Académique Documents
Professionnel Documents
Culture Documents
www.hellodigi.ir
Machine Translated by Google
Mohamed M. Alani
Deuxième édition
123
www.hellodigi.ir
Machine Translated by Google
Collège international
Mohammed M. Alani Al Khawarizmi Abu
Dhabi Émirats arabes unis
L'utilisation de noms descriptifs généraux, de noms déposés, de marques de commerce, de marques de service, etc. dans cette
publication n'implique pas, même en l'absence d'une mention spécifique, que ces noms sont exemptés des lois et règlements de
protection pertinents et donc libres d'utilisation générale. utilisation.
L'éditeur, les auteurs et les éditeurs sont sûrs de supposer que les conseils et les informations contenus dans ce livre sont
considérés comme vrais et exacts à la date de publication. Ni l'éditeur, ni les auteurs ou les éditeurs ne donnent de garantie,
expresse ou implicite, concernant le matériel contenu dans ce document ou pour toute erreur ou omission qui aurait pu être
commise. L'éditeur reste neutre en ce qui concerne les revendications juridictionnelles dans les cartes publiées et les affiliations
institutionnelles.
www.hellodigi.ir
Machine Translated by Google
Préface
Depuis la première édition de ce livre, j'ai reçu de nombreuses demandes pour en faire une deuxième
version plus étendue et plus approfondie. Avec les activités de recherche dans lesquelles je me suis
engagé, je ne pouvais pas le faire très tôt. Cependant, à un moment donné, j'ai eu besoin de configurer
un routeur dans le cadre de l'un des cours que j'enseignais. J'ai parcouru la première édition du livre
et je n'ai pas trouvé ce que je cherchais.
Cela m'a rappelé qu'une deuxième édition était indispensable.
L'équipement réseau de Cisco joue toujours un rôle majeur dans nos vies. De nombreux
fournisseurs de services, réseaux d'entreprise, réseaux gouvernementaux et autres s'appuient sur les
appareils Cisco, ce qui signifie essentiellement que nous comptons sur ces appareils au quotidien.
Tous les administrateurs réseau savent que s'appuyer sur les appareils Cisco leur apporte un certain
soulagement en termes de fiabilité.
Le caractère unique de ce livre réside dans sa manière d'écrire semblable à un livre de cuisine qui
ne plonge pas profondément dans la théorie et fournit une référence prête à l'emploi pour les besoins
de configuration quotidiens. Ma plus grande préoccupation lors de la rédaction de ce livre était d'éviter
les complications et d'accéder directement aux étapes de configuration simplifiées.
La deuxième édition de ce livre comprenait de nombreux sujets importants qui manquaient à la
première édition, tels que MPLS, multidiffusion, GRE, HSRP, et bien d'autres. Certains sujets plus
anciens comme les listes de contrôle d'accès ont été élargis pour inclure plus de détails comme les
listes d'accès réflexives et temporisées. La deuxième édition comprenait des étapes de configuration
pour les versions IPv6 pour la plupart des protocoles couverts par le livre. Avec l'augmentation rapide
de l'utilisation d'IPv6, sa configuration est devenue une compétence importante à avoir dans votre
arsenal.
Un ajout important à cette édition du livre est l'inclusion de scénarios de formation. Au total, la
deuxième édition comprend 61 scénarios de formation. Ces scénarios de formation visaient à être un
moyen d'acquérir des compétences en effectuant les tâches au lieu de lire uniquement à leur sujet. La
plupart de ces tâches peuvent être mises en œuvre à l'aide du simulateur de réseau commercial
actuellement disponible.
Cette édition est divisée en neuf chapitresÿ: configuration de base, tâches domestiques, routage,
routage avancé, technologies WAN, sécurité, gestion des routeurs, connectivité à distance et conseils.
Chaque chapitre explique en détail les étapes nécessaires pour
www.hellodigi.ir
Machine Translated by Google
vi Préface
configurer différents protocoles sur le routeur Cisco et explique quand auriez-vous besoin d'invoquer
cette procédure.
Pour faciliter l'utilisation du guide, différentes parties du texte ont été formatées différemment.
La signification de ces formatsÿ:
Enfin, je voudrais exprimer ma sincère gratitude à mes éditeurs Wayne Wheeler et Simon Rees
pour avoir rendu ce projet à nouveau possible. Je voudrais également remercier les lecteurs de la
première édition pour leurs commentaires qui m'ont encouragé à écrire la deuxième édition augmentée.
www.hellodigi.ir
Machine Translated by Google
Contenu
vii
www.hellodigi.ir
Machine Translated by Google
viii Contenu
3.1.2 Comment configurer les routes par défaut dans les routeurs Cisco ...... 42
3.1.3 Distance administrative des routes statiques ............. 43 3.1.4 Comment
configurer la multidiffusion IP dans les routeurs Cisco ....... 45 3.2 Routage
dynamique.................................. 46 3.2 .1 Comment configurer RIPv1 et RIPv2 dans les
routeurs Cisco.............................. 46 3.2.2 Comment configurer RIPng pour
IPv6 ...... 48 3.2.3 Comment configurer EIGRP sur un routeur
Cisco .................. 49 3.2.4 Comment configurer les métriques EIGRP sur un routeur
Cisco ... 50 3.2.5 Comment configurer EIGRP pour IPv6 sur un routeur Cisco... 51
3.2.6 Notes de mise en œuvre EIGRP.......... 52 3.2.7 Comment configurer l'OSPF
à zone unique sur un routeur Cisco ...... .................. 53
4 Configuration des protocoles de routage avancés ...... 83 4.1 Comment configurer l'OSPF
multi-zone sur un routeur Cisco .. 83 4.1.1 Configuration de la zone 0 ABR ..................... 84
4.1.2 Configuration de la zone X ABR ..................
commandes
... 85 4.1.3
..................................
Autres 86
4.1.4 En savoir plus sur l'OSPF multizone Configuration
configurer IS–IS
....... 86
intégré
4.2 Comment
sur un routeur
Cisco ...... 88 4.3 Comment configurer l'équilibrage de charge sur un routeur
Cisco ......... 89 4.4 Équilibrage de charge par paquet et par destination .................
90 4.5 Comment configurer BGP sur un routeur Cisco ................. 91 4.5.1 À propos de la
synchronisation BGP et IGP ........... 92 4.6 Comment configurer BGP pour IPv6 sur un
routeur Cisco .. 92 4.7 Comment pour configurer MPLS sur un routeur Cisco ...... 94 4.7.1
Configuration du routeur pour la commutation MPLS .. 94 4.7.2 Configuration du routeur
pour le transfert MPLS ......... 94 4.8 Scénarios de formation .................................. ......
95
www.hellodigi.ir
Machine Translated by Google
Contenu ix
6 Configuration de la sécurité ..................................... 139 6.1 Comment sécuriser les mots de passe
sur un routeur Cisco ............... 139 6.2 Comment configurer des listes de contrôle d'accès sur
un routeur Cisco ..... 140 6.2.1 Configuration de liste d'accès standard pour IPv4 ...... .... 141
6.2.2 Configuration de la liste d'accès étendue pour IPv4 ..........
142
6.2.3 Suppression de listes d'accès .................. 143 6.3 Comment configurer des listes
de contrôle d'accès avancées sur un routeur Cisco ... .................................. 143 6.3.1 Listes
d'accès nommées ......... .................. 143 6.3.2 À propos des listes d'accès
nommées ...... ... 146 6.3.3 Listes d'accès pour
réflexives IPv6 .................. 147148
.. ................................ 6.3.4 Listes
6.3.5 d'accès
Listes
d'accès basées sur le temps .................. .......... 150
7 Cisco Router Management.................................. 183 7.1 Trucs et astuces avant de mettre à niveau
l'IOS d'un Cisco Routeur ... 183 7.2 Compréhension de la convention de nom de fichier IOS ......
184 7.3 Comment sauvegarder et restaurer la configuration
www.hellodigi.ir
Machine Translated by Google
X Contenu
www.hellodigi.ir
Machine Translated by Google
Chapitre 1
Démarrage d'un routeur Cisco
Afin de configurer le routeur Cisco pour effectuer l'opération réseau souhaitée, la première chose à faire est
de connecter le routeur via une connexion console. Cette connexion sert à configurer le routeur et ne
transporte pas de données utilisateur.
La plupart des routeurs sont livrés avec un câble de console qui a une extrémité DB-9 et l'autre
extrémité est un connecteur RJ-45. Ces connecteurs sont visibles sur la Fig. 1.1. Le câble est généralement
un ruban mince qui a un aspect différent des câbles à paires torsadées LAN ordinaires.
Laissez le routeur éteint et connectez l'extrémité RJ-45 du câble au port du routeur étiqueté console.
L'autre extrémité, celle du DB-9, doit être connectée au port série de l'ordinateur. La plupart des ordinateurs
portables modernes n'ont pas l'ancien port série DB-9. Au lieu du port série DB-9, un port USB peut être
utilisé. Cela nécessiterait l'utilisation d'un adaptateur USB vers DB9.
Certains routeurs plus anciens sont livrés avec des câbles de console dotés de connecteurs RJ-45 à
leurs deux extrémités. Ces câbles sont livrés avec des adaptateurs RJ-45 vers DB9.
Après avoir connecté le câble de la console à l'ordinateur, à l'aide du connecteur DB-9 ou
l'USB, un logiciel d'émulation de terminal est requis.
Le premier choix est HyperTerminal si vous utilisez Windows XP. Si vous utilisez Windows Vista ou
Windows 7, il existe plusieurs alternatives gratuites telles que PuTTY ou Tera Term. Si vous utilisez Linux,
vous pouvez utiliser MiniCom ou CuteCom.
Pour Mac, vous pouvez utiliser MiniCom et ZTerm.
Les réglages de base qui doivent être effectués dans le logiciel d'émulation de terminal sont les
suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
Après avoir connecté le câble et configuré les paramètres sur l'émulation de terminal
logiciel, mettez le routeur sous tension.
L'écran doit afficher le processus de démarrage du routeur et des informations telles que le
Version IOS, quantité de mémoire disponible et types d'interfaces.
Finalement, vous vous retrouverez en mode utilisateur EXEC avec l'invite 'Router>'.
La configuration de base est simplement ce que vous devez configurer sur un routeur sortant de la
boîte ou survivant à un effacement de configuration. Pensez-y comme si vous disiez "Salut" au routeur.
Les étapes suivantes sont ce que nous appelons la configuration de base du routeurÿ:
www.hellodigi.ir
Machine Translated by Google
Ce mot de passe vous sera demandé lorsque vous taperez 'enable' pour passer du mode utilisateur
EXEC au mode privilège.
Le premier enregistre le mot de passe en texte brut, tandis que le second enregistre le mot de
passe au format crypté.
Le premier est presque obsolète. Il est plus sûr d'utiliser le second.
N'oubliez pas qu'un seul d'entre eux est requis. Si vous les définissez tous les deux, le mot de
passe secret prévaudra.
3. Configurez le mot de passe de la
console : Router(config)#line console 0
Router(config-line)#password console-password Router(config-line)#login Ce
mot de passe sera requis lorsqu'une connexion console est établie. C'est le
premier mot de passe qui sera demandé à un administrateur avant d'entrer dans n'importe quel
mode.
4. Pour éviter que les messages d'état du routeur n'interrompent votre écriture, utilisez
commande suivante dans le mode de configuration de la ligne de consoleÿ:
Routeur (ligne de configuration) # journalisation synchrone
5. Si vous prévoyez d'utiliser Telnet, configurez le mot de passe Telnet. Si vous n'avez pas l'intention d'utiliser
Telnet dans un avenir proche, ne le configurez pas.
Router(config)#line vty 0 4 Router(config-
line)#password telnet-password Router(config-line)#login Dans certains
routeurs, vty 0 15 est utilisé à la place de vty 0 4, selon le nombre de Telnet
simultanés sessions que vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez
simplement 'line vty 0'.
Avant de plonger dans les paramètres des interfaces, nous devons comprendre la différence entre une
interface et une ligne. Dans la distinction la plus simple, les interfaces sont conçues pour transporter
des données d'utilisateur et de routage tandis que les lignes sont utilisées à des fins de configuration.
www.hellodigi.ir
Machine Translated by Google
1. Attribuez des adresses IPv4 aux interfaces que vous prévoyez d'utiliserÿ:
Routeur(config)#interface type d'interface numéro d'interface
où,
type-interface est le type d'interface tel qu'Ethernet, FastEthernet ou série.
interface-number est le numéro d'interface comme 0, 0/0 ou 0/1/0.
Adresse IPv6 est l'adresse IPv6 que vous souhaitez attribuer à cette interface.
Prefix-length est la longueur du préfixe IPv6 du réseau auquel cette interface est connectée
à.
Vous pouvez utiliser les paramètres suivants pour des réglages spéciauxÿ:
un. Routeur(config-if)#adresse ipv6 adresse/préfixe ipv6
longueur eui-64
Le paramètre EUI-64 est utilisé pour indiquer au routeur de terminer le reste du
Adresse IPv6 utilisant les règles EUI-64. Dans ce cas, vous n'avez qu'à donner le
préfixe au lieu de l'adresse IPv6.
b. Routeur(config-if)#adresse ipv6 adresse/préfixe ipv6
longueur lien-local
www.hellodigi.ir
Machine Translated by Google
Si vous utilisez le paramètre link-local, le routeur prendra l'adresse IPv6 donnée dans la
commande au lieu de l'adresse IPv6 link-local générée automatiquement.
1. C'est une très bonne pratique d'ajouter des descriptions d'interface. Ces descriptions s'apparentent
à des remarques mises dans le code d'un programme. Il n'affecte en rien le fonctionnement de
l'interface, mais il donne des informations à l'administrateur qui visualise la configuration. Cette
commande doit être écrite dans le mode de configuration de l'interface.
Router(config-if)#description Rédigez votre propre description Cette description peut être utilisée
de nombreuses manières utiles, comme écrire le nom du réseau auquel cette interface est
connectée ou écrire le nom de l'autre extrémité de ce lien.
2. Configurez la valeur de la bande passante sur les interfaces connectées à d'autres réseaux. La
valeur de bande passante définie dans la commande suivante n'affecte pas la bande passante
réelle du lien. Il ne modifie que la valeur de la bande passante utilisée dans le calcul du meilleur
itinéraire dans les protocoles de routage dynamique.
Router(config-if)#bandwidth interface-bandwidth où interface-bandwidth est un
nombre représentant la bande passante du lien en kilobits par seconde.
Il est fortement conseillé de configurer la bande passante des interfaces série et même des
interfaces Ethernet lorsqu'elles sont connectées à d'autres réseaux. Si l'interface est connectée à
un hôte ou à un groupe d'hôtes, cette configuration n'est pas nécessaire.
www.hellodigi.ir
Machine Translated by Google
3. Le réglage de la vitesse de connexion et du type de duplex dans les liaisons Ethernet, Fast Ethernet
et Gigabit Ethernet est utile dans certains cas. Par défaut, toutes les interfaces négocient
automatiquement les paramètres de vitesse et de duplex. Parfois, cette négociation n'accomplit
pas les paramètres souhaités.
Router(config-if)#duplex duplex-mode Router(config-if)#speed
port-speed où, duplex-mode est le mode de fonctionnement
duplex qui peut être automatique, semi-complet ou complet.
port-speed est la vitesse de transmission des données sur le port en mégabits par seconde, qui
peut être de 10, 100, 1000 ou auto.
Il existe peu d'autres configurations utiles mais non nécessaires au fonctionnement du réseauÿ:
1. Définition d'une bannière à afficher chaque fois que quelqu'un essaie de se connecter au routeur
configuration:
Router(config)#banner motd #Your Message Here# 2. Chiffrez les mots de
passe de manière à ce qu'ils deviennent incompréhensibles pour quiconque
les afficher dans la configuration en cours d'exécution.
Le mot de passe secret est déjà crypté. Tous les autres mots de passe (vty, console et auxiliaire)
ne le sont pas. La commande pour les chiffrer est la suivante : Router(config)#service password-
encryption Il existe deux méthodes recommandées pour utiliser cette commande. Comme il s'agit
d'un service, il n'est pas conseillé de le faire tourner en permanence car cela consommerait de la
puissance de traitement et de la mémoire. Ainsi, il peut être utilisé et désactivé et les mots de
passe resteront cryptés. Une façon de faire est d'activer cette commande avant de configurer des
mots de passe et de la désactiver après avoir terminé les commandes de configuration de mot de
passe à l'aide de la commande suivante : Router(config)#no service password-encryption La
deuxième façon de procéder est après terminez la configuration de tous les mots de passe, activez
le cryptage du mot de passe, émettez un "show running-config" en mode privilège, puis désactivez
le cryptage du mot de passe.
www.hellodigi.ir
Machine Translated by Google
Le cryptage utilisé ici est très faible. Le seul but est d'empêcher
les personnes regardant la configuration connaissant le mot de passe.
Scénario 1.1
Connectez le réseau illustré dans le schéma ci-dessus à l'aide d'une connexion console à
relier le PC A et le routeur 1 et un câble LAN droit pour relier le commutateur (port 1/1) au
routeur (interface FE0/0). Utilisez les paramètres de configuration indiqués dans le tableau ci-dessous
pour effectuer la configuration de base sur le routeur.
www.hellodigi.ir
Machine Translated by Google
Scénario 1.2
Maintenant, passez à l'ordinateur B et configurez une session Telnet sur le routeur 1 à l'aide du
Adresse IP 172.16.0.1. Dans cette session Telnet, définissez les paramètres suivants sur le routeurÿ1ÿ:
www.hellodigi.ir
Machine Translated by Google
Scénario 1.3
Connectez le réseau illustré dans le schéma ci-dessus à l'aide d'une connexion console à
relier le PC A et le routeur 1 et un câble LAN droit pour relier le commutateur (port 1/1) au
routeur (interface FE0/0). Utilisez les paramètres de configuration indiqués dans le tableau ci-dessous
pour effectuer la configuration de base sur le routeur. N'oubliez pas d'activer IPv6 sur le
interface.
www.hellodigi.ir
Machine Translated by Google
Chapitre 2
Configuration des fonctions du routeur domestique
Mots-clés Cisco Routeur DHCP Serveur DHCP NAT PAT Routage inter-VLAN
Quand en auriez-vous besoin : Lorsque votre FAI vous donne une adresse IP dynamique à chaque
connexion ou que vous devez configurer le routeur pour qu'il obtienne automatiquement l'adresse IP
de son interface.
où nom-
interface est le nom d'interface qui sera utilisé pour l'ID client et nom d'hôte est le nom
d'hôte qui sera utilisé pour la liaison DHCP.
Ce nom d'hôte peut être différent de celui qui a été défini pour le routeur dans la configuration
globale. Vous pouvez utiliser ces deux paramètres, l'un d'eux ou aucun d'eux.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque vous utilisez le routeur comme serveur DHCP pour fournir
des adresses IP et des informations connexes aux clients DHCP.
Exigences particulièresÿ: le logiciel de serveur DHCP est pris en charge pour ces sériesÿ:
800, 1000, 1400, 1600, 1700 (la prise en charge de la série Cisco 1700 a été ajoutée dans la version
12.0[2]T de Cisco IOS), 2500, 2600, 3600, 3800, MC3810, 4000, AS5100, AS5200, AS5300, 7000,
7100, 7200, MGX 8800 avec un module de processeur de routage installé, 12000, uBR900, uBR7200,
les commutateurs de la famille Catalyst 5000 avec un module de commutateur de routage installé,
les commutateurs de la famille Catalyst 6000 avec un multicouche installé Carte de fonction de
commutateur et Catalyst 8500.
Vous pouvez remplacer le masque de sous-réseau par (/prefix) pour fournir le masque de sous-réseau.
2. Configurez les paramètres à envoyer au client : Router(dhcp-
config)#dns-server dns-server-address Pour fournir l'adresse IP du serveur DNS :
Router(dhcp-config)#default-router address
passerelle par défaut
Pour fournir l'adresse IP de la passerelle par défaut, qui est généralement l'adresse IP de
l'interface du routeur connecté au réseau.
Routeur(dhcp-config)#domaine-nom de domaine
Pour fournir le nom du domaine du réseau (si dans un environnement de domaine) :
Routeur(dhcp-config)#netbios-name-server adresse netbios-server
3. Configurez les adresses IP à exclure du pool. Ceci est généralement fait pour éviter les conflits
causés par le DHCP avec les serveurs et les imprimantes. N'oubliez pas de donner à tous les
serveurs et imprimantes réseau des adresses IP statiques dans la même plage du pool DHCP.
Ensuite, excluez ces adresses du pool pour éviter les conflits.
www.hellodigi.ir
Machine Translated by Google
Vous pouvez également utiliser la même commande pour exclure une plage d'adresses IP en une
seule commande : Router(config)#ip dhcp exclude-address start-ip-address end-ip-address où
1. Vous pouvez créer un agent de base de données DHCP qui stocke la base de données de
liaison DHCP. Un agent de base de données DHCP est n'importe quel hôte ; par exemple, un
serveur FTP, TFTP ou RCP qui stocke la base de données des liaisons DHCP. Vous pouvez
configurer plusieurs agents de base de données DHCP et vous pouvez configurer l'intervalle
entre les mises à jour et les transferts de base de données pour chaque agent. Pour configurer
un agent de base de données et les paramètres de l'agent de base de données, utilisez la
commande suivante en mode de configuration globale : Router(config)#ip URL de la base de
données dhcp [timeout seconds | secondes de délai d'écriture]
www.hellodigi.ir
Machine Translated by Google
3. Pour effacer les variables du serveur DHCP, utilisez les commandes suivantes selon vos
besoins : Router#clear ip dhcp server statistics Router#clear ip dhcp binding * Si vous
souhaitez effacer une certaine liaison, pas toutes, remplacez le * dans la commande
précédente par l'adresse IP à effacer.
Quand en auriez-vous besoin : Lorsque vous utilisez le routeur en tant que serveur DHCP pour fournir
IPv6 dans une configuration sans état et avec état de DHCPv6.
Exigences particulièresÿ: Prise en charge de DHCPv6 dans IOS.
2.4.1 IPv4
Si vous avez un serveur DHCP autre que le routeur et que vous souhaitez que le routeur transmette
les requêtes DHCP à ce serveur DHCP situé en dehors du réseau local, accédez à la
interface LAN qui n'a pas le serveur DHCP et tapez la commande suivante :
www.hellodigi.ir
Machine Translated by Google
2.4.2 IPv6
Si vous avez un serveur DHCPv6 autre que le routeur et que vous souhaitez que le routeur
transmette les requêtes DHCPv6 à ce serveur DHCPv6 situé en dehors du réseau local, accédez à la
Interface LAN qui ne dispose pas du serveur DHCPv6 et saisissez la commande suivanteÿ:
Quand en auriez-vous besoin : Lorsque vous souhaitez connecter un réseau local à Internet et que
les adresses IP mondiales disponibles sont inférieures aux adresses IP locales.
Cela peut également être utilisé comme fonction de sécurité supplémentaire.
Ce type est utilisé lorsque vous souhaitez effectuer une attribution individuelle d'adresses IP globales
(c'est-à-dire publiques) à des adresses IP locales.
1. Établir une traduction statique entre une adresse locale interne et une adresse globale interne
address:
Router(config)#ip nat inside source static local-ip-ad dress global-ip-address où local-ip-address
est l'adresse locale (interne) et global-ip-address est l'adresse globale (interne).
2. Spécifiez l'interface locale (l'interface connectée au réseau interne). Cela se fait en allant dans le
mode de configuration de l'interface et en émettant : Router(config-if)#ip nat inside
www.hellodigi.ir
Machine Translated by Google
Ce type est utilisé lorsque vous souhaitez que le routeur effectue le mappage dynamiquement.
Cette méthode est utile lorsque vous avez trop d'adresses globales et locales et que vous ne
souhaitez pas effectuer le mappage manuellement, ou lorsque le nombre d'adresses globales
disponibles est inférieur aux adresses locales.
Cela nous conduirait à deux scénarios différents :
Vous pouvez émettre plus d'une phrase de liste d'accès dans la même liste d'accès pour définir
la ou les plages d'adresses IP spécifiques. Si vous n'êtes pas familier avec les masques
génériques, reportez-vous à la note de la section.
3. Associez le pool et la plage locale dans une traduction NAT dynamique
commande:
Router(config)#ip nat inside source list access-list number pool nat-pool-name
[surcharge] où access-list-number est le numéro de la liste d'accès, nat-pool-name
est le nom du pool global , et
www.hellodigi.ir
Machine Translated by Google
surcharge : Ce paramètre doit être utilisé lorsque vous avez des adresses IP globales
inférieures aux adresses IP locales (ce type de NAT est également appelé Port
Address Translation, PAT).
4. Spécifiez l'interface locale. Cela se fait en allant dans l'interface de configuration
mode de rationnement et émissionÿ:
Routeur(config-if)#ip nat à l'intérieur
5. Spécifiez l'interface globale. Cela se fait en allant à l'interface con
mode figuration et émission :
Routeur(config-if)#ip nat extérieur
B. L'autre scénario est lorsqu'il n'y a qu'une seule adresse IP globale et un groupe de
adresses IP locales.
Dans ce cas, la seule adresse IP globale est attribuée à l'interface connectée au réseau
global.
Vous pouvez émettre plus d'une phrase de liste d'accès dans la même liste d'accès pour définir
la ou les plages d'adresses IP spécifiques. Si vous n'êtes pas familiarisé avec les masques
génériques, reportez-vous à la note de la section.
2. Associez le pool et la plage locale dans une traduction NAT dynamique
commande :
Router(config)#ip nat inside source list access-list number interface interface-type
interface-number surcharge où access-list-number est le numéro de la liste d'accès,
interface-type est le type de l'interface qui a l'adresse IP globale (par exemple, série
ou Ethernet) et le numéro d'interface est le numéro des interfaces.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: Lorsque vous avez des appareils IPv6 uniquement qui doivent
communiquer avec des appareils IPv4 uniquement.
Exigences particulières : Aucune.
NAT-PT, où PT signifie Protocol Translation, est un protocole de tunnellisation qui
est utilisé pour traduire IPv6 en IPv4 et vice versa.
NAT-PT peut fonctionner dans l'un des trois modes : statique, dynamique et Port
Traduction d'adresse.
www.hellodigi.ir
Machine Translated by Google
Avant de configurer NAT-PT, vous devez activer le routage IPv6 sur la traduction
routeur à l'aide de cette commandeÿ:
Routeur(config)#ipv6 unicast-routing
1. Dans une configuration statique, une adresse IPv6 est mappée statiquement dans une adresse IPv4
à l'aide de la commande suivante :
Router(config)#ipv6 nat v6v4 source ipv6-address ipv4-address où ipv6-address est
l'adresse IPv6 attribuée à l'hôte IPv6 uniquement et ipv4-address est l'adresse IPv4
attribuée à l'hôte IPv4 uniquement .
La commande précédente doit être configurée une fois pour chaque adresse.
De la même manière, nous devons identifier le mappage inversé d'IPv4 à IPv6 à l'aide
de la commande suivanteÿ: Router(config)#ipv6 nat v6v4 source ipv4-address ipv6-
address où ipv6-address est l'adresse IPv6 attribuée au réseau IPv6 uniquement. host
et ipv4-address correspondent à l'adresse IPv4 attribuée à l'hôte IPv4 uniquement.
2. Dans la configuration dynamique, vous devrez configurer la traduction dans les deux
sensÿ: IPv6 vers IPv4 et IPv4 vers IPv6. Pour la première option, IPv6 vers IPv4, vous
devrez identifier les adresses IPv6 à l'aide d'une liste d'accès et la mapper à un pool
d'adresses IPv4 à utiliser dans la traduction.
Tout d'abord, nous identifions le pool d'adresses IPv4 à l'aide de la
commandeÿ: Router(config)#ipv6 nat v6v4 pool pool-name start-address end-address
prefix-length prefix-length où pool-name est le nom du pool NAT, start -address et end-
address sont les première et dernière adresses du pool, et prefix-length est la longueur
du préfixe du réseau IPv4.
Ensuite, nous créons une liste d'accès nommée pour identifier la plage d'adresses IPv6
autorisées à participer à la traduction. Cela se fait à l'aide des commandes suivantesÿ:
www.hellodigi.ir
Machine Translated by Google
Répétez la dernière commande autant de fois que nécessaire pour inclure toutes les adresses
que vous souhaitez faire participer à la traduction.
La dernière étape consiste à configurer le mappage à l'aide de la commande suivanteÿ:
Router(config)#ipv6 nat v6v4 source list acl-name pool pool-name où acl-name est le nom de la
liste d'accès identifiée à l'étape précédente et pool- name est le nom du pool NAT que nous
avons identifié précédemment.
Dans la deuxième partie, nous devrons identifier le mappage IPv4 vers IPv6 en utilisant des
commandes similaires à celles utilisées auparavant mais en échangeant les adresses IPv4 et
IPv6.
Tout d'abord, nous identifions le pool d'adresses IPv6 à l'aide de la commandeÿ:
Router(config)#ipv6 nat v6v4 pool pool-name start-address end-address prefix-length prefix-
length où pool-name est le nom du pool NAT, start -address et end-address sont les première et
dernière adresses du pool, et prefix-length est la longueur du préfixe du réseau IPv6.
Ensuite, nous créons une liste d'accès numérotée (ou nommée) pour identifier la plage
d'adresses IPv4 autorisées à participer à la traduction. Ceci est fait en utilisant les commandes
suivantes : Router(config)#access-list acl-number permit ip ipv4- network-address wildcard-mask
où acl-number est le numéro de la liste d'accès. Le nombre doit être compris entre 1 et 99 car il
s'agit d'une liste de contrôle d'accès standardÿ; ipv4-network-address est le réseau IPv4 qui
inclut les hôtes autorisés à utiliser cette traduction NATÿ; et wildcard-mask est le masque
générique qui identifie la plage.
Répétez la dernière commande autant de fois que nécessaire pour inclure toutes les adresses
que vous souhaitez faire participer à la traduction en utilisant le même numéro de liste d'accès.
La dernière étape consiste à configurer le mappage à l'aide de la commande suivanteÿ:
Router(config)#ipv6 nat v6v4 source list acl-number pool pool-name où acl-name est le nom de
la liste d'accès identifiée à l'étape précédente et pool- name est le nom du pool NAT que nous
avons identifié précédemment.
3. La traduction d'adresse de port est configurée de manière identique au cas précédent de mappage
dynamique à l'exception d'une petite différence. Dans la commande de mappage, ajoutez le mot
surcharge à la fin après le nom du pool.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous souhaitez effectuer un routage entre différents VLAN.
Exigences particulières : Vous devez vous assurer que votre routeur prend en charge la technologie
d'étiquetage de trame utilisée entre les commutateurs.
Avant de passer à la configuration du routeur, vous devez configurer un port du commutateur
qui sera connecté au routeur en tant que port de jonction. Votre choix de méthode de balisage
VLAN configuré sur le commutateur (ISL ou 802.1Q, 802.10 ou LANE) sera le même que celui que
vous devrez configurer pour que le routeur fonctionne.
Ce qui sera fait dans cette procédure est la création d'interfaces logiques à l'intérieur du seul
interface physique (sur le routeur) qui reliera le commutateur au routeur.
Ces interfaces logiques seront traitées comme des interfaces distinctes dans les décisions
d'acheminement.
www.hellodigi.ir
Machine Translated by Google
où
encapsulation-type est le type d'encapsulation que vous utilisez pour les VLAN (par exemple, isl
ou dot1q qui est 802.1Q) et vlan-number est le numéro de VLAN auquel cette interface logique
sera affectée.
4. Attribuez une adresse IP à l'interface logiqueÿ:
Router(config-subif)#ip address ip-address subnetmask où ip-address et subnetmask sont
respectivement l'adresse IP et le masque de sous-réseau que vous souhaitez utiliser. N'oubliez
pas d'attribuer à l'interface logique une adresse IP comprise dans la plage des adresses IP
disponibles dans le VLAN auquel vous l'avez affectée. Cette interface logique sera la passerelle
vers les hôtes connectés à ce VLAN.
Répétez les étapes 2 à 4 pour chaque VLAN que vous souhaitez faire participer au routage inter-
VLAN.
5. Configurez le routage statique ou dynamique selon vos besoins. Traitez les interfaces logiques
exactement de la même manière que vous traitez les interfaces physiques lors du routage.
Si vous souhaitez que certains VLAN (c'est-à-dire des réseaux) ne participent pas au routage,
vous pouvez soit ne pas les inclure dans le protocole de routage, soit ne pas leur attribuer
d'interface logique.
6. Vous pouvez configurer les listes d'accès de la manière que vous jugez appropriée pour filtrer le
trafic allant d'un VLAN à un autre et les appliquer aux interfaces logiques de la même manière
que vous les appliquez aux interfaces physiques.
1. Si vous envisagez de laisser passer les mises à jour de routage via le routeur d'un VLAN à un
autre, il est nécessaire de désactiver l'horizon partagé. La technologie split-horizon interdit à la
mise à jour provenant d'une interface de sortir de la même interface.
Split-horizon peut être désactivé à l'aide de la commande suivante émise dans l'interface
physiqueÿ: Router(config-if)#no ip split-horizon 2. La plupart des commutateurs prennent en
charge les jonctions sur FastEthernet ou des interfaces plus rapides, et ne
www.hellodigi.ir
Machine Translated by Google
Scénario 2.1
Commutateur 1 Routeur 1
Connexion console
Ordinateur A
Ordinateur B Ordinateur C
www.hellodigi.ir
Machine Translated by Google
Scénario 2.2
Connexion console
Ordinateur A
Ordinateur C
Ordinateur B
Connectez le réseau illustré dans la figure ci-dessus et effectuez les réglages suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
5. Configurez l'interface FastEthernet 0/0 sur le routeur 2 pour obtenir ses paramètres d'adresse IP
via DHCP (c'est-à-dire client DHCP).
Scénario 2.3
Connexion console
Ordinateur A
Ordinateur C
Ordinateur B
Commutateur 2
Ordinateur D
Connectez le réseau illustré dans la figure ci-dessus et effectuez les réglages suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
5. Configurez l'interface FastEthernet 0/0 sur le routeur 2 pour obtenir ses paramètres d'adresse IP
via DHCP (c'est-à-dire client DHCP).
6. Configurez le routeur 2 pour qu'il agisse comme un relais DHCP afin de transmettre les requêtes DHCP au routeur
1 (le serveur DHCP).
7. Configurez l'ordinateur D pour obtenir les paramètres d'adresse IP via DHCP.
Scénario 2.4
Commutateur 1 Routeur 1
Connexion console
Ordinateur A
Ordinateur B Ordinateur C
www.hellodigi.ir
Machine Translated by Google
2. Configurez le routeur 1 pour qu'il soit un serveur DHCP sans état avec les paramètres suivantsÿ:
Nom du pool DHCP : routergeek
Adresse du serveur DNS : 2001 :: FEFE : 1
Nom de domaine : routergeek.org
3. Configurez l'ordinateur B et l'ordinateur C sur des clients de configuration automatique sans état IPv6.
Scénario 2.5
Commutateur 1 Routeur 1
Connexion console
Ordinateur A
Ordinateur B Ordinateur C
5. Configurez le routeur 1 pour qu'il soit un serveur DHCP sans état avec les paramètres suivantsÿ:
Nom du pool DHCP : routergeek
Adresse du serveur DNS : 2001 :: FEFE : 1
Préfixe d'adresse : 2001 ::/64
Nom de domaine : routergeek.org
Adresse IPv6 exclueÿ: 2001::FEFE:1
6. Configurez l'ordinateur B et l'ordinateur C sur des clients DHCP avec état IPv6.
www.hellodigi.ir
Machine Translated by Google
Scénario 2.6
Connexion console
Ordinateur A
Connexion console
Ordinateur B
Commutateur 2
Ordinateur D
1. Sur le routeur 1, utilisez le lien console vers l'ordinateur A pour modifier les éléments suivants.
réglages:
www.hellodigi.ir
Machine Translated by Google
3. Sur le routeur 2, à l'aide de la liaison console vers l'ordinateur B, modifiez les éléments suivants
réglages:
7. À des fins de test, installez WireShark sur l'ordinateur D. Ensuite, effectuez un PING
commande de l'ordinateur A à l'ordinateur D. Sur l'ordinateur D, observez la source
Adresse IP du message PING.
www.hellodigi.ir
Machine Translated by Google
Scénario 2.7
Connexion console
Ordinateur A
Connexion console
Ordinateur B
Commutateur 2
Ordinateur D
1. Sur le routeur 1, utilisez le lien console vers l'ordinateur A pour modifier les éléments suivants.
réglages:
www.hellodigi.ir
Machine Translated by Google
3. Sur le routeur 2, à l'aide de la liaison console vers l'ordinateur B, modifiez les éléments suivants
réglages:
c. Sur le routeurÿ1ÿ:
route IP 172.16.0.0 255.255.255.0 10.0.0.2
ré. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
7. À des fins de test, installez WireShark sur l'ordinateur D. Ensuite, effectuez un PING
commande de l'ordinateur A à l'ordinateur D. Sur l'ordinateur D, observez la source
Adresse IP du message PING.
8. Modifiez les paramètres de l'ordinateur A comme suitÿ:
www.hellodigi.ir
Machine Translated by Google
9. Activez à nouveau WireShark sur l'ordinateur D. Ensuite, faites une commande PING à partir de
Ordinateur A à Ordinateur D. Sur l'ordinateur D, observez l'adresse IP source de
le message PING. Cette fois, vous devriez voir la source comme 192.168.0.100
car la plage source est en dehors de la plage NAT acceptable.
Scénario 2.8
Connexion console
Ordinateur A
Connexion console
Ordinateur B
Commutateur 2
Ordinateur D
1. Sur le routeur 1, utilisez le lien console vers l'ordinateur A pour modifier les éléments suivants.
réglages:
www.hellodigi.ir
Machine Translated by Google
3. Sur le routeur 2, à l'aide de la liaison console vers l'ordinateur B, modifiez les éléments suivants
réglages:
5. Configurez le NAT dynamique avec surcharge sur le routeur 1 avec les paramètres suivantsÿ:
Adresses internes : 192.168.0.0 0.0.0.31
Adresse externe : Interface 10.0.0.1
6. Configurez les commandes de routage statique suivantes (détaillées au chapitre 3) pour assurer
livraison de données de l'ordinateur A à l'ordinateur D et vice-versaÿ:
e. Sur le routeurÿ1ÿ:
route IP 172.16.0.0 255.255.255.0 10.0.0.2
F. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
7. À des fins de test, installez WireShark sur l'ordinateur D. Ensuite, effectuez un PING
commande de l'ordinateur A à l'ordinateur D. Sur l'ordinateur D, observez la source
Adresse IP du message PING.
8. Modifiez les paramètres de l'ordinateur A comme suitÿ:
www.hellodigi.ir
Machine Translated by Google
9. Activez à nouveau WireShark sur l'ordinateur D. Ensuite, faites une commande PING à partir de
Ordinateur A à Ordinateur D. Sur l'ordinateur D, observez l'adresse IP source de
le message PING. Cette fois, vous devriez voir la source comme 192.168.0.100
car la plage source est en dehors de la plage NAT acceptable.
Scénario 2.9
Connexion console
Connexion console
Ordinateur B
Ordinateur A
Commutateur 3 Ordinateur C
Ordinateur D
1. Sur le routeur 1, utilisez le lien console vers l'ordinateur A pour modifier les éléments suivants.
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Sur le routeur 2, à l'aide de la liaison console vers l'ordinateur B, modifiez les éléments suivants
réglages:
6. Configurez le NAT dynamique avec surcharge sur le routeur 1 avec les paramètres suivantsÿ:
Nom du pool NATÿ: geekNAT
Adresses internes : 192.168.0.0 0.0.0.15
Adresses externes : 10.0.0.5 à 10.0.0.8
7. Configurez les commandes de routage statique suivantes (détaillées au Chap. 3) pour assurer
livraison de données de l'ordinateur A à l'ordinateur D et vice-versaÿ:
g. Sur le routeurÿ1ÿ:
route IP 172.16.0.0 255.255.255.0 10.0.0.2
h. Sur le routeur 2ÿ:
itinéraire IP 192.168.0.0 255.255.255.0 10.0.0.1
8. À des fins de test, installez WireShark sur l'ordinateur D. Ensuite, effectuez un PING
commande de l'ordinateur A à l'ordinateur D. Et sur l'ordinateur C, faites un PING
de l'ordinateur C à l'ordinateur D. Sur l'ordinateur D, observez l'adresse IP source
adresses des messages PING.
www.hellodigi.ir
Machine Translated by Google
10. Activez à nouveau WireShark sur l'ordinateur D. Ensuite, faites une commande PING à partir de
Ordinateur A à Ordinateur D. Sur l'ordinateur D, observez l'adresse IP source de
le message PING. Cette fois, vous devriez voir la source comme 192.168.0.100
car la plage source est en dehors de la plage NAT acceptable.
Scénario 2.10
Connexion console
Connexion console
Ordinateur B
Ordinateur A
Commutateur 3 Ordinateur C
Ordinateur D
1. Sur le routeur 1, utilisez le lien console vers l'ordinateur A pour modifier les éléments suivants.
réglages:
www.hellodigi.ir
Machine Translated by Google
Longueur du préfixe 64
Longueur du préfixe 64
4. Sur le routeur 2, à l'aide de la liaison console vers l'ordinateur B, modifiez les éléments suivants
réglages:
6. Configurez le NAT dynamique avec surcharge sur le routeur 1 avec les paramètres suivantsÿ:
Nom du pool NATÿ: geekNAT
Adresses internes : 2001 ::FEFE:0 /120
Adresses externes : 10.0.0.5 à 10.0.0.8
www.hellodigi.ir
Machine Translated by Google
7. Configurez les commandes de routage statique suivantes (détaillées au chapitre 3) pour assurer
livraison de données de l'ordinateur A à l'ordinateur D et vice-versaÿ:
8. À des fins de test, installez WireShark sur l'ordinateur D. Ensuite, effectuez un PING
commande de l'ordinateur A à l'ordinateur D. Et sur l'ordinateur C, faites un PING
de l'ordinateur C à l'ordinateur D. Sur l'ordinateur D, observez l'adresse IP source
adresses des messages PING.
9. Modifiez les paramètres de l'ordinateur A comme suitÿ:
Longueur du préfixe 64
10. Activez à nouveau WireShark sur l'ordinateur D. Ensuite, faites une commande PING à partir de
Ordinateur A à Ordinateur D. Sur l'ordinateur D, observez l'adresse IP source de
le message PING. Cette fois, vous devriez voir la source comme 2001 :: FEFE: FE01
car la plage source est en dehors de la plage NAT acceptable.
Scénario 2.11
G0/0 G0/1
FE0/3
Routeur 1 FE0/2
FE0/1
Connexion console
www.hellodigi.ir
Machine Translated by Google
20 CE FE0/1
30 Gestionnaires FE0/3
3. Configurez le port G0/1 sur le commutateur 1 pour agir en tant que port de jonction avec encapsulation 802.1Q.
4. Sur les ordinateurs, modifiez les paramètres suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
chapitre 3
Configuration des protocoles de routage
Mots clés Cisco Router Routage statique Routage dynamique Route par défaut
EIGRP RIP RIPv2 OSPF RIPng Multidiffusion OSPFv3 HSRP GLBP
VRRP
Dans le routage statique, il n'y a pas d'échange d'informations de routage. Chaque routeur est configuré pour
utiliser une ou plusieurs routes spécifiques pour fournir des données utilisateur à des destinations spécifiques.
Quand en auriez-vous besoinÿ: lorsque vous souhaitez acheminer des données utilisateur vers une
destination via un chemin spécifique ou si vous disposez d'un petit interréseau et que vous ne souhaitez
pas déranger le routeur avec un trafic de routage dynamique.
www.hellodigi.ir
Machine Translated by Google
où
destination-network-prefix/prefix-length est le préfixe réseau IPv6 et
prefix-length auquel vous souhaitez envoyer les données.
exit-interface est le type et le numéro de l'interface sur laquelle les paquets
doivent être acheminés pour être livrés à destination.
next-hop-link-local-address est l'adresse IPv6 lien-local du prochain saut.
Vous devrez répéter la configuration de la route statique pour chaque destination
réseau avec lequel vous voulez que le routeur puisse communiquer. Si le paquet est supposé
pour passer par plus d'un routeur, vous ne pouvez pas vérifier si votre configuration
fonctionne jusqu'à ce que vous configuriez tous les routeurs du chemin pour les chemins de routage bidirectionnels.
Sinon, vous ne pourrez pas atteindre la destination et revenir.
En règle générale, l'utilisation de l'adresse du prochain saut permet au routeur d'économiser une partie du traitement de l'ARP
requêtes pour chaque paquet destiné à un réseau différent. Donc, chaque fois que vous le pouvez, utilisez
adresse IP du saut suivant au lieu de l'interface de sortie.
3.1.2 Comment configurer les routes par défaut dans les routeurs Cisco
Quand en auriez-vous besoinÿ: lorsque vous disposez d'un réseau de remplacement ou que vous souhaitez transférer
tout le trafic via un seul chemin spécifique.
www.hellodigi.ir
Machine Translated by Google
Une autre façon de configurer une route par défaut consiste à configurer la passerelle de
dernier recoursÿ:
Routeur(config)#ip default-network default-network address
où l'adresse réseau par défaut est l'adresse réseau du réseau par défaut auquel vous souhaitez
transférer tout le trafic vers lequel le routeur ne connaît pas de chemin pour acheminer le trafic.
Cette commande doit être combinée avec un autre routeur statique indiquant au routeur l'interface
de sortie ou l'adresse du saut suivant qui livrerait les paquets au réseau par défaut. Les étapes
logiques consistent à écrire une route statique indiquant au routeur comment atteindre le réseau
par défaut, puis à sélectionner le réseau comme réseau par défaut pour intercepter tout le trafic de
chemin inconnu.
Dans IPv6, la route par défaut est configurée à l'aide des commandes suivantes :
Router(config)#ipv6 route::/0 next-hop-address Ou Router(config)#ipv6 route::/0
exit-interface where next-hop-address est l'adresse IP de l'interface voisine qui
aiderait le routeur à livrer les paquets à l'adresse de destination. exit-interface est
le type et le numéro de l'interface sur laquelle les paquets doivent être transférés
pour être livrés à la destination.
La distance administrative est essentiellement la confiance que vous accordez aux informations de routage.
Le tableau 3.1 montre les valeurs de distance administrative par défaut pour différents protocoles
de routage.
Moins il y a de nombre dans le tableau, plus cette source d'informations de routage est fiable.
Dans le tableau, vous pouvez voir que les routeurs Cisco font davantage confiance à EIGRP qu'à
OSPF, par exemple. Cela signifie que si les deux protocoles s'exécutent sur un routeur et que les
deux protocoles apportent un "meilleur chemin" à certains réseaux de destination, le routeur
sélectionnera le chemin EIGRP comme meilleur chemin et l'inclura dans la table de routage.
www.hellodigi.ir
Machine Translated by Google
Vous pouvez clairement voir que les routes statiques sont plus fiables que n'importe quel routage dynamique
protocole. Dans certains cas, vous devrez modifier le paramètre d'administration par défaut
distance de la route statique. Par exemple, si vous avez un routeur connecté à
Internet sur une interface et connecté à quelques autres routeurs dotés de
réseaux connectés sur des interfaces LAN. Si vous configurez la route par défaut comme dans le
section précédente, le routeur ne pourra pas transférer le trafic entre le réseau interne
réseaux. Au lieu de cela, tout le trafic d'un réseau interne à un autre ira vers
Internet car la route par défaut est plus fiable que n'importe quel routage dynamique
protocoles que vous pourriez utiliser. La figure 3.1 montre un exemple d'un tel réseau.
www.hellodigi.ir
Machine Translated by Google
Si une route par défaut est configurée sur Router2 et qu'EIGRP est utilisé sur les trois
routeurs pour échanger des informations de routage, les données passant de Network1 à
Network2 seront envoyées sur Internet en raison de la route par défaut. Dans ce cas, nous
pouvons modifier la distance administrative de la route par défaut en un nombre supérieur à
celui de l'EIGRP afin que le trafic interne aille en interne et que tout le reste du trafic passe par
la route par défaut.
Voici comment se fait la configuration des routes par défaut :
Router(config)#ip route 0.0.0.0 0.0.0.0 next-hop-address administrative-distance Ou
Router(config)#ip route 0.0.0.0 0.0.0.0 exit-interface administrative -distance où next-hop-
address est l'adresse IP de l'interface voisine qui aiderait le routeur à livrer les paquets à
l'adresse de destination. exit-interface est le type et le numéro de l'interface sur laquelle les
paquets doivent être transférés pour être livrés à la destination. administrative-distance est
un nombre compris entre 1 et 255. Plus le nombre est faible, plus le routeur a confiance dans
cette route par défaut.
Quand en auriez-vous besoinÿ: lorsque vous avez un groupe d'appareils dont vous avez besoin pour échanger
des données en tant que groupe.
www.hellodigi.ir
Machine Translated by Google
grand sujet en termes d'étendue et de profondeur. Cependant, dans cette sous-section, nous
expliquerons les étapes de configuration de la configuration Single-RP Sparse, qui est le mode
recommandé par Cisco.
4. Sur l'interface, après avoir identifié l'adresse IP, identifiez le mode PIM comme
clairsemé, clairsemé-dense, dense ou dense-clairsemé.
Router(config-if)#ip pim sparse-mode Cisco recommande
d'utiliser le mode sparse.
Dans la section de routage dynamique, nous discuterons de la mise en œuvre de RIPv1, RIPv2, EIGRP
et OSPF à zone unique.
Quand en auriez-vous besoinÿ: lorsque vous devez implémenter un protocole de routage pour un petit
réseau et que vous avez besoin que la configuration soit simple. Le protocole d'information de routage
est le plus simple qu'il puisse obtenir.
www.hellodigi.ir
Machine Translated by Google
3. Si vous avez besoin d'ajuster les temporisateurs (mise à jour, invalide, maintien et vidage),
utilisez la commande 'timers basic'. Tous les quatre paramètres de cette commande,
update, invalid, holddown et flush timer consécutivement, sont en secondes : Router(config-
router)#timers basic 30 180 180 240 L'exemple ci-dessus est défini avec les valeurs par
défaut des temporisateurs RIP. N'oubliez pas de garder la relativité des valeurs de
minuterie. Gardez-le toujours comme (n 6n 6n 8n). Si, par exemple, vous réglez le
minuteur de mise à jour sur 40, vous devez régler les autres minuteurs sur 240 240 320
consécutivement. Il est fortement recommandé de conserver les minuteries sur leurs
valeurs par défaut.
4. Vous devrez arrêter la diffusion des mises à jour sur Internet si l'une des interfaces du
routeur est connectée à Internet. Pour cela, utilisez la commande 'passive interface'.
Cette commande empêche l'interface de transférer les diffusions RIP, mais maintient
l'interface à l'écoute de ce que les autres disent dans RIP.
5. RIP, par nature, envoie les mises à jour sous forme de diffusion. Si le routeur est connecté
via des réseaux non diffusés (comme Frame Relay), vous devrez indiquer à RIP
d'envoyer les mises à jour sur ce réseau en monodiffusion. Ceci est réalisé par la
commande 'neighbor' : Router(config-router)#neighbor neighbor-address où neighbor-
address est l'adresse IP du voisin.
De plus, vous pouvez contrôler les versions des mises à jour envoyées et reçues sur
chaque interface pour avoir plus de flexibilité dans la prise en charge des deux versions.
Ceci est réalisé par les commandes 'ip rip send version' et 'ip rip receive version' :
Router(config-if)#ip rip send version 2 Router(config-if)#ip rip receive version 1
www.hellodigi.ir
Machine Translated by Google
Si vous ne souhaitez pas attribuer d'adresse IPv6 à l'interface, vous pouvez activer le
fonctionnement IPv6 sur l'interface et la laisser créer sa propre adresse lien-local à l'aide de la
commande suivante : Router(config-if)#ipv6 enable 4. Enable le processus RIPng sur l'interfaceÿ:
Répétez cette étape sur toutes les interfaces que vous souhaitez faire participer au processus de
routage RIPng.
5. Pour le dépannage, utilisez les commandes suivantes :
Router#show ipv6 route Router#show ipv6 route rip
Router#show ipv6 protocols Router#show ipv6 rip
Router#show ipv6 rip next-hops Router#debug ipv6 rip
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous implémentez un protocole de routage sur un grand interréseau et
que tous les périphériques réseau impliqués sont des périphériques Cisco ou des périphériques prenant en charge
EIGRP.
Exigences particulières : EIGRP est un protocole propriétaire de Cisco. Ainsi, soit tous les routeurs de l'interréseau
doivent être des routeurs Cisco, soit les routeurs doivent être compatibles EIGRP.
Avant de commencer, si vous n'avez pas défini la bande passante des interfaces, définissez-les maintenant.
Pour des décisions de routage correctes, vous devez définir la bande passante des interfaces série en fonction
des technologies WAN que vous utilisez. Cela se fait à l'aide de la commande suivante sur chaque interface
série : Router(config-if)#bandwidth bande passante où bande passante est la bande passante de la connexion
WAN en kilobits par seconde.
Ensuite, vous pouvez commencer à configurer EIGRP comme dans les étapes suivantesÿ:
2. Demandez au routeur d'annoncer les réseaux qui lui sont directement connectés.
Router(config-router)#network network-address où network-address est l'adresse réseau
d'un réseau qui est directement connecté au routeur. Répétez cette étape pour chaque réseau directement
connecté au routeur spécifique que vous configurez. Pour les réseaux en sous-réseaux, n'oubliez pas qu'il
vous suffit d'écrire l'adresse réseau d'origine d'un groupe de sous-réseaux et le routeur identifiera
automatiquement les sous-réseaux.
Par exemple, si le routeur est connecté aux réseaux 172.16.1.0/24, 172.16.2.0/24 et 172.16.3.0/24, vous
devrez effectuer une commande « réseau » avec l'adresse 172.16.0.0.
3. Par défaut, les paquets EIGRP consomment un maximum de 50 % de la bande passante de la liaison, comme
configuré avec la commande de configuration d'interface « bandwidth ».
Vous souhaiterez peut-être modifier cette valeur si un niveau différent d'utilisation de la liaison est requis ou
si la bande passante configurée ne correspond pas à la largeur de bande de liaison réelle (elle a peut-être
été configurée pour influencer les calculs de métrique de route). Utilisez la commande suivante pour définir
le pourcentage de bande passante à utiliser sur chaque interface séparément : Router(config-if)#ip width-
percent pourcentage de bande passante eigrp où pourcentage de bande passante est le pourcentage de
bande passante à utiliser (par exemple, 70).
4. Vous pouvez modifier les intervalles des paquets hello et la minuterie de maintien sur
chaque interface à l'aide de la commandeÿ:
www.hellodigi.ir
Machine Translated by Google
5. Vérifiez votre configuration sur les routeurs après avoir configuré tous les routeurs du
interréseau à l'aide des commandes suivantes : Pour
afficher des informations sur les interfaces configurées pour EIGRP.
Router#show ip eigrp interfaces interface-type autono mous-system Affiche les voisins EIGRP
découverts.
Bien que ce ne soit pas recommandé, si vous avez besoin de modifier la façon dont les métriques
des routes sont calculées, vous pouvez les définir à l'aide de la commandeÿ:
Routeur(config-router)#metric weights type-of-service K1
K2 K3 K4 K5
où type-
of-service est le type d'indice de service et les valeurs de k1–k5 sont utilisées pour
calculer la métrique à l'aide de l'équation suivanteÿ:
bande passante k2 k5
métrique ¼ bande passante k1 þ þ délai k3
256 charge fiabilité þ k4
www.hellodigi.ir
Machine Translated by Google
bande passante k2
métrique ¼ bande passante k1 þ þ délai k3
256 charge
Il est fortement recommandé de laisser la métrique dans les valeurs par défaut, sauf si vous êtes
un concepteur de réseau très expérimenté.
Quand en auriez-vous besoin : Lorsque vous implémentez un protocole de routage sur un grand
interréseau IPv6 et que tous les périphériques réseau impliqués sont des périphériques Cisco ou des
périphériques prenant en charge EIGRP.
Exigences particulières : EIGRP est un protocole propriétaire de Cisco. Ainsi, soit tous les routeurs
de l'interréseau doivent être des routeurs Cisco, soit les routeurs doivent être compatibles EIGRP.
où numéro de système autonome est le numéro du système autonome dans lequel ce processus
EIGRP sera exécuté. N'oubliez pas d'utiliser le même numéro de système autonome dans tous
les routeurs avec lesquels vous souhaitez échanger des informations de routage.
3. Activez IPv6 sur l'interface que vous souhaitez faire participer au processus EIGRPÿ:
Router(config-if)#ipv6 enable L'utilisation de la
commande 'ipv6 enable' informera le routeur de créer une adresse IPv6 lien-local pour cette
interface. Si vous souhaitez utiliser une adresse IPv6 différente, vous pouvez utiliser la commande
suivante au lieu de « ipv6 enable » : Router(config-if)#ipv6 address ipv6-address/prefix length où
ipv6-address est l'adresse IPv6 que vous souhaitez attribuer à cette interface. prefix-length est la
longueur du préfixe de l'adresse IPv6.
4. Activez EIGRP sur l'interface connectée à d'autres routeurs compatibles EIGRP en identifiant le
numéro de système autonome dont cette interface fera partieÿ: du système autonome dans
lequel ce processus EIGRP sera exécuté. N'oubliez pas d'utiliser le même numéro de système
autonome utilisé aux étapes 2 et 4.
www.hellodigi.ir
Machine Translated by Google
N'oubliez pas d'utiliser le même numéro de système autonome utilisé aux étapes 2 et 4.
Router(config-router)#eigrp router-id router-id où router-id est l'ID de
routeur utilisé dans le processus EIGRP. Le RouterID est formaté en tant qu'adresse
IPv4 même si vous utilisez EIGRP pour les réseaux IPv6.
Router(config-router)#exit 6. Par défaut,
les paquets EIGRP consomment un maximum de 50 % de la bande passante de la liaison,
comme configuré avec la commande de configuration d'interface « bandwidth ».
Vous souhaiterez peut-être modifier cette valeur si un niveau différent d'utilisation de la
liaison est requis ou si la bande passante configurée ne correspond pas à la largeur de
bande de liaison réelle (elle a peut-être été configurée pour influencer les calculs de
métrique de route). Utilisez la commande suivante pour définir séparément le pourcentage
de bande passante à utiliser sur chaque interfaceÿ: Router(config-if)#ipv6 width-percent
eigrp au tonomous-system-number système autonome dans lequel ce processus EIGRP
sera exécuté. pourcentage de bande passante est le pourcentage de bande passante à
utiliser (par exemple, 70).
Routeur # show ipv6 eigrp interface type d'interface numéro d'interface numéro de
système autonome
1. Si vous utilisez des réseaux non contigus, ce qui est généralement le cas, vous devez
désactiver la synthèse automatique à l'aide de la commande suivanteÿ: Router(config)#no
ip auto-summary 2. Vous pouvez définir des adresses de synthèse manuelles à l'aide
de la commande suivanteÿ:
Routeur(config-if)#ip eigrp summary-address système autonome summary-network
summary-subnetmask où système autonome est le numéro de système autonome et
résumé résumé-réseau est l'adresse réseau exprimant le résumé de plusieurs réseaux.
summary-subnetmask est le masque de sous-réseau de l'adresse résumée.
3. Lorsque vous utilisez des technologies de réseau non diffusées telles que Frame Relay
et SMDS, vous devez désactiver l'horizon partagé pour permettre à EIGRP de fonctionner
efficacement.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique avec des
routeurs Cisco et non Cisco.
1. Étant donné que les meilleurs calculs de route OSPF reposent uniquement sur la bande
passante, vous devez configurer la bande passante de l'interface série impliquée dans le
processus de routage à l'aide de la commande suivante sur l'interfaceÿ: Router(config-
if)#bandwidth de la connexion en kilobits par seconde.
N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie
uniquement la valeur de la bande passante utilisée par le protocole de routage aux fins du
calcul du meilleur chemin.
2. Demandez au routeur d'activer le processus de routage OSPFÿ:
Router(config)#router ospf process-number où process-number est
le numéro de processus d'OSPF. Ce numéro de processus a une signification locale. Il n'est
pas nécessaire que ce soit le même sur tous les routeurs.
3. Demandez au routeur d'annoncer les réseaux directement connectésÿ:
Routeur(config-router)#network network-address joker mask area 0 où network-address est
l'adresse réseau d'un réseau directement connecté. wildcard-mask est le masque générique
de l'adresse réseau.
Étant donné que nous définissons un OSPF à zone unique, nous utiliserons toujours la "zone 0".
4. Répétez l'étape 3 pour chaque réseau directement connecté au routeur.
Si vous avez terminé les quatre premières étapes sur tous les routeurs impliqués dans le
processus, tout devrait bien fonctionner.
www.hellodigi.ir
Machine Translated by Google
Si vous souhaitez effectuer d'autres configurations, vous devez suivre quelques étapes avancées
facultativesÿ:
3. Pour modifier le coût d'un certain lien dans le processus OSPF, utilisez ce qui suit
commandeÿ:
Router(config-if)#ip ospf cost suggéré-coût où CC est le coût suggéré (0–65,
535).
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique avec des
routeurs Cisco et non Cisco.
www.hellodigi.ir
Machine Translated by Google
Étant donné que nous définissons un OSPF à zone unique, nous utiliserons toujours la "zone 0".
L'utilisation de la commande 'ipv6 enable' informera le routeur de créer une adresse IPv6
lien-local pour cette interface. Si vous souhaitez utiliser une adresse IPv6 différente, vous
pouvez utiliser la commande suivante au lieu de « ipv6 enable » : Router(config-if)#ipv6
address ipv6-address/prefix length où ipv6-address est l'adresse IPv6 que vous souhaitez
attribuer à cette interface. prefix-length est la longueur du préfixe de l'adresse IPv6.
Si vous souhaitez effectuer d'autres configurations, vous devez suivre quelques étapes avancées
facultativesÿ:
3. Pour modifier le coût d'un certain lien dans le processus OSPF, utilisez ce qui suit
commande:
Routeur (config-if) # ipv6 ospf coût suggéré-coût
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque la conception de votre réseau nécessite une redondance et
une haute disponibilité.
www.hellodigi.ir
Machine Translated by Google
hsrp-group-number est le numéro de groupe HSRP. Vous devez utiliser le même numéro dans tous
les routeurs que vous souhaitez faire participer au même processus HSRP. virtual-ip-address est
l'adresse IP virtuelle à utiliser lorsque le routeur de secours devient actif. standby-priority est la
priorité de l'adresse IP de secours. Le nombre peut être compris entre 0 et 255. Le routeur avec la
priorité la plus élevée sera celui qui est actif.
4. Sur le second routeur, configurez l'adresse IP principale (qui est différente de celle utilisée dans
Router1) : Router2(config-if)#ip address ip-address subnetmask 5. Sur le second routeur, configurez
l'adresse IP virtuelle :
Quand en auriez-vous besoin : Lorsque la conception de votre réseau nécessite une redondance et une
haute disponibilité.
www.hellodigi.ir
Machine Translated by Google
GLBP fonctionne en définissant une adresse IP principale et une adresse IP de secours pour
les interfaces des routeurs qui participent à l'opération GLBP. La plupart du temps, l'adresse IP
utilisée comme passerelle par défaut est appelée l'adresse IP virtuelle. Passons à la configurationÿ:
4. Sur le second routeur, configurez l'adresse IP principale (qui est différente de celle utilisée
dans Router1) : Router2(config-if)#ip address ip-address subnetmask 5. Sur le second
routeur, configurez l'adresse IP virtuelle :
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque la conception de votre réseau nécessite une redondance et
une haute disponibilité.
group-number est le numéro de groupe VRRP. Vous devez utiliser le même numéro dans tous les
routeurs auxquels vous souhaitez participer dans le même processus VRRP. virtual-ip-address
est l'adresse IP virtuelle à utiliser lorsque le routeur de secours devient actif. standby-priority est la
priorité de l'adresse IP de secours. Le nombre peut être compris entre 0 et 255. Le routeur avec la
priorité la plus élevée sera celui qui est actif.
www.hellodigi.ir
Machine Translated by Google
Scénario 3.1
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
Scénario 3.2
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
Longueur du préfixe 64
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
Scénario 3.3
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Longueur du préfixe 64
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
Longueur du préfixe 64
Scénario 3.4
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routage dynamique RIPv2 sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0.
5. Configurez le routage dynamique RIPv2 sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 192.16.1.0.
6. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
www.hellodigi.ir
Machine Translated by Google
Scénario 3.5
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0 dans le système autonome numéro 10.
5. Configurez le routage dynamique EIGRP sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 192.16.1.0 dans le système autonome numéro 10.
6. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
www.hellodigi.ir
Machine Translated by Google
Scénario 3.6
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 172.16.0.0 dans le système autonome numéro 10.
5. Configurez le routage dynamique EIGRP sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 172.16.1.0 dans le système autonome numéro 10.
6. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
7. Avec tout le reste laissé par défaut, les routeurs avec la configuration précédente
fonctionne pas correctement. La raison en est que les réseaux locaux connectés au
les routeurs sont des réseaux discontinus. Dans EIGRP, les adresses sont résumées par
défaut. Par conséquent, les deux routeurs se diront "J'ai 172.16.0.0/16 directement
connecté à moi.'
www.hellodigi.ir
Machine Translated by Google
Scénario 3.7
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routage dynamique OSPF sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0 dans la zone 0.
5. Configurez le routage dynamique OSPF sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 192.16.1.0 dans la zone 0.
6. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
www.hellodigi.ir
Machine Translated by Google
Scénario 3.8
FE0/2
S0/0 S0/0 FE0/0
FE0/1
FE0/3
OrdinateurD
FE0/2
Ordinateur A
Ordinateur C
Ordinateur B
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0 dans le système autonome numéro 10.
5. Configurez le routage dynamique EIGRP sur le routeur 2 avec les réseaux annoncés
10.0.0.0, 192.16.1.0, 192.16.2.0 et 192.16.3.0 dans le numéro de système autonome
dix.
6. Sur l'interface annonçant les routeurs EIGRP sur le routeur 2 (interface S0/0),
configurer l'adresse IP récapitulative EIGRP de 192.16.0.0 avec le masque de sous-réseau de
255.255.0.0 qui résume les trois réseaux internes connectés à
Routeur 2. Cela réduira la taille de la publicité envoyée par le routeur.
7. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
www.hellodigi.ir
Machine Translated by Google
Scénario 3.9
Routeur 2
Routeur 1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus. Configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Scénario 3.10
Routeur 2
Routeur 1
Ordinateur B Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus. Configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Scénario 3.11
Routeur 2
Routeur 1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus. Configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Scénario 3.12
FE0/2
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routage dynamique OSPFv3 sur le routeur 1 avec les réseaux annoncés 2001 ::/64 et 2002 ::/64
dans la zone 0.
5. Configurez le routage dynamique OSPF sur le routeur 2 avec les réseaux annoncés 2002 ::/64 et 2003 ::/64 dans
la zone 0.
6. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
7. Pour voir l'effet d'un numéro de processus différent, supprimez OSPF du routeur 2. Reconfigurez OSPF sur le
routeur 2 avec un numéro de processus différent du routeur 1. Vérifiez maintenant les tables de connectivité et
de routage.
www.hellodigi.ir
Machine Translated by Google
Chapitre 4
Protocoles de routage avancés
Configuration
Mots-clés Cisco Routeur Multizone OSPF Liaison virtuelle IS–IS Équilibrage de charge BGP MPLS
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique pour un grand réseau
et que tous vos routeurs ne sont pas des routeurs Cisco.
en une seule adresse avec un masque de sous-réseau différent. Ceci est très important pour réduire la
quantité d'informations de routage échangées entre les routeurs. (Ceci, en gros, est l'idée derrière la création
de plusieurs zones au lieu d'une.)
La zone 0, ou parfois appelée zone dorsale, agira comme le centre de l'univers pour toutes les autres
zones. Toutes les zones doivent être connectées à la zone 0. En périphérie de chaque zone, le routeur
connecté à une autre zone est appelé Area Border Router (ABR). Si toutes les zones ne peuvent pas être
connectées à la zone 0, il existe une solution appelée liens virtuels qui est abordée plus loin dans la section.
2.5.
Passons à la configuration. Par souci de clarté, le routeur ABR que vous prévoyez d'installer dans la zone
0 sera appelé "Area 0 ABR". L'ABR à la frontière d'autres zones sera appelée 'Area X ABR.'
www.hellodigi.ir
Machine Translated by Google
1. Les meilleurs calculs d'itinéraire OSPF reposent uniquement sur la bande passante. Par
conséquent, vous devez configurer la bande passante de l'interface série impliquée dans le
processus de routage à l'aide de la commande suivante sur l'interface : Router(config-
if)#bandwidth bande passante où bande passante est la bande passante de la connexion en
kilobits par seconde.
N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie uniquement
la bande passante vue par le protocole de routage dans le but de calculer le meilleur chemin.
où
adresse-réseau est l'adresse réseau d'un réseau directement connecté. wildcard-mask
est le masque générique de l'adresse réseau.
4. Répétez l'étape 3 pour chaque réseau directement connecté au routeur et
partie de la zone
0 5. Demandez au routeur d'annoncer le réseau directement connecté de la zone X
Routeur(config-router)#network network-address joker mask Zone X
où
network-address est l'adresse réseau du réseau directement connecté qui connecte la zone 0 à
la zone X. wildcard-mask est le masque générique de l'adresse réseau.
où
network-address est l'adresse réseau qui résume tous les réseaux de la zone 0. subnetmask est
le masque de sous-réseau pour l'adresse résumée.
Cette commande réduit la taille de la base de données topologiques, ce qui est important dans
la zone dorsale.
www.hellodigi.ir
Machine Translated by Google
1. Comme mentionné précédemment, les meilleurs calculs d'itinéraire OSPF reposent uniquement sur la bande passante.
Par conséquent, vous devez configurer la bande passante de l'interface série impliquée dans le
processus de routage à l'aide de la commande suivante sur l'interface : Router(config-
if)#bandwidth bande passante où bande passante est la bande passante de la connexion en
kilobits par seconde.
N'oubliez pas que cette commande ne modifie pas la bande passante réelle. Il modifie uniquement
la bande passante vue par le protocole de routage dans le but de calculer le meilleur chemin.
où
network-address est l'adresse réseau du réseau directement connecté qui se trouve dans la
zone X. wildcard-mask est le masque générique de l'adresse réseau.
où
network-address est l'adresse réseau d'un réseau directement connecté qui connecte la zone 0
et la zone X. wildcard-mask est le masque générique de l'adresse réseau. 0 est le numéro de
zone.
6. Configurez la plage d'adresses IP pour tous les réseaux de la zone X (similaire à une adresse
récapitulative) : Router(config-router)#Area X range network-address
masque de sous-réseau
où
network-address est l'adresse réseau qui résume tous les réseaux de la zone X. subnetmask est
le masque de sous-réseau pour l'adresse résumée
www.hellodigi.ir
Machine Translated by Google
Cette sous-section est la suite de la section précédente sur la configuration de l'OSPF multizone
sur les routeurs Cisco. Reportez-vous à la section précédente pour la configuration essentielle de
l'OSPF multizone.
1. ASBR
Un routeur est appelé Autonomous System Boundary Router (ASBR) lorsqu'il connecte la
zone OSPF à un autre système autonome. Ce routeur doit être configuré avec une adresse
récapitulative pour récapituler les routes reçues dans OSPF via la redistributionÿ:
Cette commande doit être émise sur les deux ABRÿ: l'ABR de la zone de stub et l'ABR de la zone
0 qui est connecté à la zone de stub. S'il existe plusieurs routeurs dans le
www.hellodigi.ir
Machine Translated by Google
zone de stub, la commande précédente doit être émise sur tous les routeurs du stub
Région.
Habituellement, s'il n'y a qu'un seul routeur dans la zone de stub, au lieu de définir tous les réseaux
directement connectés, la commande suivante est utilisée : Router(config-router)#network 0.0.0.0
255.255.255.255
Zone X
où X est le numéro de zone.
3. Liaisons virtuelles
De par leur conception, toutes les zones OSPF doivent être connectées à la zone 0. S'il existe une
zone qui ne peut pas être directement connectée à la zone 0, vous devrez utiliser une liaison virtuelle.
N'oubliez pas que malgré le fait que la configuration du lien virtuel est simple, beaucoup
de choses peuvent mal tourner dans un lien virtuel, et ce n'est pas une solution
recommandée.
Pour implémenter un lien virtuel entre l'ABR de la zone 0 et l'ABR de la zone X (où la zone X n'est
pas directement connectée à la zone 0), nous devons créer des interfaces de bouclage logiques sur
les deux routeurs et les relier : Sur l'ABR de la zone 0 : Router(config) #int bouclage 0 Routeur(config-
if)#adresse IP Area0-loopback-address subnetmask Router(config-if)#exit Router(config)#router
ospf Area0-process-number Router(config)#Area X virtual-link AreaX -loopback address où Area0-
loopback-address est une adresse IP que vous attribuez à l'interface logique de la zone 0 ABR.
Cette adresse sera utilisée par l'ABR Zone X pour se connecter virtuellement. subnetmask est le
masque de sous-réseau que vous affectez à l'interface logique.
Routeur(config-if)#exit
Routeur(config)#routeur ospf AreaX-process-number
Routeur(config)#Area X virtual-link Area0-loopback address
où
AreaX-loopback-address est une adresse IP que vous attribuez à l'interface logique de Area X ABR.
Cette adresse sera utilisée par l'ABR de zone 0 pour se connecter virtuellement.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous devez configurer un routage dynamique pour un grand
réseau et que tous vos routeurs ne sont pas des routeurs Cisco. Il est actuellement utilisé pour
prendre en charge le routage MPLS et le routage IPv6.
La pierre angulaire du fonctionnement IS-IS est d'avoir un interréseau correctement adressé pour
IS-IS. Cela signifie que vos sous-réseaux doivent être adressés de manière récapitulative afin que
vous puissiez exprimer les LAN connectés au routeur sous forme d'adresse récapitulative.
Passons à la configuration :
1. Créez une interface de bouclage (interface logique) sur le routeur et attribuez-lui une adresse IP
de votre choix. N'oubliez pas que cette adresse IP fera partie de l'adresse NET (Network Entity
Title).
Router(config)#int loopback 0 Router(config-
if)#ip address loopback-address masque de sous-réseau où loopback-address est l'adresse IP
que vous souhaitez attribuer à l'interface de bouclage. subnetmask est le masque de sous-
réseau que vous souhaitez affecter à l'interface de bouclage.
2. Notez l'adresse NET que vous attribuerez au routeur. Il existe de nombreuses façons de créer
une adresse NET. Nous ne les aborderons pas maintenant. Nous utiliserons l'adresse de
bouclage du routeur comme ID système comme suit : AA.BBBB.CCCC.DDDD.EEEE.FF où AA
est l'AFI. Nous utiliserons '49' ici comme AFI. Ce '49' signifie que nous créons notre propre
adresse NET.
BBBB est le numéro de zone (ex : 0001, ou 0002). N'oubliez pas que trois routeurs au maximum
peuvent fonctionner dans une même zone IS–IS. Vous devriez commencer à partir de 1.
www.hellodigi.ir
Machine Translated by Google
où
summary-address est l'adresse récapitulant tous les réseaux de la zone. subnetmask est
le masque de sous-réseau utilisé pour la synthèse.
6. Activez IS–IS pour IP sur les interfaces série qui seront impliquées dans le routage
traiter:
Routeur(config-if)#ip router isis
7. Répétez cette configuration sur tous les routeurs que vous souhaitez impliquer dans le
processus de routage IS–IS. N'oubliez pas que chaque routeur doit avoir sa propre adresse
NET et un maximum de trois routeurs dans chaque zone.
Ce que nous avons présenté ici est une introduction très simplifiée à la configuration d'IS–IS.
Il existe de nombreux autres scénarios de configuration qui doivent être abordés afin d'utiliser
IS–IS dans un grand réseau, comme configurer IS–IS pour les réseaux NBMA ou configurer
différents niveaux IS–IS.
Pour le dépannage, vous pouvez utiliser les commandes suivantes :
Router#show clns neighbor Router#show clns interface Router#show
isis database Router#show isis database detail
Quand en auriez-vous besoinÿ: lorsque vous utilisez un protocole de routage dynamique et que
vous avez plusieurs chemins vers les réseaux de destination.
www.hellodigi.ir
Machine Translated by Google
paquets dans différentes routes vers la même destination. Cela se produit lorsque plusieurs chemins
sont disponibles pour le même réseau de destination.
Il existe deux types d'équilibrage de chargeÿ:
Voici un exemple numériqueÿ: pour une variance de 1,3, si la métrique du meilleur chemin est de
1ÿ000, les chemins de métrique compris entre 1ÿ000 et 1ÿ300 seront également utilisés. Gardez à
l'esprit que nous parlons de plusieurs chemins vers la même destination.
Une note plus importante est que nous parlons de chemins dérivés du même protocole de routage,
c'est-à-dire de chemins ayant la même distance administrative.
La configuration de l'équilibrage de charge de chemin inégal pour IGRP et EIGRP se fait avec une
seule commande : Router(config-router)#variance X où X représente la valeur de la variance que
vous souhaitez utiliser.
Il existe deux types d'équilibrage de chargeÿ: par paquet et par destination. Dans l'équilibrage de charge
par paquet, les paquets allant vers la même destination sont envoyés sur des chemins différents. De
cette façon, vous garantirez que tous les chemins vers le réseau de destination sont utilisés. Mais
l'utilisation de cette méthode entraîne une charge accrue sur les ressources des routeurs et les routeurs
bas de gamme peuvent tomber en panne. En outre, les paquets peuvent arriver dans le désordre en
raison de différentes latences du réseau dans différents chemins.
En utilisant l'équilibrage de charge par destination, les paquets allant vers une destination passent
par un chemin. De cette façon, vous réduirez la charge sur le routeur. Mais les différentes voies ne
seront pas utilisées au mieux.
Pour activer l'équilibrage de charge par destination, exécutez la commande suivante sur l'interface
sur laquelle vous souhaitez utiliser cette méthode d'équilibrage de charge,
Routeur(config-if)#ip route-cache
Et pour activer l'équilibrage de charge par paquet,
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous avez besoin d'échanger des mises à jour de routage entre
différents systèmes autonomes.
où network-id est l'adresse réseau du réseau local et subnetmask est son masque de sous-réseau.
La partie masque de sous-réseau est facultative.
Répétez cette étape pour tous les réseaux que vous souhaitez considérer comme locaux dans le
numéro de système autonome donné1.
3. Identifiez les voisins. Un voisin est un routeur qui exécute une opération BGP sur
un autre système autonome.
Router1(config-router)#neighbor ip-address2 remote-as neighbor-autonomous-system-number2 où
neighbor-ip-address2 est l'adresse IP du deuxième (ou voisin) routeur. autonome-system-number2
est le numéro de système autonome du deuxième routeur.
5. Identifiez les réseaux que vous souhaitez considérer comme locaux dans le système autonome
identifié à l'étape 4.
Routeur2(config-router)#network ID-réseau masque
masque de sous-réseau
oùnetwork-id est l'adresse réseau du réseau local et subnetmask est son masque de sous-réseau.
La partie masque de sous-réseau est facultative.
www.hellodigi.ir
Machine Translated by Google
Répétez cette étape pour tous les réseaux que vous souhaitez considérer comme locaux dans le
numéro de système autonome donné2.
6. Identifiez les voisins.
Router2(config-router)#neighbor ip-address1 remote-as neighbor-autonomous-system-number1 où
neighbor-ip-address1 est l'adresse IP du premier (ou voisin) routeur. numéro-de-système-autonome1
est le numéro de système autonome du premier
routeur.
7. Le dépannage peut être effectué à l'aide des commandes suivantes :
Router#show ip bgp Router#show ip bgp neighbors Router#show ip bgp
neighbors neighbor-ip-address
Par défaut, BGP se synchronise avec les IGP. L'idée derrière la synchronisation est que BGP ne
transmet pas d'abord les mises à jour qui ne sont pas transmises par l'IGP. Dans certains scénarios,
cela peut être utile. Par exemple, si votre processus BGP transmet des mises à jour entre deux
systèmes autonomes différents autres que votre système autonome, la synchronisation est nécessaire
pour éviter toute désinformation de routage.
Cependant, si le système autonome de votre routeur n'est pas utilisé comme chemin pour
transmettre les informations de routage entre deux autres systèmes autonomes, vous pouvez désactiver
la synchronisation à l'aide de la commande suivanteÿ:
Router(config-router)#no synchronize Le but de la désactivation de la
synchronisation est de réduire la charge de traitement sur le routeur.
Quand en auriez-vous besoinÿ: lorsque vous avez besoin d'échanger des mises à jour de routage entre
différents systèmes autonomes avec IPv6.
www.hellodigi.ir
Machine Translated by Google
2. Identifiez les réseaux que vous souhaitez considérer comme locaux dans le système autonome
identifié à l'étape 1.
Router1(config-router)#network ipv6-network-id/prefix length où ipv6-network-id est l'adresse
réseau du réseau local et la longueur du préfixe est la longueur du préfixe de l'adresse IPv6.
Répétez cette étape pour tous les réseaux que vous souhaitez considérer comme locaux dans le
numéro de système autonome donné.
3. Identifiez l'ID du routeur pour le processus BGPÿ:
Router1(config-router)#router-id router-id où router-id est l'ID de routeur à
utiliser dans le processus BGP. Malgré le fait que nous configurons IPv6 BGP, l'ID du routeur est
au format d'adresse IPv4.
4. Nous identifions les voisins. Un voisin est un routeur qui exécute une opération BGP sur un autre
système autonome.
Router1(config-router)#neighbor ipv6-address2 remote-as autonome-system-number2 où ipv6-
address2 est l'adresse IPv6 du deuxième routeur. nombre-de-système-autonome-voisin est le
numéro de système autonome du routeur voisin.
5. Activez le processus BGP pour un numéro de système autonome spécifique sur le routeur 2 :
Router2(config)#router bgp autonome-system-number2 où autonome-system-number2 est le
numéro du système autonome sur le routeur 2 à inclure dans le processus BGP .
6. Identifiez les réseaux que vous souhaitez considérer comme locaux dans le système autonome
identifié à l'étape 5.
Router2(config-router)#network ipv6-network-id/prefix length où ipv6-network-id est l'adresse
réseau du réseau local et la longueur du préfixe est la longueur du préfixe de l'adresse IPv6.
Répétez cette étape pour tous les réseaux que vous souhaitez considérer comme locaux dans le
numéro de système autonome donné.
7. Identifiez l'ID de routeur pour le processus BGP sur le routeur 2ÿ:
Router2(config-router)#router-id router-id où router-id est l'ID de routeur à
utiliser dans le processus BGP. Malgré le fait que nous configurons IPv6 BGP, l'ID du routeur est
au format d'adresse IPv4.
8. Nous identifions les voisins. Un voisin est un routeur qui exécute une opération BGP sur un autre
système autonome.
Router2(config-router)#neighbor ipv6-address1 remote-as autonome-system-number1 où ipv6-
address1 est l'adresse IPv6 du premier routeur. numéro de système autonome voisin est le numéro
de système autonome du premier routeur.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque vous avez un grand réseau et que vous devez maintenir des
performances élevées. MPLS fournit également une prise en charge très évolutive des VPN.
Pour activer la commutation MPLS sur un routeur Cisco, vous devez activer Cisco Express
Forwarding.
Routeur(config)#ip cef distribué
où
min-label est le début de la plage d'étiquettes.
max-label est la fin de la plage d'étiquettes.
min-static-label est le début de la plage d'étiquettes
statiques. max-static-label est la fin de la plage d'étiquettes
statiques. network et mask sont le préfixe du réseau que vous souhaitez lier et son
masque de sous-réseau.
www.hellodigi.ir
Machine Translated by Google
static-label est l'étiquette statique spécifique (dans la plage min-static-label à max static-
label) qui sera liée au réseau spécifié.
3. Vérifiez votre configuration à l'aide des commandes suivantesÿ:
Routeur # show mpls liaison statique ipv4
Routeur # show mpls forwarding-table
Routeur # afficher la plage d'étiquettes MPLS
Scénario 4.1
172.17.0.0/24 172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1
172.16.0.0/24
FE0/1 FE0/0 FE0/0
Routeur 5 Routeur 1 Routeur 2
172.17.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.17.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur E Ordinateur D
Ordinateur C
Zone 1 Zone 0
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
3. Paramètres OSPFÿ:
1 172.16.0.0 0
172.17.0.0 1
2 172.16.0.0 0
172.16.1.0 0
3 172.16.0.0 0
172.16.2.0 0
4 172.16.0.0 0
172.16.3.0 0
5 172.17.0.0 1
172.17.1.0 1
172.17.2.0 1
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
6 172.17.1.0 1
172.17.4.0 1
sept 172.17.2.0 1
172.17.3.0 1
Scénario 4.2
172.17.0.0/24 172.16.1.0/24
FE0/0
172.18.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.18.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur E Ordinateur D
Ordinateur C
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
9. Paramètres OSPFÿ:
1 172.16.0.0 0
172.17.0.0 1
2 172.16.0.0 0
172.16.1.0 0
3 172.16.0.0 0
172.16.2.0 0
4 172.16.0.0 0
172.16.3.0 0
5 172.17.0.0 1
172.17.1.0 1
172.18.2.0 2
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
Scénario 4.3
FE0/2
S0/0 S0/0 FE0/0
FE0/1
FE0/3
Ordinateur D
FE0/2
Ordinateur A
Ordinateur C
Ordinateur B
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
6. À l'aide des adresses de bouclage configurées dans les étapes précédentes, configurez IS–IS
dans les deux routeurs en utilisant les règles de création NET indiquées dans la Sect. 4.2.
7. L'adresse récapitulative pour le routeur 1 doit être 192.19.0.0/16 et pour le routeur 2,
192.16.0.0/16.
8. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
Scénario 4.4
S0/1 S0/1
FE0/1 Routeur 2 Routeur 1 FE0/1
S0/1
FE0/2
Routeur 3
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
5. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
192.0.0.0, 192.16.0.0 et 192.1.0.0 dans le système autonome numéro 10.
6. Configurez le routage dynamique EIGRP sur le routeur 2 avec les réseaux annoncés
192.0.0.0, 192.2.0.0 et 192.16.1.0 dans le système autonome numéro 10.
7. Configurez le routage dynamique EIGRP sur le routeur 3 avec les réseaux annoncés
192.1.0.0 et 192.1.0.0
8. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
Scénario 4.5
172.17.0.0/24
172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1
172.16.0.0/24
FE0/1 FE0/0 FE0/0
Routeur 5 Routeur 1 Routeur 2
172.17.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.17.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur E Ordinateur D
Ordinateur C
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
3. Paramètres EIGRPÿ:
Scénario 4.6
172.17.0.0/24 172.16.1.0/24
FE0/0
FE0/2 FE0/1 FE0/1
172.16.0.0/24
FE0/1 FE0/0 FE0/0
Routeur 5 Routeur 1 Routeur 2
172.17.2.0/24 172.17.1.0/24
FE0/0 FE0/0
FE0/0 Ordinateur A
FE0/1
FE0/0 Routeur 3
FE0/1 FE0/1
Routeur 7 Routeur 6
FE0/1 172.16.2.0/24
172.17.3.0/24 172.17.4.0/24
Routeur 4
172.16.3.0/24
Ordinateur B
Ordinateur E Ordinateur D
Ordinateur C
Zone 1 Zone 0
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
www.hellodigi.ir
Machine Translated by Google
3. Paramètres OSPFÿ:
www.hellodigi.ir
Machine Translated by Google
Chapitre 5
Technologies WAN
Quand en auriez-vous besoin : Lorsque vous devez configurer votre routeur pour qu'il fonctionne
sur une ligne ADSL fournie par un FAI.
La configuration décrite ici déplace l'opération PPPoE vers le routeur lui-même, vous
n'aurez donc pas à configurer PPPoE sur le PC pour établir la connexion Internet. Le
routeur le fera pour vous.
Passons maintenant à la configurationÿ:
www.hellodigi.ir
Machine Translated by Google
5. La dernière étape consiste à configurer une route par défaut pour transférer le trafic vers Internet
via l'interface de numérotation :
Router(config)#ip classless
Router(config)#ip route 0.0.0.0 0.0.0.0 interface dialer 1
www.hellodigi.ir
Machine Translated by Google
C'est une pratique courante d'utiliser NAT avec la connexion ADSL pour faciliter l'utilisation
de la connexion ADSL par plus d'un hôte. Utilisez la procédure décrite dans la Sect. 3.3 pour
configurer NAT. Dans la procédure susmentionnée, utilisez l'interface du numéroteur 1 au
lieu de l'interface extérieure. Par exemple, la commande ip nat outside doit être donnée dans
l'interface dialer 1 avec le groupe de commandes affiché ici à l'étape 4. Un autre exemple
est dans le cas de l'utilisation d'une seule adresse IP publique, la commande NAT doit
devenir ip nat à l'intérieur de la liste des sources Access-list-number interface dialer 1
surcharge
Quand en auriez-vous besoin : Lorsque vous créez une liaison WAN. Cette procédure peut
également être nécessaire lorsque l'autre extrémité d'une liaison WAN n'est pas un routeur Cisco.
Le protocole point à point peut être utilisé dans les liaisons synchrones, asynchrones, HSSI et
RNIS.
CHAP est fortement recommandé par rapport à PAP pour deux raisons. Tout d'abord,
PAP envoie le nom d'utilisateur et le mot de passe en clair, tandis que CHAP n'envoie
que des défis hachés. Deuxièmement, CHAP effectue une opération similaire à une
réauthentification périodique au milieu de la session de communication, de sorte qu'il
offre plus de sécurité que PAP. b. Définissez un nom d'utilisateur et un mot de passe
que le routeur distant utiliserait pour se connecter à votre routeur local. Vous pouvez définir
plusieurs paires nom d'utilisateur/mot de passe pour plusieurs connexions PPP au même
routeur.
Router(config)#username remote-username password remote-password où remote-
username est le nom d'utilisateur envoyé par le routeur distant, et remote-password est
son mot de passe. Si le routeur distant n'a pas été configuré avec un nom d'utilisateur
à envoyer, il enverra son nom d'hôte à la place.
www.hellodigi.ir
Machine Translated by Google
Exécutez cette commande une fois pour chaque connexion PPP. Par exemple, si vous
connectez RouterA à RouterB et RouterC, sur RouterA, émettez cette commande une fois
pour chaque routeur distant.
c. Maintenant, vous pouvez définir le nom d'utilisateur et le mot de passe que votre routeur
local enverra pour accéder au routeur distant. Pour l'authentification PAP, vous pouvez
spécifier le nom d'utilisateur et le mot de passe que le routeur local enverra au routeur
distant pour l'authentification à l'aide de la commande suivante, Router(config-if)#ppp pap
sent-username sent-username password sent-password Pour CHAP, deux commandes
sont utilisées, Router(config-if)#ppp chap hostname sent-username Router(config-if)#ppp
chap password sent-password Les noms d'utilisateur et les mots de passe sont sensibles à
la casse, soyez donc prudent lorsque vous les écrivez. De cette façon, vous devrez écrire
le nom d'utilisateur et le mot de passe du routeur distant dans votre routeur local et écrire
le nom d'utilisateur et le mot de passe de votre routeur local dans votre télécommande à
l'aide de la commande 'username'.
Si vous ne définissez pas le nom d'utilisateur et le mot de passe qui seront envoyés du
routeur local au routeur distant pour l'authentification, le routeur utilisera son nom d'hôte et
son mot de passe secret à la place.
3. Vous pouvez surveiller la qualité de la liaison série qui utilise PPP avec la commande suivante,
Router(config-if)#ppp quality percent où pourcentage est la qualité de liaison minimale
acceptée. Si la qualité du lien tombe en dessous du pourcentage, le lien sera coupé et
considéré comme mauvais.
4. Si la bande passante disponible est faible, vous pouvez envisager de compresser les données
transmises à l'aide de la commande suivante, Router(config-if)#ppp compress compression-
type où type de compression est le type de compression qui peut être un prédicteur ou un
empileur.
Quand en auriez-vous besoinÿ: lorsque vous connectez deux routeurs Cisco via une connexion
WAN ou dans une configuration de routeur dos à dos.
Exigences particulièresÿ: les deux routeurs doivent être des routeurs Cisco.
Cisco HDLC n'est pas compatible avec le HDLC d'autres fournisseurs, vous devez donc vous
assurer que les routeurs aux deux extrémités de la communication sont des routeurs Cisco.
www.hellodigi.ir
Machine Translated by Google
Il n'y a pas de longue procédure pour le faire. La configuration est en fait une seule commande : Router(config-
if)#encapsulation hdlc Habituellement, l'encapsulation par défaut sur les routeurs Cisco prêts à l'emploi est
HDLC.
Pour le dépannage, vous pouvez utiliser les commandes suivantes pour vérifier qu'il a été configuré
correctement : Router#show interface serial interface-number où interface number est le numéro de
l'interface à vérifier.
Vous pouvez également vérifier l'état et l'adresse IP des interfaces à l'aide de la commande suivante :
Router#show ip interface brief
Quand en auriez-vous besoin : Lorsque vous disposez d'une liaison WAN RNIS et que vous souhaitez que
le routeur l'utilise.
Ensuite, le routeur définit un compteur à rebours (minuterie d'inactivité), et si aucun trafic intéressant n'arrive
et que la minuterie passe à zéro, la connexion est interrompue. Si le trafic intéressant arrive avant la fin du
temporisateur d'inactivité, le trafic est transmis et le temporisateur d'inactivité est réinitialisé. Ce qui a rendu
cette fonction possible est le très petit temps d'établissement d'appel dans le RNIS.
Si vous connectez deux nœuds à l'aide du RNIS, continuez à lire. Cependant, si vous connectez plus de
deux nœuds, vous devrez vous rendre à Sect. 5.5 sur la configuration des profils de numérotation DDR.
Pour configurer DDR sur l'interface BRI du routeur, procédez comme suitÿ:
1. La première chose à faire est de configurer le routage. Le routage statique est généralement préféré avec
DDR. La configuration du protocole de routage dynamique entraînera l'activation de la liaison tout le
temps (ou la plupart du temps). Ainsi, le routage statique est une meilleure solution. Vous pouvez
configurer un routage dynamique et l'ajuster un peu pour le DDR. Ce réglage peut inclure la modification
des minuteurs des mises à jour de routage.
www.hellodigi.ir
Machine Translated by Google
2. Spécifiez le type de commutateur RNIS. Cette information doit vous être fournie par le fournisseur
de services RNIS. Vous pouvez émettre cette commande, Router(config)#isdn switch-type switch-
type où switch-type est le type de commutateur RNIS.
La plupart des fournisseurs en Europe n'utilisent pas de SPID dans leurs réseaux RNIS. Ainsi, à
moins que le fournisseur ne vous fournisse des numéros SPID, négligez simplement toutes les
commandes de définition des SPID dans cette procédure.
3. Spécifiez ensuite le trafic intéressant vers le routeur. Ce trafic est défini comme le trafic autorisé par
une commande nommée 'dialer-list' qui est similaire à 'Access-list'.
Ceci peut être fait de deux façons; la première consiste à utiliser la commande suivante,
Router(config)#dialer-list list-number protocol protocol-type permit où list-number est le numéro
de la liste de numérotation et protocol-type est le protocole que vous souhaitez autoriser.
De plus, vous pouvez utiliser 'deny' au lieu de 'permit' pour empêcher qu'un certain protocole ne
soit classé comme intéressant. Cependant, ce n'est pas un moyen très puissant de définir le trafic
intéressant.
La deuxième façon est plus recommandée. La deuxième méthode consiste à créer une liste
d'accès complète autorisant le trafic que vous souhaitez que le routeur considère comme
intéressant, puis à l'attacher à une liste de numérotation.
Créez la liste d'accès exactement de la même manière que vous créez n'importe quelle autre liste d'accès,
mais ne l'appliquez pas à une interface. Au lieu de cela, associez-le à une liste de numérotation. Tous les
www.hellodigi.ir
Machine Translated by Google
le trafic autorisé par cette liste d'accès sera considéré comme intéressant. Un exemple est le
suivant : Router(config)#Access-list 110 deny tcp any any telnet Router(config)#Access-list
110 deny icmp any any Router(config)#Access-list 110 permit ip any any Et l'étape qui
associera la liste d'accès à la liste de numérotation estÿ: Router(config)#dialer-list 5 protocol
ip list 110 où 5 est le numéro de la liste de numérotation et 110 est le numéro de la liste
d'accès. Ces deux nombres n'ont pas besoin d'être identiques.
Gardez à l'esprit que ces listes de numérotation et ces listes d'accès ne filtrent pas le trafic
passant par l'interface RNIS, elles choisissent simplement le trafic autorisé à lancer un appel.
Une fois l'appel établi, tout le trafic souhaitant passer par la liaison RNIS passera. Si vous
voulez filtrer le trafic qui passe par l'interface RNIS, créez une autre liste d'accès pour cela
avec les filtres que vous trouvez appropriés et appliquez-la à l'interface BRI comme vous le
faites à tout autre type d'interface.
La première chose à faire pour configurer PPP pour utiliser CHAP est de définir un nom d'utilisateur et un
mot de passe.
Router(config)#username username password password où username est le nom
d'utilisateur et password est le mot de passe. Le nom d'utilisateur doit être le nom d'hôte de
l'autre extrémité et le mot de passe est le mot de passe secret de l'autre extrémité. Si vous
souhaitez utiliser des noms d'utilisateur et des mots de passe différents, veuillez vous référer
à la procédure de configuration PPP dans la Sect. 5.2.
Ensuite, passez au mode de configuration d'interface de l'interface RNIS,
Router(config)#int bri interface-number Maintenant, définissez une adresse IP et un
masque de sous-réseau pour l'interface, Router(config-if)#ip address ip-address
subnetmask Définissez les types d'encapsulation et d'authentificationÿ; Routeur(config-
if)#encapsulation ppp Router(config-if)#ppp authentication chap
www.hellodigi.ir
Machine Translated by Google
7. Si vous utilisez ce lien entre deux points uniquement et que votre routeur n'appellera qu'une
seule destination à l'aide du réseau RNIS, utilisez la commande suivante pour définir la
chaîne de numérotation : Router(config-if)#dialer string dialer-string where chaîne de
numérotation est la chaîne de numérotation qui vous est fournie par le fournisseur de
services. Cette chaîne de numérotation est similaire au numéro de téléphone que vous
composez dans le PSTN normal. Ainsi, vous commandez au routeur de composer la chaîne
de l'autre côté.
Pour plus de sécurité, vous pouvez utiliser une commande différente qui associe la
numérotation à une adresse IP de destination avec un nom d'utilisateur et une chaîne de
numérotation, Router(config-if)#dialer map ip destination-address name username dialer
string où destination-address est le Adresse IP de l'autre extrémité de la liaison RNIS.
username est le même nom d'utilisateur que celui que vous avez configuré pour utiliser
avec PPP. dialer-string est la chaîne de numérotation de l'autre extrémité de la liaison RNIS.
8. Vous pouvez éventuellement utiliser la commande suivante pour définir un seuil de charge à
partir duquel le deuxième canal (dans une liaison BRI) devient actif.
Router(config-if)#dialer load-threshold threshold où le seuil est un nombre compris entre 1
et 255, 1 étant la charge minimale et 255 étant une charge de 100ÿ% sur le premier canal.
Cela signifie que cette commande indique au routeur d'activer le deuxième canal une fois
que le premier a atteint le seuil/255 chargé.
Quand en auriez-vous besoin : Lorsque vous utilisez des liaisons RNIS entre plus de deux
nœuds.
www.hellodigi.ir
Machine Translated by Google
5.5 Comment configurer les profils de numérotation RNIS dans un routeur Cisco 121
l'utilisation des profils de numérotation est que la configuration est appliquée directement à l'interface
physique. Ainsi, différents liens logiques devront utiliser la même adresse IP et d'autres paramètres de
configuration. Le profil de numérotation applique les paramètres à l'interface sur appel.
Plusieurs interfaces de numérotation peuvent être configurées sur un routeur. Chaque interface de
numérotation est la configuration complète pour une destination. La commande 'interface dialer' crée
une interface de numérotation et passe en mode de configuration d'interface.
Je suppose que vous avez déjà défini le type de commutateur et les SPID. Si vous n'avez pas
déjà fait, reportez-vous à la Sect. 5.4. Commençons la configuration comme suitÿ:
Veuillez noter que cette commande doit être émise sur l'interface physique et non sur l'interface de
numérotation. Vous pouvez faire de la même interface physique un membre de plusieurs pools de
numérotation.
www.hellodigi.ir
Machine Translated by Google
En tant que paramètre facultatif, vous pouvez définir la priorité de l'interface physique dans le
pool de numérotation si le pool contient plusieurs membres physiques. Un exemple est le
suivant, Router(config-if)#dialer pool-member 1 priority 100 où 100 est la priorité que vous
avez choisie pour cette interface physique.
Si plusieurs appels doivent être passés et qu'une seule interface est disponible, le groupe de
numérotation avec la priorité la plus élevée est celui qui compose.
En général, le pool de numérotation peut être utilisé avec n'importe quelle combinaison
d'interfaces RNIS synchrones, asynchrones, BRI et PRI.
Quand en auriez-vous besoin : Lorsque vous configurez une connexion WAN à relais de trames
louée auprès d'un fournisseur de services.
www.hellodigi.ir
Machine Translated by Google
Dans une connexion Frame Relay point à multipoint, un nœud central est connecté à un groupe
de nœuds à l'aide d'une seule ligne physique. Le réseau Frame Relay reconnaîtra les
différentes destinations grâce à l'utilisation de différents numéros DLCI sur la même liaison.
www.hellodigi.ir
Machine Translated by Google
Cette commande est répétée une fois pour chaque nœud terminal. Chaque nœud
terminal aurait un numéro DLCI différent.
5. Côté terminal, le type d'encapsulation de l'interface série est remplacé par
Frame-relay :
Router(config)#interface serial interface-number Router(config-
if)#encapsulation Frame-relay où numéro d'interface est le numéro de
l'interface série connectée à l'équipement Frame-relay.
www.hellodigi.ir
Machine Translated by Google
Dans ce que nous appelons un scénario point à point multiple, une seule station centrale
est connectée via une seule liaison physique au réseau Frame-relay. Grâce à ce réseau à
relais de trames, le nœud central est également connecté à plusieurs nœuds terminaux.
Cependant, ces connexions sont réalisées en créant une seule liaison logique point à
multipoint transportée sur la seule liaison physique.
www.hellodigi.ir
Machine Translated by Google
12. Répétez les étapes 8, 9, 10 et 11 sur chaque nœud distant en utilisant différentes adresses IP
et les numéros DLCI.
Dans ce que nous appelons le scénario point à point multiple, une seule station centrale est
connectée via une seule liaison physique au réseau Frame-relay. Grâce à ce réseau à relais de
trames, le nœud central est également connecté à plusieurs nœuds terminaux.
Cependant, ces connexions se font en créant plusieurs points à point logiques
www.hellodigi.ir
Machine Translated by Google
liens transportés sur le lien physique unique. De cette manière, la séparation du trafic
traité d'un nœud à l'autre est plus claire et les nœuds distants ne peuvent communiquer
que si le trafic passe par le nœud central.
où dlci-
number est le numéro de circuit virtuel qui vous est fourni par le fournisseur de
services Frame-relay. Ce numéro DLCI ressemble au circuit virtuel menant à un
nœud distant spécifique.
7. Répétez les étapes 4, 5 et 6 pour autant de nœuds distants que nécessaire.
8. Sur le nœud distant, le type d'encapsulation de l'interface série est remplacé par
Frame-relay :
Router(config)#interface serial interface-number Router(config-
if)#encapsulation Frame-relay où numéro d'interface est le numéro de
l'interface série connectée à l'équipement Frame-relay.
www.hellodigi.ir
Machine Translated by Google
12. Répétez les étapes 8, 9, 10 et 11 sur chaque nœud distant en utilisant différentes adresses IP
et les numéros DLCI.
Les routeurs Cisco utilisent une technique appelée split-horizon. Cette technique est utilisée pour
éliminer les boucles de routage par lesquelles une mise à jour de routage ne peut pas être transmise à
la même interface d'où elle provient.
S'appuyant sur cette logique, l'horizon partagé peut entraîner des problèmes lors de l'utilisation de
topologies point à multipoint à relais de trames. Pensez maintenant à un scénario dans lequel une mise
à jour de routage provient de l'un des points distants connectés à l'autre extrémité d'une liaison point à
multipoint. La mise à jour du routage, due au split-horizon, ne sera pas transmise sur le même lien
physique vers les autres points connectés à la topologie point à multipoint, car elle sera considérée
comme provenant d'une interface et ne pourra pas être transmise vers la même interface. De cette
façon, les autres points ne pourront pas échanger de mises à jour de routage.
Quand en auriez-vous besoin : Lorsque vous configurez votre propre réseau Frame-Relay. Cette
configuration est fréquemment utilisée pour la configuration du laboratoire.
www.hellodigi.ir
Machine Translated by Google
5.7 Comment configurer un routeur Cisco en tant que commutateur à relais de trames 129
Pour commencer, vous devez garder à l'esprit que lorsqu'un routeur Cisco fonctionne comme
un commutateur à relais de trame, il cesse de fonctionner comme un routeur IP. Aucun processus
de routage IP ne se produira pendant l'opération Frame-Relay. Le routeur deviendra, exclusivement,
un Frame-Relay Switch.
Avant de commencer la configuration, dessinez la topologie du réseau et marquez-y les
numéros de DLCI qui seront utilisés. Ce que fait le commutateur Frame-relay, c'est recevoir une
trame avec un certain numéro DLCI d'une interface et la transmettre à une interface différente
après lui avoir attribué un numéro DLCI différent. Cela dit, passons maintenant à la configurationÿ:
Répétez la commande de routage Frame-relay pour autant de DLCI que vous prévoyez de
passer par cette interface. Gardez à l'esprit que cette commande est donnée à l'interface qui
reçoit les trames Frame-relay.
3. Après avoir terminé les étapes de configuration pour l'une des interfaces de l'étape 2, répétez
l'étape 2 sur chaque interface série que vous souhaitez intégrer au processus de commutation
Frame-relay.
4. Pour la vérification et le dépannage, utilisez la commande suivante pour connaître l'état de
chaque route que vous avez configurée sur le commutateur Frame-relay : Router#show Frame-
realy route
www.hellodigi.ir
Machine Translated by Google
Scénario 5.1
l'Internet
FE0/0 ADSL
Routeur 1
Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
7. Configurez une route par défaut vers l'interface ADSL avec AD de 121.
8. Testez la connexion par PING de l'ordinateur A à springer.com
Scénario 5.2
S0/0 S0/0
FE0/0
FE0/0
Routeur 2 Routeur 1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
3. Sur le routeur 1, configurez une route par défaut pour acheminer tout le trafic via l'interface
S0/0.
4. Sur le routeur 2, configurez une route par défaut pour acheminer tout le trafic via l'interface
S0/0.
5. Sur le routeur 1, définissez le type d'encapsulation sur S0/0 sur PPP. L'interface sera
vers le bas maintenant.
Scénario 5.3
S0/0 S0/0
FE0/0
FE0/0
Routeur 2 Routeur 1
Ordinateur B Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
3. Sur le routeur 1, configurez une route par défaut pour acheminer tout le trafic via l'interface S0/0.
4. Sur le routeur 2, configurez une route par défaut pour acheminer tout le trafic via l'interface
S0/0.
5. Sur le routeur 1, définissez le type d'encapsulation sur S0/0 sur PPP. L'interface sera
vers le bas maintenant.
www.hellodigi.ir
Machine Translated by Google
Scénario 5.4
S0/0 S0/0
FE0/0
FE0/0
Routeur 2 Routeur 1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
3. Sur le routeur 1, configurez une route par défaut pour acheminer tout le trafic via l'interface
S0/0.
4. Sur le routeur 2, configurez une route par défaut pour acheminer tout le trafic via l'interface
S0/0.
5. Sur le routeur 1, définissez le type d'encapsulation sur S0/0 sur HDLC.
6. Sur le routeur 2, définissez le type d'encapsulation sur S0/0 sur HDLC.
7. Les deux interfaces série devraient être opérationnelles maintenant.
Scénario 5.5
S0/0 S0/0
FE0/0 FE0/0
Routeur 2 S0/0 S0/0 Routeur 1
S0/1 S0/1
S0/2 S0/2
FRSW 2 FRSW 1
S0/1 S0/0
FRSW 3
Ordinateur B
Ordinateur A
Chantier 2 Chantier 1
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
1. Routeurs clientsÿ:
2. Ordinateurs clientsÿ:
www.hellodigi.ir
Machine Translated by Google
4. Configurez le routeur 1 pour qu'il fonctionne sur l'encapsulation Frame-relay avec le mappage de
les données allant au réseau local du routeur 2 doivent être envoyées via S0/0 avec DLCI 100.
5. Configurez le routeur 2 pour qu'il fonctionne sur l'encapsulation Frame-relay avec le mappage de
les données allant au réseau local du routeur 1 doivent être envoyées via S0/0 avec DLCI 120.
6. Testez la configuration par PING de l'ordinateur A à l'ordinateur B.
Scénario 5.6
l'Internet
FE0/0 RNIS
Routeur 1
Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic sortant via le BRI
interface bri0.
4. Configurez le type de commutateur RNIS, les SPID et les LDN. Ces informations sont généralement
reçu du fournisseur de services.
5. À l'aide d'une liste d'accès, sélectionnez le "trafic intéressant" autorisé à établir un appel
au fournisseur de services.
www.hellodigi.ir
Machine Translated by Google
www.hellodigi.ir
Machine Translated by Google
Chapitre 6
Configuration de la sécurité
Mots-clés Routeur Cisco VPN à cryptage par mot de passe VPN site à site
PPTP PPTP VPN ACL Liste d'accès Liste de contrôle d'accès Authentification de la route
GRE IPSEC AAA RADIUS TACACS+
Chiffrez les mots de passe de sorte qu'ils deviennent incompréhensibles pour quiconque les
visualise dans la configuration en cours d'exécution.
Le mot de passe secret est déjà crypté. Tous les autres mots de passe (vty, console et
auxiliaire) ne le sont pas. La commande pour les chiffrer est la suivante : Router(config)#service
password-encryption Il existe deux méthodes recommandées pour utiliser cette commande.
Comme il s'agit d'un service, il n'est pas conseillé de le faire tourner en permanence car
cela consommerait de la puissance de traitement et de la mémoire. Ainsi, il peut être utilisé et
désactivé et les mots de passe resteront cryptés. Une façon de procéder consiste à activer
cette commande avant de configurer des mots de passe et à la désactiver après avoir terminé
les commandes de configuration de mot de passe à l'aide de la commande suivanteÿ:
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous devez filtrer le trafic pour refuser et autoriser des paquets en
fonction de fonctionnalités spécifiques.
1. Condition 1—refus ; 2.
Condition 2—refus ; 3.
Condition 3—autoriserÿ; et 4.
Condition 4—autoriser.
Maintenant, si le paquet remplit la condition 1, il sera refusé et aucune autre comparaison avec d'autres
conditions n'est effectuée. Si le paquet ne remplit pas la condition 1, le paquet sera comparé à la condition 2.
S'il remplit la condition 2, il sera également refusé. S'il ne satisfait pas à la condition 2, le paquet sera comparé
à la condition 3. S'il satisfait à la condition 3, il sera autorisé à passer. S'il ne satisfait pas à la condition 3, le
paquet sera comparé à la condition 4. S'il satisfait à la condition 4, il sera autorisé à passer. Cela signifie que
si un paquet remplit plus d'une condition, seul l'effet de la première condition remplie sera exécuté. Si le
paquet ne remplit pas la condition 4, le paquet sera refusé.
Généralement, pour une meilleure sécurité, si le paquet ne remplit aucune condition, il sera refusé. Ceci
est généralement appelé "Refus implicite" à la fin de n'importe quelle ACL.
Cela signifie que si tous les effets de votre liste de contrôle d'accès sont « refusés », tout le trafic sera refusé.
Vous avez besoin d'au moins un «permis» dans et ACL.
Les listes de contrôle d'accès peuvent être classées en deux typesÿ: standard et étendues. Selon le type
d'ACL, la condition peut être détaillée ou grossière. Les ACL standard peuvent filtrer en fonction de l'adresse
IP source uniquement. Bien que cela limite les applications de l'ACL standard, cela peut être utile dans
certains scénarios. Une liste de contrôle d'accès étendue peut filtrer en fonction des adresses IP source et de
destination, des numéros de port source et de destination, du type de protocole, des fonctionnalités spécifiques
au protocole (comme autoriser la demande d'écho mais pas la réponse d'écho dans ICMP), et même l'heure
de réception du paquet.
www.hellodigi.ir
Machine Translated by Google
6.2 Comment configurer des listes de contrôle d'accès sur un routeur Cisco 141
Une liste d'accès standard est identifiée par un numéro compris entre 1 et 99. Comme expliqué
précédemment, elle ne peut filtrer qu'en fonction de l'adresse IP source.
2. Répétez la commande à partir de l'étape 1 pour autant de filtres que vous devez ajouter à la
même ACL que vous jugez nécessaire. Utilisez le même numéro d'ACL pour ajouter plus de
conditions et d'effets à la même ACL. N'oubliez pas que vous devez disposer d'au moins un
"permis" et que vous pouvez appliquer une ACL par interface et par direction. Vous devez
donc placer tous les filtres dont vous avez besoin dans cette direction sur cette interface dans
une seule ACL.
3. Maintenant, vous devez appliquer l'ACL que vous avez configurée aux étapes 1 et 2 sur une interface
spécifique dans une direction spécifique.
Router(config)#interface interface-type interface-number Router(config-if)#ip access-group
acl-number {in|out} où interface-type et interface-number sont le type et le numéro de
l'interface. acl-number est le numéro ACL que nous avons utilisé aux étapes 1 et 2. in|out
est la direction du traficÿ: 'in' pour le trafic entrant (entrant dans le routeur via l'interface) et
'out' pour le trafic sortant du routeur vers à l'extérieur via l'interface.
www.hellodigi.ir
Machine Translated by Google
Les listes de contrôle d'accès étendues ont la capacité de filtrer davantage de fonctionnalités de paquets par rapport à la liste
de contrôle d'accès standard. Les listes de contrôle d'accès étendues peuvent filtrer en fonction du type de protocole, de
l'adresse IP source et du numéro de port, ainsi que de l'adresse IP et du numéro de port de destination. Les listes de contrôle
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour bloquer
le trafic. nom-protocole est le nom du protocole que vous souhaitez filtrer. Cela peut être ip, tcp,
udp, etc. source-ip-address est l'adresse IPv4 source. Cette adresse peut être dans l'un des
formats suivantsÿ:
Operator1 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous les
ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de port
suivant.
port-source est le numéro du port source. Les paramètres du port source de l'opérateur1 sont
facultatifs. destination-ip-address est l'adresse IPv6 de destination. Cette adresse peut être dans
l'un des formats suivantsÿ:
operator2 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous les
ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de port
suivant.
www.hellodigi.ir
Machine Translated by Google
6.2 Comment configurer des listes de contrôle d'accès sur un routeur Cisco 143
2. Répétez l'étape 1 pour autant de filtres que vous le jugez nécessaire. N'oubliez pas que vous devez
avoir au moins une commande de permis. Sinon, tout le trafic sera bloqué sur l'interface dans cette
direction.
3. Appliquez la liste d'accès à une interface spécifique dans une direction spécifiqueÿ:
Router(config)#interface interface-type interface-number Router(config-if)#ip access-group acl-
number {in|out} où interface-type et interface-number sont le type et le numéro de l'interface. acl-
number est le numéro ACL que nous avons identifié aux étapes 1 et 2. in|out est la direction du
traficÿ: 'in' pour le trafic entrant (entrant dans le routeur via l'interface) et 'out' pour le trafic sortant
du routeur vers à l'extérieur via l'interface.
La suppression d'une liste d'accès doit être effectuée dans l'ordre inverse exact de la création et de
l'application de l'ACL. Tout d'abord, vous devrez supprimer l'application de la liste d'accès.
Router(config-if)#no ip access-group acl-number {in|out} où acl-number est le numéro de la liste
d'accès à supprimer.
L'étape suivante consiste à supprimer la liste d'accès. Cela peut être fait en utilisant une seule
commande : in|out est la direction dans laquelle la liste d'accès a été appliquée.
Router(config)#no Access-list acl-number où acl-number est le numéro
de la liste d'accès à supprimer.
Si vous supprimez la liste d'accès avant de la retirer de l'interface, tout le trafic sera bloqué dans la
direction de l'ACL jusqu'à ce que vous supprimiez l'application ACL.
Les listes de contrôle d'accès nommées nécessitent la version IOS 11.2 ou supérieure. Named ACL
n'est pas vraiment un type spécial. Une ACL nommée est une ACL standard ou étendue avec un nom
au lieu d'un numéro.
www.hellodigi.ir
Machine Translated by Google
www.hellodigi.ir
Machine Translated by Google
6.3 Comment configurer des listes de contrôle d'accès avancées sur un routeur Cisco 145
adresse-ip-source est l'adresse IPv4 source. Cette adresse peut être dans l'un des formats suivantsÿ:
Operator1 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
ré. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. e. gt tous les ports
supérieurs au numéro de port suivant. F. Tous les ports inférieurs au numéro de port suivant.
port-source est le numéro du port source. Les paramètres du port source de l'opérateur1 sont
facultatifs. destination-ip-address est l'adresse IPv6 de destination. Cette adresse peut être dans
l'un des formats suivantsÿ:
operator2 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
ré. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. e. gt tous les ports
supérieurs au numéro de port suivant. F. Tous les ports inférieurs au numéro de port suivant.
www.hellodigi.ir
Machine Translated by Google
Les listes d'accès nommées sont préférées par les professionnels des réseaux pour deux
raisonsÿ; premièrement, le nom peut exprimer le but de l'ACL, deuxièmement, vous pouvez
modifier les listes d'accès nommées.
Par exemple, si vous avez écrit l'ACL suivanteÿ:
Routeur(config)#ip Access-list extended ServerTraffic Router(config-ext-
nacl)#deny tcp 192.168.0.0 0.0.0.255 host 192.168.1.110 eq ftp Router(config-ext-
nacl)#deny tcp 192.168.0.0 0.0. 0.255 host 192.168.1.110 eq 23 Router(config-ext-
nacl)#permit ip any any
En utilisant cette liste d'accès, tout le trafic FTP de votre réseau local sera bloqué. De
plus, tout le trafic Telnet sera également bloqué, tandis que tout autre trafic est autorisé.
Au bout d'un moment, vous vous êtes rappelé que vous deviez autoriser le PC de
l'administrateur du réseau local à utiliser Telnet vers le serveur. Au lieu d'effacer toute la
liste d'accès et de la réécrire, il est possible de la modifier en suivant les étapes suivantes.
Si vous exécutez la commande suivanteÿ:
Router#show Access-list ServerTraffic Vous obtiendrez
une sortie similaire à celle-ci : ip Access-list extended
ServerTraffic 10 deny tcp 192.168.0.0 0.0.0.255 host
192.168.1.110 20 deny tcp 192.168.0.0 0.0.0.255 host 192.168.1.110 eq 23
30 permis ip tout tout
Si vous avez besoin d'ajouter un autre filtre entre le premier et le second, il vous suffit
de faire ceci : Router(config)#ip Access-list extended ServerTraffic Router(config-ext-
nacl)#15 permit host 192.168. 0.118 hôte 192.168.1.110 équiv. 23
Maintenant, si vous exécutez une commande show Access-list ServerTraffic, vous verrez
la sortie suivante : ip Access-list extended ServerTraffic 10 deny tcp 192.168.0.0
0.0.0.255 host 192.168.1.110 eq ftp 15 permit host 192.168.0.118 host 192.168.
1.110 eq 23 20 deny tcp 192.168.0.0 0.0.0.255 host 192.168.1.110 eq 23 30 permit
ip any any Vous pouvez utiliser n'importe quel nombre entre les deux lignes, comme
11, 12,…,19.
Il est également possible de supprimer des lignes spécifiques comme dans l'exemple suivant :
Router(config)#ip Access-list extended ServerTraffic Router(config-ext-
nacl)#no 15 permit host 192.168.0.118 host 192.168.1.110 eq 23
www.hellodigi.ir
Machine Translated by Google
6.3 Comment configurer des listes de contrôle d'accès avancées sur un routeur Cisco 147
Les listes d'accès IPv6 sont configurées de la même manière que les listes de contrôle d'accès nommées
étendues expliquées dans la sous-section précédente.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour bloquer le
trafic. nom-protocole est le nom du protocole que vous souhaitez filtrer. Cela peut être ip, tcp, udp,
etc. ipv6-source-address est l'adresse IPv6 source. Cette adresse peut être dans l'un des formats
suivantsÿ:
Operator1 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
g. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. h. gt tous les
ports supérieurs au numéro de port suivant. je. Tous les ports inférieurs au numéro de port
suivant.
port-source est le numéro du port source. Les paramètres du port source de l'opérateur1 sont
facultatifs. ipv6-destination-address est l'adresse IPv6 de destination. Cette adresse peut être dans
l'un des formats suivantsÿ:
operator2 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
g. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. h. gt tous les
ports supérieurs au numéro de port suivant. je. Tous les ports inférieurs au numéro de port
suivant.
www.hellodigi.ir
Machine Translated by Google
3. Répétez l'étape 2 pour autant de filtres que vous le jugez nécessaire. N'oubliez pas que
vous devez avoir au moins une commande de permis. Sinon, tout le trafic sera bloqué
sur l'interface dans cette direction.
4. Appliquez la liste d'accès à une interface spécifique dans une direction spécifiqueÿ:
Routeur(config)#interface type d'interface numéro d'interface
Une liste de contrôle d'accès réflexive est une liste d'accès qui a la capacité d'empêcher
les paquets de certaines fonctionnalités d'entrer dans l'interface à moins que ces paquets
ne soient en réponse à une demande initiée de l'intérieur. Par exemple, vous pouvez
configurer une ACL réflexive de manière à ce que le trafic ICMP ne passe pas par votre
réseau interne à moins qu'il ne réponde à une requête envoyée de votre réseau interne vers l'extérieur.
Pour configurer l'ACL réflexive, vous devrez configurer deux ACLÿ: une pour
trafic entrant et un pour le trafic sortant et les relier entre eux.
2. Écrivez les filtres et l'effet que vous souhaitez que le routeur surveille leurs sessions et
autorisez leurs réponses avec le paramètre 'reflect'.
Routeur(config-ext-nacl)#{permit|deny} source-ip-address nom_protocole
operator1 source-port destination-ip address operator2 destination-port reflect reflection-
name où permit|deny est l'effet que vous voulez avoir si le paquet répond à la condition.
www.hellodigi.ir
Machine Translated by Google
6.3 Comment configurer des listes de contrôle d'accès avancées sur un routeur Cisco 149
adresse-ip-source est l'adresse IPv4 source. Cette adresse peut être dans l'un des formats
suivantsÿ:
Operator1 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
J. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. k. gt tous les
ports supérieurs au numéro de port suivant. l. Tous les ports inférieurs au numéro de port
suivant.
port-source est le numéro du port source. Les paramètres du port source de l'opérateur1 sont
facultatifs. destination-ip-address est l'adresse IPv6 de destination. Cette adresse peut être dans
l'un des formats suivantsÿ:
operator2 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
J. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. k. gt tous les
ports supérieurs au numéro de port suivant. l. Tous les ports inférieurs au numéro de port
suivant.
3. N'oubliez pas que vous pouvez avoir une liste d'accès par interface et par direction. Par conséquent,
vous devez configurer tous les filtres que vous souhaitez, pas seulement ceux réflexifs dans la
même liste d'accès nommée. Il ne faut pas nécessairement le faire après la partie réflexive. Vous
pouvez configurer les autres filtres avant ou après la partie réflexive.
www.hellodigi.ir
Machine Translated by Google
6. Comme nous l'avons expliqué à l'étape 3, vous pouvez appliquer une ACL par interface et par direction.
Par conséquent, vous pouvez ajouter après ou avant l'étape 5 tous les filtres dont vous avez besoin
pour bloquer et autoriser le trafic comme bon vous semble.
7. Appliquez les listes d'accès à une interfaceÿ:
Router(config)#interface interface-type numéro d'interface Router(config-if)#ip access-group acl-out-
name out Router(config-if)#ip access-group acl-in-name dans où interface-type et interface-number
sont le type et le numéro de l'interface acl-name est le nom ACL que nous avons identifié aux
étapes 1 et 4.
Dans certains cas, vous devez appliquer des filtres à des moments précis plutôt que tout le temps. Par
exemple, vous devez bloquer le trafic vers un serveur spécifique après les heures de travail ou pendant
les week-ends. Cela peut être fait en utilisant des listes d'accès basées sur le temps.
Ce type de listes d'accès fonctionne en associant une plage de temps à la commande de filtrage des
listes d'accès. Ainsi, vous n'avez pas besoin d'appliquer l'intégralité de la liste d'accès pour un temps
spécifique. Au lieu de cela, vous avez la possibilité d'affiner la liste d'accès pour sélectionner des
commandes spécifiques à utiliser à des moments précis.
1. Créez une plage de temps dans laquelle nous voulons que la commande de filtrage soit activeÿ:
Router(config)#time-range time-range-name où time-range-name est le
nom de la plage horaire que nous allons créer.
2. Identifiez la plage de tempsÿ:
Router(config-time-range)#periodic days-of-week start-time to ending-time où la partie jours de la
semaine peut être utilisée pour identifier des jours spécifiques de la semaine au cours desquels la
gamme est active. Nous pouvons écrire les jours avec des espaces entre leurs noms ou nous
pouvons simplement écrire quotidiennement. start-time est l'heure de démarrage de la plage de
temps. Il est écrit au format 24h comme 21h00. ending-time est l'heure à laquelle la plage de temps
se termine. Il est également écrit au format 24h comme 18h00.
3. Créez une liste d'accès nommée (les listes d'accès nommées sont préférées aux listes numérotées).
Listes d'accès):
www.hellodigi.ir
Machine Translated by Google
6.3 Comment configurer des listes de contrôle d'accès avancées sur un routeur Cisco 151
nom-de-la-gamme
où
permit|deny est l'effet que vous voulez avoir si le paquet remplit la condition.
Vous pouvez utiliser permit pour autoriser le trafic ou deny pour bloquer
le trafic. nom-protocole est le nom du protocole que vous souhaitez filtrer. Cela peut être ip,
tcp, udp, etc. source-ip-address est l'adresse IPv4 source. Cette adresse peut être dans l'un
des formats suivantsÿ:
Operator1 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous
les ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de
port suivant.
port-source est le numéro du port source. Les paramètres du port source de l'opérateur1 sont
facultatifs. destination-ip-address est l'adresse IPv6 de destination. Cette adresse peut être
dans l'un des formats suivantsÿ:
operator2 est un opérateur utilisé pour identifier le port. Il peut s'agir des éléments suivantsÿ:
un. eq égal à un numéro de port spécifique identifié dans le paramètre suivant. b. gt tous
les ports supérieurs au numéro de port suivant. c. Tous les ports inférieurs au numéro de
port suivant.
www.hellodigi.ir
Machine Translated by Google
où
interface-type et interface-number sont le type et le numéro de l'interface acl-name est le
nom ACL que nous avons identifié à l'étape 3. in|out est la direction du traficÿ: 'in' pour le
trafic entrant (entrant dans le routeur via l'interface) et 'out' pour le trafic sortant du routeur
vers l'extérieur via l'interface.
L'authentification de route EIGRP fournit une authentification MD5 des mises à jour de routage
à partir du protocole de routage EIGRP. Le résumé à clé MD5 dans chaque paquet EIGRP
empêche l'introduction de messages de routage non autorisés ou erronés provenant de
sources non approuvées. Avant de pouvoir activer l'authentification de route EIGRP, vous
devez activer EIGRP.
Les étapes de configuration de l'authentification de route EIGRP sont les suivantesÿ:
Vous pouvez définir une heure de début et soit une heure de fin, soit une durée en secondes, ou
vous pouvez laisser l'opération infinie.
5. Activez l'authentification MD5 sur l'interface compatible EIGRPÿ:
www.hellodigi.ir
Machine Translated by Google
6.4 Comment configurer l'authentification des protocoles de routage sur un routeur Cisco 153
Vous pouvez définir une heure de début et soit une heure de fin, soit une durée en secondes, ou
vous pouvez laisser l'opération infinie.
5. Activez l'authentification MD5 sur l'interface compatible EIGRPÿ:
Routeur(config)#interface type d'interface numéro d'interface
www.hellodigi.ir
Machine Translated by Google
numéro de système autonome est le numéro du système autonome utilisé dans le processus
EIGRP.
6. Associez l'authentification EIGRP de l'interface à la chaîne de clésÿ:
Router(config-if)#ipv6 authentication key-chain eigrp nom-chaîne-clés-système-autonome où nom-
chaîne-clés est le nom du trousseau créé à l'étape 1. numéro-système-autonome est le numéro
du système autonome utilisé dans le processus EIGRP.
L'authentification homologue avec MD5 dans BGP est configurée à l'aide d'une seule commande
ajoutée à la configuration BGP du voisin.
Routeur(config)#routeur bgp numéro-de-système-autonome Routeur(config-router)#mot
de passe voisin mot-de-passe-bgp où numéro-de-système-autonome est le numéro du
adresse-ip-voisin
système autonome utilisé dans le processus BGP. l'adresse IP du voisin est l'adresse
IP du voisin BGP. bgp-password est le mot de passe utilisé pour l'authentification BGP.
Le même mot de passe bgp doit être utilisé sur l'autre routeur pair BGP.
Pour vérifier que l'authentification MD5 fonctionne, utilisez la commande suivante : Router#show
ip bgp neighbors | inclure les indicateurs d'option
6.5 Comment configurer le VPN de site à site dans les routeurs Cisco
Quand en auriez-vous besoin : Lorsque vous souhaitez créer un tunnel sécurisé pour transférer des
données entre deux sites sans utiliser de concentrateur de réseau privé virtuel (VPN) ou d'autres
dispositifs de sécurité.
Exigences particulières : Les routeurs utilisés doivent prendre en charge IPSec (c'est-à-dire, les fonctionnalités
advsecurity activées). La plupart des routeurs Cisco le font. Un autre besoin est que les deux parties utilisent
une adresse IP publique statique pour se connecter à Internet.
Nous allons parcourir les étapes à faire d'un côté, et les mêmes étapes doivent être répétées de
l'autre côté également. Le cryptage des données dépendra d'une clé partagée.
De cette façon, nous n'aurons pas besoin de CA spécialisés ou de méthodologies RSA. Si tu as un
La topologie hub-and-spoke fait référence à la remarque à la fin de cette procédure.
www.hellodigi.ir
Machine Translated by Google
6.5 Comment configurer le VPN de site à site dans les routeurs Cisco 155
1. Créez une stratégie de clé d'échange de clés Internet (IKE). La politique utilisée pour notre cas
est la politique numéro 9, car cette politique nécessite une clé pré-partagée.
Routeur(config)#crypto isakmp policy 9 Router(config-
isakmp)#hash md5 Router(config-isakmp)#authentication pre-
share
2. Configurez la clé partagée qui serait utilisée dans le VPN,
Router(config)#crypto isakmp key vpn-key address other end-address
où
vpn-key est la clé partagée que vous utiliserez pour le VPN, et n'oubliez pas de définir
la même clé à l'autre bout. other-end-address est l'adresse IP publique statique de
l'autre extrémité.
3. Maintenant, nous définissons la durée de vie des associations de sécurité IPSec,
Routeur(config)#crypto ipsec security-association durée de vie secondes durée de vie
5. Définir le jeu de transformations qui sera utilisé pour cette connexion VPN,
Router(config)#crypto ipsec transform-set set-name transformation-set-1 transformation-set-2 où
set-name est le nom du jeu de transformations. Vous pouvez choisir n'importe quel nom que vous
aimez. transformation-set-1 et transformation-set-2 est l'ensemble de transformation. Vous pouvez
utiliser 'esp-3des esp-md5-hmac'. Vous pouvez également utiliser 'esp-3des esp-sha-hmac'.
N'importe lequel de ces deux fera l'affaire. En général, je recommanderais des technologies plus
récentes telles que AES et SHA-2 ou SHA-3.
6. Après avoir défini toutes les choses précédentes, vous devez créer un cryptomap qui
associe la liste d'accès à l'autre site et au jeu de transformations.
Routeur(config)#crypto map map-name priority ipsecisakmp Router(config-crypto-map)#set peer
other-end-address Routeur(config-crypto-map)#set transform-set set-name
www.hellodigi.ir
Machine Translated by Google
7. La dernière étape consiste à lier la crypto map à l'interface qui connecte le routeur à
l'autre extrémité.
Router(config-if)#crypto map map-name où map-name est le
nom de la crypto map que nous avons définie à l'étape 6.
8. Maintenant, répétez ces étapes de configuration VPN à l'autre bout et n'oubliez pas d'utiliser la
même clé VPN avec le même ensemble d'authentification et de transformation.
Quand en auriez-vous besoin : Lorsque vous souhaitez créer un tunnel sécurisé pour transférer
des données entre les terminaux d'un utilisateur (ordinateur, smartphone, tablette, etc.) vers un
site central sans utiliser de concentrateur de réseau privé virtuel (VPN) ou d'autres dispositifs de
sécurité .
Exigences particulières : Le routeur doit être connecté à Internet avec une adresse IP publique ou
en utilisant Dynamic-DNS.
www.hellodigi.ir
Machine Translated by Google
6.6 Comment configurer un routeur Cisco en tant que serveur VPN PPTP 157
où
pool-name représente le nom du pool d'adresses que vous attribuerez aux hôtes
distants connectés à votre routeur. start-address et end-address identifient la première
adresse IP du pool et la dernière adresse IP du pool. Dans la plupart des cas, les
administrateurs réseau utilisent des adresses avec la plage interne d'adresses IP
utilisée dans l'organisation. Cela rend le processus de filtrage et d'autorisation moins
compliqué.
5. Créez le modèle virtuel avec tous ses paramètres internes (encapsulation,
authentification...)
Router(config)#interface virtual-template virtual-template-number Router(config-
if)#encapsulation ppp Router(config-if)#peer default ip address pool pool-name
Router(config-if)#ip unnumbered interface Router (config-if)#no keepalive
Router(config-if)#ppp encrypt mppe encryption-type Router(config-if)#ppp
authentication authentication type Le type de chiffrement peut être 40, 128 ou auto.
Pour un meilleur cryptage, utilisez 128 au lieu de auto ou 40. La sélection
automatique peut entraîner l'utilisation du cryptage 40 bits au lieu du cryptage 128
bits.
Dans la dernière commande, vous pouvez utiliser pap, chap, ms-chap ou ms-chap-v2 comme
type d'authentification. Vous pouvez en combiner plusieurs pour permettre à l'utilisateur
distant de choisir le type qu'il souhaite. En règle générale, n'utilisez pas de PAP.
L'interface doit être l'interface interne qui contient une adresse IP dans la plage dont
les utilisateurs distants vont faire partie. Si vous souhaitez donner aux utilisateurs
distants des adresses qui ne font pas partie de votre réseau interne, vous pouvez
utiliser un autre numéro d'interface.
6. Créez les noms d'utilisateur et le mot de passe que les utilisateurs distants utiliseront lors de la connexion
à votre routeur.
Router(config)#username remote-username password remote password Répétez
cette étape pour chaque nom d'utilisateur que vous souhaitez ajouter.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque vous souhaitez créer un tunnel pour transférer des
données entre deux routeurs. GRE transporte tout type de trafic Layer3 via un réseau IP (comme
le trafic multicast et IPv6).
1. Sur Router1, créez une interface de tunnel, qui est une interface virtuelle, et affectez un
Adresse IP :
Router1(config)#int tunnel1 Router1(config-
if)#ip address ip-address-1 subnetmask1 où ip-address-1 est l'adresse IP de l'interface
du tunnel. subnetmask1 est le masque de sous-réseau de l'interface du tunnel.
Gardez à l'esprit que l'adresse IP-1 est une adresse IP locale à des fins de mappage.
Cette adresse doit faire partie du réseau local que vous souhaitez rendre capable de
communiquer avec le réseau local de l'autre côté du tunnel.
2. Configurez l'adresse IP publique qui sera utilisée dans le processus d'encapsulation.
Cette adresse IP est celle qui apparaîtra sur l'en-tête d'encapsulation de paquet externe.
www.hellodigi.ir
Machine Translated by Google
5. Sur Router1, créez une interface de tunnel, qui est une interface virtuelle, et affectez un
Adresse IP :
Router2(config)#int tunnel1 Router2(config-
if)#ip address ip-address-2 subnetmask2 ip-address-2 est l'adresse IP de l'interface du tunnel.
N'oubliez pas d'utiliser les mêmes valeurs que vous avez utilisées sur Router1.
9. Configurez le routage entre les deux côtés :
Router1(config)#ip route local-network-1 subnetmask1 public-ip-2 Router2(config)#ip route local-
netwok-2 subnetmask2 pub lic-ip-1 where local- network-1 et subnetmask1 sont l'adresse réseau
et le masque de sous-réseau du réseau dont fait partie l'adresse IP locale de Router1. public-ip-2
est l'adresse IP publique utilisée sur Router2. local-netwok-2 et subnetmask2 sont l'adresse
réseau et le masque de sous-réseau du réseau dont l'adresse IP locale de Router2 fait partie.
public-ip-1 est l'adresse IP publique utilisée sur Router1.
www.hellodigi.ir
Machine Translated by Google
IPSec est utilisé ici en mode tunneling pour chiffrer la charge utile et l'en-tête des paquets GRE.
1. Sur Router1, créez une interface de tunnel, qui est une interface virtuelle, et affectez un
Adresse IP de celui-ciÿ:
Gardez à l'esprit que l'adresse IP-1 est une adresse IP locale à des fins de mappage.
Cette adresse doit faire partie du réseau local que vous souhaitez rendre capable de communiquer
avec le réseau local de l'autre côté du tunnel.
2. Configurez l'adresse IP publique qui sera utilisée dans le processus d'encapsulation.
Cette adresse IP est celle qui apparaîtra sur l'en-tête d'encapsulation de paquet externe.
5. Sur Router1, créez une interface de tunnel, qui est une interface virtuelle, et affectez un
Adresse IP :
Router2(config)#int tunnel1 Router2(config-
if)#ip address ip-address-2 subnetmask2 ip-address-2 est l'adresse IP de l'interface du tunnel.
www.hellodigi.ir
Machine Translated by Google
N'oubliez pas d'utiliser les mêmes valeurs que vous avez utilisées sur Router1.
9. Configurez le routage entre les deux côtésÿ:
Router1(config)#ip route local-network-1 subnetmask1 public-ip-2 Router2(config)#ip route
local-netwok-2 subnetmask2 public-ip-1 où local-network-1 et subnetmask1 sont l'adresse
réseau et le sous-réseau masque du réseau dont fait partie l'adresse IP locale de Router1.
public-ip-2 est l'adresse IP publique utilisée sur Router2. local-netwok-2 et subnetmask2 sont
l'adresse réseau et le masque de sous-réseau du réseau dont fait partie l'adresse IP locale de
Router2. public-ip-1 est l'adresse IP publique utilisée sur Router1.
www.hellodigi.ir
Machine Translated by Google
12. Créez et liez un cryptomap au trafic identifié par la liste d'accès de l'étape
dix.
Router1(config)#crypto map map-name 10 ipsec-isakmp Router1(config-map)#set
peer public-ip-2 Router1(config-map)#set transform-set transform-set
Nom
13. Appliquez la crypto map à l'interface physique sur laquelle le trafic du tunnel sera
être transmis.
Router1(config)#interface numéro d'interface de type d'interface
14. Répétez les étapes 10, 11, 12 et 13 sur Router2 mais n'oubliez pas de changer public-ip-2
en public-ip-1 dans toutes ces étapes.
15. À des fins de vérification, utilisez la commande suivanteÿ:
Routeur(config)#show crypto session
Quand auriez-vous besoin de ceci : Lorsque vous souhaitez authentifier les utilisateurs à l'aide d'un
serveur distant TACACS+ ou RADIUS.
www.hellodigi.ir
Machine Translated by Google
Rappelez-vous que dans cette configuration, le routeur lui-même ne deviendra pas un serveur
AAA. Vous devrez configurer le serveur ailleurs en utilisant la technologie RADIUS ou TACACS+.
A la fin de cette étape simple, vous pouvez vous arrêter et tout devrait fonctionner correctement.
2. Si vous avez plusieurs serveurs, vous pouvez créer des groupes de serveurs afin que le routeur
peut utiliser un groupe de serveurs au lieu d'un seul.
Router(config)#aaa group server radius group-name Router(config-radius)#server
server-ip-address où group-name est le nom du groupe de serveurs server-ip-address
est l'adresse IP du serveur RADIUS. Cette adresse peut être une adresse IPv4 ou
IPv6.
Répétez la dernière commande pour chaque serveur RADIUS différent que vous souhaitez
ajouter au groupe.
3. Configurez le routeur pour utiliser un groupe d'utilisateurs spécifique pour
VTY : Router(config)#line vty 0 4 Router(config-line)#login authentication
group-name où group-name est le nom du groupe d'utilisateurs. Le même nom identifié à
l'étape 1.
www.hellodigi.ir
Machine Translated by Google
Scénario 6.1
Console
FE0/0
Routeur1
Connectez le réseau simple illustré dans la figure ci-dessus et configurez les paramètres
suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
3. Sur le routeur, lancez une commande 'show run'. Vous devriez voir le mot de passe secret
crypté, mais ni le VTY ni les mots de passe de la console ne seraient cryptés.
4. Activez le service 'password-encryption'.
5. Faites une autre commande 'show run'. Vous devriez voir la console et VTY
mots de passe cryptés.
6. Désactivez le service 'password-encryption'.
7. Une fois de plus, faites un "show run", et vous devriez voir que les mots de passe sont toujours
crypté.
Scénario 6.2
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Ordinateur B Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
3. Sur le routeur 1, créez une route par défaut pour envoyer tout le trafic via l'interface de sortie
S0/0.
4. Sur le routeur 2, créez également une route par défaut pour envoyer tout le trafic via la sortie
l'interface S0/0.
5. Créez une liste d'accès standard pour bloquer le trafic du LAN connecté au routeur
2 à l'ordinateur A. Étant donné que les listes d'accès standard filtrent le trafic en fonction de l'adresse IP source
adresse uniquement, nous devons créer l'ACL aussi près que possible de la destination.
Ainsi, nous allons créer l'ACL sur le routeur 1.
6. Avant d'appliquer la liste d'accès, PING de l'ordinateur B à l'ordinateur A.
Le PING devrait réussir.
www.hellodigi.ir
Machine Translated by Google
7. Appliquez l'ACL sur le routeur 1 sur le trafic sortant sur l'interface FE0/0.
8. PING de l'ordinateur B à l'ordinateur A. Le PING échouera.
Scénario 6.3
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Imprimante 2 Imprimante 1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Sur le routeur 1, créez une route par défaut pour envoyer tout le trafic via l'interface de sortie
S0/0.
5. Sur le routeur 2, créez également une route par défaut pour envoyer tout le trafic via la sortie
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue pour bloquer le trafic du réseau local du routeur 2 vers l'imprimante 1.
Étant donné que les ACL étendues ont la capacité de filtrer en fonction des adresses IP source et de
destination, nous pouvons placer la liste aussi près que possible de la source, pour
réduire le trafic réseau. Par conséquent, nous allons créer l'ACL sur le routeur 2.
7. Pour le test, PING de l'ordinateur B à l'imprimante 1. Le PING doit être
couronné de succès.
www.hellodigi.ir
Machine Translated by Google
12. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 1.
13. Répétez le PING de l'ordinateur A à l'imprimante 2. Il devrait échouer maintenant.
Scénario 6.4
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Serveur de fichiers
Serveur Web
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Sur le routeur 1, créez une route par défaut pour envoyer tout le trafic via l'interface de sortie
S0/0.
5. Sur le routeur 2, créez également une route par défaut pour envoyer tout le trafic via la sortie
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue pour bloquer le trafic Telnet du réseau local du routeur 2 vers le
Serveur Web. Étant donné que les listes de contrôle d'accès étendues ont la capacité de filtrer en fonction de la source
et les adresses IP de destination, nous pouvons placer la liste aussi près que possible de la
source, pour réduire le trafic réseau. Par conséquent, nous allons créer l'ACL sur le routeur 2.
7. Pour le test, sur l'ordinateur B, ouvrez une page Web sur le serveur Web. La page
devrait s'afficher avec succès.
8. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 2.
9. Sur l'ordinateur B, ouvrez une page Web sur le serveur Web. Cela devrait échouer maintenant.
10. Créez une autre liste de contrôle d'accès étendue pour bloquer le trafic ICMP du réseau local du routeur 1 vers
le serveur de fichiers.
www.hellodigi.ir
Machine Translated by Google
11. Pour tester, PING de l'ordinateur A au serveur de fichiers. Le PING doit être
couronné de succès.
12. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 1.
13. Répétez le PING de l'ordinateur A vers le serveur de fichiers. Cela devrait échouer maintenant.
Scénario 6.5
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Serveur de fichiers
Serveur Web
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
4. Sur le routeur 1, créez une route par défaut pour envoyer tout le trafic via l'interface de sortie
S0/0.
5. Sur le routeur 2, créez également une route par défaut pour envoyer tout le trafic via la sortie
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue nommée pour bloquer le trafic Telnet du réseau local du routeur 2 vers le
Serveur Web. Étant donné que les listes de contrôle d'accès étendues ont la capacité de filtrer en fonction de la source
et les adresses IP de destination, nous pouvons placer la liste aussi près que possible de la
source, pour réduire le trafic réseau. Par conséquent, nous allons créer l'ACL sur le routeur 2.
7. Pour le test, sur l'ordinateur B, ouvrez une page Web sur le serveur Web. La page
devrait s'afficher avec succès.
8. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 2.
9. Répétez le PING de l'ordinateur B à l'imprimante 1. Il devrait échouer maintenant.
10. Ajoutez une autre ligne à l'ACL (avant l'autorisation de n'importe quelle ligne) pour bloquer tous
trafic entre l'ordinateur A et l'ordinateur B.
11. Pour le test, PING de l'ordinateur A à l'ordinateur B. Le PING doit être
infructueux.
www.hellodigi.ir
Machine Translated by Google
Scénario 6.6
S0/0 S0/0
FE0/0 FE0/0
Routeur2 Routeur1
Serveur de fichiers
Serveur Web
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
Longueur du préfixe 64
4. Sur le routeur 1, créez une route par défaut pour envoyer tout le trafic via l'interface de sortie
S0/0.
5. Sur le routeur 2, créez également une route par défaut pour envoyer tout le trafic via la sortie
l'interface S0/0.
6. Créez une liste de contrôle d'accès étendue pour bloquer le trafic Telnet du réseau local du routeur 2 vers le
Serveur Web. Étant donné que les listes de contrôle d'accès étendues ont la capacité de filtrer en fonction de la source
et les adresses IP de destination, nous pouvons placer la liste aussi près que possible de la
source, pour réduire le trafic réseau. Par conséquent, nous allons créer l'ACL sur le routeur 2.
7. Pour le test, sur l'ordinateur B, ouvrez une page Web sur le serveur Web. La page
devrait s'afficher avec succès.
8. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 2.
9. Sur l'ordinateur B, ouvrez une page Web sur le serveur Web. Cela devrait échouer maintenant.
10. Créez une autre liste de contrôle d'accès étendue pour bloquer le trafic ICMP du réseau local du routeur 1 vers
le serveur de fichiers.
www.hellodigi.ir
Machine Translated by Google
11. Pour tester, PING de l'ordinateur A au serveur de fichiers. Le PING doit être
couronné de succès.
12. Appliquez l'ACL au trafic entrant sur l'interface FE0/0 dans le routeur 1.
13. Répétez le PING de l'ordinateur A vers le serveur de fichiers. Cela devrait échouer maintenant.
Scénario 6.7
S0/1 S0/1
FE0/1 Routeur2 Routeur1 FE0/1
FE0/2
S0/1 S0/0
Ordinateur D Ordinateur C Ordinateur B Ordinateur A
FE0/0
Routeur3
OrdinateurE
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
5. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 192.16.0.0 dans le système autonome numéro 10.
6. Configurez le routage dynamique EIGRP sur le routeur 2 avec les réseaux annoncés
10.0.0.0 et 192.16.1.0 dans le système autonome numéro 10.
7. Configurez le routage dynamique EIGRP sur le routeur 3 avec les réseaux annoncés
10.0.0.0 et 192.16.2.0 dans le système autonome numéro 10.
8. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
Scénario 6.8
FE0/0 FE0/0
Routeur3 Routeur2 Routeur1
Ordinateur B Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
5. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés 10.0.0.0 et
172.16.0.0 dans le système autonome numéro 10.
6. Configurez le routage dynamique EIGRP sur le routeur 2 avec le réseau annoncé
10.0.0.0 dans le système autonome numéro 10.
7. Configurez le routage dynamique EIGRP sur le routeur 3 avec les réseaux annoncés 10.0.0.0 et
172.16.1.0 dans le système autonome numéro 10.
8. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
9. Un autre test consisterait à utiliser le routeur 2 pour capturer les paquets provenant de l'utilisation de
la fonctionnalité « Embedded Packet Capture ». Cette fonctionnalité vous permettra de capturer
les paquets et de les enregistrer sous la forme d'un petit fichier PCAP pouvant être extrait du
routeur et lu à l'aide d'un logiciel tel que WireShark.
Une fois que vous avez capturé les paquets et lu leur contenu, vous pouvez facilement voir que le
contenu n'est pas crypté.
10. Configurez un VPN de site à site entre les routeurs 1 et 3 à l'aide des paramètres suivantsÿ:
Clé VPNÿ: CiscoKey@123 Nom
de l'ensemble de transformationsÿ: Ensemble de
transformations CiscoTranformÿ: esp-3des esp-sha-
hmac Nom de la carte de cryptageÿ: MyCryptoMap
Priorité de la carte de cryptageÿ: 7
Scénario 6.9
FE0/0 FE0/0
Routeur3 Routeur2 Routeur1
Ordinateur B Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
5. Configurez le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 172.16.0.0 dans le système autonome numéro 10.
6. Configurez le routage dynamique EIGRP sur le routeur 2 avec le réseau annoncé
10.0.0.0 dans le système autonome numéro 10.
7. Configurez le routage dynamique EIGRP sur le routeur 3 avec les réseaux annoncés
10.0.0.0 et 172.16.1.0 dans le système autonome numéro 10.
8. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
9. Un autre test consisterait à utiliser le routeur 2 pour capturer les paquets provenant de l'utilisation du
Fonctionnalité 'Capture de paquets intégrée'. Cette fonctionnalité vous permettra de
capturer les paquets et les enregistrer sous forme de petit fichier PCAP pouvant être extrait
depuis le routeur et lire à l'aide d'un logiciel comme WireShark.
Une fois que vous capturez les paquets et lisez leur contenu, vous pouvez facilement voir que le
le contenu n'est pas crypté.
10. Configurez un tunnel GRE avec IPSec entre les routeurs 1 et 3.
11. Refaire la capture des paquets effectuée à l'étape 9. Les données de tous les paquets circulant
de l'ordinateur A à l'ordinateur B doit être chiffré.
Scénario 6.10
Console
FE0/0
Routeur1
Serveur RADIUS
Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau simple illustré dans la figure ci-dessus et configurez les paramètres suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
Chapitre 7
Gestion des routeurs Cisco
Mots-clés Cisco Routeur Cisco IOS IOS Mise à niveau IOS Numéro magique
Rommon Flash TFTP
La mise à niveau de l'IOS de votre routeur est une opération critique. Vous devez être prudent et
prudent avec chaque commande que vous écrivez. Jetez un œil à ces conseils et astuces avant de
commencer la mise à niveau.
1. Avant d'envisager une mise à niveau, évaluez le besoin réel d'un nouvel IOS. Si l'IOS actuel du
routeur couvre toutes les tâches dont vous avez besoin, aucune mise à niveau n'est nécessaire.
La mise à niveau est généralement nécessaire lorsque vous ajoutez du nouveau matériel, que le
routeur n'est pas capable de gérer ce que vous voulez ou qu'il y a un problème avec l'ancien IOS.
Parfois, il semble y avoir des problèmes de sécurité dans l'IOS, vous devrez donc peut-être
effectuer une mise à niveau même si le routeur fonctionne correctement.
Routeur#show slot1ÿ:
3. Si l'espace n'est pas suffisant pour l'ancienne et la nouvelle copie d'IOS ensemble, vous devrez
effacer l'ancienne. Ne le faites pas manuellement en utilisant 'delete flash: ios-file-name.bin'. Une
fois que vous avez commencé à copier le nouvel IOS, il vous sera demandé d'effacer ou de
conserver l'ancien contenu du flash. Si vous disposez de suffisamment d'espace pour les deux
copies, n'effacez pas le flash.
4. Si le flash de votre routeur est de classe B et possède plus d'une banque, vous pouvez partitionner
le flash. Le partitionnement du flash est utile dans toutes les opérations de copie
www.hellodigi.ir
Machine Translated by Google
car le routeur serait capable de contenir et de maintenir deux copies différentes des fichiers IOS. Le
partitionnement vous protège du risque d'effacer accidentellement l'ancienne copie d'IOS lors de la
mise à niveau. Une procédure pour le partitionnement flash se trouve dans la Sect. 7.9.
5. Ne modifiez pas le nom du fichier IOSÿ; ni l'ancien ni le nouveau. Vous devez avoir une compréhension
complète des conventions de nom de fichier IOS. Vous pouvez trouver une brève description de la
signification du nom de fichier IOS dans Sect. 7.2.
6. Il est toujours plus sûr d'effectuer la mise à niveau via le serveur TFTP et non via XMODEM. Le logiciel
du serveur TFTP est facile à maîtriser et de nombreuses distributions de serveur TFTP sont
disponibles gratuitement.
7. Lors de la mise à niveau via HyperTerminal (XMODEM), ne rechargez pas le routeur
avant que tout le processus de copie ne soit terminé.
8. Si vous avez plus d'un fichier IOS sur le flash et que vous ne savez pas lequel est actuellement chargé,
utilisez la commande 'show version' pour trouver le nom du fichier IOS chargé.
Avant de planifier une mise à niveau ou l'installation d'un fichier IOS, vous devez comprendre la
signification du nom de chaque fichier IOS.
Bien que Cisco ait opté pour une manière différente de gérer l'IOS, il est toujours important de
comprendre les différentes versions des fichiers IOS, car de nombreux appareils sur lesquels vous
travaillerez utiliseront l'ancienne convention de dénomination pendant un certain temps.
L'ancien nom de fichier IOS est généralement similaire à cette
formeÿ: platform-featureset-format.aaa-bb.bin
www.hellodigi.ir
Machine Translated by Google
i Pour le sous-ensemble IP (SNMP, IP, Bridging, WAN, Remote Node et Terminal Services) n Pour la prise en
charge IPX q Pour la prise en charge asynchrone t Pour le retour Telco (12.0) y Pour IP réduit (SNMP, IP RIP/
IGRP/EIGRP, Bridging , RNIS et PPP) (c1003 ou c1004) z Pour les modems gérés 40 Pour le cryptage 40 bits
50 Pour le cryptage 50 bits
4. aaa-bb représente la version de l'IOS. Il est généralement lu comme ceci 'Version aa.a(bb)'. La dernière partie du
nom du fichier IOS peut contenir des lettres telles que T (identifiant de version de nouvelle fonctionnalité), S
(numéro de version individuel) ou XR (packages modulaires).
Cisco suit un modèle de conditionnement qui fournit une large sélection d'ensembles de fonctionnalités pour les
nouveaux fichiers IOS. Ces ensembles de fonctionnalités sontÿ:
Ces ensembles de fonctionnalités ont une structure d'héritage telle que chaque ensemble de fonctionnalités
contient toutes les fonctionnalités des ensembles précédents avec des ajouts. Par exemple, l'ensemble de
fonctionnalités advsecurity contient toutes les fonctionnalités d'ipvoice et d'ipbase et leur ajoute davantage de
fonctionnalités de sécurité.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous envisagez d'implémenter quelque chose de nouveau
dans la configuration, ou lorsque vous devez copier la configuration d'un routeur à l'autre, ou pour des
sauvegardes régulières.
7.3.1 TFTP
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0
bits de parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Vérifiez la connectivité entre le routeur et le serveur TFTP avec le
commande 'ping' en mode privilégié.
3. Commencez à copier la configuration sur le serveur TFTPÿ:
Router#copy run tftp Ou
Router#copy start tftp Ensuite, il
vous sera demandé l'adresse IP du
serveur TFTP ou le nom de l'hôte distant []ÿ? tftp-server-address Par la suite, il
vous sera demandé un nom de fichier de destination à enregistrer sur le serveur TFTP.
www.hellodigi.ir
Machine Translated by Google
Accéder à tftp://tftp-server-address/backup_cfg_for_
routeurX…
Chargement de backup_cfg_for_routerX à partir de l'adresse du serveur tftp (via
FastEthernet0/0) : !
[OK - bbbb octets] nnnn
octets copiés en t.tt secondes (rrr octets/sec)
Il est conseillé de supprimer toutes les lignes de configuration contenant des commandes
«ÿAAAÿ» du fichier de sauvegarde avant la restauration, afin que vous n'ayez aucun problème
de sécurité pour accéder au routeur. Vous pouvez le faire avec n'importe quel éditeur de texte.
Il existe deux autres façons de sauvegarder et de restaurer la configuration : FTP et
HyperTerminal.
7.3.2 FTP
Vous pouvez utiliser FTP pour sauvegarder et restaurer la configuration en procédant comme suitÿ:
1. Indiquez le nom d'utilisateur et le mot de passe du routeur à utiliser pour l'accès FTPÿ:
Routeur(config)#ip ftp username ftp-username
Routeur(config)#ip ftp password ftp-password
2. Utilisez les commandes suivantes pour copier la configuration vers et depuis le FTP
serveur:
Routeur#copy run ftp ou copy start ftp
Et
Router#copy ftp run ou copy ftp start Et vous devrez
donner les mêmes informations données à l'étape 3 de la procédure précédente pour
effectuer les transferts.
7.3.3 HyperTerminal
Si vous n'avez pas de serveur TFTP ou FTP, vous pouvez utiliser le bon vieux
HyperTerminal pour sauvegarder et restaurer la configuration en procédant comme suitÿ:
www.hellodigi.ir
Machine Translated by Google
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0 bits de
parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Exécutez la commande suivanteÿ:
Router#terminal length 0 Cette commande
entraînera l'affichage continu des résultats des commandes show sans pagination.
Ceci conclut la sauvegarde. Vous pouvez également modifier le fichier que vous avez enregistré pour
effacer les lignes contenant les commandes 'AAA' afin d'éviter les problèmes d'accès et de sécurité pouvant
être causés par l'opération de restauration.
La procédure de restauration se déroule comme suitÿ:
1. Ouvrez le fichier de sauvegarde de la configuration avec un éditeur de texte et sélectionnez tout le texte en
appuyant sur la combinaison de touches Ctrl-A. Maintenant, choisissez "Copier" dans le menu Edition ou
appuyez simplement sur Ctrl-C.
2. Accédez à la fenêtre HyperTerminal qui vous connecte au routeur sur lequel vous souhaitez effectuer la
restauration. Ensuite, passez en mode privilégié.
3. Dans le menu HyperTerminal, ouvrez le menu 'Edition' et sélectionnez 'Coller sur l'hôte'.
4. Vérifiez la configuration avec la commande 'show run'. Si tout semble correct, utilisez la commande 'copy run
start' pour enregistrer la configuration restaurée.
Quand en auriez-vous besoin : Lorsque vous envisagez de mettre à niveau le fichier IOS ou que vous devez le
copier sur un autre routeur.
TFTP téléchargeables gratuitement sur Internet ; cependant, notre recommandation est TFTPd ou serveur TFTP
gratuit.
Ensuite, assurez-vous de diriger le serveur TFTP vers le dossier dans lequel vous souhaitez contenir les
sauvegardes et que le serveur TFTP dispose de suffisamment d'espace libre pour contenir les sauvegardes.
www.hellodigi.ir
Machine Translated by Google
7.4 Comment sauvegarder un fichier IOS à partir d'un routeur Cisco 189
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0
bits de parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Vérifiez la connectivité entre le routeur et le serveur TFTP avec le
commande 'ping'.
3. Lancez la copie du fichier IOS avec l'une des commandes suivantes :
Router#copy flash tftp Utilisez cette commande si votre routeur
dispose d'une mémoire flash interne (par exemple, 2600). Si votre routeur utilise des
cartes flash PCMCIA (par exemple, 3600), utilisez la commande suivante :
Router#copy slot1 : tftp ou Slot0 : selon le fichier que vous souhaitez copier 4. Il vous
sera alors demandé l'adresse IP du serveur TFTP. :
Pour la procédure de restauration, vous pouvez vous référer à la procédure de mise à niveau du fichier IOS
dans la Sect. 7.5.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : La mise à niveau est requise lorsque vous envisagez d'ajouter plus de
fonctions au routeur ou à un nouveau module matériel. L'installation est également requise lorsque l'image
IOS que vous avez sur le routeur est corrompue.
Exigences spéciales : La taille du flash du routeur doit être suffisante pour la nouvelle image IOS.
Avant de commencer la procédure de mise à niveau IOS, vous devrez installer le logiciel du serveur
TFTP sur un PC connecté à l'interface Ethernet du routeur. Il existe de nombreux logiciels de serveur TFTP
téléchargeables gratuitement sur Internet ; cependant, notre recommandation est TFTPd ou serveur TFTP
gratuit.
Ensuite, vous devez vous assurer de diriger le serveur TFTP vers le dossier contenant la nouvelle image
IOS que vous avez.
Nous établirons deux procédures pour deux types de routeurs différentsÿ; une procédure pour les routeurs
équipés d'une mémoire flash interne (par exemple, 2600) et une procédure légèrement différente pour les
routeurs équipés de cartes flash PCMCIA (par exemple, 3600).
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0 bits de
parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Vérifiez la connectivité entre le routeur et le serveur TFTP à l'aide de 'ping'.
Assurez-vous que l'interface du routeur et les adresses IP du serveur TFTP sont dans la même plage et
www.hellodigi.ir
Machine Translated by Google
Il est préférable de le conserver comme nom de fichier source, pour pouvoir identifier
facilement les fichiers sur le serveur TFTP par rapport à ceux sur les routeurs. Aussi,
garder le nom signifie identifier facilement les fonctionnalités de cet IOS.
Il vous sera alors demandé si vous souhaitez ou non effacer le(s) fichier(s) existant(s) dans le flash.
Si vous avez suffisamment d'espace libre sur le flash, n'effacez pas l'ancienne image IOS, vous
pourriez en avoir besoin.
Effacer le flash : avant de copier ? [confirmer]
Ensuite, le routeur commence à copier le nouveau fichier IOS sur le routeur, ou commence à
effacer le flash puis à le copier. Si vous souhaitez conserver le contenu du flash, écrivez
simplement 'n' et appuyez sur Entrée.
L'effacement du système de fichiers flash supprimera tous les fichiersÿ! Continuer?
[confirmer]y Effacement de l'appareil… eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
eeeeeeeeeeeeeeee
eeeeeeeeee … effacé
Effacement de la mémoire flashÿ:
terminé
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!
www.hellodigi.ir
Machine Translated by Google
Le processus de copie prend plusieurs minutes ; l'heure diffère d'un réseau à l'autre.
Pendant le processus de copie, des messages s'affichent pour indiquer quel fichier a été
consulté.
Le point d'exclamation '!' indique que le processus de copie est en cours.
Chaque point d'exclamation indique que dix paquets ont été transférés avec succès.
Une vérification de la somme de contrôle de l'image se produit après l'écriture de l'image dans la
mémoire flash.
5. Avant de recharger le routeur, vous devez vous assurer de deux choses. La première est
que la valeur du registre de configuration est 0x2102. Vous pouvez vérifier cela avec la
commande 'show version'. Si la valeur du registre de configuration n'est pas 0x2102, vous
devrez la définir à cette valeur avec la commande suivante : Router(config)#config-register
0x2102 Si vous n'avez pas effacé le contenu de la mémoire flash, vous devrez configurer
le routeur pour démarrer à partir du nouveau fichier IOS avec les commandes suivantes :
Router(config)#no boot system Router(config)#boot system flash ios-filename.bin 6. Si
vous tapez la commande reload, le routeur vous demande si vous voulez pour enregistrer
la configuration. Vous devez faire attention à cette situation. Si le routeur est en mode de
démarrage par exemple, c'est un sous-ensemble du logiciel Cisco IOS complet qui s'exécute
et il n'y a pas de fonctionnalité de routage. Par conséquent, toute la configuration de
routage est automatiquement effacée de la configuration en cours. Ainsi, si vous enregistrez
la configuration à ce stade, vous effacerez la configuration de démarrage complète déjà
présente dans la NVRAM et la remplacerez par la configuration d'exécution incomplète.
www.hellodigi.ir
Machine Translated by Google
(fc1)
La disponibilité de XXXX est de 22
minutes Le système est retourné à la ROM par
'
rechargement Le fichier image système est 'flash: cNNNN-N-NN.NNN-NN.bin /
Vérifiez-le ici À l'étape 1 ou après la mise à niveau, si le routeur démarre en mode
rommon ou en mode de démarrage et vous avez l'un des cas suivantsÿ: rommon 1>dir flashÿ:
l'appareil ne contient pas de numéro magique valide dirÿ: impossible d'ouvrir l'appareil 'flashÿ:'
rommon 2>
ou
router(boot)>dir le
périphérique ne contient pas de numéro magique valide bootÿ: impossible
d'ouvrir 'flashÿ:' bootÿ: impossible de déterminer le premier nom de fichier
sur le périphérique 'flashÿ:' Cela signifie que le flash est vide ou que le système de fichiers
est corrompu. Dans ce cas, vous devez envisager d'utiliser la procédure de mise à niveau ou
d'installation de l'IOS à partir du mode rommon dans Sect. 7.7.
7.5.2 Procédure de mise à niveau pour les routeurs Cisco avec PCMCIA
Éclat
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0 bits
de parité, 1 bit d'arrêt, pas de contrôle de flux). Si votre routeur ne démarre pas régulièrement,
reportez-vous à la Sect. 6.6.
2. Vérifiez la connectivité entre le routeur et le serveur TFTP avec la commande 'ping'. Assurez-vous
que le logiciel du serveur TFTP est en cours d'exécution et que le répertoire de travail du serveur
TFTP contient le nouveau fichier IOS. Il est également conseillé de sauvegarder la configuration
et l'ancien fichier IOS avant de continuer.
Pour cela, vous pouvez vous référer à la procédure de sauvegarde IOS dans la Sect. 7.4 et la
procédure de sauvegarde de la configuration dans la Sect. 7.3.
3. Vérifiez si vous disposez de suffisamment d'espace sur la carte flash pour le nouveau fichier IOSÿ:
Routeur#dir slot1ÿ:
Si vous trouvez qu'il n'y a pas assez d'espace, vous pouvez supprimer un ou plusieurs fichiers du
flashÿ:
Router#delete slot1: old-ios-file.bin Si vous supprimez un ou
plusieurs fichiers de la mémoire flash, ne rechargez pas et ne rallumez pas le routeur tant que
vous n'avez pas terminé cette procédure. Le système d'exploitation que le routeur utilise
maintenant est chargé dans la RAM du routeur. Ainsi, si vous redémarrez le routeur avant de
flasher le nouvel IOS, le routeur ne fonctionnera pas correctement.
www.hellodigi.ir
Machine Translated by Google
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!! !!!
[OK - nnnnnnn/mmmmmm octets]
Vérification de la somme de contrôle… OK
(0x13F0) nnnnnnnn octets copiés en tt.ttt secondes (rrrrr octets/s)
Routeur #
www.hellodigi.ir
Machine Translated by Google
7. Assurez-vous que le registre de configuration a la valeur 0x2102. Ceci est vérifié par la commande
'show version'. Si le registre de configuration a une valeur autre que 0x2102, utilisez la commande
suivante pour la modifier : Router(config)#config-register 0x2102
9. Rechargez le routeur avec la commande 'reload' et vérifiez la nouvelle version IOS avec la commande
'show version' après le rechargement. Cette commande vous montrera également le nom du fichier
IOS qui a été chargé.
Quand en auriez-vous besoinÿ: lorsque vous souhaitez mettre à niveau le fichier IOS et que vous n'avez
pas de TFTP de serveur FTP, ou que vous avez un IOS corrompu dans le routeur et que le routeur ne
démarre pas.
Exigences spéciales : La taille de la mémoire flash du routeur doit être adaptée à la nouvelle image IOS
et vous devez disposer de suffisamment de RAM dans le routeur pour le fonctionnement et le stockage
temporaire du nouveau fichier IOS.
Il est recommandé de sauvegarder l'ancien fichier IOS avant la mise à niveau en utilisant la procédure
de sauvegarde IOS dans la Sect. 7.4, et sauvegardez également la configuration en utilisant la procédure
de la Sect. 7.3 si vous avez toujours accès au routeur. Gardez à l'esprit que cette procédure n'est pas
recommandée. Il est recommandé de procéder à la mise à niveau à l'aide d'un serveur TFTP ou FTP de
Sect. 7.5. En effet, cela prend beaucoup plus de temps et vous ne voyez pas d'erreur lorsqu'elle se produit
tant que la copie n'est pas terminée. Pour mettre à niveau ou installer IOS à l'aide d'HyperTerminal ou de
tout autre logiciel d'émulation de terminal, procédez comme suitÿ:
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0
bits de parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Modifiez le débit en bauds du port de console à son maximum 115 200 Router#set
baud=115200 3. Réinitialisez le port de console Router#reset Vous n'obtiendrez plus
de sortie à l'écran tant que vous n'aurez pas terminé l'étape 4.
www.hellodigi.ir
Machine Translated by Google
6. Envoyez le fichier depuis votre logiciel d'émulation de terminal. Cela se fait en sélectionnant «ÿTransférerÿ»
dans le menu supérieur d'HyperTerminal, puis «ÿEnvoyer le fichierÿ». Dans la boîte de dialogue Envoyer
le fichier, choisissez le nouveau fichier IOS à l'aide du bouton "Parcourir", choisissez "XMODEM" comme
protocole, puis appuyez sur "Envoyer".
L'opération d'envoi peut prendre beaucoup de temps et il n'y a pas d'indicateur de progression dans le
routeur, mais vous aurez un indicateur de progression dans l'HyperTerminal.
Une fois la copie terminée, vous recevrez un message, téléchargementÿ: réussi
(ttt secondes)
Maintenant, le nouveau fichier IOS est dans la RAM du routeur.
7. Si vous n'avez pas assez d'espace dans la mémoire flash du routeur pour les anciens et les nouveaux
fichiers, supprimez l'ancien fichier IOS (ce n'est cependant pas recommandé), Router#delete flash:old-ios-
file.bin
8. Enregistrez le nouveau fichier IOS sur le flash,
Routeur#save file=new-ios-file.bin
Le new-ios-file.bin est un nom de votre choix pour le nouveau fichier IOS. Il est préférable d'utiliser le même
nom que le fichier d'origine qui a été stocké sur votre ordinateur.
9. Demandez au routeur de charger le nouveau fichier IOS au prochain démarrage,
Router(config)#no boot system Router(config)#boot system flash new-ios-file.bin 10.
Vous pouvez recharger le routeur maintenant, mais rappelez-vous pour rétablir les
paramètres de l'HyperTerminal à 9600 bauds pour obtenir une sortie sur votre écran après le rechargement. Si
vous tapez la commande reload, le routeur peut vous demander si vous souhaitez enregistrer la
configuration. Si le routeur est en mode de démarrage par exemple, c'est un sous-ensemble du logiciel
Cisco IOS complet qui s'exécute et il n'y a pas de fonctionnalité de routage.
Par conséquent, toute la configuration de routage a disparu dans la configuration en cours et si vous
enregistrez la configuration à ce moment, vous effacez la bonne configuration de démarrage dans la
NVRAM et la remplacez par la configuration en cours incomplète.
Enregistrez la configuration uniquement si vous êtes sûr d'avoir la configuration complète dans la sortie de
show run. Il n'est pas nécessaire de sauvegarder la configuration.
7.7 Comment mettre à niveau ou installer IOS sur un routeur Cisco à l'aide de
Mode Rommon
Quand auriez-vous besoin de ceci : Si la mémoire flash de votre routeur ou le fichier IOS est corrompu, vous
pouvez utiliser cette procédure pour installer un nouveau fichier IOS. Bien qu'elle ne soit pas recommandée,
cette procédure peut également être utilisée pour mettre à niveau l'IOS du routeur.
Exigences spécialesÿ: la taille de la mémoire flash du routeur doit être suffisante pour le nouveau fichier IOS.
www.hellodigi.ir
Machine Translated by Google
7.7 Comment mettre à niveau ou installer IOS sur un routeur Cisco à l'aide du mode rommon 197
Avant de commencer la procédure de mise à niveau ou d'installation d'IOS, vous devrez installer
le logiciel du serveur TFTP sur un PC connecté à l'interface Ethernet du routeur.
Il existe de nombreux logiciels de serveur TFTP téléchargeables gratuitement sur Internet ;
cependant, notre recommandation est TFTPd et les serveurs TFTP gratuits.
Après avoir installé le logiciel du serveur TFTP sur votre ordinateur, assurez-vous de diriger le
serveur TFTP vers le dossier contenant la nouvelle image IOS que vous avez.
Si vous utilisez cette procédure pour mettre à niveau le fichier IOS et que le routeur fonctionne
correctement, il est préférable de sauvegarder l'ancien fichier IOS avant de commencer la procédure
de mise à niveau. Pour cela, reportez-vous à la procédure de sauvegarde de l'IOS à la Sect. 5.4.
1. Créez une connexion console avec les paramètres par défaut (9600 bauds, 8 bits de données, 0
bits de parité, 1 bit d'arrêt, pas de contrôle de flux).
2. Si votre fichier flash ou IOS est corrompu et que votre routeur passe directement en mode de
démarrage du routeur (Router(boot)#), passez à l'étape 4. Si votre routeur rencontre des
problèmes et démarre directement en mode ROMmon (rommon 1> ou >), passez à l'étape 3. Si
votre routeur démarre normalement, interrompez la séquence de démarrage du routeur en
appuyant sur Ctrl-Break une fois le routeur sous tension. Cela vous mènera au mode ROMmon
avec l'invite : rommon 1>
Ou
>
3. Remplacez la valeur du registre de configuration par 0x2101 pour demander au routeur de démarrer
en mode de démarrage du routeur. Ensuite, rechargez le routeur.
Si vous avez l'invite 'rommon 1>', utilisez les commandesÿ: rommon
1>confreg 0x2101 rommon 2>reset
4. Maintenant que vous êtes en mode de démarrage du routeur avec l'invite (Router(boot)#), vous
devrez donner une adresse IP valide et une adresse de passerelle par défaut au routeur, afin qu'il
puisse communiquer avec le serveur TFTP. Cette adresse IP sera attribuée à l'interface du
routeur Ethernet 0/0 ou fastethernet 0/0. Assurez-vous que cette interface est l'endroit où vous
connectez le serveur TFTP au routeur.
Router(boot)>enable
Router(boot)#configure terminal Router(boot)
(config)#interface ethernet 0 Router(boot)(config-if)#ip address interface-
address
masque de sous-réseau
Routeur(boot)(config-if)#no shutdown
Routeur(boot)(config-if)#exit
Routeur(boot)(config)#ip default-gateway default-gate way-address
www.hellodigi.ir
Machine Translated by Google
Vous pouvez remplacer Ethernet par fastethernet s'il s'agit du type d'interface de votre routeur.
En outre, vous pouvez utiliser n'importe quelle adresse IP et masque de sous-réseau que vous
jugez appropriés tant qu'ils correspondent au serveur TFTP. L'adresse IP de la passerelle par
défaut n'a pas d'importance si vous avez le serveur TFTP dans le même réseau où se trouve
l'interface du routeur. Vous pouvez facilement la configurer pour qu'elle soit l'adresse IP du serveur TFTP.
5. Vérifiez la connectivité entre le routeur et le serveur TFTP avec le 'ping'
commande.
6. Démarrez la copie du nouveau fichier IOS du serveur TFTP vers la mémoire flash.
Router(boot)#copy tftp flash On vous
demandera maintenant l'adresse IP du serveur TFTP,
l'adresse ou le nom de l'hôte distant [255.255.255.255]ÿ? tftp server-address
Ensuite, le nom du fichier source, Nom du fichier sourceÿ? ios-filename.bin
Veuillez noter que le nom du fichier est sensible à la casse et assurez-vous
que le répertoire de travail du serveur TFTP est celui contenant le nouveau
fichier IOS.
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee … effacé Chargement ios-
filename.bin depuis tftp-server-address (via Ethernet0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
www.hellodigi.ir
Machine Translated by Google
7.7 Comment mettre à niveau ou installer IOS sur un routeur Cisco à l'aide du mode rommon 199
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!
OK - nnnnnn/yyyyyy octets]
Vérification de la somme de contrôle… OK (096526)
La copie du périphérique Flash a pris 00:aa:aa [hh:mm:ss]
Routeur (démarrage) #
8. Recharger le routeur
Router(boot)#reload La
configuration du système a été modifiée. Sauvegarder? [oui/non]ÿ:ÿnon
Configuration du bâtiment…
[D'ACCORD]
Quand en auriez-vous besoinÿ: lorsque vous souhaitez copier un fichier IOS d'un routeur à un
autre à des fins de mise à niveau ou d'installation. Ceci est généralement nécessaire lorsque
vous n'avez pas de serveur TFTP à proximité.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque vous disposez de suffisamment d'espace dans la mémoire flash du routeur
et que vous avez l'intention d'avoir deux images IOS à charger alternativement.
Exigences particulières : pour partitionner la mémoire flash, vous devez disposer d'au moins deux
banques de mémoire flash. Une banque est un ensemble de quatre puces. Cette exigence inclut les
systèmes qui prennent en charge un seul module SIMM doté de deux banques de mémoire flash. La
taille de partition minimale est la taille d'une banque.
Sur la plupart des systèmes de fichiers flash de classe B, vous pouvez partitionner les banques de
mémoire flash en périphériques logiques distincts afin que le routeur puisse contenir et maintenir deux
images logicielles différentes ou plus.
Ce partitionnement vous permet d'écrire des logiciels dans la mémoire flash tout en exécutant des
logiciels dans une autre banque de mémoire flash.
Cette commande est un exemple de partition de la mémoire flashÿ:
Routeur(config)#partition partitions flash size-of-parti
tion1 taille-de-partition2
Cette commande suivante concerne les routeurs des gammes Cisco 1600 et 3600ÿ:
Routeur(config)#partition flash-filesystemÿ: nombre de paires
tition partition-size Toutes les tailles
mentionnées ici sont en mégaoctets. Cette tâche ne réussit que si le système dispose d'au moins
deux banques de mémoire flash et que le partitionnement n'entraîne pas le fractionnement d'un fichier
existant dans la mémoire flash sur les partitions.
Pour toutes les plates-formes à l'exception des routeurs des gammes Cisco 1600 et 3600, flash
la mémoire ne peut être partitionnée qu'en deux partitions.
Pour les routeurs des gammes Cisco 1600 et 3600, le nombre de partitions que vous pouvez
créer dans un périphérique de mémoire flash est égal au nombre de banques dans le périphérique.
Exécutez la commande show flash-filesystem: all pour afficher le nombre de banques sur le
périphérique de mémoire flash. Le nombre d'entrées de taille de partition que vous définissez doit être
égal au nombre de partitions spécifiées. Par exemple, la commande partition slot0: 2 8 8 configure deux
partitions d'une taille de 8 Mo chacune. Le premier 8 correspond à la taille de la première partition en Mo,
tandis que le second 8 correspond à la taille de la seconde partition en Mo.
www.hellodigi.ir
Machine Translated by Google
Scénario 7.1
Console
FE0/0
Routeur1
Serveur TFTP
Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Scénario 7.2
Console
FE0/0
Routeur1
FE0/0
Routeur 2
Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
Scénario 7.3
Console
FE0/0
Routeur1
Serveur TFTP
Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
8. Faites un "show run" juste pour vous assurer que la configuration est revenue à
l'original.
www.hellodigi.ir
Machine Translated by Google
Scénario 7.4
Console
FE0/0
Routeur1
Ordinateur A
Connectez le réseau simple illustré dans la figure ci-dessus. Le fichier IOS sur le routeur 1
a été corrompu et vous ne pouvez pas accéder au serveur TFTP ni configurer une adresse IP.
1. Utilisez le logiciel d'émulation de terminal installé sur l'ordinateur A pour restaurer le fichier
IOS de l'ordinateur A vers le routeur 1 à l'aide du protocole XMODEM.
2. Configurez le routeur pour charger le nouvel IOS au lieu de l'ancien après le redémarrage.
Scénario 7.5
Console
FE0/0
Routeur1
Serveur TFTP
Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus. Le routeur 1 a une image IOS
corrompue et il ne démarre pas correctement. Le routeur continue de démarrer en mode rommon.
Configurez les paramètres suivantsÿ:
www.hellodigi.ir
Machine Translated by Google
www.hellodigi.ir
Machine Translated by Google
Chapitre 8
Connectivité à distance au routeur Cisco
Mots-clés Cisco Routeur Telnet SSH Nom d'utilisateur Liste d'accès Connexion à distance
Quand en auriez-vous besoinÿ: lorsque vous devez configurer votre routeur à distance via un
environnement non sécurisé.
Exigences particulièresÿ: version IOS supérieure à 12.1.3.T (avec un "k9" dans son ensemble de fonctionnalités).
L'utilisation de Telnet sur Internet n'est pas un choix judicieux. Cela est dû au fait que Telnet
transporte tout en clair sans aucun type de cryptage. L'alternative à cela est l'utilisation d'un hôte
shell sécurisé (SSH). SSH crypte le trafic entre le routeur et le terminal pour assurer la protection
du contenu. Passons maintenant à la configurationÿ:
1. Vous devez configurer un nom d'hôte et un nom de domaine car ils seront utilisés dans
générer les clés de sécurité utilisées dans le chiffrementÿ:
Routeur#config t
Router(config)#hostname router-name router-name(config)#ip
domain-name votre-domaine où
www.hellodigi.ir
Machine Translated by Google
Les réglages de ces deux paramètres, ou de l'un d'entre eux, ainsi que la 'crypto key generate
rsa' activent SSH.
4. Désactivez les sessions Telnet et configurez le routeur pour accepter uniquement SSH. Avant de
faire cela, il est conseillé d'essayer SSH et de s'assurer qu'il fonctionne correctement. router-
name(config)#line vty 0 4 (ou 0 15, selon le type de routeur) router-name(config-line)#transport
input ssh
8.2.1 Telnet
Généralement, Telnet n'est pas un protocole sécurisé. Toutes les commandes de configuration, y
compris les mots de passe, sont envoyées en clair. Il est fortement déconseillé d'utiliser Telnet pour
www.hellodigi.ir
Machine Translated by Google
8.2 Comment sécuriser les sessions d'accès à distance avec un mot de passe uniquement 209
connecter à un routeur via Internet. Certains administrateurs réseau utilisent encore Telnet pour
l'accès local au routeur. Si vous prévoyez d'utiliser Telnet, configurez le mot de passe Telnet. Si vous
n'avez pas l'intention d'utiliser Telnet dans un futur proche, ne le configurez pas.
Router(config)#line vty 0 4
Router(config)#transport input telnet Router(config-line)#password
telnet-password Router(config-line)#login Dans certains routeurs, vty 0 15 est
utilisé à la place de vty 0 4 , selon le nombre de sessions Telnet simultanées
que vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez simplement
Router(config)#line vty 0 au lieu de la première commande écrite ci-dessus.
8.2.2 SSH
SSH est beaucoup plus sécurisé que Telnet car il implique le cryptage de toutes les données
transmises entre les deux côtés. Une explication plus détaillée de la configuration SSH a été discutée
dans la Sect. 8.1.
Router(config)#line vty 0 4 Router(config-
line)#transport input ssh Router(config-line)#password ssh-password
Router(config-line)#login Dans certains routeurs, vty 0 15 est utilisé à la
place de vty 0 4, selon le nombre de sessions Telnet simultanées que
vous souhaitez autoriser. Si vous n'en avez besoin que d'un, écrivez simplement Router(config)#line
vty 0 au lieu de la première commande écrite ci-dessus.
Quand en auriez-vous besoinÿ: lorsque vous devez protéger vos sessions à distance avec un nom
d'utilisateur et un mot de passe au lieu d'un mot de passe uniquement.
Exigences particulières : Aucune.
8.3.1 Telnet
Si vous envisagez d'utiliser Telnet, configurez Telnet pour utiliser un nom d'utilisateur et un mot de passe au lieu
d'un nom d'utilisateur uniquement. Si vous n'avez pas l'intention d'utiliser Telnet dans un futur proche, ne le
configurez pas.
www.hellodigi.ir
Machine Translated by Google
8.3.2 SSH
N'oubliez pas qu'il ne s'agit pas de la configuration SSH complète. La configuration détaillée est décrite
dans la Sect. 8.1.
Router(config)#username ssh-username password ssh password Router(config)#line vty 0 4
Router(config-line)#transport input ssh Router(config-line)#login local où ssh-username est le nom
d'utilisateur à utiliser lors de la connexion via SSH. ssh-password est le mot de passe associé au
nom d'utilisateur.
8.3.3 Console
Bien que la connexion à la console ne puisse pas être classée comme une connexion à distance, nous
aimerions expliquer sa protection à l'aide d'un nom d'utilisateur et d'un mot de passe au lieu d'un mot de
passe uniquement, comme expliqué dans la section. 1.2.
www.hellodigi.ir
Machine Translated by Google
8.3 Comment sécuriser les sessions d'accès à distance avec un nom d'utilisateur et un mot de passe 211
Il est possible de répéter la commande 'username' pour autoriser plus d'un utilisateur à
connectez-vous via le port de la console.
Quand en auriez-vous besoinÿ: lorsque vous devez configurer Telnet sur un routeur Cisco pour faciliter
la configuration à distance.
Exigences particulières : Aucune.
Les étapes pour sécuriser une session Telnet avec une liste d'accès sont très simples.
Cependant, nous allons commencer par créer un mot de passe pour l'accès Telnet sur le routeur comme
première étape de sécuritéÿ:
1. Si vous prévoyez de n'utiliser qu'une seule session Telnet simultanément, activez-en une seule à l'aide
de la commande suivante en mode de configuration globale : Router(config)#line vty 0 Si vous devez
lancer plusieurs sessions Telnet en même temps , ce qui est hautement improbable, vous pouvez
écrire 'line vty 0 4' ou 'line vty 0 15' selon le type de routeur que vous utilisez.
www.hellodigi.ir
Machine Translated by Google
5. Si vous souhaitez établir une connexion Telnet avec le routeur à partir de plusieurs ordinateurs, répétez l'étape 4 pour
chaque adresse IP à partir de laquelle vous souhaitez autoriser Telnet. N'oubliez pas de garder le
même numéro de liste d'accès pour toutes les différentes adresses IP.
6. Appliquez la liste d'accès à la ligne Telnetÿ:
Routeur(config)#line vty 0
Routeur(config-line)#access-class acl-number in
où acl-number est le numéro de la liste d'accès que vous avez configuré
plus tôt à l'étape 4.
Cette commande applique la liste d'accès à la ligne Telnet sur le trafic entrant.
Scénario 8.1
S0/0 S0/0
FE0/0
Routeur1 Routeur2
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic via la sortie
l'interface S0/0.
4. Configurez une autre route par défaut sur le routeur 2 pour transférer tout le trafic via la sortie
l'interface S0/0.
Scénario 8.2
S0/0 S0/0
FE0/0
Routeur1 Routeur2
Ordinateur A
www.hellodigi.ir
Machine Translated by Google
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic via la sortie
l'interface S0/0.
4. Configurez une autre route par défaut sur le routeur 2 pour transférer tout le trafic via la sortie
l'interface S0/0.
7. Installez un client Telnet sur l'ordinateur A (comme PUTTY) et utilisez-le pour vous connecter à
Routeur 2.
www.hellodigi.ir
Machine Translated by Google
Scénario 8.3
S0/0 S0/0
FE0/0
Routeur1 Routeur2
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic via la sortie
l'interface S0/0.
4. Configurez une autre route par défaut sur le routeur 2 pour transférer tout le trafic via la sortie
l'interface S0/0.
Scénario 8.4
S0/0 S0/0
FE0/0
Routeur1 Routeur2
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
(a continué)
www.hellodigi.ir
Machine Translated by Google
(a continué)
3. Configurez une route par défaut sur le routeur 1 pour transférer tout le trafic via la sortie
l'interface S0/0.
4. Configurez une autre route par défaut sur le routeur 2 pour transférer tout le trafic via la sortie
l'interface S0/0.
7. Installez un client Telnet sur l'ordinateur A (comme PUTTY) et utilisez-le pour vous connecter à
Routeur 2.
8. Créez une ACL pour contrôler l'accès à Telnet sur le routeur 2. Autorisez l'accès à
172.16.0.10 uniquement et refusez toutes les autres adresses IP. Appliquer l'ACL au VTY
ligne.
9. Essayez d'établir une connexion Telnet à partir de l'ordinateur A. Votre essai devrait échouer.
www.hellodigi.ir
Machine Translated by Google
Chapitre 9
Trucs et astuces
Mots-clés Cisco Router Show command Récupération du mot de passe Break key sequence
ROMMON
Il y a peu de choses simples qui pourraient aider les administrateurs à utiliser leur temps de
travail avec les routeurs Cisco. J'ai rassemblé les 10 choses les plus importantes de mon point
de vue :
1. La meilleure séquence de configuration d'un routeur Cisco, telle que je la vois, est la suivanteÿ:
www.hellodigi.ir
Machine Translated by Google
Utilisez 'remark' pour écrire les listes d'accès afin d'identifier la liste d'accès en fonction de sa
fonction. Et si vous le jugez nécessaire, utilisez des bannières.
Exemples :
RouterA(config-if)#description Ce lien est connecté au LAN comptable RouterA(config)#access-list
101 remarque Cette liste arrête le Telnet vers le réseau Marketing RouterA(config)#banner motd
#Ce routeur est connecté à le marketing et la comptabilité LANS # 3. Utilisez les raccourcis clavier.
Il existe de nombreux raccourcis clavier utiles dans l'environnement de ligne de commande de configuration.
Quelques-unes des plus importantes sont les
suivantesÿ: Ctrl-Pÿ: Rappelle la commande précédente dans le tampon d'historique (la flèche vers
le haut " fait la même chose)
Ctrl-Nÿ: Rappelle la commande suivante dans le tampon d'historique (la flèche vers le bas # fait la
même chose)
Ctrl-E : Va jusqu'à la fin de la ligne Ctrl-A :
Va jusqu'au début de la ligne Tab Complétez la
commande après avoir écrit le nombre adéquat de lettres 4. Empêchez le routeur de
chercher sur le serveur DNS des commandes erronées.
Lorsque vous épelez mal une commande et que vous appuyez sur la touche Entrée, le routeur ne
reconnaît pas la commande et pense qu'il peut s'agir d'un nom d'hôte. Le routeur essaie alors de
contacter le serveur DNS pour résoudre le nom en une adresse IP afin qu'il le connecte par Telnet.
Cela ferait perdre du temps, surtout si vous n'avez pas configuré de serveur DNS valide (car le
routeur diffusera la requête et attendra qu'un serveur DNS réponde). Pour désactiver cette option,
utilisez la commande "transport prefer none" dans les lignes console et vty.
Exemple :
RouterA(config)#line con 0 RouterA(config-
line)#transport prefered none 5. Configurez la bande passante des interfaces
série.
Utilisez la commande 'bandwidth' pour définir la bande passante de toutes les interfaces série afin
de garantir le calcul correct de la table de routage. La bande passante d'une liaison série dépend
du type de connexion WAN que vous utilisez. Contrairement à Ethernet ou Fast Ethernet, les
interfaces série ne peuvent pas détecter automatiquement la bande passante du lien. Et la bande
passante du lien réel peut être différente du petit lien entre l'interface série et le modem ou le
périphérique CSU/DSU que vous utilisez. N'oubliez pas également d'écrire la bande passante après
la commande 'bandwidth' en kilobits par seconde.
Exemple :
RouterA(config)#int serial 0 RouterA(config-
if)#bandwidth 1024 Cela signifie que la bande passante de
la liaison est de 1 Mbit/s
www.hellodigi.ir
Machine Translated by Google
9.1 Les 10 meilleurs conseils pour la configuration des routeurs Cisco 221
6. Désactiver la synthèse automatique des mises à jour de routage lors de l'utilisation de sous-réseaux
adresses.
Si vous utilisez des sous-réseaux, n'oubliez pas d'utiliser la commande « no auto-summary » pour
désactiver la synthèse automatique lorsque vous utilisez des protocoles de routage qui la prennent en
charge, comme OSPF.
Exempleÿ:
RouterA(config)#no auto-summary
7. Désactivez l'horizon partagé dans deux cas.
Le premier est lorsque vous effectuez un routage inter-VLAN. En effet, les mises à jour d'un VLAN ne
peuvent pas être transmises à d'autres VLAN. Le deuxième cas est lorsque vous utilisez Frame Relay
pour connecter un site à plusieurs sites.
Exempleÿ:
RouterA(config-if)#no ip split-horizon
8. La commande 'show' est votre meilleure amie.
Chaque fois que vous avez des ennuis, ou même si vous n'êtes pas en difficulté, votre meilleur ami
apparaît : la commande 'show'. Les commandes 'show' les plus utilisées sont dans les listes suivantes :
un. show version — Affiche une grande quantité d'informations telles que la version IOS, la valeur du
registre de configuration et les interfaces disponibles.
b. show ip route — Affiche la table de routage. c. show ip
interface — Affiche les listes d'accès appliquées aux interfaces. ré. show access-list — Affiche le
contenu des listes d'accès. e. show ip protocols — Affiche des informations sur les protocoles de
routage en cours d'exécution. F. show cdp neighbor detail — Affiche des informations détaillées sur les
périphériques voisins.
g. show interface — Affiche les informations d'état sur les interfaces. h. show run —
Affiche la configuration en cours, c'est-à-dire toutes les commandes
en action.
Plus de détails sur ces commandes show sont expliqués dans la section suivante.
9. Gardez les adresses IP des serveurs et des imprimantes hors du pool DHCP.
Lorsque vous utilisez le routeur en tant que serveur DHCP, n'oubliez pas d'exclure les adresses des
serveurs, des interfaces de routeur et des imprimantes du pool DHCP.
Exemple :
RouterA(config)#ip dhcp exclude-address 192.168.0.1 RouterA(config)#ip dhcp exclude-address
192.168.0.1 192.168.0.10 Vous pouvez utiliser une seule adresse IP dans cette commande ou une
adresse IP de début et une adresse IP de fin définir une série d'exclusions.
www.hellodigi.ir
Machine Translated by Google
redémarrez-le pour vous. Vous pouvez résoudre ce problème par vous-même en utilisant la commande
"recharger dans n minutes".
Cette commande planifie un rechargement après n-minutes minutes. Donc, avant de commencer à
fouiller le routeur à distance, lancez cette commande et planifiez un rechargement. Si quelque chose ne
va pas et que vous perdez la connectivité avec le routeur, le routeur se rechargera et vous reprendrez
vos activités. Si les choses se passent bien et que vous n'avez finalement pas besoin de recharger,
vous pouvez émettre une commande "reload cancel" pour empêcher le redémarrage programmé de se
produire.
Certaines commandes de la configuration du routeur Cisco sont tout simplement irremplaçables. Les
commandes 'show' sont les plus utilisées dans les routeurs Cisco. Voici une liste des 10 commandes 'show'
les plus utilisées.
4. Afficher l'itinéraire IP
Cette commande affiche la table de routage. Ce tableau vous aide à trouver le saut suivant pour chaque
paquet routable. C'est le premier indicateur à pointer un problème de routage.
www.hellodigi.ir
Machine Translated by Google
9.2 Dix commandes Show que tout le monde doit connaître dans les routeurs Cisco 223
Cette commande affiche des informations sur le protocole IP et l'interface. Cette commande
montre quelles listes d'accès sont appliquées aux interfaces et dans quelle direction. Ce type
d'informations n'est pas affiché par la commande 'show access-list'. Cependant, vous pouvez
également savoir quelle liste d'accès est appliquée à quel endroit en utilisant 'show run'. 8.
afficher les détails du voisin cdp
Cette commande affiche des informations détaillées sur les périphériques voisins, telles que les
adresses IP, les plates-formes et les noms d'hôte. Cette commande peut être utile pour résoudre
les problèmes de connectivité et peut également être utilisée pour découvrir comment les
périphériques sont connectés les uns aux autres lorsque vous n'avez pas de carte réseau
clairement dessinée.
Cette commande suppose que le protocole CDP est en cours d'exécution. De nombreuses
procédures de sécurité recommandent de ne pas activer le protocole CDP. Il peut être utile de
l'allumer pendant une courte période pour recueillir les informations requises, puis de l'éteindre.
9. afficher la version
Cette commande affiche des informations détaillées sur l'IOS. Il affiche le nom de fichier de l'IOS
ainsi que la version de l'IOS et la valeur du registre de configuration. Le registre de configuration
est un ensemble de bits qui contrôle la séquence de démarrage du routeur. Cette commande est
la seule commande utilisée pour afficher la valeur de ce registre. 10. afficher le flash ou afficher
le slot0
Cette commande est utilisée pour afficher le contenu du flash, la taille du ou des fichiers IOS,
ainsi que la taille du flash et sa quantité libre. Il est nécessaire pour mettre à niveau ou installer
des fichiers IOS.
Quand en auriez-vous besoin : Lorsque vous récupérez un mot de passe perdu et que la combinaison
de touches « Ctrl-Break » requise ne fonctionne pas.
www.hellodigi.ir
Machine Translated by Google
Tout d'abord, vous devez vous assurer que vous appuyez sur la bonne séquence de touches.
Il y a peu de touches légèrement différentes sur lesquelles appuyer pour interrompre la séquence de démarrage du routeur dans
différents routeurs et différents logiciels d'émulation de terminal. Le tableau 9.1 montre une liste de
•ÿParitéÿ: aucune
• Bits de donnéesÿ: 8
• Bits d'arrêtÿ: 1
• Contrôle de fluxÿ: aucun
Jusque-là, les choses sont censées se dérouler sans heurts. Si vous avez tout réglé
à droite, et vous appuyez sur les touches correctes lors de l'initialisation du routeur (dans le
60 premières secondes de démarrage du routeur), vous serez transféré en mode ROM Monitor.
• Si ce qui précède ne fonctionne pas, vous pouvez envisager les remarques suivantesÿ:
• Si vous utilisez l'HyperTerminal de Windows NT, vous pouvez envisager
mise à niveau de l'HyperTerminal. Certaines versions de Windows NT ont Hyper
Logiciel de terminal qui ne peut pas envoyer le bon signal Break Key. Mon personnel
recommandation est un logiciel appelé 'PuTTY'.
• Si vous utilisez un convertisseur DB9 vers USB pour vous connecter au port console, vous
peut avoir besoin de se connecter directement à un port DB9. Tous les convertisseurs de ce type ne peuvent pas
transmettre la bonne séquence de pause.
• Si vous ne connaissez toujours pas la raison exacte pour laquelle cela ne fonctionne pas, vous devez
envisager de simuler la séquence Break Key.
Pour simuler la séquence Break Key, suivez attentivement les étapes suivantesÿ:
•ÿParitéÿ: aucune
www.hellodigi.ir
Machine Translated by Google
9.3 Comment simuler une séquence de touches d'interruption dans un routeur Cisco 225
• Bits de donnéesÿ:
8 • Bits d'arrêtÿ: 1
• Contrôle de fluxÿ: aucun
Vous ne verrez plus aucune sortie sur votre écran, et c'est normal.
2. Redémarrez (éteignez puis rallumez) le routeur et appuyez sur la barre d'espace pendant 10 à 15 s
afin de générer un signal similaire à la séquence de pause.
3. Déconnectez votre terminal et reconnectez-vous avec un débit de 9600 bauds. Vous entrez dans le
Mode moniteur ROM.
Si tout cela échoue, vous devriez envisager d'essayer un autre PC ou logiciel d'émulation.
Quand auriez-vous besoin de ceci : Lorsque vous oubliez le mot de passe secret, d'activation ou de
console d'un routeur Cisco de la série 2600.
L'invite (rommon 1>) concerne le mode moniteur ROM. Si vous rencontrez un problème pour
interrompre la séquence de démarrage du routeur, vous pourriez être intéressé par la procédure
précédente pour simuler la séquence Break Key dans la Sect. 9.3.
2. Vous devez maintenant modifier la valeur du registre de configuration afin que le routeur néglige le
contenu de la NVRAM lors du prochain démarrage. Ceci est réalisé en utilisant la commande
suivante : rommon 1>confreg 0x2142 Cette commande changera le sixième bit (à l'origine le
registre de configuration est 0x2102) en un. Ce faisant, le routeur ignorera la configuration de
démarrage au prochain démarrage malgré le fait que la configuration de démarrage ne soit pas
effacée.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoinÿ: lorsque vous perdez le mot de passe secret, d'activation ou de
console d'un routeur Cisco 2500.
1. Interrompez l'opération de démarrage du routeur. Cela se fait en appuyant simultanément sur les
touches (Ctrl-Pause) dès que vous allumez le routeur. Cette étape vous amènera au mode
moniteur ROM (ROMMON).
Vous verrez une sortie similaire (mais pas nécessairement identique) à la suivante : System
Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986–1996 by cisco Systems
Processeur 2500 avec 14336 Ko de mémoire principale Abort at 091098FEC (PC)
>
L'invite (>) correspond au mode moniteur ROM. Si vous rencontrez un problème pour
interrompre la séquence de démarrage du routeur, consultez la procédure pour simuler la
séquence Break Key dans la Sect. 9.3.
2. Modifiez la valeur du registre de configuration afin que le routeur néglige le contenu de la NVRAM
au prochain démarrage. Ceci est réalisé en utilisant la commande suivante : >o/r 0x2142 Cette
commande changera le sixième bit (à l'origine le registre de configuration est 0x2102) en un.
Ce faisant, le routeur agira comme nouveau au prochain démarrage, c'est-à-dire qu'il ne
recherchera pas la configuration de démarrage dans la NVRAM. La configuration de démarrage
ne sera pas effacée.
www.hellodigi.ir
Machine Translated by Google
9.5 Comment récupérer le mot de passe des routeurs Cisco 2500 227
5. Pour revenir à la normale, remplacez la valeur du registre de configuration par sa forme d'origine (0x2102)
à l'aide de la commande de configuration globale suivanteÿ: Router(config) #config-register 0x2102 6.
Vous devez maintenant enregistrer la configuration, y compris le nouveau mots de passe que vous
connaître:
Quand en auriez-vous besoinÿ: lorsque vous devez protéger la configuration de votre routeur contre les
regards indiscrets.
www.hellodigi.ir
Machine Translated by Google
Quand en auriez-vous besoin : Lorsque vous avez une perte de paquets inexplicable lorsque vous
essayez de vous connecter à un emplacement distant et que vous ne pouvez pas déterminer si
c'est le LAN ou le WAN qui a le problème.
1. Créez une liste d'accès pour sélectionner le type de trafic spécifique que vous souhaitez capturer
(par exemple, le trafic ICMP à des fins PING).
Routeur(config)#access-list acl-number permit icmp host host1-address host host2-address
Router(config)#access-list acl-number permit icmp host host2-address host host1-address où
acl-number est le nombre de la liste d'accès. Il s'agit d'une liste d'accès étendue, le nombre doit
donc être compris entre 100 et 199. host1-address l'adresse IP du premier hôte host2-address
l'adresse IP du deuxième hôte
Routeur#monitor capture point ip cef point-name all both Routeur#monitor capture point
associate point-name buf fer-name
où le nom du point est le nom du point de capture et le nom du tampon est le même que celui
créé à l'étape 2.
4. Démarrez la capture à l'aide de la commande suivante :
Router#monitor capture point start point-name
5. Ping de Host1 à Host2ÿ:
Routeur#ping host2-address repeat 4 timeout 1
6. Pour afficher le paquet capturé dans un tampon spécifique :
Router#show monitor capture buffer buffer-name dump
7. Pour afficher tous les tampons de captureÿ:
Router#show monitor capture buffer tous les paramètres
Et tous les points de capture :
Routeur#show monitor capture point all
www.hellodigi.ir
Machine Translated by Google
Scénario 9.1
FE0/0 FE0/0
Routeur3 Routeur2 Routeur1
Ordinateur B Ordinateur A
Connectez le réseau illustré dans la figure ci-dessus et configurez les éléments suivants
réglages:
www.hellodigi.ir
Machine Translated by Google
5. Configurer le routage dynamique EIGRP sur le routeur 1 avec les réseaux annoncés
10.0.0.0 et 172.16.0.0 dans le système autonome numéro 10.
6. Configurez le routage dynamique EIGRP sur le routeur 2 avec le réseau annoncé
10.0.0.0 dans le système autonome numéro 10.
7. Configurez le routage dynamique EIGRP sur le routeur 3 avec les réseaux annoncés
10.0.0.0 et 172.16.1.0 dans le système autonome numéro 10.
8. Pour les tests, effectuez un PING de l'ordinateur A vers C et D et affichez les tables de routage dans
les deux routeurs.
9. Un autre test consisterait à utiliser le routeur 2 pour capturer les paquets provenant de l'utilisation du
Fonctionnalité 'Capture de paquets intégrée'. Cette fonctionnalité vous permettra de
capturer les paquets et les enregistrer sous forme de petit fichier PCAP pouvant être extrait
depuis le routeur et lire à l'aide d'un logiciel comme WireShark.
Une fois que vous capturez les paquets et lisez leur contenu, vous pouvez facilement voir que le
le contenu n'est pas crypté.
10. Configurez un VPN de site à site entre les routeurs 1 et 3 à l'aide des paramètres suivantsÿ:
Clé VPN : CiscoKey@123
Nom de l'ensemble de transformationÿ: CiscoTranform
www.hellodigi.ir
Machine Translated by Google
Connexion console
FE0/0
Routeur1
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus. Le modèle du routeur est 2601.
L'administrateur réseau a oublié le mot de passe secret configuré sur le routeur. Vous
devez invoquer la procédure de récupération du mot de passe pour retrouver l'accès
aux modes de configuration du routeur.
Scénario 9.3
Connexion console
FE0/0
Routeur1
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus. Le modèle du routeur est 2505.
L'administrateur réseau a oublié le mot de passe secret configuré sur le routeur. Vous
devez invoquer la procédure de récupération du mot de passe pour retrouver l'accès
aux modes de configuration du routeur.
www.hellodigi.ir
Machine Translated by Google
Scénario 9.4
Connexion console
FE0/0
Routeur1
OrdinateurA
Connectez le réseau illustré dans la figure ci-dessus. Le modèle du routeur est 2505.
L'administrateur réseau pense qu'il n'oubliera jamais le mot de passe secret du routeur.
L'administrateur vous a demandé de désactiver la procédure de récupération du mot de passe
afin que personne ne puisse modifier les paramètres du routeur à moins d'avoir les privilèges appropriés.
www.hellodigi.ir
Machine Translated by Google
Conseils supplémentaires
www.hellodigi.ir
Machine Translated by Google
www.hellodigi.ir