Guide To Cisco Routers Configuration Becoming A Router Geek

Machine Translated by Google
Guide de configuration des routeurs Cisco
www.hellodigi.ir
Mohamed M. Alani
Guide des routeurs Cisco

Configuration
Devenir un geek du routeur
Deuxième édition
123
www.hellodigi.ir
Collège international
Mohammed M. Alani Al Khawarizmi Abu
Dhabi Émirats arabes unis
ISBN 978-3-319-54629-2 DOI ISBN 978-3-319-54630-8 (eBook)

10.1007/978-3-319-54630-8
Numéro de contrôle de la Bibliothèque du Congrèsÿ: 2017934622
1ère édition : © Mohammed M. Alani 2012 2e édition :

© Springer International Publishing AG 2017 Ce travail est soumis au droit
d'auteur. Tous les droits sont réservés à l'Editeur, qu'il s'agisse de tout ou partie du matériel, notamment les droits de traduction, de
réimpression, de réutilisation des illustrations, de récitation, de diffusion, de reproduction sur microfilms ou de toute autre manière
matérielle, de transmission ou de stockage des informations. et récupération, adaptation électronique, logiciel informatique, ou par
une méthodologie similaire ou différente actuellement connue ou développée ultérieurement.
L'utilisation de noms descriptifs généraux, de noms déposés, de marques de commerce, de marques de service, etc. dans cette
publication n'implique pas, même en l'absence d'une mention spécifique, que ces noms sont exemptés des lois et règlements de
protection pertinents et donc libres d'utilisation générale. utilisation.
L'éditeur, les auteurs et les éditeurs sont sûrs de supposer que les conseils et les informations contenus dans ce livre sont
considérés comme vrais et exacts à la date de publication. Ni l'éditeur, ni les auteurs ou les éditeurs ne donnent de garantie,
expresse ou implicite, concernant le matériel contenu dans ce document ou pour toute erreur ou omission qui aurait pu être
commise. L'éditeur reste neutre en ce qui concerne les revendications juridictionnelles dans les cartes publiées et les affiliations
institutionnelles.
Imprimé sur du papier sans acide
Cette empreinte Springer est publiée par Springer Nature

La société enregistrée est Springer International Publishing AG
L'adresse enregistrée de la société est la suivante : Gewerbestrasse 11, 6330 Cham, Suisse
www.hellodigi.ir
Préface
Depuis la première édition de ce livre, j'ai reçu de nombreuses demandes pour en faire une deuxième
version plus étendue et plus approfondie. Avec les activités de recherche dans lesquelles je me suis
engagé, je ne pouvais pas le faire très tôt. Cependant, à un moment donné, j'ai eu besoin de configurer
un routeur dans le cadre de l'un des cours que j'enseignais. J'ai parcouru la première édition du livre
et je n'ai pas trouvé ce que je cherchais.
Cela m'a rappelé qu'une deuxième édition était indispensable.
L'équipement réseau de Cisco joue toujours un rôle majeur dans nos vies. De nombreux
fournisseurs de services, réseaux d'entreprise, réseaux gouvernementaux et autres s'appuient sur les
appareils Cisco, ce qui signifie essentiellement que nous comptons sur ces appareils au quotidien.
Tous les administrateurs réseau savent que s'appuyer sur les appareils Cisco leur apporte un certain
soulagement en termes de fiabilité.
Le caractère unique de ce livre réside dans sa manière d'écrire semblable à un livre de cuisine qui
ne plonge pas profondément dans la théorie et fournit une référence prête à l'emploi pour les besoins
de configuration quotidiens. Ma plus grande préoccupation lors de la rédaction de ce livre était d'éviter
les complications et d'accéder directement aux étapes de configuration simplifiées.
La deuxième édition de ce livre comprenait de nombreux sujets importants qui manquaient à la
première édition, tels que MPLS, multidiffusion, GRE, HSRP, et bien d'autres. Certains sujets plus
anciens comme les listes de contrôle d'accès ont été élargis pour inclure plus de détails comme les
listes d'accès réflexives et temporisées. La deuxième édition comprenait des étapes de configuration
pour les versions IPv6 pour la plupart des protocoles couverts par le livre. Avec l'augmentation rapide
de l'utilisation d'IPv6, sa configuration est devenue une compétence importante à avoir dans votre
arsenal.
Un ajout important à cette édition du livre est l'inclusion de scénarios de formation. Au total, la
deuxième édition comprend 61 scénarios de formation. Ces scénarios de formation visaient à être un
moyen d'acquérir des compétences en effectuant les tâches au lieu de lire uniquement à leur sujet. La
plupart de ces tâches peuvent être mises en œuvre à l'aide du simulateur de réseau commercial
actuellement disponible.
Cette édition est divisée en neuf chapitresÿ: configuration de base, tâches domestiques, routage,
routage avancé, technologies WAN, sécurité, gestion des routeurs, connectivité à distance et conseils.
Chaque chapitre explique en détail les étapes nécessaires pour
www.hellodigi.ir
vi Préface
configurer différents protocoles sur le routeur Cisco et explique quand auriez-vous besoin d'invoquer
cette procédure.
Public visé par le guideÿ:
• ingénieurs réseau sur le terrain engageant des routeurs

Cisco • étudiants travaillant sur des routeurs Cisco dans leurs
laboratoires • instructeurs de laboratoire • demandeurs de certification
Cisco • étudiants de l'académie de réseautage Cisco • toute personne
travaillant avec ou souhaitant en savoir plus sur la configuration des
routeurs Cisco
Comment utiliser ce guideÿ:
Pour faciliter l'utilisation du guide, différentes parties du texte ont été formatées différemment.
La signification de ces formatsÿ:
• la police courier new est utilisée pour la sortie du routeur • la police

courier new bold est utilisée pour les commandes entrées dans le routeur • la police
courier new italic est utilisée pour les paramètres de commandes que le lecteur
faut choisir.
• Les crochets [ ] sont utilisés pour les commandes facultatives.
Enfin, je voudrais exprimer ma sincère gratitude à mes éditeurs Wayne Wheeler et Simon Rees
pour avoir rendu ce projet à nouveau possible. Je voudrais également remercier les lecteurs de la
première édition pour leurs commentaires qui m'ont encouragé à écrire la deuxième édition augmentée.
Abu Dhabi, Emirats Arabes Unis Mohamed M. Alani

Décembre 2016
www.hellodigi.ir
Contenu
1 Démarrage d'un routeur Cisco .................................. 1

1.1 Connexion du routeur .................................. 1
1.2 Configuration de base .................................. 1.3 Configuration des 2
interfaces ......... ....................... 3
1.3.1 Configuration des adresses IPv4 ....................... 3
1.3.2 Configuration des adresses IPv6 ...................... 4
1.3.3 Autres paramètres d'interface ....................... 5
1.4 Configuration de base supplémentaire ....................... 6
1.5 Scénarios de formation ....................................... sept
2 Configuration des fonctions du routeur domestique ...... 11

2.1 Comment configurer un routeur Cisco en tant que client DHCP.......... 11
2.2 Comment configurer un routeur Cisco en tant que serveur DHCP ......... 12
2.3 Comment configurer un routeur Cisco en tant que serveur DHCP
pour IPv6 ................................................ 14
2.4 Comment configurer le relais DHCP dans le routeur Cisco............ 14
2.4.1 IPv4 ................................................ 14
2.4.2 IPv6 ................................................ 15
2.5 Comment configurer NAT et PAT sur un routeur Cisco ......... 15
2.5.1 Configuration NAT statique.................. 15
2.5.2 Configuration NAT dynamique ...................... 16
2.5.3 Commandes de dépannage.............. 18
2.5.4 Désactivation de NAT.................................. 18
2.5.5 Configuration NAT-PT pour IPv6................. 18
2.6 Comment configurer le routage inter-VLAN sur un routeur Cisco..... 21
2.7 Scénarios de formation ...................................... 23
3 Configuration des protocoles de routage ....................... 41

3.1 Routage statique ....................................... 41
3.1.1 Comment configurer le routage statique dans les routeurs Cisco ..... 41
vii
www.hellodigi.ir
viii Contenu
3.1.2 Comment configurer les routes par défaut dans les routeurs Cisco ...... 42
3.1.3 Distance administrative des routes statiques ............. 43 3.1.4 Comment
configurer la multidiffusion IP dans les routeurs Cisco ....... 45 3.2 Routage
dynamique.................................. 46 3.2 .1 Comment configurer RIPv1 et RIPv2 dans les
routeurs Cisco.............................. 46 3.2.2 Comment configurer RIPng pour
IPv6 ...... 48 3.2.3 Comment configurer EIGRP sur un routeur
Cisco .................. 49 3.2.4 Comment configurer les métriques EIGRP sur un routeur
Cisco ... 50 3.2.5 Comment configurer EIGRP pour IPv6 sur un routeur Cisco... 51
3.2.6 Notes de mise en œuvre EIGRP.......... 52 3.2.7 Comment configurer l'OSPF
à zone unique sur un routeur Cisco ...... .................. 53
3.2.8 Comment configurer l'OSPFv3 à zone unique pour IPv6 sur

un routeur Cisco............... 54 3.3 Comment pour configurer HSRP sur un
routeur Cisco ...... 56 3.4 Comment configurer GLBP sur un routeur Cisco ...... 57 3.5
Comment configurer VRRP sur un routeur Cisco ...... 59 3.6 Scénarios de
formation ..................... ............... 60
4 Configuration des protocoles de routage avancés ...... 83 4.1 Comment configurer l'OSPF
multi-zone sur un routeur Cisco .. 83 4.1.1 Configuration de la zone 0 ABR ..................... 84
4.1.2 Configuration de la zone X ABR ..................
commandes
... 85 4.1.3
..................................
Autres 86
4.1.4 En savoir plus sur l'OSPF multizone Configuration
configurer IS–IS
....... 86
intégré
4.2 Comment
sur un routeur
Cisco ...... 88 4.3 Comment configurer l'équilibrage de charge sur un routeur
Cisco ......... 89 4.4 Équilibrage de charge par paquet et par destination .................
90 4.5 Comment configurer BGP sur un routeur Cisco ................. 91 4.5.1 À propos de la
synchronisation BGP et IGP ........... 92 4.6 Comment configurer BGP pour IPv6 sur un
routeur Cisco .. 92 4.7 Comment pour configurer MPLS sur un routeur Cisco ...... 94 4.7.1
Configuration du routeur pour la commutation MPLS .. 94 4.7.2 Configuration du routeur
pour le transfert MPLS ......... 94 4.8 Scénarios de formation .................................. ......
95
5 Technologies WAN ....................................... 113 5.1 Comment configurer l'ADSL sur un

routeur Cisco ................ 113 5.2 Comment configurer PPP sur un routeur Cisco ................
115 5.3 Comment pour configurer HDLC sur un routeur Cisco ...... 116 5.4 Comment
configurer BRI ISDN dans un routeur Cisco ................ 117 5.5 Comment pour configurer
les profils de numérotation RNIS dans un routeur Cisco ..... 120
www.hellodigi.ir
Contenu ix
5.6 Comment configurer Frame-Relay dans un routeur Cisco ...... 122

5.6.1 Connexion point à point de deux sites
Utilisation d'interfaces physiques ................ 122 5.6.2 Point à multipoint à l'aide
d' interfaces physiques ........ 123 5.6.3 Point à multipoint à l'aide d'interfaces
logiques ......... 125 5.6.4 Plusieurs point à point à l'aide d'interfaces logiques ......... 126
5.6.5 Relais de trames et Problèmes de routage ...... 128 5.7 Comment configurer un
routeur Cisco en tant que commutateur à relais de trames ...... 128 5.8 Scénarios de
formation ....... ............................. 130
6 Configuration de la sécurité ..................................... 139 6.1 Comment sécuriser les mots de passe
sur un routeur Cisco ............... 139 6.2 Comment configurer des listes de contrôle d'accès sur
un routeur Cisco ..... 140 6.2.1 Configuration de liste d'accès standard pour IPv4 ...... .... 141
6.2.2 Configuration de la liste d'accès étendue pour IPv4 ..........
142
6.2.3 Suppression de listes d'accès .................. 143 6.3 Comment configurer des listes
de contrôle d'accès avancées sur un routeur Cisco ... .................................. 143 6.3.1 Listes
d'accès nommées ......... .................. 143 6.3.2 À propos des listes d'accès
nommées ...... ... 146 6.3.3 Listes d'accès pour
réflexives IPv6 .................. 147148
.. ................................ 6.3.4 Listes
6.3.5 d'accès
Listes
d'accès basées sur le temps .................. .......... 150
6.4 Comment configurer l'authentification des protocoles de routage

sur un routeur Cisco .................................. 152 6.4.1 Configuration de l'authentification
de route EIGRP .. .......... 152 6.4.2 Configuration de l'authentification de route EIGRP
pour IPv6 ..... 153 6.4.3 Configuration de l'authentification d'homologue BGP ...............
154 6.5 Comment configurer le VPN de site à site dans les routeurs Cisco ...... 154 6.6
Comment configurer un routeur Cisco en tant que serveur VPN PPTP ...... 156 6.7 Comment
configurer le tunneling GRE dans un routeur Cisco Routeur ......... 158 6.7.1 Configuration GRE
sans cryptage ...... 158 6.7.2 Configuration GRE point à point sur IPSec .... ..... 160 6.8 Comment
configurer le service AAA sur un routeur Cisco ........... 162 6.8.1 Configuration
RADIUS .................. ......... 163 6.8.2 Configuration TACACS+ ...................... 163 6.9
Scénarios de formation ...... .............................. 164
7 Cisco Router Management.................................. 183 7.1 Trucs et astuces avant de mettre à niveau
l'IOS d'un Cisco Routeur ... 183 7.2 Compréhension de la convention de nom de fichier IOS ......
184 7.3 Comment sauvegarder et restaurer la configuration
d'un routeur Cisco .................................. 186 7.3.1 TFTP .... .......................................

186
www.hellodigi.ir
X Contenu
7.3.2 FTP ................................................ 187 7.3.3

HyperTerminal .................................. 187 7.4 Comment sauvegarder un
fichier IOS à partir d'un routeur Cisco .... ....... 188 7.5 Comment mettre à
niveau l'IOS sur un routeur Cisco ...... 190 7.5.1 Procédure de mise à niveau
pour les routeurs Cisco avec flash interne .. ................................ 190
7.5.2 Procédure de mise à niveau pour les

routeurs Cisco avec PCMCIA Flash.............. 193
7.6 Comment mettre à niveau l'IOS d'un routeur
Cisco à l'aide d' HyperTerminal......................... 195 7.7 Comment mettre
à niveau ou installer IOS sur un routeur Cisco en mode
rommon .................................. 196 7.8 Comment copier IOS depuis D'un
routeur Cisco à l'autre ...... 199 7.9 Comment partitionner la mémoire flash
interne d'un routeur Cisco ...... 200 7.10 Scénarios de
formation .................. .................... 201
8 Connectivité à distance au routeur Cisco ...................... 207 8.1 Comment
configurer SSH sur un routeur Cisco ......... ......... 207 8.2 Comment sécuriser
les sessions d'accès à distance avec un mot de passe uniquement ...... 208
8.2.1 Telnet ...................... .................. 208 8.2.2
SSH ................................ .............. 209
8.3 Comment sécuriser les sessions d'accès à distance avec le nom d'utilisateur
et mot de passe .................................. 209 8.3.1 Telnet ... ..................................... 209
8.3.2 SSH ........ .................................. 210 8.3.3 Pupitre ............ ....................... 210
8.4 Comment sécuriser les sessions Telnet à l'aide de listes d'accès

sur un routeur Cisco ....................................... 211
8.5 Scénarios de formation ....................................... 212
9 Trucs et astuces .................................................. 219 9.1 Haut 10 conseils pour

la configuration des routeurs Cisco ...... 219 9.2 Dix commandes Show que tout
le monde doit connaître
dans les routeurs Cisco ....................................... 222
9.3 Comment simuler une séquence de touches d'interruption dans un routeur
Cisco ...... 223 9.4 Comment récupérer le mot de passe des routeurs Cisco 2600 ......
225 9.5 Comment récupérer le mot de passe des routeurs Cisco 2500 . ............. 226
9.6 Comment désactiver la récupération de mot de passe ROMMON
dans un routeur Cisco .................................. 227 9.7 Comment utiliser
un routeur Cisco comme un renifleur de paquets ...... 228 9.8 Scénarios de
formation .................. ....... 229
Conseils supplémentaires ....................................... 233
www.hellodigi.ir
Chapitre 1
Démarrage d'un routeur Cisco
Mots-clés Cisco Router Console Configuration de base IPv4 IPv6
1.1 Connexion du routeur
Afin de configurer le routeur Cisco pour effectuer l'opération réseau souhaitée, la première chose à faire est
de connecter le routeur via une connexion console. Cette connexion sert à configurer le routeur et ne
transporte pas de données utilisateur.
La plupart des routeurs sont livrés avec un câble de console qui a une extrémité DB-9 et l'autre
extrémité est un connecteur RJ-45. Ces connecteurs sont visibles sur la Fig. 1.1. Le câble est généralement
un ruban mince qui a un aspect différent des câbles à paires torsadées LAN ordinaires.
Laissez le routeur éteint et connectez l'extrémité RJ-45 du câble au port du routeur étiqueté console.
L'autre extrémité, celle du DB-9, doit être connectée au port série de l'ordinateur. La plupart des ordinateurs
portables modernes n'ont pas l'ancien port série DB-9. Au lieu du port série DB-9, un port USB peut être
utilisé. Cela nécessiterait l'utilisation d'un adaptateur USB vers DB9.
Certains routeurs plus anciens sont livrés avec des câbles de console dotés de connecteurs RJ-45 à
leurs deux extrémités. Ces câbles sont livrés avec des adaptateurs RJ-45 vers DB9.
Après avoir connecté le câble de la console à l'ordinateur, à l'aide du connecteur DB-9 ou
l'USB, un logiciel d'émulation de terminal est requis.
Le premier choix est HyperTerminal si vous utilisez Windows XP. Si vous utilisez Windows Vista ou
Windows 7, il existe plusieurs alternatives gratuites telles que PuTTY ou Tera Term. Si vous utilisez Linux,
vous pouvez utiliser MiniCom ou CuteCom.
Pour Mac, vous pouvez utiliser MiniCom et ZTerm.
Les réglages de base qui doivent être effectués dans le logiciel d'émulation de terminal sont les
suivantsÿ:
1. Bits par seconde : 9600

2. Bits de données : 8 3.
Parité : aucune 4. Bits

d'arrêt : 1 5. Contrôle de
flux : aucun
© Springer International Publishing AG 2017 1

MM Alani, Guide de configuration des routeurs
Cisco, DOI 10.1007/978-3-319-54630-8_1
www.hellodigi.ir
2 1 Démarrage d'un routeur Cisco
Fig. 1.1 Câble de la console
Après avoir connecté le câble et configuré les paramètres sur l'émulation de terminal
logiciel, mettez le routeur sous tension.
L'écran doit afficher le processus de démarrage du routeur et des informations telles que le
Version IOS, quantité de mémoire disponible et types d'interfaces.
Finalement, vous vous retrouverez en mode utilisateur EXEC avec l'invite 'Router>'.
Si le routeur a été configuré auparavant et qu'il contient un mot de passe de console,

il vous sera demandé de saisir le mot de passe avant d'accéder au mode utilisateur EXEC.
1.2 Configuration de base
La configuration de base est simplement ce que vous devez configurer sur un routeur sortant de la
boîte ou survivant à un effacement de configuration. Pensez-y comme si vous disiez "Salut" au routeur.
Les étapes suivantes sont ce que nous appelons la configuration de base du routeurÿ:
1. Accédez au mode de configuration globale et attribuez un nom d'hôte au routeurÿ:

Routeur> activer
Router#configure terminal
Router(config)#hostname new-hostname Cela changerait le
nom d'hôte du routeur de 'Router' à new-host name. Gardez à l'esprit que ce nom suit les
anciennes règles de nom de fichier (il doit commencer par une lettre et ne doit pas contenir
d'espaces ou de symboles).
2. Configurez le mot de passe enable/
secret : Router(config)#enable password your-password Ou
Router(config)#enable secret your-password
www.hellodigi.ir
1.2 Configuration de base 3
Ce mot de passe vous sera demandé lorsque vous taperez 'enable' pour passer du mode utilisateur
EXEC au mode privilège.
Le premier enregistre le mot de passe en texte brut, tandis que le second enregistre le mot de
passe au format crypté.
Le premier est presque obsolète. Il est plus sûr d'utiliser le second.
N'oubliez pas qu'un seul d'entre eux est requis. Si vous les définissez tous les deux, le mot de
passe secret prévaudra.
3. Configurez le mot de passe de la
console : Router(config)#line console 0
Router(config-line)#password console-password Router(config-line)#login Ce
mot de passe sera requis lorsqu'une connexion console est établie. C'est le
premier mot de passe qui sera demandé à un administrateur avant d'entrer dans n'importe quel
mode.
4. Pour éviter que les messages d'état du routeur n'interrompent votre écriture, utilisez
commande suivante dans le mode de configuration de la ligne de consoleÿ:
Routeur (ligne de configuration) # journalisation synchrone
5. Si vous prévoyez d'utiliser Telnet, configurez le mot de passe Telnet. Si vous n'avez pas l'intention d'utiliser
Telnet dans un avenir proche, ne le configurez pas.
Router(config)#line vty 0 4 Router(config-
line)#password telnet-password Router(config-line)#login Dans certains
routeurs, vty 0 15 est utilisé à la place de vty 0 4, selon le nombre de Telnet
simultanés sessions que vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez
simplement 'line vty 0'.
6. Enregistrez la configuration de la RAM vers la NVRAM.

Routeur#copier la configuration en cours startup-configuration
Ou
Routeur#copy run start
1.3 Configuration des interfaces
Avant de plonger dans les paramètres des interfaces, nous devons comprendre la différence entre une
interface et une ligne. Dans la distinction la plus simple, les interfaces sont conçues pour transporter
des données d'utilisateur et de routage tandis que les lignes sont utilisées à des fins de configuration.
1.3.1 Configuration des adresses IPv4
1. Attribuez des adresses IPv4 aux interfaces que vous prévoyez

d'utiliserÿ: Router(config)#interface interface-type numéro d'interface
www.hellodigi.ir
Routeur(config-if)#ip masque de adresse adresse-ip-interface

sous-réseau
où,
type-interface est le type d'interface tel qu'Ethernet, FastEthernet ou série.
interface-number est le numéro d'interface comme 0, 0/0 ou 0/1/0.
interface-ip-address est l'adresse IPv4 que vous souhaitez attribuer à cette interface.
subnetmask est le masque de sous-réseau du réseau auquel cette interface est connectée.
2. Par défaut, toutes les interfaces du routeur sont arrêtées. Pour activer une interface, utilisez le
commande suivante dans le mode de configuration de l'interfaceÿ:
Routeur(config-if)#no shutdown
3. Répétez les étapes 1 et 2 pour chaque interface dont vous avez besoin.
1.3.2 Configuration des adresses IPv6
1. Attribuez des adresses IPv4 aux interfaces que vous prévoyez d'utiliserÿ:
Routeur(config)#interface type d'interface numéro d'interface
Routeur(config-if)#adresse ipv6 adresse ipv6/longueur du préfixe
où,
type-interface est le type d'interface tel qu'Ethernet, FastEthernet ou série.
interface-number est le numéro d'interface comme 0, 0/0 ou 0/1/0.
Adresse IPv6 est l'adresse IPv6 que vous souhaitez attribuer à cette interface.
Prefix-length est la longueur du préfixe IPv6 du réseau auquel cette interface est connectée
à.
Vous pouvez utiliser les paramètres suivants pour des réglages spéciauxÿ:
un. Routeur(config-if)#adresse ipv6 adresse/préfixe ipv6
longueur eui-64
Le paramètre EUI-64 est utilisé pour indiquer au routeur de terminer le reste du
Adresse IPv6 utilisant les règles EUI-64. Dans ce cas, vous n'avez qu'à donner le
préfixe au lieu de l'adresse IPv6.
b. Routeur(config-if)#adresse ipv6 adresse/préfixe ipv6
longueur lien-local
www.hellodigi.ir
1.3 Configuration des interfaces 5
Si vous utilisez le paramètre link-local, le routeur prendra l'adresse IPv6 donnée dans la
commande au lieu de l'adresse IPv6 link-local générée automatiquement.
c. Routeur(config-if)#adresse ipv6 adresse/préfixe ipv6

longueur anycast Le
paramètre Anycast peut être utilisé pour configurer les adresses IPv6 anycast.
2. Activez IPv6 sur l'interfaceÿ:

Routeur(config-if)#activation ipv6
3. Par défaut, toutes les interfaces du routeur sont arrêtées. Pour activer une interface, utilisez le
commande suivante en mode de configuration d'interface :
Router(config-if)#no shutdown 4. Répétez les étapes 1, 2 et 3 pour
chaque interface dont vous avez besoin.
1.3.3 Autres paramètres d'interface
1. C'est une très bonne pratique d'ajouter des descriptions d'interface. Ces descriptions s'apparentent
à des remarques mises dans le code d'un programme. Il n'affecte en rien le fonctionnement de
l'interface, mais il donne des informations à l'administrateur qui visualise la configuration. Cette
commande doit être écrite dans le mode de configuration de l'interface.
Router(config-if)#description Rédigez votre propre description Cette description peut être utilisée
de nombreuses manières utiles, comme écrire le nom du réseau auquel cette interface est
connectée ou écrire le nom de l'autre extrémité de ce lien.
2. Configurez la valeur de la bande passante sur les interfaces connectées à d'autres réseaux. La
valeur de bande passante définie dans la commande suivante n'affecte pas la bande passante
réelle du lien. Il ne modifie que la valeur de la bande passante utilisée dans le calcul du meilleur
itinéraire dans les protocoles de routage dynamique.
Router(config-if)#bandwidth interface-bandwidth où interface-bandwidth est un
nombre représentant la bande passante du lien en kilobits par seconde.
Il est fortement conseillé de configurer la bande passante des interfaces série et même des
interfaces Ethernet lorsqu'elles sont connectées à d'autres réseaux. Si l'interface est connectée à
un hôte ou à un groupe d'hôtes, cette configuration n'est pas nécessaire.
www.hellodigi.ir
3. Le réglage de la vitesse de connexion et du type de duplex dans les liaisons Ethernet, Fast Ethernet
et Gigabit Ethernet est utile dans certains cas. Par défaut, toutes les interfaces négocient
automatiquement les paramètres de vitesse et de duplex. Parfois, cette négociation n'accomplit
pas les paramètres souhaités.
Router(config-if)#duplex duplex-mode Router(config-if)#speed
port-speed où, duplex-mode est le mode de fonctionnement
duplex qui peut être automatique, semi-complet ou complet.
port-speed est la vitesse de transmission des données sur le port en mégabits par seconde, qui
peut être de 10, 100, 1000 ou auto.
1.4 Configuration de base supplémentaire
Il existe peu d'autres configurations utiles mais non nécessaires au fonctionnement du réseauÿ:
1. Définition d'une bannière à afficher chaque fois que quelqu'un essaie de se connecter au routeur
configuration:
Router(config)#banner motd #Your Message Here# 2. Chiffrez les mots de
passe de manière à ce qu'ils deviennent incompréhensibles pour quiconque
les afficher dans la configuration en cours d'exécution.
Le mot de passe secret est déjà crypté. Tous les autres mots de passe (vty, console et auxiliaire)
ne le sont pas. La commande pour les chiffrer est la suivante : Router(config)#service password-
encryption Il existe deux méthodes recommandées pour utiliser cette commande. Comme il s'agit
d'un service, il n'est pas conseillé de le faire tourner en permanence car cela consommerait de la
puissance de traitement et de la mémoire. Ainsi, il peut être utilisé et désactivé et les mots de
passe resteront cryptés. Une façon de faire est d'activer cette commande avant de configurer des
mots de passe et de la désactiver après avoir terminé les commandes de configuration de mot de
passe à l'aide de la commande suivante : Router(config)#no service password-encryption La
deuxième façon de procéder est après terminez la configuration de tous les mots de passe, activez
le cryptage du mot de passe, émettez un "show running-config" en mode privilège, puis désactivez
le cryptage du mot de passe.
www.hellodigi.ir
1.4 Configuration de base supplémentaire sept
Le cryptage utilisé ici est très faible. Le seul but est d'empêcher
les personnes regardant la configuration connaissant le mot de passe.
1.5 Scénarios de formation
Scénario 1.1
Connectez le réseau illustré dans le schéma ci-dessus à l'aide d'une connexion console à
relier le PC A et le routeur 1 et un câble LAN droit pour relier le commutateur (port 1/1) au
routeur (interface FE0/0). Utilisez les paramètres de configuration indiqués dans le tableau ci-dessous
pour effectuer la configuration de base sur le routeur.
Dispositif Paramètre Évaluer
Routeur 1 Nom d'hôte Routeur1
Mot de passe de la console CiscoConsole
Mot de passe secret Cisco
Mot de passe VTY CiscoVTY
Adresse IP de l'interface FE0/0 10.0.0.1/255.255.255.0
www.hellodigi.ir
Scénario 1.2
Connectez le réseau illustré dans la figure ci-dessus. Le routeur 2 et l'ordinateur B sont

déjà configuré avec les paramètres suivantsÿ:
Ordinateur B Interface Ethernet 10.0.0.2/255.255.255.0
Établissez la connexion de la console au routeur 1 et effectuez la configuration suivante

pas:
1. Configurez l'interface FE0/0 avec l'adresse IP 172.16.0.1 et le masque de sous-réseau

255.255.255.0.
2. Configurez le mot de passe VTY sur MyCiscoVtY.
Maintenant, passez à l'ordinateur B et configurez une session Telnet sur le routeur 1 à l'aide du
Adresse IP 172.16.0.1. Dans cette session Telnet, définissez les paramètres suivants sur le routeurÿ1ÿ:
www.hellodigi.ir
1.5 Scénarios de formation 9
Scénario 1.3
Connectez le réseau illustré dans le schéma ci-dessus à l'aide d'une connexion console à
relier le PC A et le routeur 1 et un câble LAN droit pour relier le commutateur (port 1/1) au
routeur (interface FE0/0). Utilisez les paramètres de configuration indiqués dans le tableau ci-dessous
pour effectuer la configuration de base sur le routeur. N'oubliez pas d'activer IPv6 sur le
interface.
Interface FE0/0 Adresse IPv6 3001::3:0:1/64
www.hellodigi.ir
Chapitre 2
Configuration des fonctions du routeur domestique
Mots-clés Cisco Routeur DHCP Serveur DHCP NAT PAT Routage inter-VLAN
2.1 Comment configurer un routeur Cisco en tant que client DHCP
Quand en auriez-vous besoin : Lorsque votre FAI vous donne une adresse IP dynamique à chaque
connexion ou que vous devez configurer le routeur pour qu'il obtienne automatiquement l'adresse IP
de son interface.
Exigences particulières : Aucune.

Cela se fait à l'aide d'une seule commande :
Router(config-if)#ip address dhcp Certains fournisseurs
de services peuvent vous demander d'utiliser un identifiant client et/ou un nom d'hôte de leur
choix. Cela peut être fait en ajoutant les paramètres suivants à la commande ci-dessusÿ:
Routeur(config-if)#adresse ip dhcp client-id nom de l'interface nom d'hôte nom d'hôte
où nom-
interface est le nom d'interface qui sera utilisé pour l'ID client et nom d'hôte est le nom
d'hôte qui sera utilisé pour la liaison DHCP.
Ce nom d'hôte peut être différent de celui qui a été défini pour le routeur dans la configuration
globale. Vous pouvez utiliser ces deux paramètres, l'un d'eux ou aucun d'eux.
Si nécessaire, utilisez la commande « ip nat outside » sur l'interface et configurez le reste de la

configuration NAT comme mentionné dans les procédures de configuration NAT et PAT dans la
Sect. 2.4.

Cisco, DOI 10.1007/978-3-319-54630-8_2
www.hellodigi.ir
12 2 Configuration des fonctions du routeur domestique
Quand en auriez-vous besoin : Lorsque vous utilisez le routeur comme serveur DHCP pour fournir
des adresses IP et des informations connexes aux clients DHCP.
Exigences particulièresÿ: le logiciel de serveur DHCP est pris en charge pour ces sériesÿ:
800, 1000, 1400, 1600, 1700 (la prise en charge de la série Cisco 1700 a été ajoutée dans la version
12.0[2]T de Cisco IOS), 2500, 2600, 3600, 3800, MC3810, 4000, AS5100, AS5200, AS5300, 7000,
7100, 7200, MGX 8800 avec un module de processeur de routage installé, 12000, uBR900, uBR7200,
les commutateurs de la famille Catalyst 5000 avec un module de commutateur de routage installé,
les commutateurs de la famille Catalyst 6000 avec un multicouche installé Carte de fonction de
commutateur et Catalyst 8500.
Les étapes de configuration sont les suivantesÿ:
1. Définissez le pool d'adresses DHCP :

Router(config)#ip dhcp pool dhcp-pool-name Router(dhcp-config)#network
network-address subnetmask où dhcp-pool-name est le nom du pool DHCP, network-address
est le l'adresse réseau à utiliser par le pool DHCP, et subnetmask est le masque de sous-
réseau du réseau.
Vous pouvez remplacer le masque de sous-réseau par (/prefix) pour fournir le masque de sous-réseau.
2. Configurez les paramètres à envoyer au client : Router(dhcp-
config)#dns-server dns-server-address Pour fournir l'adresse IP du serveur DNS :
Router(dhcp-config)#default-router address
passerelle par défaut
Pour fournir l'adresse IP de la passerelle par défaut, qui est généralement l'adresse IP de
l'interface du routeur connecté au réseau.
Routeur(dhcp-config)#domaine-nom de domaine
Pour fournir le nom du domaine du réseau (si dans un environnement de domaine) :
Routeur(dhcp-config)#netbios-name-server adresse netbios-server
Pour fournir l'adresse IP du serveur de noms NetBIOS : Router(dhcp-

config)#bail jours heures minutes Pour définir la durée de bail des adresses
données au client. Vous pouvez le rendre infini, ce qui n'est pas conseillé, en utilisant cette
commande à la place Router(dhcp-config)#lease unlimited fréquemment utilisé.
3. Configurez les adresses IP à exclure du pool. Ceci est généralement fait pour éviter les conflits
causés par le DHCP avec les serveurs et les imprimantes. N'oubliez pas de donner à tous les
serveurs et imprimantes réseau des adresses IP statiques dans la même plage du pool DHCP.
Ensuite, excluez ces adresses du pool pour éviter les conflits.
www.hellodigi.ir
2.2 Comment configurer un routeur Cisco en tant que serveur DHCP 13
Router(config)#ip dhcp exclude-address exclude-ip address Utilisez la commande dans le

formulaire précédent pour exclure une seule adresse. Vous pouvez le répéter autant de fois que
vous le souhaitez pour les adresses IP que vous souhaitez exclure.
Vous pouvez également utiliser la même commande pour exclure une plage d'adresses IP en une
seule commande : Router(config)#ip dhcp exclude-address start-ip-address end-ip-address où
start-ip-address est la première adresse de la plage à exclure du pool et end-ip-address est la

dernière adresse exclue de la plage.
4. Activez le service DHCP dans le routeurÿ:
Router(config)#service dhcp Pour le désactiver,
utilisez Router(config)#no service dhcp
Habituellement, le service DHCP est activé par
défaut sur votre routeur.
5. Utilisez les commandes suivantes pour vérifier le fonctionnement du DHCP sur le routeurÿ:
Router#show ip dhcp binding Cette commande
affiche les liaisons actuelles des adresses données aux clients.
Router#show ip dhcp server statistics Cette commande affiche
les statistiques du serveur DHCP.
Router#debug ip dhcp server Cette commande
de débogage est utilisée pour dépanner les problèmes DHCP.
Remarques sur la mise en œuvreÿ:
1. Vous pouvez créer un agent de base de données DHCP qui stocke la base de données de
liaison DHCP. Un agent de base de données DHCP est n'importe quel hôte ; par exemple, un
serveur FTP, TFTP ou RCP qui stocke la base de données des liaisons DHCP. Vous pouvez
configurer plusieurs agents de base de données DHCP et vous pouvez configurer l'intervalle
entre les mises à jour et les transferts de base de données pour chaque agent. Pour configurer
un agent de base de données et les paramètres de l'agent de base de données, utilisez la
commande suivante en mode de configuration globale : Router(config)#ip URL de la base de
données dhcp [timeout seconds | secondes de délai d'écriture]
Un exemple d'URL est celui-ci

ftp://user:password@192.168.0.3/router-dhcp Si vous
choisissez de ne pas configurer d'agent de base de données DHCP, désactivez l'enregistrement
des conflits d'adresses DHCP sur le serveur DHCP. Pour désactiver la journalisation des
conflits d'adresses DHCP, utilisez la commande suivante en mode de configuration globaleÿ:
Router(config)#no ip dhcp conflict logging 2. Le service DHCP utilise les ports 67 et 68. Ainsi,
si vous utilisez un pare-feu, n'oubliez pas
pour ouvrir ces ports.
www.hellodigi.ir
3. Pour effacer les variables du serveur DHCP, utilisez les commandes suivantes selon vos
besoins : Router#clear ip dhcp server statistics Router#clear ip dhcp binding * Si vous
souhaitez effacer une certaine liaison, pas toutes, remplacez le * dans la commande
précédente par l'adresse IP à effacer.

pour IPv6
Quand en auriez-vous besoin : Lorsque vous utilisez le routeur en tant que serveur DHCP pour fournir
IPv6 dans une configuration sans état et avec état de DHCPv6.
Exigences particulièresÿ: Prise en charge de DHCPv6 dans IOS.
1. Créez le pool DHCPÿ:

Router(config)#ipv6 dhcp pool pool-name 2. Configurez les
paramètres que vous souhaitez transmettre aux clientsÿ:
Routeur(config-dhcp)#dns-server server-ipv6-address
Routeur(config-dhcp)#domaine-nom de domaine
3. Si vous travaillez sur un scénario de configuration automatique d'adresse sans état, ignorez
deux étapes suivantes et passez à 6.
4. Configurez le préfixe d'adresse IPv6ÿ:
Routeur(config-dhcp)#préfixe d'adresse ipv6-address-prefix où ipv6-address-prefix est le
préfixe d'adresse réseau hexadécimal 64 bits.
5. Une étape facultative consiste à configurer un préfixe d'adresse
de lienÿ: Router(config-dhcp)#link-address ipv6-link-prefix 6. Activez DHCPv6 sur
l'interface que vous souhaitez intégrer au processus DHCP et attribuez un pool spécifique à
l'interface : Router(config-if)#ipv6 dhcp server pool-name
7. Vérifiez les baux d'adresse (en adressage avec état uniquement)ÿ:

Routeur # show ipv6 dhcp bail
2.4 Comment configurer le relais DHCP dans le routeur Cisco
2.4.1 IPv4
Si vous avez un serveur DHCP autre que le routeur et que vous souhaitez que le routeur transmette
les requêtes DHCP à ce serveur DHCP situé en dehors du réseau local, accédez à la
interface LAN qui n'a pas le serveur DHCP et tapez la commande suivante :
www.hellodigi.ir
2.4 Comment configurer le relais DHCP dans le routeur Cisco 15
Router(config-if)#ip helper-address dhcp-server-address où dhcp-server-address est l'adresse

IP du serveur DHCP situé en dehors de ce LAN.
2.4.2 IPv6
Si vous avez un serveur DHCPv6 autre que le routeur et que vous souhaitez que le routeur
transmette les requêtes DHCPv6 à ce serveur DHCPv6 situé en dehors du réseau local, accédez à la
Interface LAN qui ne dispose pas du serveur DHCPv6 et saisissez la commande suivanteÿ:
Router(config-if)#ipv6 dhcp relay destination dhcp-server ipv6-address où dhcp-server-ipv6-

address est l'adresse IPv6 du serveur DHCP situé en dehors de ce LAN.
2.5 Comment configurer NAT et PAT sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous souhaitez connecter un réseau local à Internet et que
les adresses IP mondiales disponibles sont inférieures aux adresses IP locales.
Cela peut également être utilisé comme fonction de sécurité supplémentaire.

Deux types de NAT peuvent être configurés sur un routeur Ciscoÿ: statique et dynamique.
2.5.1 Configuration NAT statique
Ce type est utilisé lorsque vous souhaitez effectuer une attribution individuelle d'adresses IP globales
(c'est-à-dire publiques) à des adresses IP locales.
1. Établir une traduction statique entre une adresse locale interne et une adresse globale interne
address:
Router(config)#ip nat inside source static local-ip-ad dress global-ip-address où local-ip-address
est l'adresse locale (interne) et global-ip-address est l'adresse globale (interne).
2. Spécifiez l'interface locale (l'interface connectée au réseau interne). Cela se fait en allant dans le
mode de configuration de l'interface et en émettant : Router(config-if)#ip nat inside
www.hellodigi.ir
3. Spécifiez l'interface globale (l'interface connectée au réseau externe).

Cela se fait en allant dans le mode de configuration de l'interface et en émettant :
Router(config-if)#ip nat outside
2.5.2 Configuration NAT dynamique
Ce type est utilisé lorsque vous souhaitez que le routeur effectue le mappage dynamiquement.
Cette méthode est utile lorsque vous avez trop d'adresses globales et locales et que vous ne
souhaitez pas effectuer le mappage manuellement, ou lorsque le nombre d'adresses globales
disponibles est inférieur aux adresses locales.
Cela nous conduirait à deux scénarios différents :
A. Le nombre d'adresses IP globales est supérieur à un et il est égal ou inférieur à

les adresses locales.
1. Définissez un pool d'adresses globales qui seraient utilisées dans la traductionÿ:

Router(config)#ip nat pool pool-name first-public-ad dress last-public-address netmask
public-subnetmask où pool-name est le nom de pool, first-public-address est l'adresse
IP de départ du pool, last-public-address est l'adresse IP de fin du pool et public-
subnetmask est le masque de sous-réseau du réseau dont le pool fait partie (c'est-à-
dire , le réseau mondial).
2. Définissez la plage d'adresses locales autorisées à participer à la traduction à l'aide

d'une liste d'accès : Router(config)#access-list access-list-number permit local-network-
address wildcard-mask où access-list-number est le numéro de la liste d'accès, qui
est généralement une liste d'accès standardÿ; ainsi, le nombre peut être n'importe
quel nombre compris entre 1 et 99ÿ; local-network-address est l'adresse réseau du
réseau local ou l'adresse IP de début de la plageÿ; et wildcard-mask est le masque
générique utilisé pour définir la plage.
Vous pouvez émettre plus d'une phrase de liste d'accès dans la même liste d'accès pour définir
la ou les plages d'adresses IP spécifiques. Si vous n'êtes pas familier avec les masques
génériques, reportez-vous à la note de la section.
3. Associez le pool et la plage locale dans une traduction NAT dynamique
commande:
Router(config)#ip nat inside source list access-list number pool nat-pool-name
[surcharge] où access-list-number est le numéro de la liste d'accès, nat-pool-name
est le nom du pool global , et
www.hellodigi.ir
2.5 Comment configurer NAT et PAT sur un routeur Cisco 17
surcharge : Ce paramètre doit être utilisé lorsque vous avez des adresses IP globales
inférieures aux adresses IP locales (ce type de NAT est également appelé Port
Address Translation, PAT).
4. Spécifiez l'interface locale. Cela se fait en allant dans l'interface de configuration
mode de rationnement et émissionÿ:
Routeur(config-if)#ip nat à l'intérieur
5. Spécifiez l'interface globale. Cela se fait en allant à l'interface con
mode figuration et émission :
Routeur(config-if)#ip nat extérieur
B. L'autre scénario est lorsqu'il n'y a qu'une seule adresse IP globale et un groupe de
adresses IP locales.
Dans ce cas, la seule adresse IP globale est attribuée à l'interface connectée au réseau
global.
1. Définissez la plage d'adresses locales autorisées à participer à la traduction à l'aide

d'une liste d'accès : Router(config)#access-list access-list-number permit local-network-
address wildcard-mask où access-list-number est le numéro de la liste d'accès, qui
est généralement une liste d'accès standardÿ; ainsi, le nombre peut être n'importe
quel nombre compris entre 1 et 99, local-network-address est l'adresse réseau du
réseau local ou l'adresse IP de début de la plage, et wildcard-mask est le masque
générique utilisé pour définir la plage.
Vous pouvez émettre plus d'une phrase de liste d'accès dans la même liste d'accès pour définir
la ou les plages d'adresses IP spécifiques. Si vous n'êtes pas familiarisé avec les masques
génériques, reportez-vous à la note de la section.
2. Associez le pool et la plage locale dans une traduction NAT dynamique
commande :
Router(config)#ip nat inside source list access-list number interface interface-type
interface-number surcharge où access-list-number est le numéro de la liste d'accès,
interface-type est le type de l'interface qui a l'adresse IP globale (par exemple, série
ou Ethernet) et le numéro d'interface est le numéro des interfaces.
Un exemple de type et de numéro d'interface est série 0 ou Ethernet 0/0.

3. Spécifiez l'interface locale. Cela se fait en allant dans l'interface de configuration
mode de rationnement et émissionÿ:
Routeur(config-if)#ip nat à l'intérieur
4. Spécifiez l'interface globale. Cela se fait en allant à l'interface con
mode figuration et émission :
Routeur(config-if)#ip nat extérieur
www.hellodigi.ir
2.5.3 Commandes de dépannage
1. Pour afficher les traductions en cours effectuées par le routeur

NAT#show ip nat translation Notez que ces traductions ont une
certaine durée de vie. Ils ne restent pas éternellement dans la liste. Si vous avez besoin de tester
votre configuration NAT, envoyez une requête ping à un hôte externe à partir d'un hôte interne et
recherchez immédiatement les traductions.
2. Pour afficher les traductions statiques de NATÿ:
Router#show ip nat static 3. Pour observer
les interactions instantanées du NATÿ:
Routeur#debug ip nat
2.5.4 Désactiver NAT
Pour désactiver NAT, vous devez suivre les étapes suivantesÿ:
1. Désactivez NAT sur les interfaces locales et globales :

Router(config-if)#no ip nat inside sur le local, et Router(config-
if)#no ip nat outside sur l'interface globale.
2. Effacez le contenu de la table de traductionÿ:

Routeur # clear ip nat traductions
3. Supprimez la commande d'affectation NAT en la faisant précéder d'un «ÿnonÿ». Pour
Exemple,
Routeur(config)#no ip nat inside source list access-list number interface interface-type interface-
number surcharge
4. Supprimez la liste d'accès, le cas échéant, en mettant « no » devant la commande :

Router(config)#no access-list access-list-number
2.5.5 Configuration NAT-PT pour IPv6
Quand en auriez-vous besoinÿ: Lorsque vous avez des appareils IPv6 uniquement qui doivent
communiquer avec des appareils IPv4 uniquement.
NAT-PT, où PT signifie Protocol Translation, est un protocole de tunnellisation qui
est utilisé pour traduire IPv6 en IPv4 et vice versa.
NAT-PT peut fonctionner dans l'un des trois modes : statique, dynamique et Port
Traduction d'adresse.
www.hellodigi.ir
Avant de configurer NAT-PT, vous devez activer le routage IPv6 sur la traduction
routeur à l'aide de cette commandeÿ:
Routeur(config)#ipv6 unicast-routing
1. Dans une configuration statique, une adresse IPv6 est mappée statiquement dans une adresse IPv4
à l'aide de la commande suivante :
Router(config)#ipv6 nat v6v4 source ipv6-address ipv4-address où ipv6-address est
l'adresse IPv6 attribuée à l'hôte IPv6 uniquement et ipv4-address est l'adresse IPv4
attribuée à l'hôte IPv4 uniquement .
La commande précédente doit être configurée une fois pour chaque adresse.
De la même manière, nous devons identifier le mappage inversé d'IPv4 à IPv6 à l'aide
de la commande suivanteÿ: Router(config)#ipv6 nat v6v4 source ipv4-address ipv6-
address où ipv6-address est l'adresse IPv6 attribuée au réseau IPv6 uniquement. host
et ipv4-address correspondent à l'adresse IPv4 attribuée à l'hôte IPv4 uniquement.
L'étape suivante consiste à activer le NAT IPv6 sur l'interface

IPv4 : Router(config-if)#ipv6 nat Sur l'interface IPv6, vous devez
attribuer une adresse IPv6 et activer IPv6 comme expliqué dans la Sect. 1.3.2.
2. Dans la configuration dynamique, vous devrez configurer la traduction dans les deux
sensÿ: IPv6 vers IPv4 et IPv4 vers IPv6. Pour la première option, IPv6 vers IPv4, vous
devrez identifier les adresses IPv6 à l'aide d'une liste d'accès et la mapper à un pool
d'adresses IPv4 à utiliser dans la traduction.
Tout d'abord, nous identifions le pool d'adresses IPv4 à l'aide de la
commandeÿ: Router(config)#ipv6 nat v6v4 pool pool-name start-address end-address
prefix-length prefix-length où pool-name est le nom du pool NAT, start -address et end-
address sont les première et dernière adresses du pool, et prefix-length est la longueur
du préfixe du réseau IPv4.
Ensuite, nous créons une liste d'accès nommée pour identifier la plage d'adresses IPv6
autorisées à participer à la traduction. Cela se fait à l'aide des commandes suivantesÿ:
Routeur(config)#ipv6 access-list acl-name

Routeur(config-ipv6-acl)#permit ip ipv6-source-prefix/ prefix-length n'importe où
www.hellodigi.ir
acl-name est le nom de la liste d'accès, ipv6-

source-prefix est l'adresse de préfixe IPv6 des hôtes autorisés à utiliser cette traduction NAT et
prefix-length est la longueur du préfixe réseau IPv6.
Répétez la dernière commande autant de fois que nécessaire pour inclure toutes les adresses
que vous souhaitez faire participer à la traduction.
La dernière étape consiste à configurer le mappage à l'aide de la commande suivanteÿ:
Router(config)#ipv6 nat v6v4 source list acl-name pool pool-name où acl-name est le nom de la
liste d'accès identifiée à l'étape précédente et pool- name est le nom du pool NAT que nous
avons identifié précédemment.
Dans la deuxième partie, nous devrons identifier le mappage IPv4 vers IPv6 en utilisant des
commandes similaires à celles utilisées auparavant mais en échangeant les adresses IPv4 et
IPv6.
Tout d'abord, nous identifions le pool d'adresses IPv6 à l'aide de la commandeÿ:
Router(config)#ipv6 nat v6v4 pool pool-name start-address end-address prefix-length prefix-
length où pool-name est le nom du pool NAT, start -address et end-address sont les première et
dernière adresses du pool, et prefix-length est la longueur du préfixe du réseau IPv6.
Ensuite, nous créons une liste d'accès numérotée (ou nommée) pour identifier la plage
d'adresses IPv4 autorisées à participer à la traduction. Ceci est fait en utilisant les commandes
suivantes : Router(config)#access-list acl-number permit ip ipv4- network-address wildcard-mask
où acl-number est le numéro de la liste d'accès. Le nombre doit être compris entre 1 et 99 car il
s'agit d'une liste de contrôle d'accès standardÿ; ipv4-network-address est le réseau IPv4 qui
inclut les hôtes autorisés à utiliser cette traduction NATÿ; et wildcard-mask est le masque
générique qui identifie la plage.
Répétez la dernière commande autant de fois que nécessaire pour inclure toutes les adresses
que vous souhaitez faire participer à la traduction en utilisant le même numéro de liste d'accès.
La dernière étape consiste à configurer le mappage à l'aide de la commande suivanteÿ:
Router(config)#ipv6 nat v6v4 source list acl-number pool pool-name où acl-name est le nom de
la liste d'accès identifiée à l'étape précédente et pool- name est le nom du pool NAT que nous
avons identifié précédemment.
3. La traduction d'adresse de port est configurée de manière identique au cas précédent de mappage
dynamique à l'exception d'une petite différence. Dans la commande de mappage, ajoutez le mot
surcharge à la fin après le nom du pool.
www.hellodigi.ir
4. À des fins de vérification, utilisez les commandes suivantes :

Router#show ipv6 nat translations Router#clear ipv6 nat translation
* Router#debug ipv6 nat detail
2.6 Comment configurer le routage inter-VLAN sur un Cisco

Routeur
Quand en auriez-vous besoinÿ: lorsque vous souhaitez effectuer un routage entre différents VLAN.
Exigences particulières : Vous devez vous assurer que votre routeur prend en charge la technologie
d'étiquetage de trame utilisée entre les commutateurs.
Avant de passer à la configuration du routeur, vous devez configurer un port du commutateur
qui sera connecté au routeur en tant que port de jonction. Votre choix de méthode de balisage
VLAN configuré sur le commutateur (ISL ou 802.1Q, 802.10 ou LANE) sera le même que celui que
vous devrez configurer pour que le routeur fonctionne.
Ce qui sera fait dans cette procédure est la création d'interfaces logiques à l'intérieur du seul
interface physique (sur le routeur) qui reliera le commutateur au routeur.
Ces interfaces logiques seront traitées comme des interfaces distinctes dans les décisions
d'acheminement.
1. Supprimez l'adresse IP de l'interface physique et activez-laÿ: Router(config-if)#no

ip address Router(config-if)#no shutdown 2. Créez une interface logique à
affecter à l'un des VLANÿ:
Routeur(config-if)#int numéro d'interface fastethernet. subinterface-number Vous pouvez

changer le 'fastethernet' avec le type que vous avez et le numéro d'interface avec le numéro
d'interface physique que vous utilisez. subinterface-number représente le numéro d'interface
logique (et non le nombre d'interfaces logiques). Vous pouvez utiliser n'importe quel numéro ici,
mais il est recommandé d'utiliser le même numéro de VLAN que vous attribuerez à cette
interface logique. Par exemple, pour l'interface logique que vous utiliserez pour le VLAN 5,
utilisez « int fastethernet 0/0.5 ». De cette façon, vous saurez facilement quelle interface fait
référence à quel VLAN.
3. Attribuez l'interface logique à un numéro de VLANÿ:

Routeur(config-subif)#encapsulation encapsulation-type vlan-number
www.hellodigi.ir
où
encapsulation-type est le type d'encapsulation que vous utilisez pour les VLAN (par exemple, isl
ou dot1q qui est 802.1Q) et vlan-number est le numéro de VLAN auquel cette interface logique
sera affectée.
4. Attribuez une adresse IP à l'interface logiqueÿ:
Router(config-subif)#ip address ip-address subnetmask où ip-address et subnetmask sont
respectivement l'adresse IP et le masque de sous-réseau que vous souhaitez utiliser. N'oubliez
pas d'attribuer à l'interface logique une adresse IP comprise dans la plage des adresses IP
disponibles dans le VLAN auquel vous l'avez affectée. Cette interface logique sera la passerelle
vers les hôtes connectés à ce VLAN.
Répétez les étapes 2 à 4 pour chaque VLAN que vous souhaitez faire participer au routage inter-
VLAN.
5. Configurez le routage statique ou dynamique selon vos besoins. Traitez les interfaces logiques
exactement de la même manière que vous traitez les interfaces physiques lors du routage.
Si vous souhaitez que certains VLAN (c'est-à-dire des réseaux) ne participent pas au routage,
vous pouvez soit ne pas les inclure dans le protocole de routage, soit ne pas leur attribuer
d'interface logique.
6. Vous pouvez configurer les listes d'accès de la manière que vous jugez appropriée pour filtrer le
trafic allant d'un VLAN à un autre et les appliquer aux interfaces logiques de la même manière
que vous les appliquez aux interfaces physiques.
Remarques sur la mise en œuvreÿ:
1. Si vous envisagez de laisser passer les mises à jour de routage via le routeur d'un VLAN à un
autre, il est nécessaire de désactiver l'horizon partagé. La technologie split-horizon interdit à la
mise à jour provenant d'une interface de sortir de la même interface.
Split-horizon peut être désactivé à l'aide de la commande suivante émise dans l'interface
physiqueÿ: Router(config-if)#no ip split-horizon 2. La plupart des commutateurs prennent en
charge les jonctions sur FastEthernet ou des interfaces plus rapides, et ne
prend en charge l'ancien Ethernet avec 10 Mbps.
www.hellodigi.ir
Scénario 2.1
Commutateur 1 Routeur 1
Connexion console
Ordinateur A
Ordinateur B Ordinateur C
Connectez le réseau illustré dans la figure ci-dessus. Utilisez l'ordinateur A et le

connexion à la console pour effectuer la configuration suivanteÿ:
1. Configuration de base du routeur 1ÿ:
Adresse IP de l'interface FE0/0 192.168.15.1/24
2. Configuration du serveur DHCP du routeur 1ÿ:

Maintenant, configurez le routeurÿ1 en tant que serveur DHCP avec les paramètres suivantsÿ:
Nom du pool DHCP : routergeek
Adresse réseau DHCP : 192.168.15.0/24
Adresses excluesÿ: 192.168.15.1 à 192.168.15.10
Adresse de passerelle par défaut : 192.168.15.1
Adresse du serveur DNS : 192.168.15.1
3. Paramètres clientsÿ:
4. Configurez l'ordinateur B et l'ordinateur C en tant que clients DHCP à l'aide de la
réglage automatique de l'adresse.
www.hellodigi.ir
Scénario 2.2
Routeur 2 Commutateur 1 Routeur 1
Connexion console
Ordinateur A
Ordinateur C
Ordinateur B
Connectez le réseau illustré dans la figure ci-dessus et effectuez les réglages suivantsÿ:
1. À l'aide de la connexion console à l'ordinateur A, configurez le routeur 1 avec le

paramètres suivantsÿ:
2. Configurez le routeur 1 en tant que serveur DHCPÿ:

Nom du pool DHCPÿ: TheDHCP
Adresse de passerelle par défaut : 172.16.255.254


4. À l'aide de la connexion console avec l'ordinateur B, effectuez la configuration suivante
sur le routeur 2ÿ:
Mot de passe de la console SecondConsole
Mot de passe VTY SecondCiscoVTY
www.hellodigi.ir
5. Configurez l'interface FastEthernet 0/0 sur le routeur 2 pour obtenir ses paramètres d'adresse IP
via DHCP (c'est-à-dire client DHCP).
Scénario 2.3
FE0/1 FE0/0 FE0/0
Connexion console
Ordinateur A
Ordinateur C
Ordinateur B
Commutateur 2
Ordinateur D
Connectez le réseau illustré dans la figure ci-dessus et effectuez les réglages suivantsÿ:
1. À l'aide de la connexion console à l'ordinateur A, configurez le routeur 1 avec le

paramètres suivantsÿ:
2. Configurez le routeur 1 en tant que serveur DHCPÿ:

Nom du pool DHCPÿ: TheDHCP
Adresse de passerelle par défautÿ: 172.16.0.254


4. À l'aide de la connexion console avec l'ordinateur B, effectuez la configuration suivante
sur le routeur 2ÿ:
www.hellodigi.ir
Mot de passe de la console SecondConsole
Mot de passe VTY SecondCiscoVTY
Adresse IP FastEthernet 0/1 172.16.1.254/24
5. Configurez l'interface FastEthernet 0/0 sur le routeur 2 pour obtenir ses paramètres d'adresse IP
via DHCP (c'est-à-dire client DHCP).
6. Configurez le routeur 2 pour qu'il agisse comme un relais DHCP afin de transmettre les requêtes DHCP au routeur
1 (le serveur DHCP).
7. Configurez l'ordinateur D pour obtenir les paramètres d'adresse IP via DHCP.
Scénario 2.4
Connexion console
Ordinateur A

Interface FE0/0 Adresse IPv6 2001::FEFE:1/64
www.hellodigi.ir
2. Configurez le routeur 1 pour qu'il soit un serveur DHCP sans état avec les paramètres suivantsÿ:
Adresse du serveur DNS : 2001 :: FEFE : 1
Nom de domaine : routergeek.org
3. Configurez l'ordinateur B et l'ordinateur C sur des clients de configuration automatique sans état IPv6.
Scénario 2.5
Connexion console
Ordinateur A

Interface FE0/0 Adresse IPv6 2001::FEFE:1/64
5. Configurez le routeur 1 pour qu'il soit un serveur DHCP sans état avec les paramètres suivantsÿ:
Adresse du serveur DNS : 2001 :: FEFE : 1
Préfixe d'adresse : 2001 ::/64
Nom de domaine : routergeek.org
Adresse IPv6 exclueÿ: 2001::FEFE:1
6. Configurez l'ordinateur B et l'ordinateur C sur des clients DHCP avec état IPv6.
www.hellodigi.ir
Scénario 2.6
FE0/1 FE0/0 FE0/0
Connexion console
Ordinateur A
Connexion console
Ordinateur B
Commutateur 2
Ordinateur D
Connectez le réseau illustré dans la figure ci-dessus. Effectuez la configuration suivanteÿ:
1. Sur le routeur 1, utilisez le lien console vers l'ordinateur A pour modifier les éléments suivants.
réglages:
2. Sur l'ordinateur A, modifiez les paramètres suivantsÿ:
Ordinateur A Adresse IP 192.168.0.100
Masque de sous-réseau 255.255.255.0
Passerelle par défaut 192.168.0.254
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
www.hellodigi.ir
3. Sur le routeur 2, à l'aide de la liaison console vers l'ordinateur B, modifiez les éléments suivants
réglages:
Mot de passe de la console Cisco2Console
Mot de passe secret Cisco2
Mot de passe VTY Cisco2VTY
4. Sur l'ordinateur D, modifiez les paramètres suivantsÿ:
Ordinateur D Adresse IP 172.16.0.10
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
5. Configurez le NAT statique sur le routeur 1 avec les paramètres suivantsÿ:

Adresse interne : 192.168.0.100
Adresse externe : 10.0.0.100
6. Configurez les commandes de routage statique suivantes (détaillées au Chap. 3) pour assurer
livraison de données de l'ordinateur A à l'ordinateur D et vice-versaÿ:
un. Sur le routeurÿ1ÿ:

route IP 172.16.0.0 255.255.255.0 10.0.0.2
b. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
7. À des fins de test, installez WireShark sur l'ordinateur D. Ensuite, effectuez un PING
commande de l'ordinateur A à l'ordinateur D. Sur l'ordinateur D, observez la source
Adresse IP du message PING.
www.hellodigi.ir
Scénario 2.7
FE0/1 FE0/0 FE0/0
Connexion console
Ordinateur A
Connexion console
Ordinateur B
Commutateur 2
Ordinateur D
réglages:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
www.hellodigi.ir
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
5. Configurez le NAT dynamique sur le routeur 1 avec les paramètres suivantsÿ:

Nom du pool NATÿ: geekNAT
Adresses internes : 192.168.0.0 0.0.0.15
Plage d'adresses externesÿ: 10.0.0.100–10.0.0.120
c. Sur le routeurÿ1ÿ:
route IP 172.16.0.0 255.255.255.0 10.0.0.2
ré. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
8. Modifiez les paramètres de l'ordinateur A comme suitÿ:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
www.hellodigi.ir
9. Activez à nouveau WireShark sur l'ordinateur D. Ensuite, faites une commande PING à partir de
Ordinateur A à Ordinateur D. Sur l'ordinateur D, observez l'adresse IP source de
le message PING. Cette fois, vous devriez voir la source comme 192.168.0.100
car la plage source est en dehors de la plage NAT acceptable.
Scénario 2.8
FE0/1 FE0/0 FE0/0
Connexion console
Ordinateur A
Connexion console
Ordinateur B
Commutateur 2
Ordinateur D
réglages:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
www.hellodigi.ir
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
5. Configurez le NAT dynamique avec surcharge sur le routeur 1 avec les paramètres suivantsÿ:
Adresse externe : Interface 10.0.0.1
6. Configurez les commandes de routage statique suivantes (détaillées au chapitre 3) pour assurer
e. Sur le routeurÿ1ÿ:
route IP 172.16.0.0 255.255.255.0 10.0.0.2
F. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
www.hellodigi.ir
Scénario 2.9
FE0/1 FE0/0 FE0/1 FE0/0
Routeur 2 Commutateur 2 Routeur 1 Commutateur 1
Connexion console
Connexion console
Ordinateur B
Ordinateur A
Commutateur 3 Ordinateur C
Ordinateur D
réglages:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
www.hellodigi.ir
3. Sur l'ordinateur C, modifiez les paramètres suivantsÿ:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Adresses externes : 10.0.0.5 à 10.0.0.8
g. Sur le routeurÿ1ÿ:
route IP 172.16.0.0 255.255.255.0 10.0.0.2
h. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
commande de l'ordinateur A à l'ordinateur D. Et sur l'ordinateur C, faites un PING
de l'ordinateur C à l'ordinateur D. Sur l'ordinateur D, observez l'adresse IP source
adresses des messages PING.
www.hellodigi.ir
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
Scénario 2.10
FE0/1 FE0/0 FE0/1 FE0/0
Routeur 2 Commutateur 2 Routeur 1 Commutateur 1
Connexion console
Connexion console
Ordinateur B
Ordinateur A
Commutateur 3 Ordinateur C
Ordinateur D
réglages:
Adresse IP de l'interface FE0/0 2001::FEFE:1/64
www.hellodigi.ir
Ordinateur A Adresse IP v6 2001::FEFE:5
Longueur du préfixe 64
Passerelle par défaut 2001::FEFE:1
Serveur DNS 1 2001::FEFE:1
3. Sur l'ordinateur C, modifiez les paramètres suivantsÿ:
Ordinateur C Adresse IP 2001::FEFE:6
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Adresses internes : 2001 ::FEFE:0 /120
Adresses externes : 10.0.0.5 à 10.0.0.8
www.hellodigi.ir
7. Configurez les commandes de routage statique suivantes (détaillées au chapitre 3) pour assurer
je. Sur le routeurÿ1ÿ:

route IP 172.16.0.0 255.255.255.0 10.0.0.2
J. Sur le routeur 2ÿ:
route ipv6 2001 :: FEFE: 1/64 10.0.0.1
commande de l'ordinateur A à l'ordinateur D. Et sur l'ordinateur C, faites un PING
de l'ordinateur C à l'ordinateur D. Sur l'ordinateur D, observez l'adresse IP source
adresses des messages PING.
Ordinateur A Adresse IP 2001 :: FEFE: FE01
le message PING. Cette fois, vous devriez voir la source comme 2001 :: FEFE: FE01
Scénario 2.11
G0/0 G0/1
FE0/3
Routeur 1 FE0/2
FE0/1
Connexion console
Ordinateur A Ordinateur B Ordinateur C
Connectez le réseau dans la figure ci-dessus. Assurez-vous d'utiliser un interrupteur qui a au

moins un port Gigabit Ethernet. Suivez les étapes de configuration décrites ci-dessousÿ:
www.hellodigi.ir
1. Sur le routeur 1, modifiez les paramètres suivantsÿ:
Mot de passe secret cisco
2. Sur le commutateur 1, créez les VLAN suivantsÿ:
Numéro VLAN Nom du VLAN Ports à attribuer au VLAN

dix Comptes FE0/2
20 CE FE0/1
30 Gestionnaires FE0/3
3. Configurez le port G0/1 sur le commutateur 1 pour agir en tant que port de jonction avec encapsulation 802.1Q.
4. Sur les ordinateurs, modifiez les paramètres suivantsÿ:
Serveur DNS 1 192.168.20.254
Serveur DNS 2 192.168.20.254
Ordinateur B Adresse IP 192.168.10.100
Serveur DNS 1 192.168.10.254
Serveur DNS 2 192.168.10.254
Ordinateur C Adresse IP 192.168.30.100
Serveur DNS 1 192.168.30.254
Serveur DNS 2 192.168.30.254
5. Pour tester, PING de l'ordinateur A vers B et C. Le PING ne devrait pas réussir.

6. Créez trois sous-interfaces sur G0/0 dans le routeur 1 avec les paramètres suivantsÿ:
Numéro de sous-interface VLAN attribué Adresse IP attribuée Encapsulation

dix dix 192.168.10.254/24 point1q
20 20 192.168.20. 254/24 point1q
30 30 192.168.30. 254/24 point1q
7. Pour tester, PING de l'ordinateur A vers B et C. Le PING devrait réussir maintenant.
www.hellodigi.ir
chapitre 3
Configuration des protocoles de routage
Mots clés Cisco Router Routage statique Routage dynamique Route par défaut
EIGRP RIP RIPv2 OSPF RIPng Multidiffusion OSPFv3 HSRP GLBP
VRRP
3.1 Routage statique
Dans le routage statique, il n'y a pas d'échange d'informations de routage. Chaque routeur est configuré pour
utiliser une ou plusieurs routes spécifiques pour fournir des données utilisateur à des destinations spécifiques.
3.1.1 Comment configurer le routage statique dans les routeurs Cisco
Quand en auriez-vous besoinÿ: lorsque vous souhaitez acheminer des données utilisateur vers une
destination via un chemin spécifique ou si vous disposez d'un petit interréseau et que vous ne souhaitez
pas déranger le routeur avec un trafic de routage dynamique.

La route statique vous donne plus de contrôle en décidant du chemin spécifique que les données
utilisateur emprunteront d'une source spécifique à une destination spécifique. La configuration d'une
seule route statique s'effectue via une commande sur le routeur. Le chemin à emprunter par les paquets
peut être identifié soit par l'adresse du saut suivant, soit par l'interface de sortie.
Routeur(config)#ip route destination-network-address sub netmask next-hop-address Ou
Routeur(config)#ip route destination-network-address sub netmask exit-interface où destination-
network-address est l'adresse réseau que vous voulez pour livrer les données à.

Cisco, DOI 10.1007/978-3-319-54630-8_3
www.hellodigi.ir
42 3 Configuration des protocoles de routage
next-hop-address est l'adresse IP de l'interface voisine qui aiderait

au routeur de livrer les paquets à l'adresse de destination.
subnetmask est le masque de sous-réseau du réseau de destination.
exit-interface est le type et le numéro de l'interface sur laquelle les paquets
doivent être acheminés pour être livrés à destination.
En IPv6, les commandes sont légèrement différentesÿ:
Routeur(config)#ipv6 prefix/ itinéraire Réseau de destination
prefix-length next-hop-address
Ou
prefix-length exit-interface
où
destination-network-prefix/prefix-length est le préfixe réseau IPv6 et
prefix-length auquel vous souhaitez envoyer les données.
next-hop-address est l'adresse IP de l'interface voisine qui aiderait
au routeur de livrer les paquets à l'adresse de destination.
Si vous utilisez l'adresse lien-local du saut suivantÿ:
network-prefix exit-interface next-hop-link-local address
où
destination-network-prefix/prefix-length est le préfixe réseau IPv6 et
prefix-length auquel vous souhaitez envoyer les données.
next-hop-link-local-address est l'adresse IPv6 lien-local du prochain saut.
Vous devrez répéter la configuration de la route statique pour chaque destination
réseau avec lequel vous voulez que le routeur puisse communiquer. Si le paquet est supposé
pour passer par plus d'un routeur, vous ne pouvez pas vérifier si votre configuration
fonctionne jusqu'à ce que vous configuriez tous les routeurs du chemin pour les chemins de routage bidirectionnels.
Sinon, vous ne pourrez pas atteindre la destination et revenir.
En règle générale, l'utilisation de l'adresse du prochain saut permet au routeur d'économiser une partie du traitement de l'ARP
requêtes pour chaque paquet destiné à un réseau différent. Donc, chaque fois que vous le pouvez, utilisez
adresse IP du saut suivant au lieu de l'interface de sortie.
3.1.2 Comment configurer les routes par défaut dans les routeurs Cisco
Quand en auriez-vous besoinÿ: lorsque vous disposez d'un réseau de remplacement ou que vous souhaitez transférer
tout le trafic via un seul chemin spécifique.
www.hellodigi.ir
3.1 Routage statique 43

Dans le concept, la route par défaut est configurée comme une route statique normale que
nous avons configurée dans la section précédente. La principale différence est de dire au routeur
d'utiliser ce chemin pour toutes les destinations au lieu d'une destination spécifique.
Routeur(config)#ip route 0.0.0.0 0.0.0.0 next-hop-address Ou Router(config)#ip route 0.0.0.0
0.0.0.0 exit-interface où next-hop-address est l'adresse IP de l'interface voisine qui aiderait le
routeur à livrer les paquets à l'adresse de destination. exit-interface est le type et le numéro
de l'interface sur laquelle les paquets doivent être transférés pour être livrés à la destination.
Une autre façon de configurer une route par défaut consiste à configurer la passerelle de
dernier recoursÿ:
Routeur(config)#ip default-network default-network address
où l'adresse réseau par défaut est l'adresse réseau du réseau par défaut auquel vous souhaitez
transférer tout le trafic vers lequel le routeur ne connaît pas de chemin pour acheminer le trafic.
Cette commande doit être combinée avec un autre routeur statique indiquant au routeur l'interface
de sortie ou l'adresse du saut suivant qui livrerait les paquets au réseau par défaut. Les étapes
logiques consistent à écrire une route statique indiquant au routeur comment atteindre le réseau
par défaut, puis à sélectionner le réseau comme réseau par défaut pour intercepter tout le trafic de
chemin inconnu.
Dans IPv6, la route par défaut est configurée à l'aide des commandes suivantes :
Router(config)#ipv6 route::/0 next-hop-address Ou Router(config)#ipv6 route::/0
exit-interface where next-hop-address est l'adresse IP de l'interface voisine qui
aiderait le routeur à livrer les paquets à l'adresse de destination. exit-interface est
le type et le numéro de l'interface sur laquelle les paquets doivent être transférés
pour être livrés à la destination.
3.1.3 Distance administrative des routes statiques
La distance administrative est essentiellement la confiance que vous accordez aux informations de routage.
Le tableau 3.1 montre les valeurs de distance administrative par défaut pour différents protocoles
de routage.
Moins il y a de nombre dans le tableau, plus cette source d'informations de routage est fiable.
Dans le tableau, vous pouvez voir que les routeurs Cisco font davantage confiance à EIGRP qu'à
OSPF, par exemple. Cela signifie que si les deux protocoles s'exécutent sur un routeur et que les
deux protocoles apportent un "meilleur chemin" à certains réseaux de destination, le routeur
sélectionnera le chemin EIGRP comme meilleur chemin et l'inclura dans la table de routage.
www.hellodigi.ir
Tableau 3.1 Valeurs de distance administrative par défaut
Source des informations de routage Distance administrative par défaut
Réseau directement connecté 0

Itinéraire statique 1
EIGRP interne 90
IGRP 100
OSPF 110
Système intermédiaire à système intermédiaire (IS-IS) 115
Protocole d'informations de routage (RIP) 120
Fig. 3.1 Exemple d'utilisation de la distance administrative
Vous pouvez clairement voir que les routes statiques sont plus fiables que n'importe quel routage dynamique
protocole. Dans certains cas, vous devrez modifier le paramètre d'administration par défaut
distance de la route statique. Par exemple, si vous avez un routeur connecté à
Internet sur une interface et connecté à quelques autres routeurs dotés de
réseaux connectés sur des interfaces LAN. Si vous configurez la route par défaut comme dans le
section précédente, le routeur ne pourra pas transférer le trafic entre le réseau interne
réseaux. Au lieu de cela, tout le trafic d'un réseau interne à un autre ira vers
Internet car la route par défaut est plus fiable que n'importe quel routage dynamique
protocoles que vous pourriez utiliser. La figure 3.1 montre un exemple d'un tel réseau.
www.hellodigi.ir
3.1 Routage statique 45
Si une route par défaut est configurée sur Router2 et qu'EIGRP est utilisé sur les trois
routeurs pour échanger des informations de routage, les données passant de Network1 à
Network2 seront envoyées sur Internet en raison de la route par défaut. Dans ce cas, nous
pouvons modifier la distance administrative de la route par défaut en un nombre supérieur à
celui de l'EIGRP afin que le trafic interne aille en interne et que tout le reste du trafic passe par
la route par défaut.
Voici comment se fait la configuration des routes par défaut :
Router(config)#ip route 0.0.0.0 0.0.0.0 next-hop-address administrative-distance Ou
Router(config)#ip route 0.0.0.0 0.0.0.0 exit-interface administrative -distance où next-hop-
address est l'adresse IP de l'interface voisine qui aiderait le routeur à livrer les paquets à
l'adresse de destination. exit-interface est le type et le numéro de l'interface sur laquelle les
paquets doivent être transférés pour être livrés à la destination. administrative-distance est
un nombre compris entre 1 et 255. Plus le nombre est faible, plus le routeur a confiance dans
cette route par défaut.
Pour les routes

statiquesÿ: Router(config)#ip route destination-network-address sub netmask next-hop-
address administrative-distance Ou
Routeur(config)#ip route destination-network-address sub netmask exit-interface

administrative-distance
où
destination-network-address est l'adresse réseau à laquelle vous souhaitez envoyer les
données. next-hop-address est l'adresse IP de l'interface voisine qui aiderait le routeur à
livrer les paquets à l'adresse de destination. subnetmask est le masque de sous-réseau du
réseau de destination. exit-interface est le type et le numéro de l'interface sur laquelle les
paquets doivent être transférés pour être livrés à la destination. administrative-distance est
un nombre compris entre 1 et 255. Plus le nombre est faible, plus le routeur a confiance dans
cette route par défaut.
3.1.4 Comment configurer la multidiffusion IP dans les routeurs Cisco
Quand en auriez-vous besoinÿ: lorsque vous avez un groupe d'appareils dont vous avez besoin pour échanger
des données en tant que groupe.

Les multidiffusions sont une méthode utile pour réduire le trafic réseau destiné à un groupe
de destinataires, mais pas à tous les appareils d'un réseau. La configuration multidiffusion est une
www.hellodigi.ir
grand sujet en termes d'étendue et de profondeur. Cependant, dans cette sous-section, nous
expliquerons les étapes de configuration de la configuration Single-RP Sparse, qui est le mode
recommandé par Cisco.
1. Activez le routage IP multicast :

Router(config)#ip multicast-routing
2. Sélectionnez le mode sparse :
Router(config)#ip pim sparse-mode 3. Identifiez l'adresse
RP :
Router(config)#ip rp-address rp-ip-address Où rp-ip-address est l'adresse
IP qui représentera l'ensemble du groupe de multidiffusion.
4. Sur l'interface, après avoir identifié l'adresse IP, identifiez le mode PIM comme
clairsemé, clairsemé-dense, dense ou dense-clairsemé.
Router(config-if)#ip pim sparse-mode Cisco recommande
d'utiliser le mode sparse.
3.2 Routage dynamique
Dans la section de routage dynamique, nous discuterons de la mise en œuvre de RIPv1, RIPv2, EIGRP
et OSPF à zone unique.
3.2.1 Comment configurer RIPv1 et RIPv2 dans les routeurs Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez implémenter un protocole de routage pour un petit
réseau et que vous avez besoin que la configuration soit simple. Le protocole d'information de routage
est le plus simple qu'il puisse obtenir.
1. La première chose à faire est d'activer le protocole RIP sur le routeur :

Router(config)#router rip 2. Identifiez les
réseaux à annoncer à l'aide de la commande 'network'. À l'aide de cette commande, vous devez
identifier uniquement les réseaux qui sont directement connectés au routeur : Router(config-
router)#network network-id Si le réseau est divisé en sous-réseaux, vous devrez écrire l'adresse
réseau principale sans avoir à écrire les sous-réseaux. Par exemple, si vous avez les sous-réseaux
suivants connectés au routeur (172.16.0.0/24, 172.16.1.0/24 et 172.16.2.0/24), vous pouvez tous
les mettre dans une seule commande 'network' comme ceci : Router( config-router)#network
172.16.0.0 Le routeur est suffisamment intelligent pour déterminer quels sous-réseaux sont
connectés au routeur.
www.hellodigi.ir
3.2 Routage dynamique 47
3. Si vous avez besoin d'ajuster les temporisateurs (mise à jour, invalide, maintien et vidage),
utilisez la commande 'timers basic'. Tous les quatre paramètres de cette commande,
update, invalid, holddown et flush timer consécutivement, sont en secondes : Router(config-
router)#timers basic 30 180 180 240 L'exemple ci-dessus est défini avec les valeurs par
défaut des temporisateurs RIP. N'oubliez pas de garder la relativité des valeurs de
minuterie. Gardez-le toujours comme (n 6n 6n 8n). Si, par exemple, vous réglez le
minuteur de mise à jour sur 40, vous devez régler les autres minuteurs sur 240 240 320
consécutivement. Il est fortement recommandé de conserver les minuteries sur leurs
valeurs par défaut.
4. Vous devrez arrêter la diffusion des mises à jour sur Internet si l'une des interfaces du
routeur est connectée à Internet. Pour cela, utilisez la commande 'passive interface'.
Cette commande empêche l'interface de transférer les diffusions RIP, mais maintient
l'interface à l'écoute de ce que les autres disent dans RIP.
Router(config-router)#passive-interface interface-type interface-number où interface-type

est le type de l'interface, tel que Serial, FastEthernet ou Ethernet. interface-number est
le numéro de l'interface tel que 0/0 ou 0/1/0.
5. RIP, par nature, envoie les mises à jour sous forme de diffusion. Si le routeur est connecté
via des réseaux non diffusés (comme Frame Relay), vous devrez indiquer à RIP
d'envoyer les mises à jour sur ce réseau en monodiffusion. Ceci est réalisé par la
commande 'neighbor' : Router(config-router)#neighbor neighbor-address où neighbor-
address est l'adresse IP du voisin.
6. La mise en œuvre de Cisco de la version 2 du RIP prend en charge l'authentification, la

gestion des clés, la synthèse des routes, le routage interdomaine sans classe (CIDR) et les
masques de sous-réseau de longueur variable (VLSM). Par défaut, le routeur reçoit les
paquets RIP Version 1 et Version 2, mais n'envoie que les paquets Version 1. Vous pouvez
configurer le routeur pour recevoir et envoyer uniquement les paquets de la version 2. Pour
ce faire, utilisez la commande 'version' : Router(config-router)#version 2 Si vous souhaitez
vous en tenir à la version 1, remplacez simplement le 2 dans la commande ci-dessus par 1.
De plus, vous pouvez contrôler les versions des mises à jour envoyées et reçues sur
chaque interface pour avoir plus de flexibilité dans la prise en charge des deux versions.
Ceci est réalisé par les commandes 'ip rip send version' et 'ip rip receive version' :
Router(config-if)#ip rip send version 2 Router(config-if)#ip rip receive version 1
7. Vérifiez la configuration RIP à l'aide de ces commandesÿ:

Routeur#show ip route
Routeur#show ip protocols
Routeur#debug ip rip
www.hellodigi.ir
3.2.2 Comment configurer RIPng pour IPv6
Quand en auriez-vous besoinÿ: lorsque vous souhaitez implémenter un protocole de routage

simple pour un réseau IPv6 de petite à moyenne taille.
1. Activez le routage IPv6ÿ:

Routeur(config)#ipv6 unicast-routing
2. Activez le processus RIPng :
Router(config)#ipv6 router rip nom-processus où le nom-processus peut
être n'importe quel nom de processus unique que vous sélectionnez. Le nom du processus a
une signification locale, c'est-à-dire que vous n'avez pas besoin d'utiliser le même nom de
processus sur tous les routeurs participant au processus RIPng.
3. Sur l'interface à laquelle vous souhaitez participer au processus RIPng, attribuez une adresse IP
addressÿ:
Router(config-if)#ipv6 address ipv6-address/prefix length où ipv6-address est l'adresse IPv6
que vous souhaitez attribuer à cette interface. prefix-length est la longueur du préfixe IPv6 du
réseau auquel cette interface est connectée.
Si vous ne souhaitez pas attribuer d'adresse IPv6 à l'interface, vous pouvez activer le
fonctionnement IPv6 sur l'interface et la laisser créer sa propre adresse lien-local à l'aide de la
commande suivante : Router(config-if)#ipv6 enable 4. Enable le processus RIPng sur l'interfaceÿ:
Router(config-if)#ipv6 rip process-name où le process-name doit

être le nom du processus que vous avez sélectionné à l'étape 2.
Répétez cette étape sur toutes les interfaces que vous souhaitez faire participer au processus de
routage RIPng.
5. Pour le dépannage, utilisez les commandes suivantes :
Router#show ipv6 route Router#show ipv6 route rip
Router#show ipv6 protocols Router#show ipv6 rip
Router#show ipv6 rip next-hops Router#debug ipv6 rip
www.hellodigi.ir
3.2.3 Comment configurer EIGRP sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous implémentez un protocole de routage sur un grand interréseau et
que tous les périphériques réseau impliqués sont des périphériques Cisco ou des périphériques prenant en charge
EIGRP.
Exigences particulières : EIGRP est un protocole propriétaire de Cisco. Ainsi, soit tous les routeurs de l'interréseau
doivent être des routeurs Cisco, soit les routeurs doivent être compatibles EIGRP.
Avant de commencer, si vous n'avez pas défini la bande passante des interfaces, définissez-les maintenant.
Pour des décisions de routage correctes, vous devez définir la bande passante des interfaces série en fonction
des technologies WAN que vous utilisez. Cela se fait à l'aide de la commande suivante sur chaque interface
série : Router(config-if)#bandwidth bande passante où bande passante est la bande passante de la connexion
WAN en kilobits par seconde.
Ensuite, vous pouvez commencer à configurer EIGRP comme dans les étapes suivantesÿ:
1. Activez EIGRP sur le routeur avec la commande Router(config)#router

eigrp-système-autonome où système-autonome est le numéro du système autonome.
Le même numéro de système autonome doit être utilisé pour tous les routeurs avec lesquels vous souhaitez
échanger des informations de routage.
2. Demandez au routeur d'annoncer les réseaux qui lui sont directement connectés.
Router(config-router)#network network-address où network-address est l'adresse réseau
d'un réseau qui est directement connecté au routeur. Répétez cette étape pour chaque réseau directement
connecté au routeur spécifique que vous configurez. Pour les réseaux en sous-réseaux, n'oubliez pas qu'il
vous suffit d'écrire l'adresse réseau d'origine d'un groupe de sous-réseaux et le routeur identifiera
automatiquement les sous-réseaux.
Par exemple, si le routeur est connecté aux réseaux 172.16.1.0/24, 172.16.2.0/24 et 172.16.3.0/24, vous
devrez effectuer une commande « réseau » avec l'adresse 172.16.0.0.
3. Par défaut, les paquets EIGRP consomment un maximum de 50 % de la bande passante de la liaison, comme
configuré avec la commande de configuration d'interface « bandwidth ».
Vous souhaiterez peut-être modifier cette valeur si un niveau différent d'utilisation de la liaison est requis ou
si la bande passante configurée ne correspond pas à la largeur de bande de liaison réelle (elle a peut-être
été configurée pour influencer les calculs de métrique de route). Utilisez la commande suivante pour définir
le pourcentage de bande passante à utiliser sur chaque interface séparément : Router(config-if)#ip width-
percent pourcentage de bande passante eigrp où pourcentage de bande passante est le pourcentage de
bande passante à utiliser (par exemple, 70).
4. Vous pouvez modifier les intervalles des paquets hello et la minuterie de maintien sur
chaque interface à l'aide de la commandeÿ:
www.hellodigi.ir
Routeur(config-if)#ip hello-interval eigrp minuteur de système autonome où système autonome

est le numéro de système autonome et temps est le nouveau temps d'intervalle de paquet hello
en secondes.
Router(config-if)#ip hold-time eigrp temps du système autonome où système autonome est le

numéro du système autonome et temps est le nouveau temps de maintien en secondes.
5. Vérifiez votre configuration sur les routeurs après avoir configuré tous les routeurs du
interréseau à l'aide des commandes suivantes : Pour
afficher des informations sur les interfaces configurées pour EIGRP.
Router#show ip eigrp interfaces interface-type autono mous-system Affiche les voisins EIGRP
découverts.
Router#show ip eigrp neighbors Pour afficher la

table de topologie EIGRP pour un processus donné.
Routeur # show ip eigrp topologie système autonome Ou
Routeur#show ip eigrp topology network-address subnetmask

Pour afficher le nombre de paquets envoyés et reçus pour tout ou un EIGRP spécifié
traiter.
Router#show ip eigrp traffic autonome-system où interface-type est le type
d'interface. numéro de système autonome du système autonome. network-
address et subnetmask sont l'adresse réseau et le masque de sous-réseau.
3.2.4 Comment configurer les métriques EIGRP sur un routeur Cisco
Bien que ce ne soit pas recommandé, si vous avez besoin de modifier la façon dont les métriques
des routes sont calculées, vous pouvez les définir à l'aide de la commandeÿ:
Routeur(config-router)#metric weights type-of-service K1
K2 K3 K4 K5
où type-
of-service est le type d'indice de service et les valeurs de k1–k5 sont utilisées pour
calculer la métrique à l'aide de l'équation suivanteÿ:
bande passante k2 k5
métrique ¼ bande passante k1 þ þ délai k3
256 charge fiabilité þ k4
les valeurs par défaut sont k1 = k3 = 1 et k2 = k4 = k5 = 0 et

si k5 = 0, la formule se réduit à
www.hellodigi.ir
bande passante k2
métrique ¼ bande passante k1 þ þ délai k3
256 charge
Il est fortement recommandé de laisser la métrique dans les valeurs par défaut, sauf si vous êtes
un concepteur de réseau très expérimenté.
3.2.5 Comment configurer EIGRP pour IPv6 sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous implémentez un protocole de routage sur un grand
interréseau IPv6 et que tous les périphériques réseau impliqués sont des périphériques Cisco ou des
périphériques prenant en charge EIGRP.
Exigences particulières : EIGRP est un protocole propriétaire de Cisco. Ainsi, soit tous les routeurs
de l'interréseau doivent être des routeurs Cisco, soit les routeurs doivent être compatibles EIGRP.
1. Activez le routage IPv6 sur le routeur :

Router(config)#ipv6 unicast-routing 2. Activez EIGRP sur le
routeur :
Routeur(config)#numéro de système autonome eigrp du routeur ipv6
où numéro de système autonome est le numéro du système autonome dans lequel ce processus
EIGRP sera exécuté. N'oubliez pas d'utiliser le même numéro de système autonome dans tous
les routeurs avec lesquels vous souhaitez échanger des informations de routage.
3. Activez IPv6 sur l'interface que vous souhaitez faire participer au processus EIGRPÿ:
Router(config-if)#ipv6 enable L'utilisation de la
commande 'ipv6 enable' informera le routeur de créer une adresse IPv6 lien-local pour cette
interface. Si vous souhaitez utiliser une adresse IPv6 différente, vous pouvez utiliser la commande
suivante au lieu de « ipv6 enable » : Router(config-if)#ipv6 address ipv6-address/prefix length où
ipv6-address est l'adresse IPv6 que vous souhaitez attribuer à cette interface. prefix-length est la
longueur du préfixe de l'adresse IPv6.
4. Activez EIGRP sur l'interface connectée à d'autres routeurs compatibles EIGRP en identifiant le
numéro de système autonome dont cette interface fera partieÿ: du système autonome dans
lequel ce processus EIGRP sera exécuté. N'oubliez pas d'utiliser le même numéro de système
autonome utilisé aux étapes 2 et 4.
5. Si vous souhaitez configurer manuellement le RouterID pour contrôler le processus interne

d'EIGRP, vous pouvez utiliser les étapes facultatives suivantes : Router(config-if)#ipv6 router
eigrp autonome-system number
www.hellodigi.ir
N'oubliez pas d'utiliser le même numéro de système autonome utilisé aux étapes 2 et 4.
Router(config-router)#eigrp router-id router-id où router-id est l'ID de
routeur utilisé dans le processus EIGRP. Le RouterID est formaté en tant qu'adresse
IPv4 même si vous utilisez EIGRP pour les réseaux IPv6.
Router(config-router)#exit 6. Par défaut,
les paquets EIGRP consomment un maximum de 50 % de la bande passante de la liaison,
comme configuré avec la commande de configuration d'interface « bandwidth ».
Vous souhaiterez peut-être modifier cette valeur si un niveau différent d'utilisation de la
liaison est requis ou si la bande passante configurée ne correspond pas à la largeur de
bande de liaison réelle (elle a peut-être été configurée pour influencer les calculs de
métrique de route). Utilisez la commande suivante pour définir séparément le pourcentage
de bande passante à utiliser sur chaque interfaceÿ: Router(config-if)#ipv6 width-percent
eigrp au tonomous-system-number système autonome dans lequel ce processus EIGRP
sera exécuté. pourcentage de bande passante est le pourcentage de bande passante à
utiliser (par exemple, 70).
7. Pour dépanner, utilisez les commandes suivantes :

Router#show ipv6 eigrp autonome-system-number Router#show ipv6 eigrp
interface interface-type inter face-number
Routeur # show ipv6 eigrp interface type d'interface numéro d'interface numéro de
système autonome
3.2.6 Notes de mise en œuvre EIGRP
1. Si vous utilisez des réseaux non contigus, ce qui est généralement le cas, vous devez
désactiver la synthèse automatique à l'aide de la commande suivanteÿ: Router(config)#no
ip auto-summary 2. Vous pouvez définir des adresses de synthèse manuelles à l'aide
de la commande suivanteÿ:
Routeur(config-if)#ip eigrp summary-address système autonome summary-network
summary-subnetmask où système autonome est le numéro de système autonome et
résumé résumé-réseau est l'adresse réseau exprimant le résumé de plusieurs réseaux.
summary-subnetmask est le masque de sous-réseau de l'adresse résumée.
3. Lorsque vous utilisez des technologies de réseau non diffusées telles que Frame Relay
et SMDS, vous devez désactiver l'horizon partagé pour permettre à EIGRP de fonctionner
efficacement.
www.hellodigi.ir
Router(config-if)#no ip split-horizon autonome-system où autonome-system est le numéro

du système autonome.
4. Pour effacer la table des voisins, utilisez la commandeÿ:
Router#clear ip eigrp neighbors
3.2.7 Comment configurer l'OSPF à zone unique sur un

routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique avec des
routeurs Cisco et non Cisco.

OSPF est l'un des protocoles de routage dynamique les plus utilisés. La version Cisco d'OSPF
est compatible avec les routeurs non Cisco. Si votre réseau est grand, sautez dans Sect. 4.1.
L'OSPF à zone unique convient aux interréseaux de petite à moyenne taille. Une zone est un
regroupement logique de routeurs exécutant OSPF. Tous les routeurs d'une même zone partagent
la même base de données de topologie. L'OSPF multizone est utilisé pour les grands réseaux
afin d'empêcher que leurs bases de données topologiques ne soient hors de portée du routeur.
La configuration OSPF à zone unique est la suivanteÿ:
1. Étant donné que les meilleurs calculs de route OSPF reposent uniquement sur la bande
passante, vous devez configurer la bande passante de l'interface série impliquée dans le
processus de routage à l'aide de la commande suivante sur l'interfaceÿ: Router(config-
if)#bandwidth de la connexion en kilobits par seconde.
N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie
uniquement la valeur de la bande passante utilisée par le protocole de routage aux fins du
calcul du meilleur chemin.
2. Demandez au routeur d'activer le processus de routage OSPFÿ:
Router(config)#router ospf process-number où process-number est
le numéro de processus d'OSPF. Ce numéro de processus a une signification locale. Il n'est
pas nécessaire que ce soit le même sur tous les routeurs.
3. Demandez au routeur d'annoncer les réseaux directement connectésÿ:
Routeur(config-router)#network network-address joker mask area 0 où network-address est
l'adresse réseau d'un réseau directement connecté. wildcard-mask est le masque générique
de l'adresse réseau.
Étant donné que nous définissons un OSPF à zone unique, nous utiliserons toujours la "zone 0".
4. Répétez l'étape 3 pour chaque réseau directement connecté au routeur.
Si vous avez terminé les quatre premières étapes sur tous les routeurs impliqués dans le
processus, tout devrait bien fonctionner.
www.hellodigi.ir
Si vous souhaitez effectuer d'autres configurations, vous devez suivre quelques étapes avancées
facultativesÿ:
1. Pour modifier le processus de sélection du DR (routeur désigné) et du BDR (routeur désigné de

secours), utilisez la commande suivante pour modifier la priorité OSPF du routeur sur une
certaine interface : Router(config)#ip ospf priority priority où la priorité est la priorité (0–255). Le
routeur avec la priorité la plus élevée devient le DR. Une priorité de 0 signifie que ce routeur ne
sera jamais élu comme DR.
2. Pour redémarrer l'ensemble du processus d'élections DR et BDR, utilisez la commandeÿ:

Routeur # clear ip processus ospf *
3. Pour modifier le coût d'un certain lien dans le processus OSPF, utilisez ce qui suit
commandeÿ:
Router(config-if)#ip ospf cost suggéré-coût où CC est le coût suggéré (0–65,
535).
Pour le dépannage, vous pouvez utiliser les commandes suivantesÿ:
1. Pour afficher les informations sur les processus

OSPF : Router#show ip ospf 2. Pour afficher la
base de données OSPF de la topologie : Router#show ip
ospf database 3. Pour afficher le fonctionnement OSPF
sur les interfaces : Router#show ip ospf interface
4. Pour afficher la table des voisins OSPFÿ:

Router#show ip ospf neighbor 5. Pour déboguer
tous les événements de processus OSPF :
Router#debug ip ospf events
3.2.8 Comment configurer OSPFv3 à zone unique pour IPv6

sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique avec des
routeurs Cisco et non Cisco.
1. Activez le routage IPv6 sur le routeur :

Router(config)#ipv6 unicast-routing 2. Étant donné que les
meilleurs calculs de route OSPF reposent uniquement sur la bande passante, vous devez configurer
la bande passante de l'interface série impliquée dans le processus de routage à l'aide de la
commande suivante sur l'interface : Router(config-if)#bandwidth
www.hellodigi.ir
où la bande passante est la bande passante de la connexion en kilobits par seconde.

N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie
uniquement la valeur de la bande passante utilisée par le protocole de routage aux fins du
calcul du meilleur chemin.
Router(config)#ipv6 router ospf process-number où process-number est le
numéro de processus d'OSPF. Ce numéro de processus a une signification locale. Il n'est
pas nécessaire que ce soit le même sur tous les routeurs.
4. Activez le processus OSFP sur chaque interface que vous souhaitez faire participer à l'OSPF
traiter:
Router(config-if)#ipv6 enable Router(config-

if)#ipv6 ospf process-number Zone 0 où interface-type et interface-number sont
le type et le numéro de l'interface. process-number est le numéro de processus
de l'OSPF identifié à l'étape 3.
Étant donné que nous définissons un OSPF à zone unique, nous utiliserons toujours la "zone 0".
L'utilisation de la commande 'ipv6 enable' informera le routeur de créer une adresse IPv6
lien-local pour cette interface. Si vous souhaitez utiliser une adresse IPv6 différente, vous
pouvez utiliser la commande suivante au lieu de « ipv6 enable » : Router(config-if)#ipv6
address ipv6-address/prefix length où ipv6-address est l'adresse IPv6 que vous souhaitez
attribuer à cette interface. prefix-length est la longueur du préfixe de l'adresse IPv6.
5. Répétez l'étape 4 pour chaque réseau directement connecté au routeur.

Si vous avez terminé les quatre premières étapes sur tous les routeurs impliqués dans le
processus, tout devrait bien fonctionner.
Si vous souhaitez effectuer d'autres configurations, vous devez suivre quelques étapes avancées
facultativesÿ:
1. Pour modifier le processus de sélection du DR (routeur désigné) et du BDR (routeur désigné

de sauvegarde), utilisez la commande suivante pour modifier la priorité OSPF du routeur sur
une certaine interfaceÿ: Router(config)#ipv6 ospf priority priority où la priorité est la priorité
(0–255). Le routeur avec la priorité la plus élevée devient le DR. Une priorité de 0 signifie
que ce routeur ne sera jamais élu comme DR.
2. Pour redémarrer l'ensemble du processus d'élections DR et BDR, utilisez la commandeÿ:

Routeur # clear ipv6 processus ospf *
3. Pour modifier le coût d'un certain lien dans le processus OSPF, utilisez ce qui suit
commande:
Routeur (config-if) # ipv6 ospf coût suggéré-coût
www.hellodigi.ir
où CC est le coût suggéré (0–65 535)
Pour le dépannage, vous pouvez utiliser les commandes suivantesÿ:

OSPFÿ: Router#show ipv6 ospf
2. Pour afficher la base de données OSPF de la topologie :
Router#show ipv6 ospf database 3. Pour afficher le
fonctionnement OSPF sur les interfaces : Router#show ipv6
ospf interface
Routeur # show ipv6 ospf voisin
5. Pour déboguer tous les événements de processus OSPFÿ:
Router#debug ipv6 événements ospf
3.3 Comment configurer HSRP sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque la conception de votre réseau nécessite une redondance et
une haute disponibilité.

Pour comprendre pourquoi et comment fonctionne le protocole HSRP, vous devez examiner un
exemple. Pour chaque réseau local, il existe une passerelle par défaut. Cette passerelle par défaut est
généralement l'interface LAN du routeur. Si la conception de votre réseau nécessite une haute
disponibilité et une redondance, vous pouvez utiliser HSRP pour configurer une interface différente
dans un routeur différent pour fonctionner comme une interface de secours de sorte que chaque fois
que la passerelle principale par défaut échoue, la veille devient active et le fonctionnement du réseau
n'est pas interrompu.
HSRP fonctionne en définissant une adresse IP principale et une adresse IP de secours pour les
interfaces des routeurs qui participent à l'opération HSRP. La plupart du temps, l'adresse IP utilisée
comme passerelle par défaut est appelée l'adresse IP virtuelle. Passons à la configurationÿ:
1. Sur le premier routeur, configurez l'adresse IP principale :

Router1(config-if)#ip address ip-address subnetmask
2. Sur le premier routeur, configurez l'adresse IP virtuelle :
Router1(config-if)#standby hsrp-group-number ip virtual ip-address 3. Sur le premier routeur,
configurez la priorité de l'IP virtuelle Router1(config- if)#standby hsrp-group-number priority
standby-priority où l'adresse IP et le masque de sous-réseau sont l'adresse IP principale et le
masque de sous-réseau de l'interface.
www.hellodigi.ir
3.3 Comment configurer HSRP sur un routeur Cisco 57
hsrp-group-number est le numéro de groupe HSRP. Vous devez utiliser le même numéro dans tous
les routeurs que vous souhaitez faire participer au même processus HSRP. virtual-ip-address est
l'adresse IP virtuelle à utiliser lorsque le routeur de secours devient actif. standby-priority est la
priorité de l'adresse IP de secours. Le nombre peut être compris entre 0 et 255. Le routeur avec la
priorité la plus élevée sera celui qui est actif.
4. Sur le second routeur, configurez l'adresse IP principale (qui est différente de celle utilisée dans
Router1) : Router2(config-if)#ip address ip-address subnetmask 5. Sur le second routeur, configurez
l'adresse IP virtuelle :
Router2(config-if)#standby hsrp-group-number ip virtual ip-address 6. Sur le premier routeur,

configurez la priorité de l'IP virtuel Router2(config-if)#standby hsrp-group-number priority standby-
priority où adresse IP et masque de sous-réseau sont l'adresse IP principale et le masque de sous-
réseau de l'interface. hsrp-group-number est le numéro de groupe HSRP. Vous devez utiliser le
même numéro dans tous les routeurs que vous souhaitez faire participer au même processus
HSRP. virtual-ip-address est l'adresse IP virtuelle à utiliser lorsque le routeur de secours devient
actif. standby-priority est la priorité de l'adresse IP de secours. Le nombre peut être compris entre
0 et 255. Le routeur avec la priorité la plus élevée sera celui qui est actif.
7. Vous pouvez dépanner en utilisant les commandes :

Router#show standby Router#show standby brief
Router#show standby all
3.4 Comment configurer GLBP sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque la conception de votre réseau nécessite une redondance et une
haute disponibilité.

Pour comprendre pourquoi et comment fonctionne le protocole GLBP, vous devez examiner un
exemple. Pour chaque réseau local, il existe une passerelle par défaut. Cette passerelle par défaut est
généralement l'interface LAN du routeur. Si la conception de votre réseau nécessite une haute
disponibilité et une redondance, vous pouvez utiliser GLBP pour configurer une interface différente dans
un routeur différent pour fonctionner comme une interface de secours de sorte que chaque fois que la
passerelle par défaut principale tombe en panne, la veille devient active et le fonctionnement du réseau
n'est pas activé. interrompu.
www.hellodigi.ir
GLBP fonctionne en définissant une adresse IP principale et une adresse IP de secours pour
les interfaces des routeurs qui participent à l'opération GLBP. La plupart du temps, l'adresse IP
utilisée comme passerelle par défaut est appelée l'adresse IP virtuelle. Passons à la configurationÿ:

Router1(config-if)#glbp glbp-group-number ip virtual-ip address
3. Sur le premier routeur, configurez la priorité de l'adresse IP

virtuelle : Router1(config-if)#glbp glbp-group-number priority standby-priority où l'adresse IP
et le masque de sous-réseau sont l'adresse IP principale et le masque de sous-réseau de
l'interface. glbp-group-number est le numéro de groupe GLBP. Vous devez utiliser le même
numéro dans tous les routeurs que vous souhaitez faire participer au même processus
GLBP. virtual-ip-address est l'adresse IP virtuelle à utiliser lorsque le routeur de secours
devient actif. standby-priority est la priorité de l'adresse IP de secours. Le nombre peut être
compris entre 0 et 255. Le routeur avec la priorité la plus élevée sera celui qui est actif.
4. Sur le second routeur, configurez l'adresse IP principale (qui est différente de celle utilisée
dans Router1) : Router2(config-if)#ip address ip-address subnetmask 5. Sur le second
routeur, configurez l'adresse IP virtuelle :
Router2(config-if)#glbp glbp-group-number ip virtual ip-address 6. Sur le premier routeur,

configurez la priorité de l'IP virtuel Router2(config-if)#glbp glbp-group-number priority
standby-priority où adresse IP et masque de sous-réseau sont l'adresse IP principale et le
masque de sous-réseau de l'interface. glbp-group-number est le numéro de groupe GLBP.
Vous devez utiliser le même numéro dans tous les routeurs que vous souhaitez faire
participer au même processus GLBP. virtual-ip-address est l'adresse IP virtuelle à utiliser
lorsque le routeur de secours devient actif. standby-priority est la priorité de l'adresse IP de
secours. Le nombre peut être compris entre 0 et 255. Le routeur avec la priorité la plus
élevée sera celui qui est actif.
7. Vous pouvez dépanner en utilisant les commandesÿ:

Routeur#show glbp
Routeur#show glbp brief
www.hellodigi.ir
3.5 Comment configurer VRRP sur un routeur Cisco 59
3.5 Comment configurer VRRP sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque la conception de votre réseau nécessite une redondance et
une haute disponibilité.

VRRP fonctionne en définissant une adresse IP principale et une adresse IP de secours pour les
interfaces des routeurs qui participent à l'opération VRRP. La plupart du temps, l'adresse IP utilisée
comme passerelle par défaut est appelée l'adresse IP virtuelle. Passons à la configurationÿ:

Router1(config-if)#vrrp group-number ip virtual ip-address 3. Sur le premier routeur, configurez
la priorité de l'IP virtuelle Router1(config-if) #vrrp group-number priority standby priority où
l'adresse IP et le masque de sous-réseau sont l'adresse IP principale et le masque de sous-réseau
de l'interface.
group-number est le numéro de groupe VRRP. Vous devez utiliser le même numéro dans tous les
routeurs auxquels vous souhaitez participer dans le même processus VRRP. virtual-ip-address
est l'adresse IP virtuelle à utiliser lorsque le routeur de secours devient actif. standby-priority est la
priorité de l'adresse IP de secours. Le nombre peut être compris entre 0 et 255. Le routeur avec la
priorité la plus élevée sera celui qui est actif.
4. Sur le deuxième routeur, configurez l'adresse IP principale (qui est différente de

un utilisé dans Router1 et à partir de l'IP virtuelle) :
Router2(config-if)#ip address ip-address subnetmask 5. Sur le second routeur, configurez
l'adresse IP virtuelle :
Router2(config-if)#vrrp group-number ip virtual ip-address 6. Sur le premier routeur, configurez
la priorité de l'IP virtuel Router2(config-if)#vrrp group-number priority standby priority où ip-
address et masque de sous-réseau sont l'adresse IP principale et le masque de sous-réseau de
l'interface. group-number est le numéro de groupe GLBP. Vous devez utiliser le même numéro
dans tous les routeurs que vous souhaitez faire participer au même processus GLBP. virtual-ip-
address est l'adresse IP virtuelle à utiliser lorsque le routeur de secours devient actif.
www.hellodigi.ir
standby-priority est la priorité de l'adresse IP de secours. Le nombre peut être

entre 0 et 255. Le routeur avec la priorité la plus élevée sera celui qui est actif.
7. Vous pouvez dépanner en utilisant les commandesÿ:
Routeur#show vrrp
Routeur#show vrrp brief
Scénario 3.1
FE0/0 S0/0 S0/0 FE0/0
FE0/1 Routeur 2 Routeur 1 FE0/1
FE0/3 FE0/2 FE0/3
FE0/2
Ordinateur D Ordinateur C Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
1. Sur le routeur 1, effectuez la configuration de baseÿ:
Adresse IP de l'interface S0/0 10.0.0.1/30
(a continué)
www.hellodigi.ir
(a continué)
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
4. Configurez le routage statique sur le routeurÿ1ÿ:

Destination 172.16.1.0/24, saut suivant 10.0.0.2
6. Pour les tests, PING de l'ordinateur A vers C et D.
www.hellodigi.ir
Scénario 3.2
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
Interface FE0/0 Adresse IPv6 2001:2001 ::1/64
Ordinateur A Adresse IPv6 2001:2001::5
Passerelle par défaut 2001:2001 ::1
Serveur DNS 1 2001:2001 ::1
Serveur DNS 2 2001:2001 ::1
(a continué)
www.hellodigi.ir
(a continué)
Ordinateur B Adresse IPv6 2001:2001::7
Serveur DNS 1 2001:2001 ::1
Serveur DNS 2 2001:2001 ::1
Ordinateur C Adresse IPv6 2001:2002::8
Serveur DNS 1 2001:2002 ::1
Serveur DNS 2 2001:2002 ::1
Ordinateur D Adresse IPv6 2001:2002::9
Serveur DNS 1 2001:2002 ::1
Serveur DNS 2 2001:2002 ::1

Destination 2001:2002 ::/64, saut suivant 10.0.0.2
11. Configurez le routage statique sur le routeur 2ÿ:
Destination 2001:2001 ::/64, saut suivant 10.0.0.1
Scénario 3.3
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
www.hellodigi.ir
Serveur DNS 1 192.168.10.254
Serveur DNS 2 192.168.10.254
Serveur DNS 1 192.168.10.254
Serveur DNS 2 192.168.10.254
Ordinateur C Adresse IP 2001:2001::5
Serveur DNS 1 2001:2001 ::1
Serveur DNS 2 2001:2001 ::1
(a continué)
www.hellodigi.ir
(a continué)
Ordinateur D Adresse IP 2001:2001::6
Serveur DNS 1 2001:2001 ::1
Serveur DNS 2 2001:2001 ::1
4. Configurez un routage par défaut sur le routeurÿ1ÿ:

Destination ::/0, saut suivant 10.0.0.1
Scénario 3.4
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
www.hellodigi.ir
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
4. Configurez le routage dynamique RIPv2 sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0.
5. Configurez le routage dynamique RIPv2 sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 192.16.1.0.
6. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
www.hellodigi.ir
Scénario 3.5
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
www.hellodigi.ir
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
4. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0 dans le système autonome numéro 10.
les deux routeurs.
7. Pour voir l'effet d'un numéro de système autonome différent, supprimez

EIGRP du routeur 2. Reconfigurez EIGRP sur le routeur 2 avec un
nombre de systèmes de 20. Vérifiez les tables de connectivité et de routage maintenant.
www.hellodigi.ir
Scénario 3.6
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
www.hellodigi.ir
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
les deux routeurs.
7. Avec tout le reste laissé par défaut, les routeurs avec la configuration précédente
fonctionne pas correctement. La raison en est que les réseaux locaux connectés au
les routeurs sont des réseaux discontinus. Dans EIGRP, les adresses sont résumées par
défaut. Par conséquent, les deux routeurs se diront "J'ai 172.16.0.0/16 directement
connecté à moi.'
8. Désactivez le résumé automatique dans EIGRP sur les deux routeurs.

9. PING à nouveau de l'ordinateur A vers C et D et affiche les tables de routage dans les deux
routeurs. Les deux routeurs doivent fonctionner correctement.
www.hellodigi.ir
Scénario 3.7
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
www.hellodigi.ir
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
4. Configurez le routage dynamique OSPF sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0 dans la zone 0.
5. Configurez le routage dynamique OSPF sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 192.16.1.0 dans la zone 0.
les deux routeurs.
7. Pour voir l'effet d'avoir un numéro de processus différent, supprimez OSPF de

Routeur 2. Reconfigurez OSPF sur le routeur 2 avec un numéro de processus différent de
Routeur 1. Vérifiez maintenant les tables de connectivité et de routage.
www.hellodigi.ir
Scénario 3.8
FE0/2
S0/0 S0/0 FE0/0
FE0/1
Routeur 2 Routeur 1 FE0/1

FE0/0
FE0/3
OrdinateurD
FE0/2
Ordinateur A
Ordinateur C
Ordinateur B
Connectez le réseau dans la figure ci-dessus et configurez les paramètres suivantsÿ:
www.hellodigi.ir
Serveur DNS 1 192.19.0.254
Serveur DNS 2 192.19.0.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
Serveur DNS 1 192.16.2.254
Serveur DNS 2 192.16.2.254
Serveur DNS 1 192.16.3.254
Serveur DNS 2 192.16.3.254
10.0.0.0, 192.16.1.0, 192.16.2.0 et 192.16.3.0 dans le numéro de système autonome
dix.
6. Sur l'interface annonçant les routeurs EIGRP sur le routeur 2 (interface S0/0),
configurer l'adresse IP récapitulative EIGRP de 192.16.0.0 avec le masque de sous-réseau de
255.255.0.0 qui résume les trois réseaux internes connectés à
Routeur 2. Cela réduira la taille de la publicité envoyée par le routeur.
les deux routeurs.
www.hellodigi.ir
Scénario 3.9
Routeur 2
Routeur 1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus. Configurez les éléments suivants
réglages:
1. Sur le routeur 1ÿ:
Mot de passe de la console CiscoConsole2
Mot de passe VTY CiscoVTY2
www.hellodigi.ir
3. Configurez l'adresse IP virtuelle HSRP sur le routeur 1 et le routeur 2 sur 172.16.0.250.

Donnez au routeur 1 une priorité de 200 et au routeur 2 une priorité de 100.
4. Configurez les ordinateurs avec les paramètres suivantsÿ:
Ordinateur A Adresse IP 172.16.0.1/24
Serveur DNS 1 172.16.0.250
Serveur DNS 2 172.16.0.250
Serveur DNS 1 172.16.0.250
Serveur DNS 2 172.16.0.250
5. Effectuez un PING continu (utilisez le paramètre –t sous Windows ou simplement la

commande PING sous Linux) de l'ordinateur A à la passerelle par défaut.
6. Pendant que le PING affiche continuellement les résultats, éteignez le routeur 1.
7. Comptez le temps d'arrêt jusqu'à ce que le routeur 2 reçoive le drapeau du réseau éteint.
Routeur 1.
Scénario 3.10
Routeur 2
Routeur 1
www.hellodigi.ir
réglages:
3. Configurez l'adresse IP virtuelle GLBP sur le routeur 1 et le routeur 2 sur 172.16.0.250.

Serveur DNS 1 172.16.0.250
Serveur DNS 2 172.16.0.250
Serveur DNS 1 172.16.0.250
Serveur DNS 2 172.16.0.250
5. Effectuez un PING continu (utilisez le paramètre –t sous Windows ou simplement la commande

PING sous Linux) de l'ordinateur A à la passerelle par défaut.
Routeur 1.
www.hellodigi.ir
Scénario 3.11
Routeur 2
Routeur 1
réglages:
www.hellodigi.ir
3. Configurez l'adresse IP virtuelle VRRP sur le routeur 1 et le routeur 2 sur 172.16.0.250.

Serveur DNS 1 172.16.0.250
Serveur DNS 2 172.16.0.250
Serveur DNS 1 172.16.0.250
Serveur DNS 2 172.16.0.250
5. Effectuez un PING continu (utilisez le paramètre –t sous Windows ou simplement la

commande PING sous Linux) de l'ordinateur A à la passerelle par défaut.
Routeur 1.
Scénario 3.12
FE0/0 S0/0 S0/0 FE0/0
FE0/3 FE0/2 FE0/3
FE0/2
réglages:
www.hellodigi.ir
Interface FE0/0 Adresse IPv6 2001 :: 1/64
Interface S0/0 Adresse IPv6 2002 :: 1/64
Adresse IP de l'interface FE0/0 2003 :: 1/64
Adresse IP de l'interface S0/0 2002 :: 2/64
Ordinateur A Adresse IPv6 2001 :: 10
Passerelle par défaut 2001 :: 1
Serveur DNS 1 2001 :: 1
Ordinateur B Adresse IPv6 2001 :: 11
Ordinateur C Adresse IPv6 2003 :: 10
Ordinateur D Adresse IPv6 2003 :: 11
www.hellodigi.ir
4. Configurez le routage dynamique OSPFv3 sur le routeur 1 avec les réseaux annoncés 2001 ::/64 et 2002 ::/64
dans la zone 0.
5. Configurez le routage dynamique OSPF sur le routeur 2 avec les réseaux annoncés 2002 ::/64 et 2003 ::/64 dans
la zone 0.
les deux routeurs.
7. Pour voir l'effet d'un numéro de processus différent, supprimez OSPF du routeur 2. Reconfigurez OSPF sur le
routeur 2 avec un numéro de processus différent du routeur 1. Vérifiez maintenant les tables de connectivité et
de routage.
www.hellodigi.ir
Chapitre 4
Protocoles de routage avancés
Configuration
Mots-clés Cisco Routeur Multizone OSPF Liaison virtuelle IS–IS Équilibrage de charge BGP MPLS
4.1 Comment configurer l'OSPF multizone

Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique pour un grand réseau
et que tous vos routeurs ne sont pas des routeurs Cisco.

OSPF est l'un des protocoles de routage dynamique les plus utilisés. La version Cisco d'OSPF est
compatible avec les routeurs non Cisco. Si votre réseau n'est pas trop grand, Sect. 2.3 décrit les étapes de
configuration de l'OSPF à zone unique.
Comme défini dans la section précédente, une zone est un regroupement logique de routeurs
exécutant OSPF. Tous les routeurs d'une même zone partagent la même base de données de topologie.
L'OSPF à plusieurs zones est utilisé pour les grands réseaux afin d'empêcher que leurs bases de
données de topologie ne deviennent hors de la capacité du routeur.
Lorsque vous concevez les zones et leur attribuez des adresses IP, n'oubliez pas d'attribuer des adresses
IP qui peuvent être résumées. Assurez-vous que toutes les adresses IP d'une zone peuvent être résumées
en une seule adresse avec un masque de sous-réseau différent. Ceci est très important pour réduire la
quantité d'informations de routage échangées entre les routeurs. (Ceci, en gros, est l'idée derrière la création
de plusieurs zones au lieu d'une.)
La zone 0, ou parfois appelée zone dorsale, agira comme le centre de l'univers pour toutes les autres
zones. Toutes les zones doivent être connectées à la zone 0. En périphérie de chaque zone, le routeur
connecté à une autre zone est appelé Area Border Router (ABR). Si toutes les zones ne peuvent pas être
connectées à la zone 0, il existe une solution appelée liens virtuels qui est abordée plus loin dans la section.
2.5.
Passons à la configuration. Par souci de clarté, le routeur ABR que vous prévoyez d'installer dans la zone
0 sera appelé "Area 0 ABR". L'ABR à la frontière d'autres zones sera appelée 'Area X ABR.'
© Springer International Publishing AG 2017 MM 83

Alani, Guide de configuration des routeurs Cisco, DOI
10.1007/978-3-319-54630-8_4
www.hellodigi.ir
84 4 Configuration des protocoles de routage avancés
4.1.1 Configuration de la zone 0 ABR
1. Les meilleurs calculs d'itinéraire OSPF reposent uniquement sur la bande passante. Par
conséquent, vous devez configurer la bande passante de l'interface série impliquée dans le
processus de routage à l'aide de la commande suivante sur l'interface : Router(config-
if)#bandwidth bande passante où bande passante est la bande passante de la connexion en
kilobits par seconde.
N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie uniquement
la bande passante vue par le protocole de routage dans le but de calculer le meilleur chemin.

Router(config)#router ospf process-number où process-number est le
numéro de processus d'OSPF. Ce numéro de processus a une signification locale. Il n'est pas
nécessaire que ce soit le même sur tous les routeurs.
3. Demandez au routeur d'annoncer les réseaux directement connectés de la zone 0
Routeur(config-router)#network network-address joker mask Zone 0
où
adresse-réseau est l'adresse réseau d'un réseau directement connecté. wildcard-mask
est le masque générique de l'adresse réseau.
4. Répétez l'étape 3 pour chaque réseau directement connecté au routeur et
partie de la zone
0 5. Demandez au routeur d'annoncer le réseau directement connecté de la zone X
Routeur(config-router)#network network-address joker mask Zone X
où
network-address est l'adresse réseau du réseau directement connecté qui connecte la zone 0 à
la zone X. wildcard-mask est le masque générique de l'adresse réseau.
X est le numéro de zone.

6. Configurez la plage d'adresses IP pour toute la zone (similaire à un résumé
adresse):
Routeur(config-router)#area 0 range network-address subnetmask
où
network-address est l'adresse réseau qui résume tous les réseaux de la zone 0. subnetmask est
le masque de sous-réseau pour l'adresse résumée.
Cette commande réduit la taille de la base de données topologiques, ce qui est important dans
la zone dorsale.
www.hellodigi.ir
4.1 Comment configurer l'OSPF multizone sur un routeur Cisco 85
4.1.2 Configuration de la zone X ABR
1. Comme mentionné précédemment, les meilleurs calculs d'itinéraire OSPF reposent uniquement sur la bande passante.
Par conséquent, vous devez configurer la bande passante de l'interface série impliquée dans le
processus de routage à l'aide de la commande suivante sur l'interface : Router(config-
if)#bandwidth bande passante où bande passante est la bande passante de la connexion en
kilobits par seconde.
N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie uniquement
la bande passante vue par le protocole de routage dans le but de calculer le meilleur chemin.

Router(config)#router ospf process-number où process-number est le
numéro de processus d'OSPF. Ce numéro de processus a une signification locale. Il n'est pas
nécessaire que ce soit le même sur tous les routeurs.
3. Demandez au routeur d'annoncer les réseaux directement connectés de la zone X
Routeur(config-router)#network network-address joker mask Zone X
où
network-address est l'adresse réseau du réseau directement connecté qui se trouve dans la
zone X. wildcard-mask est le masque générique de l'adresse réseau.
X est le numéro de zone.

4. Répétez l'étape 3 pour chaque réseau directement connecté au routeur et
partie de la zone
X 5. Demandez au routeur d'annoncer le réseau directement connecté de la zone 0
Routeur(config-router)#network network-address joker mask Zone 0
où
network-address est l'adresse réseau d'un réseau directement connecté qui connecte la zone 0
et la zone X. wildcard-mask est le masque générique de l'adresse réseau. 0 est le numéro de
zone.
6. Configurez la plage d'adresses IP pour tous les réseaux de la zone X (similaire à une adresse
récapitulative) : Router(config-router)#Area X range network-address
masque de sous-réseau
où
network-address est l'adresse réseau qui résume tous les réseaux de la zone X. subnetmask est
le masque de sous-réseau pour l'adresse résumée
www.hellodigi.ir
4.1.3 Autres commandes
Vous pouvez utiliser les commandes suivantes lors du dépannageÿ:

OSPF : Router#show ip ospf 2. Pour afficher la
base de données OSPF de la topologie :
Router#show ip ospf database 3. Pour afficher
l'opération OSPF sur les interfaces :
Routeur#show ip ospf interface
Router#show ip ospf neighbor 5. Pour
déboguer tous les événements de processus
OSPF : Router#debug ip ospf events Si vous
souhaitez configurer davantage d'OSPF, passez à la section suivante. 2.5.
4.1.4 En savoir plus sur la configuration OSPF multizone
Cette sous-section est la suite de la section précédente sur la configuration de l'OSPF multizone
sur les routeurs Cisco. Reportez-vous à la section précédente pour la configuration essentielle de
l'OSPF multizone.
1. ASBR
Un routeur est appelé Autonomous System Boundary Router (ASBR) lorsqu'il connecte la
zone OSPF à un autre système autonome. Ce routeur doit être configuré avec une adresse
récapitulative pour récapituler les routes reçues dans OSPF via la redistributionÿ:
Router(config-router)#summary-address summary-address masque de sous-réseau où

summary-address est l'adresse résumée des sous-réseaux résumés. subnetmask est le
masque de sous-réseau de l'adresse résumée.
Cette commande est généralement émise au niveau du routeur connectant l'interréseau à

Internet.
2. Zones de bout
Les zones de stub dans OSPF sont des zones où un seul ABR est là, ou où des ABR
colocalisés existent. Pour ce type de zones, la configuration suivante peut être effectuée pour
réduire le trafic de routage entre les ABR : Router(config-router)#Area X stub où X est le
numéro de zone.
Cette commande doit être émise sur les deux ABRÿ: l'ABR de la zone de stub et l'ABR de la zone
0 qui est connecté à la zone de stub. S'il existe plusieurs routeurs dans le
www.hellodigi.ir
4.1 Comment configurer l'OSPF multizone sur un routeur Cisco 87
zone de stub, la commande précédente doit être émise sur tous les routeurs du stub
Région.
Habituellement, s'il n'y a qu'un seul routeur dans la zone de stub, au lieu de définir tous les réseaux
directement connectés, la commande suivante est utilisée : Router(config-router)#network 0.0.0.0
255.255.255.255
Zone X
où X est le numéro de zone.
3. Liaisons virtuelles
De par leur conception, toutes les zones OSPF doivent être connectées à la zone 0. S'il existe une
zone qui ne peut pas être directement connectée à la zone 0, vous devrez utiliser une liaison virtuelle.
N'oubliez pas que malgré le fait que la configuration du lien virtuel est simple, beaucoup
de choses peuvent mal tourner dans un lien virtuel, et ce n'est pas une solution
recommandée.
Pour implémenter un lien virtuel entre l'ABR de la zone 0 et l'ABR de la zone X (où la zone X n'est
pas directement connectée à la zone 0), nous devons créer des interfaces de bouclage logiques sur
les deux routeurs et les relier : Sur l'ABR de la zone 0 : Router(config) #int bouclage 0 Routeur(config-
if)#adresse IP Area0-loopback-address subnetmask Router(config-if)#exit Router(config)#router
ospf Area0-process-number Router(config)#Area X virtual-link AreaX -loopback address où Area0-
loopback-address est une adresse IP que vous attribuez à l'interface logique de la zone 0 ABR.
Cette adresse sera utilisée par l'ABR Zone X pour se connecter virtuellement. subnetmask est le
masque de sous-réseau que vous affectez à l'interface logique.
Area0-process-number est l'ID de processus de l'OSPF sur l'ABR de la zone 0.

AreaX-loopback-address est l'adresse IP que vous attribuez à l'interface logique de l'ABR Area X.
Sur zone X ABRÿ:

Routeur(config)#int bouclage 0
Routeur(config-if)#adresse IP Masque de sous-réseau AreaX-loopback-address
Routeur(config-if)#exit
Routeur(config)#routeur ospf AreaX-process-number
Routeur(config)#Area X virtual-link Area0-loopback address
où
AreaX-loopback-address est une adresse IP que vous attribuez à l'interface logique de Area X ABR.
Cette adresse sera utilisée par l'ABR de zone 0 pour se connecter virtuellement.
www.hellodigi.ir
subnetmask est le masque de sous-réseau que vous affectez à l'interface logique.

AreaX-process-number est l'ID de processus de l'OSPF sur l'ABR de la zone X.
Area0-loopback-address est l'adresse IP que vous avez attribuée à l'interface logique de l'ABR
de la zone 0.
4. Quelques commandes show supplémentaires pour afficher les liens virtuels actuellement
configurés les informations ABR, respectivement : Router#show ip ospf virtual-links Router#show
ip ospf border-routers
4.2 Comment configurer IS–IS intégré sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique pour un grand
réseau et que tous vos routeurs ne sont pas des routeurs Cisco. Il est actuellement utilisé pour
prendre en charge le routage MPLS et le routage IPv6.

IS–IS est un ancien protocole de passerelle intérieure. Il s'agit d'un protocole de routage qui visait à
remplacer TCP/IP, mais n'y est pas parvenu. Quoi qu'il en soit, pourquoi discutons-nous de cet ancien protocoleÿ?
En effet, un nouvel intérêt est apparu ces dernières années. Cet intérêt est dû au fait que le protocole
IS-IS est indépendant, compatible ToS et réellement évolutif.
La pierre angulaire du fonctionnement IS-IS est d'avoir un interréseau correctement adressé pour
IS-IS. Cela signifie que vos sous-réseaux doivent être adressés de manière récapitulative afin que
vous puissiez exprimer les LAN connectés au routeur sous forme d'adresse récapitulative.
Passons à la configuration :
1. Créez une interface de bouclage (interface logique) sur le routeur et attribuez-lui une adresse IP
de votre choix. N'oubliez pas que cette adresse IP fera partie de l'adresse NET (Network Entity
Title).
Router(config)#int loopback 0 Router(config-
if)#ip address loopback-address masque de sous-réseau où loopback-address est l'adresse IP
que vous souhaitez attribuer à l'interface de bouclage. subnetmask est le masque de sous-
réseau que vous souhaitez affecter à l'interface de bouclage.
2. Notez l'adresse NET que vous attribuerez au routeur. Il existe de nombreuses façons de créer
une adresse NET. Nous ne les aborderons pas maintenant. Nous utiliserons l'adresse de
bouclage du routeur comme ID système comme suit : AA.BBBB.CCCC.DDDD.EEEE.FF où AA
est l'AFI. Nous utiliserons '49' ici comme AFI. Ce '49' signifie que nous créons notre propre
adresse NET.
BBBB est le numéro de zone (ex : 0001, ou 0002). N'oubliez pas que trois routeurs au maximum
peuvent fonctionner dans une même zone IS–IS. Vous devriez commencer à partir de 1.
www.hellodigi.ir
4.2 Comment configurer IS–IS intégré sur un routeur Cisco 89
CCCC.DDDD.EEEE est l'adresse IP de bouclage du routeur. Auparavant défini comme

123.456.789.123, ici il devrait être réécrit comme 1234.5678.9123. (ex : 172.16.0.254 devient
172.016.000.254 qui devient 1720.1600.0254).
FF est le SEL. Nous utiliserons '00' ici. Cette valeur '00' signifie que cet identifiant entier est le NET
de l'appareil.
Un exemple rapideÿ: pour un routeur avec une adresse de bouclage de 192.168.0.1 et la zone
de 1, le NET peut être écrit comme 49.0001.1921.6800.0001.00
3. Activez le processus de routage IS–IS sur le routeur :
Router(config)#router isis 4. Configurez le NET que vous
avez noté précédemment : Router(config-router)#net
AA.BBBB.CCCC.DDDD.EEEE. FF où AA.BBBB.CCCC.DDDD.EEEE.FF est le NET
que vous avez attribué au
routeur.
5. Configurez le récapitulatif de route uniquement sur les routeurs connectés à d'autres zonesÿ:
Routeur(config-router)#summary-address summary-address subnetmask
où
summary-address est l'adresse récapitulant tous les réseaux de la zone. subnetmask est
le masque de sous-réseau utilisé pour la synthèse.
6. Activez IS–IS pour IP sur les interfaces série qui seront impliquées dans le routage
traiter:
Routeur(config-if)#ip router isis
7. Répétez cette configuration sur tous les routeurs que vous souhaitez impliquer dans le
processus de routage IS–IS. N'oubliez pas que chaque routeur doit avoir sa propre adresse
NET et un maximum de trois routeurs dans chaque zone.
Ce que nous avons présenté ici est une introduction très simplifiée à la configuration d'IS–IS.
Il existe de nombreux autres scénarios de configuration qui doivent être abordés afin d'utiliser
IS–IS dans un grand réseau, comme configurer IS–IS pour les réseaux NBMA ou configurer
différents niveaux IS–IS.
Pour le dépannage, vous pouvez utiliser les commandes suivantes :
Router#show clns neighbor Router#show clns interface Router#show
isis database Router#show isis database detail
4.3 Comment configurer l'équilibrage de charge sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous utilisez un protocole de routage dynamique et que
vous avez plusieurs chemins vers les réseaux de destination.

Le premier fait à définir est que toutes les plates-formes de routeur prennent en charge
l'équilibrage de charge. En bref, l'équilibrage de charge est l'opération dans laquelle le routeur transmet
www.hellodigi.ir
paquets dans différentes routes vers la même destination. Cela se produit lorsque plusieurs chemins
sont disponibles pour le même réseau de destination.
Il existe deux types d'équilibrage de chargeÿ:
1. Plusieurs entrées vers la même destination avec des métriques égales.

Dans cette situation, des protocoles tels que RIP, RIPv2, IGRP, EIGRP et OSPF effectuent
automatiquement l'opération et aucune configuration n'est nécessaire.
2. Plusieurs entrées vers la même destination avec des métriques différentes.
Avec une méthode de calcul de métrique complexe, comme celles utilisées dans IGRP et EIGRP, il
est rare d'obtenir des métriques égales pour différents chemins vers la même destination.
Dans ce cas, une configuration est nécessaire.
Vous pouvez configurer quelque chose appelé variance. La valeur de variance détermine le
pourcentage que vous êtes prêt à tolérer en choisissant un chemin secondaire. Si la valeur de la
variance est choisie égale à 1, cela signifie que seuls les chemins avec la meilleure métrique égale
seront utilisés. Et une valeur de 1,2, par exemple, signifie que le meilleur chemin ainsi que les
chemins avec une métrique jusqu'à 1,2 fois la métrique du meilleur chemin peuvent être utilisés.
Voici un exemple numériqueÿ: pour une variance de 1,3, si la métrique du meilleur chemin est de
1ÿ000, les chemins de métrique compris entre 1ÿ000 et 1ÿ300 seront également utilisés. Gardez à
l'esprit que nous parlons de plusieurs chemins vers la même destination.
Une note plus importante est que nous parlons de chemins dérivés du même protocole de routage,
c'est-à-dire de chemins ayant la même distance administrative.
La configuration de l'équilibrage de charge de chemin inégal pour IGRP et EIGRP se fait avec une
seule commande : Router(config-router)#variance X où X représente la valeur de la variance que
vous souhaitez utiliser.
4.4 Équilibrage de charge par paquet et par destination
Il existe deux types d'équilibrage de chargeÿ: par paquet et par destination. Dans l'équilibrage de charge
par paquet, les paquets allant vers la même destination sont envoyés sur des chemins différents. De
cette façon, vous garantirez que tous les chemins vers le réseau de destination sont utilisés. Mais
l'utilisation de cette méthode entraîne une charge accrue sur les ressources des routeurs et les routeurs
bas de gamme peuvent tomber en panne. En outre, les paquets peuvent arriver dans le désordre en
raison de différentes latences du réseau dans différents chemins.
En utilisant l'équilibrage de charge par destination, les paquets allant vers une destination passent
par un chemin. De cette façon, vous réduirez la charge sur le routeur. Mais les différentes voies ne
seront pas utilisées au mieux.
Pour activer l'équilibrage de charge par destination, exécutez la commande suivante sur l'interface
sur laquelle vous souhaitez utiliser cette méthode d'équilibrage de charge,
Routeur(config-if)#ip route-cache
Et pour activer l'équilibrage de charge par paquet,
www.hellodigi.ir
4.4 Équilibrage de charge par paquet et par destination 91
Router(config-if)#no ip route-cache Les nouveaux schémas

de commutation tels que Cisco Express Forwarding (CEF) vous permettent d'effectuer plus
rapidement l'équilibrage de charge par paquet et par destination. Cependant, cette méthode nécessite
des ressources supplémentaires pour gérer les entrées et les contiguïtés CEF.
4.5 Comment configurer BGP sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous avez besoin d'échanger des mises à jour de routage entre
différents systèmes autonomes.

BGP est classé comme un protocole de passerelle extérieure (EGP) qui aide à
l'échange d'informations de routage entre différents systèmes autonomes.
1. Activez le processus BGP pour un numéro de système autonome spécifiqueÿ:

Router1(config)#router bgp numéro-de-système-autonome1 où numéro-de-système-
autonome1 est le numéro du système autonome du premier routeur à inclure dans le processus
BGP.
2. Identifiez les réseaux que vous souhaitez considérer comme locaux dans le système autonome
identifié à l'étape 1.
Router1(config-router)#network subnetmask ID-réseau masque
où network-id est l'adresse réseau du réseau local et subnetmask est son masque de sous-réseau.
La partie masque de sous-réseau est facultative.
Répétez cette étape pour tous les réseaux que vous souhaitez considérer comme locaux dans le
numéro de système autonome donné1.
3. Identifiez les voisins. Un voisin est un routeur qui exécute une opération BGP sur
un autre système autonome.
Router1(config-router)#neighbor ip-address2 remote-as neighbor-autonomous-system-number2 où
neighbor-ip-address2 est l'adresse IP du deuxième (ou voisin) routeur. autonome-system-number2
est le numéro de système autonome du deuxième routeur.
4. Sur le routeur 2, nous configurons le numéro de système autonomeÿ:

Router2(config)#router bgp numéro-système-autonome2 où numéro-système-autonome2 est
le numéro du système autonome du deuxième routeur à inclure dans le processus BGP.
Routeur2(config-router)#network ID-réseau masque
oùnetwork-id est l'adresse réseau du réseau local et subnetmask est son masque de sous-réseau.
La partie masque de sous-réseau est facultative.
www.hellodigi.ir
numéro de système autonome donné2.
6. Identifiez les voisins.
Router2(config-router)#neighbor ip-address1 remote-as neighbor-autonomous-system-number1 où
neighbor-ip-address1 est l'adresse IP du premier (ou voisin) routeur. numéro-de-système-autonome1
est le numéro de système autonome du premier
routeur.
7. Le dépannage peut être effectué à l'aide des commandes suivantes :
Router#show ip bgp Router#show ip bgp neighbors Router#show ip bgp
neighbors neighbor-ip-address
4.5.1 À propos de la synchronisation BGP et IGP
Par défaut, BGP se synchronise avec les IGP. L'idée derrière la synchronisation est que BGP ne
transmet pas d'abord les mises à jour qui ne sont pas transmises par l'IGP. Dans certains scénarios,
cela peut être utile. Par exemple, si votre processus BGP transmet des mises à jour entre deux
systèmes autonomes différents autres que votre système autonome, la synchronisation est nécessaire
pour éviter toute désinformation de routage.
Cependant, si le système autonome de votre routeur n'est pas utilisé comme chemin pour
transmettre les informations de routage entre deux autres systèmes autonomes, vous pouvez désactiver
la synchronisation à l'aide de la commande suivanteÿ:
Router(config-router)#no synchronize Le but de la désactivation de la
synchronisation est de réduire la charge de traitement sur le routeur.
4.6 Comment configurer BGP pour IPv6 sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous avez besoin d'échanger des mises à jour de routage entre
différents systèmes autonomes avec IPv6.

BGP est classé comme un protocole de passerelle extérieure (EGP) qui aide à
l'échange d'informations de routage entre différents systèmes autonomes.
1. Activez le processus BGP pour un numéro de système autonome spécifiqueÿ:

Router1(config)#router bgp autonome-system-number1 où autonome-system-number1 est le
numéro du système autonome sur le routeur 1 à inclure dans le processus BGP.
www.hellodigi.ir
4.6 Comment configurer BGP pour IPv6 sur un routeur Cisco 93
Router1(config-router)#network ipv6-network-id/prefix length où ipv6-network-id est l'adresse
réseau du réseau local et la longueur du préfixe est la longueur du préfixe de l'adresse IPv6.
numéro de système autonome donné.
3. Identifiez l'ID du routeur pour le processus BGPÿ:
Router1(config-router)#router-id router-id où router-id est l'ID de routeur à
utiliser dans le processus BGP. Malgré le fait que nous configurons IPv6 BGP, l'ID du routeur est
au format d'adresse IPv4.
4. Nous identifions les voisins. Un voisin est un routeur qui exécute une opération BGP sur un autre
système autonome.
Router1(config-router)#neighbor ipv6-address2 remote-as autonome-system-number2 où ipv6-
address2 est l'adresse IPv6 du deuxième routeur. nombre-de-système-autonome-voisin est le
numéro de système autonome du routeur voisin.
5. Activez le processus BGP pour un numéro de système autonome spécifique sur le routeur 2 :
Router2(config)#router bgp autonome-system-number2 où autonome-system-number2 est le
numéro du système autonome sur le routeur 2 à inclure dans le processus BGP .
Router2(config-router)#network ipv6-network-id/prefix length où ipv6-network-id est l'adresse
réseau du réseau local et la longueur du préfixe est la longueur du préfixe de l'adresse IPv6.
numéro de système autonome donné.
7. Identifiez l'ID de routeur pour le processus BGP sur le routeur 2ÿ:
Router2(config-router)#router-id router-id où router-id est l'ID de routeur à
utiliser dans le processus BGP. Malgré le fait que nous configurons IPv6 BGP, l'ID du routeur est
au format d'adresse IPv4.
8. Nous identifions les voisins. Un voisin est un routeur qui exécute une opération BGP sur un autre
système autonome.
Router2(config-router)#neighbor ipv6-address1 remote-as autonome-system-number1 où ipv6-
address1 est l'adresse IPv6 du premier routeur. numéro de système autonome voisin est le numéro
de système autonome du premier routeur.
www.hellodigi.ir
9. Le dépannage peut être effectué à l'aide des commandes

suivantes : Router#show ip bgp Router#show ip bgp neighbors
Router#show ip bgp neighbors neighbor-ip-address
4.7 Comment configurer MPLS sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous avez un grand réseau et que vous devez maintenir des
performances élevées. MPLS fournit également une prise en charge très évolutive des VPN.

La configuration MPLS peut venir dans différentes topologies, et cela devrait être fait
différemment selon le travail du routeur dans ce réseau particulier.
4.7.1 Configuration du routeur pour la commutation MPLS
Pour activer la commutation MPLS sur un routeur Cisco, vous devez activer Cisco Express
Forwarding.
Routeur(config)#ip cef distribué
4.7.2 Configuration du routeur pour le transfert MPLS
1. Activez le transfert MPLS au niveau de l'interface :

Router(config-if)#mpls ip Cela activera le transfert
MPLS pour les paquets IPv4.
2. Configurez les liaisons d'étiquettes de préfixe
statique MPLSÿ: Router(config)#mpls label range min-label max-label [static min-
static-label max-static-label]
Router(config)#mpls static binding ipv4 network mask sta tic-label
où
min-label est le début de la plage d'étiquettes.
max-label est la fin de la plage d'étiquettes.
min-static-label est le début de la plage d'étiquettes
statiques. max-static-label est la fin de la plage d'étiquettes
statiques. network et mask sont le préfixe du réseau que vous souhaitez lier et son
masque de sous-réseau.
www.hellodigi.ir
4.7 Comment configurer MPLS sur un routeur Cisco 95
static-label est l'étiquette statique spécifique (dans la plage min-static-label à max static-
label) qui sera liée au réseau spécifié.
3. Vérifiez votre configuration à l'aide des commandes suivantesÿ:
Routeur # show mpls liaison statique ipv4
Routeur # show mpls forwarding-table
Routeur # afficher la plage d'étiquettes MPLS
Scénario 4.1
172.17.0.0/24 172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1
172.16.0.0/24
FE0/1 FE0/0 FE0/0
Routeur 5 Routeur 1 Routeur 2
172.17.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.17.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur E Ordinateur D
Ordinateur C
Zone 1 Zone 0
Connectez le réseau dans le schéma ci-dessus et configurez les paramètres suivantsÿ:
1. Configuration de base pour les routeursÿ:
(a continué)
www.hellodigi.ir
(a continué)
www.hellodigi.ir
2. Paramètres des ordinateursÿ:
Serveur DNS 1 172.16.1.1
Ordinateur E Adresse IP 172.17.3.10
3. Paramètres OSPFÿ:
Routeur Réseau Zone
1 172.16.0.0 0
172.17.0.0 1
2 172.16.0.0 0
172.16.1.0 0
3 172.16.0.0 0
172.16.2.0 0
4 172.16.0.0 0
172.16.3.0 0
5 172.17.0.0 1
172.17.1.0 1
172.17.2.0 1
(a continué)
www.hellodigi.ir
(a continué)
6 172.17.1.0 1
172.17.4.0 1
sept 172.17.2.0 1
172.17.3.0 1
4. Pour les tests internes, PING de l'ordinateur A vers B et C, et de l'ordinateur D

à l'ordinateur E.
5. Pour la configuration OSPF interzone, demandez au routeur 1 d'annoncer une somme
adresse postale pour chaque zone.
Zone 0ÿ: 172.16.0.0/16
Zone 1ÿ: 172.17.0.0/16
6. Après la convergence, essayez PING de l'ordinateur A à l'ordinateur E.
Scénario 4.2
172.17.0.0/24 172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1

172.16.0.0/24
FE0/1 FE0/0
FE0/0
172.18.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.18.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur C
Zone 2 Zone 1 Zone 0
(a continué)
www.hellodigi.ir
(a continué)
www.hellodigi.ir
1 172.16.0.0 0
172.17.0.0 1
2 172.16.0.0 0
172.16.1.0 0
3 172.16.0.0 0
172.16.2.0 0
4 172.16.0.0 0
172.16.3.0 0
5 172.17.0.0 1
172.17.1.0 1
172.18.2.0 2
(a continué)
www.hellodigi.ir
(a continué)

6 172.17.1.0 1
172.17.4.0 1
sept 172.18.2.0 2
172.18.3.0 2

à l'ordinateur E.
11. Pour la configuration OSPF inter-zone, demandez aux routeurs d'annoncer un summa
adresse spécifique pour chaque zone.
Zone 0ÿ: 172.16.0.0/16
Zone 1ÿ: 172.17.0.0/16
Zone 2ÿ: 172.18.0.0/16
12. Comme les zones 2 et 0 ne sont pas directement connectées, établissez un lien virtuel entre
leur.
Scénario 4.3
FE0/2
S0/0 S0/0 FE0/0
FE0/1
Routeur 2 Routeur 1 FE0/1

FE0/0
FE0/3
Ordinateur D
FE0/2
Ordinateur A
Ordinateur C
Ordinateur B
www.hellodigi.ir
Connectez le réseau dans la figure ci-dessus et configurez les paramètres suivantsÿ:
Serveur DNS 1 192.19.0.254
Serveur DNS 2 192.19.0.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
Serveur DNS 1 192.16.2.254
Serveur DNS 2 192.16.2.254
(a continué)
www.hellodigi.ir
(a continué)


Serveur DNS 1 192.16.3.254
Serveur DNS 2 192.16.3.254
4. Créez une interface de bouclage sur le routeur 2 et donnez-lui l'adresse IP

192.16.16.1/24.
5. Créez une interface de bouclage sur le routeur 1 et donnez-lui l'adresse IP

192.19.17.1/24.
6. À l'aide des adresses de bouclage configurées dans les étapes précédentes, configurez IS–IS
dans les deux routeurs en utilisant les règles de création NET indiquées dans la Sect. 4.2.
7. L'adresse récapitulative pour le routeur 1 doit être 192.19.0.0/16 et pour le routeur 2,
192.16.0.0/16.
les deux routeurs.
Scénario 4.4
FE0/0 S0/0 S0/0 FE0/0
S0/1 S0/1
FE0/3 S0/0 FE0/2 FE0/3
S0/1
FE0/2
Routeur 3
réglages:
www.hellodigi.ir
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
(a continué)
www.hellodigi.ir
(a continué)


Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254


Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254


Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
192.0.0.0, 192.16.0.0 et 192.1.0.0 dans le système autonome numéro 10.
192.0.0.0, 192.2.0.0 et 192.16.1.0 dans le système autonome numéro 10.
192.1.0.0 et 192.1.0.0
les deux routeurs.
9. Configurez l'équilibrage de charge sur les routeurs 1 et 2 et essayez différentes variantes.

10. Essayez de modifier la valeur 'bandwidth' sur les différentes interfaces série du
trois routeurs et voyez comment cela affecte l'équilibrage de charge.
Scénario 4.5
172.17.0.0/24
172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1
172.16.0.0/24
FE0/1 FE0/0 FE0/0
172.17.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.17.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur C
COMME 200 COMME 100
www.hellodigi.ir
(a continué)
www.hellodigi.ir
(a continué)
www.hellodigi.ir
3. Paramètres EIGRPÿ:
Routeur Réseau Système autonome

1 172.16.0.0 100
172.17.0.0 100
2 172.16.0.0 100
172.16.1.0 100
3 172.16.0.0 100
172.16.2.0 100
4 172.16.0.0 100
172.16.3.0 100
5 172.17.0.0 200
172.17.1.0 200
172.17.2.0 200
6 172.17.1.0 200
172.17.4.0 200
sept 172.17.2.0 200
172.17.3.0 200

à l'ordinateur E.
5. Configurez les protocoles BGP sur les routeurs 1 et 5 de sorte qu'il y ait une redistribution de
route entre AS100 et AS200.
Scénario 4.6
172.17.0.0/24 172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1
172.16.0.0/24
FE0/1 FE0/0 FE0/0
172.17.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.17.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur C
Zone 1 Zone 0
www.hellodigi.ir
(a continué)
www.hellodigi.ir
(a continué)
Ordinateur A Adresse IP 2002 :: 10
Ordinateur B Adresse IP 2003 :: 10
Ordinateur C Adresse IP 2004 :: 10
Ordinateur D Adresse IP 3004 :: 10
Ordinateur E Adresse IP 3005 :: 10
www.hellodigi.ir

1 2001 :: 0
3001 :: 1
2 2001 :: 0
2002 :: 0
3 2001 :: 0
2003 :: 0
4 2001 :: 0
2004 :: 0
5 3001 :: 1
3002 :: 1
3003 :: 1
6 3002 :: 1
3004 :: 1
sept 3003 :: 1
3005 :: 1

à l'ordinateur E.
5. Pour la configuration OSPF interzone, demandez au routeur 1 d'annoncer une somme
adresse postale pour chaque zone.
Zone 0ÿ: 2000 ::/12
Zone 1ÿ: 3000 ::/12
www.hellodigi.ir
Chapitre 5
Technologies WAN
Mots-clés Cisco Routeur ADSL Frame-relay ATM PPP CHAP PAP

HDLC RNIS BRI PRI
5.1 Comment configurer l'ADSL sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous devez configurer votre routeur pour qu'il fonctionne
sur une ligne ADSL fournie par un FAI.
Exigences particulièresÿ: interface WAN ADSL sur le routeur.

Avant de commencer, faites une liste des informations dont vous aurez besoin auprès de votre
fournisseur de services. Cette liste comprend les éléments suivantsÿ: le nom d'utilisateur et le mot
de passe de votre compte, la taille MTU (généralement 1ÿ492) et la valeur PVC (généralement
0/35 ou 8/35). Vous devrez également savoir si l'adresse IP qui vous est attribuée par le FAI est
une adresse IP publique statique ou si votre adresse va être attribuée dynamiquement.
La configuration décrite ici déplace l'opération PPPoE vers le routeur lui-même, vous
n'aurez donc pas à configurer PPPoE sur le PC pour établir la connexion Internet. Le
routeur le fera pour vous.
Passons maintenant à la configurationÿ:
1. Activez l'opération PPPoE dans la configuration globale comme suit :

Routeur(config)#vpdn enable
Router(config)#no vpdn-logging
Router(config)#vpdn-group pppoe Router(config-
vpdn)#request dialin Router(config-vpdn-req-
in)#protocol pppoe 2. Définir l'interface FastEthernet qui sera
connectée au réseau local, ou
tout autre type d'interface que vous souhaitez avoirÿ:
Routeur(config)#int fa numéro-interface
Routeur(config-if)#ip address local-ip-address subnetmask
Routeur(config-if)#ip tcp adjust-mss 1452 où

MM Alani, Guide de configuration des routeurs Cisco,
DOI 10.1007/978-3-319-54630-8_5
www.hellodigi.ir
114 5 technologies WAN
interface-number est le numéro de votre interface fast-ethernet.

local-ip-address est l'adresse IP locale de votre interface fast-ethernet.
subnetmask est le masque de sous-réseau de l'interface locale.
Si 'ip tcp adjust-mss' ne fonctionne pas, essayez plutôt 'ip adjust-mss'.
Si les deux ne fonctionnent pas, vous devrez mettre à niveau l'IOS du routeur.
3. Configurez l'interface ADSL physiqueÿ:
Router(config)#int atm 0 Router(config-
if)#no ip address Router(config-if)#pvc pvc-
number Router(config-if-atm-vc)#pppoe -client
dial-pool-numéro 1
Router(config-if-atm-vc)#no close où pvc-number

correspond aux valeurs de PVC que vous avez
prises auprès du FAI. (Généralement 0/35 ou 8/35).
4. Configurez l'interface de
numérotation : Router(config)#int dialer
1 Si l'adresse IP que le FAI vous donne est une adresse IP publique statique, utilisez
cette commande :
Routeur(config-if)#ip masque adresse adresse-donnée-fai
de sous-réseau
où
isp-given-address et subnetmask sont l'adresse IP publique statique et le masque de sous-
réseau qui vous sont fournis par le FAI.
Si l'adresse IP est attribuée dynamiquement par le FAI, utilisez cette commande à la
placeÿ:
Routeur(config-if)#adresse IP négociée Après avoir défini
l'adresse IP, continuez le reste de la configuration du numéroteur :
Routeur(config-if)#mtu mtu-size Routeur(config-if)#no ip -if)#encapsulation
ppp Router(config-if)#dialer pool 1 Router(config-if)#ppp authentication chap
pap callin Router(config-if)#ppp chap hostname username Router(config-
if)#ppp chap password password Router(config-if)#ppp pap sent-username
username password password où mtu-size est la taille de la MTU qui vous est
donnée par le FAI (généralement 1492). nom d'utilisateur est le nom
d'utilisateur de votre compte donné par le FAI. password est le mot de passe
de votre compte donné par le FAI.
5. La dernière étape consiste à configurer une route par défaut pour transférer le trafic vers Internet
via l'interface de numérotation :
Router(config)#ip classless
Router(config)#ip route 0.0.0.0 0.0.0.0 interface dialer 1
www.hellodigi.ir
5.1 Comment configurer l'ADSL sur un routeur Cisco 115
C'est une pratique courante d'utiliser NAT avec la connexion ADSL pour faciliter l'utilisation
de la connexion ADSL par plus d'un hôte. Utilisez la procédure décrite dans la Sect. 3.3 pour
configurer NAT. Dans la procédure susmentionnée, utilisez l'interface du numéroteur 1 au
lieu de l'interface extérieure. Par exemple, la commande ip nat outside doit être donnée dans
l'interface dialer 1 avec le groupe de commandes affiché ici à l'étape 4. Un autre exemple
est dans le cas de l'utilisation d'une seule adresse IP publique, la commande NAT doit
devenir ip nat à l'intérieur de la liste des sources Access-list-number interface dialer 1
surcharge
5.2 Comment configurer PPP sur un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous créez une liaison WAN. Cette procédure peut
également être nécessaire lorsque l'autre extrémité d'une liaison WAN n'est pas un routeur Cisco.
Le protocole point à point peut être utilisé dans les liaisons synchrones, asynchrones, HSSI et
RNIS.
1. Accédez au mode de configuration d'interface de l'interface série du routeur et émettez la

commande suivante, Router(config-if)#encapsulation ppp 2. Si vous souhaitez configurer
l'authentification (ce qui est presque toujours le cas), allez
à travers les étapes suivantes :
un. Choisissez le type d'authentification : Password Authentication Protocol (PAP) ou

Challenge Handshake Authentication Protocol (CHAP)
Router(config-if)#ppp authentication authentication type où authentication type est le
type d'authentification qui peut être : PAP, CHAP, PAP CHAP ou CHAP PAP. Les
deux derniers choix consistent à utiliser le deuxième type d'authentification lorsque le
premier échoue.
CHAP est fortement recommandé par rapport à PAP pour deux raisons. Tout d'abord,
PAP envoie le nom d'utilisateur et le mot de passe en clair, tandis que CHAP n'envoie
que des défis hachés. Deuxièmement, CHAP effectue une opération similaire à une
réauthentification périodique au milieu de la session de communication, de sorte qu'il
offre plus de sécurité que PAP. b. Définissez un nom d'utilisateur et un mot de passe
que le routeur distant utiliserait pour se connecter à votre routeur local. Vous pouvez définir
plusieurs paires nom d'utilisateur/mot de passe pour plusieurs connexions PPP au même
routeur.
Router(config)#username remote-username password remote-password où remote-
username est le nom d'utilisateur envoyé par le routeur distant, et remote-password est
son mot de passe. Si le routeur distant n'a pas été configuré avec un nom d'utilisateur
à envoyer, il enverra son nom d'hôte à la place.
www.hellodigi.ir
Exécutez cette commande une fois pour chaque connexion PPP. Par exemple, si vous
connectez RouterA à RouterB et RouterC, sur RouterA, émettez cette commande une fois
pour chaque routeur distant.
c. Maintenant, vous pouvez définir le nom d'utilisateur et le mot de passe que votre routeur
local enverra pour accéder au routeur distant. Pour l'authentification PAP, vous pouvez
spécifier le nom d'utilisateur et le mot de passe que le routeur local enverra au routeur
distant pour l'authentification à l'aide de la commande suivante, Router(config-if)#ppp pap
sent-username sent-username password sent-password Pour CHAP, deux commandes
sont utilisées, Router(config-if)#ppp chap hostname sent-username Router(config-if)#ppp
chap password sent-password Les noms d'utilisateur et les mots de passe sont sensibles à
la casse, soyez donc prudent lorsque vous les écrivez. De cette façon, vous devrez écrire
le nom d'utilisateur et le mot de passe du routeur distant dans votre routeur local et écrire
le nom d'utilisateur et le mot de passe de votre routeur local dans votre télécommande à
l'aide de la commande 'username'.
Si vous ne définissez pas le nom d'utilisateur et le mot de passe qui seront envoyés du
routeur local au routeur distant pour l'authentification, le routeur utilisera son nom d'hôte et
son mot de passe secret à la place.
3. Vous pouvez surveiller la qualité de la liaison série qui utilise PPP avec la commande suivante,
Router(config-if)#ppp quality percent où pourcentage est la qualité de liaison minimale
acceptée. Si la qualité du lien tombe en dessous du pourcentage, le lien sera coupé et
considéré comme mauvais.
4. Si la bande passante disponible est faible, vous pouvez envisager de compresser les données
transmises à l'aide de la commande suivante, Router(config-if)#ppp compress compression-
type où type de compression est le type de compression qui peut être un prédicteur ou un
empileur.
5. Pour dépanner PPP, vous pouvez utiliser les commandes suivantes,

Router#debug négociations ppp
Routeur#debug ppp packets
Router#debug ppp erreurs
Routeur#debug authentification ppp
5.3 Comment configurer HDLC sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous connectez deux routeurs Cisco via une connexion
WAN ou dans une configuration de routeur dos à dos.
Exigences particulièresÿ: les deux routeurs doivent être des routeurs Cisco.
Cisco HDLC n'est pas compatible avec le HDLC d'autres fournisseurs, vous devez donc vous
assurer que les routeurs aux deux extrémités de la communication sont des routeurs Cisco.
www.hellodigi.ir
5.3 Comment configurer HDLC sur un routeur Cisco 117
Il n'y a pas de longue procédure pour le faire. La configuration est en fait une seule commande : Router(config-
if)#encapsulation hdlc Habituellement, l'encapsulation par défaut sur les routeurs Cisco prêts à l'emploi est
HDLC.
Pour le dépannage, vous pouvez utiliser les commandes suivantes pour vérifier qu'il a été configuré
correctement : Router#show interface serial interface-number où interface number est le numéro de
l'interface à vérifier.
Vous pouvez également vérifier l'état et l'adresse IP des interfaces à l'aide de la commande suivante :
Router#show ip interface brief
5.4 Comment configurer BRI ISDN dans un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous disposez d'une liaison WAN RNIS et que vous souhaitez que
le routeur l'utilise.
Exigences spéciales : Le routeur doit avoir une ou des interfaces BRI.

Il existe deux manières de configurer le RNIS dans un routeur Cisco. La première consiste à configurer
la connexion RNIS pour qu'elle soit toujours active. Cette méthode sera coûteuse car la plupart des
fournisseurs de services RNIS facturent non seulement par abonnement mensuel, mais également par la
quantité de données que vous transférez. Avoir la connexion toujours active entraînera des dépenses
supplémentaires, car toutes sortes de trafic passeront par la liaison RNIS.
La deuxième méthode est le routage à la demande (DDR). Le DDR utilise un mécanisme qui filtre le
trafic en intéressant (qui vaut la peine d'être connecté) et non intéressant (qui n'en vaut pas la peine). En
utilisant le DDR, le scénario d'appel sera que le routeur n'établit pas la connexion tant que le trafic intéressant
n'a pas besoin d'être acheminé vers l'autre côté. Une fois la connexion établie, tous les types de trafic
(intéressants et non intéressants) passeront, sauf si vous filtrez le trafic passant avec une liste d'accès.
Ensuite, le routeur définit un compteur à rebours (minuterie d'inactivité), et si aucun trafic intéressant n'arrive
et que la minuterie passe à zéro, la connexion est interrompue. Si le trafic intéressant arrive avant la fin du
temporisateur d'inactivité, le trafic est transmis et le temporisateur d'inactivité est réinitialisé. Ce qui a rendu
cette fonction possible est le très petit temps d'établissement d'appel dans le RNIS.
Si vous connectez deux nœuds à l'aide du RNIS, continuez à lire. Cependant, si vous connectez plus de
deux nœuds, vous devrez vous rendre à Sect. 5.5 sur la configuration des profils de numérotation DDR.
Pour configurer DDR sur l'interface BRI du routeur, procédez comme suitÿ:
1. La première chose à faire est de configurer le routage. Le routage statique est généralement préféré avec
DDR. La configuration du protocole de routage dynamique entraînera l'activation de la liaison tout le
temps (ou la plupart du temps). Ainsi, le routage statique est une meilleure solution. Vous pouvez
configurer un routage dynamique et l'ajuster un peu pour le DDR. Ce réglage peut inclure la modification
des minuteurs des mises à jour de routage.
www.hellodigi.ir
Voici un exemple de routage statiqueÿ; Router(config)#ip

route 192.168.1.0 255.255.255.0 192.168.2.1 Router(config)#ip route 192.168.2.1 255.255.255.255
bri0 Ou, une route par défaut, Router(config)#ip route 0.0.0.0 0.0.0.0 bri0 N'oubliez pas que vous
devrez configurer le routage aux deux extrémités de la liaison WAN.
2. Spécifiez le type de commutateur RNIS. Cette information doit vous être fournie par le fournisseur
de services RNIS. Vous pouvez émettre cette commande, Router(config)#isdn switch-type switch-
type où switch-type est le type de commutateur RNIS.
L'émission de cette commande en mode de configuration globale entraînera la configuration de

toutes les interfaces RNIS du routeur pour utiliser ce type de commutateur. Vous pouvez définir
différents types de commutateurs pour différentes interfaces si vous émettez la même commande
en mode de configuration d'interface, comme dans l'exemple suivant : Router(config)#int bri0
Router(config-if)#isdn switch-type switch1-type Router(config -if)#int bri1 Router(config-if)#isdn
switch-type switch2-type Après avoir défini le type de commutateur, identifiez les SPID dans le
mode de configuration de l'interface BRI, Router(config-if)#isdn spid1 first-spid ldn1 Router(config-
if)#isdn spid2 second-spid ldn2 Les numéros SPID et LDN utilisés ici doivent vous être fournis par
le fournisseur de services RNIS.
La plupart des fournisseurs en Europe n'utilisent pas de SPID dans leurs réseaux RNIS. Ainsi, à
moins que le fournisseur ne vous fournisse des numéros SPID, négligez simplement toutes les
commandes de définition des SPID dans cette procédure.
3. Spécifiez ensuite le trafic intéressant vers le routeur. Ce trafic est défini comme le trafic autorisé par
une commande nommée 'dialer-list' qui est similaire à 'Access-list'.
Ceci peut être fait de deux façons; la première consiste à utiliser la commande suivante,
Router(config)#dialer-list list-number protocol protocol-type permit où list-number est le numéro
de la liste de numérotation et protocol-type est le protocole que vous souhaitez autoriser.
De plus, vous pouvez utiliser 'deny' au lieu de 'permit' pour empêcher qu'un certain protocole ne
soit classé comme intéressant. Cependant, ce n'est pas un moyen très puissant de définir le trafic
intéressant.
La deuxième façon est plus recommandée. La deuxième méthode consiste à créer une liste
d'accès complète autorisant le trafic que vous souhaitez que le routeur considère comme
intéressant, puis à l'attacher à une liste de numérotation.
Créez la liste d'accès exactement de la même manière que vous créez n'importe quelle autre liste d'accès,
mais ne l'appliquez pas à une interface. Au lieu de cela, associez-le à une liste de numérotation. Tous les
www.hellodigi.ir
5.4 Comment configurer BRI ISDN dans un routeur Cisco 119
le trafic autorisé par cette liste d'accès sera considéré comme intéressant. Un exemple est le
suivant : Router(config)#Access-list 110 deny tcp any any telnet Router(config)#Access-list
110 deny icmp any any Router(config)#Access-list 110 permit ip any any Et l'étape qui
associera la liste d'accès à la liste de numérotation estÿ: Router(config)#dialer-list 5 protocol
ip list 110 où 5 est le numéro de la liste de numérotation et 110 est le numéro de la liste
d'accès. Ces deux nombres n'ont pas besoin d'être identiques.
Gardez à l'esprit que ces listes de numérotation et ces listes d'accès ne filtrent pas le trafic
passant par l'interface RNIS, elles choisissent simplement le trafic autorisé à lancer un appel.
Une fois l'appel établi, tout le trafic souhaitant passer par la liaison RNIS passera. Si vous
voulez filtrer le trafic qui passe par l'interface RNIS, créez une autre liste d'accès pour cela
avec les filtres que vous trouvez appropriés et appliquez-la à l'interface BRI comme vous le
faites à tout autre type d'interface.
4. Configurez le protocole d'encapsulation, PPP. L'utilisation de l'authentification PAP ne fournit

pas beaucoup de sécurité, il est donc suggéré d'utiliser CHAP pour l'authentification.
La première chose à faire pour configurer PPP pour utiliser CHAP est de définir un nom d'utilisateur et un
mot de passe.
Router(config)#username username password password où username est le nom
d'utilisateur et password est le mot de passe. Le nom d'utilisateur doit être le nom d'hôte de
l'autre extrémité et le mot de passe est le mot de passe secret de l'autre extrémité. Si vous
souhaitez utiliser des noms d'utilisateur et des mots de passe différents, veuillez vous référer
à la procédure de configuration PPP dans la Sect. 5.2.
Ensuite, passez au mode de configuration d'interface de l'interface RNIS,
Router(config)#int bri interface-number Maintenant, définissez une adresse IP et un
masque de sous-réseau pour l'interface, Router(config-if)#ip address ip-address
subnetmask Définissez les types d'encapsulation et d'authentificationÿ; Routeur(config-
if)#encapsulation ppp Router(config-if)#ppp authentication chap
5. Appliquez la liste de numérotation à

l'interface, Router(config-if)#dialer-group dialer-list-number où le numéro de liste
de numérotation est la liste de numérotation qui a été configurée à l'étape 3.
6. Définissez le délai d'inactivité que vous jugez approprié pour chaque appel,
Router(config-if)#dialer idle-timeout call-duration où call-duration est la durée de
l'appel en secondes (la valeur par défaut est généralement de 120 s). Le délai d'inactivité est
la période de temps pendant laquelle l'appel restera actif en attendant un trafic plus
intéressant. Si un trafic plus intéressant arrive avant la fin de la minuterie, la minuterie sera
réinitialisée. Si aucun trafic intéressant n'arrive, l'appel sera terminé même s'il y avait du trafic
non intéressant en cours de transfert.
www.hellodigi.ir
7. Si vous utilisez ce lien entre deux points uniquement et que votre routeur n'appellera qu'une
seule destination à l'aide du réseau RNIS, utilisez la commande suivante pour définir la
chaîne de numérotation : Router(config-if)#dialer string dialer-string where chaîne de
numérotation est la chaîne de numérotation qui vous est fournie par le fournisseur de
services. Cette chaîne de numérotation est similaire au numéro de téléphone que vous
composez dans le PSTN normal. Ainsi, vous commandez au routeur de composer la chaîne
de l'autre côté.
Pour plus de sécurité, vous pouvez utiliser une commande différente qui associe la
numérotation à une adresse IP de destination avec un nom d'utilisateur et une chaîne de
numérotation, Router(config-if)#dialer map ip destination-address name username dialer
string où destination-address est le Adresse IP de l'autre extrémité de la liaison RNIS.
username est le même nom d'utilisateur que celui que vous avez configuré pour utiliser
avec PPP. dialer-string est la chaîne de numérotation de l'autre extrémité de la liaison RNIS.
8. Vous pouvez éventuellement utiliser la commande suivante pour définir un seuil de charge à
partir duquel le deuxième canal (dans une liaison BRI) devient actif.
Router(config-if)#dialer load-threshold threshold où le seuil est un nombre compris entre 1
et 255, 1 étant la charge minimale et 255 étant une charge de 100ÿ% sur le premier canal.
Cela signifie que cette commande indique au routeur d'activer le deuxième canal une fois
que le premier a atteint le seuil/255 chargé.
9. Vous pouvez vérifier le fonctionnement du RNIS à l'aide des commandes suivantesÿ;

Routeur#show isdn actif
Routeur # afficher l'état RNIS
Routeur#show dialer et
Routeur#debug RNIS q921

Routeur#debug RNIS q931
Routeur # numéroteur de débogage
5.5 Comment configurer les profils de numérotation RNIS dans un Cisco

Routeur
Quand en auriez-vous besoin : Lorsque vous utilisez des liaisons RNIS entre plus de deux
nœuds.
Exigences particulières : Le routeur doit disposer d'interface(s) RNIS.

Si vous implémentez le RNIS entre deux nœuds uniquement, vous pouvez vous référer à la
procédure de configuration RNIS BRI dans la Sect. 5.4.
Ce que font les profils de numérotation, c'est le mappage d'une chaîne de numérotation avec le nom
d'utilisateur vers une certaine destination. De cette façon, le routeur sait quel numéro composer pour
différentes destinations RNIS utilisant le même lien. Le principal problème auquel vous pourriez être confronté sans le
www.hellodigi.ir
5.5 Comment configurer les profils de numérotation RNIS dans un routeur Cisco 121
l'utilisation des profils de numérotation est que la configuration est appliquée directement à l'interface
physique. Ainsi, différents liens logiques devront utiliser la même adresse IP et d'autres paramètres de
configuration. Le profil de numérotation applique les paramètres à l'interface sur appel.
Plusieurs interfaces de numérotation peuvent être configurées sur un routeur. Chaque interface de
numérotation est la configuration complète pour une destination. La commande 'interface dialer' crée
une interface de numérotation et passe en mode de configuration d'interface.
Je suppose que vous avez déjà défini le type de commutateur et les SPID. Si vous n'avez pas
déjà fait, reportez-vous à la Sect. 5.4. Commençons la configuration comme suitÿ:
1. Créez une interface de numérotation qui contient la configuration de l'interface à

utilisé avec une certaine destination.
Router(config)#interface dialer interface-number où interface-number est le numéro
d'interface de numérotation que vous pouvez choisir.
2. Configurez l'interface de numérotation comme si vous configuriez le DDR régulier dans Sect. 5.4.
Cette configuration peut être une adresse IP, des types d'encapsulation et d'authentification, une
minuterie d'inactivité et un groupe de numérotation pour le trafic intéressant. Vous pouvez configurer
les types d'encapsulation et d'authentification sur l'interface physique ultérieurement, si toutes vos
connexions utilisent les mêmes types d'encapsulation et d'authentification.
3. Configurez une chaîne de numérotation sur cette interface, ainsi qu'un "nom distant du numéroteur"
Router(config-if)#dialer string dialer-string Router(config-if)#dialer remote-name

destination-name où dialer-string est la chaîne de numérotation pour la destination et destination-
name est le nom de la destination. Généralement, vous disposez de deux chaînes de numérotation
pour chaque extrémité RNIS. Répétez simplement la commande «ÿchaîne de numérotationÿ» une
fois pour chaque chaîne de numérotation.
4. Associez l'interface de numérotation à un pool de numérotation. Ce pool sera associé à une ou à un

groupe d'interfaces physiques de sorte que les interfaces physiques utilisent ces paramètres de
numérotation sur appel.
Routeur(config-if)#dialer pool pool-number où pool-number est le numéro
du pool de numérotation.
Maintenant, répétez les étapes 1 à 4 pour autant de destinations que vous avez qui peuvent être
contactées par ce routeur (en utilisant le réseau RNIS). Pour les destinations que vous souhaitez
utiliser la même interface physique, donnez le même numéro de pool de numérotation ; numéro de pool.
5. Une fois que vous avez fini de configurer les interfaces de numérotation, il reste une étapeÿ; associant
les interfaces physiques au pool de numérotation. Cela se fait à l'aide de la commande suivante :
Router(config-if)#dialer pool-member pool-number où pool-number est le numéro du pool de
numérotation auquel vous souhaitez associer cette interface physique.
Veuillez noter que cette commande doit être émise sur l'interface physique et non sur l'interface de
numérotation. Vous pouvez faire de la même interface physique un membre de plusieurs pools de
numérotation.
www.hellodigi.ir
En tant que paramètre facultatif, vous pouvez définir la priorité de l'interface physique dans le
pool de numérotation si le pool contient plusieurs membres physiques. Un exemple est le
suivant, Router(config-if)#dialer pool-member 1 priority 100 où 100 est la priorité que vous
avez choisie pour cette interface physique.
Si plusieurs appels doivent être passés et qu'une seule interface est disponible, le groupe de
numérotation avec la priorité la plus élevée est celui qui compose.
En général, le pool de numérotation peut être utilisé avec n'importe quelle combinaison
d'interfaces RNIS synchrones, asynchrones, BRI et PRI.
5.6 Comment configurer Frame-Relay dans un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous configurez une connexion WAN à relais de trames
louée auprès d'un fournisseur de services.

La configuration du relais de trame dépend principalement de la topologie que vous utilisez.
Le relais de trame peut être utilisé comme liaison point à point entre deux extrémités, point à
multipoint entre une station centrale et quelques stations terminales, plusieurs liaisons point à
point entre une station centrale et quelques stations terminales.
5.6.1 Connexion point à point de deux sites à l'aide d'interfaces

physiques
1. Sur l'interface série, changez le type d'encapsulation en Frame-relay :

Router(config)#interface serial interface-number Router(config-if)#encapsulation
Frame-relay où le numéro d'interface est le numéro de l'interface série connectée
au équipement de relais de trame.
2. Configurez le type LMI :

Router(config-if)#Frame-relay lmi-type lmi-type où lmi-type est le type de norme
LMI utilisée. Les types pris en charge sont Cisco, ansi et q933a. Ces informations doivent
vous être fournies par le fournisseur de services de relais de trame.
3. Attribuez une adresse IP à l'interface

Router(config-if)#ip address ip-address1 subnetmask1 où l'adresse IP1 et le masque
de sous-réseau1 correspondent à l'adresse IP et au masque de sous-réseau attribués à
l'interface Frame-relay du premier côté de la liaison.
4. Mappez le numéro DLCI de relais de trames à une adresse IP de destination :
www.hellodigi.ir
5.6 Comment configurer Frame-Relay dans un routeur Cisco 123
Router(config-if)#Frame-relay map ip-address2 dlci-number encapsulation-type où ip-

address2 est l'adresse IP de l'autre côté de la liaison. dlci-number est le numéro de circuit
virtuel qui vous est fourni par le fournisseur de service de relais de trame. encapsulation-
type est le type de norme d'encapsulation utilisé. La valeur est généralement Cisco ou
ietf. Ces informations doivent également vous être fournies par le fournisseur de services
de relais de trame.
5. À l'autre extrémité, le type d'encapsulation de l'interface série est remplacé par

Frame-relay :
Frame-relay où numéro d'interface est le numéro de l'interface série connectée
à l'équipement Frame-relay.

Router(config-if)#Frame-relay lmi-type lmi-type où lmi-type est le type de
norme LMI utilisée. Les types pris en charge sont Cisco, ansi et q933a. Ces informations
doivent vous être fournies par le fournisseur de services de relais de trame. Habituellement,
il s'agit du même type que celui utilisé à l'étape 2.
Router(config-if)#ip address ip-address2 subnetmask2 où l'adresse IP2 et le masque
de sous-réseau2 correspondent à l'adresse IP et au masque de sous-réseau attribués à
l'interface Frame-relay du second côté de la liaison.
8. Mappez le numéro DLCI Frame-relay à une adresse IP de destinationÿ:
Routeur(config-if)#Frame-relay map ip-address1 dlci-num ber encapsulation-type where
ip address1 est l'adresse IP du premier côté du lien. dlci-number

est le numéro de circuit virtuel qui vous est fourni par le fournisseur de service de relais de
trame. encapsulation-type est le type de norme d'encapsulation utilisé. La valeur est
généralement Cisco ou ietf. Ces informations doivent également vous être fournies par le
fournisseur de services de relais de trame.
9. Utilisez les commandes suivantes pour le dépannage :

Router#show Frame-relay lmi Router#show Frame-relay
pvc
5.6.2 Point à multipoint utilisant des interfaces physiques
Dans une connexion Frame Relay point à multipoint, un nœud central est connecté à un groupe
de nœuds à l'aide d'une seule ligne physique. Le réseau Frame Relay reconnaîtra les
différentes destinations grâce à l'utilisation de différents numéros DLCI sur la même liaison.
www.hellodigi.ir
La configuration est similaire à la sous-section précédente, sauf qu'au niveau du nœud

central, plusieurs mappages sont configurés sur l'interface Frame-relay tandis qu'un seul
mappage est configuré sur chaque interface de terminal.
1. Au nœud central, sur l'interface série, changez le type d'encapsulation en

Frame-relay :
Router(config)#interface serial interface-number Router(config-
if)#encapsulation Frame-relay où numéro d'interface est le numéro de
l'interface série connectée à l'équipement Frame-relay.

doivent vous être fournies par le fournisseur de services de relais de trame.

Router(config-if)#ip address subnetmask1
où l'adresse adresse-ip-centrale
IP centrale et le subnetmask1 sont l'adresse IP et
le masque de sous-réseau attribués à l'interface Frame-relay du côté central de la
liaison.
4. Mappez le numéro DLCI de relais de trames à une adresse IP de destination :
Routeur(config-if)#Frame-relay map ip-address2 dlci-num ber encapsulation-type
where
ip address2 est l'adresse IP de l'autre côté du lien. dlci-number

est le numéro de circuit virtuel qui vous est fourni par le fournisseur de service de
relais de trame. encapsulation-type est le type de norme d'encapsulation utilisé. La
valeur est généralement Cisco ou ietf. Ces informations doivent également vous être
fournies par le fournisseur de services de relais de trame.
Cette commande est répétée une fois pour chaque nœud terminal. Chaque nœud
terminal aurait un numéro DLCI différent.
5. Côté terminal, le type d'encapsulation de l'interface série est remplacé par
Frame-relay :

Habituellement, il s'agit du même type que celui utilisé à l'étape 2.
Router(config-if)#ip address ip-address2 subnetmask2
www.hellodigi.ir
où l'adresse IP2 et le masque de sous-réseau2 sont l'adresse IP et le masque de sous-

réseau attribués à l'interface Frame-relay du deuxième côté de la liaison.
Router(config-if)#Frame-relay map central-ip-address dlci-number encapsulation-type
où central-ip-address est l'adresse IP du côté central de la liaison. dlci-number est le
numéro de circuit virtuel qui vous est fourni par le fournisseur de service de relais de
trame. encapsulation-type est le type de norme d'encapsulation utilisé. La valeur est
généralement Cisco ou ietf. Ces informations doivent également vous être fournies par
le fournisseur de services de relais de trame.
5.6.3 Point à multipoint utilisant des interfaces logiques
Dans ce que nous appelons un scénario point à point multiple, une seule station centrale
est connectée via une seule liaison physique au réseau Frame-relay. Grâce à ce réseau à
relais de trames, le nœud central est également connecté à plusieurs nœuds terminaux.
Cependant, ces connexions sont réalisées en créant une seule liaison logique point à
multipoint transportée sur la seule liaison physique.

Frame-relay :

3. Assurez-vous qu'aucune adresse IP n'est attribuée à l'interface

Router(config-if)#no ip address 4. Créez une interface logiqueÿ:
Routeur(config-if)#interface serial interface-number.- logical-interface-number point-to-

multipoint
5. Sur l'interface logique, attribuez une adresse IPÿ:
Router(config-if)#ip address ip-address1 subnetmask1 où l'adresse IP1 et le
masque de sous-réseau1 sont l'adresse IP et le masque de sous-réseau attribués à
l'interface logique Frame-relay du côté central de la liaison.
www.hellodigi.ir
6. Mappez l'interface à un numéro DLCI spécifiqueÿ:

Router(config-subif)#Frame-relay interface-dlci dlci number où dlci-number est le numéro de
circuit virtuel qui vous est fourni par le fournisseur de services Frame-relay. Ce numéro DLCI
ressemble au circuit virtuel menant à un nœud distant spécifique.
7. Répétez les étapes 6 pour autant de nœuds distants que nécessaire.

8. Sur le nœud distant, le type d'encapsulation de l'interface série est remplacé par
Frame-relay :
Frame-relay où numéro d'interface est le numéro de l'interface série connectée à
l'équipement Frame-relay.

Router(config-if)#Frame-relay lmi-type lmi-type où lmi-type est le type de norme
LMI utilisée. Les types pris en charge sont Cisco, ansi et q933a. Ces informations doivent vous
être fournies par le fournisseur de services de relais de trame. Habituellement, il s'agit du même
type que celui utilisé à l'étape 2.
Router(config-if)#ip address ip-address2 subnetmask2 où ip-address2 et subnetmask2
correspondent à l'adresse IP et au masque de sous-réseau attribués à l'interface Frame-relay
du côté distant de la liaison.
Router(config-if)#Frame-relay map ip-address1 dlci-number encapsulation-type où ip-address1
est l'adresse IP du premier côté de la liaison. dlci-number est le numéro de circuit virtuel qui
vous est fourni par le fournisseur de services Frame-relay. encapsulation-type est le type de
norme d'encapsulation utilisée. La valeur est généralement Cisco ou ietf. Ces informations
doivent également vous être fournies par le fournisseur de services de relais de trame.
12. Répétez les étapes 8, 9, 10 et 11 sur chaque nœud distant en utilisant différentes adresses IP
et les numéros DLCI.
5.6.4 Plusieurs point à point utilisant des interfaces logiques
Dans ce que nous appelons le scénario point à point multiple, une seule station centrale est
connectée via une seule liaison physique au réseau Frame-relay. Grâce à ce réseau à relais de
trames, le nœud central est également connecté à plusieurs nœuds terminaux.
Cependant, ces connexions se font en créant plusieurs points à point logiques
www.hellodigi.ir
liens transportés sur le lien physique unique. De cette manière, la séparation du trafic
traité d'un nœud à l'autre est plus claire et les nœuds distants ne peuvent communiquer
que si le trafic passe par le nœud central.

Frame-relay :

Router(config-if)#Frame-relay lmi-type lmi-type où lmi-type est le type
de norme LMI utilisée. Les types pris en charge sont Cisco, ansi et q933a. Ces
informations doivent vous être fournies par le fournisseur de services de relais de
trame.
3. Assurez-vous qu'aucune adresse IP n'est attribuée à l'interface
Router(config-if)#no ip address 4. Créez une interface logiqueÿ:
Routeur(config-if)#interface serial interface-number.- logical-interface-number point

à point
5. Sur l'interface logique, attribuez une adresse IPÿ:
Router(config-if)#ip address ip-address1 subnetmask1 où l'adresse IP1 et le
masque de sous-réseau1 sont l'adresse IP et le masque de sous-réseau attribués à
l'interface logique Frame-relay du côté central de la liaison.
6. Mappez l'interface à un numéro DLCI spécifiqueÿ:
Routeur(config-subif)#Frame-relay interface-dlci dlci number
où dlci-
number est le numéro de circuit virtuel qui vous est fourni par le fournisseur de
services Frame-relay. Ce numéro DLCI ressemble au circuit virtuel menant à un
nœud distant spécifique.
7. Répétez les étapes 4, 5 et 6 pour autant de nœuds distants que nécessaire.
8. Sur le nœud distant, le type d'encapsulation de l'interface série est remplacé par
Frame-relay :

Router(config-if)#Frame-relay lmi-type lmi-type où lmi-type est le type
de norme LMI utilisée. Les types pris en charge sont Cisco, ansi et q933a. Ces
informations doivent vous être fournies par le fournisseur de services de relais de
trame. Habituellement, il s'agit du même type que celui utilisé à l'étape 2.
Router(config-if)#ip address ip-address2 subnetmask2
www.hellodigi.ir
où l'adresse IP2 et le masque de sous-réseau2 sont l'adresse IP et le masque de sous-réseau

attribués à l'interface Frame-relay du côté distant de la liaison.
Router(config-if)#Frame-relay map ip-address1 dlci-number encapsulation-type où ip-address1
est l'adresse IP du premier côté de la liaison. dlci-number est le numéro de circuit virtuel qui vous
est fourni par le fournisseur de services Frame-relay. encapsulation-type est le type de norme
d'encapsulation utilisé. La valeur est généralement Cisco ou ietf. Ces informations doivent
également vous être fournies par le fournisseur de services de relais de trame.
12. Répétez les étapes 8, 9, 10 et 11 sur chaque nœud distant en utilisant différentes adresses IP
et les numéros DLCI.
5.6.5 Problèmes de relais de trame et de routage
Les routeurs Cisco utilisent une technique appelée split-horizon. Cette technique est utilisée pour
éliminer les boucles de routage par lesquelles une mise à jour de routage ne peut pas être transmise à
la même interface d'où elle provient.
S'appuyant sur cette logique, l'horizon partagé peut entraîner des problèmes lors de l'utilisation de
topologies point à multipoint à relais de trames. Pensez maintenant à un scénario dans lequel une mise
à jour de routage provient de l'un des points distants connectés à l'autre extrémité d'une liaison point à
multipoint. La mise à jour du routage, due au split-horizon, ne sera pas transmise sur le même lien
physique vers les autres points connectés à la topologie point à multipoint, car elle sera considérée
comme provenant d'une interface et ne pourra pas être transmise vers la même interface. De cette
façon, les autres points ne pourront pas échanger de mises à jour de routage.
Split-horizon peut être désactivé à l'aide de la commande suivante au niveau de l'interfaceÿ:

Routeur(config-if)#no ip split-horizon
Sur OSPF, vous pouvez utiliser la commande suivanteÿ:
Routeur(config-if)#ip réseau ospf point à multipoint
5.7 Comment configurer un routeur Cisco en tant

que commutateur à relais de trames
Quand en auriez-vous besoin : Lorsque vous configurez votre propre réseau Frame-Relay. Cette
configuration est fréquemment utilisée pour la configuration du laboratoire.
Exigences particulières : Un routeur Cisco avec au moins deux interfaces série.

Cette configuration est principalement effectuée pour des expériences en laboratoire, car l'utilisation d'un
routeur Cisco en tant que véritable commutateur à relais de trame nécessite un grand nombre d'interfaces série.
www.hellodigi.ir
5.7 Comment configurer un routeur Cisco en tant que commutateur à relais de trames 129
Pour commencer, vous devez garder à l'esprit que lorsqu'un routeur Cisco fonctionne comme
un commutateur à relais de trame, il cesse de fonctionner comme un routeur IP. Aucun processus
de routage IP ne se produira pendant l'opération Frame-Relay. Le routeur deviendra, exclusivement,
un Frame-Relay Switch.
Avant de commencer la configuration, dessinez la topologie du réseau et marquez-y les
numéros de DLCI qui seront utilisés. Ce que fait le commutateur Frame-relay, c'est recevoir une
trame avec un certain numéro DLCI d'une interface et la transmettre à une interface différente
après lui avoir attribué un numéro DLCI différent. Cela dit, passons maintenant à la configurationÿ:
1. Activez l'opération Frame-Relay Switching sur la configuration globale du routeur :

Router(config)#Frame-relay switching 2. Configurez les deux interfaces série (ou plus) qui
participeront au
Processus de commutation de relais
de trames Routeur(config-if)#no ip address
Router(config-if)#encapsulation Frame-relay Router(config-if)#logging
event subif-link-status Router(config-if)#logging event dlci -status-change
Router(config-if)#clock rate clock-rate Router(config-if)#no Frame-relay inverse-arp
Router(config-if)#Frame-realy intf-type dce où la fréquence d'horloge est l'horloge
taux de votre choix (64 000 est un bon choix).
Maintenant, comparez la configuration de routage Frame-relay sur la même interface,

Router(config-if)#Frame-relay route entrant-dlci interface numéro d'interface série sortant-dlci
où entrant-dlci est le numéro DLCI de la trame entrante. outgoing-dlci est le numéro DLCI
qui sera attribué à la trame sortante. numéro d'interface est le numéro d'interface série
auquel la trame sera transmise pour être envoyée hors du routeur.
Répétez la commande de routage Frame-relay pour autant de DLCI que vous prévoyez de
passer par cette interface. Gardez à l'esprit que cette commande est donnée à l'interface qui
reçoit les trames Frame-relay.
3. Après avoir terminé les étapes de configuration pour l'une des interfaces de l'étape 2, répétez
l'étape 2 sur chaque interface série que vous souhaitez intégrer au processus de commutation
Frame-relay.
4. Pour la vérification et le dépannage, utilisez la commande suivante pour connaître l'état de
chaque route que vous avez configurée sur le commutateur Frame-relay : Router#show Frame-
realy route
www.hellodigi.ir
Scénario 5.1
l'Internet
FE0/0 ADSL
Routeur 1
Ordinateur A
réglages:
2. Sur l'ordinateur Aÿ:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
3. Obtenez les informations suivantes auprès de votre fournisseur de services ADSLÿ:

Nom d'utilisateur et mot de passe de votre compte, taille MTU (généralement 1492) et PVC
valeur (généralement 0/35 ou 8/35). Vous devrez également savoir si l'adresse IP
qui vous est attribuée par le FAI est une adresse IP publique statique, ou votre adresse va
à attribuer dynamiquement.
4. Activez le service PPPoE dans la configuration globale du routeur.
5. Configurez l'interface ADSL physique sans adresse IP et le numéro PVC
qui vous est remis par le fournisseur de services.
6. Configurez le composeur pour obtenir automatiquement l'adresse IP auprès du fournisseur de services.
www.hellodigi.ir
7. Configurez une route par défaut vers l'interface ADSL avec AD de 121.
8. Testez la connexion par PING de l'ordinateur A à springer.com
Scénario 5.2
S0/0 S0/0
FE0/0
FE0/0
Routeur 2 Routeur 1
réglages:
1. Sur les routeursÿ:
www.hellodigi.ir
2. Sur les ordinateursÿ:


Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254


Serveur DNS 1 192.168.1.254
Serveur DNS 2 192.168.1.254
3. Sur le routeur 1, configurez une route par défaut pour acheminer tout le trafic via l'interface
S0/0.
S0/0.
5. Sur le routeur 1, définissez le type d'encapsulation sur S0/0 sur PPP. L'interface sera
vers le bas maintenant.
6. Configurez l'authentification à PAP et identifiez le nom d'utilisateur et le mot de passe envoyés

ainsi que le nom d'utilisateur et le mot de passe de l'autre partie.
7. Sur le routeur 2, définissez le type d'encapsulation sur S0/0 sur PPP.
8. Configurez l'authentification à PAP et identifiez le nom d'utilisateur et le mot de passe envoyés
ainsi que le nom d'utilisateur et le mot de passe de l'autre partie.
9. Les deux interfaces série devraient être opérationnelles maintenant.
10. Testez la connectivité par PING de l'ordinateur A à l'ordinateur B.
Scénario 5.3
S0/0 S0/0
FE0/0
FE0/0
Routeur 2 Routeur 1
www.hellodigi.ir
réglages:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
Serveur DNS 1 192.168.1.254
Serveur DNS 2 192.168.1.254
3. Sur le routeur 1, configurez une route par défaut pour acheminer tout le trafic via l'interface S0/0.
S0/0.
5. Sur le routeur 1, définissez le type d'encapsulation sur S0/0 sur PPP. L'interface sera
vers le bas maintenant.
6. Configurez l'authentification CHAP et le nom d'utilisateur et le mot de passe de l'autre côté.

7. Sur le routeur 2, définissez le type d'encapsulation sur S0/0 sur PPP.
8. Configurez l'authentification à CHAP et le nom d'utilisateur et le mot de passe de l'autre côté.
www.hellodigi.ir
Scénario 5.4
S0/0 S0/0
FE0/0
FE0/0
Routeur 2 Routeur 1
réglages:
www.hellodigi.ir


Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254


Serveur DNS 1 192.168.1.254
Serveur DNS 2 192.168.1.254
S0/0.
S0/0.
5. Sur le routeur 1, définissez le type d'encapsulation sur S0/0 sur HDLC.
6. Sur le routeur 2, définissez le type d'encapsulation sur S0/0 sur HDLC.
Scénario 5.5
S0/0 S0/0
FE0/0 FE0/0
Routeur 2 S0/0 S0/0 Routeur 1
S0/1 S0/1
S0/2 S0/2
FRSW 2 FRSW 1
S0/1 S0/0
FRSW 3
Réseau de fournisseur de services de relais de trame
Ordinateur B
Ordinateur A
Chantier 2 Chantier 1
www.hellodigi.ir
réglages:
1. Routeurs clientsÿ:
2. Ordinateurs clientsÿ:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
Serveur DNS 1 192.168.1.254
Serveur DNS 2 192.168.1.254
3. Paramètres du fournisseur de services de relais de trameÿ:

Configurez les trois routeurs FRSW 1, 2 et 3 pour qu'ils fonctionnent comme des commutateurs de relais de trame
avec le mappage suivantÿ:
Routeur Interfacein DLCI dans Sortie d'interface Sortie DLCI
FRSW 1 S0/0 100 S0/2 120
FRSW 1 S0/1 180 S0/0 100
FRSW 2 S0/0 120 S0/1 170
FRSW 2 S0/2 150 S0/2 110
FRSW 3 S0/0 120 S0/1 150
www.hellodigi.ir
4. Configurez le routeur 1 pour qu'il fonctionne sur l'encapsulation Frame-relay avec le mappage de
les données allant au réseau local du routeur 2 doivent être envoyées via S0/0 avec DLCI 100.
5. Configurez le routeur 2 pour qu'il fonctionne sur l'encapsulation Frame-relay avec le mappage de
les données allant au réseau local du routeur 1 doivent être envoyées via S0/0 avec DLCI 120.
6. Testez la configuration par PING de l'ordinateur A à l'ordinateur B.
Scénario 5.6
l'Internet
FE0/0 RNIS
Routeur 1
Ordinateur A
réglages:
2. Configuration de l'ordinateur Aÿ:
Serveur DNS 1 192.168.0.254
Serveur DNS 2 192.168.0.254
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic sortant via le BRI
interface bri0.
4. Configurez le type de commutateur RNIS, les SPID et les LDN. Ces informations sont généralement
reçu du fournisseur de services.
5. À l'aide d'une liste d'accès, sélectionnez le "trafic intéressant" autorisé à établir un appel
au fournisseur de services.
www.hellodigi.ir
6. Configurez le protocole d'encapsulation en tant que PPP. Configurez l'authentification CHAP. La

le nom d'utilisateur et le mot de passe utilisés pour l'authentification sont obtenus auprès du service
fournisseur.
7. Appliquez la liste de numérotation créée à l'étape 5 et configurez le délai de connexion.
8. Configurez la carte du numéroteur et liez-la au nom d'utilisateur.
9. Pour tester, PING de l'ordinateur A à springer.com
www.hellodigi.ir
Chapitre 6
Configuration de la sécurité
Mots-clés Routeur Cisco VPN à cryptage par mot de passe VPN site à site
PPTP PPTP VPN ACL Liste d'accès Liste de contrôle d'accès Authentification de la route
GRE IPSEC AAA RADIUS TACACS+
6.1 Comment sécuriser les mots de passe sur un routeur Cisco
Chiffrez les mots de passe de sorte qu'ils deviennent incompréhensibles pour quiconque les
visualise dans la configuration en cours d'exécution.
Le mot de passe secret est déjà crypté. Tous les autres mots de passe (vty, console et
auxiliaire) ne le sont pas. La commande pour les chiffrer est la suivante : Router(config)#service
password-encryption Il existe deux méthodes recommandées pour utiliser cette commande.
Comme il s'agit d'un service, il n'est pas conseillé de le faire tourner en permanence car
cela consommerait de la puissance de traitement et de la mémoire. Ainsi, il peut être utilisé et
désactivé et les mots de passe resteront cryptés. Une façon de procéder consiste à activer
cette commande avant de configurer des mots de passe et à la désactiver après avoir terminé
les commandes de configuration de mot de passe à l'aide de la commande suivanteÿ:
Router(config)#no service password-encryption La deuxième façon de le

faire est après avoir terminé la configuration de tous les mots de passe, activer le cryptage
du mot de passe, émettre un 'show running-config' en mode privilège, puis désactiver le
cryptage du mot de passe .
Le cryptage utilisé ici est très faible. Le seul but est d'empêcher
les personnes regardant la configuration connaissant le mot de passe.

DOI 10.1007/978-3-319-54630-8_6
www.hellodigi.ir
140 6 Configuration de la sécurité
6.2 Comment configurer des listes de contrôle d'accès sur un Cisco

Routeur
Quand en auriez-vous besoinÿ: lorsque vous devez filtrer le trafic pour refuser et autoriser des paquets en
fonction de fonctionnalités spécifiques.

Une liste de contrôle d'accès (ACL) est un filtre configuré sur un routeur Cisco pour contrôler quels
paquets sont autorisés à traverser une interface spécifique dans une direction spécifique.
L'anatomie de l'ACL est simple, une liste de commandes exécutées séquentiellement. Les commandes
sont essentiellement une condition et un effet. Si le paquet répond à des conditions spécifiques, il peut être
autorisé à passer ou refusé (rejeté). Comme nous l'avons dit, cette liste de commandes est exécutée
séquentiellement, et lorsqu'un paquet remplit une condition, l'effet est appliqué à ce paquet, qu'il soit autorisé
ou refusé, puis le reste des conditions est ignoré.
Pour mieux comprendre cela, prenons un exemple. Pensons à une ACL

comme ce qui suitÿ:
1. Condition 1—refus ; 2.
Condition 2—refus ; 3.
Condition 3—autoriserÿ; et 4.
Condition 4—autoriser.
Maintenant, si le paquet remplit la condition 1, il sera refusé et aucune autre comparaison avec d'autres
conditions n'est effectuée. Si le paquet ne remplit pas la condition 1, le paquet sera comparé à la condition 2.
S'il remplit la condition 2, il sera également refusé. S'il ne satisfait pas à la condition 2, le paquet sera comparé
à la condition 3. S'il satisfait à la condition 3, il sera autorisé à passer. S'il ne satisfait pas à la condition 3, le
paquet sera comparé à la condition 4. S'il satisfait à la condition 4, il sera autorisé à passer. Cela signifie que
si un paquet remplit plus d'une condition, seul l'effet de la première condition remplie sera exécuté. Si le
paquet ne remplit pas la condition 4, le paquet sera refusé.
Généralement, pour une meilleure sécurité, si le paquet ne remplit aucune condition, il sera refusé. Ceci
est généralement appelé "Refus implicite" à la fin de n'importe quelle ACL.
Cela signifie que si tous les effets de votre liste de contrôle d'accès sont « refusés », tout le trafic sera refusé.
Vous avez besoin d'au moins un «permis» dans et ACL.
Les listes de contrôle d'accès peuvent être classées en deux typesÿ: standard et étendues. Selon le type
d'ACL, la condition peut être détaillée ou grossière. Les ACL standard peuvent filtrer en fonction de l'adresse
IP source uniquement. Bien que cela limite les applications de l'ACL standard, cela peut être utile dans
certains scénarios. Une liste de contrôle d'accès étendue peut filtrer en fonction des adresses IP source et de
destination, des numéros de port source et de destination, du type de protocole, des fonctionnalités spécifiques
au protocole (comme autoriser la demande d'écho mais pas la réponse d'écho dans ICMP), et même l'heure
de réception du paquet.
www.hellodigi.ir
6.2 Comment configurer des listes de contrôle d'accès sur un routeur Cisco 141
6.2.1 Configuration de liste d'accès standard pour IPv4
Une liste d'accès standard est identifiée par un numéro compris entre 1 et 99. Comme expliqué
précédemment, elle ne peut filtrer qu'en fonction de l'adresse IP source.
1. Créez l'ACL avec la première condition et effetÿ:

Routeur(config)#Access-list acl-number {permit|deny}
adresse-source
où acl-
number est le numéro de l'ACL (doit être compris entre 1 et 99 pour l'ACL standard). permit|
deny est l'effet du filtre. Vous devez sélectionner Autoriser ou Refuser. adresse-ip-source
est l'adresse IPv4 source. Cette adresse peut être dans l'un des formats suivantsÿ:
un. host ipv4-host-address pour identifier une adresse unique. b. network-

address wildcard-mask pour identifier un réseau IPv4. c. any pour identifier toutes les
adresses hôtes.
2. Répétez la commande à partir de l'étape 1 pour autant de filtres que vous devez ajouter à la
même ACL que vous jugez nécessaire. Utilisez le même numéro d'ACL pour ajouter plus de
conditions et d'effets à la même ACL. N'oubliez pas que vous devez disposer d'au moins un
"permis" et que vous pouvez appliquer une ACL par interface et par direction. Vous devez
donc placer tous les filtres dont vous avez besoin dans cette direction sur cette interface dans
une seule ACL.
3. Maintenant, vous devez appliquer l'ACL que vous avez configurée aux étapes 1 et 2 sur une interface
spécifique dans une direction spécifique.
Router(config)#interface interface-type interface-number Router(config-if)#ip access-group
acl-number {in|out} où interface-type et interface-number sont le type et le numéro de
l'interface. acl-number est le numéro ACL que nous avons utilisé aux étapes 1 et 2. in|out
est la direction du traficÿ: 'in' pour le trafic entrant (entrant dans le routeur via l'interface) et
'out' pour le trafic sortant du routeur vers à l'extérieur via l'interface.

Router#show Access-list Router#show Access-list acl-
number Router#show ip interface interface-type interface-
number
www.hellodigi.ir
6.2.2 Configuration de la liste d'accès étendue pour IPv4
Les listes de contrôle d'accès étendues ont la capacité de filtrer davantage de fonctionnalités de paquets par rapport à la liste
de contrôle d'accès standard. Les listes de contrôle d'accès étendues peuvent filtrer en fonction du type de protocole, de
l'adresse IP source et du numéro de port, ainsi que de l'adresse IP et du numéro de port de destination. Les listes de contrôle
d'accès étendues ont la plage de numéros de 100 à 199.
1. Créez l'ACL avec la première condition et effetÿ:

Router(config)#Access-list acl-number {permit|deny} pro tocol-name source-ip-address operator1
source-port destination-ip-address operator2 destination-port où permit|deny est l'effet que vous
voulez avoir si le paquet remplit la condition.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour bloquer
le trafic. nom-protocole est le nom du protocole que vous souhaitez filtrer. Cela peut être ip, tcp,
udp, etc. source-ip-address est l'adresse IPv4 source. Cette adresse peut être dans l'un des
formats suivantsÿ:
ré. host ipv4-host-address pour identifier une adresse unique. e. network-

address wildcard-mask pour identifier un réseau IPv4. F. any pour identifier toutes les
adresses hôtes.
Operator1 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous les
ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de port
suivant.
port-source est le numéro du port source. Les paramètres du port source de l'opérateur1 sont
facultatifs. destination-ip-address est l'adresse IPv6 de destination. Cette adresse peut être dans
l'un des formats suivantsÿ:
un. host ipv6-host-address pour identifier une adresse unique b. network-

adresses hôtes.
operator2 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous les
ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de port
suivant.
port-destination est le numéro du port de destination. Les paramètres du port de destination de

l'opérateur2 sont facultatifs.
www.hellodigi.ir
6.2 Comment configurer des listes de contrôle d'accès sur un routeur Cisco 143
2. Répétez l'étape 1 pour autant de filtres que vous le jugez nécessaire. N'oubliez pas que vous devez
avoir au moins une commande de permis. Sinon, tout le trafic sera bloqué sur l'interface dans cette
direction.
3. Appliquez la liste d'accès à une interface spécifique dans une direction spécifiqueÿ:
Router(config)#interface interface-type interface-number Router(config-if)#ip access-group acl-
number {in|out} où interface-type et interface-number sont le type et le numéro de l'interface. acl-
number est le numéro ACL que nous avons identifié aux étapes 1 et 2. in|out est la direction du
traficÿ: 'in' pour le trafic entrant (entrant dans le routeur via l'interface) et 'out' pour le trafic sortant
du routeur vers à l'extérieur via l'interface.

Router#show Access-list Router#show Access-list acl-number
Router#show ip interface interface-type interface-number
6.2.3 Suppression des listes d'accès
La suppression d'une liste d'accès doit être effectuée dans l'ordre inverse exact de la création et de
l'application de l'ACL. Tout d'abord, vous devrez supprimer l'application de la liste d'accès.
Router(config-if)#no ip access-group acl-number {in|out} où acl-number est le numéro de la liste
d'accès à supprimer.
L'étape suivante consiste à supprimer la liste d'accès. Cela peut être fait en utilisant une seule
commande : in|out est la direction dans laquelle la liste d'accès a été appliquée.
Router(config)#no Access-list acl-number où acl-number est le numéro
de la liste d'accès à supprimer.
Si vous supprimez la liste d'accès avant de la retirer de l'interface, tout le trafic sera bloqué dans la
direction de l'ACL jusqu'à ce que vous supprimiez l'application ACL.
6.3 Comment configurer des listes de contrôle d'accès avancées sur

un routeur Cisco
6.3.1 Listes d'accès nommées
Les listes de contrôle d'accès nommées nécessitent la version IOS 11.2 ou supérieure. Named ACL
n'est pas vraiment un type spécial. Une ACL nommée est une ACL standard ou étendue avec un nom
au lieu d'un numéro.
www.hellodigi.ir
Pour la liste de contrôle d'accès nommée standard, la configuration est la suivanteÿ:
1. Créez l'ACL nomméeÿ:

Router(config)#ip Access-list standard acl-name où acl-name est le nom de
la liste d'accès.
2. Configurez la condition et l'effet de filtrage :
Router(config-std-nacl)#{permit|deny} source-ip-address où permit|deny est l'effet du filtre.
Vous devez sélectionner Autoriser ou Refuser. adresse-ip-source est l'adresse IPv4 source.
Cette adresse peut être dans l'un des formats suivantsÿ:

adresses hôtes.
3. Répétez l'étape 2 pour autant de filtres que vous jugez nécessaires.

4. Appliquez la liste d'accès à une interface dans une direction
spécifiqueÿ: Router(config)#interface interface-type interface-number Router(config-if)#ip
access-group acl-name {in|out} where interface-type et interface-number sont le type et le
numéro de l'interface acl-name est le nom ACL que nous avons identifié à l'étape 1. in|out
est la direction du traficÿ: 'in' pour le trafic entrant (entrant dans le routeur via l'interface) et
'out' pour le trafic sortant du routeur vers l'extérieur via l'interface.

name Router#show ip interface interface-type interface-
number
Pour une ACL nommée étendue, la configuration est la suivanteÿ:
1. Créez l'ACL nomméeÿ:

Router(config)#ip Access-list extended acl-name où acl-name est le nom de
la liste d'accès.
2. Configurez la condition et l'effet de filtrageÿ:
Routeur(config-ext-nacl)#{permit|deny} source-ip-address nom_protocole
operator1 source-port destination-ip address operator2 destination-port où permit|deny
est l'effet que vous voulez avoir si le paquet remplit la condition.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour

bloquer le trafic. nom-protocole le nom du protocole que vous voulez filtrer. Cela peut être
ip, tcp, udp, etc.
www.hellodigi.ir
6.3 Comment configurer des listes de contrôle d'accès avancées sur un routeur Cisco 145
adresse-ip-source est l'adresse IPv4 source. Cette adresse peut être dans l'un des formats suivantsÿ:
g. host ipv4-host-address pour identifier une adresse unique. h. network-address

wildcard-mask pour identifier un réseau IPv4. je. any pour identifier toutes les adresses hôtes.
ré. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. e. gt tous les ports
supérieurs au numéro de port suivant. F. Tous les ports inférieurs au numéro de port suivant.
ré. host ipv6-host-address pour identifier une adresse unique. e. network-address

wildcard-mask pour identifier un réseau IPv4. F. any pour identifier toutes les adresses hôtes.
ré. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. e. gt tous les ports
supérieurs au numéro de port suivant. F. Tous les ports inférieurs au numéro de port suivant.

3. Répétez l'étape 2 pour autant de filtres que vous jugez nécessaires.
4. Appliquez la liste d'accès à une interface dans une direction spécifique :
Router(config)#interface interface-type numéro d'interface
Router(config-if)#ip access-group acl-name {in|out} où interface-type et interface-number

sont le type et le numéro de l'interface. acl-name est le nom ACL que nous avons identifié
à l'étape 1. in|out est la direction du traficÿ: 'in' pour le trafic entrant (entrant dans le routeur via
l'interface) et 'out' pour le trafic sortant du routeur vers l'extérieur via L'interface.

Router#show Access-list Router#show Access-list acl-name
www.hellodigi.ir
6.3.2 À propos des listes d'accès nommées
Les listes d'accès nommées sont préférées par les professionnels des réseaux pour deux
raisonsÿ; premièrement, le nom peut exprimer le but de l'ACL, deuxièmement, vous pouvez
modifier les listes d'accès nommées.
Par exemple, si vous avez écrit l'ACL suivanteÿ:
Routeur(config)#ip Access-list extended ServerTraffic Router(config-ext-
nacl)#deny tcp 192.168.0.0 0.0.0.255 host 192.168.1.110 eq ftp Router(config-ext-
nacl)#deny tcp 192.168.0.0 0.0. 0.255 host 192.168.1.110 eq 23 Router(config-ext-
nacl)#permit ip any any
En utilisant cette liste d'accès, tout le trafic FTP de votre réseau local sera bloqué. De
plus, tout le trafic Telnet sera également bloqué, tandis que tout autre trafic est autorisé.
Au bout d'un moment, vous vous êtes rappelé que vous deviez autoriser le PC de
l'administrateur du réseau local à utiliser Telnet vers le serveur. Au lieu d'effacer toute la
liste d'accès et de la réécrire, il est possible de la modifier en suivant les étapes suivantes.
Si vous exécutez la commande suivanteÿ:
Router#show Access-list ServerTraffic Vous obtiendrez
une sortie similaire à celle-ci : ip Access-list extended
ServerTraffic 10 deny tcp 192.168.0.0 0.0.0.255 host
192.168.1.110 20 deny tcp 192.168.0.0 0.0.0.255 host 192.168.1.110 eq 23
30 permis ip tout tout
Si vous avez besoin d'ajouter un autre filtre entre le premier et le second, il vous suffit
de faire ceci : Router(config)#ip Access-list extended ServerTraffic Router(config-ext-
nacl)#15 permit host 192.168. 0.118 hôte 192.168.1.110 équiv. 23
Maintenant, si vous exécutez une commande show Access-list ServerTraffic, vous verrez
la sortie suivante : ip Access-list extended ServerTraffic 10 deny tcp 192.168.0.0
0.0.0.255 host 192.168.1.110 eq ftp 15 permit host 192.168.0.118 host 192.168.
1.110 eq 23 20 deny tcp 192.168.0.0 0.0.0.255 host 192.168.1.110 eq 23 30 permit
ip any any Vous pouvez utiliser n'importe quel nombre entre les deux lignes, comme
11, 12,…,19.
Il est également possible de supprimer des lignes spécifiques comme dans l'exemple suivant :
Router(config)#ip Access-list extended ServerTraffic Router(config-ext-
nacl)#no 15 permit host 192.168.0.118 host 192.168.1.110 eq 23
Cette flexibilité facilite grandement la modification sans avoir à tout réécrire.
www.hellodigi.ir
6.3.3 Listes d'accès pour IPv6
Les listes d'accès IPv6 sont configurées de la même manière que les listes de contrôle d'accès nommées
étendues expliquées dans la sous-section précédente.
1. Créez une ACL IPv6ÿ:

Router(config)#ipv6 Access-list acl-name où acl-name est le nom de
la liste d'accès.
2. Écrivez les commandes de filtrage :
Router(config-ipv6-acl)#{permit|deny} ipv6-source-address nom_protocole
operator1 source-port ipv6-destination-address operator2 destination-port où permit|deny est
l'effet souhaité avoir si le paquet remplit la condition.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour bloquer le
trafic. nom-protocole est le nom du protocole que vous souhaitez filtrer. Cela peut être ip, tcp, udp,
etc. ipv6-source-address est l'adresse IPv6 source. Cette adresse peut être dans l'un des formats
suivantsÿ:
un. host ipv6-host-address pour identifier une adresse unique b. ipv6-network-

prefix/prefix-length pour identifier un réseau IPv6. c. any pour identifier toutes les adresses hôtes.
g. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. h. gt tous les
ports supérieurs au numéro de port suivant. je. Tous les ports inférieurs au numéro de port
suivant.
facultatifs. ipv6-destination-address est l'adresse IPv6 de destination. Cette adresse peut être dans
g. host ipv6-host-address pour identifier une adresse unique. h. ipv6-network-

prefix/prefix-length pour identifier un réseau IPv6. je. any pour identifier toutes les adresses hôtes.
g. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. h. gt tous les
ports supérieurs au numéro de port suivant. je. Tous les ports inférieurs au numéro de port
suivant.

www.hellodigi.ir
3. Répétez l'étape 2 pour autant de filtres que vous le jugez nécessaire. N'oubliez pas que
vous devez avoir au moins une commande de permis. Sinon, tout le trafic sera bloqué
sur l'interface dans cette direction.
4. Appliquez la liste d'accès à une interface spécifique dans une direction spécifiqueÿ:
Routeur(config-if)#ipv6 traffic-filter acl-name {in|out}

où
interface-type et interface-number sont le type et le numéro de l'interface acl-name est le
nom ACL que nous avons identifié à l'étape 1. in|out est la direction du trafic : 'in' pour le
trafic entrant (entrant dans le routeur l'interface) et 'out' pour le trafic sortant du routeur vers
l'extérieur via l'interface.

Router#show ipv6 Access-list Router#show ipv6 Access-
list acl-name Router#show ip interface interface-type interface-
number
6.3.4 Listes d'accès réflexives
Une liste de contrôle d'accès réflexive est une liste d'accès qui a la capacité d'empêcher
les paquets de certaines fonctionnalités d'entrer dans l'interface à moins que ces paquets
ne soient en réponse à une demande initiée de l'intérieur. Par exemple, vous pouvez
configurer une ACL réflexive de manière à ce que le trafic ICMP ne passe pas par votre
réseau interne à moins qu'il ne réponde à une requête envoyée de votre réseau interne vers l'extérieur.
Pour configurer l'ACL réflexive, vous devrez configurer deux ACLÿ: une pour
trafic entrant et un pour le trafic sortant et les relier entre eux.
1. Créez la première liste d'accèsÿ:

Router(config)#ip Access-list extended acl-out-name où acl-out-name est le nom
de l'ACL qui sera appliquée au trafic sortant.
2. Écrivez les filtres et l'effet que vous souhaitez que le routeur surveille leurs sessions et
autorisez leurs réponses avec le paramètre 'reflect'.
operator1 source-port destination-ip address operator2 destination-port reflect reflection-
name où permit|deny est l'effet que vous voulez avoir si le paquet répond à la condition.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour

bloquer le trafic. nom-protocole le nom du protocole que vous voulez filtrer. Cela peut être
ip, tcp, udp, etc.
www.hellodigi.ir
adresse-ip-source est l'adresse IPv4 source. Cette adresse peut être dans l'un des formats
suivantsÿ:
J. host ipv4-host-address pour identifier une adresse unique. k. network-

address wildcard-mask pour identifier un réseau IPv4. l. any pour identifier toutes les
adresses hôtes.
J. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. k. gt tous les
ports supérieurs au numéro de port suivant. l. Tous les ports inférieurs au numéro de port
suivant.
J. host ipv6-host-address pour identifier une adresse unique. k. network-

address wildcard-mask pour identifier un réseau IPv4. l. any pour identifier toutes les
adresses hôtes.
J. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. k. gt tous les
ports supérieurs au numéro de port suivant. l. Tous les ports inférieurs au numéro de port
suivant.

l'opérateur2 sont facultatifs. nom-réflexion est le nom de la réflexion. Vous pouvez utiliser n'importe
quel nom. Le but de celui-ci est de pouvoir le lier aux autres Access-lists pour le trafic entrant.
3. N'oubliez pas que vous pouvez avoir une liste d'accès par interface et par direction. Par conséquent,
vous devez configurer tous les filtres que vous souhaitez, pas seulement ceux réflexifs dans la
même liste d'accès nommée. Il ne faut pas nécessairement le faire après la partie réflexive. Vous
pouvez configurer les autres filtres avant ou après la partie réflexive.
4. Créez l'ACL du trafic entrant : Router(config)#ip

Access-list extended acl-in-name où acl-in-name est le nom de l'ACL qui sera appliqué
au trafic entrant.
5. Configurez le filtre réflexifÿ:

Router(config-ext-nacl)#evaluate reflection-name où reflection-name est le nom de
la réflexion que vous avez configurée à l'étape 2.
www.hellodigi.ir
6. Comme nous l'avons expliqué à l'étape 3, vous pouvez appliquer une ACL par interface et par direction.
Par conséquent, vous pouvez ajouter après ou avant l'étape 5 tous les filtres dont vous avez besoin
pour bloquer et autoriser le trafic comme bon vous semble.
7. Appliquez les listes d'accès à une interfaceÿ:
Router(config)#interface interface-type numéro d'interface Router(config-if)#ip access-group acl-out-
name out Router(config-if)#ip access-group acl-in-name dans où interface-type et interface-number
sont le type et le numéro de l'interface acl-name est le nom ACL que nous avons identifié aux
étapes 1 et 4.

Router#show Access-list Router#show Access-list acl-name
6.3.5 Listes d'accès basées sur le temps
Dans certains cas, vous devez appliquer des filtres à des moments précis plutôt que tout le temps. Par
exemple, vous devez bloquer le trafic vers un serveur spécifique après les heures de travail ou pendant
les week-ends. Cela peut être fait en utilisant des listes d'accès basées sur le temps.
Ce type de listes d'accès fonctionne en associant une plage de temps à la commande de filtrage des
listes d'accès. Ainsi, vous n'avez pas besoin d'appliquer l'intégralité de la liste d'accès pour un temps
spécifique. Au lieu de cela, vous avez la possibilité d'affiner la liste d'accès pour sélectionner des
commandes spécifiques à utiliser à des moments précis.
1. Créez une plage de temps dans laquelle nous voulons que la commande de filtrage soit activeÿ:
Router(config)#time-range time-range-name où time-range-name est le
nom de la plage horaire que nous allons créer.
2. Identifiez la plage de tempsÿ:
Router(config-time-range)#periodic days-of-week start-time to ending-time où la partie jours de la
semaine peut être utilisée pour identifier des jours spécifiques de la semaine au cours desquels la
gamme est active. Nous pouvons écrire les jours avec des espaces entre leurs noms ou nous
pouvons simplement écrire quotidiennement. start-time est l'heure de démarrage de la plage de
temps. Il est écrit au format 24h comme 21h00. ending-time est l'heure à laquelle la plage de temps
se termine. Il est également écrit au format 24h comme 18h00.
3. Créez une liste d'accès nommée (les listes d'accès nommées sont préférées aux listes numérotées).
Listes d'accès):
www.hellodigi.ir
Router(config)#ip Access-list extended acl-name 4. Configurez les commandes

de filtrage temporelÿ:
operator1 source-port destination-ip address operator2 destination-port time-range time
nom-de-la-gamme
où
permit|deny est l'effet que vous voulez avoir si le paquet remplit la condition.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour bloquer
le trafic. nom-protocole est le nom du protocole que vous souhaitez filtrer. Cela peut être ip,
tcp, udp, etc. source-ip-address est l'adresse IPv4 source. Cette adresse peut être dans l'un
des formats suivantsÿ:

adresses hôtes.
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous
les ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de
port suivant.
facultatifs. destination-ip-address est l'adresse IPv6 de destination. Cette adresse peut être
dans l'un des formats suivantsÿ:

adresses hôtes.
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous
les ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de
port suivant.
port-destination est le numéro du port de destination. Les paramètres du port de destination

de l'opérateur2 sont facultatifs. time-range-name est le nom de la plage de temps qui a été
identifiée à l'étape 1.
5. Vous pouvez configurer d'autres commandes de filtrage ; temporisé ou non dans le même
Access-list, avant ou après la commande que nous avons écrite à l'étape 4.
6. Appliquez la liste d'accès à une interface dans une direction spécifiqueÿ:
Routeur(config-if)#ip access-group acl-out-name {in|out}
www.hellodigi.ir
où
interface-type et interface-number sont le type et le numéro de l'interface acl-name est le
nom ACL que nous avons identifié à l'étape 3. in|out est la direction du traficÿ: 'in' pour le
trafic entrant (entrant dans le routeur via l'interface) et 'out' pour le trafic sortant du routeur
vers l'extérieur via l'interface.

name Router#show ip interface interface-type interface-
number
6.4 Comment configurer l'authentification des protocoles de routage

6.4.1 Configuration de l'authentification de route EIGRP
L'authentification de route EIGRP fournit une authentification MD5 des mises à jour de routage
à partir du protocole de routage EIGRP. Le résumé à clé MD5 dans chaque paquet EIGRP
empêche l'introduction de messages de routage non autorisés ou erronés provenant de
sources non approuvées. Avant de pouvoir activer l'authentification de route EIGRP, vous
devez activer EIGRP.
Les étapes de configuration de l'authentification de route EIGRP sont les suivantesÿ:
1. Identifiez un trousseau à utiliser dans l'authentification,

Router(config)#key chain key-chain-name où key-chain-name
est le nom du trousseau qui sera créé.
2. Identifier le numéro de clé,
Router(config-keychain)#key key-number où key-number est
le numéro de la clé.
3. Identifiez la chaîne de clés,
Router(config-keychain)#key-string key-string où key-string est la chaîne
de clés.
4. Vous pouvez, en option, définir une période pendant laquelle la clé sera effective,
Routeur(config-keychain)#accept-lifetime start-time [dans fitnite | temps de fin | durée]
Routeur(config-keychain)#send-lifetime start-time [infit nite | temps de fin | durée]
Vous pouvez définir une heure de début et soit une heure de fin, soit une durée en secondes, ou
vous pouvez laisser l'opération infinie.
5. Activez l'authentification MD5 sur l'interface compatible EIGRPÿ:
www.hellodigi.ir
6.4 Comment configurer l'authentification des protocoles de routage sur un routeur Cisco 153
Router(config)#interface interface-type interface-number Router(config-if)#ip authentication

mode eigrp au tonomous-system-number md5 où interface-type et interface-number sont
le type et le numéro de l'interface. numéro de système autonome le numéro du système
autonome utilisé dans le processus EIGRP.
6. Associez l'authentification EIGRP de l'interface à la chaîne de clésÿ:

Router(config-if)#ipv authentication key-chain eigrp au tonomous-system key-chain-
name où key-chain-name est le nom du trousseau qui a été créé à l'étape 1. autonome-
system-number est le nombre de le système autonome utilisé dans le processus
EIGRP.
6.4.2 Configuration de l'authentification de route EIGRP pour IPv6
Les étapes de configuration de l'authentification de route EIGRP sont les suivantesÿ:
1. Identifiez un trousseau à utiliser dans l'authentification,

Router(config)#key chain key-chain-name où key-chain-name
est le nom du trousseau qui sera créé.
2. Identifier le numéro de clé,
Router(config-keychain)#key key-number où key-number
est le numéro de la clé.
3. Identifiez la chaîne de
clés, Router(config-keychain)#key-string key-string où key-string est la
chaîne de clés.
4. Vous pouvez, en option, définir une période pendant laquelle la clé sera effective,
Routeur(config-keychain)#accept-lifetime start-time [dans fitnite | temps de fin | durée]
Routeur(config-keychain)#send-lifetime start-time [infit nite | temps de fin | durée]
Vous pouvez définir une heure de début et soit une heure de fin, soit une durée en secondes, ou
vous pouvez laisser l'opération infinie.
5. Activez l'authentification MD5 sur l'interface compatible EIGRPÿ:
Router(config-if)#ipv6 authentication mode eigrp autonome-system-number md5 où

interface-type et interface-number sont le type et le numéro de l'interface.
www.hellodigi.ir
numéro de système autonome est le numéro du système autonome utilisé dans le processus
EIGRP.
6. Associez l'authentification EIGRP de l'interface à la chaîne de clésÿ:
Router(config-if)#ipv6 authentication key-chain eigrp nom-chaîne-clés-système-autonome où nom-
chaîne-clés est le nom du trousseau créé à l'étape 1. numéro-système-autonome est le numéro
du système autonome utilisé dans le processus EIGRP.
6.4.3 Configuration de l'authentification homologue BGP
L'authentification homologue avec MD5 dans BGP est configurée à l'aide d'une seule commande
ajoutée à la configuration BGP du voisin.
Routeur(config)#routeur bgp numéro-de-système-autonome Routeur(config-router)#mot
de passe voisin mot-de-passe-bgp où numéro-de-système-autonome est le numéro du
adresse-ip-voisin
système autonome utilisé dans le processus BGP. l'adresse IP du voisin est l'adresse
IP du voisin BGP. bgp-password est le mot de passe utilisé pour l'authentification BGP.
Le même mot de passe bgp doit être utilisé sur l'autre routeur pair BGP.
Pour vérifier que l'authentification MD5 fonctionne, utilisez la commande suivante : Router#show
ip bgp neighbors | inclure les indicateurs d'option
6.5 Comment configurer le VPN de site à site dans les routeurs Cisco
Quand en auriez-vous besoin : Lorsque vous souhaitez créer un tunnel sécurisé pour transférer des
données entre deux sites sans utiliser de concentrateur de réseau privé virtuel (VPN) ou d'autres
dispositifs de sécurité.
Exigences particulières : Les routeurs utilisés doivent prendre en charge IPSec (c'est-à-dire, les fonctionnalités
advsecurity activées). La plupart des routeurs Cisco le font. Un autre besoin est que les deux parties utilisent
une adresse IP publique statique pour se connecter à Internet.
Nous allons parcourir les étapes à faire d'un côté, et les mêmes étapes doivent être répétées de
l'autre côté également. Le cryptage des données dépendra d'une clé partagée.
De cette façon, nous n'aurons pas besoin de CA spécialisés ou de méthodologies RSA. Si tu as un
La topologie hub-and-spoke fait référence à la remarque à la fin de cette procédure.
www.hellodigi.ir
6.5 Comment configurer le VPN de site à site dans les routeurs Cisco 155
1. Créez une stratégie de clé d'échange de clés Internet (IKE). La politique utilisée pour notre cas
est la politique numéro 9, car cette politique nécessite une clé pré-partagée.
Routeur(config)#crypto isakmp policy 9 Router(config-
isakmp)#hash md5 Router(config-isakmp)#authentication pre-
share
2. Configurez la clé partagée qui serait utilisée dans le VPN,
Router(config)#crypto isakmp key vpn-key address other end-address
où
vpn-key est la clé partagée que vous utiliserez pour le VPN, et n'oubliez pas de définir
la même clé à l'autre bout. other-end-address est l'adresse IP publique statique de
l'autre extrémité.
3. Maintenant, nous définissons la durée de vie des associations de sécurité IPSec,
Routeur(config)#crypto ipsec security-association durée de vie secondes durée de vie
où life-time est la durée de vie de l'association en secondes. Il est généralement

utilisé comme 86 400, soit un jour.
4. Configurez une liste d'accès étendue pour définir le trafic autorisé à être
dirigé via le lien VPN.
Routeur(config)#Access-list list-number permit ip source network source-wildcard-mask destination-
network desti
masque-de-nation-wildcard
où
numéro-liste est le numéro de la liste d'accès.
source-network source-wildcard-mask est l'adresse réseau et le masque générique utilisés pour
identifier la source des données autorisées à utiliser le lien VPN. destination-network destination-
wildcard-mask est l'adresse réseau et le masque générique utilisés pour identifier la destination
des données qui doivent passer par la liaison VPN.
5. Définir le jeu de transformations qui sera utilisé pour cette connexion VPN,
Router(config)#crypto ipsec transform-set set-name transformation-set-1 transformation-set-2 où
set-name est le nom du jeu de transformations. Vous pouvez choisir n'importe quel nom que vous
aimez. transformation-set-1 et transformation-set-2 est l'ensemble de transformation. Vous pouvez
utiliser 'esp-3des esp-md5-hmac'. Vous pouvez également utiliser 'esp-3des esp-sha-hmac'.
N'importe lequel de ces deux fera l'affaire. En général, je recommanderais des technologies plus
récentes telles que AES et SHA-2 ou SHA-3.
6. Après avoir défini toutes les choses précédentes, vous devez créer un cryptomap qui
associe la liste d'accès à l'autre site et au jeu de transformations.
Routeur(config)#crypto map map-name priority ipsecisakmp Router(config-crypto-map)#set peer
other-end-address Routeur(config-crypto-map)#set transform-set set-name
www.hellodigi.ir
Router(config-crypto-map)#match address list-number où map-name est un nom de

votre choix pour la crypto map. priorité est la priorité de cette carte sur les autres
cartes vers la même destination. S'il s'agit de votre seule carte de chiffrement, attribuez-
lui un nombre quelconque, par exemple 10. other-end-address est l'adresse IP publique
statique de l'autre extrémité. set-name est le nom de l'ensemble de transformations que nous
avons configuré à l'étape 5. list-number est le numéro de la liste d'accès que nous avons
créée pour définir le trafic à l'étape 4.
7. La dernière étape consiste à lier la crypto map à l'interface qui connecte le routeur à
l'autre extrémité.
Router(config-if)#crypto map map-name où map-name est le
nom de la crypto map que nous avons définie à l'étape 6.
8. Maintenant, répétez ces étapes de configuration VPN à l'autre bout et n'oubliez pas d'utiliser la
même clé VPN avec le même ensemble d'authentification et de transformation.
9. À des fins de dépannage, vous pouvez utiliser les commandes suivantesÿ:

Routeur(config)#show crypto isakmp sa
Routeur(config)#show crypto ipsec sa
Routeur(config)#show connexions du moteur de cryptage actives
Routeur(config)#show crypto map
6.6 Comment configurer un routeur Cisco en tant que VPN PPTP

Serveur
Quand en auriez-vous besoin : Lorsque vous souhaitez créer un tunnel sécurisé pour transférer
des données entre les terminaux d'un utilisateur (ordinateur, smartphone, tablette, etc.) vers un
site central sans utiliser de concentrateur de réseau privé virtuel (VPN) ou d'autres dispositifs de
sécurité .
Exigences particulières : Le routeur doit être connecté à Internet avec une adresse IP publique ou
en utilisant Dynamic-DNS.
1. Activez la fonctionnalité VPN commuté du routeur :

Router(config)#vpdn enable 2. Activez l'acceptation
des connexions commutées dans le groupe VPDN : Router(config)#vpdn-
group group-number Router(config-vpdn)#accept -dialin Router(config-
vpdn-acc-in)#protocol pptp où group-number est le numéro du groupe
VPDN. C'est une bonne pratique de commencer à partir de 1.
3. Liez le groupe VPDN à un modèle virtuelÿ:
www.hellodigi.ir
6.6 Comment configurer un routeur Cisco en tant que serveur VPN PPTP 157
Routeur(config-vpdn-acc-in)#virtual-template template-number virtuel

Routeur(config-vpdn-acc-in)#exit où le numéro de modèle virtuel
est le numéro utilisé pour identifier l'interface de modèle virtuel.
4. Identifiez le pool d'adresses IP locales pour le périphérique distant lorsqu'il se connecte au

routeurÿ:
Routeur(config)#ip pool local pool-name start-address end address
où
pool-name représente le nom du pool d'adresses que vous attribuerez aux hôtes
distants connectés à votre routeur. start-address et end-address identifient la première
adresse IP du pool et la dernière adresse IP du pool. Dans la plupart des cas, les
administrateurs réseau utilisent des adresses avec la plage interne d'adresses IP
utilisée dans l'organisation. Cela rend le processus de filtrage et d'autorisation moins
compliqué.
5. Créez le modèle virtuel avec tous ses paramètres internes (encapsulation,
authentification...)
Router(config)#interface virtual-template virtual-template-number Router(config-
if)#encapsulation ppp Router(config-if)#peer default ip address pool pool-name
Router(config-if)#ip unnumbered interface Router (config-if)#no keepalive
Router(config-if)#ppp encrypt mppe encryption-type Router(config-if)#ppp
authentication authentication type Le type de chiffrement peut être 40, 128 ou auto.
Pour un meilleur cryptage, utilisez 128 au lieu de auto ou 40. La sélection
automatique peut entraîner l'utilisation du cryptage 40 bits au lieu du cryptage 128
bits.
Dans la dernière commande, vous pouvez utiliser pap, chap, ms-chap ou ms-chap-v2 comme
type d'authentification. Vous pouvez en combiner plusieurs pour permettre à l'utilisateur
distant de choisir le type qu'il souhaite. En règle générale, n'utilisez pas de PAP.
L'interface doit être l'interface interne qui contient une adresse IP dans la plage dont
les utilisateurs distants vont faire partie. Si vous souhaitez donner aux utilisateurs
distants des adresses qui ne font pas partie de votre réseau interne, vous pouvez
utiliser un autre numéro d'interface.
6. Créez les noms d'utilisateur et le mot de passe que les utilisateurs distants utiliseront lors de la connexion
à votre routeur.
Router(config)#username remote-username password remote password Répétez
cette étape pour chaque nom d'utilisateur que vous souhaitez ajouter.
www.hellodigi.ir
7. Vérifiez la configuration à l'aide des commandes suivantes :

Router#show vpdn
Routeur#show user
Routeur#debug vpdn
6.7 Comment configurer le tunneling GRE dans un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous souhaitez créer un tunnel pour transférer des
données entre deux routeurs. GRE transporte tout type de trafic Layer3 via un réseau IP (comme
le trafic multicast et IPv6).

Bien que le tunnel GRE ne soit pas considéré comme un transfert sécurisé de données (car
il n'implique pas de chiffrement), il est possible de combiner le tunneling GRE avec d'autres
protocoles, tels que le chiffrement IPSec et CET, pour en obtenir une version sécurisée.
6.7.1 Configuration GRE sans cryptage
1. Sur Router1, créez une interface de tunnel, qui est une interface virtuelle, et affectez un
Adresse IP :
Router1(config)#int tunnel1 Router1(config-
if)#ip address ip-address-1 subnetmask1 où ip-address-1 est l'adresse IP de l'interface
du tunnel. subnetmask1 est le masque de sous-réseau de l'interface du tunnel.
Gardez à l'esprit que l'adresse IP-1 est une adresse IP locale à des fins de mappage.
Cette adresse doit faire partie du réseau local que vous souhaitez rendre capable de
communiquer avec le réseau local de l'autre côté du tunnel.
2. Configurez l'adresse IP publique qui sera utilisée dans le processus d'encapsulation.
Cette adresse IP est celle qui apparaîtra sur l'en-tête d'encapsulation de paquet externe.
Router1(config-if)#tunnel source public-ip-1 où public-ip-1 est l'adresse

IP publique que le tunnel utilisera dans l'encapsulation sur Router1. Habituellement, en tant
que routeur connecté à Internet, il doit s'agir d'une adresse IP publique.
3. Configurez l'adresse IP publique de l'autre extrémité du tunnelÿ:

Router1(config-if)#tunnel destination public-ip-2 où public-ip-2 est l'adresse IP
publique de l'autre côté.
www.hellodigi.ir
6.7 Comment configurer le tunneling GRE dans un routeur Cisco 159
4. Vous pouvez également configurer le MTU et le MSSÿ:

Router1(config-if)#ip mtu mtu-size Router1(config-if)#ip
adjust-mss mss-size où mtu-size est la taille MTU et mss-size est la
taille MSS.
Adresse IP :
if)#ip address ip-address-2 subnetmask2 ip-address-2 est l'adresse IP de l'interface du tunnel.
Subnetmask2 est le masque de sous-réseau de l'interface du tunnel.

Cette adresse doit faire partie du réseau local que vous souhaitez rendre capable de communiquer
avec le réseau local de l'autre côté du tunnel.
Router2(config-if)#tunnel source public-ip-2 où public-ip-2 est l'adresse IP

que le tunnel utilisera dans l'encapsulation.
Habituellement, en tant que routeur connecté à Internet, il doit s'agir d'une adresse IP publique.

Router2(config-if)#tunnel destination public-ip-1 où public-ip-1 est l'adresse IP publique
de l'autre côté.
adjust-mss mss-size mtu-size est la taille MTU et mss-size est la taille
MSS.
N'oubliez pas d'utiliser les mêmes valeurs que vous avez utilisées sur Router1.
9. Configurez le routage entre les deux côtés :
Router1(config)#ip route local-network-1 subnetmask1 public-ip-2 Router2(config)#ip route local-
netwok-2 subnetmask2 pub lic-ip-1 where local- network-1 et subnetmask1 sont l'adresse réseau
et le masque de sous-réseau du réseau dont fait partie l'adresse IP locale de Router1. public-ip-2
est l'adresse IP publique utilisée sur Router2. local-netwok-2 et subnetmask2 sont l'adresse
réseau et le masque de sous-réseau du réseau dont l'adresse IP locale de Router2 fait partie.
public-ip-1 est l'adresse IP publique utilisée sur Router1.
www.hellodigi.ir
6.7.2 Configuration point à point GRE sur IPSec
IPSec est utilisé ici en mode tunneling pour chiffrer la charge utile et l'en-tête des paquets GRE.
Adresse IP de celui-ciÿ:

if)#ip address ip-address-1 subnetmask1 où ip-address-1 est l'adresse IP de l'interface du
tunnel. subnetmask1 est le masque de sous-réseau de l'interface du tunnel.
Router1(config-if)#tunnel source public-ip-1 où public-ip-1 est l'adresse IP

publique que le tunnel utilisera dans l'encapsulation sur Router1. Habituellement, en tant que
routeur connecté à Internet, il doit s'agir d'une adresse IP publique.

Router1(config-if)#tunnel destination public-ip-2 où public-ip-2 est l'adresse IP publique
de l'autre côté.
adjust-mss mss-size où mtu-size est la taille MTU et mss-size est la
taille MSS.
Adresse IP :
if)#ip address ip-address-2 subnetmask2 ip-address-2 est l'adresse IP de l'interface du tunnel.
Subnetmask2 est le masque de sous-réseau de l'interface du tunnel.

Routeur2(config-if)#tunnel source public-ip-2
www.hellodigi.ir
6.7 Comment configurer le tunneling GRE dans un routeur Cisco 161
où public-ip-2 est l'adresse IP que le tunnel utilisera dans l'encapsulation.

Habituellement, en tant que routeur connecté à Internet, il doit s'agir d'une adresse IP publique.

Router2(config-if)#tunnel destination public-ip-1 où public-ip-1 est l'adresse IP
publique de l'autre côté.
adjust-mss mss-size mtu-size est la taille MTU et mss-size est la taille
MSS.
N'oubliez pas d'utiliser les mêmes valeurs que vous avez utilisées sur Router1.
9. Configurez le routage entre les deux côtésÿ:
Router1(config)#ip route local-network-1 subnetmask1 public-ip-2 Router2(config)#ip route
local-netwok-2 subnetmask2 public-ip-1 où local-network-1 et subnetmask1 sont l'adresse
réseau et le sous-réseau masque du réseau dont fait partie l'adresse IP locale de Router1.
public-ip-2 est l'adresse IP publique utilisée sur Router2. local-netwok-2 et subnetmask2 sont
l'adresse réseau et le masque de sous-réseau du réseau dont fait partie l'adresse IP locale de
Router2. public-ip-1 est l'adresse IP publique utilisée sur Router1.
10. Créez une liste d'accès pour identifier le trafic à chiffrerÿ:

Router1(config)#Access-list acl-number permit gre host public-ip-1 host public-ip-2 où acl-
number est le numéro de la liste d'accès qui peut être n'importe quel nombre entre 100 et 199.
public-ip -1 est l'adresse IP publique utilisée sur Router1. public-ip-2 est l'adresse IP publique
utilisée sur Router2.
11. Configurez la stratégie ISAKMP, les clés pré-partagées et le jeu de transformationsÿ:

Router1(config)#crypto isakmp policy 1 Router1(config)#authentication pre-share
Router1(config)#crypto isakmp key pre-shared-key address public -ip-2
Router1(config)#crypto ipsec transform-set transform set-name esp-3des esp-md5-hmac où
pre-shared-key est la clé pré-partagée à utiliser pour chiffrer le trafic. La même clé doit être
utilisée des deux côtés. public-ip-2 est l'adresse IP publique utilisée sur Router2. transform-
set-name est le nom du jeu de transformations.
www.hellodigi.ir
12. Créez et liez un cryptomap au trafic identifié par la liste d'accès de l'étape
dix.
Router1(config)#crypto map map-name 10 ipsec-isakmp Router1(config-map)#set
peer public-ip-2 Router1(config-map)#set transform-set transform-set
Nom
Router1(config-map)#match address acl-number où map-name est le

nom de la crypto map. public-ip-2 est l'adresse IP publique utilisée sur
Router2. transform-set-name est le nom du jeu de transformations
identifié à l'étape 11. acl-number est le numéro de la liste d'accès
identifiée à l'étape 10.
13. Appliquez la crypto map à l'interface physique sur laquelle le trafic du tunnel sera
être transmis.
Router1(config)#interface numéro d'interface de type d'interface
Routeur1(config-if)#crypto map map-name

Routeur1(config-if)#interface Tunnel1
Router1(config-if)#crypto map map-name où
interface-type et interface-number sont le type et le numéro de l'interface physique qui

transportera les données du tunnel GRE. map-name est le nom de la crypto map.
14. Répétez les étapes 10, 11, 12 et 13 sur Router2 mais n'oubliez pas de changer public-ip-2
en public-ip-1 dans toutes ces étapes.
15. À des fins de vérification, utilisez la commande suivanteÿ:
Routeur(config)#show crypto session
6.8 Comment configurer le service AAA sur un routeur Cisco
Quand auriez-vous besoin de ceci : Lorsque vous souhaitez authentifier les utilisateurs à l'aide d'un
serveur distant TACACS+ ou RADIUS.

L'utilisation d'un service d'authentification centralisé est généralement préférable à
l'utilisation d'une authentification décentralisée (au niveau du routeur). Je vais vous donner un
exemple qui vous convaincra de l'importance de AAA ; lorsque vous avez un groupe
d'administrateurs réseau mais pas de service AAA, tous ces administrateurs doivent connaître
tous les mots de passe des routeurs. Si un administrateur quitte son travail, vous devrez
changer tous les mots de passe administrateur pour tous les routeurs. Cependant, si vous
utilisez un service d'authentification centralisé, vous pouvez simplement désactiver le compte
auquel vous souhaitez refuser l'accès.
www.hellodigi.ir
6.8 Comment configurer le service AAA sur un routeur Cisco 163
Rappelez-vous que dans cette configuration, le routeur lui-même ne deviendra pas un serveur
AAA. Vous devrez configurer le serveur ailleurs en utilisant la technologie RADIUS ou TACACS+.
6.8.1 Configuration du RAYON
1. Identifiez l'adresse et la clé utilisées par le serveur RADIUS :

Router(config)#radius-server host server-ip-address key key-number key-value où server-ip-address
est l'adresse IP du serveur RADIUS. Cette adresse peut être une adresse IPv4 ou IPv6. key-
number est le numéro de la clé (il s'agit généralement d'un nombre compris entre 0 et 7). clé-valeur
est la valeur de la clé.
A la fin de cette étape simple, vous pouvez vous arrêter et tout devrait fonctionner correctement.
2. Si vous avez plusieurs serveurs, vous pouvez créer des groupes de serveurs afin que le routeur
peut utiliser un groupe de serveurs au lieu d'un seul.
Router(config)#aaa group server radius group-name Router(config-radius)#server
server-ip-address où group-name est le nom du groupe de serveurs server-ip-address
est l'adresse IP du serveur RADIUS. Cette adresse peut être une adresse IPv4 ou
IPv6.
Répétez la dernière commande pour chaque serveur RADIUS différent que vous souhaitez
ajouter au groupe.
3. Configurez le routeur pour utiliser un groupe d'utilisateurs spécifique pour
VTY : Router(config)#line vty 0 4 Router(config-line)#login authentication
group-name où group-name est le nom du groupe d'utilisateurs. Le même nom identifié à
l'étape 1.

Router#show radius-server Router#show radius-server groups
6.8.2 Configuration TACACS+
1. Activez AAA avec TACACS+ÿ:

Routeur(config)#aaa nouveau-modèle
Routeur(config)#aaa authentication login group-name group
tacac+
www.hellodigi.ir
où le nom de groupe est le nom de groupe des administrateurs autorisés à se connecter

tels qu'identifiés sur le serveur TACACS+.
2. Identifiez les informations du serveur :
Router(config)#tacacs server server-name Router(config-
tacacs)#address address-type ip-address Router(config-tacacs)#key server-key où
server-name est un nom qui vous souhaitez affecter au serveur. le type d'adresse est
IPv4 ou IPv6. adresse-ip est l'adresse IP du serveur. clé-serveur est la clé secrète
configurée sur le serveur.
3. Configurez le routeur pour utiliser un groupe d'utilisateurs spécifique

pour VTY : Router(config)#line vty 0 4 Router(config-line)#login
authentication group-name où group-name est le nom du groupe d'utilisateurs. Le
même nom identifié à l'étape 1.
4. Pour le dépannage, vous pouvez utiliser la commande suivante :
Router#show tacacs
Scénario 6.1
Console
FE0/0
Routeur1
Connectez le réseau simple illustré dans la figure ci-dessus et configurez les paramètres
suivantsÿ:
www.hellodigi.ir
2. Paramètres de l'ordinateur Aÿ:
3. Sur le routeur, lancez une commande 'show run'. Vous devriez voir le mot de passe secret
crypté, mais ni le VTY ni les mots de passe de la console ne seraient cryptés.
4. Activez le service 'password-encryption'.
5. Faites une autre commande 'show run'. Vous devriez voir la console et VTY
mots de passe cryptés.
6. Désactivez le service 'password-encryption'.
7. Une fois de plus, faites un "show run", et vous devriez voir que les mots de passe sont toujours
crypté.
Scénario 6.2
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
www.hellodigi.ir
réglages:
1. Configuration de base des routeursÿ:
2. Configuration des ordinateursÿ:
Ordinateur B Adresse IP 10.0.1.1/24
3. Sur le routeur 1, créez une route par défaut pour envoyer tout le trafic via l'interface de sortie
S0/0.
4. Sur le routeur 2, créez également une route par défaut pour envoyer tout le trafic via la sortie
l'interface S0/0.
5. Créez une liste d'accès standard pour bloquer le trafic du LAN connecté au routeur
2 à l'ordinateur A. Étant donné que les listes d'accès standard filtrent le trafic en fonction de l'adresse IP source
adresse uniquement, nous devons créer l'ACL aussi près que possible de la destination.
Ainsi, nous allons créer l'ACL sur le routeur 1.
6. Avant d'appliquer la liste d'accès, PING de l'ordinateur B à l'ordinateur A.
Le PING devrait réussir.
www.hellodigi.ir
7. Appliquez l'ACL sur le routeur 1 sur le trafic sortant sur l'interface FE0/0.
8. PING de l'ordinateur B à l'ordinateur A. Le PING échouera.
Scénario 6.3
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Imprimante 2 Imprimante 1
réglages:
www.hellodigi.ir
3. Configuration des imprimantesÿ:
Imprimante 1 Adresse IP 10.0.0.10/24
Imprimante 2 Adresse IP 10.0.1.10/24
S0/0.
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue pour bloquer le trafic du réseau local du routeur 2 vers l'imprimante 1.
Étant donné que les ACL étendues ont la capacité de filtrer en fonction des adresses IP source et de
destination, nous pouvons placer la liste aussi près que possible de la source, pour
réduire le trafic réseau. Par conséquent, nous allons créer l'ACL sur le routeur 2.
7. Pour le test, PING de l'ordinateur B à l'imprimante 1. Le PING doit être
couronné de succès.
8. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 2.

9. Répétez le PING de l'ordinateur B à l'imprimante 1. Il devrait échouer maintenant.
10. Créez une autre liste de contrôle d'accès étendue pour bloquer le trafic du réseau local du routeur 1 vers l'imprimante 2.
11. Pour le test, PING de l'ordinateur A à l'imprimante 2. Le PING doit être

www.hellodigi.ir
13. Répétez le PING de l'ordinateur A à l'imprimante 2. Il devrait échouer maintenant.
Scénario 6.4
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Serveur de fichiers
Serveur Web
réglages:
www.hellodigi.ir
3. Configuration des serveursÿ:
Serveur Web Adresse IP 10.0.0.10/24
Serveur de fichiers Adresse IP 10.0.1.10/24
S0/0.
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue pour bloquer le trafic Telnet du réseau local du routeur 2 vers le
Serveur Web. Étant donné que les listes de contrôle d'accès étendues ont la capacité de filtrer en fonction de la source
et les adresses IP de destination, nous pouvons placer la liste aussi près que possible de la
source, pour réduire le trafic réseau. Par conséquent, nous allons créer l'ACL sur le routeur 2.
7. Pour le test, sur l'ordinateur B, ouvrez une page Web sur le serveur Web. La page
devrait s'afficher avec succès.
9. Sur l'ordinateur B, ouvrez une page Web sur le serveur Web. Cela devrait échouer maintenant.
10. Créez une autre liste de contrôle d'accès étendue pour bloquer le trafic ICMP du réseau local du routeur 1 vers
le serveur de fichiers.
www.hellodigi.ir
11. Pour tester, PING de l'ordinateur A au serveur de fichiers. Le PING doit être
13. Répétez le PING de l'ordinateur A vers le serveur de fichiers. Cela devrait échouer maintenant.
Scénario 6.5
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Serveur de fichiers
Serveur Web
réglages:
www.hellodigi.ir
Serveur Web Adresse IP 10.0.0.10/24
Serveur de fichiers Adresse IP 10.0.1.10/24
S0/0.
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue nommée pour bloquer le trafic Telnet du réseau local du routeur 2 vers le
9. Répétez le PING de l'ordinateur B à l'imprimante 1. Il devrait échouer maintenant.
10. Ajoutez une autre ligne à l'ACL (avant l'autorisation de n'importe quelle ligne) pour bloquer tous
trafic entre l'ordinateur A et l'ordinateur B.
11. Pour le test, PING de l'ordinateur A à l'ordinateur B. Le PING doit être
infructueux.
www.hellodigi.ir
Scénario 6.6
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Serveur de fichiers
Serveur Web
réglages:
www.hellodigi.ir
Ordinateur A Adresse IP 2001 :: 10
Ordinateur B Adresse IP 2003 :: 10
Serveur Web Adresse IP 2001 :: 100
Serveur de fichiers Adresse IP 2003 :: 100
S0/0.
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue pour bloquer le trafic Telnet du réseau local du routeur 2 vers le
9. Sur l'ordinateur B, ouvrez une page Web sur le serveur Web. Cela devrait échouer maintenant.
10. Créez une autre liste de contrôle d'accès étendue pour bloquer le trafic ICMP du réseau local du routeur 1 vers
le serveur de fichiers.
www.hellodigi.ir
11. Pour tester, PING de l'ordinateur A au serveur de fichiers. Le PING doit être
13. Répétez le PING de l'ordinateur A vers le serveur de fichiers. Cela devrait échouer maintenant.
Scénario 6.7
FE0/0 S0/0 S0/0 FE0/0
S0/1 S0/1
FE0/1 Routeur2 Routeur1 FE0/1
FE0/3 FE0/2 FE0/3
FE0/2
S0/1 S0/0
FE0/0
Routeur3
OrdinateurE
réglages:
www.hellodigi.ir
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.0.254
Serveur DNS 2 192.16.0.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
Serveur DNS 1 192.16.1.254
Serveur DNS 2 192.16.1.254
(a continué)
www.hellodigi.ir
(a continué)


Serveur DNS 1 192.16.2.254
Serveur DNS 2 192.16.2.254
les deux routeurs.
9. Configurez l'authentification de route EIGRP entre les routeurs 1 et 2 à l'aide de la clé

chaîne CiscoAuth.
10. Activez l'authentification sur les interfaces S0/0 dans les routeurs 1 et 2.
11. Ne configurez pas l'authentification sur le routeur 3.
12. Après la convergence, vérifiez si le réseau 192.168.2.0 est affiché dans le
table de routage des routeurs 1 et 2.
Scénario 6.8
S0/0 S0/1 S0/0 S0/0
FE0/0 FE0/0
Routeur3 Routeur2 Routeur1
www.hellodigi.ir
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
www.hellodigi.ir
5. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés 10.0.0.0 et
172.16.0.0 dans le système autonome numéro 10.
6. Configurez le routage dynamique EIGRP sur le routeur 2 avec le réseau annoncé
7. Configurez le routage dynamique EIGRP sur le routeur 3 avec les réseaux annoncés 10.0.0.0 et
les deux routeurs.
9. Un autre test consisterait à utiliser le routeur 2 pour capturer les paquets provenant de l'utilisation de
la fonctionnalité « Embedded Packet Capture ». Cette fonctionnalité vous permettra de capturer
les paquets et de les enregistrer sous la forme d'un petit fichier PCAP pouvant être extrait du
routeur et lu à l'aide d'un logiciel tel que WireShark.
Une fois que vous avez capturé les paquets et lu leur contenu, vous pouvez facilement voir que le
contenu n'est pas crypté.
10. Configurez un VPN de site à site entre les routeurs 1 et 3 à l'aide des paramètres suivantsÿ:
Clé VPNÿ: CiscoKey@123 Nom
de l'ensemble de transformationsÿ: Ensemble de
transformations CiscoTranformÿ: esp-3des esp-sha-
hmac Nom de la carte de cryptageÿ: MyCryptoMap
Priorité de la carte de cryptageÿ: 7
de l'ordinateur A à l'ordinateur B doit être chiffré.
Scénario 6.9
S0/0 S0/1 S0/0 S0/0
FE0/0 FE0/0
www.hellodigi.ir
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
(a continué)
www.hellodigi.ir
(a continué)
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
les deux routeurs.
9. Un autre test consisterait à utiliser le routeur 2 pour capturer les paquets provenant de l'utilisation du
Fonctionnalité 'Capture de paquets intégrée'. Cette fonctionnalité vous permettra de
capturer les paquets et les enregistrer sous forme de petit fichier PCAP pouvant être extrait
depuis le routeur et lire à l'aide d'un logiciel comme WireShark.
Une fois que vous capturez les paquets et lisez leur contenu, vous pouvez facilement voir que le
le contenu n'est pas crypté.
10. Configurez un tunnel GRE avec IPSec entre les routeurs 1 et 3.
11. Refaire la capture des paquets effectuée à l'étape 9. Les données de tous les paquets circulant
Scénario 6.10
Console
FE0/0
Routeur1
Serveur RADIUS
Ordinateur A
www.hellodigi.ir
Connectez le réseau simple illustré dans la figure ci-dessus et configurez les paramètres suivantsÿ:
2. Paramètres de l'ordinateur Aÿ:
3. Paramètres du serveur RADIUSÿ:
Serveur RADIUS Adresse IP 172.16.0.100
4. Configurez le routeur pour communiquer avec le serveur RADIUS en entrant le

l'adresse IP du serveur ainsi que le numéro et la valeur de la clé. Le numéro de clé et
valeur à obtenir à partir des paramètres du serveur RADIUS.
5. Sur le routeur, créez un groupe AAA nommé MyRADIUSGroup et ajoutez-y le
l'adresse IP du serveur.
6. Pour tester la configuration du serveur RADIUS, configurez le routeur pour effectuer la sécurité VTY
l'authentification à l'aide du groupe de serveurs nommé MyRADIUSGroup. Pour cette tâche,
utilisez la commande login authentication group-name.
www.hellodigi.ir
Chapitre 7
Gestion des routeurs Cisco
Mots-clés Cisco Routeur Cisco IOS IOS Mise à niveau IOS Numéro magique
Rommon Flash TFTP
7.1 Trucs et astuces avant de mettre à niveau l'IOS d'un Cisco

Routeur
La mise à niveau de l'IOS de votre routeur est une opération critique. Vous devez être prudent et
prudent avec chaque commande que vous écrivez. Jetez un œil à ces conseils et astuces avant de
commencer la mise à niveau.
1. Avant d'envisager une mise à niveau, évaluez le besoin réel d'un nouvel IOS. Si l'IOS actuel du
routeur couvre toutes les tâches dont vous avez besoin, aucune mise à niveau n'est nécessaire.
La mise à niveau est généralement nécessaire lorsque vous ajoutez du nouveau matériel, que le
routeur n'est pas capable de gérer ce que vous voulez ou qu'il y a un problème avec l'ancien IOS.
Parfois, il semble y avoir des problèmes de sécurité dans l'IOS, vous devrez donc peut-être
effectuer une mise à niveau même si le routeur fonctionne correctement.
2. Pour voir le contenu du flash et vérifier l'espace disponible, utilisez les

commande suivante,
Router#show flash si votre
routeur a un flash PCMCIA, utilisez cette commande à la place,
Routeur#show slot0ÿ: et
Routeur#show slot1ÿ:
3. Si l'espace n'est pas suffisant pour l'ancienne et la nouvelle copie d'IOS ensemble, vous devrez
effacer l'ancienne. Ne le faites pas manuellement en utilisant 'delete flash: ios-file-name.bin'. Une
fois que vous avez commencé à copier le nouvel IOS, il vous sera demandé d'effacer ou de
conserver l'ancien contenu du flash. Si vous disposez de suffisamment d'espace pour les deux
copies, n'effacez pas le flash.
4. Si le flash de votre routeur est de classe B et possède plus d'une banque, vous pouvez partitionner
le flash. Le partitionnement du flash est utile dans toutes les opérations de copie

DOI 10.1007/978-3-319-54630-8_7
www.hellodigi.ir
184 7 Gestion des routeurs Cisco
car le routeur serait capable de contenir et de maintenir deux copies différentes des fichiers IOS. Le
partitionnement vous protège du risque d'effacer accidentellement l'ancienne copie d'IOS lors de la
mise à niveau. Une procédure pour le partitionnement flash se trouve dans la Sect. 7.9.
5. Ne modifiez pas le nom du fichier IOSÿ; ni l'ancien ni le nouveau. Vous devez avoir une compréhension
complète des conventions de nom de fichier IOS. Vous pouvez trouver une brève description de la
signification du nom de fichier IOS dans Sect. 7.2.
6. Il est toujours plus sûr d'effectuer la mise à niveau via le serveur TFTP et non via XMODEM. Le logiciel
du serveur TFTP est facile à maîtriser et de nombreuses distributions de serveur TFTP sont
disponibles gratuitement.
7. Lors de la mise à niveau via HyperTerminal (XMODEM), ne rechargez pas le routeur
avant que tout le processus de copie ne soit terminé.
8. Si vous avez plus d'un fichier IOS sur le flash et que vous ne savez pas lequel est actuellement chargé,
utilisez la commande 'show version' pour trouver le nom du fichier IOS chargé.
7.2 Comprendre la convention de nom de fichier IOS
Avant de planifier une mise à niveau ou l'installation d'un fichier IOS, vous devez comprendre la
signification du nom de chaque fichier IOS.
Bien que Cisco ait opté pour une manière différente de gérer l'IOS, il est toujours important de
comprendre les différentes versions des fichiers IOS, car de nombreux appareils sur lesquels vous
travaillerez utiliseront l'ancienne convention de dénomination pendant un certain temps.
L'ancien nom de fichier IOS est généralement similaire à cette
formeÿ: platform-featureset-format.aaa-bb.bin
1. La partie plate-forme identifie la série de la plate-forme de l'appareil. Par exemple:

c1005—Pour la plate-forme 1005
c1600—Pour la plate-forme 1600
c1700—Pour les plates-formes 1700, 1720 et 1750 c2500
—Pour les plates-formes 25xx, 3xxx, 5100 et AO (11.2 et versions ultérieures uniquement)
c2600—Pour la plate-forme 2600 c2800—Pour la plate-forme Catalyst 2800 c2900 —Pour
les plates-formes 2910 et 2950 c3620—Pour la plate-forme 3620 c3640—Pour la plate-forme
3640 c4000—Pour la plate-forme 4000 (11.2 et versions ultérieures uniquement) c4500—
Pour les plates-formes 4500 et 4700 2. La partie ensemble de fonctionnalités identifie
l'ensemble de fonctionnalités. Par exemple, b Pour le démarrage de la prise en charge
d'Apple Talk Pour l'image de démarrage c Pour CommServer lite (CiscoPro) faites glisser
Pour l'image de diagnostic basée sur IOS g Pour le sous-ensemble RNIS (SNMP, IP,
Pontage, RNIS, PPP, IPX et AppleTalk)
www.hellodigi.ir
7.2 Comprendre la convention de nom de fichier IOS 185
i Pour le sous-ensemble IP (SNMP, IP, Bridging, WAN, Remote Node et Terminal Services) n Pour la prise en
charge IPX q Pour la prise en charge asynchrone t Pour le retour Telco (12.0) y Pour IP réduit (SNMP, IP RIP/
IGRP/EIGRP, Bridging , RNIS et PPP) (c1003 ou c1004) z Pour les modems gérés 40 Pour le cryptage 40 bits
50 Pour le cryptage 50 bits
3. La partie format identifie l'emplacement où cet IOS fonctionnerait

f Pour le flash
mPour la RAM
r Pour la ROM l
Pour l'image sera déplacée au moment de l'exécution Le fichier

peut également être compressé. Les lettres suivantes indiquent le type de compression, z Pour la compression
zip x Pour la compression mzip w Pour la compression 'STAC'
4. aaa-bb représente la version de l'IOS. Il est généralement lu comme ceci 'Version aa.a(bb)'. La dernière partie du
nom du fichier IOS peut contenir des lettres telles que T (identifiant de version de nouvelle fonctionnalité), S
(numéro de version individuel) ou XR (packages modulaires).
Cisco suit un modèle de conditionnement qui fournit une large sélection d'ensembles de fonctionnalités pour les
nouveaux fichiers IOS. Ces ensembles de fonctionnalités sontÿ:
un. ipbase—pour les fonctionnalités IP de base

b. ipvoice—prise en charge VoIP c. advsecurity
—fonctionnalité de sécurité avancée d. spservices—services de
fournisseur de services e. entbase—services d'entreprise de base
f. advipservices—services IP avancés g. entservices—services
d'entreprise h. adventerprise—services d'entreprise avancés
Ces ensembles de fonctionnalités ont une structure d'héritage telle que chaque ensemble de fonctionnalités
contient toutes les fonctionnalités des ensembles précédents avec des ajouts. Par exemple, l'ensemble de
fonctionnalités advsecurity contient toutes les fonctionnalités d'ipvoice et d'ipbase et leur ajoute davantage de
fonctionnalités de sécurité.
www.hellodigi.ir
7.3 Comment sauvegarder et restaurer la configuration

d'un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous envisagez d'implémenter quelque chose de nouveau
dans la configuration, ou lorsque vous devez copier la configuration d'un routeur à l'autre, ou pour des
sauvegardes régulières.
7.3.1 TFTP
Avant de lancer la procédure de sauvegarde ou de restauration de la configuration, vous devrez

installer le logiciel du serveur TFTP sur un PC connecté à l'interface Ethernet du routeur.
Il existe de nombreux logiciels de serveur TFTP téléchargeables gratuitement sur Internet ;
cependant, notre recommandation est TFTPd ou serveur TFTP gratuit.
Ensuite, assurez-vous de diriger le logiciel du serveur TFTP vers le dossier dans lequel vous
souhaitez contenir les sauvegardes et que le serveur TFTP dispose de suffisamment d'espace libre
pour contenir les sauvegardes.
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0
bits de parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Vérifiez la connectivité entre le routeur et le serveur TFTP avec le
commande 'ping' en mode privilégié.
3. Commencez à copier la configuration sur le serveur TFTPÿ:
Router#copy run tftp Ou
Router#copy start tftp Ensuite, il
vous sera demandé l'adresse IP du
serveur TFTP ou le nom de l'hôte distant []ÿ? tftp-server-address Par la suite, il
vous sera demandé un nom de fichier de destination à enregistrer sur le serveur TFTP.
Nom du fichier de destination [Router-config]ÿ? backup_cfg_for_

routeurX
Il est préférable de choisir un nom descriptif afin de ne pas mélanger les différents fichiers de
configuration.
Vous allez maintenant voir la progression de l'opération. !!
nnn octets copiés en t.tt secondes (rr octets/s)

Le fichier de configuration est généralement copié rapidement car il ne dépasse pas quelques kilo-
octets.
La procédure de sauvegarde est maintenant terminée. Vous pouvez ouvrir le fichier copié sur le
serveur TFTP avec l'éditeur de texte et le visualiser ou le modifier.
4. La procédure de restauration se fait en remplaçant l'étape 3 de la procédure précédente par
ce qui suit:
www.hellodigi.ir
7.3 Comment sauvegarder et restaurer la configuration d'un routeur Cisco 187
Router#copy tftp run Ou

Router#copy tftp start Il vous
sera alors demandé de fournir
l'adresse IP du serveur TFTP Adresse ou nom de l'hôte distant []ÿ? tftp-
server-address Ensuite, il vous sera demandé le nom du fichier source Nom du fichier
source []?backup_cfg_for_routerX Nom du fichier de destination [running-config]ÿ? \\\
ou [configuration de démarrage]
Accéder à tftp://tftp-server-address/backup_cfg_for_
routeurX…
Chargement de backup_cfg_for_routerX à partir de l'adresse du serveur tftp (via
FastEthernet0/0) : !
[OK - bbbb octets] nnnn
octets copiés en t.tt secondes (rrr octets/sec)
Il est conseillé de supprimer toutes les lignes de configuration contenant des commandes
«ÿAAAÿ» du fichier de sauvegarde avant la restauration, afin que vous n'ayez aucun problème
de sécurité pour accéder au routeur. Vous pouvez le faire avec n'importe quel éditeur de texte.
Il existe deux autres façons de sauvegarder et de restaurer la configuration : FTP et
HyperTerminal.
7.3.2 FTP
Vous pouvez utiliser FTP pour sauvegarder et restaurer la configuration en procédant comme suitÿ:
1. Indiquez le nom d'utilisateur et le mot de passe du routeur à utiliser pour l'accès FTPÿ:
Routeur(config)#ip ftp username ftp-username
Routeur(config)#ip ftp password ftp-password
2. Utilisez les commandes suivantes pour copier la configuration vers et depuis le FTP
serveur:
Routeur#copy run ftp ou copy start ftp
Et
Router#copy ftp run ou copy ftp start Et vous devrez
donner les mêmes informations données à l'étape 3 de la procédure précédente pour
effectuer les transferts.
7.3.3 HyperTerminal
Si vous n'avez pas de serveur TFTP ou FTP, vous pouvez utiliser le bon vieux
HyperTerminal pour sauvegarder et restaurer la configuration en procédant comme suitÿ:
www.hellodigi.ir
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0 bits de
parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Exécutez la commande suivanteÿ:
Router#terminal length 0 Cette commande
entraînera l'affichage continu des résultats des commandes show sans pagination.
3. Dans le menu HyperTerminal, sélectionnez 'Transférer', et dans le menu de transfert,

sélectionnez "Capturer le texte". La fenêtre de capture de texte apparaîtra.
4. Choisissez un nom pour le fichier de configuration à enregistrer (par exemple, configuration.txt) et
cliquez sur Démarrer.
5. Sur le routeur, lancez la commandeÿ:

Routeur#show run ou show start
en fonction de la configuration que vous souhaitez sauvegarder

6. Après avoir vu l'ensemble de la configuration affichée, dans le menu HyperTerminal, allez dans le menu
'Transfert' et sélectionnez le sous-menu 'Capture Text' et sélectionnez 'Stop' pour terminer la capture d'écran.
Ceci conclut la sauvegarde. Vous pouvez également modifier le fichier que vous avez enregistré pour
effacer les lignes contenant les commandes 'AAA' afin d'éviter les problèmes d'accès et de sécurité pouvant
être causés par l'opération de restauration.
La procédure de restauration se déroule comme suitÿ:
1. Ouvrez le fichier de sauvegarde de la configuration avec un éditeur de texte et sélectionnez tout le texte en
appuyant sur la combinaison de touches Ctrl-A. Maintenant, choisissez "Copier" dans le menu Edition ou
appuyez simplement sur Ctrl-C.
2. Accédez à la fenêtre HyperTerminal qui vous connecte au routeur sur lequel vous souhaitez effectuer la
restauration. Ensuite, passez en mode privilégié.
3. Dans le menu HyperTerminal, ouvrez le menu 'Edition' et sélectionnez 'Coller sur l'hôte'.
4. Vérifiez la configuration avec la commande 'show run'. Si tout semble correct, utilisez la commande 'copy run
start' pour enregistrer la configuration restaurée.
7.4 Comment sauvegarder un fichier IOS à partir d'un routeur Cisco
Quand en auriez-vous besoin : Lorsque vous envisagez de mettre à niveau le fichier IOS ou que vous devez le
copier sur un autre routeur.

Avant de commencer la procédure de sauvegarde des fichiers IOS, vous devrez installer le logiciel du
serveur TFTP sur un PC connecté à l'interface Ethernet du routeur. Il existe de nombreux logiciels de serveur
TFTP téléchargeables gratuitement sur Internet ; cependant, notre recommandation est TFTPd ou serveur TFTP
gratuit.
Ensuite, assurez-vous de diriger le serveur TFTP vers le dossier dans lequel vous souhaitez contenir les
sauvegardes et que le serveur TFTP dispose de suffisamment d'espace libre pour contenir les sauvegardes.
www.hellodigi.ir
7.4 Comment sauvegarder un fichier IOS à partir d'un routeur Cisco 189
2. Vérifiez la connectivité entre le routeur et le serveur TFTP avec le
commande 'ping'.
3. Lancez la copie du fichier IOS avec l'une des commandes suivantes :
Router#copy flash tftp Utilisez cette commande si votre routeur
dispose d'une mémoire flash interne (par exemple, 2600). Si votre routeur utilise des
cartes flash PCMCIA (par exemple, 3600), utilisez la commande suivante :
Router#copy slot1 : tftp ou Slot0 : selon le fichier que vous souhaitez copier 4. Il vous
sera alors demandé l'adresse IP du serveur TFTP. :
Adresse ou nom de l'hôte distant []ÿ? tftp-server-address 5. Ensuite, il

vous sera demandé un nom de fichier de destination à enregistrer sur le TFTP
les serveurs.
Nom du fichier de destination [ios-filename.bin]ÿ?

Il est préférable de laisser le nom du fichier IOS tel quel et d'appuyer sur "Entrée" pour éviter
toute confusion possible au moment de la restauration.
Vous verrez maintenant la progression du transfert de fichiers.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!! !!!
[OK - nnnnn octets]
nnnnnn octets copiés en yy.yyy secs (zzz bytes/sec)
Pour la procédure de restauration, vous pouvez vous référer à la procédure de mise à niveau du fichier IOS
dans la Sect. 7.5.
www.hellodigi.ir
7.5 Comment mettre à niveau l'IOS sur un routeur Cisco
Quand en auriez-vous besoin : La mise à niveau est requise lorsque vous envisagez d'ajouter plus de
fonctions au routeur ou à un nouveau module matériel. L'installation est également requise lorsque l'image
IOS que vous avez sur le routeur est corrompue.
Exigences spéciales : La taille du flash du routeur doit être suffisante pour la nouvelle image IOS.
Avant de commencer la procédure de mise à niveau IOS, vous devrez installer le logiciel du serveur
TFTP sur un PC connecté à l'interface Ethernet du routeur. Il existe de nombreux logiciels de serveur TFTP
téléchargeables gratuitement sur Internet ; cependant, notre recommandation est TFTPd ou serveur TFTP
gratuit.
Ensuite, vous devez vous assurer de diriger le serveur TFTP vers le dossier contenant la nouvelle image
IOS que vous avez.
Nous établirons deux procédures pour deux types de routeurs différentsÿ; une procédure pour les routeurs
équipés d'une mémoire flash interne (par exemple, 2600) et une procédure légèrement différente pour les
routeurs équipés de cartes flash PCMCIA (par exemple, 3600).
7.5.1 Procédure de mise à niveau pour les routeurs Cisco avec

Éclat
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0 bits de
parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Vérifiez la connectivité entre le routeur et le serveur TFTP à l'aide de 'ping'.
Assurez-vous que l'interface du routeur et les adresses IP du serveur TFTP sont dans la même plage et
que le ping répond bien.

3. Bien que la mise à niveau se produise dans la mémoire flash et que la configuration soit enregistrée dans
la NVRAM, effectuez une sauvegarde de la configuration. Ceci est recommandé en cas de problème
lors de la mise à niveau. Faites également une copie de sauvegarde de l'IOS que vous avez déjà sur le
routeur. Si la nouvelle image IOS est corrompue, vous serez du bon côté. Pour le processus de
sauvegarde, veuillez vous référer à la procédure de sauvegarde IOS dans la Sect. 7.4 et la procédure
de sauvegarde de la configuration dans la Sect. 7.3 4. Démarrez la mise à niveau par la commande :
Router#copy tftp flash Vous serez alors invité à entrer l'adresse IP du serveur TFTP : Adresse ou nom de
l'hôte distant [] ? tftp-server-address Par la suite, il vous sera demandé le nom du nouveau fichier IOS
copié à partir du serveur TFTPÿ:
Nom du fichier source []ÿ? ios-filename.bin Gardez à l'esprit

que le nom du fichier IOS est sensible à la casse.
Maintenant, il vous sera demandé le nom du fichier de destination sur votre routeur,
Destination filename []?ios-filename.bin
www.hellodigi.ir
7.5 Comment mettre à niveau l'IOS sur un routeur Cisco 191
Il est préférable de le conserver comme nom de fichier source, pour pouvoir identifier
facilement les fichiers sur le serveur TFTP par rapport à ceux sur les routeurs. Aussi,
garder le nom signifie identifier facilement les fonctionnalités de cet IOS.
Il vous sera alors demandé si vous souhaitez ou non effacer le(s) fichier(s) existant(s) dans le flash.
Si vous avez suffisamment d'espace libre sur le flash, n'effacez pas l'ancienne image IOS, vous
pourriez en avoir besoin.
Effacer le flash : avant de copier ? [confirmer]
Ensuite, le routeur commence à copier le nouveau fichier IOS sur le routeur, ou commence à
effacer le flash puis à le copier. Si vous souhaitez conserver le contenu du flash, écrivez
simplement 'n' et appuyez sur Entrée.
L'effacement du système de fichiers flash supprimera tous les fichiersÿ! Continuer?
[confirmer]y Effacement de l'appareil… eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
eeeeeeeeeeeeeeee
eeeeeeeeee … effacé
Effacement de la mémoire flashÿ:
terminé
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!
[OK - nnnnnn/mmmmmm octets]

Vérification de la somme de contrôle… OK
(0xAC8A) nnnnnn octets copiés en tt.tt secondes (yyyyy octets/s)
www.hellodigi.ir
Le processus de copie prend plusieurs minutes ; l'heure diffère d'un réseau à l'autre.
Pendant le processus de copie, des messages s'affichent pour indiquer quel fichier a été
consulté.
Le point d'exclamation '!' indique que le processus de copie est en cours.
Chaque point d'exclamation indique que dix paquets ont été transférés avec succès.
Une vérification de la somme de contrôle de l'image se produit après l'écriture de l'image dans la
mémoire flash.
5. Avant de recharger le routeur, vous devez vous assurer de deux choses. La première est
que la valeur du registre de configuration est 0x2102. Vous pouvez vérifier cela avec la
commande 'show version'. Si la valeur du registre de configuration n'est pas 0x2102, vous
devrez la définir à cette valeur avec la commande suivante : Router(config)#config-register
0x2102 Si vous n'avez pas effacé le contenu de la mémoire flash, vous devrez configurer
le routeur pour démarrer à partir du nouveau fichier IOS avec les commandes suivantes :
Router(config)#no boot system Router(config)#boot system flash ios-filename.bin 6. Si
vous tapez la commande reload, le routeur vous demande si vous voulez pour enregistrer
la configuration. Vous devez faire attention à cette situation. Si le routeur est en mode de
démarrage par exemple, c'est un sous-ensemble du logiciel Cisco IOS complet qui s'exécute
et il n'y a pas de fonctionnalité de routage. Par conséquent, toute la configuration de
routage est automatiquement effacée de la configuration en cours. Ainsi, si vous enregistrez
la configuration à ce stade, vous effacerez la configuration de démarrage complète déjà
présente dans la NVRAM et la remplacerez par la configuration d'exécution incomplète.
Enregistrez la configuration uniquement si vous êtes sûr d'avoir la configuration complète

dans la sortie de show run. Il n'est pas nécessaire de sauvegarder la configuration pour
prendre en compte le nouveau config-register si celui-ci a été modifié précédemment.
Cela se fait automatiquement.
Router#reload La
configuration du système a été modifiée.Enregistrerÿ?[oui/non]ÿ: y Configuration du
bâtiment…[OK]
Continuer le rechargementÿ? [confirmer]
7. Pour vérifier que la nouvelle image est chargée après le 'reload', utilisez la commande
'show version'.
00:22:25ÿ: %SYS-5-CONFIG_Iÿ: Configuré à partir de la console par console Logiciel de
système d'exploitation Cisco Internetwork IOS TM Logiciel CNNNN (CNNNN-NN), Version
NN.N(NN), LOGICIEL DE VERSION (fc1)
Copyright (c) 1986-2002 par Cisco Systems, Inc.

Compilé le lundi 25 mars 2002 à 20h33 par xxxxx Image
text-baseÿ: 0980008088, data-baseÿ: 0980828788 ROMÿ: System Bootstrap,
Version nn.n(n)XA4, RELEASE
LOGICIEL
www.hellodigi.ir
(fc1)
La disponibilité de XXXX est de 22
minutes Le système est retourné à la ROM par
'
rechargement Le fichier image système est 'flash: cNNNN-N-NN.NNN-NN.bin /
Vérifiez-le ici À l'étape 1 ou après la mise à niveau, si le routeur démarre en mode
rommon ou en mode de démarrage et vous avez l'un des cas suivantsÿ: rommon 1>dir flashÿ:
l'appareil ne contient pas de numéro magique valide dirÿ: impossible d'ouvrir l'appareil 'flashÿ:'
rommon 2>
ou
router(boot)>dir le
périphérique ne contient pas de numéro magique valide bootÿ: impossible
d'ouvrir 'flashÿ:' bootÿ: impossible de déterminer le premier nom de fichier
sur le périphérique 'flashÿ:' Cela signifie que le flash est vide ou que le système de fichiers
est corrompu. Dans ce cas, vous devez envisager d'utiliser la procédure de mise à niveau ou
d'installation de l'IOS à partir du mode rommon dans Sect. 7.7.
7.5.2 Procédure de mise à niveau pour les routeurs Cisco avec PCMCIA
Éclat
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0 bits
de parité, 1 bit d'arrêt, pas de contrôle de flux). Si votre routeur ne démarre pas régulièrement,
reportez-vous à la Sect. 6.6.
2. Vérifiez la connectivité entre le routeur et le serveur TFTP avec la commande 'ping'. Assurez-vous
que le logiciel du serveur TFTP est en cours d'exécution et que le répertoire de travail du serveur
TFTP contient le nouveau fichier IOS. Il est également conseillé de sauvegarder la configuration
et l'ancien fichier IOS avant de continuer.
Pour cela, vous pouvez vous référer à la procédure de sauvegarde IOS dans la Sect. 7.4 et la
procédure de sauvegarde de la configuration dans la Sect. 7.3.
3. Vérifiez si vous disposez de suffisamment d'espace sur la carte flash pour le nouveau fichier IOSÿ:
Routeur#dir slot1ÿ:
Si vous trouvez qu'il n'y a pas assez d'espace, vous pouvez supprimer un ou plusieurs fichiers du
flashÿ:
Router#delete slot1: old-ios-file.bin Si vous supprimez un ou
plusieurs fichiers de la mémoire flash, ne rechargez pas et ne rallumez pas le routeur tant que
vous n'avez pas terminé cette procédure. Le système d'exploitation que le routeur utilise
maintenant est chargé dans la RAM du routeur. Ainsi, si vous redémarrez le routeur avant de
flasher le nouvel IOS, le routeur ne fonctionnera pas correctement.
www.hellodigi.ir
4. Copiez le nouveau fichier IOS du serveur TFTP vers le routeurÿ:

Router#copy tftp slot1ÿ: Adresse
ou nom de l'hôte distant []ÿ? tftp-server-address Nom du fichier source []ÿ? nom-
fichier-ios.bin Nom du fichier de destination [nom-fichier ios.bin]ÿ?
Accéder à tftp://tftp-server-address/ios-filename.bin Effacer

l'emplacementÿ1ÿ: avant de copierÿ? [confirmer]n Vous pouvez dire 'non'
ici car vous avez déjà vidé l'espace pour le nouveau fichier IOS
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!! !!!
[OK - nnnnnnn/mmmmmm octets]
Vérification de la somme de contrôle… OK
(0x13F0) nnnnnnnn octets copiés en tt.ttt secondes (rrrrr octets/s)
Routeur #
5. Vérifiez le nouveau fichier IOS dans la carte flash :

Router#dir slot1ÿ: 6. Dirigez le routeur pour qu'il
charge le nouveau fichier IOS au prochain démarrageÿ:
Routeur(config)#no boot system
Router(config)#boot system flash slot1: ios-filename.bin
www.hellodigi.ir
7. Assurez-vous que le registre de configuration a la valeur 0x2102. Ceci est vérifié par la commande
'show version'. Si le registre de configuration a une valeur autre que 0x2102, utilisez la commande
suivante pour la modifier : Router(config)#config-register 0x2102
8. Enregistrez la configuration avec l'une des deux commandes suivantes : Router#write

memory Ou Router#copy run start
9. Rechargez le routeur avec la commande 'reload' et vérifiez la nouvelle version IOS avec la commande
'show version' après le rechargement. Cette commande vous montrera également le nom du fichier
IOS qui a été chargé.
7.6 Comment mettre à niveau l'IOS d'un routeur Cisco à

l'aide d'HyperTerminal
Quand en auriez-vous besoinÿ: lorsque vous souhaitez mettre à niveau le fichier IOS et que vous n'avez
pas de TFTP de serveur FTP, ou que vous avez un IOS corrompu dans le routeur et que le routeur ne
démarre pas.
Exigences spéciales : La taille de la mémoire flash du routeur doit être adaptée à la nouvelle image IOS
et vous devez disposer de suffisamment de RAM dans le routeur pour le fonctionnement et le stockage
temporaire du nouveau fichier IOS.
Il est recommandé de sauvegarder l'ancien fichier IOS avant la mise à niveau en utilisant la procédure
de sauvegarde IOS dans la Sect. 7.4, et sauvegardez également la configuration en utilisant la procédure
de la Sect. 7.3 si vous avez toujours accès au routeur. Gardez à l'esprit que cette procédure n'est pas
recommandée. Il est recommandé de procéder à la mise à niveau à l'aide d'un serveur TFTP ou FTP de
Sect. 7.5. En effet, cela prend beaucoup plus de temps et vous ne voyez pas d'erreur lorsqu'elle se produit
tant que la copie n'est pas terminée. Pour mettre à niveau ou installer IOS à l'aide d'HyperTerminal ou de
tout autre logiciel d'émulation de terminal, procédez comme suitÿ:
2. Modifiez le débit en bauds du port de console à son maximum 115 200 Router#set
baud=115200 3. Réinitialisez le port de console Router#reset Vous n'obtiendrez plus
de sortie à l'écran tant que vous n'aurez pas terminé l'étape 4.
4. Modifiez la vitesse de connexion de l'HyperTerminal en vous déconnectant et en vous reconnectant

avec le débit en bauds de 115200 avec tous les autres paramètres mentionnés à l'étape 1 inchangés.
5. Préparez le routeur pour la réception du nouveau fichier IOS

Routeur#upload XMODEM
Maintenant, vous aurez le message suivant,
www.hellodigi.ir
Prêt pour le téléchargement X/Modem…

[remarque : pas de barre d'état pour les transferts XMODEM, abandonner avec Control-X ou pause]
6. Envoyez le fichier depuis votre logiciel d'émulation de terminal. Cela se fait en sélectionnant «ÿTransférerÿ»
dans le menu supérieur d'HyperTerminal, puis «ÿEnvoyer le fichierÿ». Dans la boîte de dialogue Envoyer
le fichier, choisissez le nouveau fichier IOS à l'aide du bouton "Parcourir", choisissez "XMODEM" comme
protocole, puis appuyez sur "Envoyer".
L'opération d'envoi peut prendre beaucoup de temps et il n'y a pas d'indicateur de progression dans le
routeur, mais vous aurez un indicateur de progression dans l'HyperTerminal.
Une fois la copie terminée, vous recevrez un message, téléchargementÿ: réussi
(ttt secondes)
Maintenant, le nouveau fichier IOS est dans la RAM du routeur.
7. Si vous n'avez pas assez d'espace dans la mémoire flash du routeur pour les anciens et les nouveaux
fichiers, supprimez l'ancien fichier IOS (ce n'est cependant pas recommandé), Router#delete flash:old-ios-
file.bin
8. Enregistrez le nouveau fichier IOS sur le flash,
Routeur#save file=new-ios-file.bin
Le new-ios-file.bin est un nom de votre choix pour le nouveau fichier IOS. Il est préférable d'utiliser le même
nom que le fichier d'origine qui a été stocké sur votre ordinateur.
9. Demandez au routeur de charger le nouveau fichier IOS au prochain démarrage,
Router(config)#no boot system Router(config)#boot system flash new-ios-file.bin 10.
Vous pouvez recharger le routeur maintenant, mais rappelez-vous pour rétablir les
paramètres de l'HyperTerminal à 9600 bauds pour obtenir une sortie sur votre écran après le rechargement. Si
vous tapez la commande reload, le routeur peut vous demander si vous souhaitez enregistrer la
configuration. Si le routeur est en mode de démarrage par exemple, c'est un sous-ensemble du logiciel
Cisco IOS complet qui s'exécute et il n'y a pas de fonctionnalité de routage.
Par conséquent, toute la configuration de routage a disparu dans la configuration en cours et si vous
enregistrez la configuration à ce moment, vous effacez la bonne configuration de démarrage dans la
NVRAM et la remplacez par la configuration en cours incomplète.
Enregistrez la configuration uniquement si vous êtes sûr d'avoir la configuration complète dans la sortie de
show run. Il n'est pas nécessaire de sauvegarder la configuration.
7.7 Comment mettre à niveau ou installer IOS sur un routeur Cisco à l'aide de
Mode Rommon
Quand auriez-vous besoin de ceci : Si la mémoire flash de votre routeur ou le fichier IOS est corrompu, vous
pouvez utiliser cette procédure pour installer un nouveau fichier IOS. Bien qu'elle ne soit pas recommandée,
cette procédure peut également être utilisée pour mettre à niveau l'IOS du routeur.
Exigences spécialesÿ: la taille de la mémoire flash du routeur doit être suffisante pour le nouveau fichier IOS.
www.hellodigi.ir
7.7 Comment mettre à niveau ou installer IOS sur un routeur Cisco à l'aide du mode rommon 197
Avant de commencer la procédure de mise à niveau ou d'installation d'IOS, vous devrez installer
le logiciel du serveur TFTP sur un PC connecté à l'interface Ethernet du routeur.
Il existe de nombreux logiciels de serveur TFTP téléchargeables gratuitement sur Internet ;
cependant, notre recommandation est TFTPd et les serveurs TFTP gratuits.
Après avoir installé le logiciel du serveur TFTP sur votre ordinateur, assurez-vous de diriger le
serveur TFTP vers le dossier contenant la nouvelle image IOS que vous avez.
Si vous utilisez cette procédure pour mettre à niveau le fichier IOS et que le routeur fonctionne
correctement, il est préférable de sauvegarder l'ancien fichier IOS avant de commencer la procédure
de mise à niveau. Pour cela, reportez-vous à la procédure de sauvegarde de l'IOS à la Sect. 5.4.
2. Si votre fichier flash ou IOS est corrompu et que votre routeur passe directement en mode de
démarrage du routeur (Router(boot)#), passez à l'étape 4. Si votre routeur rencontre des
problèmes et démarre directement en mode ROMmon (rommon 1> ou >), passez à l'étape 3. Si
votre routeur démarre normalement, interrompez la séquence de démarrage du routeur en
appuyant sur Ctrl-Break une fois le routeur sous tension. Cela vous mènera au mode ROMmon
avec l'invite : rommon 1>
Ou
>
3. Remplacez la valeur du registre de configuration par 0x2101 pour demander au routeur de démarrer
en mode de démarrage du routeur. Ensuite, rechargez le routeur.
Si vous avez l'invite 'rommon 1>', utilisez les commandesÿ: rommon
1>confreg 0x2101 rommon 2>reset
Tandis que si vous avez l'invite '>', utilisez : >o/r

0x2101
> je
4. Maintenant que vous êtes en mode de démarrage du routeur avec l'invite (Router(boot)#), vous
devrez donner une adresse IP valide et une adresse de passerelle par défaut au routeur, afin qu'il
puisse communiquer avec le serveur TFTP. Cette adresse IP sera attribuée à l'interface du
routeur Ethernet 0/0 ou fastethernet 0/0. Assurez-vous que cette interface est l'endroit où vous
connectez le serveur TFTP au routeur.
Router(boot)>enable
Router(boot)#configure terminal Router(boot)
(config)#interface ethernet 0 Router(boot)(config-if)#ip address interface-
address
Routeur(boot)(config-if)#no shutdown
Routeur(boot)(config-if)#exit
Routeur(boot)(config)#ip default-gateway default-gate way-address
www.hellodigi.ir
Vous pouvez remplacer Ethernet par fastethernet s'il s'agit du type d'interface de votre routeur.
En outre, vous pouvez utiliser n'importe quelle adresse IP et masque de sous-réseau que vous
jugez appropriés tant qu'ils correspondent au serveur TFTP. L'adresse IP de la passerelle par
défaut n'a pas d'importance si vous avez le serveur TFTP dans le même réseau où se trouve
l'interface du routeur. Vous pouvez facilement la configurer pour qu'elle soit l'adresse IP du serveur TFTP.
5. Vérifiez la connectivité entre le routeur et le serveur TFTP avec le 'ping'
commande.
6. Démarrez la copie du nouveau fichier IOS du serveur TFTP vers la mémoire flash.
Router(boot)#copy tftp flash On vous
demandera maintenant l'adresse IP du serveur TFTP,
l'adresse ou le nom de l'hôte distant [255.255.255.255]ÿ? tftp server-address
Ensuite, le nom du fichier source, Nom du fichier sourceÿ? ios-filename.bin
Veuillez noter que le nom du fichier est sensible à la casse et assurez-vous
que le répertoire de travail du serveur TFTP est celui contenant le nouveau
fichier IOS.
Ensuite, il vous sera demandé un nom de fichier de

destination, Nom du fichier de destination [ios-filename.bin]ÿ?
Il est conseillé de conserver le nom du fichier tel quel pour référence future.
Accès au fichier 'ios-filename.bin' sur l'adresse du serveur TFTP.…
Chargement de ios-filename.bin à partir de tftp-server-address (via Ethernet0) : !
[OK] Le périphérique doit être effacé avant de copier un nouveau fichier.
Effacer le périphérique flash avant d'écrireÿ? [confirm]y Copiez 'ios-filename.bin'
du serveur en tant que 'ios-filename. bin'into Flash AVEC effacer? [oui/non]oui
Effacement de l'appareil…
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee … effacé Chargement ios-
filename.bin depuis tftp-server-address (via Ethernet0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
www.hellodigi.ir
7.7 Comment mettre à niveau ou installer IOS sur un routeur Cisco à l'aide du mode rommon 199
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!
OK - nnnnnn/yyyyyy octets]
Vérification de la somme de contrôle… OK (096526)
La copie du périphérique Flash a pris 00:aa:aa [hh:mm:ss]
Routeur (démarrage) #
7. Remettez la valeur du registre de configuration sur 0x2102.

Routeur(démarrage)#configure terminal
Routeur(démarrage)(config)#config-register 0x2102
Routeur(démarrage)(config)#exit Routeur(démarrage)#
8. Recharger le routeur
Router(boot)#reload La
configuration du système a été modifiée. Sauvegarder? [oui/non]ÿ:ÿnon
Configuration du bâtiment…
[D'ACCORD]
Continuer le rechargementÿ? [confirmer]

9. Tout devrait bien se passer maintenant, et vous devriez recevoir le
(Routeur>). Pour vérifier la version et le nom de fichier du nouvel IOS, utilisez
la commande 'show version'.
7.8 Comment copier l'IOS d'un routeur Cisco à un autre
Quand en auriez-vous besoinÿ: lorsque vous souhaitez copier un fichier IOS d'un routeur à un
autre à des fins de mise à niveau ou d'installation. Ceci est généralement nécessaire lorsque
vous n'avez pas de serveur TFTP à proximité.
Exigences spéciales : La taille du flash du routeur de destination doit être adaptée à la

nouvelle taille de fichier IOS. Les modèles des deux routeurs doivent être identiques.
Sur le routeur source qui contient le fichier IOS que vous souhaitez copier, émettez le
commande suivanteÿ:
Router(config)#tftp-server flash:/source-ios-file-name.bin Où source-ios-file-
name.bin est le nom du fichier IOS que vous souhaitez copier. Si vous utilisez
un routeur doté d'une carte flash PCMCIA, remplacez le «ÿflashÿ:ÿ» par «ÿslot0ÿ:ÿ»
ou «ÿslot1ÿ:ÿ» dans la commande précédente, en fonction de l'emplacement qui
contient le fichier que vous souhaitez copier.
www.hellodigi.ir
Cette commande fera agir le routeur comme un serveur TFTP. Le reste de la

La procédure est effectuée sur le routeur cible et peut être trouvée dans la Sect. 7.5.
Après avoir terminé l'opération de copie, émettez la commande pour désactiver les serveurs TFTP
sur le routeurÿ:
Routeur(config)#no tftp-server flash:/source-ios-file-name. poubelle
7.9 Comment partitionner la mémoire flash interne d'un Cisco

Routeur
Quand en auriez-vous besoin : Lorsque vous disposez de suffisamment d'espace dans la mémoire flash du routeur
et que vous avez l'intention d'avoir deux images IOS à charger alternativement.
Exigences particulières : pour partitionner la mémoire flash, vous devez disposer d'au moins deux
banques de mémoire flash. Une banque est un ensemble de quatre puces. Cette exigence inclut les
systèmes qui prennent en charge un seul module SIMM doté de deux banques de mémoire flash. La
taille de partition minimale est la taille d'une banque.
Sur la plupart des systèmes de fichiers flash de classe B, vous pouvez partitionner les banques de
mémoire flash en périphériques logiques distincts afin que le routeur puisse contenir et maintenir deux
images logicielles différentes ou plus.
Ce partitionnement vous permet d'écrire des logiciels dans la mémoire flash tout en exécutant des
logiciels dans une autre banque de mémoire flash.
Cette commande est un exemple de partition de la mémoire flashÿ:
Routeur(config)#partition partitions flash size-of-parti
tion1 taille-de-partition2
Cette commande suivante concerne les routeurs des gammes Cisco 1600 et 3600ÿ:
Routeur(config)#partition flash-filesystemÿ: nombre de paires
tition partition-size Toutes les tailles
mentionnées ici sont en mégaoctets. Cette tâche ne réussit que si le système dispose d'au moins
deux banques de mémoire flash et que le partitionnement n'entraîne pas le fractionnement d'un fichier
existant dans la mémoire flash sur les partitions.
Pour toutes les plates-formes à l'exception des routeurs des gammes Cisco 1600 et 3600, flash
la mémoire ne peut être partitionnée qu'en deux partitions.
Pour les routeurs des gammes Cisco 1600 et 3600, le nombre de partitions que vous pouvez
créer dans un périphérique de mémoire flash est égal au nombre de banques dans le périphérique.
Exécutez la commande show flash-filesystem: all pour afficher le nombre de banques sur le
périphérique de mémoire flash. Le nombre d'entrées de taille de partition que vous définissez doit être
égal au nombre de partitions spécifiées. Par exemple, la commande partition slot0: 2 8 8 configure deux
partitions d'une taille de 8 Mo chacune. Le premier 8 correspond à la taille de la première partition en Mo,
tandis que le second 8 correspond à la taille de la seconde partition en Mo.
www.hellodigi.ir
Scénario 7.1
Console
FE0/0
Routeur1
Serveur TFTP
Ordinateur A
réglages:
passerelle par défaut 172.16.0.254
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
www.hellodigi.ir
3. Paramètres du serveur TFTPÿ:
Serveur TFTP Adresse IP 172.16.0.100
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
4. Pour vérifier la connectivité, envoyez un ping de l'ordinateur A au serveur TFTP et

du routeur 1 au serveur TFTP.
5. Le serveur TFTP contient, dans son répertoire de travail, une nouvelle version d'IOS nommée
nouveau-ios.bin.
6. Mettez à niveau l'IOS sur le routeur 1 vers la nouvelle version disponible sur les serveurs TFTP.
7. Demandez au routeur de démarrer dans le nouveau fichier lorsque le routeur redémarre.
Scénario 7.2
Console
FE0/0
Routeur1
FE0/0
Routeur 2
Ordinateur A
réglages:
www.hellodigi.ir
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
4. Pour vérifier la connectivité, envoyez un ping de l'ordinateur A au routeur 2 et de

Routeur 1 au routeur 2.
5. Le routeur 2 contient, dans son flash, une nouvelle version d'IOS nommée new-ios.bin.
6. Configurez le routeur 2 pour qu'il soit un serveur TFTP et publiez son contenu flash en tant que
Répertoire de travail TFTP.
7. Mettez à niveau l'IOS sur le routeur 1 vers la nouvelle version disponible sur le serveur TFTP.
(Routeur 2).
8. Demandez au routeur 1 de démarrer dans le nouveau fichier lorsque le routeur redémarre.
9. Supprimez les paramètres TFTP du routeur 2.
Scénario 7.3
Console
FE0/0
Routeur1
Serveur TFTP
Ordinateur A
www.hellodigi.ir
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
4. Pour vérifier la connectivité, envoyez un ping de l'ordinateur A au serveur TFTP et

du routeur 1 au serveur TFTP.
5. Sauvegardez la configuration en cours d'exécution du routeur 1 du serveur TFTP. Nomme le
fichier de destination 'backup-configuration.conf'
6. Remplacez le nom d'hôte du routeur 1 par 'NotRouter1'. Faites un 'show run' juste pour
assurez-vous que la configuration a changé.
7. Restaurez le fichier backup-configuration.conf du serveur TFTP vers le
configuration en cours d'exécution.
8. Faites un "show run" juste pour vous assurer que la configuration est revenue à
l'original.
www.hellodigi.ir
Scénario 7.4
Console
FE0/0
Routeur1
Ordinateur A
Connectez le réseau simple illustré dans la figure ci-dessus. Le fichier IOS sur le routeur 1
a été corrompu et vous ne pouvez pas accéder au serveur TFTP ni configurer une adresse IP.
1. Utilisez le logiciel d'émulation de terminal installé sur l'ordinateur A pour restaurer le fichier
IOS de l'ordinateur A vers le routeur 1 à l'aide du protocole XMODEM.
2. Configurez le routeur pour charger le nouvel IOS au lieu de l'ancien après le redémarrage.
Scénario 7.5
Console
FE0/0
Routeur1
Serveur TFTP
Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus. Le routeur 1 a une image IOS
corrompue et il ne démarre pas correctement. Le routeur continue de démarrer en mode rommon.
Configurez les paramètres suivantsÿ:
www.hellodigi.ir
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
3. Pour vérifier la connectivité, envoyez une requête ping de l'ordinateur A au TFTP.

4. En utilisant le mode rommon, configurez l'interface FE0/0 du routeur pour utiliser l'adresse IP
172.16.0.254/24.
5. Le serveur TFTP contient, dans son répertoire de travail, une nouvelle version d'IOS
nommé new-ios.bin.
6. Mettez à niveau l'IOS sur le routeur 1 vers la nouvelle version disponible sur le serveur TFTP.
en mode rommon.
7. Demandez au routeur de démarrer dans le nouveau fichier lorsque le routeur redémarre.
www.hellodigi.ir
Chapitre 8
Connectivité à distance au routeur Cisco
Mots-clés Cisco Routeur Telnet SSH Nom d'utilisateur Liste d'accès Connexion à distance
8.1 Comment configurer SSH sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez configurer votre routeur à distance via un
environnement non sécurisé.
Exigences particulièresÿ: version IOS supérieure à 12.1.3.T (avec un "k9" dans son ensemble de fonctionnalités).
L'utilisation de Telnet sur Internet n'est pas un choix judicieux. Cela est dû au fait que Telnet
transporte tout en clair sans aucun type de cryptage. L'alternative à cela est l'utilisation d'un hôte
shell sécurisé (SSH). SSH crypte le trafic entre le routeur et le terminal pour assurer la protection
du contenu. Passons maintenant à la configurationÿ:
1. Vous devez configurer un nom d'hôte et un nom de domaine car ils seront utilisés dans
générer les clés de sécurité utilisées dans le chiffrementÿ:
Routeur#config t
Router(config)#hostname router-name router-name(config)#ip
domain-name votre-domaine où
nom-routeur est le nom d'hôte de votre choix. your-

domain est le nom de domaine de votre réseau. Si vous n'utilisez pas de nom de domaine,
donnez simplement n'importe quel nom pour le bien de SSH.
2. Générez les clés à utiliser pour le chiffrement RSAÿ:
router-name(config)#crypto key générer rsa
3. Configurez les deux paramètres importants de SSH, le délai de connexion et le nombre de
tentatives d'authentificationÿ:
router-name(config)#ip ssh time-out time-out où time-out est le délai de
connexion en secondes (par exemple, pour deux minutes, mettez 120 secondes).

DOI 10.1007/978-3-319-54630-8_8
www.hellodigi.ir
208 8 Connectivité à distance au routeur Cisco
router-name(config)#ip ssh authentication-retries num ber-of-retries où number-of-retries est le

nombre maximal de tentatives d'authentification autorisées.
Les réglages de ces deux paramètres, ou de l'un d'entre eux, ainsi que la 'crypto key generate
rsa' activent SSH.
4. Désactivez les sessions Telnet et configurez le routeur pour accepter uniquement SSH. Avant de
faire cela, il est conseillé d'essayer SSH et de s'assurer qu'il fonctionne correctement. router-
name(config)#line vty 0 4 (ou 0 15, selon le type de routeur) router-name(config-line)#transport
input ssh
5. Pour le dépannage, utilisez la commande suivante : router-

name#sh ip ssh
6. Comme mesure de sécurité supplémentaire, vous pouvez modifier le numéro de port utilisé par
SSH. Par défaut, SSH utilise le numéro de port 22. Vous pouvez modifier cela via la commande
suivante : router-name(config)#ip ssh port new-port-number où new-port-number est un numéro
de port de votre choix. N'oubliez pas de configurer votre client SSH pour contacter le nouveau
port, pas l'ancien 22.
7. Pour désactiver SSH, vous pouvez utiliser la commande :

router-name(config)#crypto key zeroize rsa Cette commande supprime
la clé RSA. Par conséquent, SSH sera désactivé. Si vous souhaitez revenir à Telnet par la suite,
utilisez ces commandes : router-name(config)#line vty 0 4 (ou 0 15, selon le type de routeur)
router-name(config-line)#transport input telnet 8. Pour plus de sécurité, il est conseillé de configurer
une liste d'accès pour limiter les adresses IP autorisées à initier des sessions SSH avec le routeur.
Cela peut être fait en utilisant la procédure de sécurisation des sessions Telnet avec une liste
d'accès illustrée à la Sect. 8.3.
8.2 Comment sécuriser les sessions d'accès à distance

avec mot de passe uniquement
Cela peut être fait pour Telnet et SSH.
8.2.1 Telnet
Généralement, Telnet n'est pas un protocole sécurisé. Toutes les commandes de configuration, y
compris les mots de passe, sont envoyées en clair. Il est fortement déconseillé d'utiliser Telnet pour
www.hellodigi.ir
8.2 Comment sécuriser les sessions d'accès à distance avec un mot de passe uniquement 209
connecter à un routeur via Internet. Certains administrateurs réseau utilisent encore Telnet pour
l'accès local au routeur. Si vous prévoyez d'utiliser Telnet, configurez le mot de passe Telnet. Si vous
n'avez pas l'intention d'utiliser Telnet dans un futur proche, ne le configurez pas.
Router(config)#line vty 0 4
Router(config)#transport input telnet Router(config-line)#password
telnet-password Router(config-line)#login Dans certains routeurs, vty 0 15 est
utilisé à la place de vty 0 4 , selon le nombre de sessions Telnet simultanées
que vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez simplement
Router(config)#line vty 0 au lieu de la première commande écrite ci-dessus.
8.2.2 SSH
SSH est beaucoup plus sécurisé que Telnet car il implique le cryptage de toutes les données
transmises entre les deux côtés. Une explication plus détaillée de la configuration SSH a été discutée
dans la Sect. 8.1.
Router(config)#line vty 0 4 Router(config-
line)#transport input ssh Router(config-line)#password ssh-password
Router(config-line)#login Dans certains routeurs, vty 0 15 est utilisé à la
place de vty 0 4, selon le nombre de sessions Telnet simultanées que
vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez simplement Router(config)#line
vty 0 au lieu de la première commande écrite ci-dessus.
8.3 Comment sécuriser les sessions d'accès à distance

avec nom d'utilisateur et mot de passe
Quand en auriez-vous besoinÿ: lorsque vous devez protéger vos sessions à distance avec un nom
d'utilisateur et un mot de passe au lieu d'un mot de passe uniquement.
8.3.1 Telnet
Si vous envisagez d'utiliser Telnet, configurez Telnet pour utiliser un nom d'utilisateur et un mot de passe au lieu
d'un nom d'utilisateur uniquement. Si vous n'avez pas l'intention d'utiliser Telnet dans un futur proche, ne le
configurez pas.
www.hellodigi.ir
Router(config)#username telnet-username password telnet password Router(config)#line vty 0 4

Router(config-line)#transport input telnet Router(config-line)#login local où telnet-username est le
nom d'utilisateur à utiliser lors de la connexion à l'aide de Telnet. telnet-password est le mot de
passe associé au nom d'utilisateur.
Il est possible de répéter la commande 'username' pour permettre à plusieurs utilisateurs de se

connecter via Telnet.
Dans certains routeurs, vty 0 15 est utilisé à la place de vty 0 4, selon le nombre de sessions Telnet
simultanées que vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez simplement
Router(config)#line vty 0 Au lieu de la

deuxième commande écrite ci-dessus.
8.3.2 SSH
N'oubliez pas qu'il ne s'agit pas de la configuration SSH complète. La configuration détaillée est décrite
dans la Sect. 8.1.
Router(config)#username ssh-username password ssh password Router(config)#line vty 0 4
Router(config-line)#transport input ssh Router(config-line)#login local où ssh-username est le nom
d'utilisateur à utiliser lors de la connexion via SSH. ssh-password est le mot de passe associé au
nom d'utilisateur.
Il est possible de répéter la commande 'username' pour permettre à plusieurs utilisateurs de se

connecter via SSH.
Dans certains routeurs, vty 0 15 est utilisé à la place de vty 0 4, selon le nombre de sessions distantes
simultanées que vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez simplement
Router(config)#line vty 0 au lieu de la deuxième commande écrite ci-dessus.
8.3.3 Console
Bien que la connexion à la console ne puisse pas être classée comme une connexion à distance, nous
aimerions expliquer sa protection à l'aide d'un nom d'utilisateur et d'un mot de passe au lieu d'un mot de
passe uniquement, comme expliqué dans la section. 1.2.
www.hellodigi.ir
8.3 Comment sécuriser les sessions d'accès à distance avec un nom d'utilisateur et un mot de passe 211
Router(config)#username console-username password con sole-password Router(config)#line

console 0 Router(config-line)#login local où console-username est le nom d'utilisateur à utiliser lors
de la connexion à l'aide de la connexion console. console-password est le mot de passe associé au
nom d'utilisateur.
Il est possible de répéter la commande 'username' pour autoriser plus d'un utilisateur à
connectez-vous via le port de la console.
8.4 Comment sécuriser les sessions Telnet à l'aide de listes

d'accès sur un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez configurer Telnet sur un routeur Cisco pour faciliter
la configuration à distance.
Les étapes pour sécuriser une session Telnet avec une liste d'accès sont très simples.
Cependant, nous allons commencer par créer un mot de passe pour l'accès Telnet sur le routeur comme
première étape de sécuritéÿ:
1. Si vous prévoyez de n'utiliser qu'une seule session Telnet simultanément, activez-en une seule à l'aide
de la commande suivante en mode de configuration globale : Router(config)#line vty 0 Si vous devez
lancer plusieurs sessions Telnet en même temps , ce qui est hautement improbable, vous pouvez
écrire 'line vty 0 4' ou 'line vty 0 15' selon le type de routeur que vous utilisez.
2. Configurez un mot de passe pour la session Telnet :

Router(config-line)#password telnet-password où telnet-password est un mot de
passe de votre choix.
3. Activez le mot de passe Telnetÿ:
Router(config-line)#login 4. Configurez la
liste d'accès pour autoriser l'adresse IP des ordinateurs de vos administrateurs réseau qui seront
autorisés à Telneter le routeur : Router(config)#access-list acl-number permit host admin adresse-
ordinateur où numéro-acl est le numéro de liste d'accès de votre choix. Puisque nous créons une
liste d'accès standard, le nombre doit être compris entre 1 et 99. admin-computer-address est
l'adresse IP de l'administrateur réseau qui sera autorisé à Telnet le routeur.
www.hellodigi.ir
5. Si vous souhaitez établir une connexion Telnet avec le routeur à partir de plusieurs ordinateurs, répétez l'étape 4 pour
chaque adresse IP à partir de laquelle vous souhaitez autoriser Telnet. N'oubliez pas de garder le
même numéro de liste d'accès pour toutes les différentes adresses IP.
6. Appliquez la liste d'accès à la ligne Telnetÿ:
Routeur(config)#line vty 0
Routeur(config-line)#access-class acl-number in
où acl-number est le numéro de la liste d'accès que vous avez configuré
plus tôt à l'étape 4.
Cette commande applique la liste d'accès à la ligne Telnet sur le trafic entrant.
Scénario 8.1
S0/0 S0/0
FE0/0
Routeur1 Routeur2
OrdinateurA
réglages:
(a continué)
www.hellodigi.ir
(a continué)
Ordinateur A adresse IP 172.16.0.1
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic via la sortie
l'interface S0/0.
4. Configurez une autre route par défaut sur le routeur 2 pour transférer tout le trafic via la sortie
l'interface S0/0.
5. Pour tester, PING de l'ordinateur A à S0/0 sur le routeur 2.

6. Configurez l'accès SSH sur le routeur 2 à l'aide des paramètres suivantsÿ:
Nom de domaine : mohammedalani.com
Délai d'attente SSH : 2 min.
Numéro de port SSHÿ: 4005

Mot de passe : ciscoSSH
7. Installez un client SSH sur l'ordinateur A (comme PUTTY) et utilisez-le pour vous connecter à
Routeur 2.
Scénario 8.2
S0/0 S0/0
FE0/0
Routeur1 Routeur2
Ordinateur A
www.hellodigi.ir
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
l'interface S0/0.
l'interface S0/0.

6. Configurez l'accès Telnet sur le routeur 2 à l'aide des paramètres suivantsÿ:
Nom d'utilisateur : TelnetUser1
Mot de passe : ciscoTelnet
7. Installez un client Telnet sur l'ordinateur A (comme PUTTY) et utilisez-le pour vous connecter à
Routeur 2.
www.hellodigi.ir
Scénario 8.3
S0/0 S0/0
FE0/0
Routeur1 Routeur2
OrdinateurA
réglages:
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
www.hellodigi.ir
l'interface S0/0.
l'interface S0/0.

6. Configurez l'accès SSH sur le routeur 2 à l'aide des paramètres suivantsÿ:
Nom de domaine : mohammedalani.com
Délai d'attente SSH : 2 min.
Numéro de port SSHÿ: 4055

Nom d'utilisateur : SSHUser1
Mot de passe : ciscoSSH
7. Installez un client SSH sur l'ordinateur A (comme PUTTY) et utilisez-le pour vous connecter à
Routeur 2.
Scénario 8.4
S0/0 S0/0
FE0/0
Routeur1 Routeur2
OrdinateurA
réglages:
(a continué)
www.hellodigi.ir
(a continué)
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
l'interface S0/0.
l'interface S0/0.

6. Configurez l'accès Telnet sur le routeur 2 à l'aide des paramètres suivantsÿ:
Nom d'utilisateur : TelnetUser1
Mot de passe : ciscoTelnet
7. Installez un client Telnet sur l'ordinateur A (comme PUTTY) et utilisez-le pour vous connecter à
Routeur 2.
8. Créez une ACL pour contrôler l'accès à Telnet sur le routeur 2. Autorisez l'accès à
172.16.0.10 uniquement et refusez toutes les autres adresses IP. Appliquer l'ACL au VTY
ligne.
9. Essayez d'établir une connexion Telnet à partir de l'ordinateur A. Votre essai devrait échouer.
10. Remplacez l'adresse IP de l'ordinateur A par 172.16.0.10.

11. Essayez d'établir une connexion Telnet de l'ordinateur A au routeur 2. Votre essai devrait réussir.
www.hellodigi.ir
Chapitre 9
Trucs et astuces
Mots-clés Cisco Router Show command Récupération du mot de passe Break key sequence
ROMMON
9.1 Les 10 meilleurs conseils pour la configuration des routeurs Cisco
Il y a peu de choses simples qui pourraient aider les administrateurs à utiliser leur temps de
travail avec les routeurs Cisco. J'ai rassemblé les 10 choses les plus importantes de mon point
de vue :
1. La meilleure séquence de configuration d'un routeur Cisco, telle que je la vois, est la suivanteÿ:
un. Configurez le nom d'hôte avec la commande 'hostname hostname'. b.

Configurez le mot de passe secret (mieux que l'activation du mot de passe) avec la
commande "activer le mot de passe secret". c. Configurez les mots de passe de la
console et Telnet (utilisez la commande 'logging synchronous' sur la console) avec les
commandes 'password password' et 'login'. ré. Chiffrez les mots de passe avec la
commande 'service password-encryption' et n'oubliez pas de la désactiver après avoir
la
'show run'. e. Configurez lesnon
interfaces
crypté (adressesavec
IP, description,
les commandesbande
'bandwidth'
'ip passante,
address',
et etc.)
'description'. F. Configurez les protocoles de routage (ou routes statiques). g. Testez
la connectivité avec 'ping' et 'traceroute'. h. Configurez les listes d'accès. je. Testez la
connectivité (encore).
2. Soyez aussi descriptif que possible.

Utilisez la commande 'description' sur toutes les interfaces. Donnez-y une description
utile. Décrivez le réseau auquel cette interface est connectée, la bande passante de la
liaison, les paramètres duplex et toute autre information que vous pourriez juger utile.

DOI 10.1007/978-3-319-54630-8_9
www.hellodigi.ir
220 9 trucs et astuces
Utilisez 'remark' pour écrire les listes d'accès afin d'identifier la liste d'accès en fonction de sa
fonction. Et si vous le jugez nécessaire, utilisez des bannières.
Exemples :
RouterA(config-if)#description Ce lien est connecté au LAN comptable RouterA(config)#access-list
101 remarque Cette liste arrête le Telnet vers le réseau Marketing RouterA(config)#banner motd
#Ce routeur est connecté à le marketing et la comptabilité LANS # 3. Utilisez les raccourcis clavier.
Il existe de nombreux raccourcis clavier utiles dans l'environnement de ligne de commande de configuration.
Quelques-unes des plus importantes sont les
suivantesÿ: Ctrl-Pÿ: Rappelle la commande précédente dans le tampon d'historique (la flèche vers
le haut " fait la même chose)
Ctrl-Nÿ: Rappelle la commande suivante dans le tampon d'historique (la flèche vers le bas # fait la
même chose)
Ctrl-E : Va jusqu'à la fin de la ligne Ctrl-A :
Va jusqu'au début de la ligne Tab Complétez la
commande après avoir écrit le nombre adéquat de lettres 4. Empêchez le routeur de
chercher sur le serveur DNS des commandes erronées.
Lorsque vous épelez mal une commande et que vous appuyez sur la touche Entrée, le routeur ne
reconnaît pas la commande et pense qu'il peut s'agir d'un nom d'hôte. Le routeur essaie alors de
contacter le serveur DNS pour résoudre le nom en une adresse IP afin qu'il le connecte par Telnet.
Cela ferait perdre du temps, surtout si vous n'avez pas configuré de serveur DNS valide (car le
routeur diffusera la requête et attendra qu'un serveur DNS réponde). Pour désactiver cette option,
utilisez la commande "transport prefer none" dans les lignes console et vty.
Exemple :
RouterA(config)#line con 0 RouterA(config-
line)#transport prefered none 5. Configurez la bande passante des interfaces
série.
Utilisez la commande 'bandwidth' pour définir la bande passante de toutes les interfaces série afin
de garantir le calcul correct de la table de routage. La bande passante d'une liaison série dépend
du type de connexion WAN que vous utilisez. Contrairement à Ethernet ou Fast Ethernet, les
interfaces série ne peuvent pas détecter automatiquement la bande passante du lien. Et la bande
passante du lien réel peut être différente du petit lien entre l'interface série et le modem ou le
périphérique CSU/DSU que vous utilisez. N'oubliez pas également d'écrire la bande passante après
la commande 'bandwidth' en kilobits par seconde.
Exemple :
RouterA(config)#int serial 0 RouterA(config-
if)#bandwidth 1024 Cela signifie que la bande passante de
la liaison est de 1 Mbit/s
www.hellodigi.ir
9.1 Les 10 meilleurs conseils pour la configuration des routeurs Cisco 221
6. Désactiver la synthèse automatique des mises à jour de routage lors de l'utilisation de sous-réseaux
adresses.
Si vous utilisez des sous-réseaux, n'oubliez pas d'utiliser la commande « no auto-summary » pour
désactiver la synthèse automatique lorsque vous utilisez des protocoles de routage qui la prennent en
charge, comme OSPF.
Exempleÿ:
RouterA(config)#no auto-summary
7. Désactivez l'horizon partagé dans deux cas.
Le premier est lorsque vous effectuez un routage inter-VLAN. En effet, les mises à jour d'un VLAN ne
peuvent pas être transmises à d'autres VLAN. Le deuxième cas est lorsque vous utilisez Frame Relay
pour connecter un site à plusieurs sites.
Exempleÿ:
RouterA(config-if)#no ip split-horizon
8. La commande 'show' est votre meilleure amie.
Chaque fois que vous avez des ennuis, ou même si vous n'êtes pas en difficulté, votre meilleur ami
apparaît : la commande 'show'. Les commandes 'show' les plus utilisées sont dans les listes suivantes :
un. show version — Affiche une grande quantité d'informations telles que la version IOS, la valeur du
registre de configuration et les interfaces disponibles.
b. show ip route — Affiche la table de routage. c. show ip
interface — Affiche les listes d'accès appliquées aux interfaces. ré. show access-list — Affiche le
contenu des listes d'accès. e. show ip protocols — Affiche des informations sur les protocoles de
routage en cours d'exécution. F. show cdp neighbor detail — Affiche des informations détaillées sur les
périphériques voisins.
g. show interface — Affiche les informations d'état sur les interfaces. h. show run —
Affiche la configuration en cours, c'est-à-dire toutes les commandes
en action.
Plus de détails sur ces commandes show sont expliqués dans la section suivante.
9. Gardez les adresses IP des serveurs et des imprimantes hors du pool DHCP.
Lorsque vous utilisez le routeur en tant que serveur DHCP, n'oubliez pas d'exclure les adresses des
serveurs, des interfaces de routeur et des imprimantes du pool DHCP.
Exemple :
RouterA(config)#ip dhcp exclude-address 192.168.0.1 RouterA(config)#ip dhcp exclude-address
192.168.0.1 192.168.0.10 Vous pouvez utiliser une seule adresse IP dans cette commande ou une
adresse IP de début et une adresse IP de fin définir une série d'exclusions.
10. Gardez un "rechargement" programmé lors de la configuration d'un routeur à distance.

Lorsque vous configurez un routeur à distance, vous pouvez faire quelque chose de mal et perdre la
connectivité avec le routeur. Dans ce cas, vous devrez redémarrer physiquement le routeur. Il y a des
chances que personne ne soit autour du routeur pour
www.hellodigi.ir
redémarrez-le pour vous. Vous pouvez résoudre ce problème par vous-même en utilisant la commande
"recharger dans n minutes".
Cette commande planifie un rechargement après n-minutes minutes. Donc, avant de commencer à
fouiller le routeur à distance, lancez cette commande et planifiez un rechargement. Si quelque chose ne
va pas et que vous perdez la connectivité avec le routeur, le routeur se rechargera et vous reprendrez
vos activités. Si les choses se passent bien et que vous n'avez finalement pas besoin de recharger,
vous pouvez émettre une commande "reload cancel" pour empêcher le redémarrage programmé de se
produire.
9.2 Dix commandes Show que tout le monde doit connaître

dans les routeurs Cisco
Certaines commandes de la configuration du routeur Cisco sont tout simplement irremplaçables. Les
commandes 'show' sont les plus utilisées dans les routeurs Cisco. Voici une liste des 10 commandes 'show'
les plus utilisées.
1. show running-config Cette

commande affiche la configuration complète en cours d'exécution.
En l'utilisant, vous pouvez résoudre presque tous les problèmes concernant le routage, le filtrage, l'accès
sécurisé et bien d'autres problèmes. L'utiliser avant de commencer à configurer le routeur vous donnerait
une idée claire des services et des protocoles qui fonctionnent par défaut et de ceux qui sont désactivés
par défaut.
Si vous pensez que c'est trop d'informations, vous pouvez afficher des parties de la configuration en
cours comme les exemples suivants : Router#sh run | begin int Routeur#sh run | section rip 2. show
startup-config Cette commande affiche la configuration enregistrée sur la NVRAM. Il est utile de
connaître la configuration qui sera appliquée la prochaine fois que le routeur sera rechargé. Cette
commande est également utile si vous avez besoin de connaître la configuration qui a été chargée au
démarrage du routeur avant d'y apporter des modifications. 3. show interface Cette commande affiche
l'état et les statistiques des interfaces. Cette commande est presque toujours nécessaire pour résoudre
les problèmes de routage et de liaison. Les informations affichées à l'aide de cette commande incluent
l'adresse IP de l'interface et le masque de sous-réseau, l'état de l'interface, le type d'encapsulation, la
bande passante et de nombreux autres indicateurs importants sur le fonctionnement de l'interface.
4. Afficher l'itinéraire IP
Cette commande affiche la table de routage. Ce tableau vous aide à trouver le saut suivant pour chaque
paquet routable. C'est le premier indicateur à pointer un problème de routage.
www.hellodigi.ir
9.2 Dix commandes Show que tout le monde doit connaître dans les routeurs Cisco 223
5. Afficher les protocoles IP

Cette commande affiche les protocoles de routage actifs sur le routeur et les réseaux annoncés
par ces protocoles. Il affiche également les sources des mises à jour de routage reçues sur ce
routeur. Il est très utile pour résoudre les problèmes de routage.
6. afficher la liste d'accès

Cette commande affiche le contenu de chaque liste d'accès. Il est très utile pour résoudre les
problèmes de filtrage. Notez que cette commande ne vous montre pas où chaque liste d'accès
est appliquée. 7. Afficher l'interface IP
Cette commande affiche des informations sur le protocole IP et l'interface. Cette commande
montre quelles listes d'accès sont appliquées aux interfaces et dans quelle direction. Ce type
d'informations n'est pas affiché par la commande 'show access-list'. Cependant, vous pouvez
également savoir quelle liste d'accès est appliquée à quel endroit en utilisant 'show run'. 8.
afficher les détails du voisin cdp
Cette commande affiche des informations détaillées sur les périphériques voisins, telles que les
adresses IP, les plates-formes et les noms d'hôte. Cette commande peut être utile pour résoudre
les problèmes de connectivité et peut également être utilisée pour découvrir comment les
périphériques sont connectés les uns aux autres lorsque vous n'avez pas de carte réseau
clairement dessinée.
Cette commande suppose que le protocole CDP est en cours d'exécution. De nombreuses
procédures de sécurité recommandent de ne pas activer le protocole CDP. Il peut être utile de
l'allumer pendant une courte période pour recueillir les informations requises, puis de l'éteindre.
9. afficher la version
Cette commande affiche des informations détaillées sur l'IOS. Il affiche le nom de fichier de l'IOS
ainsi que la version de l'IOS et la valeur du registre de configuration. Le registre de configuration
est un ensemble de bits qui contrôle la séquence de démarrage du routeur. Cette commande est
la seule commande utilisée pour afficher la valeur de ce registre. 10. afficher le flash ou afficher
le slot0
Cette commande est utilisée pour afficher le contenu du flash, la taille du ou des fichiers IOS,
ainsi que la taille du flash et sa quantité libre. Il est nécessaire pour mettre à niveau ou installer
des fichiers IOS.
9.3 Comment simuler une séquence de touches d'interruption dans un Cisco

Routeur
Quand en auriez-vous besoin : Lorsque vous récupérez un mot de passe perdu et que la combinaison
de touches « Ctrl-Break » requise ne fonctionne pas.
www.hellodigi.ir
Tableau 9.1 Combinaisons de touches d'interruption de la séquence d'amorçage
Émulation de terminaux Système opérateur Combinaison de touches

Logiciel
Hyper Terminal Windows 7, Vista, XP et Ctrl-Pause

Serveur
Kermit Unix Ctrl-\I ou Ctrl-\B
Minicom Linux Ctr-A F
SecureCRT les fenêtres Ctrl-Pause
Telnet –
Ctrl-] puis tapez envoyer
Pause
Borne Z Mac Commande-B
Tout d'abord, vous devez vous assurer que vous appuyez sur la bonne séquence de touches.
Il y a peu de touches légèrement différentes sur lesquelles appuyer pour interrompre la séquence de démarrage du routeur dans
différents routeurs et différents logiciels d'émulation de terminal. Le tableau 9.1 montre une liste de
différentes frappes pour interrompre la séquence de démarrage du routeur.

Le port auxiliaire (AUX) n'est pas actif pendant la séquence de démarrage d'un routeur.
Par conséquent, il est inutile d'envoyer un break via le port AUX. Vous devez avoir
connexion au port console et avoir ces paramètres par défautÿ:
• Débit en baudsÿ: 9ÿ600
•ÿParitéÿ: aucune
• Bits de donnéesÿ: 8
• Bits d'arrêtÿ: 1
• Contrôle de fluxÿ: aucun
Jusque-là, les choses sont censées se dérouler sans heurts. Si vous avez tout réglé
à droite, et vous appuyez sur les touches correctes lors de l'initialisation du routeur (dans le
60 premières secondes de démarrage du routeur), vous serez transféré en mode ROM Monitor.
• Si ce qui précède ne fonctionne pas, vous pouvez envisager les remarques suivantesÿ:
• Si vous utilisez l'HyperTerminal de Windows NT, vous pouvez envisager
mise à niveau de l'HyperTerminal. Certaines versions de Windows NT ont Hyper
Logiciel de terminal qui ne peut pas envoyer le bon signal Break Key. Mon personnel
recommandation est un logiciel appelé 'PuTTY'.
• Si vous utilisez un convertisseur DB9 vers USB pour vous connecter au port console, vous
peut avoir besoin de se connecter directement à un port DB9. Tous les convertisseurs de ce type ne peuvent pas
transmettre la bonne séquence de pause.
• Si vous ne connaissez toujours pas la raison exacte pour laquelle cela ne fonctionne pas, vous devez
envisager de simuler la séquence Break Key.
Pour simuler la séquence Break Key, suivez attentivement les étapes suivantesÿ:
1. Connectez-vous au routeur avec ces paramètres de terminalÿ:
• Débit en baudsÿ: 1ÿ200
•ÿParitéÿ: aucune
www.hellodigi.ir
9.3 Comment simuler une séquence de touches d'interruption dans un routeur Cisco 225
• Bits de donnéesÿ:
8 • Bits d'arrêtÿ: 1
• Contrôle de fluxÿ: aucun
Vous ne verrez plus aucune sortie sur votre écran, et c'est normal.
2. Redémarrez (éteignez puis rallumez) le routeur et appuyez sur la barre d'espace pendant 10 à 15 s
afin de générer un signal similaire à la séquence de pause.
3. Déconnectez votre terminal et reconnectez-vous avec un débit de 9600 bauds. Vous entrez dans le
Mode moniteur ROM.
Si tout cela échoue, vous devriez envisager d'essayer un autre PC ou logiciel d'émulation.
9.4 Comment récupérer le mot de passe des routeurs Cisco 2600
Quand auriez-vous besoin de ceci : Lorsque vous oubliez le mot de passe secret, d'activation ou de
console d'un routeur Cisco de la série 2600.
1. Interrompez l'opération de démarrage du routeur. Cela se fait en appuyant simultanément sur la

touche (Ctrl-Pause) dès que vous allumez le routeur. Cette étape vous amènera au mode moniteur
ROM (ROMMON).
Vous verrez quelque chose de similaire (pas nécessairement identique) à ce qui suit : System
Bootstrap, Version 11.3(2)9A4, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 par Cisco Systems, Inc.

TAC:Home:SW:IOS:Specials for info PC = 09fff0a530,
Vector = 09500, SP = 09680127b0 Plateforme C2600 avec 32768 Ko de
mémoire principale PC = 09fff0a530, Vector = 09500, SP = 0980004374
moniteur : commande ''boot'' abandonnée en raison d'une interruption de l'utilisateur rommon 1>
L'invite (rommon 1>) concerne le mode moniteur ROM. Si vous rencontrez un problème pour
interrompre la séquence de démarrage du routeur, vous pourriez être intéressé par la procédure
précédente pour simuler la séquence Break Key dans la Sect. 9.3.
2. Vous devez maintenant modifier la valeur du registre de configuration afin que le routeur néglige le
contenu de la NVRAM lors du prochain démarrage. Ceci est réalisé en utilisant la commande
suivante : rommon 1>confreg 0x2142 Cette commande changera le sixième bit (à l'origine le
registre de configuration est 0x2102) en un. Ce faisant, le routeur ignorera la configuration de
démarrage au prochain démarrage malgré le fait que la configuration de démarrage ne soit pas
effacée.
3. Effectuez un redémarrage du routeur à l'aide de la commande suivanteÿ:

rommon 2> réinitialiser
www.hellodigi.ir
4. Le routeur va maintenant redémarrer et vous demander si vous souhaitez utiliser le mode de

configurationÿ; choisissez non. Maintenant, afin de ne pas perdre la configuration que vous
avez déjà dans le routeur, vous devez passer en mode privilégié et effectuer : Router#copy
start run Cela vous permettra de récupérer votre ancienne configuration mais à une exception
près, vous êtes déjà dans le mode privilégié sans avoir à connaître le mot de passe.
Maintenant, vous choisissez un ou plusieurs nouveaux mots de passe si

vous le pouvez : Router(config) #enable secret your-new-password Vous pouvez
également mettre de nouveaux mots de passe console et Telnet si nécessaire.
5. Pour que les choses reviennent à la normale, remplacez la valeur du registre de configuration
par sa forme d'origine (0x2102) à l'aide de la commande de configuration globale suivanteÿ:
Router(config)#config-register 0x2102 6. Enregistrez la configuration, y compris les nouveaux
mots de passe qui vous savezÿ: Router#copy run start 7. Rechargez et vous êtes prêt à partirÿ:
Router#reload
9.5 Comment récupérer le mot de passe des routeurs Cisco 2500
Quand en auriez-vous besoinÿ: lorsque vous perdez le mot de passe secret, d'activation ou de
console d'un routeur Cisco 2500.
1. Interrompez l'opération de démarrage du routeur. Cela se fait en appuyant simultanément sur les
touches (Ctrl-Pause) dès que vous allumez le routeur. Cette étape vous amènera au mode
moniteur ROM (ROMMON).
Vous verrez une sortie similaire (mais pas nécessairement identique) à la suivante : System
Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986–1996 by cisco Systems
Processeur 2500 avec 14336 Ko de mémoire principale Abort at 091098FEC (PC)
>
L'invite (>) correspond au mode moniteur ROM. Si vous rencontrez un problème pour
interrompre la séquence de démarrage du routeur, consultez la procédure pour simuler la
séquence Break Key dans la Sect. 9.3.
2. Modifiez la valeur du registre de configuration afin que le routeur néglige le contenu de la NVRAM
au prochain démarrage. Ceci est réalisé en utilisant la commande suivante : >o/r 0x2142 Cette
commande changera le sixième bit (à l'origine le registre de configuration est 0x2102) en un.
Ce faisant, le routeur agira comme nouveau au prochain démarrage, c'est-à-dire qu'il ne
recherchera pas la configuration de démarrage dans la NVRAM. La configuration de démarrage
ne sera pas effacée.
www.hellodigi.ir
9.5 Comment récupérer le mot de passe des routeurs Cisco 2500 227
3. Effectuez un redémarrage du routeur à l'aide de la commande suivanteÿ:

>i
Le (i) signifie (initialiser).

4. Le routeur va maintenant redémarrer et vous demander si vous souhaitez utiliser le mode de configurationÿ;
choisissez non. Maintenant, afin de ne pas perdre la configuration que vous avez déjà dans le routeur,
vous devez passer en mode privilégié et effectuer : Router#copy start run Cela vous permettra de
récupérer votre ancienne configuration mais à une exception près, vous êtes déjà dans le mode privilégié
sans avoir à connaître le mot de passe. Maintenant, vous mettez un nouveau mot de passe :
Router(config) #enable secret your-new-password Vous pouvez également mettre de nouveaux mots de
passe console et Telnet.
5. Pour revenir à la normale, remplacez la valeur du registre de configuration par sa forme d'origine (0x2102)
à l'aide de la commande de configuration globale suivanteÿ: Router(config) #config-register 0x2102 6.
Vous devez maintenant enregistrer la configuration, y compris le nouveau mots de passe que vous
connaître:
Router#copy run start 7. Rechargez

maintenant et vous êtes prêt à partirÿ:
Routeur # recharger
9.6 Comment désactiver la récupération de mot de passe ROMMON

dans un routeur Cisco
Quand en auriez-vous besoinÿ: lorsque vous devez protéger la configuration de votre routeur contre les
regards indiscrets.

Il n'y a pas de longue procédure de configuration ici. Il s'agit d'une seule commande :
Router(config)#no service password-recovery Cette commande empêchera l'utilisateur
d'accéder à ROMMON à des fins de récupération de mot de passe comme les deux procédures décrites
précédemment. Lorsque cela est fait, le seul moyen de récupérer le mot de passe sera d'effacer la
configuration de démarrage.
Si vous émettez la commande susmentionnée, enregistrez les paramètres, redémarrez le routeur et
appuyez sur Ctrl-Break, vous verrez un message similaire à celui-ciÿ:
LA RÉCUPÉRATION DU MOT DE PASSE EST DÉSACTIVÉE
Voulez-vous réinitialiser le routeur à la configuration d'usine par défaut et continuer [o/n]ÿ?
La commande vous empêchera également de modifier le registre de configuration

valeur à 0x2142.
Pour réactiver la récupération du mot de passe ROMMONÿ:

Routeur(config)#service password-recovery
www.hellodigi.ir
9.7 Comment utiliser un routeur Cisco comme renifleur de paquets
Quand en auriez-vous besoin : Lorsque vous avez une perte de paquets inexplicable lorsque vous
essayez de vous connecter à un emplacement distant et que vous ne pouvez pas déterminer si
c'est le LAN ou le WAN qui a le problème.
Exigences particulières : Cisco IOS 12.4(20)T ou version ultérieure.
1. Créez une liste d'accès pour sélectionner le type de trafic spécifique que vous souhaitez capturer
(par exemple, le trafic ICMP à des fins PING).
Routeur(config)#access-list acl-number permit icmp host host1-address host host2-address
Router(config)#access-list acl-number permit icmp host host2-address host host1-address où
acl-number est le nombre de la liste d'accès. Il s'agit d'une liste d'accès étendue, le nombre doit
donc être compris entre 100 et 199. host1-address l'adresse IP du premier hôte host2-address
l'adresse IP du deuxième hôte
2. Activez la fonctionnalité de capture de paquets dans le routeur et dites au routeur de capturer le

trafic qui répond aux conditions du numéro de liste d'accès acl-number.
Router#monitor capture buffer buffer-name filter access-list acl-number où buffer-name est le
nom que vous choisissez pour la mémoire tampon et acl-number est le numéro de la liste
d'accès créée à l'étape précédente.
Vous devriez maintenant recevoir un message "Filter Association Succeeded".

3. À ce stade, le routeur n'a pas encore commencé à capturer le paquet. Nous devons créer un
point de capture et l'associer au tampon de capture que nous avons créé à l'étape précédente.
Routeur#monitor capture point ip cef point-name all both Routeur#monitor capture point
associate point-name buf fer-name
où le nom du point est le nom du point de capture et le nom du tampon est le même que celui
créé à l'étape 2.
4. Démarrez la capture à l'aide de la commande suivante :
Router#monitor capture point start point-name
5. Ping de Host1 à Host2ÿ:
Routeur#ping host2-address repeat 4 timeout 1
6. Pour afficher le paquet capturé dans un tampon spécifique :
Router#show monitor capture buffer buffer-name dump
7. Pour afficher tous les tampons de captureÿ:
Router#show monitor capture buffer tous les paramètres
Et tous les points de capture :
Routeur#show monitor capture point all
www.hellodigi.ir
9.7 Comment utiliser un routeur Cisco comme renifleur de paquets 229
8. Pour arrêter la captureÿ:

Nom du point d'arrêt du point de capture Router#monitor
Scénario 9.1
S0/0 S0/1 S0/0 S0/0
FE0/0 FE0/0
réglages:
Mot de passe de la console Console Cisco
www.hellodigi.ir
Serveur DNS 1 172.16.0.254
Serveur DNS 2 172.16.0.254
Ordinateur B adresse IP 172.16.1.2
Serveur DNS 1 172.16.1.254
Serveur DNS 2 172.16.1.254
5. Configurer le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
les deux routeurs.
9. Un autre test consisterait à utiliser le routeur 2 pour capturer les paquets provenant de l'utilisation du
Fonctionnalité 'Capture de paquets intégrée'. Cette fonctionnalité vous permettra de
capturer les paquets et les enregistrer sous forme de petit fichier PCAP pouvant être extrait
depuis le routeur et lire à l'aide d'un logiciel comme WireShark.
Une fois que vous capturez les paquets et lisez leur contenu, vous pouvez facilement voir que le
le contenu n'est pas crypté.
10. Configurez un VPN de site à site entre les routeurs 1 et 3 à l'aide des paramètres suivantsÿ:
Clé VPN : CiscoKey@123
Nom de l'ensemble de transformationÿ: CiscoTranform
Ensemble de transformationÿ: esp-3des esp-sha-hmac
www.hellodigi.ir
Nom de la carte de chiffrement : MyCryptoMap

Priorité de la carte de chiffrement : 7 11.
Refaire la capture des paquets effectuée à l'étape 9. Les données de tous les paquets circulant
Scénario 9.2
Connexion console
FE0/0
Routeur1
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus. Le modèle du routeur est 2601.
L'administrateur réseau a oublié le mot de passe secret configuré sur le routeur. Vous
devez invoquer la procédure de récupération du mot de passe pour retrouver l'accès
aux modes de configuration du routeur.
Scénario 9.3
Connexion console
FE0/0
Routeur1
OrdinateurA
L'administrateur réseau a oublié le mot de passe secret configuré sur le routeur. Vous
devez invoquer la procédure de récupération du mot de passe pour retrouver l'accès
aux modes de configuration du routeur.
www.hellodigi.ir
Scénario 9.4
Connexion console
FE0/0
Routeur1
OrdinateurA
L'administrateur réseau pense qu'il n'oubliera jamais le mot de passe secret du routeur.
L'administrateur vous a demandé de désactiver la procédure de récupération du mot de passe
afin que personne ne puisse modifier les paramètres du routeur à moins d'avoir les privilèges appropriés.
www.hellodigi.ir
Conseils supplémentaires
Configuration de RIP. http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1crip.html Configuration du

protocole EIGRP. http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1ceigrp.
html
Configuration d'OSPF. http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1cospf.
html
Configuration IS-IS intégré. http://www.cisco.com/en/US/docs/ios/11_3/np1/configuration/
guide/1cisis.html
Équilibrage de charge par paquet. http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/pplb.html Serveur Cisco
IOSDHCP. http://www.cisco.com/en/US/docs/ios/12_0t/12_0t1/feature/guide/
Easyip2.html
Client DHCP configurable. http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/
gtdhcpcf.html
Configuration de la traduction d'adresses réseauÿ: mise en route. http://www.cisco.com/en/US/tech/tk648/tk361/
technologies_tech_note09186a0080094e77.shtml _ Configuration du routage interVLAN et de l'agrégation ISL/
802.1Q sur un commutateur Catalyst 2900XL/3500XL/2950 à l'aide d'un routeur externe. http://www.cisco.com/en/US/
tech/tk389/tk815/technologies_
exemple_de_configuration09186a00800949fd.shtml
Guide de configuration et de dépannage du routeur Cisco DSL. http://www.cisco.com/en/US/tech/
tk175/tk15/technologies_configuration_example09186a008015407f.shtml
Comprendre et configurer l'authentification PPP CHAP. http://www.cisco.com/en/US/tech/tk713/tk507/
technologies_tech_note09186a00800b4131.shtml _ Connexions dos à dos HDLC. http://www.cisco.com/en/US/
tech/tk713/tk317/technologies_
configuration_example09186a00800944ff.shtml
Configuration de RNIS BRI. http://www.cisco.com/en/US/docs/ios/dial/configuration/guide/
dia_cfg_sdn_bri_ps6350_TSD_Products_Configuration_Guide_Chapter.html _ Configuration du DDR RNIS avec
des profils de numérotation. http://www.cisco.com/en/US/tech/tk801/tk133/
technologies_configuration_example09186a0080093c2e.shtml Cisco–Configuration de la commutation Frame
Relay. http://www.cisco.com/warp/public/125/fr_switching.
pdf
Livre blanc : Guide de référence des logiciels Cisco IOS et NX-OS. http://www.cisco.com/web/about/
sécurité/renseignement/ios-ref.html
Sauvegarde et restauration des fichiers de configuration. http://www.cisco.com/en/US/products/sw/iosswrel/
ps1835/products_tech_note09186a008020260d.shtml
Procédure de mise à niveau du logiciel. http://www.cisco.com/en/US/products/ps5855/
products_tech_note09186a00801fc986.shtml _
Comment copier une image système d'un appareil à un autre http://www.cisco.com/en/US/
produits/hw/routeurs/ps233/products_tech_note09186a00800a6744.shtml
Comment mettre à niveau à partir de ROMmon à l'aide de l'image de démarrage. http://www.cisco.com/en/US/products/
hw/routers/ps214/products_tech_note09186a0080110ed1.shtml
© Springer International Publishing AG 2017 MM Alani, 233

Guide de configuration des routeurs Cisco, DOI
10.1007/978-3-319-54630-8
www.hellodigi.ir
234 Conseils supplémentaires
Comment partitionner la mémoire flash interne. https://supportforums.cisco.com/docs/DOC-4062

Configuration des listes d'accès IP. http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_
note_technique09186a00800a5b9a.shtml
Configuration de Secure Shell sur les routeurs et les commutateurs exécutant Cisco IOS. http://www.cisco.com/en/
US/tech/tk583/tk617/technologies_tech_note09186a00800949e2.shtml
Guide de configuration du VPN Cisco IOS : Scénarios métier VPN site à site et extranet. http://
www.cisco.com/en/US/docs/security/vpn_modules/6342/configuration/guide/6342site3.html
Combinaisons de séquences de touches de rupture standard lors de la récupération du mot de passe. http://www.cisco.com/
en/US/products/hw/routers/ps133/products_tech_note09186a0080174a34.shtml
Procédure de récupération de mot de passe pour les routeurs des gammes Cisco 2600 et 2800. http://www.cisco.com/
en/US/products/hw/routers/ps259/products_password_recovery09186a0080094675.shtml
Procédure de récupération de mot de passe pour Cisco 2000, 2500, 3000, 4000, AccessPro, 7000 (RP),
AGS, IGS et STS-10x. http://www.cisco.com/en/US/products/hw/routers/ps233/products_
password_recovery09186a0080094795.shtml
Configuration de la multidiffusion. http://www.cisco.com/c/en/us/td/docs/ios/12_2/ip/configuration/guide/fipr_
c/1cfmulti.html
Configuration MPLS. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/mp_basic/configuration/xe 16/mp-basic-xe-16-
book.html
Configuration de HSRP. http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/
release/12-2_52_se/configuration/guide/3560scg/swhsrp.html
Configuration des ACL réflexives. http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/
configuration/guide/fsecur_c/scfreflx.html
Configuration des ACL temporisées. http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-
confaccesslists.html
Configuration de GRE. http://www.cisco.com/c/en/us/tech/ip/ip-tunneling/tech-configuration
exemples-liste.html
Configuration de plusieurs zones OSPF. http://www.cisco.com/c/en/us/support/docs/ip/open-shortest path-first-ospf/118879-
configure-ospf-00.html
www.hellodigi.ir

Guide To Cisco Routers Configuration Becoming A Router Geek

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide To Cisco Routers Configuration Becoming A Router Geek

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

Machine Translated by Google

Guide de configuration des routeurs Cisco

Guide des routeurs Cisco

ISBN 978-3-319-54629-2 DOI ISBN 978-3-319-54630-8 (eBook)

Numéro de contrôle de la Bibliothèque du Congrèsÿ: 2017934622

1ère édition : © Mohammed M. Alani 2012 2e édition :

Imprimé sur du papier sans acide

Cette empreinte Springer est publiée par Springer Nature

Public visé par le guideÿ:

• ingénieurs réseau sur le terrain engageant des routeurs

Comment utiliser ce guideÿ:

• la police courier new est utilisée pour la sortie du routeur • la police

Abu Dhabi, Emirats Arabes Unis Mohamed M. Alani

1 Démarrage d'un routeur Cisco .................................. 1

2 Configuration des fonctions du routeur domestique ...... 11

3 Configuration des protocoles de routage ....................... 41

3.2.8 Comment configurer l'OSPFv3 à zone unique pour IPv6 sur

5 Technologies WAN ....................................... 113 5.1 Comment configurer l'ADSL sur un

5.6 Comment configurer Frame-Relay dans un routeur Cisco ...... 122

6.4 Comment configurer l'authentification des protocoles de routage

d'un routeur Cisco .................................. 186 7.3.1 TFTP .... .......................................

7.3.2 FTP ................................................ 187 7.3.3

7.5.2 Procédure de mise à niveau pour les

8.4 Comment sécuriser les sessions Telnet à l'aide de listes d'accès

9 Trucs et astuces .................................................. 219 9.1 Haut 10 conseils pour

Mots-clés Cisco Router Console Configuration de base IPv4 IPv6

1.1 Connexion du routeur

1. Bits par seconde : 9600

Parité : aucune 4. Bits

© Springer International Publishing AG 2017 1

2 1 Démarrage d'un routeur Cisco

Fig. 1.1 Câble de la console

Si le routeur a été configuré auparavant et qu'il contient un mot de passe de console,

1.2 Configuration de base

1. Accédez au mode de configuration globale et attribuez un nom d'hôte au routeurÿ:

1.2 Configuration de base 3

6. Enregistrez la configuration de la RAM vers la NVRAM.

1.3 Configuration des interfaces

1.3.1 Configuration des adresses IPv4

1. Attribuez des adresses IPv4 aux interfaces que vous prévoyez

4 1 Démarrage d'un routeur Cisco

Routeur(config-if)#ip masque de adresse adresse-ip-interface

1.3.2 Configuration des adresses IPv6

Routeur(config-if)#adresse ipv6 adresse ipv6/longueur du préfixe

1.3 Configuration des interfaces 5

c. Routeur(config-if)#adresse ipv6 adresse/préfixe ipv6

2. Activez IPv6 sur l'interfaceÿ:

1.3.3 Autres paramètres d'interface

6 1 Démarrage d'un routeur Cisco

1.4 Configuration de base supplémentaire

1.4 Configuration de base supplémentaire sept

1.5 Scénarios de formation

Dispositif Paramètre Évaluer

Routeur 1 Nom d'hôte Routeur1

Mot de passe de la console CiscoConsole

Mot de passe secret Cisco

Mot de passe VTY CiscoVTY

Adresse IP de l'interface FE0/0 10.0.0.1/255.255.255.0

8 1 Démarrage d'un routeur Cisco

Connectez le réseau illustré dans la figure ci-dessus. Le routeur 2 et l'ordinateur B sont

Dispositif Paramètre Évaluer

Routeur 2 Nom d'hôte Routeur2