TP TCP IP IFRI Modifier

1.
Installation de GNS3
Installation sous Windows
Rendez‐vous sur le site de GNS3 https://www.gns3.com/software/download Téléchargez
l’exécutable all‐in‐one puis exécutez‐le sur votre ordinateur en suivant les instructions. (vous pouvez
aussi télécharger la version actuelle et tous autres fichiers sur le site prévu pour le cours depuis le
réseau de l’UAC (http://debian.uac.bj/ifri/ )
Choisir souvent les options par défaut comme sur cette capture

A la question de la licence de Solarwinds Standard comme sur la capture suivante répondre par Non

Terminer l’installation en cliquant sur suivant jusqu’à la fin.
Installation sous Linux
Tapez les commandes suivantes sur une machine ubuntu :
sudo add‐apt‐repository ppa :gns3/ppa
sudo apt‐get update
sudo apt‐get install gns3‐gui
Intégration de machine linux sous GNS3.
Vous aurez à disposition l’image d’une machine virtuelle rt64bits.ova.( L’image de la machine
est disponible sur http://debian.uac.bj/ifri/ ) Il faudra d’abord l’importer sous Virtualbox. Pour
importer une machine sous virtualbox. Lancer virtualbox, cliquer sur Fichier, puis sur importer une
application virtuelle. Puis choisir l’image de la machine virtuelle pour commencer l’importation .
S’assurer que la machine démarre sous virtualbox. Avant de l’intégrer à GNS3, dans la configuration
de la machine sous Virtualbox configurer la carte réseau sous Generic Driver ou Aucune connexion
mais pas sous NAT. Il faudra aussi l’éteindre proprement sous virtualbox et la démarrer
directement depuis GNS3. L’utilisateur root a pour mot de passe root. La commande pour éteindre
proprement une machine linux est : shutdown ‐h now

Importation d’une machine virtuelle sous virtualbox
Pour intégrer la machine virtuelle à GNS3, Cliquez sur Edit puis sur Preferences, choisir ensuite
Virtualbox puis Virtualbox VMS enfin cliquez sur New pour sélectionner la machine virtuelle. Si vous
Cochez la case Use as linked based VM (ce qui est fortement déconseillé), vous aurez la possibilité
de l’utiliser plusieurs fois dans vos projets. Mais vous risquez de perdre vos projets (ils ne vont plus
démarrer correctement) si les machines ne sont par proprement arrêtées avec la commande
shutdown, puis ensuite dans GNS3 avec le bouton arrêt.

Intégration d’une machine virtualbox sous GNS3

Vous pouvez ensuite choisir l’icône que vous souhaitez pour la machine en cliquant sur le bouton
Edit situé juste à droite du bouton New pour compléter la configuration de la machine intégrée.
L’onglet Network de cette fenêtre vous permettra de lui donner plusieurs cartes réseaux dans la
zone Adapter (3 dans le cas de ce TP). Ne pas oublier de cocher la case : Allow GNS3 to use any
configured Virtualbox adapter
Il est également possible d’intégrer les routeurs CISCO et Mikrotik. Suivez la procédure suivante :
Pour les routeurs cisco, vous utiliserez les images CISCO (IOS ) mise a votre disposition
1‐ Cliquez sur Edit puis sur Preferences et choisissez IOS routers sous Dynamips. Procédez
comme précédemment pour intégrer une image CISCO (cliquer sur New sur Browse pour
sélectionner l’image de CISCO fournir au cours).
2‐ Intégrer les images C2691 et C3745 (ces images sont disponible sur le site prévu par le
cours) comme des switches en cochant la case This is an etherswich router comme le
montre l’image qui suit :
3‐ Ne pas oublier de laisser l’ordinateur calculer le Idle‐PC en cliquant sur le bouton Idle‐PC
finder approprié pendant l’importation (voir la copie d’écran)
4‐ Une fois les routeurs c3745 et c2691 intégrés à GNS3 comme des switches changer leur icône
et leur noms (par exemple SWcore et SWAccess), pour les différencier,
5‐ Intégrer aussi le routeur C7200 avec la même procédure mais ne pas cocher la case « This is
an etherswich router » pour pouvoir l’utiliser lui comme un routeur
Intégration des routeurs comme switch

Cliquer sur le bouton Idle‐PC Finder et laisser la machine calculer puis afficher la valeur trouvée
Intégration de routeur Mikrotik
1‐ Pour intégrer un routeur mikrotik, procéder de la même manière mais en choisissant après
Preferences , Qemu VMS sous QEMU. Mais ici vous allez devoir lui donner un nom Mikrotik par
exemple( ou MK). L’image mikrotik à utiliser est le fichier MK6_40.img
NB : Pour l’intégration du routeur mikrotik, il faut changer les pilotes de la carte réseau dans
l’onglet Network de sa configuration. Utiliser dans la zone type en lieu et place du type Intel
Gigabit Ethernet (e1000) , le type Realtek 8139 Ethernet (rtl8139) pour éviter de planter le
routeur lors de la configuration des interfaces réseaux comme le montre la figure qui suit :
2.Test du service DHCP

Réaliser le schéma suivant avec les switches cores initialement importés : (utiliser uniquement
les interfaces f 1/x comme sur la figure, ne pas utiliser les interfaces f0/x)
NB : Avant l’utilisation de chaque type de routeur si l’obtention d’une valeur de Idle-PC avait
échoué à l’étape 3 de l’importation des routeurs, vous pouvez refaire le calcul du Idle-PC en
choisissant Auto idle-PC sur le menu contextuel obtenu avec le bouton droit de la souris en
vous pointant sur le routeur. Vous pouvez enfin vérifier si votre Idle-PC marche en regardant
la performance du CPU dans le gestionnaire des tâches (plus l’utilisation du processeur est
basse (entre 0 et 20%) plus le Idle-PC est meilleur)
a) configurer le switch 3, comme suit :
configure terminal
service dhcp
ip dhcp pool dhcpserv
network 10.0.0.0 255.255.255.0
default‐router 10.0.0.254
dns‐server 192.168.1.1
lease 0 6
interface vlan1
ip address 10.0.0.254 255.255.255.0
no shutdown
end
write

Tenter d’expliquer chaque ligne ou groupe de ligne puis redémarrer le switch 3 uniquement.
b) Exécuter la commande suivante (ip dhcp) sur chaque VPC (1 et 2) puis conclure.
c) Faire des tests de connectivité à la fin entre les VPCs
3.TRAVAUX PRATIQUES SUR LE VLAN

Configuration vlan sur CISCO
Réaliser le schéma de la page suivante sous GNS3 :
Les switches core1 et core2 sont des switches de C3745
Les switches Access1 et Access2 sont des switches de C2691
La machine est la machine linux rt64 intégrée à GNS3 depuis virtualbox
Les PC sont des VPCS de GNS3.
Configurer les vlans suivants sur les quatre switches
a) vlan 10 : filaire 10.0.1.0/24
b) vlan 20 :wifi 10.0.2.0/24
c) vlan 30 : voip 10.0.3.0/24
d) vlan 50 management 192.168.1.0/24
Respecter les ports comme indiqués dans la figure. Il y a une double liaison entre les deux switches
cores par les interfaces f1/14 et f1/15. Toutes les interfaces entre les switches sont des TRUNK et
toutes les interfaces vers les pc sont des ports access dans le vlan souhaité. On suppose que le Pcs
fil1 et fil2 sont sur le vlan filaire, Les Pcs wlan1 et wlan2 sont sur le vlan wifi. Etc. Les ports access
(f1/11, f1/12 et f1/13) doivent donc être configurés en conséquence
a‐ Configuration des switches
Sur tous les switches les vlans seront définir comme suit :
########définir les vlans####
vlan database
vlan 10 name filaire
vlan 20 name wifi
vlan 30 name voip
vlan 50 name mgmt
exit
Le mode trunck doit être activer sur toutes les interfaces entre les switches
### Activer le mode TRUNK sur chaque switch entre toutes les liaisons entre switch###
configure terminal
interface fastEthernet 1/1
switchport mode trunk
switchport trunk native vlan 50
no shutdown
##Configurer les interfaces vlan uniquement pour les cores switches
configuration des interfaces vlan sur Core1
interface vlan10
ip address 10.0.1.252 255.255.255.0
no shutdown
interface vlan20
ip address 10.0.2.252 255.255.255.0
no shutdown
interface vlan30
ip address 10.0.3.252 255.255.255.0
no shutdown
interface vlan50
ip address 192.168.1.252 255.255.255.0
no shutdown
end
write
configuration des interfaces vlan Core2
Pour le core2 les mêmes plages d’adresse sont utilisées sauf que celui-ci sera .253
#Configurer chaque interface en mode access pour laisser passer le bon vlan sur les switches
access
configure terminal
switchport mode access
switchport access vlan 10
no shutdown
no shutdown
no shutdown
end
write
b‐ Configuration de chaque pool dhcp sur les switches core
Configure terminal
ip dhcp pool filaire
network 10.0.1.0 255.255.255.0
lease 0 6

ip dhcp pool wifi
network 10.0.2.0 255.255.255.0
lease 0 6

ip dhcp pool voip
network 10.0.3.0 255.255.255.0
lease 0 6
end
write
Le vlan 50 étant un vlan management, il n’a pas besoin de service DHCP.
c‐ Configuration du HSRP sur le switches cores
HSRP (Hot Standby Routing Protocol) est utilisé pour assurer une disponibilité de la
passerelle d'un réseau. L'adresse IP de la passerelle est configurée sur deux routeurs
différents. Une seule de ces deux interfaces est active. Si l'interface active n'est plus
accessible, l'interface passive devient active et prend le relai. Les switches core1 et core2
seront configurés avec HSRP comme suit :
#configuration de HSRP sur le core1
configure terminal
interface vlan 10
standby 10 ip 10.0.1.254
standby 10 priority 150
standby 10 preempt
standby 10 name filaire

interface vlan 20
standby 20 ip 10.0.2.254
standby 20 preempt
standby 20 name wifi

interface vlan 30
standby 30 ip 10.0.3.254
standby 30 preempt
standby 30 name voip

interface vlan 50
standby 50 ip 192.168.1.254
standby 50 preempt
standby 50 name mgmt
#configuration de HSRP sur le core2
La configuration HSRP sur core2 est identique à celle de core1 sauf que la ligne standby
priority est inférieur à 100 dans ce cas, pour que Core 1 soit toujours prioritaire tant qu’il est
disponible.
Finaliser cette configuration sur core 2 en ajoutant les lignes nécessaire pour les autres vlans
en vous inspirant des lignes de commandes comme suit :
interface vlan 10
standby 10 ip 10.0.1.254
standby 10 preempt
standby 10 name filaire
Généraliser les commandes précédentes pour le reste des vlans.
d‐ Configuration du Spanning Tree sur le switches cores
Le spanning tree permet d’éviter les boucles pour les switches malgré les doubles liaisons
observées sur chaque routeur
#config SPT sur core1
spanning‐tree uplinkfast
spanning‐tree backbonefast
spanning‐tree vlan 10 priority 4096
Pour le spanning tree il faut donner une priorité plus basse à core1 ce qui fait que la priorité de
core1 est de 4096 et celui de core2 est de 32768
#config SPT sur core2
spanning‐tree uplinkfast
spanning‐tree backbonefast
e‐ configuration des liens backbones (double lien entre les switches cores.)
Le double lien par un portchannel permet de booster la liaison. Cette configuration doit être
faite sur les deux switches cores identiquement comme suit
#config Port channel sur core1 et core2
configure terminal
interface f1/14
interface f1/15
# Agréger les deux liens
interface port‐channel 1
interface f1/14
channel‐group 1 mode on
interface f1/15
channel‐group 1 mode on
f‐ Activation du service DHCP sur les deux switches cores
configure terminal
service dhcp
end
write
Il est enfin possible de tester le service dhcp. Pour ce faire, prendre le soin d’enregistrer toutes
les configurations sur chacun des quatre switches (avec la commande write) et cliquer sur le
bouton reload pour redémarrer le service au niveau de chaque switch core.
g‐ Tester le DHCP
Pour tester le service dhcp de chaque pc, configurer chaque vpc pour prendre une adresse ip
par dhcp comme suit :
ip dhcp
S’assurer que le DHCP marche sur tous les VPC et vérifier les connectivités en faisant tous
les tests de connectivités.
Que faut -il faire pour qu’un pc dans le vlan 10 puisse communiquer avec un pc dans les
autres vlans ? Trouver les commandes nécessaires et l’appliquer sur les switches core1 et
core2 puis tester la connectivité entre vlan.
h‐ Simulation de panne
Faire aussi des simulations de pannes en éteignant alternativement chaque switch core et en
faisant à nouveau les tests de connectivités
Annexes (vérifier les configurations)
show vlan‐switch (affiche les vlans et les interfaces)
show interface switchport (affiche les vlans )
show runing‐config (affiche toute la configuration)
sho ip interface brief (affiche l’état de chaque interface)

4.Configuration d’un serveur DNS
Nous allons configurer le serveur DNS sur la machine linux du schéma précédent (rt64bits).
Tout d’abord, nous allons configurer les deux interfaces connectées aux core1 et core2 en
pont pour bénéficier de la redondance comme suit :
A‐ Configuration des interfaces réseau de la machine linux
Éditer le fichier /etc/network/interfaces comme suit (utiliser nano ou vi):
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow‐hotplug enp0s3
iface enp0s3 inet dhcp

iface enp0s8 inet manual

iface enp0s9 inet manual

auto br0
iface br0 inet static
address 192.168.1.1/24
bridge_ports enp0s9
bridge_ports enp0s8
bridge_stp off
bridge_fd 0
bridge_maxwait 0
Dans le cas précis de cette configuration, les interfaces enp0s9 et enp0s8 sont connectées
aux switches core1 et core2. L’interface enp0s3 est connectée au NAT. Adaptez votre
configuration en conséquence.
B‐ Routage inter vlan
Si vous n’aviez pas réussi à joindre les machines d’un autre vlan dans la partie précédente,
tapez les commandes suivantes sur les deux switches cores et tester à nouveau la connectivité
entre vlans.
configure terminal
ip routing
C‐ Routes statiques sur la machine linux
La machine linux se trouve dans le vlan management avec l’adresse ip 192.168.1.1. Elle est
utilisée comme serveur DNS et n’est pas joignable par les pcs des autres vlans. Quelles sont
les routes statiques à ajouter sur ce serveur pour lui permettre la communication entre ce
dernier et les autres vlans
Ajouter ces routes statiques et tester désormais la connectivité entre le serveur DNS et les
autres vlans
D‐ Configurer des zones DNS
Le domaine internet à configurer sera ifri.ral. Editez avec l’éditeur de votre choix le fichier de
configuration de bind /etc/bind/named.conf.local ; puis ajoutez la gestion des 2 zones suivantes :
 ifri.ral
 1.168.192.in-addr.arpa
zone "ifri.ral" {
type master;
file "/etc/bind/db.ifri";
};
zone "1.168.192.in‐addr.arpa" {
type master;
file "/etc/bind/db.192.rev ";
};
 Utiliser le fichier d'une zone existant comme modèle pour le fichier de zone:
cp /etc/bind/db.local /etc/bind/db.ifri
 Editer le nouveau fichier pour la zone (/etc/bind/db.ifri),

 Changer localhost par le FQDN (rt64bits.ifri.ral. par exemple) de votre serveur, en laissant
le point "." supplémentaire à la fin.
 Changer 127.0.0.1 par l'adresse IP du serveur de nom et root.localhost par une adresse
mail valide, mais avec un point "." à la place de l'arobase "@". Laisser également le point
à la fin.
 Créer un enregistrement de type hôte A pour le serveur de nom rt.ifri.ral
 créer un enregistrement de type A pour les switches core1 et core2
;
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA rt.ifri.ral admin.ifri.ral (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS rt.ifri.ral.
rt IN A 192.168.1.1
core1 IN A 192.168.1.252
core1 IN A 192.168.1.253
web IN CNAME rt.ifri.ral.
www IN CNAME rt.ifri.ral.
ifri.ral. IN CNAME rt.ifri.ral.
N’oubliez pas de changer le numéro de série au format AAAAMMJJNN

Créer convenable les enregistrements de type MX, de type CNAME et tester localement avec
la commande dig
dig @localhost MX ifri.ral
dig @localhost www.ifri.ral etc
 Créer maintenant le fichier db.192.rev depuis un fichier existant :
sudo cp /etc/bind/db.127 /etc/bind/db.192.rev
 Editer le fichier /etc/bind/db.192.rev et changer comme nous l'avons fait précédemment

le nom de domaine et l'adresse mail :
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
@ IN SOA ns.ifri.ral admin.ifri.ral (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS rt.ifri.ral.
1 IN PTR rt.ifri.ral.
Ajouter des enregistrements PTR pour core1 et core2 et procéder aux tests après le
redémarrage du service comme suit :
/etc/init.d/bind9 restart
Il doit maintenant être possible de faire un ping sur ifri.ral et la requête doit être résolue depuis
les vpcs:
ping rt.ifri.ral
L'utilitaire named-checkzone (inclus dans le package BIND9) peut également être utilisé :
named‐checkzone ifri.ral /etc/bind/db.ifri.ral
et
named‐checkzone 1.168.192.in‐addr.arpa /etc/bind/db.192.rev
Utiliser cet utilitaire est un bon moyen de s'assurer de l'absence d'erreurs avant le redémarrage
de bind.
Pour tester la recherche inversée, l'utilitaire dig peut être utilisé :
dig ‐x 192.168.1.1 (si un enregistrement 192.168.1.1 existe dig l’affichera)

dig www.ifri.ral (si un enregistrement www existe dig l’affichera)

5.Firewall et Iptables
A‐ Ajout de Routes statiques
Si les routes pour permettre la communication entre le serveur DNS et les vlans n’avaient pas
été ajoutées, alors lancer les commandes suivantes sur le serveur DNS.
ip route add 10.0.1.0/24 via 192.168.1.254
ip route add 10.0.2.0/24 via 192.168.1.254
ip route add 10.0.3.0/24 via 192.168.1.254
 Tester ensuite la connectivité vers le serveur DNS et tester à nouveau le serveur DNS
en faisant un ping vers un nom de domaine plutôt qu’une adresse IP.
 Toutes ces plages d’adresses 10.0.1.0/24 10.0.2.0/24 10.0.2.0/24 peuvent être
regroupées en un /22 ; lequel ?
Il est possible de mettre ces routes de façon définitive dans le fichier /etc/network/interfaces
en la complétant avec la commande up comme suit.
auto br0
iface br0 inet static
address 192.168.1.1/24
bridge_ports enp0s9
bridge_ports enp0s8
bridge_stp off
bridge_fd 0
bridge_maxwait 0
up ip route add 10.0.1.0/24 via 192.168.1.254

B‐ Iptables
Pour transformer une machine linux en un routeur, il faut activer ip_forwading en exécutant la
commande suivante :
echo 1 >/proc/sys/net/ipv4/ip_forward
Exécuter cette commande sur la machine linux.
 Tester un ping depuis un vpc vers la 192.168.1.1
 utiliser iptables pour bloquer le ping vers cette même adresse avec la commande
suivante. iptables ‐t filter ‐A INPUT ‐p icmp ‐j DROP
◦ Tester à nouveau le ping vers la 192.168.1.1
 Les switches core1 et core2 n’ont pas de passerelle pour internet. Si votre ordinateur
dispose d’une connexion internet alors la connexion de la machine linux avec l’objet
NAT de GNS3 vous permettra d’avoir une adresse IP à travers le NAT et de pouvoir
communiquer directement avec internet. Nous allons à présent ajouter la route par
défaut sur les switches core1 et core2 et activer le NAT sur la machine linux
Pour activer le nat sur la machine linux, il faut lancer la commande suivante :
iptables ‐t nat ‐A POSTROUTING ‐o enp0s3 ‐j MASQUERADE
où enp0s3 est l’interface connectée à l’objet NAT de GNS3.
NB : Il faut préciser que sur certaines versions de GNS3, l’objet NAT ne fonctionne que
si vous avez installé VMWARE
Pour ajouter la route par défaut sur les switches core1 et core2 utiliser les commandes
suivantes :
ip route 0.0.0.0 0.0.0.0 192.168.1.1
 Tester enfin la connectivité des VPC vers yahoo.fr et vers google.com ou vers 8.8.8.8
 Tester aussi la connectivité des core1 et core2 vers 8.8.8.8
On peut être amené à bloquer cette connexion avec iptables sur la machine linux et faire à
nouveau le test.
Bloquer toute trafic qui traverse le routeur en fonction des vlans et tester la connectivité de
chacun. L’option -D à la place de -A permet de supprimer une règle précédemment ajoutée.
iptables ‐t filter ‐A FORWORD ‐s 10.0.1.0/24 ‐j DROP

TP TCP IP IFRI Modifier

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TP TCP IP IFRI Modifier

Transféré par

Droits d'auteur :

Formats disponibles

1.

2.Test du service DHCP

3.TRAVAUX PRATIQUES SUR LE VLAN

 Editer le nouveau fichier pour la zone (/etc/bind/db.ifri),

N’oubliez pas de changer le numéro de série au format AAAAMMJJNN

 Créer maintenant le fichier db.192.rev depuis un fichier existant :

 Editer le fichier /etc/bind/db.192.rev et changer comme nous l'avons fait précédemment

dig ‐x 192.168.1.1 (si un enregistrement 192.168.1.1 existe dig l’affichera)

ip route 0.0.0.0 0.0.0.0 192.168.1.1

Vous aimerez peut-être aussi