée. Mais vous pouvez toujours utiliser le permanent
paramètre pour conserver la route dans la table de routage même si le périphérique du saut suivant ne peut pas être contacté.

Le S dans la première entrée de la table de routage signifie que la route est une entrée statique. Le [150/0] signifie
la distance administrative et la métrique au réseau distant, respectivement.

D'accord, nous allons bien. Le routeur Corp dispose désormais de toutes les informations nécessaires pour communiquer avec le
d'autres réseaux distants. Cependant, gardez à l'esprit que si les routeurs SF et LA ne sont pas configurés avec tous
les mêmes informations, les paquets seront rejetés. Nous pouvons résoudre ce problème en configurant des routes statiques.

Ne vous souciez pas du tout des 150 à la fin de la configuration de la route statique,

parce que je promets d'y arriver très bientôt dans ce chapitre, pas un plus tard ! Vous n'avez vraiment pas
besoin de s'en soucier à ce stade.

132

SF

Le routeur SF est directement connecté aux réseaux 172.16.10.0/30 et 192.168.10.0/24, qui


signifie que je dois configurer les routes statiques suivantes sur le routeur SF :

10.10.10.0/24

192.168.20.0/24

172.16.10.4/30

La configuration du routeur SF est révélée dans la sortie suivante. N'oubliez pas que nous allons
ne jamais créer de route statique vers un réseau auquel nous sommes directement connectés ainsi que le fait que nous
doit utiliser le prochain saut de 172.16.10.1 car c'est notre seule connexion de routeur. Voyons le
commandes :

SF(config)# ip route 10.10.10.0 255.255.255.0 172.16.10.1 150


SF(config)# itinéraire IP 172.16.10.4 255.255.255.252 172.16.10.1 150
SF(config)# itinéraire IP 192.168.20.0 255.255.255.0 172.16.10.1 150
SF(config)# affiche l'exécution | commencer la route ip
route IP 10.10.10.0 255.255.255.0 172.16.10.1 150
route IP 172.16.10.4 255.255.255.252 172.16.10.1 150
route IP 192.168.20.0 255.255.255.0 172.16.10.1 150

En regardant la table de routage, vous pouvez voir que le routeur SF comprend maintenant comment trouver chaque
réseau:

SF(config)# affiche la route IP


C 192.168.10.0/24 est directement connecté, FastEthernet0/0
L 192.168.10.1/32 est directement connecté, FastEthernet0/0
172.16.0.0/30 est divisé en sous-réseaux, 3 sous-réseaux
S 172.16.10.4 [150/0] via 172.16.10.1
C 172.16.10.0 est directement connecté, Serial0/0/0
L 172.16.10.2/32 est directement connecté, Serial0/0
S 192.168.20.0/24 [150/0] via 172.16.10.1
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
S 10.10.10.0 [150/0] via 172.16.10.1

Et nous pouvons maintenant être assurés que le routeur SF dispose également d'une table de routage complète. Aussitôt que
le routeur LA a tous les réseaux dans sa table de routage, SF pourra communiquer avec tous
réseaux distants !

LA

Le routeur LA est directement connecté à 192.168.20.0/24 et 172.16.10.4/30, ce sont donc les


itinéraires qui doivent être ajoutés :

10.10.10.0/24

172.16.10.0/30

192.168.10.0/24

Et voici la configuration du routeur LA :

LA# config t
LA(config)# ip route 10.10.10.0 255.255.255.0 172.16.10.5 150
LA(config)# itinéraire IP 172.16.10.0 255.255.255.252 172.16.10.5 150
LA(config)# itinéraire IP 192.168.10.0 255.255.255.0 172.16.10.5 150
LA(config)# affiche l'exécution | commencer la route ip
ip route 10.10.10.0 255.255.255.0 172.16.10.5 150
route IP 172.16.10.0 255.255.255.252 172.16.10.5 150
route IP 192.168.10.0 255.255.255.0 172.16.10.5 150

Cette sortie affiche la table de routage sur le routeur LA :

LA(config)# faire la route IP


S 192.168.10.0/24 [150/0] via 172.16.10.5
172.16.0.0/30 est divisé en sous-réseaux, 3 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.6/32 est directement connecté, Serial0/0/1
S 172.16.10.0 [150/0] via 172.16.10.5
C 192.168.20.0/24 est directement connecté, FastEthernet0/0

Page 133

L 192.168.20.1/32 est directement connecté, FastEthernet0/0


10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
S 10.10.10.0 [150/0] via 172.16.10.5

LA affiche désormais les cinq réseaux de l'interréseau, de sorte qu'il peut également communiquer avec tous
routeurs et réseaux. Mais avant de tester notre petit réseau, ainsi que notre serveur DHCP, allons
couvrir un autre sujet.

Routage par défaut


Les routeurs SF et LA que j'ai connectés au routeur Corp sont considérés comme des routeurs stub. Un talon
indique que les réseaux de cette conception n'ont qu'une seule issue pour atteindre tous les autres réseaux,
ce qui signifie qu'au lieu de créer plusieurs routes statiques, nous pouvons simplement utiliser une seule route par défaut.
Cette route par défaut est utilisée par IP pour transférer tout paquet avec une destination introuvable dans le routage
table, c'est pourquoi on l'appelle aussi passerelle de dernier recours. Voici la configuration que je pourrais avoir
fait sur le routeur LA au lieu de taper les routes statiques en raison de son statut de stub :

LA# config t
LA(config)# pas de route IP 10.10.10.0 255.255.255.0 172.16.10.5 150
LA(config)# pas de route IP 172.16.10.0 255.255.255.252 172.16.10.5 150
LA(config)# pas de route IP 192.168.10.0 255.255.255.0 172.16.10.5 150
LA(config)# itinéraire ip 0.0.0.0 0.0.0.0 172.16.10.5
LA(config)# faire la route IP
[coupure de sortie]
La passerelle de dernier recours est 172.16.10.5 vers le réseau 0.0.0.0
172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.6/32 est directement connecté, Serial0/0/1
C 192.168.20.0/24 est directement connecté, FastEthernet0/0
L 192.168.20.0/32 est directement connecté, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 172.16.10.5

D'accord, j'ai supprimé toutes les routes statiques initiales que j'avais configurées, et l'ajout d'une route par défaut est un
beaucoup plus facile que de taper un tas de routes statiques ! Pouvez-vous voir l'itinéraire par défaut répertorié en dernier dans le
table de routage? Le S* le montre en tant que candidat pour la route par défaut. Et je veux vraiment que tu
notez que la passerelle de dernier recours est désormais également définie. Tout ce que le routeur reçoit avec un
destination non trouvée dans la table de routage sera transmise au 172.16.10.5. Vous devez être
attention où vous placez les routes par défaut car vous pouvez facilement créer une boucle de réseau !

Nous y sommes donc, nous avons configuré toutes nos tables de routage ! Tous les routeurs ont le bon routage
table, de sorte que tous les routeurs et hôtes devraient pouvoir communiquer sans accroc, pour le moment. Mais si tu
ajouter encore un réseau ou un autre routeur à l'interréseau, vous devrez mettre à jour chacun
et les tables de routage de chaque routeur à la main—pouah ! Pas vraiment un problème du tout si vous avez un petit
réseau comme nous le faisons, mais ce serait un monstre chronophage si vous avez affaire à un grand
interréseau !

Vérification de votre configuration

Mais nous n'avons pas encore terminé : une fois que toutes les tables de routage des routeurs sont configurées, elles doivent être vérifiées.
La meilleure façon de le faire, en plus d'utiliser la commande show ip route , est via Ping. je vais commencer par ping
du routeur Corp au routeur SF.

Voici le résultat que j'ai obtenu :

Corp# ping 192.168.10.1


Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 192.168.10.1, le délai d'attente est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max = 4/4/4 ms
Numéro d'entreprise

Ici, vous pouvez voir que j'ai envoyé un ping du routeur Corp à l'interface distante du routeur SF.
Maintenant, pingons le réseau distant sur le routeur LA, et après cela, nous testerons notre serveur DHCP
et regarde si ça marche aussi !

Corp# ping 192.168.20.1


Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 192.168.20.1, le délai d'attente est de 2 secondes :

Page 134

!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max = 1/2/4 ms
Numéro d'entreprise

Et pourquoi ne pas tester ma configuration du serveur DHCP sur le routeur Corp pendant qu'on y est ? je suis
va aller à chaque hôte sur les routeurs SF et LA et en faire des clients DHCP. D'ailleurs, je suis
utiliser un ancien routeur pour représenter les « hôtes », ce qui fonctionne très bien à des fins d'étude.
Voici comment j'ai fait ça :

SF_PC(config)# int e0
SF_PC(config-if)# adresse ip dhcp
SF_PC(config-if)# non fermé
Interface Ethernet0 attribuée adresse DHCP 192.168.10.8, masque 255.255.255.0
LA_PC(config)# int e0
LA_PC(config-if)# adresse ip dhcp
LA_PC(config-if)# pas de fermeture
Interface Ethernet0 affectée à l'adresse DHCP 192.168.20.4, masque 255.255.255.0

Joli! N'aimez-vous pas quand les choses fonctionnent juste la première fois ? Malheureusement, ce n'est tout simplement pas réaliste
attentes dans le monde des réseaux, nous devons donc être en mesure de dépanner et de vérifier nos
réseaux. Vérifions notre serveur DHCP avec quelques-unes des commandes que vous avez apprises au chapitre
7:

Liaison dhcp d'expédition de la société #


Liaisons de tous les pools non associés à VRF :
adresse IP Identité du client/ Échéance du bail Taper
Adresse matérielle/
Nom d'utilisateur
192.168.10.8 0063.6973.636f.2d30. 16 sept. 2013 10:34 AM Automatique
3035.302e.3062.6330.
2e30.3063.632d.4574.
30
192.168.20.4 0063.6973.636f.2d30. 16 sept. 2013 10:46 AM Automatique
3030.322e.3137.3632.
2e64.3032.372d.4574.
30

On voit plus haut que notre petit serveur DHCP fonctionne ! Essayons un autre couple de
commandes :

Corp# expédition pool dhcp SF_LAN


Piscine SF_LAN :
Note d'utilisation (haut/bas) : 100 / 0
Taille du sous-réseau (premier/suivant) : 0 / 0
Nombre total d'adresses : 254
Adresses louées :3
Événement en attente : rien
1 sous-réseau est actuellement dans le pool :
Indice actuel Plage d'adresses IP Adresses louées
192.168.10.9 192.168.10.1 - 192.168.10.254 3

Conflit dhcp d'expédition de la société #


adresse IP Méthode de détection Temps de détection DRV

La dernière commande nous dirait si nous avions deux hôtes avec la même adresse IP, donc c'est une bonne nouvelle
car il n'y a pas de conflits signalés ! Deux méthodes de détection sont utilisées pour le confirmer :

Un ping du serveur DHCP pour s'assurer qu'aucun autre hôte ne répond avant de distribuer un
adresse

Un ARP gratuit d'un hôte qui reçoit une adresse DHCP du serveur

Le client DHCP enverra une requête ARP avec sa nouvelle adresse IP cherchant à voir si quelqu'un
répond, et si c'est le cas, il signalera le conflit au serveur.

D'accord, puisque nous pouvons communiquer de bout en bout et avec chaque hôte sans problème pendant que
recevoir des adresses DHCP de notre serveur, je dirais nos configurations de routes statiques et par défaut
ont été un succès — bravo !

Routage dynamique

135

Le routage dynamique se produit lorsque des protocoles sont utilisés pour rechercher des réseaux et mettre à jour les tables de routage sur
routeurs. C'est beaucoup plus facile que d'utiliser le routage statique ou par défaut, mais cela vous coûtera en termes de
traitement CPU du routeur et bande passante sur les liaisons réseau. Un protocole de routage définit l'ensemble des
règles utilisées par un routeur lorsqu'il communique des informations de routage entre des routeurs voisins.

Le protocole de routage dont je vais parler dans ce chapitre est le protocole d'information de routage
(RIP) versions 1 et 2.

Deux types de protocoles de routage sont utilisés dans les interréseaux : les protocoles de passerelle intérieure (IGP) et
protocoles de passerelle extérieure (EGP) . Les IGP sont utilisés pour échanger des informations de routage avec les routeurs
dans le même système autonome (AS) . Un AS est soit un réseau unique, soit un ensemble de réseaux
sous un domaine administratif commun, ce qui signifie essentiellement que tous les routeurs partageant le même
Les informations de table de routage sont dans le même AS. Les EGP sont utilisés pour communiquer entre les AS. Un
un exemple d'EGP est le Border Gateway Protocol (BGP), dont nous n'allons pas nous occuper
car cela dépasse le cadre de ce livre.

Étant donné que les protocoles de routage sont si essentiels au routage dynamique, je vais vous donner les bases
informations que vous devez connaître à leur sujet ensuite. Plus loin dans ce chapitre, nous nous concentrerons sur
configuration.

Principes de base du protocole de routage


Il y a des choses importantes que vous devez savoir sur les protocoles de routage avant d'aller plus loin
dans le routage RIP. Connaître les distances administratives et les trois différents types de
protocoles de routage, par exemple. Nous allons jeter un coup d'oeil.

Distances administratives

La distance administrative (AD) est utilisée pour évaluer la fiabilité des informations de routage
reçu sur un routeur d'un routeur voisin. Une distance administrative est un nombre entier de 0 à
255, où 0 est le plus fiable et 255 signifie qu'aucun trafic ne sera transmis via cette route.

Si un routeur reçoit deux mises à jour répertoriant le même réseau distant, la première chose que le routeur vérifie
est l'AD. Si l'une des routes annoncées a un AD inférieur à l'autre, alors la route avec le
AD le plus bas sera choisi et placé dans la table de routage.

Si les deux routes annoncées vers le même réseau ont le même AD, alors les métriques du protocole de routage
comme le nombre de sauts et/ou la bande passante des lignes seront utilisés pour trouver le meilleur chemin vers la télécommande
réseau. La route annoncée avec la métrique la plus basse sera placée dans la table de routage, mais si
les deux routes annoncées ont le même AD ainsi que les mêmes métriques, puis le protocole de routage
équilibrera la charge sur le réseau distant, ce qui signifie que le protocole enverra des données sur chaque lien.

Le Tableau 9.1 montre les distances administratives par défaut qu'un routeur Cisco utilise pour décider
route à emprunter vers un réseau distant.

TABLEAU 9.1 Distances administratives par défaut

Source de l'itinéraire AD par défaut

Interface connectée 0

Route statique 1

BGP externe 20

EIGRP 90

OSPF 110

DÉCHIRURE 120

EIGRP externe 170

BGP interne 200

Inconnu 255 (Cet itinéraire ne sera jamais utilisé.)

Page 136

Si un réseau est directement connecté, le routeur utilisera toujours l'interface connectée au


réseau. Si vous configurez une route statique, le routeur croira alors cette route sur n'importe quel autre
ceux dont il apprend. Vous pouvez modifier la distance administrative des routes statiques, mais par défaut,
ils ont un AD de 1. Dans notre précédente configuration de route statique, l'AD de chaque route est défini à
150. Cet AD nous permet de configurer des protocoles de routage sans avoir à supprimer les routes statiques
car c'est bien de les avoir là pour la sauvegarde au cas où le protocole de routage en rencontrerait
genre d'échec.

Si vous avez une route statique, une route annoncée par RIP et une route annoncée par EIGRP répertoriant les
même réseau, avec quelle route le routeur ira-t-il ? C'est vrai, par défaut, le routeur
utilisez toujours la route statique à moins que vous ne changiez son AD, ce que nous avons fait !

Protocoles de routage

Il existe trois classes de protocoles de routage :

Vecteur de distance Les protocoles de vecteur de distance utilisés aujourd'hui trouvent le meilleur chemin vers un
réseau en jugeant la distance. Dans le routage RIP, chaque instance où un paquet passe par un routeur
est appelé un saut, et la route avec le moins de sauts vers le réseau sera choisie comme
meilleur. Le vecteur indique la direction vers le réseau distant. RIP est un vecteur de distance
protocole de routage et envoie périodiquement la totalité de la table de routage aux
voisins.

État de la liaison Dans les protocoles à état de liaison, également appelés protocoles SPF (shortest-path-first), les routeurs
chacun crée trois tables distinctes. L'une de ces tables garde la trace des voisins directement attachés,
l'un détermine la topologie de l'ensemble de l'interréseau et l'autre sert de table de routage.
Les routeurs à état de liens en savent plus sur l'interréseau que n'importe quel protocole de routage à vecteur de distance
jamais pu. OSPF est un protocole de routage IP entièrement à état de lien. Tables de routage à état de liens
ne sont pas échangés périodiquement. Au lieu de cela, des mises à jour déclenchées contenant uniquement un état de lien spécifique
les informations sont envoyées. Keepalives périodiques petites et efficaces, sous forme de bonjour
messages, sont échangés entre voisins directement connectés pour établir et maintenir
relations de voisinage.

Vecteur de distance avancé Les protocoles de vecteur de distance avancé utilisent des aspects à la fois de
protocoles vectoriels et à état de liens, et EIGRP est un excellent exemple. EIGRP peut agir comme un état de liaison
protocole de routage car il utilise un protocole Hello pour découvrir les voisins et former des voisins
relations et parce que seules des mises à jour partielles sont envoyées lorsqu'un changement se produit. Cependant, EIGRP
est toujours basé sur le principe clé du protocole de routage à vecteur de distance selon lequel les informations sur le
le reste du réseau est appris des voisins directement connectés.

Il n'y a pas d'ensemble de règles à suivre qui dictent exactement comment configurer largement les protocoles de routage
pour chaque situation. C'est une tâche qui doit vraiment être entreprise au cas par cas, avec un œil
sur les besoins spécifiques de chacun. Si vous comprenez comment les différents protocoles de routage
travail, vous pouvez prendre de bonnes décisions solides qui répondront solidement aux besoins individuels de tout
Entreprise!

Protocole d'informations de routage (RIP)


Le protocole d'information de routage (RIP) est un véritable protocole de routage à vecteur de distance. RIP envoie le
compléter la table de routage de toutes les interfaces actives toutes les 30 secondes. Il s'appuie sur le nombre de sauts pour
déterminer le meilleur chemin vers un réseau distant, mais il a un nombre de sauts maximum autorisé de 15 par
par défaut, donc une destination de 16 serait considérée comme inaccessible. RIP fonctionne bien en très petit
réseaux, mais c'est super inefficace sur les grands réseaux avec des liaisons WAN lentes ou sur les réseaux avec un
grand nombre de routeurs installés et totalement inutiles sur les réseaux qui ont des liens avec
bandes passantes variables !

RIP version 1 utilise uniquement le routage par classe , ce qui signifie que tous les périphériques du réseau doivent utiliser
le même masque de sous-réseau. C'est parce que RIP version 1 n'envoie pas de mises à jour avec le masque de sous-réseau
informations en remorque. RIP version 2 fournit quelque chose appelé routage de préfixe et envoie un sous-réseau
masquer les informations avec ses mises à jour d'itinéraire. C'est ce qu'on appelle le routage sans classe .

Page 137

Donc, avec cela, configurons notre réseau actuel avec RIPv2, avant de passer au suivant
chapitre.

Configuration du routage RIP


Pour configurer le routage RIP, activez simplement le protocole avec la commande router rip et dites au RIP
protocole de routage des réseaux à annoncer. N'oubliez pas qu'avec le routage statique, nous
des réseaux distants configurés et jamais tapé une route vers nos réseaux directement connectés ? Bien,
le routage dynamique s'effectue à l'inverse. Vous ne taperiez jamais une télécommande
réseau sous votre protocole de routage - n'entrez que vos réseaux directement connectés ! Faisons
configurer notre interréseau à trois routeurs, revisité à la figure 9.9 , avec le routage RIP.

Société

RIP a une distance administrative de 120. Les routes statiques ont une distance administrative de 1 par
par défaut, et puisque nous avons actuellement des routes statiques configurées, les tables de routage ne seront pas
renseigné par défaut avec les informations RIP. Nous sommes toujours bons parce que j'ai ajouté le 150 à
la fin de chaque route statique !

Vous pouvez ajouter le protocole de routage RIP à l'aide de la commande router rip et de la commande network .
La commande network indique au protocole de routage quel réseau classful annoncer. En faisant
ceci, vous activez le processus de routage RIP sur les interfaces dont l'adressage relève du
réseaux par classe spécifiés configurés avec la commande network sous le processus de routage RIP.

Regardez la configuration du routeur Corp pour voir à quel point c'est facile. Oh, attendez, d'abord, je veux vérifier mon
réseaux directement connectés donc je sais avec quoi configurer RIP :

Corp# expédition brève


Interface Adresse IP OK ? État de la méthode Protocole
FastEthernet0/0 10.10.10.1 OUI manuel up en haut
Série0/0 172.16.10.1 OUI manuel haut en haut
FastEthernet0/1 unassigned OUI unset administrativement down down
Série0/1 172.16.10.5 OUI manuel haut en haut
Corp# config t
Corp(config)# routeur rip
Corp(config-router)# réseau 10.0.0.0
Corp(config-router)# réseau 172.16.0.0
Corp(config-router)# version 2
Corp(config-router)# pas de résumé automatique

C'est ça, vraiment ! Généralement, juste deux ou trois commandes et vous avez terminé, ce qui rend votre
travail beaucoup plus facile que de traiter des routes statiques, n'est-ce pas ? Assurez-vous de garder à l'esprit le routeur supplémentaire
Processus CPU et bande passante que vous consommez.

Quoi qu'il en soit, alors qu'est-ce que j'ai fait exactement ici? J'ai activé le protocole de routage RIP, ajouté mon directement
réseaux connectés, je me suis assuré que je n'exécutais que RIPv2, qui est un protocole de routage sans classe,
puis j'ai désactivé le résumé automatique. Nous ne voulons généralement pas que nos protocoles de routage résument
pour nous car il est préférable de le faire manuellement et à la fois RIP et EIGRP (avant le code 15.x) auto-
résumer par défaut. Donc, une règle générale est de désactiver le résumé automatique, ce qui leur permet
pour annoncer des sous-réseaux.

Remarquez que je n'ai pas tapé de sous-réseaux, seulement l'adresse réseau par classe, qui est trahie par le fait
que tous les bits de sous-réseau et les bits d'hôte sont désactivés ! C'est parce qu'avec le routage dynamique, ce n'est pas mon travail et
c'est au protocole de routage de trouver les sous-réseaux et de remplir les tables de routage. Et puisque nous
n'ayez aucun routeur associé exécutant RIP, nous ne verrons pas encore de routes RIP dans la table de routage.

N'oubliez pas que RIP utilise l'adresse par classe lors de la configuration du réseau

adresse. Pour clarifier cela, référez-vous à l'exemple dans notre réseau avec une adresse de
172.16.0.0/24 en utilisant les sous-réseaux 172.16.10.0 et 172.16.20.0. Vous ne saisiriez que le
l'adresse réseau classful de 172.16.0.0 et laissez RIP trouver les sous-réseaux et les placer dans le
table de routage. Cela ne signifie pas que vous exécutez un protocole de routage par classe ; c'est juste le
Page 138
façon dont RIP et EIGRP sont configurés.

SF

Configurons maintenant notre routeur SF, qui est connecté à deux réseaux. Nous devons configurer
les deux réseaux classful directement connectés, pas les sous-réseaux :

SF# expédition brève


Interface Adresse IP OK ? État de la méthode Protocole
FastEthernet0/0 192.168.10.1 OUI manuel up en haut
FastEthernet0/1 unassigned OUI unset administrativement down down
Serial0/0/0 172.16.10.2 OUI manuel up en haut
Serial0/0/1 unassigned OUI unset administrativement down down
SF#config
SF(config)# routeur rip
SF(config-router)# réseau 192.168.10.0
SF(config-router)# réseau 172.16.0.0
SF(config-routeur)# version 2
SF(config-router)# pas de résumé automatique
SF(config-router)# affiche la route IP
C 192.168.10.0/24 est directement connecté, FastEthernet0/0
L 192.168.10.1/32 est directement connecté, FastEthernet0/0
172.16.0.0/30 est divisé en sous-réseaux, 3 sous-réseaux
R 172.16.10.4 [120/1] via 172.16.10.1, 00:00:08, Série0/0/0
C 172.16.10.0 est directement connecté, Serial0/0/0
L 172.16.10.2/32 est directement connecté, Serial0/0
S 192.168.20.0/24 [150/0] via 172.16.10.1
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
R 10.10.10.0 [120/1] via 172.16.10.1, 00:00:08, Série0/0/0

C'était assez simple. Parlons de cette table de routage. Puisque nous avons un copain RIP
là-bas avec qui nous échangeons des tables de routage, nous pouvons voir les réseaux RIP en provenance de
le routeur Corp. Toutes les autres routes apparaissent toujours comme statiques et locales. RIP a également trouvé les deux
connexions via le routeur Corp aux réseaux 10.10.10.0 et 172.16.10.4. Mais nous ne sommes pas
déjà fait!

LA

Configurons notre routeur LA avec RIP, seulement je vais d'abord supprimer la route par défaut, même
même si je n'ai pas à le faire. Vous verrez pourquoi bientôt :

LA# config t
LA(config)# pas de route IP 0.0.0.0 0.0.0.0
LA(config)# routeur rip
LA(config-routeur)# réseau 192.168.20.0
LA(config-routeur)# réseau 172.16.0.0
LA(config-router)# pas d'auto
LA(config-routeur)# vers 2
LA(config-router)# affiche la route IP
R 192.168.10.0/24 [120/2] via 172.16.10.5, 00:00:10, Série0/0/1
172.16.0.0/30 est divisé en sous-réseaux, 3 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.6/32 est directement connecté, Serial0/0/1
R 172.16.10.0 [120/1] via 172.16.10.5, 00:00:10, Série0/0/1
C 192.168.20.0/24 est directement connecté, FastEthernet0/0
L 192.168.20.1/32 est directement connecté, FastEthernet0/0
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
R 10.10.10.0 [120/1] via 172.16.10.5, 00:00:10, Série0/0/1

La table de routage fait germer de nouveaux R au fur et à mesure que nous ajoutons des amis RIP ! Nous pouvons encore voir que tous les itinéraires sont en
la table de routage.

Cette sortie nous montre essentiellement la même table de routage et les mêmes entrées qu'elle avait lorsque nous
utilisaient des routes statiques, sauf pour les R s ». Un R indique que les réseaux ont été ajoutés
dynamiquement à l'aide du protocole de routage RIP. Le [120/1] est la distance administrative du
route (120) avec la métrique, qui pour RIP est le nombre de sauts vers ce réseau distant
(1). Depuis le routeur Corp, tous les réseaux sont à un saut.

Donc, bien que oui, il est vrai que RIP a fonctionné dans notre petit interréseau, ce n'est tout simplement pas une excellente solution

Page 139

pour la plupart des entreprises. Son nombre maximum de sauts de seulement 15 est un facteur très limitatif. Et cela
effectue des mises à jour complètes de la table de routage toutes les 30 secondes, ce qui apporterait un plus grand interréseau à
un crawl douloureux en un rien de temps !

Il y a encore une chose que je veux vous montrer sur les tables de routage RIP et les paramètres utilisés
pour annoncer les réseaux distants. Utiliser un routeur différent sur un réseau différent comme exemple pour un
Deuxièmement, examinez la sortie suivante. Pouvez-vous repérer où la table de routage suivante montre
[120/15] dans
la métrique de réseau 10.1.3.0 ? Cela signifie que la distance administrative est de 120, le
par défaut pour RIP, mais le nombre de sauts est de 15. N'oubliez pas qu'à chaque fois qu'un routeur envoie une mise à jour
à un routeur voisin, le nombre de sauts augmente d'un incrément pour chaque route ! Voici ça
sortie maintenant :

Routeur# itinéraire de livraison


10.0.0.0/24 est en sous-réseaux, 12 sous-réseaux
C 10.1.11.0 est directement connecté, FastEthernet0/1
L 10.1.11.1/32 est directement connecté, FastEthernet0/1
C 10.1.10.0 est directement connecté, FastEthernet0/0
L 10.1.10.1/32 est directement connecté, FastEthernet/0/0
R 10.1.9.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.8.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.12.0 [120/1] via 10.1.11.2, 00:00:00, FastEthernet0/1
R 10.1.3.0 [120/15] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.2.0 [120/1] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.1.0 [120/1] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.7.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.6.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
C 10.1.5.0 est directement connecté, Serial0/0/1
L 10.1.5.1/32 est directement connecté, Serial0/0/1
R 10.1.4.0 [120/1] via 10.1.5.1, 00:00:15, Série0/0/1

Donc ce [120/15] est vraiment mauvais. Nous sommes fondamentalement condamnés parce que le prochain routeur qui reçoit le
table de ce routeur supprimera simplement la route vers le réseau 10.1.3.0 car le nombre de sauts serait
monter à 16, ce qui est invalide !

Si un routeur reçoit une mise à jour de routage qui contient un chemin plus coûteux vers un

réseau qui est déjà dans sa table de routage, la mise à jour sera ignorée.

Maintien des propagations RIP


Vous ne voulez probablement pas que votre réseau RIP soit annoncé partout sur votre LAN et WAN.
Il y a déjà assez de stress dans le réseautage et il n'y a pas grand-chose à gagner en faisant de la publicité pour votre
RIP réseau à Internet !

Il existe différentes manières d'empêcher les mises à jour RIP indésirables de se propager sur votre
LAN et WAN, et le plus simple est via la commande passive-interface . Cette commande
empêche les diffusions de mise à jour RIP d'être envoyées à partir d'une interface spécifiée mais permet toujours que
même interface pour recevoir les mises à jour RIP.

Voici un exemple de configuration d'une interface passive sur l' interface Fa0/1 du routeur Corp,
que nous prétendrons être connecté à un réseau local sur lequel nous ne voulons pas RIP (et l'interface n'est pas
montré sur la figure) :

Corp# config t
Corp(config)# routeur rip
Corp(config-router)# interface passive FastEthernet 0/1

Cette commande arrêtera la propagation des mises à jour RIP hors de l'interface FastEthernet 0/1,
mais il peut toujours recevoir des mises à jour RIP.

Doit-on vraiment utiliser RIP dans un interréseau ?

Page 140

Vous avez été embauché en tant que consultant pour installer quelques routeurs Cisco dans un
réseau. Ils ont quelques vieux routeurs Unix qu'ils veulent garder sur le réseau.
Ces routeurs ne prennent en charge aucun protocole de routage à l'exception de RIP. Je suppose que cela signifie que vous venez
doivent exécuter RIP sur l'ensemble du réseau. Si tu étais chauve avant, ta tête brille maintenant
comme le chrome.

Pas besoin d'abandonner le navire, vous pouvez exécuter RIP sur un routeur connectant cet ancien
réseau, mais vous n'avez certainement pas besoin d'exécuter RIP sur tout l'interréseau !

Vous pouvez faire ce qu'on appelle la redistribution , qui se traduit essentiellement par un type de
protocole de routage vers un autre. Cela signifie que vous pouvez prendre en charge ces anciens routeurs à l'aide de RIP
mais utilisez quelque chose de bien mieux comme Enhanced IGRP sur le reste de votre réseau.

Cela empêchera les routes RIP d'être envoyées sur tout l'interréseau engloutissant tout ce qui
bande passante précieuse !

Annoncer une route par défaut à l'aide de RIP

Maintenant, je vais vous expliquer comment annoncer un moyen de sortir de votre système autonome pour
autres routeurs, et vous verrez que cela se fait de la même manière avec OSPF. Imaginez que notre Corp
L'interface Fa0/0 du routeur est connectée à un certain type de Metro-Ethernet en tant que connexion au
L'Internet. Il s'agit d'une configuration assez courante aujourd'hui qui utilise une interface LAN pour se connecter à
le FAI au lieu d'une interface série.

Si nous ajoutons une connexion Internet à Corp, tous les routeurs de notre AS (SF et LA) doivent savoir où
envoyer des paquets destinés aux réseaux sur Internet ou ils vont simplement laisser tomber les paquets quand ils
obtenir une demande à distance. Une solution à ce petit problème serait de placer une route par défaut sur chaque
routeur et acheminer les informations vers Corp, qui à son tour aurait une route par défaut vers le FAI.
La plupart des gens font ce type de configuration dans des réseaux de petite à moyenne taille, car il
fonctionne plutôt bien !

Mais comme j'exécute RIPv2 sur tous les routeurs, je vais simplement ajouter une route par défaut sur le routeur Corp à notre
FAI, comme je le ferais normalement. Je vais ensuite ajouter une autre commande pour annoncer mon réseau à l'autre
routeurs dans l'AS comme route par défaut pour leur montrer où envoyer les paquets destinés au
L'Internet.

Voici ma nouvelle configuration Corp :

Corp(config)# ip route 0.0.0.0 0.0.0.0 fa0/0


Corp(config)# routeur rip
Corp(config-router)# les informations par défaut proviennent

Voyons maintenant la dernière entrée trouvée dans la table de routage Corp :


S* 0.0.0.0/0 est directement connecté, FastEthernet0/0

Voyons si le routeur LA peut voir cette même entrée :

itinéraire de navire LA#


La passerelle de dernier recours est 172.16.10.5 vers le réseau 0.0.0.0

R 192.168.10.0/24 [120/2] via 172.16.10.5, 00:00:04, Série0/0/1


172.16.0.0/30 est divisé en sous-réseaux, 2 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.5/32 est directement connecté, Serial0/0/1
R 172.16.10.0 [120/1] via 172.16.10.5, 00:00:04, Série0/0/1
C 192.168.20.0/24 est directement connecté, FastEthernet0/0
L 192.168.20.1/32 est directement connecté, FastEthernet0/0
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
R 10.10.10.0 [120/1] via 172.16.10.5, 00:00:04, Série0/0/1
R 192.168.218.0/24 [120/3] via 172.16.10.5, 00:00:04, Série0/0/1
R 192.168.118.0/24 [120/2] via 172.16.10.5, 00:00:05, Série0/0/1
R* 0.0.0.0/0 [120/1] via 172.16.10.5, 00:00:05, Série0/0/1

Pouvez-vous voir cette dernière entrée? Il crie que c'est une route injectée RIP, mais c'est aussi une route par défaut,
donc notre commande d' origine des informations par défaut fonctionne ! Enfin, notez que la passerelle de last
La station balnéaire est désormais également définie.

Page 141

Si tout ce que vous avez appris est clair et compris, félicitations, vous êtes prêt à passer à autre chose
au chapitre suivant juste après avoir parcouru les laboratoires écrits et pratiques, et pendant que vous êtes à
ça, n'oubliez pas les questions de révision !

Sommaire
Ce chapitre a couvert le routage IP en détail. Encore une fois, il est extrêmement important de bien comprendre les
bases que nous avons abordées dans ce chapitre, car tout ce qui est fait sur un routeur Cisco sera généralement
avoir une sorte de routage IP configuré et en cours d'exécution.

Vous avez appris comment le routage IP utilise des trames pour transporter des paquets entre les routeurs et vers le
hôte de destination. À partir de là, nous avons configuré le routage statique sur nos routeurs et discuté de la
distance administrative utilisée par IP pour déterminer la meilleure route vers un réseau de destination. Tu
découvert que si vous avez un réseau stub, vous pouvez configurer le routage par défaut, qui définit le
passerelle de dernier recours sur un routeur.

Nous avons ensuite discuté du routage dynamique, en particulier de RIPv2 et de son fonctionnement sur un interréseau,
ce qui n'est pas très bien !

Essentiels de l'examen
Décrire le processus de routage IP de base. Vous devez vous rappeler que le cadre change à
chaque saut, mais que le paquet n'est jamais modifié ou manipulé de quelque façon que ce soit jusqu'à ce qu'il atteigne le
périphérique de destination (le champ TTL dans l'en-tête IP est décrémenté pour chaque saut, mais c'est tout !).

Répertoriez les informations requises par un routeur pour acheminer les paquets avec succès. Pouvoir
pour acheminer des paquets, un routeur doit connaître, au minimum, l'adresse de destination, l'emplacement de
routeurs voisins par lesquels il peut atteindre les réseaux distants, routes possibles vers tous les
réseaux, la meilleure route vers chaque réseau distant, et comment maintenir et vérifier le routage
informations.

Décrivez comment les adresses MAC sont utilisées pendant le processus de routage. Un MAC (matériel)
l'adresse ne sera utilisée que sur un réseau local local. Il ne passera jamais l'interface d'un routeur. Une trame utilise MAC
(matérielle) adresses pour envoyer un paquet sur un réseau local. La trame amènera le paquet soit à un hôte
sur le LAN ou l'interface d'un routeur (si le paquet est destiné à un réseau distant). Sous forme de paquets
passer d'un routeur à un autre, les adresses MAC utilisées changeront, mais normalement les adresses d'origine
les adresses IP source et de destination dans le paquet ne le seront pas.

Afficher et interpréter la table de routage d'un routeur. Utilisez la commande show ip route pour afficher
la table de routage. Chaque route sera répertoriée avec la source des informations de routage. Un C à
la gauche de l'itinéraire indiquera les itinéraires directement connectés, et d'autres lettres à côté de l'itinéraire peuvent
indiquer également un protocole de routage particulier qui a fourni l'information, comme, par exemple, R
pour RIP.

Différencier les trois types de routage. Les trois types de routage sont statiques (dans lesquels
les routes sont configurées manuellement au niveau de la CLI), dynamiques (dans lesquelles les routeurs partagent le routage
via un protocole de routage) et le routage par défaut (dans lequel une route spéciale est configurée pour
tout le trafic sans un réseau de destination plus spécifique trouvé dans le tableau).

Comparez et contrastez le routage statique et dynamique. Le routage statique ne crée aucun routage
mettre à jour le trafic et crée moins de surcharge sur le routeur et les liens réseau, mais il doit être
configuré manuellement et n'a pas la capacité de réagir aux pannes de liaison. Routage dynamique
crée un trafic de mise à jour de routage et utilise plus de temps système sur le routeur et les liaisons réseau.

Configurez les routes statiques sur la CLI. La syntaxe de commande pour ajouter une route est ip route
[destination_network] [mask] [next-hop_address ou exitinterface] [administrative_distance]

[permanent] .

Créez un itinéraire par défaut. Pour ajouter une route par défaut, utilisez la syntaxe de commande ip route 0.0.0.0
0.0.0.0 adresse IP ou type et numéro d'interface de sortie .
Page 142

Comprendre la distance administrative et son rôle dans la sélection du meilleur itinéraire.


La distance administrative (AD) est utilisée pour évaluer la fiabilité des informations de routage reçues
sur un routeur depuis un routeur voisin. La distance administrative est un entier compris entre 0 et 255, où 0
est le plus fiable et 255 signifie qu'aucun trafic ne passera via cette route. Tous les protocoles de routage
se voient attribuer un AD par défaut, mais il peut être modifié dans l'interface de ligne de commande.

Différencier les protocoles de routage à vecteur de distance, à état de lien et hybride. Distance-
les protocoles de routage vectoriels prennent des décisions de routage en fonction du nombre de sauts (pensez à RIP), tandis que l'état des liens
les protocoles de routage sont capables de prendre en compte plusieurs facteurs tels que la bande passante disponible et la construction d'un
tableau de topologie. Les protocoles de routage hybride présentent des caractéristiques des deux types.

Configurez le routage RIPv2. Pour configurer le routage RIP, vous devez d'abord être en configuration globale
mode , puis vous tapez la commande router rip . Ensuite, vous ajoutez tous les réseaux directement connectés,
en veillant à utiliser l'adresse classful et la commande version 2 et à désactiver l'auto-
résumé avec la commande no auto-summary .

Laboratoire écrit 9
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :

Atelier 9.1 : Routage IP

Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».

Écrivez les réponses aux questions suivantes :

1. À l'invite de commande appropriée, créez une route statique vers le réseau 172.16.10.0/24 avec un
passerelle de saut suivant de 172.16.20.1 et une distance administrative de 150.

2. Lorsqu'un PC envoie un paquet à un autre PC dans un réseau distant, quelles adresses de destination seront
être dans la trame qu'il envoie à sa passerelle par défaut ?

3. À l'invite de commande appropriée, créez une route par défaut vers 172.16.40.1.

4. Sur quel type de réseau une route par défaut est-elle la plus avantageuse ?

5. À l'invite de commande appropriée, affichez la table de routage sur votre routeur.

6. Lors de la création d'une route statique ou par défaut, vous n'avez pas besoin d'utiliser l'adresse IP du saut suivant ; tu
peut utiliser le ______________.

7. Vrai/Faux : Pour atteindre un hôte distant, vous devez connaître l'adresse MAC de l'hôte distant.

8. Vrai/Faux : Pour atteindre un hôte distant, vous devez connaître l'adresse IP de l'hôte distant.

9. À la ou aux invites de commande appropriées, empêchez un routeur de propager les informations RIP
sortie série 1.

10. Vrai/Faux : RIPv2 est considéré comme sans classe.

Laboratoires pratiques
Dans les ateliers pratiques suivants, vous allez configurer un réseau avec trois routeurs. Ces exercices
supposent toutes les mêmes exigences de configuration que les laboratoires trouvés dans les chapitres précédents. Vous pouvez utiliser du vrai
routeurs, la version LammleSim IOS disponible sur www.lammle.com/ccna ou Cisco Packet Tracer
programme pour exécuter ces laboratoires.

Ce chapitre comprend les laboratoires suivants :

Atelier 9.1 : Créer des routes statiques

Atelier 9.2 : Configuration du routage RIP

L'interréseau illustré dans le graphique suivant sera utilisé pour configurer tous les routeurs.

Page 143

Le tableau 9.2 montre nos adresses IP pour chaque routeur (chaque interface utilise un masque /24).
TABLEAU 9.2 Nos adresses IP
Adresse IP de l'interface du routeur

Lab_A Fa0/0 172.16.10.1

Lab_A S0/0 172.16.20.1

Lab_B S0/0 172.16.20.2

Lab_B S0/1 172.16.30.1

Lab_C S0/0 172.16.30.2

Lab_C Fa0/0 172.16.40.1

Ces travaux pratiques ont été écrits sans utiliser l'interface LAN sur le routeur Lab_B. Vous pouvez choisir de
ajoutez ce réseau local aux laboratoires si nécessaire. De plus, si vous avez suffisamment d'interfaces LAN, vous ne
besoin d'ajouter les interfaces série dans ce laboratoire. L'utilisation de toutes les interfaces LAN est très bien.

Atelier pratique 9.1 : Créer des routes statiques


Dans cet atelier, vous allez créer une route statique dans les trois routeurs afin que les routeurs voient tous les réseaux.
Vérifiez avec le programme Ping une fois terminé.

1. Le routeur Lab_A est connecté à deux réseaux, 172.16.10.0 et 172.16.20.0. Vous devez
ajouter des routes aux réseaux 172.16.30.0 et 172.16.40.0. Utilisez les commandes suivantes pour ajouter le
routes statiques :

Lab_A# config t
Lab_A(config)# ip route 172.16.30.0 255.255.255.0
172.16.20.2
Lab_A(config)# ip route 172.16.40.0 255.255.255.0
172.16.20.2

2. Enregistrez la configuration actuelle du routeur Lab_A en passant en mode privilégié, en tapant copy
lancez start et appuyez sur Entrée.
3. Sur le routeur Lab_B, vous disposez de connexions directes aux réseaux 172.16.20.0 et 172.16.30.0.
Vous devez ajouter des routes aux réseaux 172.16.10.0 et 172.16.40.0. Utilisez le suivant
commandes pour ajouter les routes statiques :

Lab_B# config t
Lab_B(config)# ip route 172.16.10.0 255.255.255.0
172.16.20.1
Lab_B(config)# ip route 172.16.40.0 255.255.255.0
172.16.30.2

4. Enregistrez la configuration actuelle du routeur Lab_B en passant en mode activé, en tapant copy
lancez start et appuyez sur Entrée.

Page 144

5. Sur le routeur Lab_C, créez une route statique vers les réseaux 172.16.10.0 et 172.16.20.0, qui sont
pas directement connecté. Créez des routes statiques pour que le routeur Lab_C puisse voir tous les réseaux, en utilisant
les commandes montrées ici :

Lab_C# config t
Lab_C(config)# ip route 172.16.10.0 255.255.255.0
172.16.30.1
Lab_C(config)# ip route 172.16.20.0 255.255.255.0
172.16.30.1

6. Enregistrez la configuration actuelle du routeur Lab_C en passant en mode d'activation, en tapant copy run
start et appuyez sur Entrée.
7. Vérifiez vos tables de routage pour vous assurer que les quatre réseaux s'affichent en exécutant la commande show ip
commande d' itinéraire .
8. Maintenant, envoyez un ping de chaque routeur à vos hôtes et de chaque routeur à chaque routeur. S'il est mis en place
correctement, cela fonctionnera.

Travaux pratiques 9.2 : Configuration du routage RIP


Dans ce laboratoire, nous utiliserons le protocole de routage dynamique RIP au lieu du routage statique.

1. Supprimez toutes les routes statiques ou routes par défaut configurées sur vos routeurs à l'aide de la commande no ip
commande d' itinéraire . Par exemple, voici comment supprimer les routes statiques sur le Lab_A
routeur :

Lab_A# config t
Lab_A(config)# pas de route IP 172.16.30.0 255.255.255.0
172.16.20.2
Lab_A(config)# pas de route IP 172.16.40.0 255.255.255.0
172.16.20.2

Faites la même chose pour les routeurs Lab_B et Lab_C. Vérifiez que seul votre directement connecté
les réseaux sont dans les tables de routage.

2. Une fois que vos routes statiques et par défaut sont claires, passez en mode de configuration sur le routeur Lab_A en
en tapant config t .

3. Dites à votre routeur d'utiliser le routage RIP en tapant router rip et en appuyant sur Entrée, comme indiqué ici :

configuration t
déchirure de routeur
4. Ajoutez le numéro de réseau des réseaux que vous souhaitez annoncer. Étant donné que le routeur Lab_A a deux
interfaces qui se trouvent dans deux réseaux différents, vous devez saisir une déclaration de réseau à l'aide de la
ID de réseau du réseau dans lequel réside chaque interface. Alternativement, vous pouvez utiliser un
résumé de ces réseaux et d'utiliser une seule déclaration, en minimisant la taille de la
table de routage. Étant donné que les deux réseaux sont 172.16.10.0/24 et 172.16.20.0/24, le réseau
le résumé 172.16.0.0 inclurait les deux sous-réseaux. Pour ce faire, tapez network 172.16.0.0
et en appuyant sur Entrée.

5. Appuyez sur Ctrl+Z pour sortir du mode de configuration.

6. Les interfaces sur Lab_B et Lab_C sont dans les réseaux 172.16.20.0/24 et 172.16.30.0/24 ;
par conséquent, la même déclaration de réseau résumée y fonctionnera également. Tapez le même
commandes, comme indiqué ici :

Config t
Déchirement de routeur
réseau 172.16.0.0

7. Vérifiez que RIP s'exécute sur chaque routeur en saisissant les commandes suivantes sur chaque routeur :

afficher les protocoles IP

(Doit vous indiquer que RIP est présent sur le routeur.)

afficher l'itinéraire ip

Page 145

(Les routes devraient être présentes avec un R à leur gauche.)

show running-config ou show run

(Doit indiquer que RIP est présent et que les réseaux sont annoncés.)

8. Enregistrez vos configurations en tapant copy run start ou copy running-config startup-config et
appuyant sur Entrée sur chaque routeur.

9. Vérifiez le réseau en effectuant une requête ping sur tous les réseaux et hôtes distants.

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Quelle commande a été utilisée pour générer la sortie suivante ?

Codes : L - local, C - connecté, S - statique,


[coupure de sortie]
10.0.0.0/8 est en sous-réseaux variable, 6 sous-réseaux, 4 masques
C 10.0.0.0/8 est directement connecté, FastEthernet0/3
L 10.0.0.1/32 est directement connecté, FastEthernet0/3
C 10.10.0.0/16 est directement connecté, FastEthernet0/2
L 10.10.0.1/32 est directement connecté, FastEthernet0/2
C 10.10.10.0/24 est directement connecté, FastEthernet0/1
L 10.10.10.1/32 est directement connecté, FastEthernet0/1
S* 0.0.0.0/0 est directement connecté, FastEthernet0/0

2. Vous visualisez la table de routage et vous voyez une entrée 10.1.1.1/32. Quel code de légende
vous attendez-vous à voir à côté de cette route?

A.C

B. L

C. S

D.D

3. Lesquelles des affirmations suivantes sont vraies concernant la commande ip route 172.16.4.0
255.255.255.0 192.168.4.2 ? (Choisissez deux.)
A. La commande est utilisée pour établir une route statique.

B. La distance administrative par défaut est utilisée.

C. La commande est utilisée pour configurer la route par défaut.

D. Le masque de sous-réseau de l'adresse source est 255.255.255.0.

E. La commande est utilisée pour établir un réseau de tronçon.

4. Quelles adresses de destination seront utilisées par HostA pour envoyer des données au serveur HTTPS comme indiqué
dans le réseau suivant ? (Choisissez deux.)

A. L'adresse IP du commutateur

B. L'adresse MAC du commutateur distant

C. L'adresse IP du serveur HTTPS

D. L'adresse MAC du serveur HTTPS

E. L'adresse IP de l'interface Fa0/0 de RouterA


Page 146

F. L'adresse MAC de l'interface Fa0/0 du routeurA

5. À l'aide de la sortie affichée, quel protocole a été utilisé pour apprendre l'adresse MAC de 172.16.10.1 ?

Interface : 172.16.10.2 --- 0x3


Adresse Internet Type d'adresse physique
172.16.10.1 00-15-05-06-31-b0 dynamique

A. ICMP

B. ARP

C. TCP

D. UDP

6. Lequel des protocoles suivants est appelé protocole de routage à vecteur de distance avancé ?

A. OSPF

B. EIGRP

C. BGP

GOUTTE

7. Lorsqu'un paquet est acheminé sur un réseau, le_________________ dans le paquet change
à chaque saut alors que le __________ ne le fait pas.

A. Adresse MAC, adresse IP

B. Adresse IP, adresse MAC

C. Numéro de port, adresse IP

D. Adresse IP, numéro de port

8. Quelles affirmations sont vraies concernant les protocoles de routage sans classe ? (Choisissez deux.)

Page 147

A. L'utilisation de réseaux non contigus n'est pas autorisée.

B. L'utilisation de masques de sous-réseau de longueur variable est autorisée.

C. RIPv1 est un protocole de routage sans classe.

D. IGRP prend en charge le routage sans classe au sein du même système autonome.

E. RIPv2 prend en charge le routage sans classe.

9. Parmi les affirmations suivantes, lesquelles sont vraies en ce qui concerne le routage à vecteur de distance et à état de lien ?
protocoles ? (Choisissez deux.)

A. L'état du lien envoie sa table de routage complète hors de toutes les interfaces actives à un moment périodique
intervalles.

B. Le vecteur de distance envoie sa table de routage complète hors de toutes les interfaces actives à des intervalles périodiques
intervalles de temps.
C. L'état du lien envoie des mises à jour contenant l'état de ses propres liens à tous les routeurs du
interréseau.

D. Le vecteur de distance envoie des mises à jour contenant l'état de ses propres liens à tous les routeurs du
interréseau.

10. Lorsqu'un routeur recherche la destination dans la table de routage pour chaque paquet, il est
appelé_____________.

A. commutation dynamique

B. commutation rapide

C. commutation de processus

D. Transfert express Cisco

11. Quel(s) type(s) d'itinéraire sont les suivants ? (Choisissez tout ce qui correspond.)

S* 0.0.0.0/0 [1/0] via 172.16.10.5

Un défaut

B. Sous-réseau

C. Statique

D. Locale

12. Un administrateur réseau affiche la sortie de la commande show ip route . Un réseau qui
annoncé par RIP et EIGRP apparaît dans la table de routage signalée comme une route EIGRP.
Pourquoi la route RIP vers ce réseau n'est-elle pas utilisée dans la table de routage ?

A. EIGRP a un temporisateur de mise à jour plus rapide.

B. EIGRP a une distance administrative inférieure.

C. RIP a une valeur métrique plus élevée pour cette route.

D. La route EIGRP a moins de sauts.

E. Le chemin RIP a une boucle de routage.

13. Lequel des éléments suivants n'est pas un avantage du routage statique ?

A. Moins de surcharge sur le CPU du routeur

B. Aucune utilisation de la bande passante entre les routeurs

C. Ajoute la sécurité

D. Récupère automatiquement des itinéraires perdus

14. Quelle métrique RIPv2 utilise-t-il pour trouver le meilleur chemin vers un réseau distant ?

Page 148

A. Nombre de houblon

B. MTU

C. Délai d'interface cumulé

D. Charge

E. Valeur de la bande passante du chemin

15. Le routeur d'entreprise reçoit un paquet IP avec une adresse IP source de 192.168.214.20 et un
adresse de destination 192.168.22.3. En regardant la sortie du routeur Corp, quel sera le
routeur faire avec ce paquet?

Route d'expédition de l'entreprise #


[coupure de sortie]
R 192.168.215.0 [120/2] via 192.168.20.2, 00:00:23, Série0/0
R 192.168.115.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
R 192.168.30.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
C 192.168.20.0 est directement connecté, Serial0/0
C 192.168.214.0 est directement connecté, FastEthernet0/0

A. Le paquet sera jeté.

B. Le paquet sera acheminé hors de l'interface S0/0.

C. Le routeur diffusera à la recherche de la destination.

D. Le paquet sera acheminé hors de l'interface Fa0/0.

16. Si votre table de routage a une route statique, RIP et EIGRP vers le même réseau, ce qui
route sera utilisé pour acheminer les paquets par défaut ?

A. Tout itinéraire disponible

B. Route RIP

C. Route statique

D. Route EIGRP

E. Ils vont tous équilibrer la charge.

17. Lequel des éléments suivants est un EGP ?


A. RIPv2
B. EIGRP

C. BGP

GOUTTE

18. Lequel des éléments suivants est un avantage du routage statique ?

A. Moins de surcharge sur le CPU du routeur

B. Aucune utilisation de la bande passante entre les routeurs

C. Ajoute la sécurité

D. Récupère automatiquement des itinéraires perdus

19. Quelle commande a produit la sortie suivante ?

Interface Adresse IP OK ? État de la méthode Protocole


FastEthernet0/0 192.168.10.1 OUI manuel up en haut
FastEthernet0/1 unassigned OUI unset administrativement down down
Serial0/0/0 172.16.10.2 OUI manuel up en haut
Serial0/0/1 unassigned OUI unset administrativement down down

A. afficher l'itinéraire IP

B. afficher les interfaces

C. afficher le bref de l'interface IP

Page 149

D. montrer ip arp

20. Que signifie le 150 à la fin de la commande suivante ?

Router (config) # ip route 172.16.3.0 255.255.255.0 192.168.2.4 150

A. Métrique

B. Distance administrative

C. Nombre de houblon

D. Coût
Page 150

Chapitre 10
Commutation de couche 2

LES SUJETS SUIVANTS DE L'EXAMEN ICND1 SONT COUVERTS DANS


CE CHAPITRE:
2.0 Technologies de commutation LAN

2.1 Décrire et vérifier les concepts de commutation

2.1.a Apprentissage et vieillissement du MAC

2.1.b Commutation de trame

2.1.c Inondation de trame

2.1.d Tableau d'adresses MAC

2.7 Configurer, vérifier et dépanner la sécurité des ports

2.7.a Statique

2.7.b Dynamique

2.7.c Collant

2.7.d Adresses MAC max.

2.7.e Actions en violation

2.7.f Err-disable recovery

Lorsque les employés de Cisco discutent de la commutation en ce qui concerne le


Objectifs de l'examen Cisco, ils parlent de commutation de couche 2, sauf indication contraire. Couche 2
la commutation est le processus d'utilisation de l'adresse matérielle des périphériques sur un réseau local pour segmenter un réseau.
Puisque vous avez l'idée de base de la façon dont cela fonctionne maintenant, nous allons approfondir
dans les détails de la commutation de couche 2 pour vous assurer que votre concept de son fonctionnement est solide et
Achevée.

Vous savez déjà que nous comptons sur la commutation pour diviser les grands domaines de collision en plus petits
et qu'un domaine de collision est un segment de réseau avec deux appareils ou plus partageant le même
bande passante. Un réseau concentrateur est un exemple typique de ce type de technologie. Mais puisque chaque port sur
un commutateur est en fait son propre domaine de collision, nous avons pu créer un bien meilleur réseau local Ethernet
réseau en remplaçant simplement nos hubs par des switchs !

Les commutateurs ont vraiment changé la façon dont les réseaux sont conçus et mis en œuvre. Si un pur commuté
la conception est correctement mise en œuvre, il en résultera absolument un produit propre, rentable et résilient
interréseau. Dans ce chapitre, nous étudierons et comparerons la façon dont les réseaux ont été conçus avant et

Page 151

après l'introduction des technologies de commutation.


J'utiliserai trois commutateurs pour commencer notre configuration d'un réseau commuté, et nous allons en fait
continuez avec leurs configurations au chapitre 11, « VLAN et routage inter-VLAN ».

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna

ou la page Web du livre à l' adresse www.sybex.com/go/ccna .


Services de commutation
Contrairement aux anciens ponts, qui utilisaient un logiciel pour créer et gérer une mémoire adressable de contenu
table de filtrage (CAM), nos nouveaux commutateurs rapides utilisent des circuits intégrés spécifiques à l'application (ASIC) pour
construire et maintenir leurs tables de filtrage MAC. Mais il est toujours correct de considérer un commutateur de couche 2 comme un
pont multiport car leur raison d'être est la même : briser les domaines de collision.

Les commutateurs et les ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps à regarder
les informations d'en-tête de la couche réseau. Au lieu de cela, ils regardent les adresses matérielles du cadre
avant de décider de transférer, d'inonder ou de supprimer la trame.

Contrairement aux concentrateurs, les commutateurs créent des domaines de collision privés et dédiés et fournissent des
bande passante exclusive sur chaque port.

Voici une liste de quatre avantages importants que nous tirons de l'utilisation de la commutation de couche 2 :

Pontage basé sur le matériel (ASIC)

Vitesse du fil

Faible latence

À bas prix

L'une des principales raisons pour lesquelles la commutation de couche 2 est si efficace est qu'aucune modification du paquet de données n'a lieu.
L'appareil ne lit que la trame encapsulant le paquet, ce qui rend le processus de commutation
considérablement plus rapide et moins sujet aux erreurs que les processus de routage.

Et si vous utilisez la commutation de couche 2 pour la connectivité des groupes de travail et la segmentation du réseau
(brisant les domaines de collision), vous pouvez créer plus de segments de réseau qu'avec
réseaux routés traditionnels. De plus, la commutation de couche 2 augmente la bande passante pour chaque utilisateur car,
encore une fois, chaque connexion, ou interface dans le commutateur, est son propre domaine de collision autonome.

Trois fonctions de commutation à la couche 2


Il y a trois fonctions distinctes de la commutation de couche 2 dont vous devez vous souvenir :
aborder l'apprentissage , les décisions de transfert/filtre et l' évitement de boucle .

Apprentissage des adresses Les commutateurs de couche 2 mémorisent l'adresse matérielle source de chaque trame
reçu sur une interface et entrez ces informations dans une base de données MAC appelée transfert/filtre
table.

Décisions de transfert/filtrage Lorsqu'une trame est reçue sur une interface, le commutateur examine le
adresse matérielle de destination, puis choisit l'interface de sortie appropriée pour elle dans le MAC
base de données. De cette façon, la trame n'est transférée que depuis le port de destination correct.

Évitement de boucle Si plusieurs connexions entre les commutateurs sont créées pour la redondance
fins, des boucles de réseau peuvent se produire. Le protocole Spanning Tree (STP) est utilisé pour empêcher le
boucles tout en permettant la redondance.

Ensuite, je vais parler de l'apprentissage des adresses et des décisions de transfert/filtrage. L'évitement de boucle est
au-delà de la portée des objectifs couverts dans ce chapitre.

Page 152

Apprentissage d'adresse

Lorsqu'un commutateur est mis sous tension pour la première fois, la table de transfert/filtre MAC (CAM) est vide, comme indiqué dans
Graphique 10.1 .

FIGURE 10.1 Vider la table de transfert/filtre sur un interrupteur

Lorsqu'un appareil transmet et qu'une interface reçoit une trame, le commutateur place la source de la trame
adresse dans la table de transfert/filtre MAC, lui permettant de se référer à l'interface précise l'envoi
l'appareil se trouve sur. Le commutateur n'a alors d'autre choix que d'inonder le réseau avec cette trame sortante
de chaque port à l'exception du port source car il n'a aucune idée de l'emplacement du périphérique de destination
réellement situé.

Si un appareil répond à cette trame inondée et renvoie une trame, le commutateur prendra la
l'adresse source de cette trame et placez également cette adresse MAC dans sa base de données, en associant
cette adresse avec l'interface qui a reçu la trame. Parce que le commutateur a maintenant les deux
adresses MAC pertinentes dans sa table de filtrage, les deux appareils peuvent désormais faire un point à point
lien. Le commutateur n'a pas besoin d'inonder le cadre comme il l'a fait la première fois car maintenant le
les trames peuvent et ne seront transférées qu'entre ces deux appareils. C'est exactement pourquoi la couche 2
les commutateurs sont tellement supérieurs aux concentrateurs. Dans un réseau concentrateur, toutes les trames sont transférées vers tous les ports chaque
temps, quoi qu'il arrive. La figure 10.2 montre les processus impliqués dans la création d'une base de données MAC.

FIGURE 10.2 Comment les commutateurs apprennent les emplacements des hôtes

Dans cette figure, vous pouvez voir quatre hôtes connectés à un commutateur. Lorsque le commutateur est sous tension, il a

Page 153

rien dans sa table de transfert/filtre d'adresse MAC, comme dans la figure 10.1 . Mais quand les hôtes commencent
communiquant, le commutateur place l'adresse matérielle source de chaque trame dans la table le long
avec le port auquel correspond l'adresse source de la trame.

Permettez-moi de vous donner un exemple de la façon dont une table de transfert/filtre est remplie à l'aide de la figure 10.2 :

1. L'hôte A envoie une trame à l'hôte B. L'adresse MAC de l'hôte A est 0000.8c01.000A ; MAC de l'hôte B
l'adresse est 0000.8c01.000B.

2. Le commutateur reçoit la trame sur l'interface Fa0/0 et place l'adresse source dans le
Tableau d'adresses MAC.

3. Étant donné que l'adresse de destination n'est pas dans la base de données MAC, la trame est transmise à tous
interfaces à l'exception du port source.

4. L'hôte B reçoit la trame et répond à l'hôte A. Le commutateur reçoit cette trame sur l'interface
Fa0/1 et place l'adresse matérielle source dans la base de données MAC.

5. L'hôte A et l'hôte B peuvent désormais établir une connexion point à point et uniquement ces appareils spécifiques
recevra les cadres. Les hôtes C et D ne verront pas les trames, et leurs adresses MAC ne seront pas
trouvé dans la base de données car ils n'ont pas encore envoyé de trame au commutateur.

Si l'hôte A et l'hôte B ne communiquent plus avec le commutateur dans un certain délai, le


switch videra leurs entrées de la base de données pour la garder aussi à jour que possible.

Transférer/filtrer les décisions

Lorsqu'une trame arrive à une interface de commutateur, l'adresse matérielle de destination est comparée à la
transmettre/filtrer la base de données MAC. Si l'adresse matérielle de destination est connue et répertoriée dans le
base de données, la trame n'est envoyée que depuis l'interface de sortie appropriée. Le commutateur ne transmettra pas
la trame sur n'importe quelle interface à l'exception de l'interface de destination, qui préserve la bande passante sur
les autres segments du réseau. Ce processus est appelé filtrage de trame .

Mais si l'adresse matérielle de destination n'est pas répertoriée dans la base de données MAC, alors la trame sera
a inondé toutes les interfaces actives à l'exception de l'interface sur laquelle elle a été reçue. Si un appareil répond au
trame inondée, la base de données MAC est ensuite mise à jour avec l'emplacement de l'appareil - son correct
interface.

Si un hôte ou un serveur envoie une diffusion sur le réseau local, par défaut, le commutateur inondera la trame
tous les ports actifs à l'exception du port source. N'oubliez pas que le commutateur crée des domaines de collision plus petits,
mais c'est toujours toujours un grand domaine de diffusion par défaut.

Dans la Figure 10.3 , l'hôte A envoie une trame de données à l'hôte D. À votre avis, que fera le commutateur lorsqu'il
reçoit la trame de l'hôte A ?
FIGURE 10.3 Tableau de transfert/filtre

Page 154

Examinons la figure 10.4 pour trouver la réponse.

FIGURE 10.4 Réponse de la table de transfert/filtre

Étant donné que l'adresse MAC de l'hôte A n'est pas dans la table de transfert/filtre, le commutateur ajoutera la source
adresse et port à la table d'adresses MAC, puis transférez la trame à l'hôte D. C'est vraiment
important de se rappeler que le MAC source est toujours vérifié en premier pour s'assurer qu'il est dans le CAM
table. Après cela, si l'adresse MAC de l'hôte D n'a pas été trouvée dans la table de transfert/filtre, le commutateur
aurait inondé la trame sur tous les ports à l'exception du port Fa0/3 car c'est le port spécifique
la trame a été reçue le.

Examinons maintenant la sortie résultant de l'utilisation d'une commande show mac address-table :

Switch# sh mac table d'adresses


Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
1 0005.dccb.d74b DYNAMIQUE Fa0/1
1 000a.f467.9e80 DYNAMIQUE Fa0/3
1 000a.f467.9e8b DYNAMIQUE Fa0/4
1 000a.f467.9e8c DYNAMIQUE Fa0/3
1 0010.7b7f.c2b0 DYNAMIQUE Fa0/3
1 0030.80dc.460b DYNAMIQUE Fa0/3
1 0030.9492.a5dd DYNAMIQUE Fa0/1
1 00d0.58ad.05f4 DYNAMIQUE Fa0/1

Mais disons que le commutateur précédent a reçu une trame avec les adresses MAC suivantes :

Source MAC : 0005.dccb.d74b

MAC de destination : 000a.f467.9e8c

Comment le commutateur gérera-t-il ce cadre? La bonne réponse est que l'adresse MAC de destination sera
se trouvent dans la table d'adresses MAC et la trame ne sera transmise que Fa0/3. N'oublie jamais
que si l'adresse MAC de destination n'est pas trouvée dans la table de transfert/filtre, la trame sera
a transféré tous les ports du commutateur, à l'exception de celui sur lequel il a été initialement reçu dans un
essayer de localiser le périphérique de destination. Maintenant que vous pouvez voir la table d'adresses MAC et comment
les commutateurs ajoutent des adresses d'hôte à la table de filtrage de transfert, comment pensons-nous pouvoir la sécuriser à partir de
utilisateurs non autorisés ?

Sécurité des ports


Ce n'est généralement pas une bonne chose d'avoir vos commutateurs disponibles pour que quiconque puisse simplement se brancher et jouer
autour avec. Je veux dire, nous nous soucions de la sécurité sans fil, alors pourquoi n'exigerions-nous pas un changement

Page 155

la sécurité tout autant, sinon plus ?

Mais comment pouvons-nous réellement empêcher quelqu'un de simplement brancher un hôte sur l'un de nos commutateurs
ports ou pire, en ajoutant un concentrateur, un commutateur ou un point d'accès à la prise Ethernet de leur bureau ? Par
par défaut, les adresses MAC apparaîtront dynamiquement dans votre base de données de transfert/filtre MAC et
vous pouvez les arrêter dans leur élan en utilisant la sécurité du port !

La figure 10.5 montre deux hôtes connectés au port de commutateur unique Fa0/3 via un concentrateur ou un accès
pointe (AP).
FIGURE 10.5 « Sécurité des ports » sur un port de commutateur restreint l'accès au port par adresse MAC.

Le port Fa0/3 est configuré pour observer et autoriser uniquement certaines adresses MAC à s'associer au
port spécifique, donc dans cet exemple, l'hôte A se voit refuser l'accès, mais l'hôte B est autorisé à s'associer avec
Le port.

En utilisant la sécurité des ports, vous pouvez limiter le nombre d'adresses MAC pouvant être attribuées
dynamiquement sur un port, définissez des adresses MAC statiques et, voici ma partie préférée, définissez des pénalités pour
utilisateurs qui abusent de votre politique ! Personnellement, j'aime que le port soit fermé lorsque la sécurité
la politique est violée. Faire en sorte que les agresseurs m'apportent un mémo de leur patron expliquant pourquoi ils ont violé
la politique sécuritaire s'accompagne d'une certaine justice poétique, ce qui est agréable. Et je vais aussi exiger
quelque chose comme ça avant d'activer à nouveau leur port. Des choses comme celle-ci semblent vraiment aider les gens
n'oubliez pas de vous comporter !

Tout cela est bien, mais vous devez toujours équilibrer vos besoins de sécurité particuliers avec le temps qui
leur mise en œuvre et leur gestion exigera de façon réaliste. Si vous avez des tonnes de temps sur votre
mains, alors allez-y et verrouillez sérieusement votre réseau à l'abri du coffre-fort ! Si vous êtes occupé comme le
le reste d'entre nous, je suis ici pour vous rassurer qu'il existe des moyens de bien sécuriser les choses sans être
totalement submergé par une quantité massive de frais administratifs. D'abord, et sans douleur,
n'oubliez jamais de fermer les ports inutilisés ou de les affecter à un VLAN inutilisé. Tous les ports sont
activé par défaut, vous devez donc vous assurer qu'il n'y a pas d'accès aux ports de commutateur inutilisés !

Voici vos options pour configurer la sécurité des ports :

Page 156

Switch# config t
Commutateur(config)# int f0/1
Switch(config-if)# accès en mode switchport
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security ?
vieillissement Commandes de vieillissement de la sécurité des ports
adresse mac Adresse mac sécurisée
maximum Adresses sécurisées max.
violation Mode violation de sécurité
<cr>

La plupart des commutateurs Cisco sont livrés avec leurs ports en mode souhaitable, ce qui signifie que ces ports seront
désir de jonction lorsqu'il détecte qu'un autre commutateur vient d'être connecté. Donc d'abord, nous devons
changez le port du mode souhaitable et faites-en un port d'accès à la place. Si nous ne le faisons pas,
nous ne pourrons pas du tout configurer la sécurité des ports dessus ! Une fois que c'est à l'écart, nous pouvons passer à autre chose
en utilisant nos commandes de sécurité des ports , sans jamais oublier que nous devons activer la sécurité des ports sur le
interface avec la commande de base switchport port-security . Notez que je l'ai fait après avoir fait le
port un port d'accès !

La sortie précédente illustre clairement que la commande switchport port-security peut être utilisée
avec quatre options. Vous pouvez utiliser la commande switchport port-security mac-address mac-address pour
attribuez des adresses MAC individuelles à chaque port de commutateur, mais soyez averti car si vous optez pour cela
option, vous feriez mieux d'avoir beaucoup de temps devant vous !

Vous pouvez configurer l'appareil pour qu'il entreprenne l'une des actions suivantes lorsqu'une violation de sécurité
se produit à l'aide de la commande switchport port-security :

Protéger :
le mode de protection contre les violations supprime les paquets avec des adresses source inconnues jusqu'à ce que vous
supprimez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale.

: le mode de violation de restriction supprime également les paquets avec des adresses source inconnues jusqu'à ce que
Restreindre
vous supprimez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale. Cependant, il
génère également un message de journal, provoque l'incrémentation du compteur de violations de sécurité et envoie un
trappe SNMP.

Arrêt :L'arrêt est le mode de violation par défaut. Le mode de violation d'arrêt met le
l'interface dans un état de désactivation d'erreur immédiatement. Tout le port est fermé. Aussi, dans ce
mode, le système génère un message de journal, envoie une interruption SNMP et incrémente la violation
contrer. Pour rendre l'interface utilisable, vous devez effectuer un arrêt/aucun arrêt sur l'interface.

Si vous souhaitez configurer un port de commutateur pour autoriser un seul hôte par port et assurez-vous que le port
arrêter si cette règle est violée, utilisez les commandes suivantes comme celle-ci :

Switch(config-if)# switchport port-security maximum 1


Switch(config-if)# switchport arrêt de violation de sécurité du port

Ces commandes sont probablement les plus populaires car elles empêchent les utilisateurs aléatoires de
se connecter à un commutateur ou à un point d'accès spécifique qui se trouve dans leur bureau. La valeur par défaut de la sécurité du port
qui est immédiatement défini sur un port lorsqu'il est activé est au maximum 1 et à l' arrêt de la violation . Cela sonne
d'accord, mais l'inconvénient est qu'il ne permet d'utiliser qu'une seule adresse MAC sur le port,
donc si quelqu'un, y compris vous, essaie d'ajouter un autre hôte sur ce segment, le port du commutateur
entrez immédiatement dans l'état de désactivation d'erreur et le port deviendra orange. Et quand cela arrive, vous
devez entrer manuellement dans le commutateur et réactiver le port en le cyclant avec un arrêt , puis un
pas de commande d' arrêt .
L'une de mes commandes préférées est probablement la commande collante , et pas seulement parce qu'elle a un
nom cool. Cela fait aussi des choses très cool! Vous pouvez trouver cette commande sous mac-
commande d' adresse :
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport arrêt de violation de sécurité du port

Fondamentalement, avec la commande sticky, vous pouvez fournir une sécurité d'adresse MAC statique sans avoir à
pour taper l'adresse MAC de tout le monde sur le réseau. J'aime les choses qui me font gagner du temps comme

Page 157

cette!

Dans l'exemple précédent, les deux premières adresses MAC entrant dans le port "s'y collent" comme statiques
adresses et sera placé dans la configuration en cours, mais lorsqu'une troisième adresse a essayé de se connecter, le
le port s'arrêterait immédiatement.

Je reprendrai les objectifs du CCENT de sécurité portuaire dans la configuration

exemples plus loin dans ce chapitre. Ils sont importants !

Laissez-moi vous montrer un autre exemple. La figure 10.6 montre un hôte dans le hall d'une entreprise qui doit
être sécurisé contre le câble Ethernet utilisé par toute personne autre qu'une seule personne autorisée.

FIGURE 10.6 Protéger un PC dans un hall

Que pouvez-vous faire pour vous assurer que seule l'adresse MAC du PC du lobby est autorisée par le port de commutation
Fa0/1?

La solution est assez simple car dans ce cas, les valeurs par défaut de la sécurité des ports seront
bien travailler. Il ne me reste plus qu'à ajouter une entrée MAC statique :

Switch(config-if)# switchport port-security


Switch(config-if)# switchport port-security violation restreindre
Switch(config-if)# switchport port-security mac-address aa.bb.cc.dd.ee.ff

Pour protéger le PC du lobby, nous définirions le maximum d'adresses MAC autorisées sur 1 et le
violation à restreindre afin que le port ne soit pas fermé à chaque fois que quelqu'un a essayé d'utiliser le
Câble Ethernet (qui serait constamment). En utilisant la restriction de violation , les trames non autorisées
serait simplement abandonné. Mais avez-vous remarqué que j'ai activé la sécurité des ports , puis défini un MAC statique
adresse? N'oubliez pas que dès que vous activez la sécurité des ports sur un port, elle passe par défaut à la violation
shutdown et
un maximum de 1. Donc tout ce que j'avais à faire était de changer le mode de violation et d'ajouter le
adresse MAC statique et notre exigence commerciale est solidement satisfaite !

Lobby PC toujours déconnecté devient un risque de sécurité

Dans une grande entreprise Fortune 50 à San Jose, Californie, il y avait un PC dans le hall qui tenait
l'annuaire de l'entreprise. En l'absence d'agent de sécurité dans le hall, le câble Ethernet
connecter le PC était un jeu gratuit pour tous les vendeurs, entrepreneurs et visiteurs qui attendaient dans le
lobby.
La sécurité portuaire à la rescousse ! Lorsque la sécurité des ports a été activée sur le port avec le switchport
commande port-security , le port du commutateur se connectant au PC a été automatiquement sécurisé avec
les valeurs par défaut d'autoriser une seule adresse MAC à s'associer au port et à la violation
fermer. Cependant, le port passait toujours en mode erreur d'arrêt chaque fois que quelqu'un
essayé d'utiliser le port Ethernet. Lorsque le mode de violation a été modifié pour restreindre et un statique
L'adresse MAC a été définie pour le port avec la commande switchport port-security mac-address ,
seul le Lobby PC a pu se connecter et communiquer sur le réseau ! Problème résolu!

Page 158

Évitement de boucle

Il est important de mettre en place des liens redondants entre les commutateurs car ils aident à empêcher
pannes de réseau désagréables dans le cas où un lien cesse de fonctionner.

Mais s'il est vrai que les liens redondants peuvent être extrêmement utiles, ils peuvent également causer plus de
problèmes qu'ils ne résolvent ! C'est parce que les trames peuvent être inondées par tous les liens redondants
simultanément, créant des boucles de réseau ainsi que d'autres maux. Voici une liste de quelques-uns des plus laids
problèmes qui peuvent survenir :

Si aucun schéma d'évitement de boucle n'est mis en place, les commutateurs inonderont les diffusions sans fin
tout au long de l'interréseau. C'est ce qu'on appelle parfois une tempête de diffusion . La plupart
temps, ils sont mentionnés de manières très non imprimables ! La figure 10.7 illustre comment une diffusion peut
se propager dans tout le réseau. Observez comment un cadre est continuellement inondé
via le support réseau physique de l'interréseau.

FIGURE 10.7 Tempête de diffusion

Un appareil peut recevoir plusieurs copies de la même trame car cette trame peut provenir de
différents segments en même temps. La figure 10.8 montre comment tout un tas de cadres
peuvent arriver de plusieurs segments simultanément. Le serveur de la figure envoie une monodiffusion
trame vers le routeur C. Puisqu'il s'agit d'une trame monodiffusion, le commutateur A transfère la trame et le commutateur B
fournit le même service : il transfère la monodiffusion. C'est mauvais car cela signifie que le routeur C
reçoit cette trame de monodiffusion deux fois, provoquant une surcharge supplémentaire sur le réseau.

Page 159
FIGURE 10.8 Copies de trames multiples

Vous avez peut-être pensé à celui-ci : La table de filtrage des adresses MAC pourrait être totalement confuse
sur l'emplacement de l'appareil source, car le commutateur peut recevoir la trame de plus de
un lien. Pire encore, le commutateur déconcerté pourrait être tellement pris dans la mise à jour constante du MAC
filtrer la table avec les emplacements d'adresses matérielles source qu'il ne réussira pas à transmettre une trame ! C'est
appelé battre la table MAC.

L'un des événements les plus vils est lorsque plusieurs boucles se propagent dans un réseau. Boucles
peut se produire dans d'autres boucles, et si une tempête de diffusion devait se produire simultanément, le
le réseau ne serait pas en mesure d'effectuer la commutation de trames, point final !

Tous ces problèmes sont synonymes de catastrophe ou de fermeture, et ce sont toutes des situations maléfiques qui doivent être évitées ou
fixé en quelque sorte. C'est là que le protocole Spanning Tree entre en jeu. C'était en fait
développé pour résoudre chacun des problèmes dont je viens de vous parler !

Maintenant que j'ai expliqué les problèmes qui peuvent survenir lorsque vous avez des liens redondants, ou lorsque vous avez
liens mal mis en œuvre, je suis sûr que vous comprenez à quel point il est vital de les empêcher.
Cependant, les meilleures solutions dépassent le cadre de ce chapitre et parmi le territoire
couverts dans les objectifs d'examen Cisco plus avancés. Pour l'instant, concentrons-nous sur la configuration de certains
commutation !

Configuration des commutateurs Catalyst


Les commutateurs Cisco Catalyst sont disponibles en plusieurs versions ; certains fonctionnent à 10 Mbps, tandis que d'autres peuvent accélérer tous les
jusqu'à 10 Gbit/s ou plus de ports commutés avec une combinaison de paires torsadées et de fibre. Ces
les nouveaux commutateurs, comme le 3850, ont également plus d'intelligence, de sorte qu'ils peuvent vous fournir des données rapidement - mixtes
les services médias aussi !

Dans cet esprit, il est temps de vous montrer comment démarrer et configurer un commutateur Cisco Catalyst

Page 160

à l'aide de l'interface de ligne de commande (CLI). Après avoir obtenu les commandes de base dans ce chapitre,
Je vais vous montrer comment configurer des réseaux locaux virtuels (VLAN) plus Inter-Switch Link (ISL) et 802.1q
goulotte dans la suivante.

Voici une liste des tâches de base que nous aborderons ensuite :

Fonctions administratives

Configuration de l'adresse IP et du masque de sous-réseau

Configuration de la passerelle IP par défaut

Paramétrage de la sécurité des ports

Tester et vérifier le réseau

Vous pouvez tout savoir sur la gamme Cisco de commutateurs Catalyst sur

www.cisco.com/en/US/products/hw/switches/index.html .

Configuration du commutateur catalytique


Mais avant d'entrer dans la configuration de l'un des commutateurs Catalyst, je dois vous renseigner
concernant le processus de démarrage de ces commutateurs, tout comme je l'ai fait avec les routeurs au chapitre 7,
« Gestion d'un interréseau Cisco ». La figure 10.9 montre un commutateur Cisco Catalyst typique, et j'ai besoin
pour vous parler des différentes interfaces et fonctionnalités de cet appareil.
FIGURE 10.9 Un commutateur Cisco Catalyst

La première chose que je veux souligner est que le port de console pour les commutateurs Catalyst est généralement
situé à l'arrière de l'interrupteur. Pourtant, sur un commutateur plus petit comme le 3560 illustré sur la figure, le
la console est juste à l'avant pour faciliter son utilisation. (Le 2960 à huit ports ressemble exactement au
même.) Si le POST se termine avec succès, le voyant système devient vert, mais si le POST échoue, il
deviendra ambré. Et voir cette lueur ambrée est une chose inquiétante, généralement fatale. Alors tu peux juste
voulez garder un interrupteur de rechange, surtout au cas où il s'agirait d'un interrupteur de production qui croasse !
Le bouton du bas est utilisé pour vous montrer quelles lumières fournissent Power over Ethernet (PoE).
Vous pouvez le voir en appuyant sur le bouton Mode. Le PoE est une fonctionnalité très intéressante de ces commutateurs. Ce
me permet d'alimenter mon point d'accès et mon téléphone en les connectant simplement au commutateur avec un
Câble Ethernet — doux.

Tout comme nous l'avons fait avec les routeurs que nous avons configurés au chapitre 9, « Routage IP », nous utiliserons un schéma et
configuration du commutateur dans ce chapitre ainsi que dans le chapitre 11. La figure 10.10 montre le réseau commuté
nous allons travailler dessus.

Page 161

FIGURE 10.10 Notre réseau commuté

Je vais utiliser trois commutateurs 3560, que j'ai également utilisés pour la démonstration au chapitre 6, « Cisco
Internetworking Operating System (IOS) », et le chapitre 7. Vous pouvez utiliser n'importe quel commutateur de couche 2 pour
ce chapitre pour suivre la configuration, mais lorsque nous arriverons au chapitre 11, vous aurez besoin d'au moins un
routeur ainsi qu'un commutateur de couche 3, comme mon 3560.

Maintenant, si nous connectons nos commutateurs les uns aux autres, comme le montre la Figure 10.10 , rappelez-vous que nous allons d'abord
besoin d'un câble croisé entre les commutateurs. Mes switchs 3560 détectent automatiquement le type de connexion,
J'ai donc pu utiliser des câbles droits. Mais tous les commutateurs ne détectent pas automatiquement le type de câble.
Différents commutateurs ont des besoins et des capacités différents, alors gardez cela à l'esprit lors de la connexion
vos différents interrupteurs ensemble. Notez que dans les objectifs de l'examen Cisco, les commutateurs ne
détection automatique!

Lorsque vous connectez pour la première fois les ports du commutateur les uns aux autres, les voyants de liaison sont orange, puis s'allument
vert, indiquant un fonctionnement normal. Ce que vous regardez en fait, c'est la convergence des arbres couvrants,
et ce processus prend environ 50 secondes sans extensions activées. Mais si vous vous connectez à un
le port du commutateur et le voyant du port du commutateur est vert et orange en alternance, cela signifie que le port est
éprouver des erreurs. Si cela se produit, vérifiez la carte réseau hôte ou le câblage, peut-être même le duplex
paramètres sur le port pour vous assurer qu'ils correspondent aux paramètres de l'hôte.

Avons-nous besoin de mettre une adresse IP sur un commutateur ?

Absolument pas! Les commutateurs ont tous les ports activés et prêts à basculer. Retirez l'interrupteur du
Box, branchez-le et le commutateur commence à apprendre les adresses MAC dans le CAM. Alors pourquoi aurais-je besoin d'un
Adresse IP puisque les commutateurs fournissent des services de couche 2 ? Parce que vous en avez toujours besoin pour l'in-band
à des fins de gestion ! Telnet, SSH, SNMP, etc. ont tous besoin d'une adresse IP pour communiquer
avec le commutateur via le réseau (in-band). N'oubliez pas, puisque tous les ports sont activés par défaut,
vous devez fermer les ports inutilisés ou les affecter à un VLAN inutilisé pour des raisons de sécurité.

Alors, où plaçons-nous cette adresse IP de gestion dont le commutateur a besoin à des fins de gestion ? Au
ce qu'on appelle de manière prévisible l'interface VLAN de gestion—une interface routée sur chaque Cisco
commutateur et appelé interface VLAN 1. Cette interface de gestion peut être modifiée, et Cisco
vous recommande de changer cela pour une interface de gestion différente pour des raisons de sécurité.
Pas de soucis, je vais vous montrer comment procéder au chapitre 11.

Configurons nos commutateurs maintenant pour que vous puissiez voir comment je configure les interfaces de gestion sur
chaque interrupteur.

S1

Page 162

Nous allons commencer notre configuration en nous connectant à chaque switch et en réglant le
fonctions administratives. Nous allons également attribuer une adresse IP à chaque commutateur, mais comme je l'ai dit, faire cela
n'est pas vraiment nécessaire pour faire fonctionner notre réseau. La seule raison pour laquelle nous allons le faire est si
nous pouvons le gérer/l'administrer à distance, via Telnet par exemple. Utilisons un schéma IP simple comme
192.168.10.16/28. Ce masque devrait vous être familier ! Découvrez la sortie suivante :

Commutateur> fr
Switch# config t
Switch(config)# nom d'hôte S1
S1(config)# activer le secret todd
S1(config)# int f0/15
S1(config-if)# description 1ère connexion à S3
S1(config-if)# int f0/16
S1(config-if)# description 2ème connexion à S3
S1(config-if)# int f0/17
S1(config-if)# description 1ère connexion à S2
S1(config-if)# int f0/18
S1(config-if)# description 2ème connexion à S2
S1(config-if)# int f0/8
S1(config-if)# desc Connexion à l'IVR
S1(config-if)# ligne con 0
S1(config-line)# console de mot de passe
S1(ligne de configuration)# connexion
S1(ligne de configuration)# ligne vty 0 15
S1(ligne de configuration)# mot de passe telnet
S1(ligne de configuration)# connexion
S1 (ligne de configuration) # int vlan 1
S1(config-if)# adresse IP 192.168.10.17 255.255.255.240
S1(config-if)# non fermé
S1(config-if)# sortie
S1(config)# banner motd #ceci est mon commutateur S1#
S1(config)# sortie
Début de l'exécution de la copie S1#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]
S1#

La première chose à noter à ce sujet est qu'il n'y a pas d'adresse IP configurée sur le commutateur
interfaces physiques. Étant donné que tous les ports d'un commutateur sont activés par défaut, il n'y a pas vraiment de
beaucoup à configurer ! L'adresse IP est configurée sous une interface logique, appelée gestion
domaine ou VLAN. Vous pouvez utiliser le VLAN 1 par défaut pour gérer un réseau commuté comme nous le faisons.
faire ici, ou vous pouvez choisir d'utiliser un autre VLAN pour la gestion.

Le reste de la configuration est fondamentalement le même que le processus que vous suivez pour le routeur
configuration. Alors n'oubliez pas… pas d'adresses IP sur les interfaces de commutateurs physiques, pas de routage
protocoles, etc. Nous effectuons la commutation de couche 2 à ce stade, pas le routage ! Faites aussi un
notez qu'il n'y a pas de port AUX sur les commutateurs Cisco.

S2

Voici la configuration S2 :

Switch# config t
Switch(config)# nom d'hôte S2
S2(config)# activer le secret todd
S2(config)# int f0/1
S2(config-if)# desc 1ère connexion à S1
S2(config-if)# int f0/2
S2(config-if)# desc 2ème connexion à s2
S2(config-if)# int f0/5
S2(config-if)# desc 1ère connexion à S3
S2(config-if)# int f0/6
S2(config-if)# desc 2e connexion à s3
S2(config-if)# ligne con 0
S2(config-line)# console de mot de passe
S2(ligne de configuration)# connexion
S2(ligne de configuration)# ligne vty 0 15
S2(ligne de configuration)# mot de passe telnet

Page 163

S2(ligne de configuration)# connexion


S2(ligne de configuration)# int vlan 1
S2(config-if)# adresse IP 192.168.10.18 255.255.255.240
S2(config)# sortie
Début de l'exécution de la copie S2#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]
S2#

Nous devrions maintenant pouvoir envoyer un ping de S2 à S1. Essayons:

S2# ping 192.168.10.17

Tapez la séquence d'échappement pour abandonner.


Envoi de 5 échos ICMP de 100 octets à 192.168.10.17, le délai d'attente est de 2 secondes :
.!!!!
Le taux de réussite est de 80 pour cent (4/5), aller-retour min/moy/max = 1/1/1 ms
S2#

D'accord, maintenant pourquoi n'ai-je eu que quatre pings au lieu de cinq ? La première période [.] est un temps mort,
mais le point d'exclamation [!] est un succès.

C'est une bonne question, et voici votre réponse : le premier ping n'a pas fonctionné à cause du temps que
ARP prend pour résoudre l'adresse IP à son adresse MAC matérielle correspondante.

S3

Vérifiez la configuration du commutateur S3 :

Commutateur> fr
Switch# config t
SW-3(config)# nom d'hôte S3
S3(config)# activer le secret todd
S3(config)# int f0/1
S3(config-if)# desc 1ère connexion à S1
S3(config-if)# int f0/2
S3(config-if)# desc 2e connexion à S1
S3(config-if)# int f0/5
S3(config-if)# desc 1ère connexion à S2
S3(config-if)# int f0/6
S3(config-if)# desc 2e connexion à S2
S3(config-if)# ligne avec 0
S3(config-line)# console de mot de passe
S3(ligne de configuration)# connexion
S3(ligne de configuration)# ligne vty 0 15
S3(ligne de configuration)# mot de passe telnet
S3(ligne de configuration)# connexion
S3 (ligne de configuration) # int vlan 1
S3(config-if)# adresse IP 192.168.10.19 255.255.255.240
S3(config-if)# non fermé
S3(config-if)# banner motd #Ceci est le commutateur S3#
S3(config)# sortie
Début de l'exécution de la copie S3#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]
S3#

Maintenant, pingons sur S1 et S2 à partir du commutateur S3 et voyons ce qui se passe :

S3# ping 192.168.10.17


Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 192.168.10.17, le délai d'attente est de 2 secondes :
.!!!!
Le taux de réussite est de 80 pour cent (4/5), aller-retour min/moy/max = 1/3/9 ms
S3# ping 192.168.10.18
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 192.168.10.18, le délai d'attente est de 2 secondes :
.!!!!
Le taux de réussite est de 80 pour cent (4/5), aller-retour min/moy/max = 1/3/9 ms
S3# expédition arp
Adresse de protocole Âge (min) Type d'adresse matérielle Interface
Internet 192.168.10.17 0 001c.575e.c8c0 ARPA Vlan1

Page 164

Internet 192.168.10.18 0 b414.89d9.18c0 ARPA Vlan1


Internet 192.168.10.19 - ecc8.8202.82c0 ARPA Vlan1
S3#

Dans la sortie de la commande show ip arp , le tiret ( - ) dans la colonne des minutes signifie qu'il s'agit du
l'interface physique de l'appareil.

Maintenant, avant de passer à la vérification des configurations de commutateur, il y a une autre commande que vous
besoin de savoir, même si nous n'en avons pas vraiment besoin dans notre réseau actuel parce que nous n'avons pas
avoir un routeur impliqué. C'est la commande ip default-gateway . Si vous souhaitez gérer vos commutateurs
de l'extérieur de votre réseau local, vous devez définir une passerelle par défaut sur les commutateurs comme vous le feriez avec un
host, et vous le faites à partir de la configuration globale. Voici un exemple où nous introduisons notre routeur avec
une adresse IP utilisant la dernière adresse IP de notre plage de sous-réseaux :

S3 # config t
S3(config)# ip default-gateway 192.168.10.30

Maintenant que nous avons fondamentalement configuré les trois commutateurs, amusons-nous avec eux !

Sécurité des ports

Un port de commutateur sécurisé peut associer de 1 à 8 192 adresses MAC, mais le 3560s I
que j'utilise ne peut prendre en charge que 6 144, ce qui me semble bien plus que suffisant. Tu peux choisir
pour permettre au commutateur d'apprendre ces valeurs de manière dynamique, ou vous pouvez définir des adresses statiques pour chaque
port à l'aide de la commande switchport port-security mac-address mac-address .
Définissons
connecté donc
dans maintenant
notre la sécurité
laboratoire. des ports
En utilisant sur notre
la sécurité commutateur
des ports, S3. Lesassurés
nous sommes ports Fa0/3 et Fa0/4
qu'aucun autren'auront
appareilqu'un seul
ne peut sepériphérique
connecter une fois
nos hôtes dans les ports Fa0/3 et dans Fa0/4 sont connectés. Voici comment le faire facilement avec juste un
deux commandes :

S3 # config t
S3(config)# int range f0/3-4
S3(config-if-range)# accès en mode switchport
S3(config-if-range)# switchport port-security
S3(config-if-range)# affiche la sécurité du port int f0/3
Sécurité des ports : Activée
État des ports : Sécurisation
Mode d'infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement d'adresse SecureStatic : désactivé
Adresses MAC maximales : 1
Nombre total d'adresses MAC :0
Adresses MAC configurées : 0
Adresses MAC collantes : 0
Dernière adresse source : Vlan : 0000.000.0000 : 0
Nombre de violations de sécurité : 0

La première commande définit le mode des ports pour « accéder » aux ports. Ces ports doivent être des accès ou
ports de jonction pour activer la sécurité des ports. En utilisant la commande switchport port-security sur le
interface, j'ai activé la sécurité des ports avec une adresse MAC maximale de 1 et une violation de
fermer. Ce sont les valeurs par défaut, et vous pouvez les voir dans la sortie en surbrillance du show port-
security int f0/3 dans le code précédent.
La sécurité du port est activée, comme indiqué sur la première ligne, mais la deuxième ligne affiche Secure-down
car je n'ai pas encore connecté mes hôtes aux ports. Une fois que je le fais, le statut affichera Secure-up
et deviendrait Secure-shutdown en cas de violation.

Je dois juste souligner une fois de plus ce fait si important : il est très important de
rappelez-vous que vous pouvez définir des paramètres pour la sécurité du port, mais cela ne fonctionnera pas tant que vous n'aurez pas activé le port
sécurité au niveau de l'interface. Notez la sortie pour le port F0/6 :

S3 # config t
S3(config)# int range f0/6
S3(config-if-range)# accès en mode switchport
S3(config-if-range)# switchport port-security violation restreindre
S3(config-if-range)# affiche la sécurité du port int f0/6

Page 165

Sécurité des ports : désactivé


État des ports : Sécurisation
Mode d'infraction : restreindre
[coupure de sortie]

Le port Fa0/6 a été configuré avec une violation de restriction, mais la première ligne indique que le port
la sécurité n'a pas encore été activée sur le port. N'oubliez pas que vous devez utiliser cette commande à
niveau d'interface pour activer la sécurité des ports sur un port :

S3(config-if-range)# switchport port-security

Il existe deux autres modes que vous pouvez utiliser au lieu de simplement fermer le port. La restriction et
les modes de protection signifient qu'un autre hôte peut se connecter jusqu'au maximum d'adresses MAC autorisées,
mais une fois le maximum atteint, toutes les trames seront simplement supprimées et le port ne sera pas fermé
vers le bas. De plus, les modes de violation de restriction et d'arrêt vous avertissent via SNMP qu'un
une violation s'est produite sur un port. Vous pouvez alors appeler l'agresseur et lui dire qu'il est tellement fichu...
vous pouvez les voir, vous savez ce qu'ils ont fait, et ils ont de sérieux ennuis !

Si vous avez configuré des ports avec la commande d' arrêt de violation , les ports ressembleront à ceci
lorsqu'une violation se produit :

S3# sh port-security int f0/3


Sécurité des ports : Activée
État des ports : Arrêt sécurisé
Mode d'infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement d'adresse SecureStatic : désactivé
Adresses MAC maximales : 1
Nombre total d'adresses MAC :2
Adresses MAC configurées : 0
Adresses MAC collantes : 0
Dernière adresse source : Vlan : 0013:0ca69:00bb3:00ba8:1
Nombre de violations de sécurité : 1

Ici, vous pouvez voir que le port est en mode d' arrêt sécurisé et que le voyant du port serait
ambre. Pour réactiver le port, procédez comme suit :

S3(config-if)# arrêt
S3(config-if)# pas d'arrêt

Vérifions nos configurations de commutateur avant de passer aux VLAN dans le chapitre suivant. Il faut se méfier
que même si certains commutateurs afficheront err-disabled au lieu de Secure-shutdown comme commutateur
montre, il n'y a pas de différence entre les deux.

Vérification des commutateurs Cisco Catalyst


La première chose que j'aime faire avec n'importe quel routeur ou commutateur est de parcourir les configurations avec un
commande show running-config .
Pourquoi? Parce que cela me donne un très bon aperçu de chaque
dispositif. Mais cela prend du temps, et vous montrer toutes les configurations en prendrait beaucoup trop
pages de ce livre. En outre, nous pouvons à la place exécuter d'autres commandes qui nous fourniront toujours
vraiment de bonnes informations.
Par exemple, pour vérifier l'adresse IP définie sur un commutateur, nous pouvons utiliser la commande show interface .
Voici la sortie :

S3# sh int vlan 1


Vlan1 est actif, le protocole de ligne est actif
Le matériel est EtherSVI, l'adresse est ecc8.8202.82c0 (bia ecc8.8202.82c0)
L'adresse Internet est 192.168.10.19/28
MTU 1500 octets, BW 1000000 Kbit/sec, DLY 10 usec,
fiabilité 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, bouclage non défini
[coupure de sortie]

La sortie précédente montre que l'interface est en état up/up. N'oubliez pas de toujours vérifier cela
interface, soit avec cette commande, soit avec la commande show ip interface brief . Beaucoup de gens ont tendance
oublier que cette interface est fermée par défaut.

Page 166

N'oubliez jamais que les adresses IP ne sont pas nécessaires sur un commutateur pour qu'il fonctionne. Les

la seule raison pour laquelle nous définirions une adresse IP, un masque et une passerelle par défaut est pour la gestion
fins.

afficher la table d'adresses mac

Je suis sûr que vous vous souvenez avoir vu cette commande plus tôt dans le chapitre. Son utilisation affiche le
table de filtrage avant, également appelée table de mémoire adressable par le contenu (CAM). Voici la sortie
depuis le commutateur S1 :

S3# sh mac table d'adresses


Tableau d'adresses Mac
--------------------------------------------
Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.2f55.c9e8 DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 b414.89d9.1886 DYNAMIQUE Fa0/5
1 b414.89d9.1887 DYNAMIQUE Fa0/6

Les commutateurs utilisent des éléments appelés adresses MAC de base, qui sont attribuées au processeur. Le premier
répertorié est l'adresse MAC de base du commutateur. De la sortie précédente, vous pouvez voir que nous avons
six adresses MAC attribuées dynamiquement à Fa0/1, ce qui signifie que le port Fa0/1 est connecté à
un autre interrupteur. Les ports Fa0/5 et Fa0/6 n'ont qu'une seule adresse MAC attribuée, et tous les ports sont
affecté au VLAN 1.

Jetons un coup d'œil à la CAM du commutateur S2 et voyons ce que nous pouvons découvrir.

S2# sh mac table d'adresses


Tableau d'adresses Mac
--------------------------------------------
Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie
1 000e.83b2.e34b DYNAMIQUE Fa0/5
1 0011.1191.556f DYNAMIQUE Fa0/5
1 0011.3206.25cb DYNAMIQUE Fa0/5
1 001a.4d55.2f7e DYNAMIQUE Fa0/5
1 581f.aaff.86b8 DYNAMIQUE Fa0/5
1 ecc8.8202.8286 DYNAMIQUE Fa0/5
1 ecc8.8202.82c0 DYNAMIQUE Fa0/5
Nombre total d'adresses Mac pour ce critère : 27
S2#

Cette sortie nous indique que nous avons sept adresses MAC attribuées à Fa0/5, qui est notre
connexion à S3. Mais où est le port 6 ? Étant donné que le port 6 est un lien redondant vers S3, STP a placé Fa0/6
en mode blocage.

Attribution d'adresses MAC statiques

Vous pouvez définir une adresse MAC statique dans la table d'adresses MAC, mais comme définir un port MAC statique
la sécurité sans la commande collante , c'est une tonne de travail. Juste au cas où vous voudriez le faire, voici comment
c'est fait:

S3(config)# table d'adresses mac ?


Aging-time Définir l'âge maximum de l'entrée de la table d'adresses MAC
apprentissage Activer la fonction d'apprentissage de la table MAC
mouvement Déplacer le mot clé
notification Activer/Désactiver la notification MAC sur le commutateur
statique mot-clé statique

Page 167
S3(config)# mac address-table statique aaaa.bbbb.cccc vlan 1 int fa0/7
S3(config)# affiche la table d'adresses mac
Tableau d'adresses Mac
--------------------------------------------
Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7
[coupure de sortie]
Nombre total d'adresses Mac pour ce critère : 59

Comme indiqué sur le côté gauche de la sortie, vous pouvez voir qu'une adresse MAC statique a maintenant été
affecté de manière permanente à l'interface Fa0/7 et qu'il a également été affecté au VLAN 1 uniquement.

Maintenant admettez-le, ce chapitre contenait beaucoup d'informations intéressantes, et vous avez vraiment beaucoup appris et, eh bien,
peut-être même eu un peu de plaisir en cours de route aussi! Vous avez maintenant configuré et vérifié tous les commutateurs
et définissez la sécurité du port. Cela signifie que vous êtes maintenant prêt à tout apprendre sur les réseaux locaux virtuels ! je vais
enregistrez toutes nos configurations de commutateur afin que nous puissions commencer à partir d'ici au chapitre 11.

Sommaire
Dans ce chapitre, j'ai parlé des différences entre les commutateurs et les ponts et de la façon dont ils
fonctionnent à la couche 2. Ils créent des tables de transfert/filtre d'adresses MAC afin de prendre des décisions sur
s'il faut transmettre ou inonder une trame.

Bien que tout dans ce chapitre soit important, j'ai écrit deux sections sur la sécurité des ports—une pour
fournir une base et un avec un exemple de configuration. Vous devez connaître ces deux sections
en détail.

J'ai également couvert certains problèmes qui peuvent survenir si vous avez plusieurs liens entre les ponts
(commutateurs).

Enfin, j'ai couvert la configuration détaillée des commutateurs Catalyst de Cisco, y compris la vérification de la
configuration.

Essentiels de l'examen
Rappelez-vous les trois fonctions du commutateur. Aborder l'apprentissage, transférer/filtrer les décisions et
l'évitement de boucle sont les fonctions d'un commutateur.

N'oubliez pas la commande show mac address-table. La commande show mac adresse table volonté
vous montrer la table de transfert/filtre utilisée sur le commutateur LAN.

Comprendre la raison de la sécurité portuaire. La sécurité des ports restreint l'accès à un commutateur basé
sur les adresses MAC.

Connaître la commande pour activer la sécurité des ports. Pour activer la sécurité des ports sur un port, vous devez
assurez-vous d'abord que le port est un port d'accès avec un accès en mode switchport, puis utilisez le switchport
commande port-security au niveau de l'interface. Vous pouvez définir les paramètres de sécurité du port avant ou
après avoir activé la sécurité du port.

Connaître les commandes pour vérifier la sécurité des ports. Pour vérifier la sécurité du port, utilisez le show port-
security, show port-security interface interface et show running-config commandes.

Laboratoire écrit 10
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :

Page 168

Atelier 10.1 : Commutation de couche 2

Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».

Écrivez les réponses aux questions suivantes :

1. Quelle commande vous montrera la table de transfert/filtre ?

2. Si une adresse MAC de destination n'est pas dans la table de transfert/filtre, que fera le commutateur avec le
Cadre?

3. Quelles sont les trois fonctions de commutation de la couche 2 ?

4. Si une trame est reçue sur un port de commutateur et que l'adresse MAC source n'est pas dans le transfert/filtre
table, que fera le commutateur ?

5. Quels sont les modes par défaut pour un port de commutateur configuré avec la sécurité des ports ?

6. Quels sont les deux modes de violation qui envoient un trap SNMP ?

7. Quel mode de violation supprime les paquets avec des adresses source inconnues jusqu'à ce que vous supprimiez
suffisamment d'adresses MAC sécurisées pour tomber en dessous du maximum, mais génère également un message de journal,
provoque l'incrémentation du compteur de violations de sécurité et envoie une interruption SNMP mais ne
désactiver le port ?
8. Que fournit le mot-clé sticky dans la commande port-security ?
9. Quelles deux commandes pouvez-vous utiliser pour vérifier que la sécurité des ports a été configurée sur un port
FastEthernet 0/12 sur un switch ?

10. Vrai/Faux : le commutateur de couche 2 doit avoir une adresse IP définie et les PC se connectant au
switch doit utiliser cette adresse comme passerelle par défaut.

Laboratoires pratiques
Dans cette section, vous utiliserez le réseau commuté suivant pour configurer vos laboratoires de commutation. Tu
peut utiliser n'importe quel commutateur Cisco pour faire ce laboratoire, ainsi que le simulateur de version LammleSim IOS trouvé à
www.lammle.com/ccna . Ils n'ont pas besoin d'être des commutateurs multicouches, juste des commutateurs de couche 2.

Le premier laboratoire (Lab 10.1) vous oblige à configurer trois commutateurs, puis vous les vérifierez dans
Laboratoire 10.2.

Les laboratoires de ce chapitre sont les suivants :

Travaux pratiques 10.1 : Configuration des commutateurs de couche 2

Page 169

Travaux pratiques 10.2 : Vérification des commutateurs de couche 2

Atelier pratique 10.3 : Configuration de la sécurité des ports

Atelier 10.1 : Configuration des commutateurs de couche 2


Dans ce laboratoire, vous configurerez les trois commutateurs du graphique :

1. Connectez-vous au commutateur S1 et configurez les éléments suivants, sans ordre particulier :

Nom d'hôte

Bannière

Description de l'interface

Mots de passe

Adresse IP, masque de sous-réseau, passerelle par défaut

Commutateur> fr
Switch# config t
Switch(config)# nom d'hôte S1
S1(config)# activer le secret todd
S1(config)# int f0/15
S1(config-if)# description 1ère connexion à S3
S1(config-if)# int f0/16
S1(config-if)# description 2ème connexion à S3
S1(config-if)# int f0/17
S1(config-if)# description 1ère connexion à S2
S1(config-if)# int f0/18
S1(config-if)# description 2ème connexion à S2
S1(config-if)# int f0/8
S1(config-if)# desc Connexion à l'IVR
S1(config-if)# ligne con 0
S1(config-line)# console de mot de passe
S1(ligne de configuration)# connexion
S1(ligne de configuration)# ligne vty 0 15
S1(ligne de configuration)# mot de passe telnet
S1(ligne de configuration)# connexion
S1 (ligne de configuration) # int vlan 1
S1(config-if)# adresse IP 192.168.10.17 255.255.255.240
S1(config-if)# non fermé
S1(config-if)# sortie
S1(config)# banner motd #ceci est mon commutateur S1#
S1(config)# sortie
Début de l'exécution de la copie S1#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...

2. Connectez-vous au commutateur S2 et configurez tous les paramètres que vous avez utilisés à l'étape 1. N'oubliez pas d'utiliser
une adresse IP différente sur le commutateur.
3. Connectez-vous au commutateur S3 et configurez tous les paramètres que vous avez utilisés aux étapes 1 et 2. N'oubliez pas
pour utiliser une adresse IP différente sur le commutateur.

Atelier 10.2 : Vérification des commutateurs de couche 2


Une fois que vous avez configuré un appareil, vous devez pouvoir le vérifier.

1. Connectez-vous à chaque commutateur et vérifiez l'interface de gestion.

S1# sh interface vlan 1

2. Connectez-vous à chaque commutateur et vérifiez le CAM.

S1# sh mac table d'adresses

3. Vérifiez vos configurations avec les commandes suivantes :

S1# sh running-config
Brève expédition S1#

170

Atelier 10.3 : Configuration de la sécurité des ports


La sécurité des ports est un objectif majeur de Cisco. Ne sautez pas ce labo !

1. Connectez-vous à votre commutateur S3.

2. Configurez le port Fa0/3 avec la sécurité du port.

S3 # config t
S(config)# int fa0/3
S3(config-if# accès en mode Switchport
S3(config-if# switchport port-security

3. Vérifiez votre paramètre par défaut pour la sécurité des ports.

S3# show port-security int f0/3

4. Modifiez les paramètres pour avoir un maximum de deux adresses MAC pouvant être associées à l'interface
Fa0/3.

S3 # config t
S(config)# int fa0/3
S3(config-if# switchport port-security maximum 2

5. Modifiez le mode de violation pour restreindre .

S3 # config t
S(config)# int fa0/3
S3(config-if# switchport port-security violation restreindre

6. Vérifiez votre configuration avec les commandes suivantes :

S3 # afficher la sécurité des ports


S3# show port-security int fa0/3
S3# afficher la configuration en cours

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Laquelle des affirmations suivantes n'est pas vraie en ce qui concerne la commutation de couche 2 ?

A. Les commutateurs et ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps
en regardant les informations d'en-tête de la couche de liaison de données.

B. Les commutateurs et ponts de couche 2 examinent les adresses matérielles de la trame avant de décider de
soit avancer, inonder ou laisser tomber la trame.

C. Les commutateurs créent des domaines de collision privés et dédiés et fournissent une bande passante indépendante
sur chaque port.

D. Les commutateurs utilisent des circuits intégrés spécifiques à l'application (ASIC) pour construire et maintenir leur
Tableaux de filtrage MAC.

2. Répertoriez les deux commandes qui ont généré la dernière entrée dans la table d'adresses MAC affichée.

Tableau d'adresses Mac


--------------------------------------------

Type d'adresse Vlan Mac Ports


---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie]
Page 171

1 000e.83b2.e34b DYNAMIQUE Fa0/1


1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7

3. Dans le schéma illustré, que fera le commutateur si une trame avec une adresse MAC de destination de
000a.f467.63b1 est reçu sur Fa0/4 ? (Choisissez tout ce qui correspond.)

A. Laissez tomber le cadre.

B. Envoyez la trame hors de Fa0/3.

C. Envoyez la trame hors de Fa0/4.

D. Envoyez la trame hors de Fa0/5.

E. Envoyez la trame hors de Fa0/6.

4. Écrivez la commande qui a généré la sortie suivante.

Tableau d'adresses Mac


--------------------------------------------
Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.2f55.c9e8 DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 b414.89d9.1886 DYNAMIQUE Fa0/5
1 b414.89d9.1887 DYNAMIQUE Fa0/6

5. Dans la zone de travail du graphique suivant, dessinez les fonctions d'un interrupteur de la liste sur le
de gauche à droite.

Page 172

6. Quelle(s) affirmation(s) est/sont vraie(s) concernant le résultat affiché ici ? (Choisissez tout ce qui correspond.)

S3# sh port-security int f0/3


Sécurité des ports : Activée
État des ports : Arrêt sécurisé
Mode d'infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement d'adresse SecureStatic : désactivé
Adresses MAC maximales : 1
Nombre total d'adresses MAC :2
Adresses MAC configurées : 0
Adresses MAC collantes : 0
Dernière adresse source : Vlan : 0013:0ca69:00bb3:00ba8:1
Nombre de violations de sécurité : 1

A. La lumière du port pour F0/3 sera de couleur ambre.

B. Le port F0/3 transfère des trames.

C. Ce problème se résoudra de lui-même en quelques minutes.

D. Ce port nécessite la commande shutdown pour fonctionner.

7. Écrivez la commande qui limiterait le nombre d'adresses MAC autorisées sur un port à 2.
N'écrivez que la commande et non l'invite.

8. Laquelle des commandes suivantes dans cette configuration est une condition préalable à l'autre
commandes pour fonctionner?

S3 # config t
S(config)# int fa0/3
S3(config-if# switchport port-security
S3(config-if# switchport port-security maximum 3
S3(config-if# switchport port-security violation restreindre
S3(config-if# Switchport mode-sécurité temps de vieillissement 10

A. temps de vieillissement de la sécurité en mode switchport 10

B. la sécurité du port switchport

C. port de commutation de sécurité au maximum 3

D. restriction de violation de sécurité du port switchport

9. Lequel si ce qui suit n'est pas un problème traité par STP ?

A. Orages de diffusion

B. Redondance de passerelle

C. Un appareil recevant plusieurs copies de la même trame

D. Mise à jour constante de la table des filtres MAC

10. Quel problème se pose lorsqu'une redondance existe entre les commutateurs est illustré dans la figure ?

Page 173

A. Orage de diffusion

B. Boucle de routage

C. Violation portuaire

D. Perte de la passerelle

11. Lequel des deux modes de violation de port de commutateur suivants vous alertera via SNMP qu'un
violation a eu lieu sur un port?

A. restreindre

B. protéger

C. l' arrêt

D. err-désactiver

12. ___________est le mécanisme d'évitement de boucle utilisé par les commutateurs.

13. Écrivez la commande qui doit être présente sur tout commutateur que vous devez gérer à partir d'un
sous-réseau différent.
14. Sur quelle interface par défaut avez-vous configuré une adresse IP pour un commutateur ?

A. int fa0/0

B. int vty 0 15

C. int vlan 1

D. int s/0/0

15. Quelle commande Cisco IOS est utilisée pour vérifier la configuration de sécurité des ports d'un port de commutateur ?

A. show interfaces port-sécurité

B. afficher l'interface de sécurité des ports

C. afficher l'interface IP

D. show interfaces switchport

16. Écrivez la commande qui enregistrera une adresse MAC apprise dynamiquement dans le
configuration d'un switch Cisco ?

17. Laquelle des méthodes suivantes garantira qu'un seul hôte spécifique peut se connecter au port
F0/3 sur un interrupteur ? (Choisissez deux réponses. Chaque bonne réponse est une solution distincte.)

Page 174

A. Configurez la sécurité des ports sur F0/3 pour accepter le trafic autre que celui de l'adresse MAC de
l'hôte.

B. Configurez l'adresse MAC de l'hôte en tant qu'entrée statique associée au port F0/3.

C. Configurez une liste de contrôle d'accès entrant sur le port F0/3 limitant le trafic à l'adresse IP de
l'hôte.

D. Configurez la sécurité des ports sur F0/3 pour accepter le trafic uniquement à partir de l'adresse MAC de l'hôte.

18. Quel sera l'effet de l'exécution de la commande suivante sur le port F0/1 ?
switch(config-if)# switchport port-security mac-address 00C0.35F0.8301

A. La commande configure une liste de contrôle d'accès entrante sur le port F0/1, limitant le trafic à
l'adresse IP de l'hôte.

B. La commande interdit expressément l'adresse MAC de 00c0.35F0.8301 comme une


hôte sur le port du commutateur.

C. La commande crypte tout le trafic sur le port à partir de l'adresse MAC de 00c0.35F0.8301.

D. La commande définit statiquement l'adresse MAC de 00c0.35F0.8301 en tant qu'hôte autorisé


sur le port du commutateur.

19. La salle de conférence dispose d'un port de commutation disponible pour être utilisé par le présentateur pendant les cours, et
chaque présentateur utilise le même PC connecté au port. Vous souhaitez empêcher d'autres PC
d'utiliser ce port. Vous avez complètement supprimé l'ancienne configuration pour commencer
un nouveau. Laquelle des étapes suivantes n'est pas nécessaire pour empêcher d'autres PC d'utiliser ce
Port?

A. Activez la sécurité des ports.

B. Attribuez l'adresse MAC du PC au port.

C. Faites du port un port d'accès.

D. Faites du port un port de jonction.

20. Écrivez la commande requise pour désactiver le port si une violation de sécurité se produit. N'écrivez que le
commande et non l'invite.
Page 175

Chapitre 11
VLAN et routage inter-VLAN

LES SUJETS SUIVANTS DE L'EXAMEN ICND1 SONT COUVERTS DANS


CE CHAPITRE:
2.0 Technologies de commutation LAN

2.4 Configurer, vérifier et dépanner les VLAN (plage normale) couvrant plusieurs
commutateurs

2.4.a Ports d'accès (données et voix)

2.4.b VLAN par défaut

2.5 Configurer, vérifier et dépanner la connectivité interswitch

2.5.a Ports de jonction

2.5.b 802.1Q

2.5.c VLAN natif

3.0 Technologies de routage

3.4 Configurer, vérifier et dépanner le routage inter-VLAN

3.4.a Routeur sur bâton

Je sais que je n'arrête pas de te le dire, mais pour que tu ne l'oublies jamais,
c'est parti, une dernière fois : par défaut, les commutateurs cassent les domaines de collision et les routeurs se cassent
domaines de diffusion. D'accord, je me sens mieux ! Maintenant, nous pouvons continuer.

Contrairement aux réseaux d'hier qui reposaient sur des dorsales effondrées, les réseaux d'aujourd'hui
la conception du réseau se caractérise par une architecture plus plate, grâce aux commutateurs. Et maintenant? Comment
décomposons-nous les domaines de diffusion dans un interréseau purement commuté ? En créant un local virtuel
réseaux locaux (VLAN). Un VLAN est un regroupement logique d'utilisateurs du réseau et de ressources connectées
aux ports définis administrativement sur un commutateur. Lorsque vous créez des VLAN, vous avez la possibilité de
créer des domaines de diffusion plus petits au sein d'un inter-réseau commuté de couche 2 en attribuant différents
ports sur le commutateur pour desservir différents sous-réseaux. Un VLAN est traité comme son propre sous-réseau ou
domaine de diffusion, ce qui signifie que les trames diffusées sur le réseau ne sont commutées qu'entre
les ports regroupés logiquement au sein du même VLAN.

Alors, cela signifie-t-il que nous n'avons plus besoin de routeurs ? Peut-être oui; peut-être que non. ça dépend vraiment de quoi
vos besoins et objectifs particuliers en matière de réseautage sont. Par défaut, les hôtes d'un VLAN spécifique ne peuvent pas
communiquer avec des hôtes membres d'un autre VLAN, donc si vous voulez inter-VLAN
communication, la réponse est que vous avez toujours besoin d'un routeur ou d'un routage inter-VLAN (IVR).

Page 176

Dans ce chapitre, vous allez apprendre en détail ce qu'est un VLAN et comment le VLAN
les adhésions sont utilisées dans un réseau commuté. Vous saurez également ce qu'est un lien de jonction
est et comment les configurer et les vérifier.

Je terminerai ce chapitre en démontrant comment vous pouvez faire en sorte que la communication inter-VLAN se produise
en introduisant un routeur dans un réseau commuté. Bien sûr, nous allons configurer notre commutateur habituel
la disposition du réseau que nous avons utilisée dans le dernier chapitre pour créer des VLAN et pour implémenter la jonction
et le routage inter-VLAN sur un commutateur de couche 3 en créant des interfaces virtuelles commutées (SVI).

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna

ou la page Web du livre à l' adresse www.sybex.com/go/ccna .


Notions de base sur les VLAN
La figure 11.1 illustre l'architecture de réseau plate qui était si typique pour la couche 2 commutée
réseaux. Avec cette configuration, chaque paquet de diffusion transmis est vu par chaque appareil
sur le réseau, que l'appareil ait besoin ou non de recevoir ces données.

FIGURE 11.1 Structure du réseau plat

Par défaut, les routeurs autorisent les diffusions uniquement au sein du réseau d'origine, tandis que les commutateurs
transmettre les diffusions à tous les segments. Oh, et au fait, la raison pour laquelle ça s'appelle un réseau plat est
parce qu'il s'agit d'un domaine de diffusion , et non parce que la conception réelle est physiquement plate. Dans la figure 11.1
nous voyons l'hôte A envoyer une diffusion et tous les ports sur tous les commutateurs la transmettre, tous sauf le
port qui l'a initialement reçu.

Consultez maintenant la figure 11.2 . Il représente un réseau commuté et montre l'hôte A envoyant une trame
avec l'hôte D comme destination. De toute évidence, le facteur important ici est que le cadre n'est
transmis le port où se trouve l'hôte D.

Page 177

FIGURE 11.2 Les avantages d'un réseau commuté

Il s'agit d'une énorme amélioration par rapport aux anciens réseaux concentrateurs, à moins d'avoir un domaine de collision par
par défaut, c'est ce que vous voulez vraiment pour une raison quelconque !

D'accord, vous savez déjà que le plus grand avantage d'un réseau commuté de couche 2 est
qu'il crée des segments de domaine de collision individuels pour chaque périphérique connecté à chaque port du
changer. Ce scénario nous libère des anciennes contraintes de densité Ethernet et nous permet de
construire de plus grands réseaux. Mais trop souvent, chaque nouvelle avancée s'accompagne de nouveaux problèmes. Par exemple, le
plus d'utilisateurs et d'appareils peuplent et utilisent un réseau, plus il y a de diffusions et de paquets chacun
l'interrupteur doit gérer.

Et il y a un autre gros problème : la sécurité ! Celui-ci est un vrai problème car dans la couche typique 2
interréseau commuté, tous les utilisateurs peuvent voir tous les appareils par défaut. Et vous ne pouvez pas empêcher les appareils de
diffusion, et vous ne pouvez pas empêcher les utilisateurs d'essayer de répondre aux diffusions. Cela signifie que votre
les options de sécurité sont lamentablement limitées à placer des mots de passe sur vos serveurs et autres appareils.

Mais attendez, il y a de l'espoir si vous créez un réseau local virtuel (VLAN) ! Vous pouvez résoudre de nombreux problèmes
associé à la commutation de couche 2 avec les VLAN, comme vous le verrez bientôt.

Les VLAN fonctionnent comme ceci : La figure 11.3 montre tous les hôtes de cette très petite entreprise connectés à un
switch, ce qui signifie que tous les hôtes recevront toutes les trames, ce qui est le comportement par défaut de tous les switchs.

Page 178

FIGURE 11.3 Un commutateur, un LAN : avant les VLAN, il n'y avait pas de séparations entre les hôtes.

Si nous voulons séparer les données de l'hôte, nous pouvons soit acheter un autre commutateur, soit créer des réseaux locaux virtuels,
comme le montre la figure 11.4 .

FIGURE 11.4 Un commutateur, deux réseaux locaux virtuels ( séparation logique entre les hôtes) : toujours physiquement
un seul interrupteur, mais cet interrupteur agit comme plusieurs appareils séparés.

Dans la figure 11.4 , j'ai configuré le commutateur pour qu'il soit deux réseaux locaux distincts, deux sous-réseaux, deux diffusions
domaines, deux VLAN—ils signifient tous la même chose—sans acheter un autre commutateur. Nous pouvons faire
cela 1 000 fois sur la plupart des commutateurs Cisco, ce qui permet d'économiser des milliers de dollars et plus !

Notez que même si la séparation est virtuelle et que les hôtes sont toujours connectés au même
commutateur, les réseaux locaux ne peuvent pas s'envoyer de données par défaut. C'est parce qu'ils sont toujours séparés
réseaux, mais ne vous inquiétez pas, nous aborderons la communication inter-VLAN plus loin dans ce chapitre.

Page 179

Voici une courte liste de façons dont les VLAN simplifient la gestion du réseau :

Les ajouts, déplacements et modifications de réseau sont réalisés facilement en configurant simplement un port dans le
VLAN approprié.

Un groupe d'utilisateurs qui ont besoin d'un niveau de sécurité exceptionnellement élevé peut être placé dans son propre VLAN afin
que les utilisateurs en dehors de ce VLAN ne peuvent pas communiquer avec les utilisateurs du groupe.

En tant que regroupement logique d'utilisateurs par fonction, les VLAN peuvent être considérés comme indépendants de leur
emplacements physiques ou géographiques.

Les VLAN améliorent considérablement la sécurité du réseau s'ils sont implémentés correctement.

Les VLAN augmentent le nombre de domaines de diffusion tout en diminuant leur taille.

À venir, nous explorerons en profondeur le monde de la commutation, et vous apprendrez exactement comment et pourquoi
les commutateurs nous fournissent de bien meilleurs services réseau que les hubs de nos réseaux actuels.

Contrôle de diffusion
Les diffusions se produisent dans tous les protocoles, mais leur fréquence dépend de trois éléments :

Le type de protocole

La ou les applications s'exécutant sur l'interréseau

Comment ces services sont utilisés

Certaines applications plus anciennes ont été réécrites pour réduire leur consommation de bande passante, mais il y a
une nouvelle génération d'applications si gourmandes en bande passante qu'elles consomment tout ce qu'elles
peuvent trouver. Ces gloutons sont la légion d'applications multimédias qui utilisent à la fois des diffusions et
multicast de manière intensive. Comme s'il n'y avait pas assez de problèmes, des facteurs comme un équipement défectueux,
une segmentation inadéquate et des pare-feu mal conçus peuvent sérieusement aggraver les problèmes
déjà causé par ces applications à forte intensité de diffusion. Tout cela a ajouté une grande nouveauté
dimension à la conception du réseau et présente un tas de nouveaux défis pour un administrateur.
S'assurer positivement que votre réseau est correctement segmenté afin que vous puissiez rapidement isoler un seul
les problèmes de segment pour les empêcher de se propager dans tout votre interréseau est
désormais impératif. Et le moyen le plus efficace d'y parvenir est la commutation et le routage stratégiques !

Depuis que les commutateurs sont devenus plus abordables, presque tout le monde a remplacé son hub plat
réseaux avec des environnements de réseau commuté et VLAN purs. Tous les périphériques d'un VLAN sont
membres du même domaine de diffusion et recevoir toutes les diffusions qui s'y rapportent. Par défaut,
ces diffusions sont filtrées à partir de tous les ports d'un commutateur qui ne sont pas membres du même VLAN.
C'est génial parce que vous obtenez tous les avantages que vous auriez avec une conception commutée sans être touché
avec tous les problèmes que vous auriez si tous vos utilisateurs étaient dans le même domaine de diffusion, chouette !

Sécurité
Mais il y a toujours un hic, non ? Il est temps de revenir à ces problèmes de sécurité. Un interréseau plat
La sécurité était auparavant abordée en connectant des concentrateurs et des commutateurs avec des routeurs. Donc c'était ça
essentiellement le travail du routeur pour maintenir la sécurité. Cet arrangement était assez inefficace pour
plusieurs raisons. Premièrement, toute personne se connectant au réseau physique pourrait accéder au réseau
ressources situées sur ce LAN physique particulier. Deuxièmement, tout ce que quelqu'un avait à faire pour observer
et tout le trafic traversant ce réseau consistait simplement à brancher un analyseur de réseau au concentrateur. Et
similaire à ce dernier fait effrayant, les utilisateurs pourraient facilement rejoindre un groupe de travail en branchant simplement leur
postes de travail dans le hub existant. C'est à peu près aussi sûr qu'un baril de miel dans un ours
enceinte!

Mais c'est exactement ce qui rend les VLAN si cool. Si vous les construisez et créez plusieurs diffusions
groupes, vous pouvez toujours avoir un contrôle total sur chaque port et utilisateur ! Alors les jours où n'importe qui pouvait
il suffit de brancher leurs postes de travail sur n'importe quel port de commutateur et d'accéder aux ressources du réseau sont de l'histoire ancienne
car maintenant vous contrôlez chaque port et toutes les ressources auxquelles il peut accéder.

Et ce n'est même pas tout : les VLAN peuvent être créés en harmonie avec le besoin d'un utilisateur spécifique pour le

Page 180

ressources du réseau. De plus, les commutateurs peuvent être configurés pour informer une station de gestion de réseau
sur l'accès non autorisé à ces ressources réseau vitales. Et si vous avez besoin d'inter-VLAN
communication, vous pouvez implémenter des restrictions sur un routeur pour vous assurer que tout se passe
en toute sécurité. Vous pouvez également imposer des restrictions sur les adresses matérielles, les protocoles et les applications.
Maintenant, nous parlons de sécurité - notre baril de miel est maintenant scellé hermétiquement, fait de titane solide et
enveloppé dans du fil de rasoir !

Flexibilité et évolutivité
Si vous avez fait attention jusqu'à présent, vous savez que la couche 2 ne commute que les trames de lecture pour
filtrage car ils ne regardent pas le protocole de la couche réseau. Vous savez aussi que par défaut,
les commutateurs transmettent les diffusions à tous les ports. Mais si vous créez et implémentez des VLAN, vous
créant essentiellement des domaines de diffusion plus petits au niveau de la couche 2.
Par conséquent, les diffusions envoyées depuis un nœud dans un VLAN ne seront pas transmises aux ports configurés
appartenir à un autre VLAN. Mais si nous attribuons des ports de commutateur ou des utilisateurs à des groupes VLAN sur un commutateur
ou sur un groupe de commutateurs connectés, nous gagnons la flexibilité d'ajouter exclusivement uniquement les utilisateurs que nous
veulent laisser entrer dans ce domaine de diffusion quel que soit leur emplacement physique. Cette configuration peut également
travailler pour bloquer les tempêtes de diffusion causées par une carte d'interface réseau (NIC) défectueuse ainsi que
empêcher un périphérique intermédiaire de propager des tempêtes de diffusion dans l'ensemble
interréseau. Ces problèmes peuvent toujours se produire sur le VLAN d'où provient le problème, mais le
la maladie sera entièrement contenue dans ce VLAN malade !

Un autre avantage est que lorsqu'un VLAN devient trop grand, vous pouvez simplement créer plus de VLAN pour
les diffusions de consommer trop de bande passante. Moins il y a d'utilisateurs dans un VLAN, moins il y a d'utilisateurs
touchés par les émissions. Tout cela est bien, mais vous devez sérieusement garder à l'esprit les services réseau
et comprendre comment les utilisateurs se connectent à ces services lors de la création d'un VLAN. Une bonne stratégie
est d'essayer de garder tous les services, à l'exception du courrier électronique et de l'accès Internet dont tout le monde a besoin, en local
à tous les utilisateurs dans la mesure du possible.

Identification des VLAN


Les ports de commutation sont des interfaces de couche 2 uniquement associées à un port physique pouvant appartenir
à un seul VLAN s'il s'agit d'un port d'accès ou à tous les VLAN s'il s'agit d'un port de jonction.

Les commutateurs sont certainement des appareils assez occupés. Comme une myriade d'images sont commutées tout au long de la
réseau, les commutateurs doivent pouvoir les suivre tous et savoir quoi faire avec
en fonction de leurs adresses matérielles associées. Et n'oubliez pas que les images sont gérées
différemment selon le type de lien qu'ils traversent.

Il existe deux types de ports différents dans un environnement commuté. Jetons un coup d'oeil au premier
saisissez la figure 11.5 .

Page 181

FIGURE 11.5 Ports d'accès

Notez qu'il existe des ports d'accès pour chaque hôte et un port d'accès entre les commutateurs, un pour chaque
VLAN.

Ports d' accès Un port d'accès appartient et transporte le trafic d'un seul VLAN. Le trafic est à la fois
reçus et envoyés dans des formats natifs sans aucune information VLAN (marquage). N'importe quoi
arrivant sur un port d'accès est simplement supposé appartenir au VLAN attribué au port. Parce que
un port d'accès ne regarde pas l'adresse source, le trafic balisé—une trame avec un VLAN ajouté
informations—peuvent être correctement transférés et reçus uniquement sur les ports de jonction.

Avec un lien d'accès, cela peut être appelé le VLAN configuré du port. Tout appareil
attaché à un lien d'accès n'est pas au courant d'une appartenance à un VLAN - l'appareil suppose simplement qu'il fait partie de
un domaine de diffusion. Mais il n'a pas une vue d'ensemble, donc il ne comprend pas le physique
topologie du réseau du tout.

Une autre bonne information à savoir est que les commutateurs suppriment toute information VLAN de
la trame avant qu'elle ne soit transmise à un périphérique de liaison d'accès. N'oubliez pas que les appareils à liaison d'accès
ne peut pas communiquer avec des périphériques en dehors de leur VLAN à moins que le paquet ne soit routé. Aussi, vous pouvez
créez uniquement un port de commutateur pour être un port d'accès ou un port de jonction, pas les deux. Alors tu dois
choisissez l'un ou l'autre et sachez que si vous en faites un port d'accès, ce port peut être affecté à
un seul VLAN. Dans la Figure 11.5 , seuls les hôtes du VLAN de vente peuvent communiquer avec d'autres hôtes du
même VLAN. C'est la même chose avec le VLAN Admin, et ils peuvent tous deux communiquer avec les hôtes sur
l'autre commutateur en raison d'un lien d'accès pour chaque VLAN configuré entre les commutateurs.

Ports d'accès vocal Pour ne pas vous embrouiller, mais tout ce que je viens de dire sur le fait qu'un accès
le port ne peut être affecté qu'à un seul VLAN n'est vraiment qu'une sorte de vrai. De nos jours, la plupart des commutateurs
vous permettra d'ajouter un deuxième VLAN à un port d'accès sur un port switch pour votre trafic voix,
appelé le VLAN voix. Le VLAN voix s'appelait auparavant VLAN auxiliaire, ce qui permettait
il doit être superposé au VLAN de données, permettant aux deux types de trafic de voyager à travers le
même port. Même si cela est techniquement considéré comme un type de lien différent, c'est toujours juste
un port d'accès qui peut être configuré pour les VLAN de données et de voix. Cela vous permet de

Page 182

connectez à la fois un téléphone et un PC à un port de commutateur tout en gardant chaque appareil dans un
VLAN séparé.

Ports de jonction Croyez-le ou non, le terme port de jonction a été inspiré par les jonctions du système téléphonique,
qui transportent plusieurs conversations téléphoniques à la fois. Il s'ensuit donc que les ports de jonction peuvent
transporter de la même manière plusieurs VLAN à la fois.

Une liaison de jonction est une liaison point à point de 100, 1 000 ou 10 000 Mbps entre deux commutateurs, entre un
commutateur et routeur, ou même entre un commutateur et un serveur, et il transporte le trafic de plusieurs
VLAN : de 1 à 4 094 VLAN à la fois. Mais le montant n'est vraiment que jusqu'à 1001 à moins que
vous allez avec quelque chose appelé VLAN étendu.

Au lieu d'un lien d'accès pour chaque VLAN entre les commutateurs, nous allons créer un lien de jonction,
illustré à la figure 11.6 .

FIGURE 11.6 Les VLAN peuvent s'étendre sur plusieurs commutateurs en utilisant des liaisons de jonction, qui transportent le trafic
pour plusieurs VLAN.

Le trunking peut être un réel avantage car avec lui, vous pouvez faire en sorte qu'un seul port fasse partie d'un tout
un tas de VLAN différents en même temps. C'est une fonctionnalité intéressante car vous pouvez réellement définir
ports jusqu'à avoir un serveur dans deux domaines de diffusion distincts simultanément afin que vos utilisateurs ne
devez traverser un périphérique de couche 3 (routeur) pour vous connecter et y accéder. Un autre avantage de la goulotte vient
en jeu lorsque vous connectez des commutateurs. Les liaisons de jonction peuvent transporter les trames de divers VLAN
à travers eux, mais par défaut, si les liens entre vos commutateurs ne sont pas partagés, seules les informations
à partir de l'accès configuré, le VLAN sera commuté sur ce lien.

Il est également bon de savoir que tous les VLAN envoient des informations sur un lien à ressources partagées à moins que vous ne désactiviez chacun d'eux.
VLAN à la main, et pas de soucis, je vais vous montrer comment effacer des VLAN individuels d'un tronc dans un instant.
D'accord, il est enfin temps de vous parler du balisage des trames et des méthodes d'identification VLAN utilisées
dedans à travers nos liaisons interurbaines.

Balisage des cadres

Page 183

Comme vous le savez maintenant, vous pouvez configurer vos VLAN pour couvrir plusieurs commutateurs connectés. Vous pouvez
voyez cela sur la figure 11.6 , qui décrit les hôtes de deux VLAN répartis sur deux commutateurs.
Cette capacité flexible et puissante est probablement le principal avantage de la mise en œuvre de VLAN,
et nous pouvons le faire avec jusqu'à mille VLAN et des milliers et des milliers d'hôtes !

Tout cela peut devenir un peu compliqué, même pour un commutateur, il doit donc y avoir un moyen pour chacun
pour garder une trace de tous les utilisateurs et trames lorsqu'ils parcourent la matrice de commutation et les VLAN. Quand je dis,
« switch fabric », je fais simplement référence à un groupe de commutateurs qui partagent les mêmes informations VLAN.
Et c'est justement là que le marquage des images entre en scène. Cette identification de cadre
La méthode attribue de manière unique un ID de VLAN défini par l'utilisateur à chaque trame.

Voici comment cela fonctionne : une fois dans la matrice de commutation, chaque commutateur atteint par la trame doit d'abord
identifiez l'ID de VLAN à partir de la balise de trame. Il découvre alors quoi faire avec le cadre en regardant
aux informations contenues dans ce qu'on appelle la table de filtrage. Si le cadre atteint un commutateur qui a
autre liaison à ressources partagées, la trame sera transférée hors du port de liaison à ressources partagées.

Une fois que la trame atteint une sortie qui est déterminée par la table de transfert/filtre comme étant un lien d'accès
correspondant à l'ID de VLAN de la trame, le commutateur supprimera l'identifiant de VLAN. C'est ainsi le
l'appareil de destination peut recevoir les trames sans avoir à comprendre son VLAN
informations d'identification.

Un autre avantage des ports de jonction est qu'ils prendront en charge le trafic balisé et non balisé.
simultanément si vous utilisez la jonction 802.1q, dont nous parlerons ensuite. Le port de jonction est
attribué un ID de VLAN de port par défaut (PVID) pour un VLAN sur lequel tout le trafic non balisé passera.
Ce VLAN est également appelé VLAN natif et est toujours VLAN 1 par défaut, mais il peut être modifié
à n'importe quel numéro de VLAN.

De même, tout trafic non balisé ou balisé avec un ID de VLAN NULL (non attribué) est supposé
appartiennent au VLAN avec le PVID par défaut du port. Encore une fois, ce serait le VLAN 1 par défaut. Un paquet
avec un ID de VLAN égal au port sortant, le VLAN natif est envoyé sans balise et peut communiquer avec
uniquement des hôtes ou des périphériques dans ce même VLAN. Tout autre trafic VLAN doit être envoyé avec une balise VLAN
pour communiquer au sein d'un VLAN particulier qui correspond à cette balise.

Méthodes d'identification de VLAN


L'identification du VLAN est ce que les commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent un
tissu de commutation. C'est ainsi que les commutateurs identifient quelles trames appartiennent à quels VLAN, et il y a plus
qu'une méthode de jonction.

Lien inter-commutateur (ISL)

Inter-Switch Link (ISL) est un moyen de marquer explicitement les informations VLAN sur une trame Ethernet.
Ces informations de marquage permettent aux VLAN d'être multiplexés sur une liaison de jonction via un réseau externe.
méthode d'encapsulation. Cela permet au commutateur d'identifier l'appartenance au VLAN d'une trame
reçu sur la liaison partagée.

En exécutant ISL, vous pouvez interconnecter plusieurs commutateurs tout en conservant les informations VLAN comme
le trafic circule entre les commutateurs sur les liaisons interurbaines. ISL fonctionne à la couche 2 en encapsulant une donnée
trame avec un nouvel en-tête et en effectuant un nouveau contrôle de redondance cyclique (CRC).

Il est à noter qu'ISL est la propriété des commutateurs Cisco et qu'il est également assez polyvalent. ISL peut être utilisé
sur un port de commutateur, des interfaces de routeur et des cartes d'interface de serveur pour relier un serveur.

Bien que certains commutateurs Cisco prennent toujours en charge le balisage des trames ISL, Cisco s'oriente vers l'utilisation uniquement
802.1q.

IEEE 802.1q

Créé par l'IEEE comme méthode standard de marquage de trame, IEEE 802.1q insère en fait un champ
dans la trame pour identifier le VLAN. Si vous effectuez une jonction entre une liaison commutée Cisco et un
marque différente de commutateur, vous devez utiliser 802.1q pour que le tronc fonctionne.

Contrairement à ISL, qui encapsule la trame avec les informations de contrôle, 802.1q insère un 802.1q

Page 184

ainsi que les informations de contrôle des balises, comme illustré à la Figure 11.7 .
FIGURE 11.7 Encapsulation IEEE 802.1q avec et sans balise 802.1q

Pour les objectifs de l'examen Cisco, seul l'ID de VLAN 12 bits compte. Ce champ identifie le
VLAN et peut être de 2 au 12, moins 2 pour le 0 et 4 095 VLAN réservés, ce qui signifie un
La trame balisée 802.1q peut transporter des informations pour 4 094 VLAN.

Cela fonctionne comme ceci: vous désignez d'abord chaque port qui va être un tronc avec 802.1q
encapsulation. Les autres ports doivent se voir attribuer un ID de VLAN spécifique pour qu'ils
communiquer. VLAN 1 est le VLAN natif par défaut, et lors de l'utilisation de 802.1q, tout le trafic pour un natif
Le VLAN n'est pas balisé. Les ports qui peuplent le même tronc créent un groupe avec ce VLAN natif
et chaque port est étiqueté avec un numéro d'identification reflétant cela. Encore une fois, la valeur par défaut est VLAN
1. Le VLAN natif permet aux jonctions d'accepter les informations reçues sans aucun VLAN
identification ou étiquette de cadre.

La plupart des commutateurs du modèle 2960 ne prennent en charge que le protocole de jonction IEEE 802.1q, mais le 3560
supportent à la fois les méthodes ISL et IEEE, que vous verrez plus loin dans ce chapitre.

L'objectif fondamental des méthodes de marquage de trame ISL et 802.1q est de fournir

basculer la communication VLAN. N'oubliez pas que tout balisage de trame ISL ou 802.1q est supprimé
si une trame est transférée vers un lien d'accès, le balisage est utilisé en interne et sur les liens de jonction
seul!

Routage entre les VLAN


Les hôtes d'un VLAN vivent dans leur propre domaine de diffusion et peuvent communiquer librement. Les VLAN créent
partitionnement du réseau et séparation du trafic à la couche 2 de l'OSI, et comme je l'ai dit quand je vous l'ai dit
pourquoi nous avons toujours besoin de routeurs, si vous voulez que des hôtes ou tout autre périphérique adressable par IP communiquent
entre les VLAN, vous devez disposer d'un périphérique de couche 3 pour assurer le routage.

Pour cela, vous pouvez utiliser un routeur qui a une interface pour chaque VLAN ou un routeur qui prend en charge ISL
ou routage 802.1q. Le routeur le moins cher qui prend en charge le routage ISL ou 802.1q est le 2600
routeur en série. Il faudrait l'acheter chez un revendeur de matériel d'occasion car ils sont en fin de
vie, ou EOL. Je recommanderais au moins un 2800 comme strict minimum, mais même cela ne prend en charge que
802.1q ; Cisco s'éloigne vraiment de l'ISL, vous ne devriez donc probablement utiliser que 802.1q
De toute façon. Certains 2800 peuvent prendre en charge à la fois ISL et 802.1q ; Je ne l'ai jamais vu pris en charge.

Quoi qu'il en soit, comme le montre la figure 11.8 , si vous aviez deux ou trois VLAN, vous pourriez vous en tirer avec un routeur
équipé de deux ou trois connexions FastEthernet. Et 10Base-T est correct pour l'étude à domicile
fins, et je veux dire seulement pour vos études, mais pour toute autre chose, je recommanderais fortement Gigabit

Page 185

des interfaces pour une vraie puissance sous le capot !


Ce que nous voyons sur la figure 11.8, c'est que chaque interface de routeur est branchée sur une liaison d'accès. Ça signifie
que chacune des adresses IP d'interface des routeurs deviendrait alors l'adresse de passerelle par défaut
pour chaque hôte dans chaque VLAN respectif.
FIGURE 11.8 Routeur connectant trois VLAN ensemble pour la communication inter-VLAN, un
interface de routeur pour chaque VLAN

Si vous disposez de plus de VLAN que d'interfaces de routeur, vous pouvez configurer l'agrégation sur un
Interface FastEthernet ou achetez un commutateur de couche 3, comme l'ancien et maintenant bon marché 3560 ou un haut de gamme
switch comme un 3850. Vous pouvez même opter pour un 6800 si vous avez de l'argent à dépenser !

Au lieu d'utiliser une interface de routeur pour chaque VLAN, vous pouvez utiliser une interface FastEthernet et
exécutez la jonction ISL ou 802.1q. La figure 11.9 montre à quoi ressemblera une interface FastEthernet sur un routeur
lorsqu'il est configuré avec la jonction ISL ou 802.1q. Cela permet à tous les VLAN de communiquer via
une interface. Cisco appelle cela un routeur sur une clé (ROAS).

Page 186

FIGURE 11.9 Routeur sur clé : interface de routeur unique connectant les trois VLAN ensemble pour
communication inter-VLAN

Je tiens vraiment à souligner que cela crée un goulot d'étranglement potentiel, ainsi qu'un seul point de
échec, de sorte que votre nombre d'hôtes/VLAN est limité. A combien ? Eh bien, cela dépend de votre trafic
niveau. Pour vraiment arranger les choses, vous feriez mieux d'utiliser un commutateur haut de gamme et un routage sur
le fond de panier. Mais si vous avez juste un routeur assis, la configuration de cette méthode est
gratuit, non ?

La figure 11.10 montre comment créer un routeur sur une clé en utilisant l'interface physique d'un routeur en
créer des interfaces logiques, une pour chaque VLAN.

FIGURE 11.10 Un routeur crée des interfaces logiques.

Ici, nous voyons une interface physique divisée en plusieurs sous-interfaces, avec un sous-réseau affecté
par VLAN, chaque sous-interface étant l'adresse de passerelle par défaut pour chaque VLAN/sous-réseau. Un
l'identifiant d'encapsulation doit être affecté à chaque sous-interface pour définir l'ID de VLAN de cette
sous-interface. Dans la section suivante où je vais configurer les VLAN et le routage inter-VLAN, je vais
configurer notre réseau commuté avec un routeur sur clé et démontrer cette configuration pour
tu.

Mais attendez, il y a encore une autre façon de faire le routage ! Au lieu d'utiliser un routeur externe
interface pour chaque VLAN, ou un routeur externe sur une clé, nous pouvons configurer des interfaces logiques sur

Page 187

le fond de panier du commutateur de couche 3 ; c'est ce qu'on appelle le routage inter-VLAN (IVR), et il est configuré
avec une interface virtuelle commutée (SVI). La figure 11.11 montre comment les hôtes voient ces interfaces virtuelles.

FIGURE 11.11 Avec l'IVR, le routage s'exécute sur le fond de panier du commutateur et il apparaît aux hôtes
qu'un routeur est présent.

Dans la Figure 11.11 , il semble qu'un routeur soit présent, mais aucun routeur physique n'est présent car
il y avait quand nous avons utilisé le routeur sur un bâton. Le processus IVR demande peu d'efforts et est facile à
mettre en œuvre, ce qui le rend très cool! De plus, il est beaucoup plus efficace pour le routage inter-VLAN que
un routeur externe est. Pour implémenter l'IVR sur un switch multicouche, il suffit de créer une logique
interfaces dans la configuration du commutateur pour chaque VLAN. Nous allons configurer cette méthode dans une minute,
mais prenons d'abord notre réseau commuté existant du chapitre 10, « Commutation de couche 2 », et ajoutons
certains VLAN, puis configurez les adhésions VLAN et les liaisons de jonction entre nos commutateurs.

Configuration des VLAN


Cela peut vous surprendre, mais la configuration des VLAN est en fait assez simple. C'est juste
que déterminer quels utilisateurs vous voulez dans chaque VLAN ne l'est pas, et cela peut consommer beaucoup de
ton temps! Mais une fois que vous avez décidé du nombre de VLAN que vous souhaitez créer et établir
quels utilisateurs vous voulez appartenir à chacun, il est temps de mettre votre premier VLAN au monde.

Pour configurer des VLAN sur un commutateur Cisco Catalyst, utilisez la commande global config vlan . Dans le
exemple suivant, je vais montrer comment configurer des VLAN sur le commutateur S1 en
créer trois VLAN pour trois départements différents — encore une fois, n'oubliez pas que le VLAN 1 est le
VLAN natif et de gestion par défaut :

S1(config)# vlan ?

MOT ID VLAN ISL 1-4094


access-map Créer vlan access-map ou entrer le mode de commande vlan access-map
paramètres point1q point1q
filter Appliquer une carte VLAN
groupe Créer un groupe vlan
VLAN interne interne
S1(config)# vlan 2
S1(config-vlan)# nom Ventes
S1(config-vlan)# vlan 3
S1(config-vlan)# nom Marketing
S1(config-vlan)# vlan 4
S1(config-vlan)# nom Comptabilité

Page 188

S1(config-vlan)# vlan 5
S1(config-vlan)# nom Voix
S1(config-vlan)# ^Z
S1#

Dans cette sortie, vous pouvez voir que vous pouvez créer des VLAN de 1 à 4094. Mais ce n'est que la plupart du temps
vrai. Comme je l'ai dit, les VLAN ne peuvent vraiment être créés que jusqu'à 1001, et vous ne pouvez pas utiliser, modifier, renommer,
ou supprimez
1005 les VLAN
sont appelés VLAN1étendus
ou 1002etàne
1005 car pas
seront ils sont réservés.
enregistrés Leslanuméros
dans base de de VLANà ci-dessus
données moins que votre commutateur ne soit défini sur
ce qu'on appelle le mode transparent VLAN Trunking Protocol (VTP). Vous ne verrez pas ces VLAN
chiffres trop souvent utilisés en production. Voici un exemple de moi essayant de régler mon commutateur S1 sur
VLAN 4000 lorsque mon commutateur est défini sur le mode serveur VTP (le mode VTP par défaut) :

S1# config t
S1(config)# vlan 4000
S1(config-vlan)# ^Z
% Échec de la création des VLAN 4000
VLAN étendu(s) non autorisé(s) dans le mode VTP actuel.
%Échec de la validation des modifications des VLAN étendus.

Après avoir créé les VLAN souhaités, vous pouvez utiliser la commande show vlan pour les vérifier
dehors. Mais notez que, par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour changer le VLAN
associé à un port, vous devez vous rendre sur chaque interface et lui indiquer spécifiquement quel VLAN doit être un
partie de.

N'oubliez pas qu'un VLAN créé n'est pas utilisé jusqu'à ce qu'il soit affecté à un port de commutateur ou

ports et que tous les ports sont toujours attribués dans le VLAN 1, sauf indication contraire.

Une fois les VLAN créés, vérifiez votre configuration avec la commande show vlan ( sh vlan pour
court):

S1# sh vlan
Nom du VLAN État des ports
---- ------------------------- --------- ------------ -------------------
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
3 Commercialisation actif
4 Comptabilité actif
5 voix actif
[coupure de sortie]

Cela peut sembler répétitif, mais c'est important, et je veux que vous vous en souveniez : vous ne pouvez pas changer,
supprimez ou renommez le VLAN 1 car c'est le VLAN par défaut et vous ne pouvez tout simplement pas le changer, point final.
C'est également le VLAN natif de tous les commutateurs par défaut, et Cisco vous recommande de l'utiliser comme
VLAN de gestion. Si les problèmes de sécurité vous inquiètent, changez-le ! Fondamentalement, tous les ports
qui ne sont pas spécifiquement affectés à un autre VLAN seront envoyés au VLAN natif—VLAN
1.

Dans la sortie S1 précédente, vous pouvez voir que les ports Fa0/1 à Fa0/14, Fa0/19 à 23,
et les liaisons montantes Gi0/1 et Gi0/2 sont toutes dans le VLAN 1. Mais où sont les ports 15 à 18 ? D'abord,
comprenez que la commande show vlan n'affiche que les ports d'accès, alors maintenant que vous savez quoi
vous regardez avec la commande show vlan , où pensez-vous que les ports Fa15-18 sont ? C'est
droit! Ce sont des ports à ressources partagées. Les commutateurs Cisco exécutent un protocole propriétaire appelé Dynamic Trunk
Protocole (DTP) , et s'il y a un commutateur compatible connecté, ils commenceront la jonction
automatiquement, c'est précisément là que se trouvent mes quatre ports. Vous devez utiliser les interfaces de spectacle
commande trunk pour voir vos ports à ressources partagées comme ceci :
S1 # afficher le tronc d'interfaces

Page 189

Port Mode Statut d'encapsulation Vlan natif


Fa0/15 souhaitable n-isl goulotte 1
Fa0/16 souhaitable n-isl goulotte 1
Fa0/17 souhaitable n-isl goulotte 1
Fa0/18 souhaitable n-isl goulotte 1

Port Vlans autorisés sur le tronc


Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094

[coupure de sortie]

Cette sortie révèle que les VLAN de 1 à 4094 sont autorisés par défaut sur la jonction.
Une autre commande utile, qui fait également partie des objectifs de l'examen Cisco, est le show interfaces
commande d'interface switchport :
Interfaces S1# sh fastEthernet 0/15 switchport
Nom : Fa0/15
Port de commutation : activé
Mode administratif : dynamique souhaitable
Mode de fonctionnement : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
[coupure de sortie]

La sortie en surbrillance nous montre le mode administratif de dynamique souhaitable , que le port est un
port de jonction, et que DTP a été utilisé pour négocier la méthode de marquage de trame d'ISL. Ça aussi
montre de manière prévisible que le VLAN natif est la valeur par défaut de 1.
Maintenant que nous pouvons voir les VLAN créés, nous pouvons attribuer des ports de commutation à des ports spécifiques. Chaque port
peut faire partie d'un seul VLAN, à l'exception des ports d'accès vocal. Grâce à la jonction, vous pouvez
rendre un port disponible pour le trafic de tous les VLAN. Je couvrirai cela ensuite.

Attribution de ports de commutateur aux VLAN


Vous configurez un port pour appartenir à un VLAN en attribuant un mode d'appartenance qui spécifie le
type de trafic transporté par le port plus le nombre de VLAN auxquels il peut appartenir. Vous pouvez également configurer
chaque port sur un commutateur doit être dans un VLAN spécifique (port d'accès) en utilisant l'interface switchport
commander. Vous pouvez même configurer plusieurs ports en même temps avec la gamme d'interfaces
commander.

Dans l'exemple suivant, je vais configurer l'interface Fa0/3 au VLAN 3. Il s'agit de la connexion du S3
basculer vers l'appareil hôte :

S3 # config t
S3(config)# int fa0/3
S3(config-if)# switchport ?
accès Définir les caractéristiques du mode d'accès de l'interface
autostate Inclure ou exclure ce port du calcul de liaison vlan
sauvegarde Définir une sauvegarde pour l'interface
bloquer Désactiver le transfert d'adresses uni/multicast inconnues
hôte Définir l'hôte du port
mode Définir le mode de jonction de l'interface
nonegotiate L'appareil ne s'engagera pas dans le protocole de négociation sur ce
interface
port-security Commande liée à la sécurité
priorité Définir la priorité 802.1p de l'appareil
private-vlan Définir la configuration du VLAN privé
protected Configurer une interface pour être un port protégé
tronc Définir les caractéristiques de jonction de l'interface
voix L'appareil vocal attribue la voix

Eh bien maintenant, qu'avons-nous ici? Il y a de nouvelles choses qui apparaissent dans notre sortie maintenant. Nous pouvons
voir diverses commandes - certaines que j'ai déjà couvertes, mais pas de soucis car je vais
couvrira très bientôt les commandes access , mode , nonegotiate et trunk . Commençons par définir un

Page 190

port d'accès sur S1, qui est probablement le type de port le plus utilisé que vous trouverez en production
Commutateurs qui ont des VLAN configurés :

S3(config-if)# mode switchport ?


accès Réglez le mode de jonction sur ACCESS sans condition
dot1q-tunnel définit le mode de jonction sur TUNNEL inconditionnellement
dynamique Définir le mode de jonction pour négocier dynamiquement l'accès ou le mode de jonction
vlan privé Définir le mode vlan privé
tronc Définir le mode de jonction sur TRUNK inconditionnellement

S3(config-if)# accès en mode switchport


S3(config-if)# switchport access vlan 3
S3(config-if)# switchport voix vlan 5

En commençant par la commande switchport mode access , vous indiquez au commutateur qu'il s'agit d'un
port de couche 2 sans agrégation. Vous pouvez ensuite affecter un VLAN au port avec l' accès switchport
commande, ainsi que de configurer le même port pour qu'il soit membre d'un type différent de VLAN, appelé
le VLAN voix . Cela vous permet de connecter un ordinateur portable à un téléphone et le téléphone à un seul
port de commutation. N'oubliez pas que vous pouvez choisir de nombreux ports à configurer simultanément avec le
commande de plage d'interface .

Jetons maintenant un œil à nos VLAN :

S3# afficher le vlan


Nom du VLAN État des ports
---- ------------------------ --------- ------------- ------------------
1 défaut actif Fa0/4, Fa0/5, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11,
Fa0/12, Fa0/13, Fa0/14, Fa0/19,
Fa0/20, Fa0/21, Fa0/22, Fa0/23,
Gi0/1, Gi0/2
2 Ventes actif
3 Commercialisation actif Fa0/3
5 voix actif Fa0/3

Notez que le port Fa0/3 est désormais membre du VLAN 3 et du VLAN 5, deux types différents de VLAN.
Mais pouvez-vous me dire où sont les ports 1 et 2 ? Et pourquoi n'apparaissent-ils pas dans la sortie de
montrer le vlan ? C'est vrai, car ce sont des ports de jonction !
Nous pouvons également le voir avec la commande show interfaces interface switchport :

S3# sh int fa0/3 switchport


Nom : Fa0/3
Port de commutation : activé
Mode administratif : accès statique
Mode opérationnel : accès statique
Encapsulation de jonction administrative : négocier
Négociation de la jonction : désactivée
Mode d'accès VLAN : 3 (Marketing)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : 5 (voix)

La sortie en surbrillance montre que Fa0/3 est un port d'accès et un membre du VLAN 3 (Marketing),
ainsi qu'un membre du Voice VLAN 5.

C'est ça. Eh bien, en quelque sorte. Si vous avez branché des appareils sur chaque port VLAN, ils ne peuvent communiquer qu'avec d'autres
périphériques dans le même VLAN. Mais dès que vous en saurez un peu plus sur le trunking, nous allons
activer la communication inter-VLAN !
Configuration des ports de jonction
Le commutateur 2960 exécute uniquement la méthode d'encapsulation IEEE 802.1q. Pour configurer la jonction sur un
Port FastEthernet, utilisez la commande d'interface switchport mode trunk . C'est un peu différent sur le
3560 commutateur.

La sortie de commutateur suivante affiche la configuration de jonction sur les interfaces Fa0/15–18 définie sur
coffre :

S1(config)# int range f0/15-18


S1(config-if-range)# encapsulation de jonction de port de commutation dot1q

Page 191

S1(config-if-range)# tronc de mode switchport

Si vous avez un commutateur qui exécute uniquement la méthode d'encapsulation 802.1q, vous n'utiliserez pas le
commande d' encapsulation comme je l'ai fait dans la sortie précédente. Voyons maintenant nos ports de jonction :
S1(config-if-range)# do sh int f0/15 swi
Nom : Fa0/15
Port de commutation : activé
Mode administratif : tronc
Mode de fonctionnement : tronc
Encapsulation d'agrégation administrative : dot1q
Encapsulation d'agrégation opérationnelle : dot1q
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun

Notez que le port Fa0/15 est une jonction et exécute 802.1q. Jetons un autre regard :

S1(config-if-range)# do sh int trunk


Port Mode Statut d'encapsulation Vlan natif
Fa0/15 activé 802.1q goulotte 1
Fa0/16 activé 802.1q goulotte 1
Fa0/17 activé 802.1q goulotte 1
Fa0/18 activé 802.1q goulotte 1
Port Vlans autorisés sur le tronc
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094

Prenez note du fait que les ports 15–18 sont maintenant en mode trunk activé et que l'encapsulation est
maintenant 802.1q au lieu de l'ISL négocié. Voici une description des différentes options disponibles
lors de la configuration d'une interface de commutateur :

accès en mode switchport J'en


ai parlé dans la section précédente, mais cela met l'interface (accès
port) en mode non agrégé permanent et négocie pour convertir le lien en un lien non agrégé.
L'interface devient une interface non réseau, que l'interface voisine soit ou non une
interface de tronc. Le port serait un port d'accès de couche 2 dédié.

switchport mode dynamic auto Ce


mode permet à l'interface de convertir le lien en trunk
relier. L'interface devient une interface de jonction si l'interface voisine est définie sur jonction ou
mode souhaitable. La valeur par défaut est l'auto dynamique sur de nombreux commutateurs Cisco, mais ce tronc par défaut
la méthode passe à dynamique souhaitable sur la plupart des nouveaux modèles.

mode switchport dynamique souhaitable Celui-ci


fait que l'interface tente activement de convertir le lien
à une liaison interurbaine. L'interface devient une interface trunk si l'interface voisine est définie sur trunk ,
souhaitable ,
ou mode automatique . J'avais l'habitude de voir ce mode par défaut sur certains commutateurs, mais pas sur n'importe quel
plus long. Il s'agit désormais du mode de port de commutation par défaut pour toutes les interfaces Ethernet sur tous les nouveaux Cisco
commutateurs.

trunk en mode switchport Met


l'interface en mode trunking permanent et négocie pour convertir
la liaison voisine en une liaison interurbaine. L'interface devient une interface de jonction même si le
l'interface voisine n'est pas une interface de jonction.

switchport nonegotiate Empêche


l'interface de générer des trames DTP. Vous pouvez utiliser ceci
commande uniquement lorsque le mode switchport de l'interface est access ou trunk. Vous devez manuellement
configurez l'interface voisine en tant qu'interface de jonction pour établir une liaison de jonction.

Dynamic Trunking Protocol (DTP) est utilisé pour négocier la jonction sur un lien

entre deux périphériques ainsi que la négociation du type d'encapsulation 802.1q ou ISL. je
utiliser la commande nonegotiate lorsque je veux des ports de jonction dédiés ; aucune question posée.

Pour désactiver la jonction sur une interface, utilisez la commande switchport mode access , qui définit le port

192

vers un port de commutateur d'accès de couche 2 dédié.

Définition des VLAN autorisés sur un tronc


Comme je l'ai mentionné, les ports de jonction envoient et reçoivent des informations de tous les VLAN par défaut, et si un
la trame n'est pas balisée, elle est envoyée au VLAN de gestion. Comprenez que cela s'applique à la
VLAN à portée étendue aussi.

Mais nous pouvons supprimer les VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de
en traversant une liaison à ressources partagées. Je vais vous montrer comment vous feriez cela, mais d'abord permettez-moi de démontrer à nouveau que
tous les VLAN sont autorisés sur la liaison de jonction par défaut :

S1# sh int tronc


[coupure de sortie]
Port Vlans autorisés sur le tronc
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
S1(config)# S1(config)#
S1(config-if)# S1(config-if)#
S1(config-if)# S1(config-if)#
[coupure de sortie]
Port Vlans autorisés sur le tronc
Fa0/15 4,6,12,15
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094

La commande précédente a affecté la liaison de jonction configurée sur le port S1 F0/15, l'amenant à
autoriser tout le trafic envoyé et reçu pour les VLAN 4, 6, 12 et 15. Vous pouvez essayer de supprimer le VLAN 1 sur
un lien de jonction, mais il enverra et recevra toujours une gestion comme CDP, DTP et VTP, alors quel est le
point?

Pour supprimer une plage de VLAN, utilisez simplement le tiret :

S1(config-if)# switchport trunk autorisé vlan remove 4-8

Si par hasard quelqu'un a supprimé certains VLAN d'une liaison de jonction et que vous souhaitez définir la jonction
retour à la valeur par défaut, utilisez simplement cette commande :

S1(config-if)# switchport trunk autorisé vlan all

Ensuite, je veux vous montrer comment configurer un VLAN natif pour un tronc avant de commencer le routage
entre les VLAN.

Changer ou modifier le VLAN natif de jonction


Vous pouvez changer le VLAN natif du port de jonction à partir du VLAN 1, ce que beaucoup de gens font pour la sécurité
les raisons. Pour modifier le VLAN natif, utilisez la commande suivante :

S1(config)# int f0/15


S1(config-if)# switchport trunk natif vlan ?
<1-4094> ID de VLAN du VLAN natif lorsque ce port est en mode de jonction

S1(config-if)# switchport trunk natif vlan 4


1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : discordance de VLAN natif découverte sur FastEthernet0/15 (4), avec S3
FastEthernet0/1 (1).

Nous avons donc changé notre VLAN natif sur notre lien de jonction en 4, et en utilisant le show running-config
commande, je peux voir la configuration sous le lien trunk :

S1# sh run int f0/15


Configuration du bâtiment...

Configuration actuelle : 202 octets


!
interface FastEthernet0/15
description 1ère connexion à S3
encapsulation de jonction de port de commutation dot1q
switchport tronc natif vlan 4

Page 193

tronc de switchport autorisé vlan 4,6,12,15


ligne réseau en mode switchport
finir

S1# !

Oups, attendez une minute ! Vous ne pensiez pas que ce serait aussi facile et que vous commenceriez simplement à travailler,
vous? Bien sûr que non! Voici le hic : si tous les commutateurs n'ont pas le même VLAN natif configuré
sur les liens de jonction donnés, nous commencerons à recevoir cette erreur, qui s'est produite immédiatement après que j'ai
entré la commande :

1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : discordance de VLAN natif découverte


sur FastEthernet0/15 (4), avec S3 FastEthernet0/1 (1).

En fait, c'est une bonne erreur non cryptique, donc soit nous pouvons aller à l'autre extrémité de notre (nos) lien(s) de jonction.
et changeons le VLAN natif ou nous remettons le VLAN natif à la valeur par défaut pour le réparer. Voici comment
on ferait ça :

S1(config-if)# pas de vlan natif de jonction switchport


1w6d : %SPANTREE-2-UNBLOCK_CONSIST_PORT : déblocage de FastEthernet0/15
sur VLAN0004. Cohérence du port restaurée.

Maintenant, notre lien de jonction utilise le VLAN 1 par défaut comme VLAN natif. N'oubliez pas que tout
les commutateurs sur un tronc donné doivent utiliser le même VLAN natif ou vous aurez de sérieux
problèmes de gestion. Ces problèmes n'affecteront pas les données des utilisateurs, mais uniquement la gestion du trafic entre
commutateurs. Maintenant, mélangeons-le en connectant un routeur à notre réseau commuté et configurons
communication inter-VLAN.
Configuration du routage inter-VLAN
Par défaut, seuls les hôtes membres du même VLAN peuvent communiquer. Pour changer cela et
permettre la communication inter-VLAN, vous avez besoin d'un routeur ou d'un commutateur de couche 3. je vais commencer par
l'approche du routeur.

Pour prendre en charge le routage ISL ou 802.1q sur une interface FastEthernet, l'interface du routeur est divisée
en interfaces logiques, une pour chaque VLAN, comme illustré à la Figure 11.10 . Ceux-ci sont appelés
sous-interfaces . A partir d'une interface FastEthernet ou Gigabit, vous pouvez définir l'interface sur trunk avec
la commande d' encapsulation :

ISR# config t
ISR(config)# int f0/0.1
ISR(config-subif)# encapsulation ?
LAN virtuel dot1Q IEEE 802.1Q
ISR(config-subif)# encapsulation dot1Q ?
<1-4094> ID de VLAN IEEE 802.1Q

Notez que mon routeur 2811 (nommé ISR) ne prend en charge que 802.1q. Nous aurions besoin d'un routeur plus ancien
pour exécuter l'encapsulation ISL, mais pourquoi s'embêter ?

Le numéro de sous-interface n'est significatif que localement, donc peu importe quelle sous-interface
les numéros sont configurés sur le routeur. La plupart du temps, je vais configurer une sous-interface avec le
même numéro que le VLAN que je veux acheminer. Il est facile de s'en souvenir puisque la sous-interface
le numéro est utilisé uniquement à des fins administratives.

Il est vraiment important que vous compreniez que chaque VLAN est en fait un sous-réseau distinct. C'est vrai, je
savoir-ils ne doivent être. Mais c'est vraiment une bonne idée de configurer vos VLAN séparément
sous-réseaux, alors faites-le. Avant de continuer, je souhaite définir le routage en amont . C'est un terme
utilisé pour définir le routeur sur un bâton. Ce routeur fournira un routage inter-VLAN, mais il peut également
être utilisé pour transférer le trafic en amont du réseau commuté vers d'autres parties de l'entreprise
réseau ou Internet.

Maintenant, je dois m'assurer que vous êtes parfaitement prêt à configurer le routage inter-VLAN ainsi que
déterminer les adresses IP des hôtes connectés dans un environnement VLAN commuté. Et comme toujours,
c'est aussi une bonne idée d'être en mesure de résoudre les problèmes qui peuvent survenir. Pour vous préparer au succès, laissez
je vous donne quelques exemples.

Page 194

Tout d'abord, commencez par regarder la figure 11.12 et lisez la configuration du routeur et du commutateur qu'elle contient. Par
ce point du livre, vous devriez être en mesure de déterminer l'adresse IP, les masques et la valeur par défaut
passerelles de chacun des hôtes dans les VLAN.

FIGURE 11.12 Exemple de configuration inter-VLAN 1

L'étape suivante consiste à déterminer quels sous-réseaux sont utilisés. En regardant le routeur
configuration dans la figure, vous pouvez voir que nous utilisons 192.168.10.0/28 pour VLAN1,
192.168.1.64/26 avec le VLAN 2 et 192.168.1.128/27 pour le VLAN 10.

En regardant la configuration du commutateur, vous pouvez voir que les ports 2 et 3 sont dans le VLAN 2 et le port 4 est
dans le VLAN 10. Cela signifie que l'hôte A et l'hôte B sont dans le VLAN 2 et l'hôte C est dans le VLAN 10.

Mais attendez, que fait cette adresse IP sous l'interface physique ? Pouvons-nous même faire cela?
Bien sûr que nous pouvons! Si nous plaçons une adresse IP sous l'interface physique, le résultat est que les trames envoyées
de l'adresse IP ne serait pas balisée. Alors, de quel VLAN ces trames seraient-elles membres ? Par
par défaut, ils appartiendraient au VLAN 1, notre VLAN de gestion. Cela signifie l'adresse
192.168.10.1 /28 est mon adresse IP VLAN native pour ce commutateur.

Voici quelles devraient être les adresses IP des hôtes :

Hôte A : 192.168.1.66, 255.255.255.192, passerelle par défaut 192.168.1.65

Hôte B : 192.168.1.67, 255.255.255.192, passerelle par défaut 192.168.1.65

Hôte C : 192.168.1.130, 255.255.255.224, passerelle par défaut 192.168.1.129

Les hôtes peuvent être n'importe quelle adresse de la plage - je viens de choisir la première adresse IP disponible après le
adresse de passerelle par défaut. Ce n'était pas si difficile, n'est-ce pas ?
Maintenant, en utilisant à nouveau la Figure 11.12 , passons en revue les commandes nécessaires pour configurer le port du commutateur
1 afin d'établir un lien avec le routeur et de fournir une communication inter-VLAN en utilisant l'IEEE
version pour l'encapsulation. Gardez à l'esprit que les commandes peuvent varier légèrement en fonction de ce que
type de commutateur auquel vous avez affaire.

Pour un commutateur 2960, utilisez les éléments suivants :

2960# config t
2960(config)# interface fa0/1
2960(config-if)# tronc de mode switchport

C'est ça! Comme vous le savez déjà, le commutateur 2960 ne peut exécuter que l'encapsulation 802.1q, il y a donc
pas besoin de le préciser. Vous ne pouvez pas de toute façon. Pour un 3560, c'est fondamentalement la même chose, mais parce qu'il peut fonctionner
ISL et 802.1q, vous devez spécifier le protocole d'encapsulation de jonction que vous allez utiliser.

Page 195

N'oubliez pas que lorsque vous créez un lien agrégé, tous les VLAN sont autorisés à passer

données par défaut.

Regardons la figure 11.13 et voyons ce que nous pouvons déterminer. Cette figure montre trois VLAN,
avec deux hôtes dans chacun d'eux. Le routeur de la Figure 11.13 est connecté au port du commutateur Fa0/1,
et le VLAN 4 est configuré sur le port F0/6.

Lorsque vous regardez ce diagramme, gardez à l'esprit que ces trois facteurs sont ce que Cisco attend de vous.
savoir:

Le routeur est connecté au commutateur à l'aide de sous-interfaces.

Le port du commutateur se connectant au routeur est un port de jonction.

Les ports de commutation qui se connectent aux clients et au concentrateur sont des ports d'accès et non des ports de jonction.

FIGURE 11.13 Exemple 2 inter-VLAN

La configuration du commutateur ressemblerait à ceci :

2960# config t
2960(config)# entier f0/1
2960(config-if)# tronc de mode switchport
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 2
2960(config-if)# int f0/3
2960(config-if)# switchport access vlan 2
2960(config-if)# int f0/4
2960(config-if)# switchport access vlan 3
2960(config-if)# int f0/5
2960(config-if)# switchport access vlan 3
2960(config-if)# int f0/6
2960(config-if)# switchport access vlan 4

Page 196

Avant de configurer le routeur, nous devons concevoir notre réseau logique :


VLAN 1 : 192.168.10.0/28

VLAN 2 : 192.168.10.16/28

VLAN 3 : 192.168.10.32/28

VLAN 4 : 192.168.10.48/28

La configuration du routeur ressemblerait alors à ceci :

ISR# config t
ISR(config)# int fa0/0
ISR(config-if)# adresse IP 192.168.10.1 255.255.255.240
ISR(config-if)# pas d'arrêt
ISR(config-if)# int f0/0.2
ISR(config-subif)# encapsulation dot1q 2
ISR(config-subif)# adresse IP 192.168.10.17 255.255.255.240
ISR(config-subif)# int f0/0.3
ISR(config-subif)# encapsulation dot1q 3
ISR(config-subif)# adresse IP 192.168.10.33 255.255.255.240
ISR(config-subif)# int f0/0.4
ISR(config-subif)# encapsulation dot1q 4
ISR(config-subif)# adresse IP 192.168.10.49 255.255.255.240

Notez que je n'ai pas balisé le VLAN 1. Même si j'aurais pu créer une sous-interface et baliser le VLAN 1,
ce n'est pas nécessaire avec 802.1q car les trames non étiquetées sont membres du VLAN natif.

Les hôtes de chaque VLAN se verraient attribuer une adresse de leur plage de sous-réseau, et la valeur par défaut
La passerelle serait l'adresse IP attribuée à la sous-interface du routeur dans ce VLAN.

Maintenant, jetons un coup d'œil à une autre figure et voyons si vous pouvez déterminer le commutateur et le routeur
configurations sans regarder la réponse—pas de triche ! La figure 11.14 montre un routeur
connecté à un commutateur 2960 avec deux VLAN. Un hôte dans chaque VLAN se voit attribuer une adresse IP.
Quelles seraient vos configurations de routeur et de commutateur basées sur ces adresses IP ?

Page 197
FIGURE 11.14 Exemple 3 d'inter-VLAN

Étant donné que les hôtes ne répertorient pas de masque de sous-réseau, vous devez rechercher le nombre d'hôtes utilisés dans chaque
VLAN pour déterminer la taille du bloc. Le VLAN 2 a 85 hôtes et le VLAN 3 a 115 hôtes. Chacun de ces
s'adaptera à une taille de bloc de 128, qui est un masque /25, ou 255.255.255.128.

Vous devez savoir maintenant que les sous-réseaux sont 0 et 128 ; le sous-réseau 0 (VLAN 2) a une plage d'hôtes
de 1 à 126, et le sous-réseau 128 (VLAN 3) a une plage de 129 à 254. Vous pouvez presque être dupe puisque
L'hôte A a une adresse IP de 126, ce qui donne presque l' impression que l'hôte A et B sont dans le même
sous-réseau. Mais ils ne le sont pas, et vous êtes bien trop intelligent maintenant pour vous laisser berner par celui-ci !

Voici la configuration du commutateur :

2960# config t
2960(config)# entier f0/1
2960(config-if)# tronc de mode switchport
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 2
2960(config-if)# int f0/3
2960(config-if)# switchport access vlan 3

Voici la configuration du routeur :

ISR# config t
ISR(config) # int f0/0

Page 198

ISR(config-if)# adresse IP 192.168.10.1 255.255.255.0


ISR(config-if)# pas d'arrêt
ISR(config-if)# int f0/0.2
ISR(config-subif)# encapsulation dot1q 2
ISR(config-subif)# adresse IP 172.16.10.1 255.255.255.128
ISR(config-subif)# int f0/0.3
ISR(config-subif)# encapsulation dot1q 3
ISR(config-subif)# adresse IP 172.16.10.254 255.255.255.128

J'ai utilisé la première adresse de la plage d'hôtes pour le VLAN 2 et la dernière adresse de la plage pour le VLAN 3,
mais n'importe quelle adresse dans la plage fonctionnerait. Vous auriez juste à configurer la valeur par défaut de l'hôte
passerelle vers tout ce que vous faites de l'adresse du routeur. De plus, j'ai utilisé un sous-réseau différent pour mon
l'interface physique, qui est l'adresse de mon routeur VLAN de gestion.

Maintenant, avant de passer à l'exemple suivant, je dois m'assurer que vous savez comment définir l'IP
adresse sur le commutateur. Étant donné que le VLAN 1 est généralement le VLAN administratif, nous utiliserons une adresse IP
à partir de ce pool d'adresses. Voici comment définir l'adresse IP du commutateur (pas lancinante,
mais vous devriez vraiment déjà le savoir !):

2960# config t
2960(config)# int vlan 1
2960(config-if)# adresse IP 192.168.10.2 255.255.255.0
2960(config-if)# pas d'arrêt
2960(config-if)# sortie
2960(config)# ip par défaut-passerelle 192.168.10.1

Oui, vous devez exécuter un arrêt sur l'interface VLAN et définir la passerelle par défaut ip
adresse au routeur.

Un autre exemple, puis nous passerons à l'IVR à l'aide d'un commutateur multicouche - un autre
sujet à ne surtout pas manquer ! Dans la Figure 11.15, il y a deux VLAN, plus le
VLAN de gestion 1. En regardant la configuration du routeur, quelle est l'adresse IP, le masque de sous-réseau,
et la passerelle par défaut de l'hôte A ? Utilisez la dernière adresse IP de la plage pour l'adresse de l'hôte A.

Si vous regardez vraiment attentivement la configuration du routeur (le nom d'hôte dans cette configuration est juste
Routeur), il existe une réponse simple et rapide. Tous les sous-réseaux utilisent un /28, qui est un
255.255.255.240 masque. Il s'agit d'une taille de bloc de 16. L'adresse du routeur pour le VLAN 2 est dans le sous-réseau
128. Le sous-réseau suivant est 144, donc l'adresse de diffusion du VLAN 2 est 143 et la plage d'hôtes valide
est 129-142. L'adresse de l'hôte serait donc celle-ci :

Adresse IP : 192.168.10.142

Masque : 255.255.255.240

Passerelle par défaut : 192.168.10.129


Page 199

FIGURE 11.15 Exemple 4 inter-VLAN

Cette section était probablement la partie la plus difficile de tout ce livre, et j'ai honnêtement créé le
configuration la plus simple que vous puissiez utiliser pour vous aider à traverser cela !

Je vais utiliser la figure 11.16 pour démontrer la configuration du routage inter-VLAN (IVR) avec un multicouche
commutateur, qui est souvent appelé interface virtuelle commutée (SVI). je vais utiliser le même
réseau que j'ai utilisé pour discuter d'un commutateur multicouche à la figure 11.11 , et j'utiliserai cette adresse IP
schéma : 192.168. x .0/24, où x représente le sous-réseau VLAN. Dans mon exemple, ce sera le
identique au numéro de VLAN.

FIGURE 11.16 Routage inter-VLAN avec un commutateur multicouche

Les hôtes sont déjà configurés avec l'adresse IP, le masque de sous-réseau et l'adresse de passerelle par défaut
Page 200
en utilisant la première adresse de la plage. Il ne me reste plus qu'à configurer le routage sur le switch, ce qui
c'est assez simple en fait :

Routage IP S1(config)#
S1(config)# int vlan 10
S1(config-if)# adresse IP 192.168.10.1 255.255.255.0
S1(config-if)# int vlan 20
S1(config-if)# adresse IP 192.168.20.1 255.255.255.0

Et c'est tout! Activez le routage IP et créez une interface logique pour chaque VLAN à l'aide de l' interface
commande de numéro de vlan et voilà ! Vous avez maintenant réussi à faire fonctionner le routage inter-VLAN sur
le fond de panier du switch !

Sommaire
Dans ce chapitre, je vous ai présenté le monde des réseaux locaux virtuels et décrit comment les commutateurs Cisco
peut les utiliser. Nous avons parlé de la façon dont les VLAN divisent les domaines de diffusion dans un
interréseau - une chose très importante et nécessaire car les commutateurs de couche 2 ne font que briser les collisions
domaines, et par défaut, tous les commutateurs constituent un grand domaine de diffusion. j'ai aussi décrit
accéder aux liens vers vous, et nous avons expliqué comment les VLAN à ressources partagées fonctionnent sur un FastEthernet ou plus rapide
relier.

Le Trunking est une technologie cruciale à très bien comprendre lorsque vous traitez avec un réseau
peuplé de plusieurs commutateurs exécutant plusieurs VLAN.

On vous a également présenté quelques exemples de dépannage et de configuration clés pour l'accès
et les ports de jonction, la configuration des options de jonction et une énorme section sur l'IVR.

Essentiels de l'examen
Comprenez le terme étiquetage de trame . Le balisage des trames fait référence à l'identification du VLAN ; c'est
quels commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent une matrice de commutation. Cela montre
les commutateurs identifient quelles trames appartiennent à quels VLAN.

Comprenez la méthode d'identification du VLAN 802.1q. Ceci est un IEEE non propriétaire
méthode de marquage de trame. Si vous effectuez une jonction entre une liaison commutée Cisco et une marque différente
du commutateur, vous devez utiliser 802.1q pour que le tronc fonctionne.

Rappelez-vous comment définir un port de jonction sur un commutateur 2960. Pour définir un port sur la jonction sur un
2960, utilisez la commande switchport mode trunk .

N'oubliez pas de vérifier l'affectation VLAN d'un port de commutateur lorsque vous branchez un nouveau
hôte. Si vous branchez un nouvel hôte dans un commutateur, vous devez alors vérifier l'appartenance au VLAN de ce
Port. Si l'adhésion est différente de ce qui est nécessaire pour cet hôte, l'hôte ne pourra pas
accéder aux services réseau nécessaires, tels qu'un serveur de groupe de travail ou une imprimante.

Rappelez-vous comment créer un routeur Cisco sur une clé pour fournir un inter-VLAN
la communication. Vous pouvez utiliser une interface Cisco FastEthernet ou Gigabit Ethernet pour fournir
routage inter-VLAN. Le port du commutateur connecté au routeur doit être un port de jonction ; alors vous
doit créer des interfaces virtuelles (sous-interfaces) sur le port du routeur pour chaque VLAN qui s'y connecte.
Les hôtes de chaque VLAN utiliseront cette adresse de sous-interface comme adresse de passerelle par défaut.

Rappelez-vous comment fournir un routage inter-VLAN avec un commutateur de couche 3. Vous pouvez utiliser un
commutateur de couche 3 (multicouche) pour fournir l'IVR comme avec un routeur sur une clé, mais en utilisant une couche 3
commutateur est plus efficace et plus rapide. Commencez par démarrer le processus de routage avec la commande ip
routage ,
puis créez une interface virtuelle pour chaque VLAN à l'aide de la commande interface vlan vlan , et
puis appliquez l'adresse IP pour ce VLAN sous cette interface logique.

Laboratoire écrit 11
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et

Page 201

concepts qu'ils contiennent pleinement intégrés :

Atelier 11.1 : VLAN

Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».

Écrivez les réponses aux questions suivantes :

1. Vrai/Faux : pour fournir un IVR avec un commutateur de couche 3, vous placez une adresse IP sur chaque interface
de l'interrupteur.

2. Quel protocole arrêtera les boucles dans un réseau commuté de couche 2 ?

3. Les VLAN divisent ___________ domaines dans un réseau commuté de couche 2.

4. Quels numéros de VLAN sont réservés par défaut ?

5. Si vous avez un commutateur qui fournit à la fois le balisage des trames ISL et 802.1q, quelle commande sous
l'interface de jonction fera-t-elle que la jonction utilisera 802.1q ?

6. Que fournit la goulotte ?

7. Combien de VLAN pouvez-vous créer sur un commutateur IOS par défaut ?


8. Vrai/Faux : l'encapsulation 802.1q est supprimée de la trame si la trame est transférée
un lien d'accès.

9. Quel type de lien sur un commutateur est membre d'un seul VLAN ?

10. Vous souhaitez passer de la valeur par défaut de VLAN 1 à VLAN 4 pour le trafic non balisé. Quoi
commande allez-vous utiliser ?

Laboratoires pratiques
Dans ces ateliers, vous utiliserez trois commutateurs et un routeur. Pour effectuer le dernier laboratoire, vous aurez besoin d'une couche
3 interrupteur.

Atelier 11.1 : Configuration et vérification des VLAN

Atelier 11.2 : Configuration et vérification des liaisons de jonction

Atelier 11.3 : Configuration du routeur sur un routage de clé

Atelier 11.4 : Configuration de l'IVR avec un commutateur de couche 3

Dans ces ateliers, j'utiliserai la mise en page suivante :

Page 202

Travaux pratiques 11.1 : Configuration et vérification des VLAN


Ce laboratoire vous demandera de configurer les VLAN à partir du mode de configuration global, puis de vérifier le
VLAN.

1. Configurez deux VLAN sur chaque commutateur, VLAN 10 et VLAN 20.

S1(config)# vlan 10
S1(config-vlan)# vlan 20

S2(config)# vlan 10
S2(config-vlan)# vlan 20

S3(config)# vlan 10
S3(config-vlan)# vlan 20

2. Utilisez les commandes show vlan et show vlan brief pour vérifier vos VLAN. Remarquez que tout
les interfaces sont dans le VLAN 1 par défaut.

S1# sh vlan
S1# sh vlan bref

Travaux pratiques 11.2 : Configuration et vérification des liaisons de jonction


Ce laboratoire vous demandera de configurer les liaisons de jonction, puis de les vérifier.

1. Connectez-vous à chaque commutateur et configurez la jonction sur toutes les liaisons de commutateur. Si vous utilisez un interrupteur
qui prend en charge le balisage des trames 802.1q et ISL, puis utilisez la commande d'encapsulation ; si non,
puis ignorez cette commande.

S1# config t
S1(config)# interface fa0/15
Encapsulation de jonction S1(config-if)# switchport ?
L'interface dot1q utilise uniquement l'encapsulation de jonction 802.1q lors de la jonction
L'interface isl utilise uniquement l'encapsulation de jonction ISL lors de la jonction
négociez L'appareil négociera l'encapsulation de la jonction avec l'homologue sur l'interface

Encore une fois, si vous avez tapé le précédent et reçu une erreur, votre commutateur ne prend pas en charge
les deux méthodes d'encapsulation :

S1 (config-if)# encapsulation de jonction de port de commutation dot1q


Tronc en mode S1 (config-if)# switchport
S1 (config-if)# interface fa0/16
S1 (config-if)# encapsulation de jonction de port de commutation dot1q
Tronc en mode S1 (config-if)# switchport
S1 (config-if)# interface fa0/17
S1 (config-if)# encapsulation de jonction de port de commutation dot1q
Tronc en mode S1 (config-if)# switchport
S1 (config-f)# interface fa0/18
S1 (config-if)# encapsulation de jonction de port de commutation dot1q
Tronc en mode S1 (config-if)# switchport

2. Configurez les liaisons de jonction sur vos autres commutateurs.

3. Sur chaque commutateur, vérifiez vos ports de jonction avec la commande show interface trunk :

S1# afficher le tronc d'interface

4. Vérifiez la configuration du port de commutation avec les éléments suivants :

S1# show interface interface switchport

La deuxième interface de la commande est une variable, telle que Fa0/15.

Travaux pratiques 11.3 : Configuration du routeur sur un routage par clé


Dans cet atelier, vous utiliserez le routeur connecté au port F0/8 du commutateur S1 pour configurer le ROAS.

1. Configurez le F0/0 du routeur avec deux sous-interfaces pour fournir un routage inter-VLAN en utilisant
Encapsulation 802.1q. Utilisez 172.16.10.0/24 pour votre VLAN de gestion, 10.10.10.0/24 pour
VLAN 10 et 20.20.20.0/24 pour VLAN 20.

Page 203

Routeur# config t
Routeur (config)# int f0/0
Routeur (config-if)# adresse IP 172.16.10.1 255.255.255.0
Routeur (config-if)# interface f0/0.10
Routeur (config-subif)# encapsulation dot1q 10
Routeur (config-subif)# adresse IP 10.10.10.1 255.255.255.0
Routeur (config-subif)# interface f0/0.20
Routeur (config-subif)# encapsulation dot1q 20
Routeur (config-subif)# adresse IP 20.20.20.1 255.255.255.0

2. Vérifiez la configuration avec la commande show running-config .

3. Configurez la jonction sur l'interface F0/8 du commutateur S1 se connectant à votre routeur.

4. Vérifiez que vos VLAN sont toujours configurés sur vos commutateurs avec la commande sh vlan .

5. Configurez vos hôtes pour qu'ils soient dans le VLAN 10 et le VLAN 20 avec le switchport access vlan x
commander.

6. Ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.

7. Ping de votre PC vers votre PC dans l'autre VLAN. Vous effectuez maintenant le routage via le routeur !

Travaux pratiques 11.4 : Configuration de l'IVR avec un commutateur de couche 3


Dans cet atelier, vous allez désactiver le routeur et utiliser le commutateur S1 pour fournir un routage inter-VLAN en
créer des SVI.

1. Connectez-vous au commutateur S1 et faites de l'interface F0/8 un port d'accès, ce qui fera du routeur
arrêter de fournir le routage inter-VLAN.

2. Activez le routage IP sur le commutateur S1.

Routage IP S1(config)#

3. Créez deux nouvelles interfaces sur le commutateur S1 pour fournir l'IVR.

S1(config)# interface vlan 10


S1(config-if)# adresse IP 10.10.10.1 255.255.255.0
S1(config-if)# interface vlan 20
S1(config-if)# adresse IP 20.20.20.1 255.255.255.0

4. Effacez le cache ARP sur le commutateur et les hôtes.

S1# clair arp

5. Ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.

6. Ping depuis votre PC vers votre PC dans l'autre VLAN. Vous effectuez maintenant le routage via le commutateur S1 !

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez
voir www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Laquelle des affirmations suivantes est vraie en ce qui concerne les VLAN ?

A. Les VLAN réduisent considérablement la sécurité du réseau.

B. Les VLAN augmentent le nombre de domaines de collision tout en diminuant leur taille.

C. Les VLAN diminuent le nombre de domaines de diffusion tout en diminuant leur taille.

D. Le réseau ajoute, déplace et modifie facilement en configurant simplement un port dans


Page 204

le VLAN approprié.
2. Écrivez la commande qui doit être présente pour que ce commutateur de couche 3 fournisse l'inter-VLAN
routage entre les deux VLAN créés avec ces commandes :

S1(config)# int vlan 10


S1(config-if)# adresse IP 192.168.10.1 255.255.255.0
S1(config-if)# int vlan 20
S1(config-if)# adresse IP 192.168.20.1 255.255.255.0

3. Dans le schéma suivant, comment le port à chaque extrémité de la ligne doit-il être configuré pour transporter
trafic entre les quatre hôtes?

A. Port d'accès

B. 10 Go

C. Tronc

D. Enjambement

4. Quel est le seul type de second VLAN dont un port d'accès peut être membre ?

A. Secondaire

B. Voix

C. Primaire

D. Tronc

5. Dans la configuration suivante, quelle commande manque à la création du VLAN


interface?

2960# config t
2960(config)# int vlan 1
2960(config-if)# adresse IP 192.168.10.2 255.255.255.0
2960(config-if)# sortie
2960(config)# ip par défaut-passerelle 192.168.10.1

Page 205

A. pas d'arrêt sous int vlan 1

B. encapsulation dot1q 1 sous int vlan 1

C. accès switchport vlan 1

D. interface passive

6. Laquelle des affirmations suivantes est vraie en ce qui concerne l'ISL et le 802.1q ?

A. 802.1q encapsule la trame avec les informations de contrôle ; ISL insère un champ ISL le long
avec les informations de contrôle des balises.

B. 802.1q est la propriété de Cisco.

C. ISL encapsule la trame avec les informations de contrôle ; 802.1q insère un champ 802.1q le long
avec les informations de contrôle des balises.

D. L'ISL est une norme.


7. Quel concept est représenté dans le diagramme ?

A. Routage multiprotocole

B. Interface passive

C. Redondance de passerelle

D. Routeur sur un bâton

8. Écrivez la commande qui place une interface dans le VLAN 2. Écrivez uniquement la commande et non
l'invite.

9. Écrivez la commande qui a généré la sortie suivante :

Nom du VLAN État des ports


---- ------------------------- --------- ------------ ------------

Page 206

1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4


Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
3 Commercialisation actif
4 Comptabilité actif
[coupure de sortie]

10. Dans la configuration et le schéma affichés, quelle commande manque pour activer l'inter-VLAN
routage entre VLAN 2 et VLAN 3 ?

A. encapsulation dot1q 3 sous int f0/0.2

B. encapsulation dot1q 2 sous int f0/0.2


C. pas d'arrêt sous int f0/0.2
D. pas d'arrêt sous int f0/0.3

11. Sur la base de la configuration illustrée ici, quelle affirmation est vraie ?

Routage IP S1(config)#
S1(config)# int vlan 10
S1(config-if)# adresse IP 192.168.10.1 255.255.255.0
S1(config-if)# int vlan 20
S1(config-if)# adresse IP 192.168.20.1 255.255.255.0

A. Il s'agit d'un commutateur multicouche.

B. Les deux VLAN sont dans le même sous-réseau.

C. L'encapsulation doit être configurée.

D. Le VLAN 10 est le VLAN de gestion.

12. Qu'est-ce qui est vrai de la sortie montrée ici ?

S1# sh vlan
Nom du VLAN État des ports
---- ---------------------- --------- --------------- ----------------
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12

Page 207

Fa0/13, Fa0/14, Fa0/19, Fa0/20,


Fa0/22, Fa0/23, Gi0/1, Gi0/2
2 Ventes actif
3 Commercialisation actif Fa0/21
4 Comptabilité actif
[coupure de sortie]

A. L'interface F0/15 est un port de jonction.

B. L'interface F0/17 est un port d'accès.

C. L'interface F0/21 est un port de jonction.

D. Le VLAN 1 a été rempli manuellement.

13. Les trames 802.1q non balisées sont membres du VLAN __________.

A. Auxiliaire

B. Voix

C. Autochtone

D. Privé

14. Écrivez la commande qui a généré la sortie suivante. N'écrivez que la commande et non
l'invite :

Nom : Fa0/15
Port de commutation : activé
Mode administratif : dynamique souhaitable
Mode de fonctionnement : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
[coupure de sortie]

15. Dans la sortie de commutation de la question 12, combien de domaines de diffusion sont affichés ?

A. 1

B. 2

C.4

D. 1001

16. Dans le diagramme, quelle devrait être l'adresse de passerelle par défaut de l'hôte B ?
Page 208

A. 192.168.10.1

B. 192.168.1.65

C. 192.168.1.129

D. 192.168.1.2

17. À quoi sert le balisage des trames dans les configurations de réseau local virtuel (VLAN) ?

A. Routage inter-VLAN

B. Cryptage des paquets réseau

C. Identification de trame sur des liaisons interurbaines

D. Identification des trames sur les liens d'accès

18. Écrivez la commande pour créer le VLAN 2 sur un commutateur de couche 2. N'écrivez que la commande et non
l'invite.

19. Quelle affirmation est vraie concernant le balisage des trames 802.1q ?

A. 802.1q ajoute une fin de 26 octets et un en-tête de 4 octets.

B. 802.1q utilise un VLAN natif.

C. La trame Ethernet d'origine n'est pas modifiée.

D. 802.1q ne fonctionne qu'avec les commutateurs Cisco.

20. Écrivez la commande qui empêche une interface de générer des trames DTP. N'écrivez que le
commande et non l'invite.

Page 209

Chapitre 12
Sécurité

LES SUJETS SUIVANTS DE L'EXAMEN ICND1 SONT COUVERTS DANS


CE CHAPITRE:
4.0 Services d'infrastructure

4.6 Configurer, vérifier et dépanner la liste d'accès numérotée et nommée standard IPv4
pour les interfaces routées

Si vous êtes un administrateur système, je suppose que le blindage est sensible,


les données critiques, ainsi que les ressources de votre réseau, de tous les exploits malveillants possibles sont une priorité absolue
de la vôtre, n'est-ce pas ? C'est bon de savoir que vous êtes sur la bonne page car Cisco a des solutions vraiment efficaces
des solutions de sécurité pour vous équiper des outils dont vous aurez besoin pour que cela se produise de manière très concrète !

Le premier outil électrique que je vais vous remettre est connu sous le nom de liste de contrôle d'accès (ACL). Être capable de
exécuter une ACL avec compétence fait partie intégrante de la solution de sécurité de Cisco, je vais donc commencer
en vous montrant comment créer et implémenter des ACL simples. De là, je passerai à
démontrer des listes de contrôle d'accès plus avancées et décrire comment les mettre en œuvre stratégiquement pour
fournir une armure sérieuse pour un interréseau dans l'environnement difficile et à haut risque d'aujourd'hui.

Dans l'annexe C, « Désactivation et configuration des services réseau », je vais vous montrer comment atténuer la plupart des
menaces réseau axées sur la sécurité. Assurez-vous de ne pas sauter cette annexe car elle est calée
plein d'informations sur la sécurité, et les informations qu'il contient font partie de l'examen Cisco
objectifs aussi !

L'utilisation et la configuration correctes des listes d'accès sont une partie vitale de la configuration du routeur car
les listes d'accès sont de tels accessoires de mise en réseau polyvalents. Contribuant puissamment à l'efficacité et à la
fonctionnement de votre réseau, les listes d'accès donnent aux gestionnaires de réseau un énorme contrôle sur
circulation dans toute l'entreprise. Avec les listes d'accès, nous pouvons recueillir des statistiques de base sur les paquets
des politiques de flux et de sécurité peuvent être mises en œuvre. Ces outils dynamiques nous permettent également de protéger
appareils sensibles contre les dangers d'un accès non autorisé.

Dans ce chapitre, nous couvrirons les ACL pour TCP/IP et explorerons les moyens efficaces dont nous disposons pour
tester et surveiller le bon fonctionnement des listes d'accès appliquées. Nous allons commencer maintenant par
discuter des mesures de sécurité clés déployées à l'aide de périphériques matériels et de VLAN, puis je vais
vous présenter les ACL.

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter

www.lammle.com/ccna ou la page Web du livre sur www.sybex.com/go/ccna .

Page 210

Périmètre, pare-feu et routeurs internes


Vous le voyez souvent, généralement dans les réseaux d'entreprise de moyenne à grande taille, les différentes stratégies de
la sécurité est basée sur une combinaison de routeurs internes et de périmètre ainsi que de pare-feu. Interne
Les routeurs offrent une sécurité supplémentaire en filtrant le trafic vers diverses parties du
réseau d'entreprise, et ils y parviennent en utilisant des listes d'accès. Vous pouvez voir où chacun de ces
les types d'appareils se trouvent à la figure 12.1 .
FIGURE 12.1 Un réseau sécurisé typique

J'utiliserai les termes réseau approuvé et réseau non approuvé tout au long de ce chapitre, il est donc
important que vous puissiez voir où ils se trouvent dans un réseau sécurisé typique. Les démilitarisés
zone (DMZ) peut être des adresses Internet globales (réelles) ou des adresses privées, selon la façon dont vous
configurez votre pare-feu, mais c'est généralement là que vous trouverez le HTTP, le DNS, l'e-mail et d'autres
Serveurs d'entreprise de type Internet.

Comme vous le savez maintenant, au lieu d'utiliser des routeurs, nous pouvons créer des VLAN avec des commutateurs à l'intérieur
réseau de confiance. Les commutateurs multicouches contenant leurs propres fonctions de sécurité peuvent parfois
remplacer les routeurs internes (LAN) pour fournir des performances plus élevées dans les architectures VLAN.

Examinons quelques façons de protéger l'interréseau à l'aide de listes d'accès.

Introduction aux listes d'accès


Une liste d'accès est essentiellement une liste de conditions qui catégorisent les paquets, et ils entrent vraiment dans
pratique lorsque vous devez exercer un contrôle sur le trafic réseau. Une ACL serait votre outil de
choix pour la prise de décision dans ces situations.

L'une des utilisations les plus courantes et les plus faciles à comprendre des listes d'accès est de filtrer les indésirables

Page 211

paquets lors de la mise en œuvre des politiques de sécurité. Par exemple, vous pouvez les configurer pour qu'ils soient très
des décisions spécifiques sur la régulation des modèles de trafic afin qu'ils n'autorisent que certains hôtes à
accéder aux ressources Web sur Internet tout en restreignant les autres. Avec la bonne combinaison de
listes d'accès, les gestionnaires de réseau se dotent du pouvoir d'appliquer presque n'importe quelle sécurité
politique qu'ils peuvent inventer.

La création de listes d'accès ressemble beaucoup à la programmation d'une série d'instructions if-then — si un
condition est remplie, alors une action donnée est entreprise. Si la condition spécifique n'est pas remplie, rien ne se passe
et l'instruction suivante est évaluée. Les instructions de liste d'accès sont essentiellement des filtres de paquets qui
les paquets sont comparés, classés par et traités en conséquence. Une fois les listes
construits, ils peuvent être appliqués au trafic entrant ou sortant sur n'importe quelle interface. L'application d'un
liste d'accès oblige le routeur à analyser chaque paquet traversant cette interface dans le
direction et prendre les mesures appropriées.

Il y a trois règles importantes qu'un paquet suit lorsqu'il est comparé à un accès
liste:

Le paquet est toujours comparé à chaque ligne de la liste d'accès dans l'ordre séquentiel — il sera
commencez toujours par la première ligne de la liste d'accès, passez à la ligne 2, puis à la ligne 3, et ainsi de suite.

Le paquet est comparé aux lignes de la liste d'accès uniquement jusqu'à ce qu'une correspondance soit établie. Une fois qu'il
correspond à la condition sur une ligne de la liste d'accès, le paquet est traité et pas plus
des comparaisons ont lieu.

Il y a un « refus » implicite à la fin de chaque liste d'accès — cela signifie que si un paquet ne
correspondent à la condition sur l'une des lignes de la liste d'accès, le paquet sera rejeté.

Chacune de ces règles a des implications puissantes lors du filtrage des paquets IP avec des listes d'accès, donc
gardez à l'esprit que la création de listes d'accès efficaces demande un peu de pratique.

Il existe deux principaux types de listes d'accès :

Listes d'accès standard Ces ACL utilisent uniquement l'adresse IP source dans un paquet IP comme
essai d'état. Toutes les décisions sont prises en fonction de l'adresse IP source. Cela signifie que la norme
les listes d'accès autorisent ou refusent essentiellement une suite entière de protocoles. Ils ne font pas de distinction entre
l'un des nombreux types de trafic IP tels que Web, Telnet, UDP, etc.

Listes d'accès étendues Les listes d'accès étendues peuvent évaluer de nombreux autres champs de la couche 3
et les en-têtes de couche 4 d'un paquet IP. Ils peuvent évaluer les adresses IP source et de destination, le
Le champ Protocole dans l'en-tête de la couche Réseau et le numéro de port dans l'en-tête de la couche Transport.
Cela donne aux listes d'accès étendu la possibilité de prendre des décisions beaucoup plus granulaires lorsque
contrôler le trafic.

Listes d'accès nommées Hé, attendez une minute, j'ai dit qu'il n'y avait que deux types de listes d'accès, mais
en liste trois ! Eh bien, techniquement, il n'y en a vraiment que deux puisque les listes d'accès nommées sont soit
standard ou étendu et pas réellement un type distinct. Je les distingue juste parce que
elles sont créées et référencées différemment des listes d'accès standard et étendues, mais
ils sont toujours fonctionnellement les mêmes.

Nous aborderons ces types de listes d'accès plus en détail plus loin dans ce chapitre.

Une fois que vous avez créé une liste d'accès, elle ne fera rien tant que vous ne l'aurez pas appliquée. Oui ils sont
là sur le routeur, mais ils sont inactifs jusqu'à ce que vous disiez à ce routeur quoi faire avec eux. Pour utiliser un
liste d'accès en tant que filtre de paquets, vous devez l'appliquer à une interface sur le routeur où vous voulez que le
trafic filtré. Et vous devez spécifier dans quel sens de circulation vous voulez la liste d'accès
appliqué à. Il y a une bonne raison à cela : vous souhaiterez peut-être mettre en place différents contrôles pour le trafic
laissant votre entreprise destinée à Internet que vous ne voudriez pour le trafic entrant dans votre
entreprise à partir d'Internet. Ainsi, en spécifiant le sens de circulation, vous pouvez et devez utiliser
différentes listes d'accès pour le trafic entrant et sortant sur une seule interface :

Page 212

Listes d'accès entrantes Lorsqu'une liste d'accès est appliquée aux paquets entrants sur une interface, ces
les paquets sont traités via la liste d'accès avant d'être acheminés vers l'interface sortante. Tout
les paquets refusés ne seront pas routés car ils sont rejetés avant que le processus de routage ne soit
invoqué.

Listes d'accès sortantes Lorsqu'une liste d'accès est appliquée aux paquets sortants sur une interface,
les paquets sont acheminés vers l'interface sortante puis traités via la liste d'accès avant
étant en file d'attente.

Il y a quelques directives générales de liste d'accès que vous devez garder à l'esprit lors de la création et
implémenter des listes d'accès sur un routeur :

Vous ne pouvez affecter qu'une seule liste d'accès par interface par protocole et par direction. Cela signifie que
lors de l'application des listes d'accès IP, vous ne pouvez avoir qu'une seule liste d'accès entrante et une seule sortante
liste d'accès par interface.

Lorsque vous considérez les implications du refus implicite à la fin de tout accès

list, il est logique que vous ne puissiez pas avoir plusieurs listes d'accès appliquées sur la même interface dans
même sens pour le même protocole. C'est parce que tous les paquets qui ne correspondent pas à certains
la condition dans la première liste d'accès serait refusée et il ne resterait plus de paquets
à comparer avec une seconde liste d'accès !

Organisez vos listes d'accès de manière à ce que les tests les plus spécifiques soient en haut.

Chaque fois qu'une nouvelle entrée est ajoutée à la liste d'accès, elle sera placée au bas de la liste, ce qui
C'est pourquoi je recommande fortement d'utiliser un éditeur de texte pour les listes d'accès.

Vous ne pouvez pas supprimer une ligne d'une liste d'accès. Si vous essayez de le faire, vous supprimerez l'intégralité de
liste. C'est pourquoi il est préférable de copier la liste d'accès dans un éditeur de texte avant d'essayer de modifier la liste.
La seule exception est lorsque vous utilisez des listes d'accès nommées.

Vous pouvez modifier, ajouter ou supprimer une seule ligne d'une liste d'accès nommée. je vais te montrer

combien de temps.

À moins que votre liste d'accès ne se termine par une commande d' autorisation , tous les paquets seront rejetés s'ils le font.
ne répond à aucun des tests de la liste. Cela signifie que chaque liste doit avoir au moins une déclaration de permis
ou il refusera tout le trafic.

Créez des listes d'accès, puis appliquez-les à une interface. Toute liste d'accès appliquée à une interface
sans les instructions de test de liste d'accès présentes ne filtrera pas le trafic.

Les listes d'accès sont conçues pour filtrer le trafic passant par le routeur. Ils ne filtreront pas le trafic
qui provient du routeur.

Placez les listes d'accès standard IP aussi près que possible de la destination. C'est la raison pour laquelle nous
ne veulent pas vraiment utiliser des listes d'accès standard dans nos réseaux. Vous ne pouvez pas mettre un accès standard
liste proche de l'hôte ou du réseau source car vous ne pouvez filtrer qu'en fonction de l'adresse source
et toutes les destinations en seraient affectées.

Placez les listes d'accès étendu IP aussi près que possible de la source. Étant donné que les listes d'accès étendues
pouvez filtrer sur des adresses et des protocoles très spécifiques, vous ne voulez pas que votre trafic traverse le
tout le réseau juste pour être refusé. En plaçant cette liste aussi près que possible de l'adresse source,
vous pouvez filtrer le trafic avant qu'il n'utilise la précieuse bande passante.

Avant de passer à la démonstration de la configuration des listes de contrôle d'accès de base et étendues, parlons de la façon dont
ils peuvent être utilisés pour atténuer les menaces de sécurité que j'ai mentionnées plus tôt.

Page 213

Atténuation des problèmes de sécurité avec les listes de contrôle d'accès


L'attaque la plus courante est une attaque par déni de service (DoS). Bien que les ACL puissent aider avec un DoS,
vous avez vraiment besoin d'un système de détection d'intrusion (IDS) et d'un système de prévention d'intrusion (IPS) pour
aider à prévenir ces attaques courantes. Cisco vend l'appliance de sécurité adaptative (ASA), qui
possède des modules IDS/IPS, mais de nombreuses autres sociétés vendent également des produits IDS/IPS.

Voici une liste des nombreuses menaces de sécurité que vous pouvez atténuer avec les listes de contrôle d'accès :

Usurpation d'adresse IP, entrante

Usurpation d'adresse IP, sortante


Attaques TCP SYN par déni de service (DoS), bloquant les attaques externes

Attaques DoS TCP SYN, utilisant l'interception TCP

Attaques de schtroumpfs DoS

Refuser/filtrer les messages ICMP, entrants

Refuser/filtrer les messages ICMP, sortants

Refuser/filtrer Traceroute

Il ne s'agit pas d'un livre « introduction à la sécurité », vous devrez peut-être faire des recherches

des termes précédents si vous ne les comprenez pas.

C'est généralement une mauvaise idée d'autoriser dans un réseau privé tous les paquets IP externes qui contiennent le
l'adresse source de tout hôte ou réseau interne, mais ne le faites pas !

Voici une liste de règles à respecter lors de la configuration des ACL depuis Internet vers votre production
réseau pour atténuer les problèmes de sécurité :

Refusez toutes les adresses sources de vos réseaux internes.

Refuser toute adresse hôte locale (127.0.0.0/8).

Refuser toute adresse privée réservée (RFC 1918).

Refuser toutes les adresses dans la plage d'adresses IP multicast (224.0.0.0/4).

Aucune de ces adresses sources ne devrait être autorisée à entrer dans votre interréseau. Maintenant
enfin, sachons-nous les mains et configurons des listes d'accès basiques et avancées !

Listes d'accès standard


Les listes d'accès IP standard filtrent le trafic réseau en examinant l'adresse IP source dans un paquet.
Vous créez une liste d'accès IP standard en utilisant les numéros de liste d'accès 1 à 99 ou les numéros dans le
plage étendue de 1300 à 1999 car le type d'ACL est généralement différencié à l'aide d'un
numéro. En fonction du numéro utilisé lors de la création de la liste d'accès, le routeur sait quel type
de syntaxe à attendre lors de la saisie de la liste. En utilisant les nombres 1-99 ou 1300-1999, vous dites au
routeur que vous souhaitez créer une liste d'accès IP standard, le routeur attendra donc la syntaxe
en spécifiant uniquement l'adresse IP source dans les lignes de test.

La sortie suivante affiche un bon exemple des nombreuses plages de numéros de liste d'accès que vous
peut utiliser pour filtrer le trafic sur votre réseau. La version IOS délimite les protocoles que vous pouvez spécifier
accès pour :

Corp(config)# liste d'accès ?

<1-99> Liste d'accès standard IP


<100-199> Liste d'accès étendu IP
<1000-1099> Liste d'accès IPX SAP
<1100-1199> Liste d'accès aux adresses MAC 48 bits étendue
<1200-1299> Liste d'accès aux adresses récapitulatives IPX

Page 214

<1300-1999> Liste d'accès standard IP (plage étendue)


<200-299> Liste d'accès au code de type de protocole
< 2000-2699 > Liste d'accès étendue IP (plage étendue)
< 2700-2799 > Liste d'accès MPLS
<300-399> Liste d'accès DECnet
<700-799> Liste d'accès aux adresses MAC 48 bits
<800-899> Liste d'accès standard IPX
<900-999> Liste d'accès étendue IPX
dynamic-extended Étendre le temporisateur absolu d'ACL dynamique
taux-limite Liste d'accès spécifique à limitation de débit simple

Wow, il y a certainement beaucoup d'anciens protocoles répertoriés dans cette sortie ! IPX et DECnet ne
plus être utilisé dans l'un des réseaux d'aujourd'hui. Jetons un coup d'œil à la syntaxe utilisée lors de la création d'un
liste d'accès IP standard :

Corp(config)# liste d'accès 10 ?


refuser Spécifier les paquets à rejeter
autoriser Spécifier les paquets à transférer
remarque Entrée de la liste d'accès commentaire

Comme je l'ai dit, en utilisant les numéros de liste d'accès 1-99 ou 1300-1999, vous dites au routeur que vous
souhaitez créer une liste d'accès IP standard, ce qui signifie que vous ne pouvez filtrer que sur l'adresse IP source.

Une fois que vous avez choisi le numéro de liste d'accès, vous devez décider si vous créez un permis
ou nier la déclaration. Je vais créer une instruction de refus maintenant :

Corp(config)# access-list 10 refuser ?


Nom d'hôte ou adresse ABCD correspondant
tout Tout hôte source
hôte Une seule adresse d'hôte

L'étape suivante est plus détaillée car elle contient trois options :

1. La première option est le paramètre any , qui est utilisé pour autoriser ou refuser tout hôte source ou
réseau.

2. Le deuxième choix consiste à utiliser une adresse IP pour spécifier un seul hôte ou une plage d'entre eux.

3. La dernière option consiste à utiliser la commande host pour spécifier un hôte spécifique uniquement.
La commande any est assez évidente - n'importe quelle adresse source correspond à l'instruction, donc chaque paquet
par rapport à cette ligne correspondra. La commande host est également relativement simple, comme vous pouvez le voir
ici:

Corp(config)# access-list 10 refuser l'hôte ?


Nom d'hôte ou adresse d'hôte ABCD
Corp(config)# access-list 10 refuser l'hôte 172.16.30.2

Cela indique à la liste de refuser tous les paquets de l'hôte 172.16.30.2. Le paramètre par défaut est host . Dans
en d'autres termes, si vous tapez access-list 10 deny 172.16.30.2 , le routeur suppose que vous voulez dire host
172.16.30.2 et c'est exactement comme cela qu'il apparaîtra dans votre fichier running-config.

Mais il existe une autre façon de spécifier soit un hôte particulier, soit une plage d'hôtes, et c'est ce qu'on appelle
masquage générique. En fait, pour spécifier une plage d'hôtes, vous devez utiliser le masquage générique dans le
liste d'accès.

Alors, qu'est-ce que le masquage générique ? A venir, je vais vous montrer en utilisant un accès standard
exemple de liste. Je vous expliquerai également comment contrôler l'accès à un terminal virtuel.

Masquage des caractères génériques


Les caractères génériques sont utilisés avec les listes d'accès pour spécifier un hôte individuel, un réseau ou une plage spécifique de
un réseau ou des réseaux. Les tailles de bloc que vous avez apprises précédemment utilisées pour spécifier une plage de
Les adresses sont essentielles pour comprendre les caractères génériques.

Permettez-moi de faire une pause ici pour un examen rapide des tailles de bloc avant d'aller plus loin. je suis sûr que tu
rappelez-vous que les différentes tailles de blocs disponibles sont 64, 32, 16, 8 et 4. Lorsque vous devez
spécifiez une plage d'adresses, vous choisissez la taille de bloc suivante la plus grande pour vos besoins. Alors si vous
devez spécifier 34 réseaux, vous avez besoin d'une taille de bloc de 64. Si vous voulez spécifier 18 hôtes, vous
besoin d'une taille de bloc de 32. Si vous ne spécifiez que 2 réseaux, optez pour une taille de bloc de 4.

Page 215

Les caractères génériques sont utilisés avec l'hôte ou l'adresse réseau pour indiquer au routeur une plage de
adresses à filtrer. Pour spécifier un hôte, l'adresse ressemblerait à ceci :
172.16.30.5 0.0.0.0

Les quatre zéros représentent chaque octet de l'adresse. Chaque fois qu'un zéro est présent, il indique que
l'octet de l'adresse doit correspondre exactement à l'octet de référence correspondant. Pour préciser qu'un
octet peut être n'importe quelle valeur, utilisez la valeur 255. Voici un exemple de la façon dont un sous-réseau /24 est spécifié avec
un masque générique :

172.16.30.0 0.0.0.255

Cela indique au routeur de faire correspondre exactement les trois premiers octets, mais le quatrième octet peut être n'importe quel
valeur.

D'accord, c'était la partie facile. Mais que se passe-t-il si vous souhaitez spécifier uniquement une petite plage de sous-réseaux ? Cette
est l'endroit où les tailles de bloc entrent en jeu. Vous devez spécifier la plage de valeurs dans une taille de bloc, vous ne pouvez donc pas
choisissez de spécifier 20 réseaux. Vous pouvez uniquement spécifier le montant exact que la valeur de la taille du bloc
permet. Cela signifie que la plage devrait être soit 16, soit 32, mais pas 20.

Disons que vous voulez bloquer l'accès à la partie du réseau qui va de 172.16.8.0
jusqu'à 172.16.15.0. Pour ce faire, vous utiliseriez une taille de bloc de 8, votre numéro de réseau
serait 172.16.8.0, et le caractère générique serait 0.0.7.255. Le 7.255 est égal à la valeur du routeur
utilisera pour déterminer la taille du bloc. Ainsi, ensemble, le numéro de réseau et le caractère générique indiquent au
routeur pour commencer à 172.16.8.0 et augmenter d'une taille de bloc de huit adresses jusqu'au réseau 172.16.15.0.

C'est vraiment plus facile qu'il n'y paraît ! Je pourrais certainement faire le calcul binaire pour vous, mais non
on a besoin de ce genre de douleur parce que tout ce que vous avez à faire est de vous rappeler que le joker est toujours
un nombre de moins que la taille du bloc. Ainsi, dans notre exemple, le joker serait 7 puisque notre bloc
la taille est de 8. Si vous utilisiez une taille de bloc de 16, le caractère générique serait de 15. Facile, n'est-ce pas ?

Juste pour vous faire comprendre, nous allons passer en revue quelques exemples qui vous aideront certainement à le comprendre
vers le bas. L'exemple suivant indique au routeur de faire correspondre exactement les trois premiers octets mais que le
le quatrième octet peut être n'importe quoi :

Corp(config)# access-list 10 refuser 172.16.10.0 0.0.0.255

L'exemple suivant indique au routeur de faire correspondre les deux premiers octets et que les deux derniers octets peuvent être
de n'importe quelle valeur:

Corp(config)# access-list 10 refuser 172.16.0.0 0.0.255.255

Maintenant, essayez de comprendre cette ligne suivante :

Corp(config)# access-list 10 refuser 172.16.16.0 0.0.3.255

Cette configuration indique au routeur de démarrer au réseau 172.16.16.0 et d'utiliser une taille de bloc de 4. Le
la plage serait alors de 172.16.16.0 à 172.16.19.255, et soit dit en passant, les objectifs de Cisco
semble vraiment aimer celui-ci !

Continuons à pratiquer. Et ce prochain ?

Corp(config)# access-list 10 refuser 172.16.16.0 0.0.7.255

Cet exemple révèle une liste d'accès commençant à 172.16.16.0 et augmentant d'une taille de bloc de 8 à
172.16.23.255.

Continuons… Quelle est la gamme de celui-ci selon vous ?

Corp(config)# access-list 10 refuser 172.16.32.0 0.0.15.255


Celui-ci commence au réseau 172.16.32.0 et monte d'une taille de bloc de 16 à 172.16.47.255.

Vous avez presque fini de vous entraîner ! Après quelques autres, nous allons configurer de vraies ACL.

Corp(config)# access-list 10 refuser 172.16.64.0 0.0.63.255

Cet exemple commence au réseau 172.16.64.0 et augmente d'une taille de bloc de 64 à 172.16.127.255.

Page 216

Et ce dernier exemple ?

Corp(config)# access-list 10 refuser 192.168.160.0 0.0.31.255

Celui-ci nous montre qu'il commence au réseau 192.168.160.0 et monte une taille de bloc de 32 à
192.168.191.255.

Voici deux autres choses à garder à l'esprit lorsque vous travaillez avec des tailles de bloc et des caractères génériques :

Chaque taille de bloc doit commencer à 0 ou à un multiple de la taille de bloc. Par exemple, vous ne pouvez pas dire que
vous voulez une taille de bloc de 8, puis commencez à 12. Vous devez utiliser 0-7, 8-15, 16-23, etc.
taille de bloc de 32, les plages sont de 0 à 31, 32 à 63, 64 à 95, etc.

La commande any revient à écrire le caractère générique 0.0.0.0 255.255.255.255.

Le masquage des caractères génériques est une compétence cruciale à maîtriser lors de la création de listes d'accès IP, et il est

utilisé de manière identique lors de la création de listes d'accès IP standard et étendues.

Exemple de liste d'accès standard


Dans cette section, vous apprendrez à utiliser une liste d'accès standard pour empêcher des utilisateurs spécifiques d'obtenir
accès au LAN du département Finance.

Dans la Figure 12.2 , un routeur dispose de trois connexions LAN et d'une connexion WAN à Internet.
Les utilisateurs du réseau local des ventes ne devraient pas avoir accès au réseau local des finances, mais ils devraient pouvoir
accéder à Internet et aux fichiers du service marketing. Le Marketing LAN doit accéder au
Finance LAN pour les services applicatifs.

Page 217
FIGURE 12.2 Exemple de liste d'accès IP avec trois réseaux locaux et une connexion WAN

Nous pouvons voir que la liste d'accès IP standard suivante est configurée sur le routeur :

Lab_A# config t
Lab_A(config)# access-list 10 refuser 172.16.40.0 0.0.0.255
Lab_A(config)# access-list 10 autorise tout

Il est très important de se rappeler que la commande any revient à dire ce qui suit
en utilisant le masquage générique :

Lab_A(config)# access-list 10 permit 0.0.0.0 255.255.255.255

Étant donné que le masque générique indique qu'aucun des octets ne doit être évalué, chaque adresse correspond
la condition de test, donc cela fait fonctionnellement la même chose que l'utilisation du mot-clé any .

À ce stade, la liste d'accès est configurée pour refuser les adresses source du réseau local de vente au
Financer LAN et autoriser tout le monde. Mais rappelez-vous, aucune mesure ne sera prise jusqu'à ce que l'accès
list est appliqué sur une interface dans une direction spécifique !

Mais où placer cette liste d'accès ? Si vous le placez en tant que liste d'accès entrant sur Fa0/0,
vous pouvez aussi bien fermer l'interface FastEthernet car tous les périphériques Sales LAN
se voir refuser l'accès à tous les réseaux connectés au routeur. Le meilleur endroit pour appliquer cette liste d'accès est
sur l'interface Fa0/1 en tant que liste sortante :

Lab_A(config)# int fa0/1


Lab_A(config-if)# ip access-group 10 out

Faire cela empêche complètement le trafic de 172.16.40.0 de sortir FastEthernet0/1. Il n'a pas
effet sur les hôtes du réseau local de vente accédant au réseau local de marketing et à Internet, car

Page 218

le trafic vers ces destinations ne passe pas par l'interface Fa0/1. Tout paquet essayant de sortir
Fa0/1 devra d'abord parcourir la liste d'accès. S'il y avait une liste entrante placée sur F0/0,
alors tout paquet essayant d'entrer dans l'interface F0/0 devrait passer par la liste d'accès avant
étant routé vers une interface de sortie.

Voyons maintenant un autre exemple de liste d'accès standard. La figure 12.3 montre un interréseau
de deux routeurs avec quatre LAN.
FIGURE 12.3 Exemple de liste d'accès standard IP 2

Nous allons maintenant empêcher les utilisateurs de la comptabilité d'accéder au serveur des ressources humaines
connecté au routeur Lab_B mais permet à tous les autres utilisateurs d'accéder à ce réseau local à l'aide d'une liste de contrôle d'accès standard.
Quel type de liste d'accès standard aurions-nous besoin de créer et où devrions-nous la placer pour y parvenir
nos buts?

La vraie réponse est que nous devrions utiliser une liste d'accès étendue et la placer au plus près de la source !
Mais cette question spécifie l'utilisation d'une liste d'accès standard et, en règle générale, les ACL standard sont placées
le plus proche de la destination. Dans cet exemple, Ethernet 0 est l'interface sortante sur le Lab_B
routeur et voici la liste d'accès qui doit être placée dessus :

Lab_B# config t
Lab_B(config)# access-list 10 refuser 192.168.10.128 0.0.0.31
Lab_B(config)# access-list 10 autorise tout
Lab_B(config)# interface Ethernet 0
Lab_B(config-if)# ip access-group 10 out

Gardez à l'esprit que pour pouvoir répondre correctement à cette question, vous devez vraiment comprendre
sous-réseau, masques génériques et comment configurer et implémenter les listes de contrôle d'accès. Le sous-réseau comptable est
le 192.168.10.128/27, qui est un 255.255.255.224, avec une taille de bloc de 32 dans le quatrième octet.

Avec tout cela à l'esprit et avant de passer à la restriction de l'accès Telnet sur un routeur, prenons un
regardez un autre exemple de liste d'accès standard. Celui-ci va nécessiter une certaine réflexion. Dans
Figure 12.4 , vous disposez d'un routeur avec quatre connexions LAN et une connexion WAN au
L'Internet.

Page 219

FIGURE 12.4 Exemple de liste d'accès standard IP 3

D'accord, vous devez écrire une liste d'accès qui arrêtera l'accès de chacun des quatre réseaux locaux indiqués dans
le diagramme sur Internet. Chacun des LAN révèle l'adresse IP d'un hôte unique, dont vous avez besoin
à utiliser pour déterminer le sous-réseau et les caractères génériques de chaque réseau local pour configurer la liste d'accès.

Voici un exemple de ce à quoi devrait ressembler votre réponse, en commençant par le réseau sur E0 et
jusqu'à l'E3 :

Router(config)# access-list 1 refuser 172.16.128.0 0.0.31.255


Router(config)# access-list 1 refuser 172.16.48.0 0.0.15.255
Router(config)# access-list 1 refuser 172.16.192.0 0.0.63.255
Router(config)# access-list 1 refuser 172.16.88.0 0.0.7.255
Router(config)#
Routeur(config)#access-list
interface 1série
autorise
0 tout
Routeur(config-if)# ip access-group 1 out

Bien sûr, vous auriez pu le faire avec une seule ligne :

Router(config)# access-list 1 refuser 172.16.0.0 0.0.255.255

Mais qu'est-ce que c'est que ça ?

Et rappelez-vous les raisons de la création de cette liste. Si vous avez réellement appliqué cette ACL sur le routeur,
vous fermeriez effectivement l'accès à Internet, alors pourquoi même avoir une connexion Internet ? je

Page 220

inclus cet exercice afin que vous puissiez vous entraîner à utiliser les tailles de bloc avec les listes d'accès, ce qui est vital
pour réussir lorsque vous passez l'examen Cisco !

Contrôle de l'accès VTY (Telnet/SSH)


Essayer d'empêcher les utilisateurs de se connecter à telnet ou d'essayer de se connecter à un routeur en SSH est vraiment difficile car tout
l'interface active sur un routeur est un jeu équitable pour l'accès VTY/SSH. Création d'une liste de contrôle d'accès IP étendue qui
limiter l'accès à chaque adresse IP sur le routeur peut sembler une solution, mais si vous le faites,
vous devriez l'appliquer en entrée sur chaque interface, ce qui ne serait vraiment pas bien adapté si vous arrivez
avoir des dizaines, voire des centaines d'interfaces, n'est-ce pas ? Et pense à toute la latence qui traîne
votre réseau à la suite de chaque routeur vérifiant chaque paquet juste au cas où le
paquet essayait d'accéder à vos lignes VTY—horrible !

N'abandonnez pas, il y a toujours une solution ! Et dans ce cas, une bien meilleure, qui emploie un
liste d'accès IP standard pour contrôler l'accès aux lignes VTY elles-mêmes.

Pourquoi ça marche si bien ? Parce que lorsque vous appliquez une liste d'accès aux lignes VTY, vous ne
besoin de préciser le protocole car l'accès au VTY implique déjà un accès au terminal via le
Protocoles Telnet ou SSH. Vous n'avez pas non plus besoin de spécifier une adresse de destination car elle
peu importe l'adresse d'interface utilisée par l'utilisateur comme cible pour la session Telnet. Tout vous
vraiment besoin de contrôler d'où vient l'utilisateur, qui est trahi par son IP source
adresse.

Vous devez faire ces deux choses pour que cela se produise :

1. Créez une liste d'accès IP standard qui autorise uniquement l'hôte ou les hôtes que vous souhaitez pouvoir
telnet dans les routeurs.

2. Appliquez la liste d'accès à la ligne VTY avec la classe d'accès dans la commande.

Ici, j'autorise uniquement l'hôte 172.16.10.3 à se connecter à un routeur :

Lab_A(config)# access-list 50 autorise l'hôte 172.16.10.3


Lab_A(config)# ligne vty 0 4
Lab_A(config-line)# access-class 50 dans

En raison du refus implicite à la fin de la liste, l'ACL empêche tout hôte de se connecter à telnet.
le routeur à l'exception de l'hôte 172.16.10.3, quelle que soit l'adresse IP individuelle sur le routeur
utilisé comme cible. C'est une bonne idée d'inclure une adresse de sous-réseau d'administrateur comme source au lieu de
un seul hôte, mais la raison pour laquelle j'ai démontré cela était de vous montrer comment créer la sécurité sur votre
lignes VTY sans ajouter de latence à votre routeur.

Faut-il sécuriser ses lignes VTY sur un routeur ?

Vous surveillez votre réseau et remarquez que quelqu'un s'est connecté à votre cœur
routeur à l'aide de la commande show users . Vous utilisez la commande de déconnexion et ils sont
déconnecté du routeur, mais vous remarquez qu'ils y sont de retour quelques minutes
plus tard. Vous envisagez de mettre une ACL sur les interfaces du routeur, mais vous ne voulez pas ajouter
latence sur chaque interface puisque votre routeur pousse déjà beaucoup de paquets. À ce point,
vous pensez mettre une liste d'accès sur les lignes VTY elles-mêmes, mais ne l'ayant pas fait
auparavant, vous n'êtes pas sûr que ce soit une alternative sûre à la mise d'une liste de contrôle d'accès sur chaque interface.
Placer une ACL sur les lignes VTY serait-il une bonne idée pour ce réseau ?

Oui absolument! Et la commande access-class couverte dans ce chapitre est le moyen de le faire.
Pourquoi? Parce qu'il n'utilise pas de liste d'accès qui se trouve juste sur une interface regardant chaque
paquet, ce qui entraîne une surcharge et une latence inutiles.

Lorsque vous mettez la classe d'accès en commande sur les lignes VTY, seuls les paquets essayant de se connecter à telnet
dans le routeur seront vérifiés et comparés, offrant une configuration facile à configurer mais solide
sécurité pour votre routeur !

Page 221

Juste un rappel : Cisco recommande d'utiliser Secure Shell (SSH) au lieu de Telnet sur

les lignes VTY d'un routeur, comme nous l'avons vu au chapitre 6, « Cisco's Internetworking Operating
System (IOS) », alors consultez ce chapitre si vous avez besoin d'un rappel sur SSH et comment le configurer
sur vos routeurs et commutateurs.

Listes d'accès étendu


Revenons à l'exemple de liste d'accès IP standard où vous deviez bloquer tous les accès depuis le
LAN des ventes au service financier et ajout d'une nouvelle exigence. Vous devez maintenant autoriser les ventes à
accéder à un certain serveur sur le réseau local Finance mais pas à d'autres services réseau pour la sécurité
les raisons. Quelle est la solution ? L'application d'une liste d'accès IP standard ne permettra pas aux utilisateurs d'en accéder à une
service réseau mais pas un autre car une ACL standard ne vous permettra pas de prendre des décisions
en fonction des adresses source et destination. Il prend des décisions basées uniquement sur la source
adresse, nous avons donc besoin d'un autre moyen d'atteindre notre nouvel objectif, mais quel est-il ?

L'utilisation d'une liste d'accès étendue sauvera la situation car les listes de contrôle d'accès étendues nous permettent de spécifier la source
et les adresses de destination ainsi que le protocole et le numéro de port qui identifient la couche supérieure
protocole ou application. Une liste de contrôle d'accès étendue est exactement ce dont nous avons besoin pour permettre aux utilisateurs d'accéder à
un réseau local physique tout en leur refusant l'accès à des hôtes spécifiques, voire à des services spécifiques sur ceux-ci.
hôtes!

Oui, je suis bien conscient qu'il n'y a pas d'objectifs ICND1 pour les listes d'accès étendues, mais

vous devez comprendre les listes de contrôle d'accès étendues pour le dépannage ICND2, donc je
fondation ajoutée ici.

Nous allons jeter un œil aux commandes que nous avons dans notre arsenal, mais d'abord, vous devez savoir
que vous devez utiliser la plage de liste d'accès étendue de 100 à 199. La plage 2000-2699 est également
disponible pour les listes d'accès IP étendues.

Après avoir choisi un numéro dans la plage étendue, vous devez décider du type d'entrée de liste à
Fabriquer. Pour cet exemple, je vais avec une entrée de liste de refus :

Corp(config)# liste d'accès 110 ?


refuser Spécifier les paquets à rejeter
dynamique Spécifiez une liste DYNAMIQUE de PERMIS ou DENY
autoriser Spécifier les paquets à transférer
remarque Entrée de la liste d'accès commentaire

Et une fois que vous avez défini le type d'ACL, vous devez ensuite sélectionner une entrée de champ de protocole :

Corp(config)# access-list 110 refuser ?


<0-255> Un numéro de protocole IP
Protocole d'en-tête d'authentification ahp
eigrp Protocole de routage EIGRP de Cisco
esp Encapsulation Security Payload
gre Tunneling GRE de Cisco
Protocole de message de contrôle Internet icmp
igmp Internet Gateway Message Protocol
ip N'importe quel protocole Internet
IP ipinip dans le tunneling IP
tunneling IP sur IP compatible NOS KA9Q
protocole de routage ospf OSPF
Protocole de compression de charge utile pcp
multidiffusion indépendante du protocole pim
Protocole de contrôle de transmission tcp
Protocole de datagramme utilisateur udp

Page 222

Si vous souhaitez filtrer par protocole de couche d'application, vous devez choisir le

protocole de transport de couche 4 approprié après la déclaration d' autorisation ou de refus . Par exemple, à
filtrez Telnet ou FTP, choisissez TCP puisque Telnet et FTP utilisent TCP au niveau de la couche Transport.
La sélection d'IP ne vous permettrait pas de spécifier un protocole d'application particulier ultérieurement et uniquement
filtre en fonction des adresses source et destination.

Alors maintenant, filtrons un protocole de couche Application qui utilise TCP en sélectionnant TCP comme protocole
et indiquant le port TCP de destination spécifique à la fin de la ligne. Ensuite, nous serons invités à
l'adresse IP source de l'hôte ou du réseau et nous choisirons la commande any pour autoriser tout
adresse source :

Corp(config)# access-list 110 refuser TCP ?


ABCD Adresse source
n'importe quel hôte source
hôte Un hôte source unique

Après avoir sélectionné l'adresse source, nous pouvons alors choisir l'adresse de destination spécifique :

Corp(config)# access-list 110 refuser tcp tout ?


ABCD Adresse de destination
n'importe quel hôte de destination
eq Faire correspondre uniquement les paquets sur un numéro de port donné
gt Faire correspondre uniquement les paquets avec un numéro de port supérieur
hôte Un hôte de destination unique
lt Faire correspondre uniquement les paquets avec un numéro de port inférieur
neq Faire correspondre uniquement les paquets qui ne sont pas sur un numéro de port donné
range Ne correspond qu'aux paquets dans la plage de numéros de port

Dans cette sortie, vous pouvez voir que toute adresse IP source qui a une adresse IP de destination de
172.16.30.2 a été refusé :

Corp(config)# access-list 110 deny tcp any host 172.16.30.2 ?


ack Correspondance sur le bit ACK
dscp Faire correspondre les paquets avec la valeur dscp donnée
éq Faire correspondre uniquement les paquets sur un numéro de port donné
établi Correspondre aux connexions établies
ailette Match sur le bit FIN
fragments Vérifier les fragments non initiaux
gt Faire correspondre uniquement les paquets avec un numéro de port supérieur
Journal Consigner les correspondances avec cette entrée
log-input Le journal correspond à cette entrée, y compris l'interface d'entrée
ll Faire correspondre uniquement les paquets avec un numéro de port inférieur
neq Faire correspondre uniquement les paquets qui ne sont pas sur un numéro de port donné
priorité Faire correspondre les paquets avec une valeur de priorité donnée
psh Correspondance sur le bit PSH
gamme Faire correspondre uniquement les paquets dans la plage de numéros de port
d'abord Correspondance sur le bit RST
syn Correspondance sur le bit SYN
plage de temps Spécifiez une plage de temps
tos Faire correspondre les paquets avec la valeur TOS donnée
presser Correspondance sur le bit URG
<cr>

Et une fois que nous avons les adresses d'hôte de destination en place, il nous suffit de spécifier le type de
service à refuser à l'aide de la commande equal to , entrée comme eq . L'écran d'aide suivant révèle le
options disponibles maintenant. Vous pouvez choisir un numéro de port ou utiliser le nom de l'application :

Corp(config)# access-list 110 deny tcp any host 172.16.30.2 eq ?


<0-65535> Numéro de port
bgp Protocole de passerelle frontalière (179)
chargé Générateur de caractères (19)
cmd Commandes à distance (rcmd, 514)
le jour le jour (13)
défausser Défausser (9)
domaine Service de nom de domaine (53)
goutte Protocole d'informations de routage dynamique (3949)
écho Écho (7)
l'exécutif Exécutif (rsh, 512)
doigt Doigt (79)

Page 223

ftp Protocole de transfert de fichiers (21)


Connexions de données FTP de données ftp (20)
Gopher Gopher (70)
nom d'hôte NIC serveur de nom d'hôte (101)
identifiant Protocole d'identification (113)
irc Chat de relais Internet (194)
klogin Connexion Kerberos (543)
kshell Kerberos shell (544)
connexion Connexion (rlogin, 513)
lpd Service d'impression (515)
nntp Protocole de transport de nouvelles de réseau (119)
pim-auto-rp PIM Auto-RP (496)
pop2 Protocole postal v2 (109)
pop3 Protocole postal v3 (110)
smtp Protocole de transport de courrier simple (25)
Appel de procédure à distance sunrpc Sun (111)
syslog Syslog (514)
Système de contrôle d'accès tacacs TAC (49)
parlez Parler (517)
telnet Telnet (23)
temps Temps (37)
uucp Programme de copie Unix vers Unix (540)
qui est Surnom (43)
www World Wide Web (HTTP, 80)

Maintenant, bloquons Telnet (port 23) pour héberger 172.16.30.2 uniquement. Si les utilisateurs veulent utiliser FTP, très bien—
c'est permis. La commande log est utilisée pour enregistrer les messages chaque fois que l'entrée de la liste d'accès est atteinte.
Cela peut être un moyen extrêmement cool de surveiller les tentatives d'accès inappropriées, mais soyez prudent
car dans un grand réseau, cette commande peut surcharger l'écran de votre console de messages !

Voici notre résultat :

Corp(config)# access-list 110 refuser tcp tout hôte 172.16.30.2 eq 23 log

Cette ligne dit de refuser tout hôte source essayant de se connecter par telnet à l'hôte de destination 172.16.30.2. Garder à
n'oubliez pas que la ligne suivante est un refus implicite par défaut. Si vous appliquez cette liste d'accès à une interface,
vous pourriez aussi bien fermer l'interface car par défaut, il y a un refus implicite tout à
la fin de chaque liste d'accès. Nous devons donc suivre la liste d'accès avec la commande suivante :

Corp(config)# access-list 110 permit ip any any

L'adresse IP de cette ligne est importante car elle autorisera la pile IP. Si TCP a été utilisé au lieu d'IP
dans cette ligne, alors UDP, etc. serait refusé. N'oubliez pas que le 0.0.0.0 255.255.255.255 est le même
command comme any , donc la commande pourrait aussi ressembler à ceci :

Corp(config)# access-list 110 permit ip 0.0.0.0 255.255.255.255


0.0.0.0 255.255.255.255

Mais si vous faisiez cela, lorsque vous regardiez la configuration en cours, les commandes seraient remplacées par
le tout tout . J'aime l'efficacité, je vais donc utiliser la commande any car elle nécessite moins de frappe.

Comme toujours, une fois notre liste d'accès créée, nous devons l'appliquer à une interface avec le même
commande utilisée pour la liste IP standard :

Corp(config-if)# ip access-group 110 dans

Ou ca:
Corp(config-if)# ip access-group 110 out

Ensuite, nous verrons quelques exemples d'utilisation d'une liste d'accès étendue.

Exemple de liste d'accès étendu 1


Pour notre premier scénario, nous utiliserons la figure 12.5 . Que devons-nous faire pour refuser l'accès à un hôte à
172.16.50.5 sur le réseau local du service financier pour les services Telnet et FTP ? Tous les autres services
sur celui-ci et sur tous les autres hôtes sont acceptables pour l'accès des départements des ventes et du marketing.

Page 224

FIGURE 12.5 Exemple de liste de contrôle d'accès étendue 1

Voici l'ACL que nous devons créer :

Lab_A# config t
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.16.50.5 eq 21
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.16.50.5 eq 23
Lab_A(config)# access-list 110 permit ip any any

La liste d'accès 110 indique au routeur que nous créons une liste de contrôle d'accès IP étendue. Le tcp est le protocole
dans l'en-tête de la couche réseau. Si la liste ne dit pas tcp ici, vous ne pouvez pas filtrer par port TCP
numéros 21 et 23 comme indiqué dans l'exemple. N'oubliez pas que ces valeurs indiquent FTP et
Telnet, qui utilisent tous deux TCP pour les services orientés connexion. La commande any est la source,
ce qui signifie n'importe quelle adresse IP source, et l' hôte est l'adresse IP de destination. Cette ACL dit que
tout le trafic IP sera autorisé à partir de n'importe quel hôte à l'exception de FTP et Telnet pour héberger 172.16.50.5 à partir de n'importe quel
la source.

N'oubliez pas qu'au lieu de la commande host 172.16.50.5 lorsque nous avons créé le

liste d'accès étendue, nous aurions pu entrer 172.16.50.5 0.0.0.0 . Il n'y aurait pas
la différence dans le résultat autre que le routeur changerait la commande pour héberger 172.16.50.5
dans le fichier running-config.

Une fois la liste créée, elle doit être appliquée à l'interface FastEthernet 0/1 sortante car nous

Page 225

voulez empêcher tout le trafic d'atteindre l'hôte 172.16.50.5 et d'effectuer FTP et Telnet. Si ce
list a été créée pour bloquer l'accès uniquement depuis le réseau local des ventes à l'hôte 172.16.50.5, alors nous aurions mis
cette liste plus près de la source, ou sur FastEthernet 0/0. Dans cette situation, nous appliquerions la liste à
trafic entrant. Cela met en évidence le fait que vous devez vraiment analyser chaque situation avec soin
avant de créer et d'appliquer des listes de contrôle d'accès !

Maintenant, allons de l'avant et appliquons la liste à l'interface Fa0/1 pour bloquer tous les FTP et Telnet extérieurs
accès à l'hôte 172.16.50.5 :

Lab_A(config)# int fa0/1


Lab_A(config-if)# ip access-group 110 out

Exemple de liste d'accès étendu 2


Nous allons à nouveau utiliser la figure 12.4 , qui comporte quatre réseaux locaux et une connexion série. Nous devons le faire
empêcher l'accès Telnet aux réseaux connectés aux interfaces E1 et E2.

La configuration sur le routeur ressemblerait à ceci, bien que la réponse puisse varier :

Router(config)# access-list 110 deny tcp any 172.16.48.0 0.0.15.255


éq 23
Router(config)# access-list 110 refuser tcp tout 172.16.192.0 0.0.63.255
éq 23
Router(config)# access-list 110 permit ip any any
Routeur(config)# interface Ethernet 1
Routeur(config-if)# ip access-group 110 out
Routeur(config-if)# interface Ethernet 2
Routeur(config-if)# ip access-group 110 out

Voici les facteurs clés à comprendre à partir de cette liste :

Tout d'abord, vous devez vérifier que la tranche de numéros est correcte pour le type de liste d'accès que vous utilisez.
créer. Dans cet exemple, il est étendu, la plage doit donc être comprise entre 100 et 199.

Deuxièmement, vous devez vérifier que le champ de protocole correspond au processus de couche supérieure ou
l'application, qui dans ce cas, est le port TCP 23 (Telnet).

Le paramètre de protocole doit être TCP puisque Telnet utilise TCP. Si c'était TFTP

à la place, le paramètre de protocole devrait être UDP car TFTP utilise UDP au
Couche de transport.

Troisièmement, vérifiez que le numéro de port de destination correspond à l'application que vous filtrez. Dans
dans ce cas, le port 23 correspond à Telnet, ce qui est correct, mais sachez que vous pouvez également taper telnet à
la fin de la ligne au lieu de 23.

Enfin, la déclaration de test permit ip any any est important d'avoir là à la fin de la liste
car cela signifie activer tous les paquets autres que les paquets Telnet destinés aux réseaux locaux
connecté à Ethernet 1 et Ethernet 2.

Exemple de liste d'accès étendu 3


Je souhaite vous guider à travers un autre exemple d'ACL étendu avant de passer aux ACL nommées.
La figure 12.6 affiche le réseau que nous allons utiliser pour ce dernier scénario.

Page 226
FIGURE 12.6 Exemple 3 de liste de contrôle d'accès étendue

Dans cet exemple, nous allons autoriser l'accès HTTP au serveur Finance à partir de l'hôte source B
seul. Tout autre trafic sera autorisé. Nous devons pouvoir configurer cela en seulement trois tests
instructions, puis nous devrons ajouter la configuration de l'interface.

Prenons ce que nous avons appris et éliminons celui-ci :

Lab_A# config t
Lab_A(config)# access-list 110 permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.22.89.26 eq 80
Lab_A(config)# access-list 110 permit ip any any

C'est vraiment assez simple ! Nous devons d'abord autoriser l'accès HTTP de l'hôte B au serveur Finance.
Mais puisque tout autre trafic doit être autorisé, nous devons détailler qui ne peut pas HTTP au service des finances
serveur, donc la deuxième instruction de test est là pour empêcher quiconque d'utiliser HTTP sur le
Serveur financier. Enfin, maintenant que l'hôte B peut HTTP vers le serveur Finance et que tout le monde ne le peut pas,
nous autoriserons tout autre trafic avec notre troisième instruction de test.

Pas si mal, cela demande juste un peu de réflexion ! Mais attendez, nous n'avons pas encore fini car nous devons encore
appliquer ceci à une interface. Étant donné que les listes d'accès étendu sont généralement appliquées au plus près de la source,
nous devrions simplement placer cet entrant sur F0/0, n'est-ce pas ? Eh bien, c'est une fois que nous n'allons pas
suis les règles. Notre défi nous a obligés à autoriser uniquement le trafic HTTP vers le serveur Finance à partir de
Hôte B. Si nous appliquons l'ACL entrant sur Fa0/0, alors la succursale pourra accéder au
Serveur des finances et exécutez HTTP. Donc, dans cet exemple, nous devons placer l'ACL le plus proche du
destination:

Lab_A(config)# interface fastethernet 0/1


Lab_A(config-if)# ip access-group 110 out

Parfait! Voyons maintenant comment créer des listes de contrôle d'accès à l'aide de noms.

ACL nommées

Comme je l'ai dit plus tôt, les listes d'accès nommées ne sont qu'un autre moyen de créer un accès standard et étendu
listes. Dans les moyennes et grandes entreprises, la gestion des ACL peut devenir un véritable casse-tête avec le temps ! UNE

Page 227

un moyen pratique de faciliter les choses est de copier la liste d'accès dans un éditeur de texte, de modifier la liste, puis de la coller
la nouvelle liste dans le routeur, ce qui fonctionne plutôt bien s'il n'y avait pas eu la mentalité de « rat de meute ».
Il est très courant de penser à des choses comme : « Et si je trouve un problème avec la nouvelle liste et que je dois
sortir du changement ? » Ceci et d'autres facteurs amènent les gens à accumuler des listes de contrôle d'accès non appliquées, et plus
temps, ils peuvent sérieusement s'accumuler sur un routeur, ce qui conduit à plus de questions, comme : « Quels étaient ces
ACL pour ? Sont-ils importants ? En ai-je besoin ? » Toutes les bonnes questions et les listes d'accès nommées sont
la réponse à ce problème !

Et bien sûr, ce genre de chose peut également s'appliquer aux listes d'accès qui sont opérationnelles. Disons
vous entrez dans un réseau existant et consultez des listes d'accès sur un routeur. Supposons que vous trouviez
une liste d'accès 177, qui se trouve être une liste d'accès étendue longue de 93 lignes.
Cela conduit à plus du même tas de questions et peut même conduire à des problèmes existentiels inutiles.
désespoir! Au lieu de cela, ne serait-il pas beaucoup plus facile d'identifier un accès avec un nom comme
« FinanceLAN » plutôt qu'un mystérieusement surnommé « 177 » ?

À notre grand soulagement collectif, les listes d'accès nommés nous permettent d'utiliser des noms pour créer et appliquer soit
listes d'accès standard ou étendues. Il n'y a vraiment rien de nouveau ou de différent à propos de ces ACL à part
d'être facilement identifiable d'une manière qui a du sens pour les humains, mais il y a quelques subtilités
modifications de la syntaxe. Recréons donc la liste d'accès standard que nous avons créée plus tôt pour notre test
réseau dans la Figure 12.2 en utilisant une liste d'accès nommée :

Lab_A# config t
Lab_A(config)# liste d'accès IP ?
Liste d'accès étendu étendue
log-update Contrôler les mises à jour des journaux de la liste d'accès
journalisation de la liste d'accès de contrôle
liste d'accès de reséquence
liste d'accès standard standard

Notez que j'ai commencé par taper ip access-list , pas access-list . Cela me permet d'entrer un
liste d'accès nommée. Ensuite, je devrai le spécifier en tant que liste d'accès standard :

Lab_A(config)# ip access-list standard ?


<1-99> Numéro de liste d'accès IP standard
<1300-1999> Numéro de liste d'accès IP standard (plage étendue)
MOT Nom de la liste d'accès

Lab_A(config)# ip access-list standard BlockSales


Lab_A(config-std-nacl)#

J'ai spécifié une liste d'accès standard, puis ajouté le nom BlockSales. J'aurais certainement pu utiliser un
numéro pour une liste d'accès standard, mais à la place, j'ai choisi d'utiliser un nom agréable, clair et descriptif. Et
Notez qu'après avoir entré le nom, j'ai appuyé sur Entrée et l'invite du routeur a changé. Cela confirme
que je suis maintenant en mode de configuration de la liste d'accès nommée et que je rentre dans la liste d'accès nommée :

Lab_A(config-std-nacl)# ?
Commandes de configuration de la liste d'accès standard :
default Définir une commande sur ses valeurs par défaut
refuser Spécifier les paquets à rejeter
exit Quitter le mode de configuration de la liste d'accès
non Annuler une commande ou définir ses valeurs par défaut
autoriser Spécifier les paquets à transférer

Lab_A(config-std-nacl)# refuser 172.16.40.0 0.0.0.255


Lab_A(config-std-nacl)# autorise tout
Lab_A(config-std-nacl)# sortie
Lab_A(config)# ^Z
Lab_A#

Je suis donc entré dans la liste d'accès, puis j'ai quitté le mode de configuration. Ensuite, je vais jeter un oeil à la
configuration en cours pour vérifier que la liste d'accès est bien dans le routeur :

Lab_A# sh running-config | commencer l'accès ip


ip access-list standard BlockSales
refuser 172.16.40.0 0.0.0.255
permettre à tout
!

Et voilà : la liste d'accès BlockSales a bien été créée et se trouve dans la running-config du

Page 228

routeur. Ensuite, je dois appliquer la liste d'accès à la bonne interface :

Lab_A# config t
Lab_A(config)# int fa0/1
Lab_A(config-if)# ip access-group BlockSales out

Ciel clair! À ce stade, nous avons recréé le travail effectué précédemment à l'aide d'une liste d'accès nommée. Mais
prenons notre exemple IP étendu, illustré à la Figure 12.6 , et refaites cette liste en utilisant une ACL nommée
à la place aussi.

Mêmes exigences commerciales : autorisez l'accès HTTP au serveur Finance à partir de l'hôte source B uniquement.
Tout autre trafic est autorisé.

Lab_A# config t
Lab_A(config)# ip access-list étendu 110
Lab_A(config-ext-nacl)# permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
Lab_A(config-ext-nacl)# deny tcp any host 172.22.89.26 eq 80
Lab_A(config-ext-nacl)# permit ip any any
Lab_A(config-ext-nacl)# int fa0/1
Lab_A(config-if)# ip access-group 110 out

D'accord, c'est vrai, j'ai nommé la liste étendue avec un numéro, mais parfois c'est bien de le faire ! je suis
Je suppose que les listes de contrôle d'accès nommées ne vous semblent pas si excitantes ou différentes, n'est-ce pas ? Peut-être pas dans
cette configuration, sauf que je n'ai pas besoin de commencer chaque ligne avec access-list 110 , ce qui est bien.
Mais là où les ACL nommées brillent vraiment, c'est qu'elles nous permettent d'insérer, de supprimer ou de modifier une seule ligne.
Ce n'est pas seulement agréable, c'est merveilleux ! Les listes de contrôle d'accès numérotées ne peuvent tout simplement pas être comparées à cela, et je vais
démontrez-le en une minute.

Remarques

Le mot- clé de remarque est vraiment important car il vous donne la possibilité d'inclure des commentaires
—remarques—concernant les entrées que vous avez faites dans vos listes de contrôle d'accès IP standard et étendues.
Les remarques sont très cool car elles augmentent efficacement votre capacité à examiner et à comprendre
vos ACL au niveau super-héros ! Sans eux, vous seriez pris dans un bourbier potentiellement
des nombres insignifiants sans rien pour vous aider à vous rappeler ce que signifient tous ces nombres.

Même si vous avez la possibilité de placer vos remarques avant ou après une autorisation ou de refuser
déclaration, je vous recommande totalement de choisir de les positionner de manière cohérente afin de ne pas obtenir
confus quant à la remarque pertinente pour une déclaration d' autorisation ou de refus spécifique .

Pour que cela fonctionne à la fois pour les listes de contrôle d'accès standard et étendues, utilisez simplement le numéro de liste d'accès à la liste d'accès
remarque remarque commande de configuration globale comme celle-ci :
R2# config t
R2(config)# access-list 110 remarque Autoriser Bob des ventes uniquement aux finances
R2(config)# access-list 110 permit IP host 172.16.40.1 172.16.50.0 0.0.0.255
R2(config)# access-list 110 refuser l'IP 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255
R2(config)# ip access-list étendu No_Telnet
R2(config-ext-nacl)# remarque Refuser toutes les ventes de Telnetting au marketing
R2(config-ext-nacl)# refuser TCP 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq 23
R2(config-ext-nacl)# permit ip any any
R2(config-ext-nacl)# affiche l'exécution
[coupure de sortie]
!
ip access-list étendu No_Telnet
remarque Arrêtez toutes les ventes de Telnetting au marketing
refuser TCP 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq telnet
permis ip tout tout
!
access-list 110 remarque Autoriser Bob de Sales Only To Finance
access-list 110 permit ip host 172.16.40.1 172.16.50.0 0.0.0.255
liste d'accès 110 refuser ip 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255
access-list 110 permit ip any any
!

Doux—J'ai pu ajouter une remarque à la fois à une liste étendue et à une liste d'accès nommée. Gardez à l'esprit
que vous ne pouvez pas voir ces remarques dans la sortie de la commande show access-list , que nous allons
cover ensuite, car ils n'apparaissent que dans le fichier running-config.

Page 229
En parlant d'ACL, je dois encore vous montrer comment les surveiller et les vérifier. C'est une importante
sujet, alors faites attention!

Surveillance des listes d'accès


Il est toujours bon de pouvoir vérifier la configuration d'un routeur. Le tableau 12.1 répertorie les commandes qui
nous pouvons utiliser pour y parvenir.

TABLEAU 12.1 Commandes utilisées pour vérifier la configuration de la liste d'accès

Effet de commande

afficher l'accès- Affiche toutes les listes d'accès et leurs paramètres configurés sur le routeur. Montre aussi
liste statistiques sur le nombre de fois que la ligne a autorisé ou refusé un paquet. Cette
La commande ne vous montre pas sur quelle interface la liste est appliquée.

afficher l'accès- Affiche uniquement les paramètres de la liste d'accès 110. Encore une fois, cette commande ne
liste 110 révéler l'interface spécifique sur laquelle la liste est définie.

afficher l'adresse IP Affiche uniquement les listes d'accès IP configurées sur le routeur.
liste d'accès

afficher l'adresse IP Affiche les interfaces sur lesquelles des listes d'accès sont définies.
interface

spectacle Affiche les listes d'accès et les interfaces spécifiques auxquelles des listes de contrôle d'accès sont appliquées.
fonctionnement-
configuration

Nous avons déjà utilisé la commande show running-config pour vérifier qu'une liste d'accès nommée était dans le
router, alors regardons maintenant la sortie de certaines des autres commandes.

La commande show access-list répertoriera toutes les listes de contrôle d'accès sur le routeur, qu'elles soient appliquées à un
interface ou pas :

Lab_A# afficher la liste d'accès


Liste d'accès IP standard 10
10 refuser 172.16.40.0, bits génériques 0.0.0.255
20 autoriser tout
Liste d'accès IP standard BlockSales
10 refuser 172.16.40.0, bits génériques 0.0.0.255
20 autoriser tout
Liste d'accès IP étendue 110
10 refuser tcp tout hôte 172.16.30.5 eq ftp
20 refuser tcp tout hôte 172.16.30.5 eq telnet
30 permis ip tout tout
40 autorisation hôte TCP 192.168.177.2 hôte 172.22.89.26 eq www
50 refuser tcp tout hôte 172.22.89.26 eq www
Lab_A#

Tout d'abord, notez que la liste d'accès 10 ainsi que nos deux listes d'accès nommées apparaissent sur cette liste—
rappelez-vous, mon ACL étendu nommé s'appelait 110 ! Deuxièmement, remarquez que même si je suis entré
nombres réels pour les ports TCP dans la liste d'accès 110, la commande show nous donne les noms de protocole
plutôt que des ports TCP pour plus de clarté.

Mais attendez! La meilleure partie est ces nombres sur le côté gauche : 10, 20, 30, etc. Ceux-ci s'appellent
numéros de séquence, et ils nous permettent de modifier notre ACL nommée. Voici un exemple où j'ai ajouté un
dans l'ACL 110 étendue nommée :

Lab_A (config)# ip access-list étendu 110


Lab_A (config-ext-nacl) # 21 deny udp tout hôte 172.16.30.5 eq 69
Lab_A# afficher la liste d'accès
[coupure de sortie]
Liste d'accès IP étendue 110
10 refuser tcp tout hôte 172.16.30.5 eq ftp
20 refuser tcp tout hôte 172.16.30.5 eq telnet
21 refuser udp tout hôte 172.16.30.5 eq tftp
30 permis ip tout tout
40 autorisation hôte TCP 192.168.177.2 hôte 172.22.89.26 eq www
50 refuser tcp tout hôte 172.22.89.26 eq www

230

Vous pouvez voir que j'ai ajouté la ligne 21. J'aurais pu supprimer une ligne ou modifier une ligne existante également—
très agréable!

Voici le résultat de la commande show ip interface :

Lab_A# afficher l'interface ip fa0/1


FastEthernet0/1 est actif, le protocole de ligne est actif
L'adresse Internet est 172.16.30.1/24
L'adresse de diffusion est 255.255.255.255
Adresse déterminée par la mémoire non volatile
MTU est de 1500 octets
L'adresse de l'assistant n'est pas définie
Le transfert de diffusion dirigé est désactivé
La liste d'accès sortant est 110
La liste d'accès entrants n'est pas définie
Proxy ARP est activé
Le niveau de sécurité est par défaut
L'horizon partagé est activé
[coupure de sortie]

Assurez-vous de remarquer la ligne en gras indiquant que la liste sortante sur cette interface est 110, mais le
la liste d'accès entrants n'est pas définie. Qu'est-il arrivé à BlockSales ? J'avais configuré cet sortant sur
Fa0/1 ! C'est vrai, je l'ai fait, mais j'ai configuré mon ACL 110 étendu nommé et je l'ai appliqué à Fa0/1 comme
bien. Vous ne pouvez pas avoir deux listes sur la même interface, dans le même sens, alors que s'est-il passé ici
est que ma dernière configuration a écrasé la configuration BlockSales.
Et comme je l'ai déjà mentionné, vous pouvez utiliser la commande show running-config pour voir tout
listes d'accès.

Sommaire
Dans ce chapitre, vous avez appris à configurer des listes d'accès standard pour filtrer correctement le trafic IP.
Vous avez découvert ce qu'est une liste d'accès standard et comment l'appliquer à un routeur Cisco pour renforcer la sécurité
à votre réseau. Vous avez également appris à configurer des listes d'accès étendues pour filtrer davantage l'IP
circulation. Nous avons également couvert les principales différences entre les listes d'accès standard et étendues ainsi que les
comment les appliquer aux routeurs Cisco.

Ensuite, vous avez découvert comment configurer des listes d'accès nommées et les appliquer aux interfaces sur
le routeur et appris que les listes d'accès nommées offrent l'énorme avantage d'être facilement
identifiables et donc beaucoup plus faciles à gérer que de mystérieuses listes d'accès
simplement désigné par des nombres obscurs.

L'annexe C, « Désactivation et configuration des services réseau », qui découle de ce chapitre,


contient une section amusante : désactiver les services par défaut. J'ai toujours trouvé cette performance
tâche d'administration amusante, et la commande auto secure peut nous aider à configurer de base, indispensable
sécurité sur nos routeurs.

Le chapitre s'est terminé en vous montrant comment surveiller et vérifier la liste d'accès sélectionnée
configurations sur un routeur.

Essentiels de l'examen
N'oubliez pas les plages de numéros de liste d'accès IP standard et étendue. Le nombre
les plages que vous pouvez utiliser pour configurer une liste d'accès IP standard sont 1-99 et 1300-1999. Le nombre
les plages d'une liste d'accès IP étendue sont de 100 à 199 et de 2000 à 2699.

Comprenez le terme refus implicite . À la fin de chaque liste d'accès se trouve un refus implicite . Quoi
cela signifie que si un paquet ne correspond à aucune des lignes de la liste d'accès, il sera rejeté.
De plus, si vous n'avez que des instructions de refus dans votre liste, la liste n'autorisera aucun paquet.

Comprenez la commande de configuration de liste d'accès IP standard. Pour configurer un


liste d'accès IP standard, utilisez les numéros de liste d'accès 1-99 ou 1300-1999 dans la configuration globale
mode. Choisissez autoriser ou refuser , puis choisissez l'adresse IP source sur laquelle vous souhaitez filtrer à l'aide de l'une des
les trois techniques abordées dans ce chapitre.

Page 231

Comprenez la commande de configuration de la liste d'accès IP étendue. Pour configurer un


liste d'accès IP étendue, utilisez les numéros de liste d'accès 100 à 199 ou 2000 à 2699 dans
mode de configuration. Choisissez autoriser ou refuser , le champ Protocole de couche réseau, l'IP source
l'adresse sur laquelle vous souhaitez filtrer, l'adresse de destination sur laquelle vous souhaitez filtrer, et enfin, le
Numéro de port de la couche de transport si TCP ou UDP a été spécifié comme protocole.

Souvenez-vous de la commande pour vérifier une liste d'accès sur une interface de routeur. Voir
si une liste d'accès est définie sur une interface et dans quelle direction elle filtre, utilisez le show ip
commande d' interface . Cette commande ne vous montrera pas le contenu de la liste d'accès, simplement
quelles listes d'accès sont appliquées sur l'interface.

Souvenez-vous de la commande pour vérifier la configuration de la liste d'accès. Pour voir le


listes d'accès configurées sur votre routeur, utilisez la commande show access-list . Cette commande ne
vous montrer quelles interfaces ont une liste d'accès définie.

Laboratoire écrit 12
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :

Atelier 12.1 : Sécurité

Les réponses à ce laboratoire se trouvent dans l'annexe A, « Réponses aux laboratoires écrits ».

Dans cette section, écrivez les réponses aux questions suivantes :

1. Quelle commande utiliseriez-vous pour configurer une liste d'accès IP standard pour empêcher toutes les machines
sur le réseau 172.16.0.0/16 d'accéder à votre réseau Ethernet ?

2. Quelle commande utiliseriez-vous pour appliquer la liste d'accès que vous avez créée à la question 1 à un
Interface Ethernet sortante ?

3. Quelle(s) commande(s) utiliseriez-vous pour créer une liste d'accès qui refuse l'accès à l'hôte 192.168.15.5
à un réseau Ethernet ?

4. Quelle commande vérifie que vous avez correctement saisi la liste d'accès ?

5. Quels sont les deux outils qui peuvent aider à notifier et à prévenir les attaques DoS ?

6. Quelle(s) commande(s) utiliseriez-vous pour créer une liste d'accès étendue qui arrête l'hôte 172.16.10.1
de telnetting à l'hôte 172.16.30.5 ?

7. Quelle commande utiliseriez-vous pour définir une liste d'accès sur une ligne VTY ?

8. Écrivez la même liste d'accès IP standard que vous avez écrite à la question 1, mais cette fois en tant qu'accès nommé
liste.
9. Écrivez la commande pour appliquer la liste d'accès nommée que vous avez créée à la question 8 à un réseau Ethernet
interface sortante.

10. Quelle commande vérifie le placement et la direction d'une liste d'accès ?

Laboratoires pratiques
Dans cette section, vous effectuerez deux ateliers. Pour terminer ces ateliers, vous aurez besoin d'au moins trois
routeurs. Vous pouvez facilement effectuer ces travaux pratiques avec le programme Cisco Packet Tracer. Si vous êtes
étudier pour passer votre examen Cisco, vous devez vraiment faire ces travaux pratiques !

Atelier 12.1 : Listes d'accès IP standard

Atelier 12.2 : Listes d'accès IP étendues

Tous les travaux pratiques utiliseront le schéma suivant pour configurer les routeurs.

Page 232

Atelier pratique 12.1 : Listes d'accès IP standard


Dans ce laboratoire, vous autoriserez uniquement les paquets provenant d'un seul hôte sur le réseau local SF à entrer dans le réseau local LA.

1. Accédez au routeur LA et entrez en mode de configuration globale en tapant config t .

2. Depuis le mode de configuration globale, tapez access-list ? pour obtenir une liste de toutes les différentes listes d'accès
disponible.

3. Choisissez un numéro de liste d'accès qui vous permettra de créer une liste d'accès IP standard. C'est un
nombre entre 1 et 99 ou 1300 et 1399.

4. Choisissez d'autoriser l'hôte 192.168.10.2, qui est l'adresse de l'hôte :

LA(config)# access-list 10 autorise 192.168.20.2 ?


Bits génériques ABCD
<cr>

Pour spécifier uniquement l'hôte 192.168.20.2, utilisez les caractères génériques 0.0.0.0 :

LA(config)# access-list 10 autorise 192.168.20.2


0.0.0.0

5. Maintenant que la liste d'accès est créée, vous devez l'appliquer à une interface pour la faire fonctionner :

LA(config)# int f0/0


Lab_A(config-if)# ip access-group 10 out

6. Vérifiez votre liste d'accès avec les commandes suivantes :

LA# sh liste d'accès


Liste d'accès IP standard 10
permis 192.168.20.2
LA# sh courir
[coupure de sortie]
interface FastEthernet0/0
adresse IP 192.168.20.1 255.255.255.0
groupe d'accès ip 10 sur
Page 233

7. Testez votre liste d'accès en cinglant de 192.168.10.2 à 192.168.20.2.

8. Si vous avez un autre hôte sur le LA LAN, envoyez un ping à cette adresse, ce qui devrait échouer si votre ACL est
travail.

Travaux pratiques 12.2 : Listes d'accès IP étendues


Dans cet atelier, vous utiliserez une liste d'accès IP étendue pour empêcher l'hôte 192.168.10.2 de créer un
Session Telnet au routeur LA (172.16.10.6). Cependant, l'hôte devrait toujours pouvoir envoyer un ping au LA
routeur. Les listes étendues IP doivent être placées près de la source, alors ajoutez la liste étendue sur le routeur
SF. Faites attention à la commande log utilisée à l'étape 6. C'est un objectif Cisco !

1. Supprimez toutes les listes d'accès sur SF et ajoutez une liste étendue à SF.

2. Choisissez un numéro pour créer une liste IP étendue. Les listes étendues IP utilisent 100–199 ou 2000–
2699.

3. Utilisez une instruction de refus . (Vous ajouterez une déclaration d' autorisation à l'étape 7 pour permettre à d'autres trafics de continuer
travail.)

SF(config)# access-list 110 refuser ?


<0-255> Un numéro de protocole IP
Protocole d'en-tête d'authentification ahp
eigrp Protocole de routage EIGRP de Cisco
esp Encapsulation Security Payload
gre Tunneling GRE de Cisco
Protocole de message de contrôle Internet icmp
igmp Internet Gateway Message Protocol
igrp Protocole de routage IGRP de Cisco
ip N'importe quel protocole Internet
IP ipinip dans le tunneling IP
tunneling IP sur IP compatible NOS KA9Q
protocole de routage ospf OSPF
Protocole de compression de charge utile pcp
Protocole de contrôle de transmission tcp
Protocole de datagramme utilisateur udp

4. Puisque vous allez refuser Telnet, vous devez choisir TCP comme protocole de couche de transport :

SF(config)# access-list 110 refuser TCP ?


ABCD Adresse source
n'importe quel hôte source
hôte Un hôte source unique

5. Ajoutez l'adresse IP source sur laquelle vous souhaitez filtrer, puis ajoutez l'adresse IP de l'hôte de destination. Utilisation
la commande hôte au lieu des bits génériques.

SF(config)# access-list 110 refuser l'hôte TCP


192.168.10.2 hôte 172.16.10.6 ?
ack Correspondance sur le bit ACK
éq Faire correspondre uniquement les paquets sur un port donné
numéro
établi Correspondre aux connexions établies
ailette Match sur le bit FIN
fragments Vérifier les fragments
gt Faire correspondre uniquement les paquets avec une plus grande
numéro de port
Journal Consigner les correspondances avec cette entrée
log-input Le journal correspond à cette entrée,
y compris l'interface d'entrée
ll Faire correspondre uniquement les paquets avec un port inférieur
numéro
neq Faire correspondre uniquement les paquets qui ne sont pas sur un
numéro de port
priorité Faire correspondre les paquets avec une priorité donnée
valeur
psh Correspondance sur le bit PSH
gamme Faire correspondre uniquement les paquets dans la plage de
numéros de port
d'abord Correspondance sur le bit RST
syn Correspondance sur le bit SYN
tos Faire correspondre les paquets avec la valeur TOS donnée
presser Correspondance sur le bit URG
<cr>

Page 234

6. À ce stade, vous pouvez ajouter la commande eq telnet pour filtrer l'hôte 192.168.10.2 de telnetting à
172.16.10.6. La commande log peut également être utilisée à la fin de la commande afin que chaque fois que
la ligne access-list est touchée, un journal sera généré sur la console.

SF(config)# access-list 110 refuser l'hôte TCP


192.168.10.2 hôte 172.16.10.6 eq journal telnet

7. Il est important d'ajouter cette ligne à côté pour créer une déclaration de permis . (Rappelez-vous que 0.0.0.0
255.255.255.255 est identique à la commande any .)

SF(config)# access-list 110 permit ip any 0.0.0.0


255.255.255.255

Vous devez créer une déclaration de permis ; si vous ajoutez simplement une déclaration de refus , rien ne sera autorisé
du tout. Veuillez consulter les sections plus haut dans ce chapitre pour des informations plus détaillées sur le refus
toute commande implicite à la fin de chaque ACL.
8. Appliquez la liste d'accès au FastEthernet0/0 sur SF pour arrêter le trafic Telnet dès qu'il atteint
la première interface de routeur.
SF(config)# int f0/0
SF(config-if)# ip access-group 110 dans
SF(config-if)# ^Z

9. Essayez le telnetting de l'hôte 192.168.10.2 vers LA en utilisant l'adresse IP de destination 172.16.10.6.


Cela devrait échouer, mais la commande ping devrait fonctionner.

10. Sur la console de SF, en raison de la commande log , la sortie doit apparaître comme suit :
01:11:48 : %SEC-6-IPACCESSLOGP : liste 110 refusé tcp
192.168.10.2 (1030) -> 172.16.10.6(23), 1 paquet
01:13:04 : %SEC-6-IPACCESSLOGP : liste 110 refusé tcp
192.168.10.2 (1030) -> 172.16.10.6(23), 3 paquets

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension des

Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».

1. Laquelle des affirmations suivantes est fausse lorsqu'un paquet est comparé à une liste d'accès ?

A. C'est toujours comparé à chaque ligne de la liste d'accès dans l'ordre séquentiel.

B. Une fois que le paquet correspond à la condition sur une ligne de la liste d'accès, le paquet est traité
et aucune autre comparaison n'a lieu.

C. Il y a un « refus » implicite à la fin de chaque liste d'accès.

D. Tant que toutes les lignes n'ont pas été analysées, la comparaison n'est pas terminée.

2. Vous devez créer une liste d'accès qui empêchera les hôtes dans la plage réseau de 192.168.160.0
à 192.168.191.0. Laquelle des listes suivantes utiliserez-vous ?

A. liste d'accès 10 refuser 192.168.160.0 255.255.224.0

B. liste d'accès 10 refuser 192.168.160.0 0.0.191.255

C. liste d'accès 10 refuser 192.168.160.0 0.0.31.255

D. liste d'accès 10 refuser 192.168.0.0 0.0.31.255

3. Vous avez créé une liste d'accès nommée appelée BlockSales. Lequel des énoncés suivants est valide
commande pour l'appliquer aux paquets essayant d'entrer dans l'interface Fa0/0 de votre routeur ?

Page 235

A. (config)#ip access-group 110 dans

B. (config-if)#ip access-group 110 dans

C. (config-if)#ip access-group Blocksales dans

D. (config-if)#BlockSales ip access-list dans

4. Quelle déclaration de liste d'accès autorisera toutes les sessions HTTP au réseau 192.168.144.0/24
contenant des serveurs Web ?

A. access-list 110 permit tcp 192.168.144.0 0.0.0.255 tout eq 80

B. access-list 110 permit tcp any 192.168.144.0 0.0.0.255 eq 80

C. access-list 110 permit tcp 192.168.144.0 0.0.0.255 192.168.144.0 0.0.0.255 tout eq 80

D. access-list 110 permit udp any 192.168.144.0 eq 80

5. Laquelle des listes d'accès suivantes autorisera uniquement le trafic HTTP vers le réseau 196.15.7.0 ?

A. access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www

B. access-list 10 deny tcp any 196.15.7.0 eq www

C. access-list 100 permis 196.15.7.0 0.0.0.255 eq www

D. access-list 110 permit ip any 196.15.7.0 0.0.0.255

E. access-list 110 permis www 196.15.7.0 0.0.0.255

6. Quelle commande de routeur vous permet de déterminer si une liste d'accès IP est activée sur un
interface particulière ?

A. afficher le port ip

B. afficher les listes d'accès

C. afficher l'interface IP

D. show access-lists interface

7. Dans la zone de travail, connectez la commande show à sa fonction à droite.


spectacle Affiche uniquement les paramètres de la liste d'accès 110. Cette commande n'affiche pas
liste d'accès vous l'interface sur laquelle la liste est définie.

spectacle Affiche uniquement les listes d'accès IP configurées sur le routeur.


liste d'accès
110
afficher l'adresseAffiche
IP les interfaces pour lesquelles des listes d'accès sont définies.
liste d'accès

afficher l'adresseAffiche
IP toutes les listes d'accès et leurs paramètres configurés sur le routeur. Cette
interface La commande ne vous montre pas sur quelle interface la liste est définie.

8. Si vous vouliez refuser toutes les connexions Telnet au seul réseau 192.168.10.0, quelle commande
pourriez-vous utiliser?

A. liste d'accès 100 refuser TCP 192.168.10.0 255.255.255.0 eq telnet

B. liste d'accès 100 refuser TCP 192.168.10.0 0.255.255.255 eq telnet

C. liste d'accès 100 refuser TCP tout 192.168.10.0 0.0.0.255 eq 23

D. access-list 100 refuser 192.168.10.0 0.0.0.255 tout eq 23

9. Si vous vouliez refuser l'accès FTP du réseau 200.200.10.0 au réseau 200.199.11.0 mais
autoriser tout le reste, laquelle des chaînes de commande suivantes est valide ?

A. la liste d'accès 110 refuse 200.200.10.0 au réseau 200.199.11.0 eq ftp

B. access-list 111 permit ip any 0.0.0.0 255.255.255.255

Page 236

C. liste d'accès 1 refuser ftp 200.200.10.0 200.199.11.0 tout tout

D. liste d'accès 100 refuser TCP 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp

E. liste d'accès 198 refuser TCP 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
access-list 198 permit ip any 0.0.0.0 255.255.255.255

10. Vous souhaitez créer une liste d'accès étendue qui refuse le sous-réseau de l'hôte suivant :
172.16.50.172/20. Par lequel des éléments suivants commenceriez-vous votre liste ?

A. la liste d'accès 110 refuse l'IP 172.16.48.0 255.255.240.0 tout

B. liste d'accès 110 udp refuser 172.16.0.0 0.0.255.255 ip tout

C. liste d'accès 110 refuser TCP 172.16.64.0 0.0.31.255 tout eq 80

D. liste d'accès 110 refuser ip 172.16.48.0 0.0.15.255 tout

11. Laquelle des propositions suivantes est la version générique (inverse) d'un masque /27 ?

A. 0.0.0.7

B. 0.0.0.31

C. 0.0.0.27

D. 0.0.31.255

12. Vous souhaitez créer une liste d'accès étendue qui refuse le sous-réseau de l'hôte suivant :
172.16.198.94/19. Par lequel des éléments suivants commenceriez-vous votre liste ?

A. liste d'accès 110 refuser ip 172.16.192.0 0.0.31.255 tout

B. liste d'accès 110 refuser ip 172.16.0.0 0.0.255.255 tout

C. liste d'accès 10 refuser ip 172.16.172.0 0.0.31.255 tout

D. liste d'accès 110 refuser ip 172.16.188.0 0.0.15.255 tout

13. La liste d'accès suivante a été appliquée à une interface sur un routeur :
liste d'accès 101 refuser tcp 199.111.16.32 0.0.0.31 hôte 199.168.5.60

Laquelle des adresses IP suivantes sera bloquée à cause de cette seule règle de la liste ?
(Choisissez tout ce qui correspond.)

A. 199.111.16.67

B. 199.111.16.38

C. 199.111.16.65

D. 199.11.16.54

14. Laquelle des commandes suivantes connecte la liste d'accès 110 entrante à l'interface Ethernet0 ?

A. Router(config)#ip access-group 110 dans

B. Router(config)#ip access-list 110 dans

C. Router(config-if)#ip access-group 110 dans

D. Router(config-if)#ip access-list 110 dans

15. Quel est l'effet de cette liste d'accès monoligne ?


liste d'accès 110 refuser l'ip 172.16.10.0 0.0.0.255 hôte 1.1.1.1

A. Refuse uniquement l'ordinateur au 172.16.10

B. Refuse tout trafic

C. Refuse le sous-réseau 172.16.10.0/26

D. Refuse le sous-réseau 172.16.10.0/25

16. Vous configurez la liste d'accès suivante. Quel sera le résultat de cette liste d'accès ?
Page 237

liste d'accès 110 refuser tcp 10.1.1.128 0.0.0.63 tout eq smtp

liste d'accès 110 deny tcp any any eq 23

int ethernet 0

ip access-group 110 out

R. Les e-mails et Telnet seront autorisés à sortir E0.

B. Les e-mails et Telnet seront autorisés dans E0.

C. Tout sauf le courrier électronique et Telnet sera autorisé à sortir E0.

D. Aucun trafic IP ne sera autorisé en sortie E0.

17. Laquelle des séries de commandes suivantes limitera l'accès Telnet au routeur ?

A. Lab_A(config)# access-list 10 autorise 172.16.1.1


Lab_A(config)# ligne con 0
Lab_A(config-line)# ip access-group 10 dans

B. Lab_A(config)# access-list 10 permis 172.16.1.1


Lab_A(config)# ligne vty 0 4
Lab_A(config-line)# access-class 10 out

C. Lab_A(config)# access-list 10 permis 172.16.1.1


Lab_A(config)# ligne vty 0 4
Lab_A(config-line)# access-class 10 dans

D. Lab_A(config)# access-list 10 permis 172.16.1.1


Lab_A(config)# ligne vty 0 4
Lab_A(config-line)# ip access-group 10 dans

18. Laquelle des affirmations suivantes est vraie concernant les listes d'accès appliquées à une interface ?

A. Vous pouvez placer autant de listes d'accès que vous le souhaitez sur n'importe quelle interface jusqu'à ce que vous n'ayez plus de
Mémoire.

B. Vous ne pouvez appliquer qu'une seule liste d'accès sur n'importe quelle interface.

C. Une liste d'accès peut être configurée, par direction, pour chaque protocole de couche 3 configuré sur
une interface.

D. Vous pouvez appliquer deux listes d'accès à n'importe quelle interface.

19. Quelle est l'attaque la plus courante sur un réseau aujourd'hui ?

A. Crochetage

B. Naggle

C. DoS

D. sécurité automatique

20. Vous devez arrêter les attaques DoS en temps réel et avoir un journal de toute personne qui a tenté d'attaquer
votre réseau. Que faire de votre réseau ?

A. Ajoutez plus de routeurs.

B. Utilisez la commande de sécurité automatique .

C. Mettre en œuvre IDS/IPS.

D. Configurez Naggle.

Page 238

Chapitre 13
Traduction d'adresses réseau (NAT)

LES SUJETS SUIVANTS DE L'EXAMEN ICND1 SONT COUVERTS DANS


CE CHAPITRE:
4.0 Services d'infrastructure

4.7 Configurer, vérifier et dépanner à l'intérieur du NAT source

4.7.a Statique
4.7.b Piscine

4.7.c TAP

Dans ce chapitre, nous allons creuser dans l'adresse réseau


Traduction (NAT), Dynamic NAT et Port Address Translation (PAT), également connu sous le nom de NAT
Surcharge. Bien sûr, je vais vous montrer toutes les commandes NAT. J'ai également fourni de fantastiques
des laboratoires pratiques à configurer à la fin de ce chapitre, alors assurez-vous de ne pas les manquer !

Il est important de comprendre les objectifs de Cisco pour ce chapitre. Ils sont très simples :
vous avez des hôtes sur votre réseau d'entreprise interne utilisant des adresses RFC 1918 et vous devez
autorisez ces hôtes à accéder à Internet en configurant des traductions NAT. Avec cet objectif en
l'esprit, ce sera ma direction avec ce chapitre.

Étant donné que nous utiliserons des listes de contrôle d'accès dans nos configurations NAT, il est important que vous soyez vraiment
à l'aise avec les compétences que vous avez apprises dans le chapitre précédent avant de passer à celui-ci.

Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna

ou la page Web du livre à l' adresse www.sybex.com/go/ccna .

Quand utilisons-nous NAT ?


La traduction d'adresses réseau (NAT) est similaire au routage inter-domaines sans classe (CIDR) en ce sens
l'intention initiale de NAT était de ralentir l'épuisement de l'espace d'adressage IP disponible en permettant
plusieurs adresses IP privées à représenter par un nombre beaucoup plus petit d'adresses IP publiques
adresses.

Depuis lors, il a été découvert que NAT est également un outil utile pour les migrations de réseau et
les fusions, le partage de la charge des serveurs et la création de « serveurs virtuels ». Alors dans ce chapitre, je vais

Page 239

décrire les bases de la fonctionnalité NAT et la terminologie commune à NAT.

Parce que NAT réduit vraiment la quantité écrasante d'adresses IP publiques requises dans un
environnement de réseautage, cela s'avère très pratique lorsque deux entreprises qui ont des doublons
les schémas d'adressage internes fusionnent. NAT est également un excellent outil à utiliser lorsqu'une organisation change
son fournisseur de services Internet (FAI), mais le gestionnaire de réseau doit éviter les tracas de
changer le schéma d'adressage interne.

Voici une liste de situations dans lesquelles le NAT peut être particulièrement utile :

Lorsque vous devez vous connecter à Internet et que vos hôtes n'ont pas d'adresse IP unique au monde
adresses

Lorsque vous avez changé pour un nouveau FAI qui vous oblige à renuméroter votre réseau

Lorsque vous devez fusionner deux intranets avec des adresses en double

Vous utilisez généralement NAT sur un routeur frontière. Par exemple, dans la Figure 13.1 , NAT est utilisé sur le
Routeur d'entreprise connecté à Internet.
FIGURE 13.1 Où configurer NAT

Maintenant, vous pensez peut-être : « Le NAT est totalement cool et je dois juste l'avoir ! » Mais ne t'excite pas trop
pourtant, car il existe de sérieux problèmes liés à l'utilisation de NAT que vous devez d'abord comprendre.
Ne vous méprenez pas, cela peut parfois vous sauver la vie, mais le NAT a un côté sombre que vous
besoin de savoir aussi. Pour les avantages et les inconvénients liés à l'utilisation de NAT, consultez le tableau 13.1 .

TABLEAU 13.1 Avantages et inconvénients de la mise en œuvre du NAT

Avantages Désavantages

Conserve légalement enregistré La traduction entraîne des retards de chemin de commutation.


adresses.

Page 240

Les remèdes traitent les événements de chevauchement. Provoque une perte de la traçabilité IP de bout en bout
Augmente la flexibilité lorsque Certaines applications ne fonctionneront pas avec NAT activé
connexion à Internet.

Élimine la renumérotation des adresses complique les protocoles de tunneling tels que IPsec car
à mesure qu'un réseau évolue. NAT modifie les valeurs dans l'en-tête

L'avantage le plus évident associé au NAT est qu'il vous permet de

conserver votre schéma d'adresse légalement enregistré. Mais une version de celui-ci connue sous le nom de PAT est également
pourquoi nous venons tout juste de manquer d'adresses IPv4. Sans NAT/PAT, nous aurions couru
des adresses IPv4 il y a plus d'une décennie !

Types de traduction d'adresses réseau


Dans cette section, je vais passer en revue les trois types de NAT avec vous :

NAT statique (un à un) Ce type de NAT est conçu pour permettre le mappage un à un entre
adresses locales et mondiales. Gardez à l'esprit que la version statique vous oblige à avoir un vrai
Adresse IP Internet pour chaque hôte de votre réseau.

NAT dynamique (plusieurs-à-plusieurs) Cette version vous donne la possibilité de mapper une adresse IP non enregistrée
adresse à une adresse IP enregistrée à partir d'un pool d'adresses IP enregistrées. Vous n'avez pas
pour configurer statiquement votre routeur pour mapper chaque adresse interne à une adresse externe individuelle comme
vous utiliseriez un NAT statique, mais vous devez avoir suffisamment d'adresses IP réelles et de bonne foi pour
tous ceux qui vont envoyer et recevoir des paquets d'Internet en même temps
temps.

Surcharge (un-à-plusieurs) C'est le type de configuration NAT le plus répandu. Comprendre


cette surcharge est vraiment une forme de NAT dynamique qui mappe plusieurs adresses IP non enregistrées
à une seule adresse IP enregistrée (plusieurs-à-un) en utilisant différents ports source. Maintenant, pourquoi est-ce
tellement spécial? Eh bien, parce qu'il est également connu sous le nom de traduction d'adresse de port (PAT) , qui est également
communément appelée surcharge NAT. L'utilisation de PAT vous permet de permettre à des milliers d'utilisateurs de
connectez-vous à Internet à l'aide d'une seule véritable adresse IP globale, c'est plutôt simple, n'est-ce pas ? Sérieusement, NAT
La surcharge est la vraie raison pour laquelle nous n'avons pas manqué d'adresses IP valides sur Internet. Vraiment, je suis
je ne blague pas!

Je vais vous montrer comment configurer les trois types de NAT tout au long de ce chapitre et

à la fin de ce chapitre avec les travaux pratiques.

Noms NAT
Les noms que nous utilisons pour décrire les adresses utilisées avec NAT sont assez simples. Adresses
utilisé après que les traductions NAT soient appelées adresses globales . Ce sont généralement les adresses publiques
utilisé sur Internet, dont vous n'avez pas besoin si vous n'allez pas sur Internet.

Les adresses locales sont celles que nous utilisons avant la traduction NAT. Cela signifie que l'intérieur local
address est en fait l'adresse privée de l'hôte expéditeur qui tente d'accéder à Internet.
L'adresse locale externe serait généralement l'interface du routeur connectée à votre FAI et est
aussi généralement une adresse publique utilisée lorsque le paquet commence son voyage.
Après traduction, l'adresse locale interne est alors appelée adresse globale interne et l' adresse externe
l'adresse globale devient alors l'adresse de l'hôte de destination. Consultez le tableau 13.2 , qui

Page 241

répertorie toute cette terminologie et offre une image claire des différents noms utilisés avec NAT. Garder à
gardez à l'esprit que ces termes et leurs définitions peuvent varier quelque peu en fonction de la mise en œuvre. Les
Le tableau montre comment ils sont utilisés en fonction des objectifs de l'examen Cisco.

TABLEAU 13.2 Termes NAT

Signification des noms

À l'intérieur Adresse interne de l'hôte source avant la traduction, généralement une adresse RFC 1918.
local

À l'extérieurAdresse d'un hôte externe telle qu'elle apparaît sur le réseau interne. C'est généralement le
local l'adresse de l'interface du routeur connectée au FAI—l'adresse Internet réelle.

À l'intérieur Adresse hôte source utilisée après la traduction pour accéder à Internet. C'est aussi le
global adresse Internet réelle.

À l'extérieurAdresse de l'hôte de destination extérieur et, encore une