Vous êtes sur la page 1sur 4

Exercices Interconnexion des réseaux

Partie I

F1 F2 RIV

11
11
1 1
12
à à
S1 S2
10 10
12

Tous les ports du Switch S1 (1 à 10) appartiennent au VLAN 10 (10.10.0.0/16) et ceux du Switch S2 (1
à 10) au VLAN 20 (10.20.0.0/16). Les autres ports sont dédiés à l’interconnexion entre Switchs et sont
configurés en mode Trunk. On suppose que les adresses MAC des Switchs sont leur étiquette.

1- Donnez la configuration du Switch F1 ayant 4 ports ?

VLAN 10

VLAN 20

Int range gigaethernet 0/1-4


switchport mode trunk

2- Donnez la configuration des 12 ports du Switch S1 ? Sécuriser l’accès à ces ports ?

VLAN 10

VLAN 20

Int range 0/1-10


switchport mode access
switchport access vlan 10

Int range 0/11-12


Switchport mode trunk

3- Déroulez l’algorithme STP pour le VLAN 10, identifier les ports qui vont être désactivés ?

Etapes STP :

a- Identifier le Switch racine (Plus petite MAC)

b- Identifier les ports racines (un port racine par Switch, plus proche du Switch racine)
c- Identifier le Switch représentant par segment

4- Déroulez l’algorithme STP pour le VLAN 20, identifier les ports qui vont être désactivés ?

Tous les ports de liaisons entre switchs sont trunk, donc le STP de VLAN 20 est le même que
celui du VLAN 10.

5- Comment peut-on imposer le Switch F2 comme racine du vlan 20 ?

F2-Config# spanning-tree VLAN 20 root primary


F2-Config# spanning-tree VLAN 10 root secondary

Partie II
VLAN Développent : 10.0.0.64
Masque : 255.255.255.192

DMZ Réseau : 212.7.7.16


Masque : 255.255.255.248 = 11111000
Switch Routeur A Routeur B

Lien vers Internet : 212.7.7.0 Internet


Masque : 255.255.255.252
VLAN Production : 10.0.0.128
252= 11111100
Masque : 255.255.255.128

Au niveau de la DMZ, on dispose de deux serveurs publics : DNS (212.7.7.20) et WEB (212.7.7.21).

Router A Routeur B
interface FastEthernet0/0.1 interface FastEthernet0/0
encapsulation dot1Q 111 ip address 212.7.7.18 255.255.255.248
ip address 10.0.0.65 255.255.255.192 (10.0.0.64/26)
ip nat inside interface Serial0/0
ip address 212.7.7.1 255.255.255.252
interface FastEthernet0/0.7
encapsulation dot1Q 777
ip address 10.0.0.129 255.255.255.128 (10.0.0.128/25) ip route 0.0.0.0 0.0.0 212.7.7.2
ip nat inside

interface FastEthernet1/0
ip address 212.7.7.17 255.255.255.248
ip nat outside

ip nat inside source list 1 interface FastEthernet1/0 overload


access-list 1 permit 10.0.0.64 0.0.0.63
64= 01000000 63=00111111
10.0.0.01xxxxxx --- 10.0.0.64 – 10.0.0.127

ip route 0.0.0.0 0.0.0 212.7.7.18


6- Quel type de service NAT a été configuré sur le routeur A ? Justifiez votre réponse.
NAT avec surcharge, à cause du mot clé overload qui autorise de réutiliser l’adresse Ip de
l’interface fastethernet 1/0

7- La machine ayant 10.0.0.100 comme adresse IP pourra t’elle sortir vers Internet ? Si oui,
elle utilisera quelle adresse IP pour sortir ?
Oui elle peut sortir parce qu’elle appartient à la plage 10.0.0.64 - 10.0.0.127.
Elle sortira avec l’adresse de l’interface fastethernet 1/0 : 212.7.7.17

8- La machine dont l’adresse IP est 10.0.0.254 pourra t’elle sortir vers Internet ? Si oui, elle
utilisera quelle adresse IP pour sortir ?
Non, elle n’appartient pas à la plage autorisée 10.0.0.64 - 10.0.0.127.

9- Créez les listes d’accès nécessaires (access-list) pour :


- Autoriser les services WEB et DNS depuis internet vers la DMZ
Donnez le programme de filtrage et indiquez l’emplacement et le sens de son application ?
Le programme de filtrage devrait être crée sur le routeur B
Ip access-list extended Int2DMZ
Permit tcp any host 212.7.7.21 eq 80
Permit tcp any host 212.7.7.21 eq 443
Permit udp any host 212.7.7.20 eq 53
Interface serial 0/0
Ip access-group Int2DMZ in

10- Votre serveur mail est configuré sur la machine interne 10.0.0.100 et vous souhaitez le
publier sur la DMZ pour qu’il devienne visible depuis Internet avec l’adresse 212.7.7.22
Que faut-il faire ? Détaillez votre réponse. Quel changement devra t’on apporter à
l’ACL de la question 9 pour autoriser l’accès à la messagerie Interne de l’entreprise
depuis Internet ?
Il faut configurer le NAT statique
Ip nat inside source static 10.0.0.100 212.7.7.22
Il faut ajouter dans l’ACL la règle qui autorise le trafic mail depuis Internet vers la
DMZ
Permit tcp any host 212.7.7.22 eq 25

11- Vous souhaitez restreindre l’accès SSH à votre routeur à la machine de l’administrateur ayant
l’adresse IP fixe 10.0.0.70, comment faire ?
Access-list 1 permit 10.0.0.70
Interface vty 0 4
Transport input ssh
access-class 1 in

12- Configurez votre routeur pour délivrer des adresses IP automatiquement à toutes les
machines des différents Vlans ?
Deux vlans donc deux pools dhcp à créer.
Ip dhcp excluded 10.0.0.65
Ip dhcp excluded 10.0.0.129
Ip dhcp pool LAN1
Network 10.0.0.64 255.255.255.192 (10.0.0.65 – 10.0.0.126)
Default-router 10.0.0.65
Dns-server 8.8.8.8
Ip dhcp pool LAN2
Network 10.0.0.128 255.255.255.128
Default-router 10.0.0.129
Dns-server 8.8.8.8

13- Vous avez reçu plusieurs réclamations des utilisateurs des deux VLANs qu’ils
n’arrivent pas à obtenir une adresse IP depuis le serveur DHCP. Vous avez vérifié
votre serveur dhcp et vous avez trouvé que toutes les adresses IP du serveur dhcp ont
été délivrés à des utilisateurs. Comment résoudre ce problème ?
On configure la surveillance du dhcp.
On doit truster le port sur lequel le serveur dhcp est connecté (on suppose qu’il est
connecté sur 24)
Ip dhcp snooping
Int fastethernet 0/24
Ip dhcp snooping trust

Vous aimerez peut-être aussi