Vous êtes sur la page 1sur 15

TUDE DES ROUTEURS CISCO 1 CONSTITUTION : Un routeur a pour fonction d'aiguiller des paquets entre rseaux, sous-rseaux et/ou

interrseaux, qu'ils soient locaux ou distants. Pour assurer cette fonction globale, un routeur est constitu de plusieurs lments : Des interfaces pour tre raccord diffrents rseaux, sous-rseaux et/ou interrseaux Un processeur pour effectuer les diffrents traitements correspondants la construction de tables de routage, l'excution de commandes, le routage de paquets, Diffrents types de mmoires pour le stockage de diffrents types de donnes, Diffrents types de logiciels : POST, IOS, SETUP, ... Les routeurs CISCO sont gnralement quips des types suivants de mmoires : ROM (Read Only Memory) contenant : le programme auto-test de mise sous tension (POST = Power-On Self-Test), le programme d'amorage du routeur, tout ou partie du systme d'exploitation appel IOS (Internetworking Operating System). NVRAM (Non-Volatile Random Access Memory) contenant : le fichier de configuration du routeur tel qu'il sera au dmarrage (configuration de dmarrage, aussi appele Start-Up Configuration). La NVRAM permet de modifier la configuration de dmarrage en la remplaant par la configuration en cours, et de la conserver mme aprs la mise hors tension. RAM Flash (type spcial de ROM pouvant tre efface et reprogramme) contenant : une ou plusieurs version d'IOS. RAM (Random Access Memory) contenant : la configuration active du routeur (configuration en cours aussi appele Running Configuration), la table de routage, les paquets router,

ROUTEUR CISCO
Processeur ROM RAM Flash NVRAM RAM

Interface Console

Interface Aux.

Interface X

Interface Y

Interface Z

2 INITIALISATION : La figure suivante image la squence d'initialisation d'un routeur CISCO :

1 POST

2 Chargement de l'IOS

3 Chargement de la Configuration

3 Configuration en mode SETUP

RAM Flash
CFGCISCO.DOC

ROM

Serveur TFTP

NVRAM

Serveur TFTP
1/15

TUDE DES ROUTEURS CISCO L'initialisation d'un routeur CISCO s'effectue en trois temps : 1. Vrification des diffrents lments matriels par le programme POST, 2. Recherche et chargement de l'IOS, on parle de fichier image contenant l'IOS, 3. Recherche de la configuration de dmarrage (Start-Up Configuration) et chargement de cette configuration dans la RAM (Running Configuration). L'tape N2 s'effectue selon le processus suivant : lecture du registre de configuration puis, en fonction de la valeur trouve, le systme recherche l'IOS soit en RAM Flash, soit en ROM, soit sur un serveur TFTP. Si aucune image valide n'est trouve, ou si la squence de dmarrage est interrompue, le systme entre dans le mode de contrle en ROM pour permettre soit d'amorcer l'quipement, soit d'effectuer des tests de diagnostic. Lors de l'tape N3, si aucun fichier de configuration n'est trouv, le routeur se met en mode SETUP. 3 SOURCES DE CONFIGURATION : Les routeurs CISCO peuvent tre configurs, simultanment et/ou indpendamment, partir de plusieurs sources. On peut classer ces diffrentes sources en deux catgories : les sources locales et les sources distantes. 3-1 Sources locales : Le port "Console" : il s'agit d'un port srie qui sera reli par un cble srie (en gnral de quelques dcimtres), soit un Terminal Asynchrone, soit un micro-ordinateur utilisant un mulateur de Terminal Asynchrone comme HyperTerminal de Microsoft, T-Term Pro, etc. La configuration par dfaut est 9600 bits/s, 8 bits/caractre, 1 bit de dpart, 1 bit d'arrt, pas de bit de parit. Le port console est indispensable si le routeur n'a pas de protocole IP configur. Le port "Aux" (Auxiliaire) : voir notice du routeur. 3-2 Sources distantes : Ds que le protocole IP a t configur sur le routeur, il est possible de le configurer distance partir d'une station de rseau local. La communication utilise alors l'une des interfaces de rseau du routeur. Les terminaux virtuels (VTY) : au moyen d'un mulateur de Terminal Asynchrone comme un client Telnet par exemple. Les serveurs TFTP : qui permettront de tlcharger un fichier de configuration sur le routeur. Les stations d'administration de rseau : au moyen d'une station SNMP comme CiscoWorks ou HP Open View. Terminaux Terminal Virtuels Asynchrone (Telnet) (ou ROUTEUR mulateur) Serveur TFTP Ports Sries Interfaces LAN ou WAN Station d'administration (SNMP)
2/15

CFGCISCO.DOC

TUDE DES ROUTEURS CISCO 4 MODES DE CONFIGURATION : En dehors de l'utilisation d'un serveur TFTP pour tlcharger une configuration existante, les principales sources de configuration des routeurs sont soit un terminal asynchrone (ou un mulateur) par le port console, soit un client Telnet sur un PC, par l'une des interfaces LAN ou WAN. Les routeurs CISCO peuvent utiliser plus d'une dizaine de modes diffrents parmi lesquels : Mode EXEC : mode permettant d'accder un interprteur de commandes appel EXEC. Le mode EXEC dispose de deux niveaux d'accs : Mode EXEC utilisateur : ne permet qu'un examen limit de la configuration du routeur. L'invite est "Router>". Mode EXEC privilgi : obtenu en tapant la commande "enable" partir du mode EXEC utilisateur. Il permet l'examen total et la configuration du routeur, ainsi que l'accs des mcanismes de tests et de dpannage. L'invite est "Router#". Pour quitter le mode EXEC privilgi, taper "exit", "end" ou "CTRL+Z". Mode de configuration globale : obtenu en tapant la commande "configure" partir du mode EXEC privilgi. L'invite est "Router-config#". Ce mode donne accs des commandes qui concernent l'ensemble du routeur comme par exemple la commande "hostname" qui affecte un nom au routeur. Ce nom sera repris par la plupart des invites des diffrents modes. Mode de configuration d'interface : . Mode de configuration de protocole : ConfigMaker : utilitaire de configuration des routeurs Cisco. ConfigMaker est un programme fonctionnant sur PC en mode graphique, permettant de crer ou de modifier la configuration d'un routeur, puis de tlcharger la configuration, soit par le port console, soit par une interface LAN. Utilitaires spcifiques certains routeurs : Mode contrle en ROM : accessible si l'IOS n'existe pas ou si l'initialisation du routeur a t interrompue, ou encore en excutant la commande reload puis en actionnant la touche BREAK (accessible sur PC, par la squence CTRL+Pause) danst les 60 premires secondes du dmarrage. L'invite est ">" ou "rommon>". La commande "continue" permet de passer de ce mode au mode EXEC. Mode SETUP : aussi appel mode de configuration, utilisable lorsque aucune configuration n'a t charge. Par exemple, lors de la sortie d'usine, ou si la commande "erase startup-config" a t excute et suivie soit de l'arrt du routeur, soit de la commande "reload" . Accessible galement partir du mode EXEC privilgi, en tapant la commande "Setup" . Mode RXBoot : programme d'aide l'amorage, si le routeur ne trouve pas d'image valide de l'IOS en mmoire flash. L'invite est "Router<boot>". Les paragraphes en italique indiquent ici des connaissances rserves aux techniciens confirms. N'effectuer cette opration, et certaines autres, qu'en connaissance de cause : un bon technicien ne ralise pas "d'essais" sans en connatre les consquences 5 PRINCIPALES OPERATIONS : 5-1 Ouverture/fermeture de session : En fonctionnement normal, aprs sa phase d'initialisation, le routeur affiche le message "Press RETURN to get started.". Actionner alors la touche "Entre" pour passer en mode EXEC utilisateur (invite "Router>"). Taper "exit" ou "logout" pour terminer une session A partir du mode EXEC utilisateur, passer en mode EXEC privilgi par la commande "enable". Revenir au mode EXEC utilisateur par la commande "disable" ou "exit". Press RETURN to get started Router>enable Router#exit Router>logout
CFGCISCO.DOC

3/15

TUDE DES ROUTEURS CISCO 5-2 Sauvegarde/Restauration de configuration : Copie de la configuration de dmarrage dans la configuration en cours : "copy start run". Copie de la configuration en cours dans la configuration de dmarrage: "copy run start". Copie de la configuration de dmarrage sur un serveur TFTP : "copy start tftp". Copie de la configuration en cours sur un serveur TFTP : "copy run tftp". Copie de la configuration de dmarrage partir d'un serveur TFTP : "copy tftp start". 6 AIDES A LA CONFIGURATION : 6-1 Liste des commandes disponibles : Dans les modes EXEC, la commande "?" affiche la liste des commandes disponibles dans le mode actif : L'cran affiche 22 lignes. Le message "--more--" en bas indique que la liste n'est pas termine. Actionner la barre d'espacement pour afficher les 22 lignes suivantes. Actionner la touche "Entre" pour n'afficher que la ligne suivante. Actionner n'importe quelle autre touche pour revenir l'cran du mode EXEC actif. 6-2 Commandes et mots cls abrgs : Il suffit de taper le nombre de caractres suffisants pour que l'interprteur de commandes reconnaisse la commande exacte. Par exemple: Router>ena suffit pour que l'interprteur reconnaisse la commande "enable". Il est alors possible, mais pas obligatoire, d'actionner la touche de tabulation pour que l'interprteur complte la commande automatiquement. 6-3 Liste des commandes commenant par une squence de caractres particuliers : Taper ces premiers caractres identiques plusieurs commandes puis, SANS espace, taper un point d'interrogation. Par exemple : Router>lo? 6-4 Liste des arguments d'une commande : Taper le nom de la commande puis un espace, puis un point d'interrogation. Par exemple : Router#conf ? 6-5 Commandes d'dition : CTRL+A : retour au dbut de la ligne CTRL+E : positionnement la fin de la ligne ECHAP+B : dbut du mot prcdent CTRL+F : dplacement droite d'un caractre CTRL+B : dplacement gauche d'un caractre ECHAP+F : dplacement droite d'un mot Si une ligne dpasse la largeur de l'cran, l'diteur la dcale de 10 caractres vers la gauche et introduit un caractre "$" au dbut de la ligne pour indiquer que ce n'est pas le dbut de la commande. 6-6 Historique des commandes : La touche rappelle la commande prcdente. Actionner plusieurs fois la touche pour rechercher les commandes plus anciennes. Actionner plusieurs fois la touche pour rechercher les commandes moins anciennes. La commande "show history" affiche la liste des commandes utilises prcdemment. 6-7 Copier-Coller des commandes : Les mulateurs de terminaux asynchrones permettent pour la plupart, d'effectuer des copiercoller afin de ne pas avoir retaper des commandes ou des ensembles de lignes de commandes.

CFGCISCO.DOC

4/15

TUDE DES ROUTEURS CISCO 7 CONSULTATION DE L'TAT DU ROUTEUR :


Router#show version Router#show running-config Router#show startup-config Router#show interfaces

RAM IOS
Programmes Informations de configuration dynamique Tables et Tampons

NVRAM
Fichier de configuration de secours

FLASH
Systmes d'exploitation (IOS)

Inter faces

Router#show processes CPU Router#show protocols

Router#show memory Router#show ip route

Router#show flash

Show version : affiche la configuration matrielle ainsi que la version et les noms des fichiers de configuration et d'IOS. Show processes : affiche des renseignements sur les processus actifs. Show protocols : affiche les paramtres de configuration des protocoles de niveau 3. Show memory : affiche des statistiques sur la mmoire du routeur. Show ip route : affiche la table de routage. Show flash : affiche des informations sur la mmoire flash. Show running-config : affiche la configuration en cours. Show startup-config : affiche la configuration de dmarrage. Show interfaces : affiche les paramtres des interfaces ainsi que des statistiques. 8 MOTS DE PASSE : Si aucun mot de passe n'a t configur, le mode EXEC privilgi ne peut tre accessible qu' partir du port console du routeur, et donc pas par une session Telnet partir d'une station. Les commandes de configuration de mot de passe sont mettre dans le mode de configuration globale (invite "Router(config)#"). 8-1 Mot de passe de console : La commande "line console 0" obligera taper un mot de passe pour accder au mode EXEC partir du port console. 8-2 Mot de passe de Terminal Virtuel : La commande "line vty 0 4" puis "password[mot_de_passe]" obligera taper le mot de passe [mot_de_passe] pour accder au mode EXEC partir d'une session Telnet. 8-3 Mot de passe du mode EXEC privilgi : La commande "enable password" ou "enable secret" obligera taper un mot de passe pour accder au mode EXEC privilgi, tant partir du port console qu' partir d'une session Telnet. Ces deux commandes utilisent un systme de cryptage des mots de passe lors de leur transmission sur le rseau. La commande "enable secret" utilise un cryptage plus performant que la commande "enable password" et sera donc prfre cette dernire, sauf si la version d'IOS est trop ancienne. 8-4 Cryptage supplmentaire : La commande "service password-encryption" permet de crypter les mots de passe lors de l'affichage d'une configuration. 8-5 Dsactivation des mots de passe : Pour dsactiver une commande de mot de passe, prcder la commande correspondante du mot "no".

CFGCISCO.DOC

5/15

TUDE DES ROUTEURS CISCO

8-6 Perte de mot de passe : Si le mot de passe d'accs au mode EXEC Privilgi a t oubli, il n'est plus possible d'accder au mode privilgi par la voie normale, et donc on ne peut plus modifier la configuration du routeur. Il existe plusieurs techniques assez complexes, pour remdier au problme. Certaines permettent de taper un nouveau mot de passe d'accs au mode privilgi tout en gardant la configuration existante, d'autres ncessitent de reconfigurer totalement le routeur en passant par le mode SETUP. Voici un exemple : 1. Eteindre le routeur puis et le rallumer 5 secondes aprs. Taper la commande "CTRL+Pause" au moment de la rinitialisation, afin d'entrer dans le mode Contrle ROM (Rom Monitor). 2. Taper "e/s2000002" ou "show version" et noter la valeur du registre de configuration. 3. Taper "o/r0x2142" : ceci indique au routeur de ne pas charger la configuration de dmarrage (startup-configuration). Taper "i" pour rinitialiser le routeur en mode Setup. Taper "no" l'invite suivante. 4. Entrer en mode EXEC privilgi "ena", recopier la configuration de dmarrage dans la configuration en cours "copy start run". 5. Passer en mode de configuration "conf t", puis taper "enable secret [mot_de_passe]" avec un nouveau mot de passe. 6. Entrer la valeur d'origine du registre de configuration (celle qui a t releve l'tape N2), par la commande "config-register [0x]". Taper "end" ou "CTRL+Z" pour quitter le mode configuration. 7. Rinitialiser le routeur. 9 AIDES A LA CONFIGURATION D'INTERFACES: 9-1 Les interfaces disponibles : Dans le mode PRIVILEGIE, la commande "Show interfaces" affiche la liste des interfaces disponibles, ainsi que diffrentes informations les concernant. Deux types d'interfaces sont couramment utilises: Les interfaces Ethernet : Ethernet0 ou FastEthernet0 Les interface Srie: Serial0 9-2 Commandes de configuration d'interface Ethernet : Il faut passer en mode de configuration d'interface. Pour cela, partir du mode de configuration globale, taper la commande "Interface ethernet0" ou "Interface FastEthernet0" Il faut ensuite configurer l'adresse IP de l'interface, puis rendre cette interface active l'aide de la commande "no shutdown". La commande "?" affiche la liste des commandes disponibles dans ce mode. Router(config)#interface ethernet0 Router(config-if)#ip address 125.12.12.1 255.255.0.0 Router(config-if)#no shutdown Router(config-if)#exit

CFGCISCO.DOC

6/15

TUDE DES ROUTEURS CISCO

9-3 Commandes de configuration d'interface Srie : Il faut passer en mode de configuration d'interface. Pour cela, partir du mode de configuration globale, taper la commande "Interface serial0". Il faut ensuite configurer l'adresse IP de l'interface, puis rendre cette interface active l'aide de la commande "no shutdown". Dans les maquettes de test, il n'y a pas d'unit CSU/CDU, il faut tout de mme assurer le mode synchrone d'change des donnes. On choisi un des ports du routeur pour servir de gnrateur d'horloge, ce rle est attribu au routeur connect au cordon DCE. La commande utilise est "clock rate dbit ". La commande "?" affiche la liste des commandes disponibles dans ce mode. Router(config-if)#ip address 125.12.12.1 255.255.0.0 Router(config-if)#clock rate 19200 Router(config-if)#no shutdown Router(config-if)#exit 10 AIDE A LA CONFIGURATION DU ROUTAGE: 10-1 Les routages disponibles : Deux types de routage sont utiliss sur les routeurs: Le routage statique Le routage dynamique Le routage statique ncessite l'entre manuelle de toutes les routes auxquelles le routeurs aura accs. En mode de configuration globale, entrer les routes l'aide de la commande "ip route". Router(config)#ip route [adresse destination] [masque sous-rseau] [passerelle] Le routage dynamique permet l'change entre les routeurs des diffrentes routes auxquelles ils ont accs. Un protocole de routage (RIP, IGRP, OSPF, EIGRP) permet la transmission des tables de routage. Pour cela, il faut activer le protocole de routage. A partir du mode de configuration globale, taper la commande "router protocole_de_routage". Il faut ensuite indiquer tous les rseaux auxquels aura accs le routeur. Router(config)#router RIP Router(config-router)#network 156.12.13.0 Router(config-router)#network 205.13.14.0

La commande "show ip route" permet de visualiser l'ensemble des routes connues du routeur, quelles soient statiques ou dynamiques.

CFGCISCO.DOC

7/15

TUDE DES ROUTEURS CISCO 11 AIDE A LA CONFIGURATION DE SERVICES: 11-1 Le service DHCP DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs dobtenir automatiquement une configuration IP lors du dmarrage des services rseaux. Ces informations sont envoyes aux stations htes par le serveur DHCP. En gnral cest un serveur distinct qui joue le rle DHCP Server. Cependant sur des rseaux de petites tailles, il est possible de faire dun routeur un serveur DHCP afin dconomiser les cots inhrents lachat dun serveur ddi. La premire tape consiste crer un pool dadresse. Les adresses IP attribues aux clients seront prises parmi les adresses libres du pool. La commande est la suivante : ip dhcp pool nom_du_pool Router(config)#ip dhcp pool test Router(dhcp-config)# On rentre alors en mode de configuration du pool DHCP. On peut crer plusieurs pools sur un routeur. Ensuite on indique la plage dadresse prsente dans le pool laide de la commande network rseau masque. Router(dhcp-config)#network 192.168.10.0 255.255.255.0 Le routeur attribuera alors des adresses de 192.168.10.1 192.168.10.254 On va ensuite rentrer les paramtres concernant la passerelle par dfaut, les serveurs DNS, le nom de domaine du client, et la dure du bail. Router(dhcp-config)#default-router 192.168.10.254 Router(dhcp-config)#dns-server 224.16.32.5 224.16.32.6 Router(dhcp-config)#domain-name mrim.lavoisier Router(dhcp-config)#lease 1 4 30 Router(dhcp-config)# On peut spcifier jusqu 8 serveurs DNS. Pour la dure du bail, on rentre successivement le nombre de jours, le nombre dheures et le nombre de minutes. Dans cet exemple, le client aura un bail dun jour, 4 heures et 30 minutes. La commande lease infinite permet dattribuer un bail ternel. Par dfaut le service DHCP est activ sur les routeurs le supportant. Si on souhaite le dsactiver, il faut taper la commande no service dhcp. Pour le ractiver : service dhcp. Finalement, on pourra exclure des adresses du pool, afin que le serveur nattribue pas ces adresses (par exemple les adresses des serveurs). La commande est : ip dhcp excluded-address adresse_ip_debut adresse-ip-fin Attention, cette commande doit tre rentre en mode de configuration globale. Router(config)#ip dhcp excluded-address 192.168.10.250 192.168.10.254 Router(config)#

CFGCISCO.DOC

8/15

TUDE DES ROUTEURS CISCO

Pour voir les baux dadresses qui ont t attribus par le routeur, il faut taper la commande show ip dhcp binding. Router(config)# show ip dhcp binding
IP address
192.168.10.1

Hardware address
00-0A-5E-1E-18-FD

Lease expiration
Mar 02 2005 08:00 AM

Type
Automatic

Router(config)# 11-2 Les IP Helper-Address Lip helper address remplace laddresse de broadcast par une adresse unicast. Elle est configure au niveau de linterface pour le trafic entrant. Rappelons que lun des premiers buts des routeurs est de bloquer les domaines de broadcast. Mais il est peut tre inconvnient de devoir implmenter des serveurs (par exemple DHCP) sur chaque segment rseau. Cette fonctionnalit permet de faire transiter des trames (paquets) de broadcast au travers dun routeur.
Requte 192.168.10.1 Requte 255.255.255.255

Serveur DHCP 192.168.10.1


ip helper-address 192.168.10.1

En mode de configuration de linterface recevant le broadcast, utiliser la commande suivante : ip helper-address Router(config-if)#ip helper-address 192.168.10.1 Lip helper address transmet les broadcast pour les ports UDP suivants: TFTP (69) DNS (53) Time (37) NetBIOS Name Server (137) NetBIOS Datagram Service (138) BOOTP Server (67) BOOTP Client (68) TACACS (49) Par mesure de scurit, il est ncessaire de ne laisser que les ports ncessaires ouverts. Pour dsactiver louverture dun port particulier ouvert par les ip helper-address, on peut utiliser les ip forward-protocol. Par exemple, pour supprimer le transfert de broadcast TACACS, il suffit de taper la commande suivante : Router(config-if)# no ip forward-protocol 49 Pour ajouter un type de trafic broadcast (par exemple le port 180), il suffit de taper la commande suivante: Router(config-if)#ip forward-protocol 180
CFGCISCO.DOC

9/15

TUDE DES ROUTEURS CISCO 12 AIDE A LA CONFIGURATION DE LAUTHENTIFICATION: 12-1 Les authentifications disponibles : Deux types dauthentification sont utiliss sur les routeurs: Lauthentification PAP Lauthentification CHAP Le protocole PAP procure une mthode simple permettant un nud distant d'tablir son identit l'aide d'un change en deux tapes. Une fois la phase d'tablissement de la liaison PPP termine, la combinaison nom d'utilisateur/mot de passe est envoye de faon rpte par le nud distant sur la liaison, jusqu' ce que l'authentification soit confirme ou que la connexion soit interrompue. Le protocole PAP n'est pas un protocole d'authentification trs efficace. Les mots de passe sont transmis en clair sur la liaison et il n'offre aucune protection contre la lecture rpte des informations ou les attaques rptes par essais et erreurs. Le nud distant contrle la frquence et la dure des tentatives de connexion. Router# config t Router(config)# interface serial 0 Router(config-if)# PPP authentication PAP Router(config-if)# PPP PAP sent-username router password cisco

Le protocole d'authentification changes confirms (CHAP) permet de vrifier rgulirement l'identit du nud distant l'aide d'un change en trois tapes. La vrification a lieu lors de l'tablissement initial de la liaison et elle est rpte tout moment une fois la liaison tablie. Le protocole CHAP offre des fonctions qui contribuent renforcer la scurit, telles que la vrification rgulire. Par consquent, il est plus efficace que le protocole PAP. Une fois la phase d'tablissement de la liaison PPP termine, l'hte envoie un message de demande de confirmation au nud distant. Ce dernier rpond en envoyant une valeur. L'hte vrifie la valeur en la comparant sa propre valeur. Si les valeurs correspondent, l'authentification est confirme. Sinon, la connexion est interrompue. Router# config t Router(config)# interface serial 0 Router(config-if)# PPP authentication CHAP Pour que lauthentification puisse stablir, il ne faut pas oublier que sur les routeurs soient indiqu les noms dutilisateur et les mots de passe employs dans lauthentification. Cela se fait partir du mode de configuration globale. Router# config t Router(config)# username Router password cisco

CFGCISCO.DOC

10/15

TUDE DES ROUTEURS CISCO 13 FILTRAGE DE TRAFIC : Pour des raisons de scurit et/ou de limitation de trafic, les routeurs peuvent tre configurs pour interdire la transmission de certains paquets. Comme les rgles de transmission et de non transmission peuvent tre multiples, on parle de liste d'accs (access list) contenant ces rgles de transmission. On parle galement de FILTRAGE des paquets. Dans ce cas, le filtrage est entendu au sens gnral indiquant soit l'interdiction, soit l'autorisation de transmission. Cependant, l'expression filtrer un paquet ou un type de paquets signifie interdire leur transmission. 13-1 Principes de base du filtrage : Le filtrage s'effectue au niveau des interfaces, en entre ou en sortie. Chaque liste d'accs est dfinie pour un protocole particulier. Il existe deux types principaux de listes d'accs : les listes standards (contrle des @IP sources) ; les listes tendues (contrle des @IP source et destination, des protocoles, des N de ports UDP et TCP, etc.). Chaque interface ne peut utiliser qu'une liste d'accs par protocole. Chaque liste d'accs peut tre utilise par plusieurs interfaces. Une liste d'accs peut tre utilise en entre pour une interface, et en sortie pour une autre interface. Les listes d'accs utilisent les instructions "permit" (autorisation de transmission) et "deny" (interdiction de transmission). Pour tre valide, une liste d'accs doit contenir au moins une instruction "permit". Les listes d'accs sont parcourues par le routeur, dans l'ordre o elles sont crites. Ds qu'un paquet correspond une rgle, cette rgle est applique et le filtrage est termin pour cette interface. Si un paquet ne correspond pas la premire rgle, le routeur examine la rgle suivante, etc. Un paquet retransmis par l'interface d'entre, peut tre interdit par l'interface de sortie. Les paquets interdits par une liste d'accs sont annuls par le routeur. 13-2 Stratgies de filtrage : Soit utiliser des instructions "permit" pour autoriser les paquets dsirs et terminer la liste d'accs par l'instruction "deny any". Soit utiliser des instructions "deny" pour interdire les paquets dsirs et terminer la liste d'accs par "permit all". 13-3 Masques gnriques IP : Un masque gnrique permet d'indiquer au routeur quels bits de l'@IP du paquet router il doit comparer l'@IP indique dans une instruction de la liste d'accs. Par exemple, pour indiquer au routeur qu'il doit comparer les trois premiers octets des @IP sources des paquets IP aux trois premiers octets d'une @IP d'une instruction de liste d'accs, il faut spcifier le masque gnrique suivant : 0.0.0.255. En fait, les bits du masque ayant une valeur 0, indiquent que les bits correspondants du paquet router et de l'@IP de l'instruction, seront compars. Inversement, les bits du masque ayant une valeur 1, indiquent que les bits correspondants du paquet router et de l'@IP de l'instruction, ne seront pas compars. Lorsque tous les bits d'une @IP doivent tre compars, on peut utiliser le masque 0.0.0.0 ou le mot cl host. Pour qu'une instruction deny ou permit s'applique toutes les @IP qui ne sont pas indiques dans les instructions de la liste, il est possible d'utiliser le mot cl any.

CFGCISCO.DOC

11/15

TUDE DES ROUTEURS CISCO 13-4 Cration d'une liste d'accs standard : La syntaxe gnrale de cration d'une liste d'accs standard est : access-list numro_de_liste permit|deny source [masque_gnrique] Les N de liste de 1 99 sont rservs pour les listes standards. Les N de liste de 100 199 sont rservs pour les listes tendues. 13-5 Association d'une liste d'accs une interface : La syntaxe gnrale d'association d'une liste d'accs une interface est : Router(config)#interface ethernet0 Router(config-if)#ip access-group numro_de_liste in/out 13-6 Exemples de listes d'accs : 13-6-1 Liste standard : Router(config)#access-list 1 permit 203.10.50.0 0.0.0.255 Router(config)#access-list 1 deny any 13-6-2 Liste tendue : Router(config)#access-list 100 deny tcp 130.200.0.0 0.0.255.255 130.201.0.0 0.0.255.255 eq 21

13-7 Vrification des listes d'accs : Router#show ip interface : indique les listes d'accs actives. Router>show access-list : affiche le contenu des listes d'accs. 13-8 Suppression d'une liste d'accs : Router(config)#interface ethernet0 Router(config-if)#no ip access-group numro_de_liste in/out Router(config)#no access-list 1

CFGCISCO.DOC

12/15

TUDE DES ROUTEURS CISCO 14 LA TRANSLATION DADRESSE NAT ET PAT C'est un mcanisme qui, implment sur un routeur, permet de faire correspondre les adresses IP internes non uniques et souvent non routables d'un domaine vers un ensemble d'adresses externes uniques et routables. 14-1 Description du fonctionnement 14-1-1 Terminologie
Routeur NAT Site NAT Routeur sur lequel NAT a t activ Site ayant mis en place un routeur NAT au point de connexion de son rseau avec l'Internet

La terminologie suivante est celle prsente par le groupe de travail sur NAT mis en place conjointement par le CRU et l'UREC sur le mcanisme NAT en fvrier 1998. Cette terminologie est directement issue de celle employe par Cisco : Espace d'adressage public Espace d'adressage priv L'espace des adresses gres par l'IANA. Ces adresses sont globalement uniques, elles sont routes sur l'Internet. L'espace des adresses utilises en interne par un site NAT. Ces adresses sont gnralement celles dfinies par le RFC1918, mais pas obligatoirement.

Dans les termes suivants, les mots interne et externe dsignent l'origine d'une adresse par rapport au routeur NAT. Les mots local et global dsignent le ct du routeur o cette adresse volue. Adresse IP locale interne : ALI Adresse IP globale interne : AGI Adresse IP globale externe : AGE Adresse IP locale externe : ALE Adresse IP attribue dans l'espace d'adressage priv, il s'agit de l'adresse IP d'une machine sur un site NAT Adresse IP attribue dans l'espace d'adressage public. Vu de l'extrieur, il s'agit de l'adresse IP d'une machine situe l'intrieur d'un site NAT. Adresse IP attribue dans l'espace d'adressage public. C'est celle d'une machine sur Internet, en dehors du site NAT Il s'agit de l'adresse IP d'une machine externe au site telle qu'elle est vue par les machines l'intrieur. Il s'agit normalement de la mme adresse que l'adresse IP globale externe de cette machine, sauf dans le cas de sites ayant mis en oeuvre l'overlapping.

14-1-2 Schma
ALI AGI

ALE

AGE

14-2 Description des commandes


Etablissement d'une traduction statique. ip nat inside source static 10.1.1.1 193.49.96.1 Cette commande dfinit une traduction statique simple entre l'ALI 10.1.1.1 et l'AGI 193.49.96.1 ip nat inside source static tcp 10.1.65.1 80 193.49.96.30 3000 Dfinit une traduction statique tendue (10.1.65.1, 80, 193.49.96.30, 3000). Dfinition du pool des adresses dynamiques ip nat pool adrpub 193.49.96.64 193.49.96.191 netmask 255.255.255.0 Cette commande dfinit un pool d'adresses dynamiques commenant l'adresse 193.49.96.64 et se terminant l'adresse 193.49.96.191. Le pool par dfaut attribue les adresses dans le sens croissant en choisissant toujours la plus petite adresse libre. On peut slectionner deux autres types de pool en ajoutant la commande prcdente le mot type suivi d'un des mots suivants : Match-host : garde les numros de machines identiques aprs la traduction. Rotary : ce type de pool permet d'attribuer une mme AGI plusieurs ALI de faon faire de la distribution de charge. Les requtes sont envoyes successivement chaque machine selon un algorithme de type round-robin.
CFGCISCO.DOC

13/15

TUDE DES ROUTEURS CISCO


Slection des ALI devant tre traduites access-list 2 deny 10.1.1.1 access-list 2 permit 10.0.0.0 0.255.255.255 L'access-list qui prcde slectionne toutes les adresses du rseau de classe A 10.0.0.0/8. Ces ALI seront traduites en des AGI. L'adresse 10.1.1.1 est exclue de l'access-list de slection car une traduction statique a dj t dfinie pour elle. Etablissement du lien entre le pool et l'access-list de slection ip nat inside source list 2 pool adrpub Cette commande active la traduction d'adresse sur le routeur. Elle lie le pool d'AGI adrpub l'access-list de slection 2. La traduction mise en oeuvre dans ce cas est une traduction simple. Pour mettre en oeuvre la traduction tendue (PAT), il suffit d'ajouter le mot overload : ip nat inside source list 2 pool adrpub overload Dfinition des interfaces internes et externes du routeur, c'est entre ces interfaces que NAT entre en fonction. ip nat inside Marque une interface comme tant interne. ip nat outside Marque une interface comme tant externe. Dfinition d'un pool en cas d'overlapping ip nat pool adrext 192.2.2.3 192.2.2.254 netmask 255.255.255.0 ip nat outside source list 1 pool adrext access-list 1 permit 128.2.0.0 0.0.255.255 Les commandes prcdentes mettent en place l'exemple que nous avons pris plus tt pour illustrer l'overlapping. Nous tablissons un pool d'ALE de 192.2.2.3 192.2.2.254. Nous slectionnons les AGE 128.2.0.0/16 pour les transformer en leur correspondance locale interne. Affichage des traductions en cours #show ip nat translations Pro Inside global Inside local udp 193.49.96.64:1555 10.1.65.41:1555 tcp 193.49.96.64:1431 10.65.1.30:1329 tcp 193.49.96.14:2527 10.1.65.14:2527 --- 193.49.96.14 10.1.65.14 tcp 193.49.96.30:3000 10.1.65.1:80 Outside local 205.188.179.42:4000 207.137.153.46:80 147.215.1.5:21 ----Outside global 205.188.179.42:4000 207.137.153.46:80 147.215.1.5:21 -----

Dans le rsultat de la commande, nous voyons 3 traductions dynamiques tendues (PAT) dont une connexion http et une connexion FTP. On voit aussi une traduction statique simple associant l'ALI 10.1.65.14 l'AGI 193.49.96.14 et une traduction statique tendue associant le port tcp 3000 de l'AGI 193.49.96.30 au port tcp 80 de l'ALI 10.1.65.1. Cette commande peut donner plus de renseignements sur les traductions en cours avec le mot clef verbose : #show ip nat translations verbose Pro Inside global Inside local Outside local udp 193.49.96.64:1555 10.1.65.41:1555 205.188.179.42:4000 create 00:20:16, use 00:00:05, left 00:04:54, flags: extended, use_count: 0 Affichage des statistiques #show ip nat statistics Total active translations: 159 (20 static, 139 dynamic; 138 extended) Outside interfaces : Ethernet3, Tunnel1 Inside interfaces: Ethernet0, Ethernet1, Serial0, Serial1, Serial2 Hits: 236911482 Misses: 1382867 Expired translations: 1503247 Dynamic mappings: -- Inside Source access-list 1 pool adrpub refcount 120 pool adrpub: netmask 255.255.255.0
CFGCISCO.DOC

Outside global 205.188.179.42:4000

14/15

TUDE DES ROUTEURS CISCO


start 193.49.96.64 end 193.49.96.191 type generic, total addresses 128, allocated 1 (0%), misses 0 Ces statistiques montrent que 159 traductions sont en cours sur le routeur, 20 sont des traductions statiques alors que 139 sont des traductions dynamiques. L'une d'entre elle est une traduction simple alors que le routeur est paramtr pour allouer des traductions tendues. Ceci est d au traitement de certains protocoles par le routeur, tels que H 323, qui ncessitent qu'une traduction simple soit effectue au lieu d'une traduction tendue. Il y a 2 interfaces externes et 5 interfaces internes dfinies. Hits indique le nombre de fois o le routeur parcouru la table des traductions et a trouv une association existante, misses indique le nombre d'checs dbouchant sur la cration d'une nouvelle traduction. Expired translations indique le nombre de traductions ayant t dtruites depuis le dernier dmarrage du routeur. Effacement d'une traduction clear ip nat translation tcp 193.49.96.64 1431 10.65.1.30 1329 207.137.153.46 80 207.137.153.46 80 Cette commande efface la deuxime traduction affiche par la commande show ip nat translations ci-dessus. Routage network 193.49.96.0 ip route 193.49.96.0 255.255.255.0 Null0 permanent Si la plage d'adresse utilise pour les traductions est compltement virtuelle, c'est dire si aucune interface du routeur n'utilise cette adresse, elle ne sera pas redistribue l'extrieur. Pour viter ce problme, il faut la raccorder l'interface Null0 et il faut la redistribuer.

CFGCISCO.DOC

15/15