Embed Size (px)
Citation preview
Enoncés de TP
Bloc Réseaux 2
TSE 2ème année Année 2015-2016
Pierre-Yves FRAISSE / Gérard JACQUET/Kamal SINGH
1
2
TP bloc Réseaux 2
Liste des TP
Les travaux pratiques du bloc Réseaux 2 sont organisés par séries dans lesquelles il peut y avoirrotation des TP (chaque binôme faisant un des TP de la série en suivant une progression). Chaquegroupe a donc un planning de réalisation des TP, ce planning est affiché en salle de TP. La dernièreséance de TP est une séance de contrôle où chaque étudiant doit réaliser un TP simplifié, seul et cecipendant une durée de 1H30.
Chaque TP est précédé du cours le concernant et d'un TD sur Packet Tracer lorsque cela est possible. Ilest donc fortement conseillé de préparer ce TP à l'aide du logiciel Packet Tracer et de venir en TP avecles notes de cours et de TD le concernant. Les sujets de TP ne contiennent que quelques indicationsnécessaires à la réalisation spécifique de celui-ci. Les schémas de ce fascicule sont susceptibles d'êtremodifiés pour le bon fonctionnement de la salle de TP. Vous devez vérifier en début de séance leschéma de câblage réel tel qu'il est affiché au tableau.
A chaque séance, chaque binôme doit rédiger, pour son usage propre, un compte-rendu de ce qu'il afait en TP. Ce compte-rendu n'est pas corrigé par les enseignants. Toute question relative à lacompréhension des TP devra donc être posée à l'enseignant durant les séances de TP. Les compte-rendus de TP seront utilisés par les étudiants pour faciliter leur révision avant l'examen. Il est doncimportant pour ceux-ci de rédiger ces compte-rendus en fonction de cette destination, et inscrivantdonc toutes les remarques et commentaires nécessaires à la bonne réalisation des TP et non pas uneinscription du type « ça marche... ». Aucun document papier ne sera autorisé à l'examen, l'aide surles différents équipements sera active (PC, routeurs, switches...), les étudiants devront donc êtrecapables de retrouver les informations manquantes et non pas suivre une démarche préétabliecorrespondant à celle du TP.
14 séances de 3H et un examen en fin de semestre.
1ère série : (Commutation)
TP01 : WIFITP02 : Spanning treeTP03 : VLAN
2ème série : (Routage)
TP04 : Configuration de routeursTP05 : Routage sur PCTP06 : Routage statique et dynamiqueTP07 : Commutation de niveau 3TP08 : VLSMTP09 : Routage OSPF
3ème série : (Infrastructure)TP10 : WANTP11 : Access ListTP12 : Protocoles de couches 3 et 4TP13 : Protocole et service DHCPTP14 : SNMP
Examen final : durée 1H30
3
Bloc Réseaux 2
N°1 : Etude d’un réseau sans fil
Normes 802.11/WIFI
Objectifs du TP:
●Mise en œuvre d’un réseau sans fil.●Comparatif des différents modes de connexion (ad hoc et infrastructure).●Sécurisation du réseau et mise en œuvre du cryptage
Matériels et logiciels mis à dispositionVous utiliserez :–2 PC sous Windows avec un adaptateur WIFI de type clé USB (marque Belkin) qu'il ne fautpas changer de port USB (position en haut à gauche des 4 connecteurs USB arrières).–Un troisième PC, le PC analyseur, aussi sous Windows, mais avec un adaptateur PCIspécifique permettant de faire des captures de trames Wifi. Il vous servira à visualiser lesdifférentes trames échangées. –un point d'accès WIFI D-Link qui sera relié à un 4ème PC via un switch commun à tous lesTP, ce dernier représentant le point d’entrée au réseau filaire.
Les drivers et logiciels de configuration sont déjà installés. A chaque changement de configuration il est nécessaire de désactiver puis réactiver lesinterfaces WIFI pour qu'il soit bien pris en compte.
Phase 1 : Configuration d'un réseau en mode InfrastructureOn veut réaliser la configuration ci-dessous :
Switch (rack central)
PC1
PC sur ethernet
PC2
Adresse IP carte WIFI : 172.16.X.N°PC
PC AnalyseurEn écoute seul
Point d'accès
Liaison ethernet
Adresse IP carte WIFI : 172.16.X.N°PC
Adresse IP : 172.16.X.1
Adresse IP : 172.16.X.10
Toute communication sera dirigée vers le point d’accès qui servira de relais.
Attention: pour la suite du TP, pour effectuer un changement de configuration du pointd'accès, il est vivement conseillé de déconnecter du point d’accès les PC avec les clés
USB.
4
Configuration du point d'accès :
Le point d'accès se configure via un serveur WEB embarqué accessible par la liaison RJ45 à l’adressepar défaut 192.168.0.50 (login admin ; pas de mot de passe). Vous utiliserez le PC de gauche de latable de droite pour configurer le point d’accès en les reliant avec un câble croisé. Avant de vousconnecter vous devez réinitialiser le point d'accès (bouton Reset accessible avec un trombonedéplié...). Vous aurez à utiliser l’onglet Home (bouton Wireless) pour la configuration générale, ainsique l’onglet Advanced (bouton Performance) pour la configuration physique et (bouton filter) pour lechoix des adresses MAC valides.
1. Configurer (bouton Wireless) votre point d'accès avec un SSID infraX (avec X votre numéro deposte).
2. Configurer le numéro de canal (Channel) à la valeur X+3.3. Vérifiez qu’aucune option de cryptage ou de filtrage ne soit activée (Open System ; Encryption
disabled).4. Valider les modifications (bouton Apply).
Configuration des PC et test de la liaison :
5. Vous utiliserez 2 clefs USB connectées au PC de gauche de la table de gauche et au PC de droitede la table de droite (les 2 plus éloignés).
6. Pour les 2 postes, ouvrir la fenêtre « connexions réseaux » (clic droit sur l'icone représentant unPC en bas à droite). Cliquer (clic droit puis propriétés) sur l’icône du périphérique WIFI dans lafenêtre « connexion réseaux ». Une fenêtre apparaît avec 3 onglets (Général ; Configurationréseau sans fil ; Avancée).
7. Aller sous l'onglet « Configuration réseau sans fil ». Cocher la case (si ce n'est fait) utiliserWindows pour configurer votre réseau. Ceci nous permettra d'avoir une interface identique quelque soit le matériel. Vérifier via le bouton « Avancé » (et non l'onglet !) que le modeinfrastructure est activé. Sinon activer le.
8. S'il existe des réseaux prédéfinis dans le cadre du bas vous devez les supprimer.9. Connecter vous à partir des 2 clefs sur votre nouveau réseau (afficher les réseaux sans fil puis
connecter). Affectez les adresses IP aux 2 PC, via l'onglet « Général » comme pour une autrecarte réseau.
10. Tester à l’aide de la commande ping entre vos 2 PC via le point d'accès.11. Transférer le fichier de 15 Mo entre les 2 machines. Mesurer le temps de transfert. Quel débit
moyen cela représente-t-il ?12. Tester, avec un ping, l’accès au réseau filaire entre une de vos machines et le PC sur Ethernet en
modifiant l’adresse IP de votre point d’accès (attention les configurations ultérieures devront sefaire avec cette nouvelle adresse IP).
13. Transférer le fichier de 15 Mo entre ces 2 nouvelles machines. Mesurer le temps de transfert.Comparer le temps avec celui mesuré à la question 11. Interpréter.
Phase 2 : Analyse des échanges
1. Sur le PC analyseur (celui qui a l'antenne extérieure, PC de droite de la table de gauche) lancerune capture de tous les canaux WIFI (icône scanall). Combien de réseaux sont-ils visibles ? Dequels types sont-ils ? Combien de trames avez-vous capturées chaque seconde ?
2. Fermez l’application et visualisez le fichier de dump (c:\tpreseau\dumpall.cap) en l'ouvrant avecl'application wireshark. Déterminer d’où proviennent les différentes trames capturées.
3. De la même manière, capturer et visualisez les différentes trames échangées lors d'un ping entrevos 2 machines avec une clef Wifi. Sont-elles toutes capturées ? Comment pouvez-vous vous enapercevoir ? Est-il facile de les repérer dans l’ensemble des trames.
5
4. Refaire la question précédente en utilisant le script scanY.bat (où Y est votre numéro de canal)qu'avez-vous alors obtenu dans le fichier dumpY.cap.
5. A l’aide du PC analyseur, visualiser un échange complet de trames entre les 2 PC avec clefs Wifilors d’un ping. Détailler le séquencement complet des trames. Déterminer les différents types detrames à l’aide du champ FC (type/subtype). Quels sont les trames de service (contrôle d'accès etgestion) et celles qui contiennent des données ? Combien de fois voit-on les trames de données ?
6. Refaire la même question pour un ping entre un PC WIFI et le PC sur le réseau ethernet.7. Refaites la capture d’un ping entre les 2 PC avec une carte Wifi. Détaillez les différentes trames
de données échangées (type/subtype = 10/0000). Analyser les champs nécessaires à l’échange(FC ; sequence number ; D/ID ; différentes adresses…).
Phase 3 : Etude détaillée des échanges et paramètrage
1. Supposons que vous êtes dans un environnement bruité. Modifier le seuil de fragmentation(onglet Advanced bouton Performance) pour le mettre au minimum (256 octets). Envoyer unping de taille 512 octets (option l 512) entre les 2 postes Wifi. Visualiser les différentes trameséchangées : quels sont les champs utilisés pour gérer la fragmentation ?
2. Mesurer à nouveau la durée de l'échange pour le fichier de 15 Mo. Comparer avec les tempsprécédents.
3. Remettez la fragmentation au maximum. Mettre en place le protocole RTS/CTS en réduisant leseuil au minimum. Visualiser les trames échangées.
4. Mesurer à nouveau la durée de l'échange pour le fichier de 15 Mo. Comparer.5. Mettre en place les 2 protocoles (fragmentation à 256 et RTS au minimum). A quel moment
intervient le protocole RTS/CTS ? Mesurer à nouveau la durée de l'échange.
Phase 4 : Configuration d'un réseau en mode Adhoc ou peer to peer
On veut réaliser la configuration ci-dessous :
PC1 PC2
Adresse IP carte WIFI : 192.168.X.N°PC
PC AnalyseurEn écoute seul
Adresse IP carte WIFI : 192.168.X.N°PC
1. Pour les 2 postes, cliquer (clic droit puis propriétés) sur l’icône du périphérique WIFI dans lafenêtre « connexion réseaux ». Une fenêtre apparaît avec 3 onglets (Général ; Configurationréseau sans fil ; Avancée).
2. Sur le PC de droite (celui qui offrira la connexion) aller dans la fenêtre de gestion de la carteréseau Wifi puis sous l'onglet « Configuration réseau sans fil ». : effacer le réseau précédent puiscliquez sur le bouton « Ajouter ». Une nouvelle fenêtre s'ouvre avec 3 onglets.
3. Dans l'onglet « Association » configurez :Le SSID : AdhocX (X étant le numéro de votre poste de TP côté fenêtre)Le mode 802.11 : Ad-Hoc (Peer to Peer) en cochant la case ad hoc.L'authentification : ouvert (Open)
6
Le cryptage : désactivé (car vous allez analyser les trames)Le numéro de canal Y (numéro de canal prévu Y = X+3),
4. Pour les 2 PC, sous l'onglet « Connexion » décochez la case connexion automatique (cela vouspermettra de mieux contrôler les changements de configuration).
5. Affectez les nouvelles adresses IP aux 2 PC, via l'onglet « Général ».6. Sur le PC de gauche (celui qui demandera la connexion), en vous aidant du menu « connexion
réseaux » affichez les réseaux sans fil proposés (clic droit souris sur l’icône sans fil puis afficherles réseaux sans fil). Voyez-vous votre réseau ?
7. Sur le PC de droite, cochez la case connexion automatique. Réafficher sur l'autre PC les réseauxdisponibles. Voyez-vous le votre ?
8. Avec le PC de gauche, connectez-vous au réseau proposé par l'autre PC. Tester à l'aide d'un ping.9. Visualiser les trames échangées en détaillant les trames de données (FC ; sequence number ;
D/ID ; différentes adresses…) et les trames d'acquittement (Acknowledge).10. Faire la même chose pour les autres trames de service.
Phase 5 : Sécurité en mode Infrastructure
1. Remettez vous en configuration Infrastructure.2. Mettre en œuvre le filtrage sur adresse MAC en autorisant un de vos 2 PC et en interdisant
l’autre (bouton Filters). Testez ces techniques à l’aide de la commande ping vers le réseauethernet.
3. Qu’est-ce que cela change sur les trames échangées ?4. Mettre en œuvre l’encryptage des données (home/Wireless : OpenSystem Encryption Enabled).
Utiliser une clef de 64 bits. Qu’est-ce qui a changé relativement à l’accès au réseau et auxdonnées qui circulent (voir avec le PC analyseur). Quels champs permettent de savoir qu’il y aencryptage. Testez à l’aide de la commande ping.
5. Mettre en œuvre la méthode d’authentification par clef partagée avec une clef de 64 bits. Mêmequestion qu’au 4).
6. Mettre en œuvre la méthode WPA-PSK avec un Cipher de type TKIP et une passphrase« admintest ». Quelles caractéristiques peut-on encore voir sur les trames ?
Phase 6 : Désinstallation (Phase obligatoire)
1. Supprimer tous les réseaux que vous avez créés (si ce n'est fait)2. Débrancher physiquement les câbles RJ 45 et rangez les sur les supports prévus à cet effet,
laisser les matériels WIFI en place.3. Arrêter les PC et éteindre les écrans.
7
TP Réseaux 2
N°2 : Apprentissage MAC et Spanning Tree (switches)
Objectifs du TP:• Etude des mécanismes d'apprentissages des switch• Etude du mécanisme de suppression de boucles: algorithme du Spanning Tree
Phase 1 : Configuration des PC1. Configurer le protocole TCP/IP sur les PC avec une adresse IP adéquate en tenant compte du
numéro du PC (sous-réseau 192.168.1.0) (PC1, PC2 et PC3 sous Windows).2. Relevez les adresses MAC des différents postes (ipconfig /all).
Phase 2 : Etude du mécanisme d’apprentissage des ponts (visualisation des adresses MAC)
Switch Cisco
PC1 PC3PC2
Switch2
PC1PC3PC2
Switch1
Figure 1 Figure 2
1. Faire le schéma de la figure 1. Avant de générer du trafic, regardez la table d’adresses MACapprise par le switch. (show mac-address-table). Cela correspond-il à votre attente ?
2. Générer un trafic minimum en effectuant un ping entre chaque machine.3. Consulter à nouveau la table d’adresses MAC, conclusion.4. Utiliser la commande clear mac-address-table pour redémarrer l’apprentissage de cette table. Via
des ping successifs, déterminez quels événements permettent la mise à jour de cette table jusqu’àl'apprentissage complet (show mac-address-table à chaque fois) ?
5. Remettre à zéro la table d’adresses. En utilisant le logiciel d’analyse de trames (wireshark) surPC1, visualiser comment est réparti le trafic avant la fin de l'apprentissage en faisant un ping dePC3 à PC2 ? Quelle est la trame qui a permis l’apprentissage de PC2, de même pour PC3 ?
6. Effacer la table ARP du PC3 (commande arp -d). Quelles trames permettent l'aprentissage ?7. Définir au niveau du PC3 une entrée ARP statique (arp –s inet_addr ether_addr) concernant le
PC2. Après avoir effacé la table MAC du switch refaire un ping entre PC3 et PC2, en utilisant lePC1 en analyse, quelle est la trame qui a permis l'apprentissage ?
8. Câbler les PC comme sur la figure 2 (Pour éviter les trames broadcast ARP, définissez enstatique les relations IP-MAC sur chaque PC : arp -s).
9. Effacer les tables MAC des switches. Quelles trames diffusent vers le Switch2 (vue sur PC3 avecwireshark) lors d'un ping entre PC1 et PC2 ?
10. Après apprentissage complet, comment est la table MAC des switches ?11. Débrancher le PC2 du switch1. Regarder la table d’adresses MAC des switches. Sont-elles
conformes ? A partir de quelle durée, la référence du PC2 disparaît-elle de la table du switch2 ?Où retrouve-t-on alors le trafic d'un ping de PC3 vers PC2 ?
12. Changer la durée de mémorisation de la mémoire cache du switch en la raccourcissant auminimum (commande mac-address aging …). Refaire les questions 9 à 11.
8
13. Au niveau du switch1, mettre en place une définition statique des adresses MAC (commandemac-address static…) pour PC1 et PC2. Inverser PC1 et PC2 et tester à partir d'un ping partantde PC3. Que se passe-t-il ?
14. Supprimer la définition des adresses MAC statiques sur le switch1 et la définition des ARP surles PC.
Phase 3 : Etude du mécanisme de suppression des boucles (algorithme du Spanning Tree)
1. Pour des raisons de redondance on décide de relier les switches comme sur la figure ci-dessus.2. Combien de temps dure l’état transitoire en fonction de l'évolution des leds des ports ? A ce
stade, l'algorithme du Spanning Tree (STP) a convergé.3. Regarder sur les switches, les ports racines, désignés et alternatifs avec la commande Show
spanning-tree. Noter l’ID du pont racine, le type, l'état et l'ID des ports, le coût…4. Construire à partir de ces informations la topologie active du réseau.5. L'algorithme du STP ayant convergé, analyser les trames échangées (sur PC2, faire un filtre de
visualisation avec le protocole STP). Détailler une trame BPDU (noter les différents champs) ettaper la commande show spanning-tree bridge. Noter la périodicité des trames. Etablir unecorrespondance entre la périodicité des trames et un champ précis de la BPDU.
6. Lancer une nouvelle analyse de trames sur PC1 et débrancher le lien entre les 2 switches opposéspendant au moins 20 secondes. Faire un show spanning-tree summary avant et après les 20secondes écoulées. Analyser les trames échangées pendant cette période. Expliquer lasignification des trames marquées TC.
7. Lancer une nouvelle analyse de trames et rebrancher le port. Faire un show spanning-treesummary avant et après les 20 secondes écoulées. Analyser les trames échangées pendant cettepériode.
8. Changer les paramètres de l'algorithme du Spanning Tree (hello time, max age et forward time)par la commande spanning-tree vlan 1 ?. Reprendre les opérations à partir de la question 5.Quelles sont les différences avec les anciens paramètres ?
9. Augmenter la valeur de priorité du switch racine. L'est-il toujours ensuite ?10. Arrêter l'algorithme du spanning tree sur les switches (no spanning-tree vlan), que se passe-t-il si
vous faites un ping ?
Phase 4 : Désinstallation (Phase obligatoire)
1. Reconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement » surtous les PC. Arrêter les PC et éteindre les écrans.
2. Arrêter les équipements.3. Ranger les câbles sur les supports muraux prévus à cet effet.
9
Switch
PC1 PC3
PC2
Switch
Switch
TP Réseau 2
N°3 : Constitution de LAN virtuels : VLAN
Objectifs du TP:
● Mise en œuvre logique de VLAN. Configuration et partitionnement de switches.● Création d’interconnexions entre switches, liaison de type « trunk ».
Phase 1 : Configuration et connexion des postes de travail
Réaliser le schéma ci-dessous, les 3 PC sont sous Windows
Switch
PC1 PC3PC2
VLAN2 VLAN3
1. Attribuez les adresses IP à chaque PC (192.168.n°poste.n°PC). (Remarque : comme il n'y a pasde routage intervlan dans ce TP, il est correct de mettre des adresses IP d'un même sous-réseau àdes postes sur des vlans différents).
2. Sur le switch, connectez PC1 sur le port 4, PC2 sur le port 7 et PC3 sur le port 8.3. Vérifier que le réseau local fonctionne correctement (ping).
Phase 2 : Configuration du switch et des VLAN
1. Donner un nom à votre switch : (hostname TP_n° poste).2. A quels VLANs appartiennent les ports du switch ? (show vlan et show vlan brief). S'il existe des
VLAN préalablement définis, effacer les avec la commande no VLAN x.3. Créer le VLAN 2. Le nom de ce VLAN sera user. (vlan 2 puis name user).4. Les ports seront en mode access, c'est à dire un seul VLAN par port (switchport mode access).5. Vous affecterez les ports 4 à 7 du switch au VLAN 2 (switchport access vlan 2). 6. Vérifier que les connexions au sein d’un même VLAN soient correctes.7. Supprimer le port 7 du VLAN 2 (commande no). A quel VLAN appartient-il maintenant ?8. Vérifier l’isolation des ports entre VLANs.9. Remettez le port 7 dans le VLAN 2, tester immédiatement avec un ping. Que se passe-t-il ?
10. Attendez que la LED du port change de couleur, tester à nouveau.11. Supprimer le VLAN 2 en gardant les ports configurés. Pouvez-vous communiquer ?12. Regarder avec la commande show int switchport, l’état des ports concernés.13. Remettre ce VLAN, quel est l’état des ports ?14. Créer un VLAN 3 ayant pour nom guests. Vous attribuerez les ports 8 à 10 à ce VLAN.15. Essayer de pinger un PC d’un VLAN vers un autre VLAN. Que constatez vous ?
Phase 3 : Liaison de 2 switchs ayant plusieurs VLAN
Afin de relier des postes physiquement distants (relier physiquement à des switches différents) maissur un même VLAN, il est nécessaire de relier les switchs entre eux. Il n’est normalement possiblede relier les différentes parties d’un VLAN qu’en utilisant des liens appartenant au même VLAN.
Câbler le schéma ci-dessous.
10
Switch1
PC1PC3
PC2
VLAN2 VLAN3
Switch2
VLAN2 VLAN3
Position variable
Vers Switch1Vers Switch2
1. Connecter les VLAN 2 des 2 switches en utilisant les ports 10 en mode « access ».2. Vérifier les connexions entre 2 machines connectées à un switch différent. Peut-on faire
communiquer les 2 machines sur le VLAN 3 ? 3. Relier maintenant aussi les 2 parties du VLAN 3 avec le port 11 en mode « access ».4. Vérifier à nouveau les connexions.5. Etudier les trames échangées sur les liens de raccordement entre switches en insérant un HUB
entre les deux switches. Est-ce un format habituel de trames ethernet ?
Afin de réduire le nombre de ports utilisés pour l’interconnexion des switchs ainsi que le nombre decâbles, on peut faire passer plusieurs VLANs sur des ports configurés de manière spécifique, onparle de ports « Trunk ».
Mise en œuvre manuelle du Trunk (mode inconditionnel)1. Enlevez les connexions du port 10 et 11, connecter via un câble croisé les ports 12 des 2 switchs.2. Configurer le port 12 de chaque switch comme étant un port trunk (switchport mode trunk).3. Vérifier les connexions entre 2 machines connectées chacune à un switch différent. A quel
VLAN appartient le port 12 ? Commentaires ?4. Etudier la constitution des trames ethernet en fonction du VLAN d’appartenance des machines à
l’aide d'un PC analyseur de trames connecté au HUB placé entre les 2 switches.5. Supprimer le VLAN 2 du trunk (switchport trunk allowed ...). Tester.6. Remettez le VLAN 2 dans le Trunk.
Mise en œuvre automatique de la liaison Trunk (mode dynamique)1. Mettre les ports 12 en mode dynamique (switchport mode…). Regarder sur le tableau en salle de
TP, quel mode dynamique il faut utiliser.2. Vérifier les connexions entre 2 machines connectées chacune à un switch différent. A quel
VLAN appartient le port 12 ? Commentaires ?3. Identifier dans quel mode de fonctionnement est le port 12. (show int switchport et show int
trunk). Visualiser les trames permettant de gérer le mode dynamique (trames DTP).4. Mettre un des deux port 12 en mode « access ». En quel mode est le port 12 de l’autre switch ?
Conclusion. Visualiser les trames DTP échangées.5. Faire la même manipulation en mettant un des deux ports en mode « trunk ».
Phase 4 : Récupération de la configuration du switch11. Affecter une adresse IP au VLAN2 de votre switch (192.168.n°poste.254). Votre switch peut-il
être atteint en tant que machine à cette adresse par tous les postes ?2. Sauvegarder sur PC1 la configuration courante du switch1 par tftp (Copy run tftp).
Phase 5 : VTP (Virtual Trunking Protocol)
1. Configurer le switch 1 en serveur VTP et le switch 2 en client.2. Visualiser les trames VTP échangées lors d'un ajout de VLAN sur le switch 1
Phase 6 : Désinstallation (Phase obligatoire)
1. Enlever les adresses IP des postes. Arrêter les PC et éteindre les écrans.2. Débrancher physiquement les switches et les différents câbles réseaux.
11
TP Réseau 2
N°4 : Configuration de routeurs (routage dynamique RIP)
Objectifs du TP:� Mise en œuvre physique d’une interconnexion de réseaux (réseau WAN).� Configuration de routeurs avec les commandes de l'IOS CISCO, � Mise en œuvre du routage dynamique RIP.
Vous disposez par binôme de 3 PC (2 sous Windows, le troisième sous Linux) et de 2 routeurs. Lerouteur central CISCO 4000 est déjà pré-configuré et en état de marche. (les adresses côté routeurcentral sont toujours x.x.x.1).
X étant le numéro de poste, les adresses se calculent de la manière suivante :192.168.1X2.0 donnera pour le poste 3 : 192.168.132.0
Phase 1 : Finalisation de la conception du réseau et configuration des PC.1. Connecter les 3 PC aux routeurs avec les câbles corrects. Quel type de câble faut-il utiliser ?2. Les connexions physiques (câbles série bleus) entre les routeurs sont déjà réalisées.3. Redessiner le schéma réseau en précisant les noms des ports (ex. : serial 0/1, fast-ethernet 0/0) et
leur adresse IP. Pour cela repérer les connexions entre routeurs : soit un port série (câbles bleus)connexion X21 DTE ou DCE soit un port fast-ethernet (100BaseT) et les liens Routeur-PC.
4. Affecter aux PC leur adresse IP et leur passerelle (en tenant compte du numéro du PC, attentiond'utiliser la bonne carte réseau pour les PC ayant plusieurs cartes réseau).Pour un PC sous Linux : # ifconfig eth'x' @IP netmask masque
# route add default gw IP_passerelle
5. Faire un ping sur l’adresse IP de l’interface routeur directement connecté. Que se passe t-il ?Pourquoi ?
Phase 2 : Configuration des 2 routeurs
Vous pouvez à tout moment vérifier la configuration de vos 2 routeurs en tapant la commandesuivante: Router??#show running-config
De même, vous pouvez à tout moment vérifier l’état et la configuration de vos interfaces de routeursen tapant la commande suivante: Router??#show interface ...
1. Donner un nom à votre routeur (hostname R1 ou R2)2. Configurer l'adresse IP d'une interface ethernet : interface FastEthernet 0/?
ip address 192.?.?.? 255.?.?.?no shutdown
12
Routeur central
R2
192.168.1X1.0
192.168.1X2.0 192.168.1X3.0
192.168.1X0.0 R1
Vers les autres binômes
200.167.X.0
PC1
PC2
PC3
3. Faire un ping, à partir du PC adéquat, sur l’adresse IP de l’interface routeur Fast Ethernetconfiguré. Que se passe t-il ? Pourquoi ?
4. Configurer une interface série (DCE) : Router??(config)#interface serial?/? Router??(config-if)#ip address 192.?.?.?? 255.?.?.? Router??(config-if)#clock rate 56000 Router??(config-if)#no shutdown
5. Faire un ping, à partir d’une console de routeur, sur l’adresse IP de l’interface série de l’autrerouteur.
6. Faire un ping, à partir d’un PC, sur l’adresse IP de l’autre PC. Que se passe t-il ? Pourquoi ?7. Configurer le routage RIP :
Router??(config)#ip routing Router??(config)#router rip Router??(config-router)#network 192.?.?.? Router??(config-router)#network 192.?.?.?
8. Faire un ping, à partir de PC1 vers PC2. Que se passe t-il maintenant ? Pourquoi ?9. Supprimer la passerelle du PC qui a généré le ping.
10. Refaire un ping, à partir de PC1 vers PC2. Quelle est l’utilité de la passerelle ? La remettre.11. Utiliser la commande tracert pour visualiser les chemins.12. Si un autre binôme en est au même niveau que vous, vérifier les connexions sur les PC
d’extrémités du réseau.
Phase 4 : Analyse de trames
1. Capturer pendant au moins 30 secondes sur chaque PC les trames échangées par chaque routeur.2. Analyser les trames RIP (Route Internet Protocol). A quoi correspondent les informations que
vous trouverez dans les trames RIP ?3. Comparer le contenu des tables transmises par les routeurs et le contenu interne de la table (show
ip route). Quelles informations sont ôtées ?4. Lancer une nouvelle capture sur PC1 et débrancher logiquement (commande shutdown) le port
Fast Ethernet du routeur R2 vers le sous-réseau PC2. Puis arrêter la capture au bout de 10secondes (après avoir débranché le port). Analyser l'évolution des trames RIP et les tables deroutage internes des routeurs. Que remarquez vous ?
5. Lancer de nouveau une nouvelle capture pendant au moins 30 secondes et analyser les tramesRIP et les tables de routage. Que remarquez vous ?
6. Relancer une analyse puis rebrancher le port Fast-Ethernet de R2. Arrêter puis analyser lestrames RIP et les tables de routage.
Phase 5 : Optimisation du fonctionnement1. Afin que les PC ne reçoivent pas des trames RIP qu'ils ne peuvent utiliser, supprimer l'envoi des
mise à jour sur les interfaces adéquates (passive-interface...).2. Comment pourrait-on faire pour que le routeur R1 ne connaisse pas les réseaux d'interconnexions
entre les autres routeurs mais seulement les réseaux d'extrémités.
Phase 6 : Désinstallation (Phase obligatoire)
1. Reconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement » surles PC sous windows.
2. Débrancher physiquement les câbles allant des PC aux routeurs. Ne débrancher pas les
câbles séries reliant les routeurs entre eux.3. Ranger les câbles.4. Arrêter les routeurs.5. Arrêter correctement les PC et éteindre les écrans.
13
TP Réseaux 2
N°5 : Routage sur PC
Objectifs du TP:
�Configuration du routage statique sur PC avec Windows et Linux (Debian).�PC1 (PC client 1) sous Windows ; PC2 (PC routeur) et PC3 (PC client 2) sous Linux
PC Client 1
PC Routeur
PC Client2
RouteurPC distant
192.168.1X0.N°PC
192.168.1X1.N°PC
172.16.1X0.N°PC /24
172.16.1X0.1
161.5.1.1
161.5.51.8
Phase 1 : Finalisation de la conception du réseau
1. Quelle est la caractéristique principale d’un PC pouvant effectuer la fonction de routage ? (enterme de nombre de cartes réseau). Choisissez un PC routeur adéquat pour ce TP.
2. Attribuer sur la carte des réseaux les adresses IP en tenant compte du N° de poste X (1X1devient par exemple 151 pour le poste 5) et du N° de machine.
Phase 2 : Configuration de la couche réseau des 2 PC client et du PC Routeur
1. Affecter aux PC clients son adresse IP, ne pas lui affecter de passerelle (Gateway).Pour un PC sous Linux : # ifconfig eth'x' @IP netmask masque
2. Repérer les ports Ethernet du PC routeur (eth0, eth1 et eth2). Noter sur la carte réseaux lespositions des ports ethx. Affecter les adresses IP à chaque port. Ne pas affecter de passerelle.
3. A partir du PC client 1, tester les connectivités au niveau réseau par des ping de plus en pluslointains (réseau directement connecté au PC, puis les différentes cartes réseau du PC routeur,puis les ports du Routeur, puis réseau éloigné « PC distant »…). Conclusion. Quels sont lesmessages renvoyés par le ping ?
Phase 3 : Configuration des passerelles (PC client1 et PC client2)
1. Affecter les passerelles des PC client. Celles-ci ont pour fonction de donner une destinationdirectement accessible vers laquelle rediriger les paquets qui ne sont pas pour le sous-réseaulocal. Quelles adresses de passerelle faut-il choisir et pourquoi ?
Pour un PC sous Linux : # route add default gw IP_passerelle
2. Tester à nouveau les connectivités par des ping de plus en plus lointains. Interpréter les différentsmessages renvoyés par le ping lorsque le fonctionnement n'est pas correct. Conclusion.
Phase 4 : Configuration du PC routeur sous Linux
1. Visualiser les routes générées automatiquement suite à l’affectation des adresses IP (commanderoute).
14
2. Activez le service de routage sous Linux : décommenter la ligne net.ipv4.ip_forward=1 dans lefichier /etc/sysctl.conf. Puis relancer la lecture de ce fichier par le service réseau : sysctl -p (lefichier /proc/sys/net/ipv4/ip_forward doit contenir un 1 si le service est activé).
3. Tester de nouveau les ping successifs précédents. Que se passe t-il ?4. Ajouter la ou les route(s) statiques nécessaire(s) par la commande route (utiliser man route)5. Valider les modifications en réalisant les pings adéquats.6. Utiliser la commande traceroute pour visualiser les routes empruntées.
Phase 5 : Utilisation d'un module de routage dynamique sous LinuxJusqu'à présent nous avons configuré le PC routeur pour mettre en place des routes statiques. Sil'on veut utiliser le PC comme un vrai routeur, il faut lui ajouter des fonctionnalitéssupplémentaires via un service nommé quagga. Ce service existe aussi sur les machinesWindows mais uniquement sur les versions serveurs (Windows2008 server ...).
1. Lancer le service quagga par la commande /etc/init.d/quagga start.2. Configurer les adresses IP des cartes réseaux du PC par la méthode précédente.3. Lancer une console de commande de quagga par la commande vtysh.4. Configurer le routage RIP sur toutes les interfaces (les commandes sont semblables à l'IOS
Cisco).5. Vérifier le bon fonctionnement en réalisant les pings adéquats.6. Visualiser les paquets RIP échangés.
Phase 6 : Configuration du routage sous Windows côté PC routeur1. Redémarrer le PC routeur sous Windows. Configurer les adresses IP des cartes réseau du PC
routeur, ne pas mettre de passerelle.2. Lancer la commande route print . Déterminer les routes pré-existantes (générées par Windows)
affichées par cette commande. Expliquer à quoi elles servent.3. Pouvez vous faire un ping vers le Routeur à partir du PC Client 1 ?4. Démarrer en mode manuel le service de routage sous Windows :
Panneau de configuration ���� Outils d’administration ���� Services ���� Routage et accès distant
5. Pouvez vous faire un ping vers le Routeur à partir du PC Client? Pourquoi ?6. A partir du PC Client 1, pouvez vous faire un ping sur le PC distant ? Quel message est
renvoyé ?7. Pouvez-vous faire un ping sur le PC distant à partir du PC routeur ? Expliquer le résultat. 8. Ajouter la route vers le PC distant (route add). Vous pouvez utiliser : >route /? pour connaître
les options de la commande. Que donne le ping ?9. Supprimer la route vers le PC distant (route delete) mais configurer la passerelle pour la carte
réseau reliée au routeur. Quelle est la différence entre passerelle et route pour un PC mettant enœuvre le routage ? Remettre dans la configuration antérieure.
10. Visualiser les routes qui mènent au PC distant à partir du PC client 1 par la commande tracert
Comment s'affichent-elles ?
Phase 7 : Désinstallation1. Arrêter le service de routage2. Supprimer votre configuration personnelle du protocole TCP/IP en cliquant « Obtenir une
adresse IP automatiquement » sur les cartes du PC routeur.
15
TP Réseau 2
N°6 : Routage statique et dynamique
Objectifs du TP:
• Mettre en œuvre un WAN pour interconnecter des machines distantes• Etudier et utiliser les routages statique puis dynamique (RIP)
Vous disposez de 3 PC client (PC2 et PC3 sous Windows, PC1 sous Linux). Vous allez configurer ces3 PC ainsi que 3 routeurs : R1, R2 et le routeur distant (RD) en telnet. Phase 1 : Analyse de la carte réseau et configuration des machines
Soit le réseau suivant :
Les liens ethernet entre le routeur distant d'une part et le routeur R1 et le PC1 d'autre part passent pasun switch (car on utilise des VLAN pour multiplier le nombre de ports du routeur), il faut donc en tenircompte dans le type de câblage. Vous devez aller voir le câblage réel sur le tableau.
16
Routeur central
R2
192.168.1X1.0
192.168.1X2.0
192.168.1X3.0
192.168.1X0.0
R1
200.1.1.2
PC1
PC2
PC3
Routeur distant
Réseau de secours (bas-débit)
192.168.1X6.0
200.167.99.0
192.168.1X4.0
PC distantx.x.x.1
x.x.x.1
x.x.x.2
1. Connecter les PC aux routeurs. Quels types de câble faut-il utiliser ?2. Indiquer sur le schéma des réseaux toutes les adresse IP (machines + interfaces routeurs)
ainsi que le nom des interfaces (serial, FastEthernet). Pour cela, le X sur la carte représentevotre numéro de poste (exemple poste 4 : 1X3 = 143).Ce schéma sera utilisée tout au long du TP pour servir de référence pour la configurationdes routeurs.
3.Affecter aux PC leurs adresses IP (en tenant compte du numéro du PC et en tenant comptedes indications sur le schéma des réseaux) et les passerelles.
Phase 2 : Configuration des routeurs (R1, R2 et RD) pour un routage statique
Le routeur central, est déjà configuré et en état de marcheLe routeur distant a son interface vers le routeur R1 configurée (vous y accéderez donc partelnet via le PC2.Contrairement au TP précédent où vous avez activé le routage dynamique RIP (router rip),vous allez configurer dans cette phase des routes statiques pour votre partie de réseau.
1.Configurer les interfaces des routeurs comme au TP sur le routage dynamique. La vitessepour les liens série sera de 2000000 bits/sec sauf pour le lien de secours (56000 bits/sec).
2.Activer le routage des paquets IP (protocole routé) : Router# ip routing
3.Configurer les routes statiques sur chaque routeur en tapant les commandes suivantes :ip route @réseau dest masque @passerelle <metric>
Sur chaque routeur, vous configurerez statiquement une par une toutes les routes vers chaquepartie de votre carte réseau (vous n’utiliserez pas pour l’instant la route de secours). Combiende routes avez-vous dû configurer sur chaque routeur ?
4.Vérifier les informations de routage statique par la commande :router # show ip route
5.Vérifier que votre connexion par routage statique est correcte par un ping à partir des PCclient sur le PC distant relié au routeur central.
6.Tracer les routes concernées par les ping précédents (commande traceroute ou tracert).
7.Pour simplifier la procédure de configuration, vous allez définir une route par défaut sur lerouteur R2 (pour remplacer toutes les routes statiques configurées dans R2) :
•Supprimer toutes les routes statiques que vous aviez préalablement définies pour cerouteur (Router(config)# no ip route …)
•Rajouter la route par défaut : Router(config)#ip route 0.0.0.0 0.0.0.0 @passerelle à définir
•Vérifier les informations de routage statique : Router # show ip route
8.Vérifier de nouveau que votre connexion par routage statique est correcte par un ping à partirdu PC3 sur le PC distant relié au routeur central.
9.Modifier, pour le routeur R1, la route vers le PC distant en la faisant passer par le routeur R2.Faire un ping du PC2 vers le PC distant, Que se passe-t-il ?
10.Remettre le routeur R2 comme avant.
17
Phase 3 : Mise en œuvre d’une route de secours via le lien bas débit par routage statique
Pour des raisons de fiabilité, nous allons maintenant rajouter une route de secours via le lien desecours bas débit.
1. Rendre inactive de façon logique l'interface 192.168.1X3.1. Faire un ping du PC3 vers le PCdistant. Que-se passe-t-il ? Regarder le cheminement avec un traceroute.
2. Modifier chaque routeur afin d'utiliser les routes permettant de passer par le lien bas-débit. Laroute de secours joue-t-elle son rôle ?
3. Modifier la configuration du routeur central par telnet pour que l’ensemble fonctionne. A partirde quelle machine peut-on faire un telnet et pourquoi ?
4. Faire un ping et un traceroute comme aux questions précédentes (des PC client au PC distant).Qu’est-ce qui a changé ? Commentaires.
5. Combien de modifications avez-vous du réaliser et sur combien de routeurs pour utiliser la routede secours ? Combien de modifications devront être mises en place lors de la remise en servicede l'interface 192.168.1X3.1 ? Conclusion sur l’aptitude des routes statiques à suivre unchangement de topologie.
6. Afin de rendre le processus plus automatique, définir des routes statiques multiples sur le routeurR2 en définissant une métrique suffisamment grande pour le lien bas-débit, pour qu'il ne soit pasutilisé si l'autre fonctionne. La route de secours joue-t-elle son rôle ? Vérifier par un traceroute àpartir du PC3.
7. De même, définir des routes statiques multiples sur le routeur R1 pour les réseaux distants endéfinissant une métrique suffisamment grande pour que la direction vers le lien bas-débit ne soitpas utilisé si l'autre fonctionne. La route de secours joue-t-elle son rôle ? Vérifier par untraceroute. Conclusion.
8. Sauvegarder la configuration du routeur3 dans un fichier du disque du PC Client par tftp. Copy run tftp…
9. Supprimer toutes les routes statiques des routeurs: no ip route …
Phase 3 : Routage dynamique RIP
1.Démarrer le routage RIP sur chaque routeur et configurer toutes les routes concernées commedans le TP sur le routage RIP.
IOS cmd : router (config)# ip routing
router (config)# router rip
router (config-router)# network ???.?.??.0
…2.Vérifier le bon fonctionnement du routage dynamique : show ip route
3.Réaliser un ping de PC3 vers le PC distant.4.Tracer la route concernée par le ping précédent.5.Que se passe-t-il si 2 routes sont potentiellement possibles pour les paquets ?6.Peut-on en modifiant la métrique empêcher que le routeur R2 utilise la route de secours ?
Pourquoi.7.Analyser les trames circulant sur le réseau et qui sont nécessaires au routage.8.Déterminer sur le schéma des réseaux, les voies de circulations des paquets IP de données et
des paquets RIP de chaque routeur.9.Rendre inactive de façon logique l'interface 192.168.1X3.1, est-ce que le routage de secours
par le lien bas débit fonctionne ?10.Afin de n'utiliser la route de secours qu'en cas de besoin, ajouter en statique sur le routeur
R2, la route de secours, mais avec une distance administrative plus grande que celle de RIP(120). Est-ce possible ? Cela fonctionne-t-il pour tous les sous-réseaux ?
18
11.Pourquoi faut-il supprimer le réseau supportant la route de secours du protocole RIP ?12.Sauvegarder la configuration du routeur R2 dans un fichier texte différent par un tftp.13.Récupérer la configuration stockée pour remettre votre routeur R2 en état de fonctionnement
statique. Comment s'insère-t-il dans le routage dynamique du reste du réseau ? 14.Comment peut-on faire interagir les 2 protocoles de routage ? Redistribuer les tables de
routage respectives à l'autre protocole (router xxx puis redistribute). Vérifier le bonfonctionnement.
15.Désinstallation : arrêter le routage RIP .IOS cmd : router (config)# no router RIP
Phase 6 : Désinstallation (Phase obligatoire)
1.Reconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement »sur les 2 PC.
2.Débrancher physiquement les câbles allant des PC aux routeurs. Ne débrancher pas les
câbles séries reliant les routeurs entre eux.3.Ranger les câbles port console sur les supports muraux prévus à cet effet.4.Arrêter les routeurs.5.Arrêter les PC et éteindre les écrans.
19
TP module Réseaux 2
N°7 : Commutation de niveau 3
Objectifs du TP:
1.Etude de la commutation de niveau 3 sur des switches2.Mise en oeuvre et test sur différentes configurations
Le schéma suivant représente une structure hiérarchique d'un réseau basée sur des commutateurs. Le switch 3750 sert de switch fédérateur, les autres switches permettent d'inter-connecter des postes de travail en fonction de leur position physique.
Phase 1 : Mise en oeuvre sans commutation de niveau 3 et sans VLAN
1. Câbler le schéma précédent avec les 3 switches : les liens entre switches seront des liens gigabit.Pour l'instant les PC1 et PC2 seront reliés aux ports F0/1 et F0/3 du switch, et PC3 au port F0/1de l'autre switch.
2. Configurer le protocole TCP/IP sur les PC avec une adresse IP adéquate en tenant compte dunuméro du PC (192.168.1X2.N°PC avec X numéro de poste) (PC1, PC3 sous windows, PC2sous Linux).
3. Tester le bon fonctionnement par un ping entre les différents PC.
Phase 2 : Mise en oeuvre avec commutation de niveau 3 et 1 switch par sous-réseau
1. Modifier l'adresse IP du PC3 afin qu'il soit dans le sous-réseau 192.168.1X3.0 (ne pas définir depasserelles). Faire un ping de PC1 vers PC3. Que se passe-t-il ?
2. Afin de permettre l'envoi des trames entre sous-réseaux définir des passerelles à chaque machine(par convention l'adresse IP de la passerelle sera l'adresse x.x.x.1 quel que soit le sous-réseau).Tester le fonctionnement en regardant sous Wireshark (PC1) les trames échangées.
3. Pour donner une existence physique aux passerelles, essayez de configurer les 2 ports du switch3750 avec des adresses IP correspondant aux adresses de passerelles. Que se passe-t-il ?
4. Basculer les 2 interfaces du switch 3750 en mode commutation de niveau 3 par la commande :"no switchport". Essayez alors de donner les adresses IP précédentes aux ports.
20
Switch fédérateur Cisco 3750
Switch1 (cisco 2960)
Switch2 (Cisco 2960)
PC1 PC2 PC3
g1/0/X g1/0/1X
Vers l'extérieurVia 200.167.1X0.1
g1/0/24
5. Tester le fonctionnement. Cela suffit-il pour faire fonctionner le réseau ? Visualiser avecWireshark les trames échangées.
6. Activer si ce n'est déjà fait, le routage pour le protocole IP ( ip routing)7. Est-il nécessaire d'activer un protocole de routage (RIP, statique...) ? Pourquoi ?8. Si on veut communiquer avec d'autres sous-réseaux externes que faut-il faire ? Faite-le.
Phase 3 : Mise en oeuvre avec plusieurs sous-réseaux par switch de niveau 2
1. Modifier l'adresse réseau du PC3 afin qu'il soit dans le sous-réseau 192.168.1X2.0 puis mettre lePC2 dans le sous-réseau 192.168.1X3.0 (modifier les passerelles de manière logique). Tester lefonctionnement entre les différents PC. Regarder avec Wireshark le trajet des trames.
2. Quel est le problème pour communiquer de PC1 à PC2 ?3. Peut-on envisager un fonctionnement correct sans VLAN ?4. Associer à chaque port des switches 2960 des VLAN adaptés : VLAN X pour les adresses en
192.168.1X2.0 et VLAN 1X pour les adresses en 192.168.1X3.0. Tester le fonctionnement.Regarder avec Wireshark le trajet des trames.
5. De quel type doivent-être les ports de connexion du commutateur de niveau 3 avec lecommutateur de niveau 2 pour que plusieurs sous-réseaux puissent-être gérer ?
6. Essayez de configurer ces interfaces en mode trunk. Que se passe-t-il ?7. Remettre les ports du commutateur central en mode commutation de niveau 2 (switchport).
Quels sont les échanges qui fonctionnent ? Si rien ne marche (!) modifier les propriétés decertains ports (trunk) pour que les postes dans le même VLAN communiquent.
8. Que se passe-t-il lorsque l'on essaye de communiquer entre 2 sous-réseaux (c.a.d 2 VLAN). 9. A quelles entités peut-on donner des adresses IP en mode commutation de niveau 2 ? Faites le ?
10. Tester le fonctionnement. Cela suffit-il pour faire fonctionner le réseau. Visualiser avecWireshark les trames échangées.
Phase 4 : Mise en œuvre d'une redondance (protocole HSRP)
Afin d'augmenter la fiabilité concernant les communications vers l'extérieur, on va créer un lienredondant entre le switch1 et le 2ème commutateur de niveau 3 (celui de l'autre groupe de TP).Pour ne pas modifier la configuration des PC (leur adresse de passerelle), on va utiliser le protocoleHSRP (Hot Standby Routing Protocol). L'adresse IP de passerelle sera une adresse virtuelle quisera prise en charge par une des interfaces des 2 switches fédérateur.1. Attribuer une adresse IP à chaque VLAN (X et 1X) sur chaque switch (192.168.1Xx.2 et192.168.1Xx.3). L'adresse 192.168.1Xx.1 sera l'adresse de passerelle virtuelle.2. Attribuer une adresse virtuelle 192.168.1Xx.1 au port concernés (ici les VLAN) :
standby 100 ip 192.168.1Xx.13. Définir la priorité (à 100) pour le switch prioritaire : standby 100 preempt4. Définir la priorité (à 110) pour le switch de secours :
standby 100 priority 110standby 100 preempt
5. Tester la liaison en fonctionnement, visualisez les trames échangées.6. Déconnecter logiquement l'interface du switch principal, tester puis visualiser les trameséchangées.
Phase 5 : Désinstallation (Phase obligatoire)
1. Reconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement » surtous les PC.
2. Arrêter les équipements.3. Arrêter les PC et éteindre les écrans.
4. Ranger les câbles sur les supports muraux prévus à cet effet.
21
TP Module Réseaux 2
N°8 : Routage sur routeur utilisant la technique VLSM
Pré requis du TP:Savoir configurer un routeur !
Objectifs du TP:
• Etudier le découpage variable d'un réseau par la technique VLSM• Mettre en œuvre cette technique sur les routeurs
Phase 1 : Etude du découpage variable d'un réseau par la technique VLSM
L’adresse réseau attribuée est une adresse de classe C 192.168.1X0.0/24. La carte réseau est enannexe (X est le numéro de poste).
1.Déterminer le découpage en sous-réseaux de taille variable (VLSM). Vous privilégierez undécoupage permettant de garder le maximum de sous-réseaux disponibles pour une extensionfuture. Vous donnerez pour chaque sous-réseau, la plage d’adresses IP de toutes les machinesainsi que l’adresse de broadcast.
Penser à attribuer d’abord les besoins les plus importants à l’aide des plages d’adresses laisséeslibres par les contraintes imposées par les adresses des interfaces du routeur 0 (les niveaux debesoin doivent être classés du plus grand au plus petit). Il est important de garder à l’esprit queseuls les sous-réseaux complètement inutilisés à un niveau donné peuvent être subdivisés. Si unedes adresses d’un sous-réseau est utilisée, ce sous-réseau ne peut plus être subdivisé.
Phase 2 : Mise en œuvre sur les routeurs en utilisant RIP V2
1.Configurer les adresses et la passerelle des 3 PC en fonction des calculs précédents .2.Configurer les interfaces des 2 routeurs (Routeur 1 et 2) pour réaliser le schéma en annexe.3.Configurer le routage pour fonctionner en RIP v2 avec les réseaux adéquats.
Router??(config)#ip routing
Router??(config)#router ripRouter??(config)#version 2Router??(config-router)#network 192....
4.Tester vos configurations. Assurez vous de pouvoir faire des ping entre les 3 machines
Phase 3 : Analyse de trames
1.Capturer pendant 30 sec. minimum sur chaque PC les trames échangées par les routeurs.2.A quoi correspondent les informations que vous trouverez dans les trames RIPv2 ? Quelle est
l'information supplémentaire que l'on trouve dans la trame RIPv2 par rapport à RIPv1 ?3.Lancer une nouvelle capture et débrancher logiquement un port (Fast Ethernet) d'un routeur.
Puis arrêter la capture au bout de 10 secondes (après avoir débranché le port).4.Analyser de nouveau les trames RIP. Que remarquez vous ?5.Lancer une nouvelle capture pendant au moins 30 secondes et analyser les trames. Que
remarquez vous ?
Phase 4 : Mise en œuvre des VLSM avec des contraintes différentes
1.Refaire les calculs de la phase 1, mais avec la contrainte d’avoir une extensibilité maximumdes réseaux de machines existants sans prévoir de nouveaux sous-réseaux supplémentaires.
22
2.Configurer les routeurs avec ce nouveau découpage.3.Tester vos configurations par les commandes appropriées (ping entre les 3 machines).
Phase 5 : Mise en œuvre sur les routeurs en utilisant le routage statique
1.Supprimer le routage dynamique RIP sur les routeurs.2.Configurer les 2 routeurs avec des routes statiques avec le découpage de la phase 4.3.Tester vos configurations par les commandes appropriées. Assurez vous de pouvoir faire
des ping entre les 3 machines
Phase 6 : Désinstallation (Phase obligatoire)
1.Déconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement ».2.Débrancher physiquement les câbles allant des PC aux routeurs. Ne débrancher pas les
câbles séries reliant les routeurs entre eux.3.Ranger les câbles sur les supports muraux prévus à cet effet.4.Arrêter les routeurs, et les PC et éteindre les écrans.
Annexe 1 : Carte réseau
X étant le numéro de poste
23
Routeur central
R1
Vers les autres binômes
192.168.1X0.254/ ?
192.168.1X0.129/ ?
R2
25 PC
60 PC
12 PC
TP module Rréseau2
N°9 : Routage sur routeurs avec le protocole OSPF
Objectifs du TP:Configurer un système d’adressage IP en VLSM IP (192.168.1X0.0/24). X étant le numéro de poste.Configurer le routage OSPF (Open Shortest Path First) dans une zone unique (area 1X).
Phase 1 : Configurer les interfaces des routeurs et les ordinateurs
1. Quel est l’état des interfaces sur chaque routeur ? (commande show ip interface brief) 2. Tester les liaisons indivuellement : les liaisons séries par des ping entre routeurs, les liaisons
Ethernet par des ping de PC vers interfaces
Phase 2 : Configurer le routage OSPF sur le routeur R11. Configurer un processus de routage OSPF sur le routeur R1. Lancer un processus de routage
OSPF avec le numéro 1 et assurez-vous que tous les réseaux se trouvent dans la zone n° poste.R1 (config)#router ospf 1
R1 (config-router)#network ????? (ospf wild card bit= masque inversé)
2. Examiner les fichiers de configuration courante du routeur.3. Est-ce que l'IOS a ajouté automatiquement des lignes sous router OSPF 1 ? Si oui, qu’a-t-il
ajouté ?4. Afficher la table de routage du routeur R1. (show ip route)
5. La table de routage contient-elle des entrées ? Pourquoi ?
Phase 3 : Configurer le routage OSPF sur le routeur R21. Configurer un processus de routage OSPF sur le routeur R2 avec le numéro 1 et assurez-vous
que tous les réseaux se trouvent dans la zone n° poste.2. Afficher la table de routage du routeur R2 : R2 #show ip route
3. La table de routage contient-elle des entrées OSPF ? 4. Quelle est la valeur métrique de la route OSPF ?5. Quelle est l’adresse VIA de la route OSPF ?6. Les routes vers tous les réseaux figurent-elles dans la table de routage ? 7. Que signifie la lettre O de la première colonne de la table de routage ?8. Tester la connectivité du réseau par des ping. Relever les chemins pris par les trames entre
chaque PC par un traceroute.
Phase 5 : Analyse des trames OSPF1. Analyser, via le PC relié au HUB, les trames OSPF sortant des interfaces ethernet des routeurs
au repos. Quel est l'intervalle de temps entre 2 trames Hello ?2. Donner les différents champs de la trame OSPF Hello Packet.3. Expliquer l'origine des informations contenues dans les différents champs.
24
Routeur central
R1
Hub
192.168.1X0.0/26192.168.1X0.128/26
192.168.99.28/24 192.168.1X0.65/26
R2
192.168.1X0.253/30
PC distant
?
4. Lancer l'analyse de trames puis déconnecter logiquement le lien série de R2 vers le routeurcentral : regarder les trames échangées lors d'une modification de topologie.
5. Quels types de trames supplémentaires circulent ?6. Décrire de façon précise ces trames. A quoi servent elles ?7. Le contenu des trames Hello a-t-il changé ?8. Peut-on voir les trames circulant sur les liens séries ? Pourquoi ? Utiliser la commande debug
ospf ou debug ip ospf [packet][lsa] pour visualiser les échanges sur les liens séries. Faire lesmêmes analyses que précédemment.
Phase 5 : Analyse des mécanismes OSPF
1. Déconnecter logiquement l'interface de plus haute valeur sur le routeur R1. Qu'est-ce que celachange dans le fonctionnement d'OSPF ?
2. Normalement chaque routeur doit toujours avoir son interface d'adresse IP la plus haute active.Pour garantir cela on crée une interface virtuelle de type loopback avec une adresse IP supérieure(interface loopback n°). Elle servira alors de Routeur ID.
3. Vérifier à l'aide des commandes show ip ospf neigbor et show ip ospf database, le bonfonctionnement de l'algorithme de routage.
4. Pour éviter d'envoyer sur des réseaux d'extrémités des trames de routage inutiles, on peut définirces interfaces comme étant passives (passive-interface ethx). Visualiser les changements parcapture de trames et à l'aide de la commande debug.
Phase 6 : Coût OSPF sur les interfaces du routeur R1OSPF utilise un coût comme mesure pour déterminer la meilleure route, ce coût est associé au côté
sortant de chaque interface de routeur.
Bande passante de la liaison Coût OSPF par défaut
Série 56kbits/sec 1785
T1 65
10 Mbits/sec 10
FDDI/FastEthernet 1
1. Afficher les propriétés des interfaces série et FastEthernet du routeur R1. (show interfaces)2. Quelle est la bande passante par défaut des interfaces (interface série et interface Ethernet) ?3. Calculer le coût OSPF (interface série et interface Ethernet) ?4. À l’aide de la commande show ip ospf interface, visualiser le coût OSPF des interfaces série et
Fast Ethernet. Ces coûts correspondent-ils aux calculs?5. Pour l’interface série du routeur R1->R2 définir manuellement le coût OSPF à 5000 en tapant ip
ospf cost 5000. Vérifier que les paramètres OSPF de l’interface ont bien été modifiés.6. Vérifier les routes suivies par un tracert entre une machine sur le réseau connecté à R1 et une
machine sur le réseau connecté à R2. Faire l'opération inverse (R2 vers R1). Conclusion.7. Inverser l’effet de cette commande en entrant, en mode de configuration d’interface, la
commande no ip ospf cost. Vérifier que le coût par défaut de l’interface a été rétabli.8. Entrer la commande bandwidth 2000 en mode de configuration de la même interface série.
Visualiser le nouveau coût OSPF de l’interface série.9. Le coût OSPF d’une interface Ethernet peut-il être modifié de cette façon ?
10. La vitesse peut être définie sur une interface Ethernet. Cela affectera-t-il le coût OSPF de cette interface ? Valider ou expliquer la réponse.
11. Réinitialiser la bande passante sur l’interface série en utilisant la commande no bandwidth 2000.
Phase 9 : Désinstallation (Phase obligatoire)
1. Remettre les équipements (PC, routeurs) dans l'état initial.2. Débrancher physiquement les câbles allant des PC aux routeurs et les ranger. Ne pas
débrancher les câbles séries reliant les routeurs entre eux.
25
TP réseau 2nd semestre
N°10 : Interconnexion de réseaux par des technologies WAN
Si la constitution physique de réseaux locaux repose toujours sur la même famille de protocoles
(ethernet), il n'en est pas de même pour leur interconnexion à longue distance (WAN). Pour les réseaux
WAN, plusieurs choix sont proposés suivant la localisation géographique, les technologies utilisées par
les opérateurs et les besoins en capacité de communication. ATM, ppp (point to point protocol) et Frame-
Relay permettent l'interconnexion de sites d'entreprises. A côté de ces protocoles, les liaisons de type
xDSL, pour une interconnection sur support téléphonique pour les particuliers et petites entreprises sont
devenues très courantes. L’accès à ces technologies WAN se fait par des lignes louées entre l’utilisateur
et le point d’entrée au réseau du fournisseur d’accès (avec un coût différent en fonction du débit), la
structure interne du réseau fournisseur étant spécifique (souvent basée sur des routeurs et des
commutateurs de paquets).
D’un point de vue pratique, La plupart de ces technologies sont supportées par les liaisons série des
routeur (liaison point à point) plus ou moins rapide, elles peuvent donc aussi servir à interconnecter les
routeurs via leur liaison série en remplaçant l'encapsulation originale (hdlc) par une autre catégorie.
Objectifs du TP:• Etudier plusieurs protocoles de liaison WAN• Mettre en œuvre ces techniques sur des routeurs
Le réseau global sera constitué de 3 sites reliés par des liens série, comme présenté dans le schéma ci-dessous :
Dans ce TP, les routeurs seront plutôt utilisés en tant que passerelles, c'est à dire comme équipementconvertisseur de protocoles.
Phase 1 : Mise en œuvre initiale du réseau global1.Configurer les différents PC et les routeurs pour faire fonctionner le réseau. On donnera un nom
identifiant les routeurs. On utilisera l'encapsulation par défaut hdlc pour les liens série. Leroutage sera fait par le protocole RIPv1.
2.Tester les interconnexions par des pings entre les machines.3.Visualiser les informations de configuration sur les interfaces série (commandes show)4.Visualiser les échanges par la commande debug (debug serial xxx ou debug sdlc packet).
Phase 2 : Mise en œuvre d'une liaison avec l'encapsulation ppp1.Configurer le lien série R1-R2 pour qu'il fonctionne avec une encapsulation ppp à 56k.2.Vérifier le bon fonctionnement par un ping entre les réseaux N1 et N2.
26
Routeur central
R1
205.5.X.0/24
R2
Réseau N2192.168.1X2.0
205.3.X.0/24
Réseau N1192.168.1X1.0
Réseau N3192.168.1X3.0
3.Mettre en œuvre une authentification chap entre les 2 routeurs. Pour cela il faut définir unnom à chaque routeur (hostname), puis attribuer un nom d’utilisateur (commande IOSusername x password y), le nom d’utilisateur étant le nom de l’autre routeur et le mot depasse devant être commun. Enfin il faut activer l’authentification sur le protocole ppp pourchaque interface concernée (commande IOS ppp authentication chap).
4.Visualiser les informations sur les échanges ppp par les commandes show ppp et debug pppsur le routeur 1.
5.Changer le mot de passe sur le routeur R2, que se passe-t-il ? Mettre l’interface inactive, puisla remettre active, que se passe-t-il alors ?
Phase 3 : Encapsulation Frame-Relay1.Configurer le lien série R2-routeur central, pour qu'il fonctionne avec une encapsulation
Frame-Relay à 56k en liaison point à point (sans commutation Frame-Relay) (commande
encapsulation frame-relay…) (Pour configurer le routeur central vous devez utiliser telnetvia le PC directement connecté.
2.Arrêter la diffusion des messages d’activité (no keep alive), définir les dlci (choisir la DLCI2X) pour pouvoir faire transiter les données (commande frame-relay interface-dlci…).
3.Vérifier le bon fonctionnement par un ping entre les réseaux N2 et N3. S’il y a un problèmevérifier que le protocole de routage traverse lui aussi le lien.
4.Vérifier que la conversion de protocoles se fait bien au niveau du routeur R2 par un pingentre N1 et N3.
5.Visualiser les informations sur les échanges série par les différentes commandes show etdebug sur le routeur R2.
6.Refaire les mêmes opérations à partir de la question 2°, en définissant une relation statiqueentre adresse IP et DLCI (frame-relay map ip …) (Bien enlever la définition dynamique).
Phase 4 : Encapsulation Frame-Relay avec commutation1.Configurer le lien série R1-R2, pour qu'il fonctionne lui aussi avec une encapsulation Frame-
Relay à 56k en liaison point à point. Le routeur R2 doit alors agir comme un commutateurFrame-Relay. On choisira dans un premier temps un fonctionnement de type circuit virtuelpermanent (PVC). Pour cela vous devez :
• Activer la commutation (commande frame-relay switching)• Définir pour chaque côté de l’interface son mode de fonctionnement (un DTE et unDCE au niveau couche 2) : commande frame-relay intf-type.• Définir la table de commutation du routeur/commutateur : commande frame-relayroute in-dlci…
2.Vérifier le bon fonctionnement par un ping entre les réseaux N1 et N3.3.Vérifier les différentes informations sur les tables Frame-Relay au niveau du routeur 0 (show
frame-relay map).4.Visualiser les informations sur les échanges série par les différentes commandes show et
debug sur le routeur R2.5.Mettre en place une compression sur la partie donnée de la trame (payload) : commande
frame-relay payload-compression. 6.Refaire la question 1) en mettant en place une autoconfiguration des circuits via le protocole
LMI. Visualiser l'évolution de la mise en place des circuits par un debug framerelay lmi.
Phase 4 : Désinstallation (Phase obligatoire)
1.Débrancher physiquement les câbles allant des PC aux routeurs. Ne pas débrancher les
câbles séries reliant les routeurs entre eux.2.Arrêter les routeurs.3.Arrêter les 2 PC et éteindre les écrans.
27
TP Module Réseau 2
N°11 : Access List Standard et Access List Etendue
Pré requis du TP:
Savoir configurer un routeur … !
Objectifs du TP:• Mettre en œuvre des restrictions d’accès.• Etudier et utiliser les listes d’accès standard et étendues.
Remarque : dans la suite de l’énoncé du TP (voir schéma), 3 réseaux seront connectés au routeurinterne : deux réseaux internes distincts (IN1 et IN2 : Internal Network 1 et 2), et celui reliant lefirewall et le routeurs LN1 (Link Network 1). En plus de ce dernier, au niveau du firewall, 2 autresréseaux sont définis : celui connecté à la zone accessible de l’extérieur (DMZ : Demilitarized Zone) etcelui connecté au réseau public (PuN : Public Network). Un réseau dénommé Internet est utilisé pourtester les liaisons vers l'extérieur. Le routeur internet (routeur central) est déjà configuré et en état
de marche, vous n’y avez pas accès.
Pour des raisons de disponibilité, le routeur interne peut être remplacé par un commutateur de niveau3. Ce commutateur sera utilisé avec ses ports en mode commutation de niveau 2 et des VLAN.Le firewall est déjà configuré afin d'être transparent (ou presque) dans les échanges. Seul le protocolede routage doit être configuré. La méthode est la même que pour un routeur ou un commutateur deniveau 3 (en fait le firewall ASA5505 est constitué comme un commutateur de niveau 3)
28
Routeur central
Internet
192.168.1X1.0
192.168.1X2.0
192.168.1X3.0
201.11.X.0
R1
200.1.X.0
PC1
PC2
PC3
Routeur interne
Réseau interne In1
PuN
DMZ
192.168.1X4.0
PC3 déplacé
x.x.x.1
x.x.x.1
x.x.x.2
Réseau interne In2
Ln1
ASA5505Firewall
Limite entreprise
AB
C
Phase 1 : Finalisation de la conception du réseau1.Réaliser les différentes connections. 2.Configurer les 3 PC.3.Configurer le routeur et le firewall avec le protocole de routage dynamique RIP.4.Tester vos configurations par les commandes appropriées. Assurez vous de pouvoir faire des
ping entre les 3 machines avant de passer à la phase 2 (pour des raisons de licences du
firewall, les ping de DMZ vers les réseaux externes sont impossibles)
Phase 2 : Mise en place des List d’accès standard (Standard Access List)
L’utilisation d’une ACL standard se fera en 2 étapes :• définition de la liste des directives de contrôle• application de cette liste sur une interface
Une liste d'accès standard est référencée par son numéro (de 1 à 99).La définition d’une liste d’accès standard repose sur :
• un mot clé permit ou deny qui définira l’action,• et sur une condition composée d’une adresse réseau (source) à vérifier et d’un
masque générique. Il est constitué de 4 octets. La présence d’un bit à 1 dans un octetimposera au routeur de ne pas vérifier ce bit.
Si la condition est respectée, l’action a lieu sinon on passe à la ligne suivante. La dernière
ligne par défaut est deny any
IOS cmd : Router??(config)# access-list {n°-liste-accès} {permit|deny} {condition}Router??(config-if)# {protocole}access-group {n°-liste-accès}{in|out}
Exemple d’une liste autorisant l’accès au réseau 5.6.x.x et interdisant le trafic du réseau 7.9.x.x enentrée sur l’interface F0/3 :
Router??(config)# access-list 1 permit 5.6.0.0 0.0.255.255Router??(config)# access-list 1 deny 7.9.0.0 0.0.255.255
Router ??(config)#int F0/3Router??(config-if)# ip access-group 1 in
Le raccourci any permet de définir une action sans condition :Router??(config)# access-list 10 permit any
équivaut à : Router??(config)# access-list 10 permit 0.0.0.0 255.255.255.255
Le raccourci host autorise un hôte bien spécifique :Router??(config)# access-list 12 permit host 161.3.51.117
équivaut à : Router??(config)# access-list 12 permit 161.3.51.117 0.0.0.0
Utiliser le bloc-notes pour écrire vos access list, puis faire un copier et un coller vers l'hôte dans
hyperterminal car il est impossible de modifier une access list..
Attention après chaque question : supprimer les affectations aux interfaces des ACL créées. Router??(config-if)# no ip access-group ?
1.Créer une liste d’accès numérotée 1 sur le routeur interne permettant d’interdire tout accèsvers l’extérieur (un autre réseau) pour le réseau In1 :
Router1(config)# access-list 1 deny 192.168.1X1.0 0.0.0.255Router1(config)# access-list 1 permit any
29
a) Appliquer cette liste en IN sur l'interface A du routeur et faire un ping du PC duréseau In1 vers un autre PC (PC2 et PC3). Quel est le message renvoyé ?
b) Faire un ping d'un PC vers le PC In1. Quel est le message renvoyé ?c) Appliquer cette liste en OUT sur l'interface C du routeur interne et refaire les ping
précédents en indiquant les messages renvoyés. Comparer les 2 types d'applicationde la liste.
d) Appliquer cette liste en IN sur l'interface C du routeur interne et refaire les pingprécédents en indiquant les messages renvoyés. Que constatez vous et pourquoi ?
e) Réécrire l'access list en supprimant la 2ème directive (permit any) et refaites laquestion c. Que constatez-vous alors ?
f) Inverser l'ordre du permit et du deny que se passe-t-il alors ?
2.Créer une nouvelle liste d’accès (n° 2) sur le routeur R1 en choisissant la bonne interfacepour interdire l’accès au réseau PuN à partir de In1 mais en autorisant l’accès au réseau In2.Vérifier par des ping et un tracert.
3.Peut-on, en changeant le lieu d’application de cette liste, autoriser les accès de In1 vers PuNmais les interdire vers In2.
4.Peut-on réaliser l’opération inverse, c’est à dire autoriser avec une seule access-list (n° 3)l’accès à In1 par In2 mais l’interdire pour tous les autres réseaux extérieurs (internet)
5.Créer une nouvelle liste d’accès (n° 4) sur le routeur R1 interdisant le réseau In1 d'accéder auréseau Internet mais lui permettant d’accéder au réseau LN1 d’un autre site de l’entreprise.Est-ce possible, que faut-il faire alors ?
6.Peut-on autoriser une communication (ping par exemple) initiée par le réseau In1 mais ne pasl’autoriser pour une communication initiée par l’extérieur vers In1 ? Si oui, appliquer lesACL.
7.Vérifiez les listes d’accès utilisées sur votre routeur : show …
Phase 3 : Mise en place des Listes d’accès étendues (Extended Access List)
Les listes d'accès étendues ajoutent, par rapport aux listes d’accès standard, le contrôle de la
destination des paquets ainsi qu’un filtre des paquets suivant le protocole et le service. Lesnuméros des listes d'accès étendues vont de 100 à 199.
La définition d’une liste d’accès étendue est basée sur une condition multiple composée d’uneadresse réseau source et d’un masque, d’une adresse réseau destination et d’un masque, et d’uncontrôle sur les protocoles via un opérateur logique.
Si la condition est respectée, l’action a lieu sinon on passe à la ligne suivante. La dernière
ligne par défaut est "deny ip any any"
IOS cmd : Router??(config)# access-list number {permit|deny} protocol Network/Transport
source [source-mask] destination [destination mask] [operator protocol applicat.]
Exemple : blocage paquet ftp seul en provenance du poste 164.3.51.27 vers le réseau 161....IOS cmd :
Router??(config)# access-list 101 deny tcp host 164.3.51.27 161.3.51.0 0.0.0.255 eq ftpRouter??(config)# access-list 101 permit ip any any
1.Refaire la question 5 précédente à partir d’une liste étendue (n° 101) pour résoudre le problèmesoulevé.
2.Ecrire une ACL (n°102) interdisant aux postes sur In1 d’utiliser telnet hors de son réseau.3.Appliquer cette ACL au port concerné. Faut-il la mettre en entrée ou en sortie ? Vérifiez le
fonctionnement de cette ACL.4.Interdire l’accès pour les réseaux In1 et In2 aux réseaux d’interconnexion des routeurs sans
affecter les communications entre In1, In2 et vers internet.
30
5.On veut à présent pouvoir utiliser uniquement le service TFTP vers le réseau In2 et supprimerl’accès à In2 à tous les protocoles basés sur TCP. Réalisez cette liste. Le ping marche-t-il ?
6.Modifier cette liste pour interdire tous les accès des protocoles basés sur IP sauf TFTP.7.Ecrire une nouvelle liste pour interdire tous les accès de l’extérieur vers In1, et les autoriser
uniquement en tftp et en ping vers In2 à partir de l’autre site de l’entreprise et autoriser à partirde tous les postes l’accès http vers In2 uniquement.
8.Avec cette access-list, In1 a-t-il accès vers l’extérieur ? Comment faire pour le lui permettre ?
Phase 4 : Utilisation du Firewall
Un firewall est un dispositif de sécurité possédant des fonctionnalités supplémentaires parrapport aux routeurs. Il peut entre autre détecter quel poste a initié une communication et doncautoriser des protocoles dans un sens mais pas dans l'autre, il peut aussi faire une translationd'adresses (NAT) ou gérer des VPN. Nous ne nous intéresserons dans ce TP qu'à l'aspect filtrage.
Par défaut, le firewall n'autorise les communications qu'entre une interface de niveau plus élevévers une interface de niveau moins élevé. Les access-list sont alors utilisées pour autorisercertaines communications supplémentaires.
1.Refaire la question 6 de la phase 2 entre le PC1 et le PC3. Dans quel sens les ping fonctionnent-ils ?
2.Faire la même opération entre le PC1 et DMZ. Visualiser la configuration du firewall pourcomprendre le fonctionnement.
3. Ajouter une access list permettant de faire uniquement des ping d'un poste sur internet vers unPC interne à l'entreprise, mais interdisant les autres protocoles.
Phase 5 : Désinstallation (Phase obligatoire)
1.Déconfigurer le protocole TCP/IP sur les PC.2.Débrancher physiquement les câbles allant des PC aux routeurs. Ne débrancher pas les
câbles séries reliant les routeurs entre eux.3.Arrêter les routeurs.4.Arrêter les 2 PC et éteindre les écrans.
31
TP réseaux2
TP12 : Protocoles de couches 3 et 4 (IP, ICMP, TCP)
Objectifs du TP
Comprendre la signification et l’usage des différents champs des protocoles de couches 3 et 4.Analyser les trames ICMP échangées entre les routeurs.
Schéma du réseau:
Le PC2 ou le PC3 pourront être déplacés pour servir à l’analyse des trames. L’analyse de trames sur les liens entre routeurs sera faite avec le switch à l’aide de la commande monitor session (monitor session 1 source f0/x et monitor session 1 destination f0/y où f0/x est relié au routeur R2). Le PC3 est sous Linux.
Phase 1 : Mise en place du réseau
1. Relier les différents postes comme sur le schéma ci-dessus. 2. Le réseau contenant le PC1 possède 2 routeurs. Le PC1 est logiquement raccordé au
Routeur2 (sa passerelle).3. Configurer les adresses IP (X est le numéro de poste).4. Configurer le switch.5. Mettre en place un routage statique.6. Tester le bon fonctionnement.
Phase 2 : Analyse des champs IP
1. Lors d’un ping entre le PC2 et le PC3, visualiser l’évolution du champ TTL au fur et àmesure de la progression de la trame.
2. Modifier le TTL initial sur les paquets ping (option –i) afin que le paquet soit détruit par lerouteur central. Vérifier avec le message affiché lors du ping.
3. Visualiser les paquets partant de PC2 lors d’un tracert vers PC3 : quels sont les champs IPqui changent ?
4. Lors d’un ping entre PC2 et PC1, visualiser les trames qui circulent avec PC1. Que sepasse-t-il ? Que faut-il faire pour éviter le problème ?
5. Modifier (si possible) la taille de la MTU (la prendre à 100 octets) sur le lien entre lerouteur 2 et le switch. Faire un ping (avec une taille de 256) entre PC2 et PC3. Visualiserles trames sortant du routeur 2. Comment arrivent-elles à PC3 ?
6. Analyser les différents champs nécessaires à la fragmentation.7. Que se passe-t-il au retour ? Que faut-il faire ? Est-ce possible ?
32
F0/0
1841 : R2 2600 : R1Routeur central:Routeur Internet
PC2
PC3PC1
10.X.1.1/24
10.X.2.0/24
10.X.3.0/24
10.X.5.0/24
Phase 3 : Analyse des messages ICMP
1. Lors d’un ping entre PC2 et PC3 analyser les différents champs de la PDU ICMP.2. Mettre le routeur 1 comme passerelle pour le PC1, faire un ping vers le PC2, que se passe-t-
il ? Analyser la trame ICMP de réponse du routeur.3. Refaire la question avec la fragmentation mais entre PC1 et PC2, y-a-t-il amélioration sur le
retour ?4. A partir de PC2 envoyé un ping de taille 256 mais avec une option de non fragmentation (-f),
tout en limitant la fragmentation à 100 sur le routeur 2. Quel est le message ICMP de retour.5. Envoyer un ping de PC2 avec un TTL tel que le paquet soit détruit par le routeur central.
Visualiser le paquet ICMP de retour du routeur. Détailler les champs.6. Modifier le routage pour le routeur R1 où vous donnerez comme chemin vers PC3 le routeur
R2. Faire un ping vers PC3 à partir de PC2, message ? Regarder les paquets échangés sur lelien entre routeurs.
7. Remettre le routage correct sur R1. Faire un tracert à partir de PC2 vers PC3, regarder lespaquets échangés sur le lien entre routeurs.
8. Supprimer la route statique vers PC3 sur le routeur 1. Faire un ping à partir de PC2. Messageaffiché et paquets renvoyés. Est-ce que le message rend compte correctement du problème ?
9. Remettre la route statique et faire un ping de PC2 vers le réseau de PC3 mais à une adresseinexistante. Le routeur détecte-il le problème ? Renvoie-t-il un message ?
10. Mettre en place une access-list sur la sortie du routeur 1. Empêcher le PC2 de pinguer le PC3via leurs adresses IP. Message renvoyé par le routeur ?
11. Empêcher non pas par adresse mais par protocole de couche 3. Message renvoyé, est-ceconforme ?
12. Empêcher non pas par adresse mais par protocole de couche 4. Message renvoyé, est-ceconforme ?
Phase 4 : Etude des échanges TCP et UDP
1. Réaliser une connexion ftp à partir du PC2 sur le PC3 (normalement le service ftp est actif).Login : tpuser et password : tpuser. Analyser le cycle de connexion/déconnexion quant autype des trames (SYNC, ACK, END…)
2. Tenter de réaliser la même connexion sur le PC1. Trames échangées.3. Refaire la même opération sur le PC3 en y rajoutant une liste des fichiers sur le répertoire
distant (commande ls) puis un échange de fichier (commande get). Combien deconnexions y-a t-il eu ? Déterminer les différents numéros de ports source et destination.
4. Visualiser la numérotation des trames lors de l’échange d’un fichier de PC3 vers PC2. Enparticulier les champs numéro de séquence et numéro d’acquittement.
5. Sur le même échange étudier les champs options des différentes trames.6. Faire de même avec le champ fenêtre, évolue-t-il ? Pourquoi ?7. En rajoutant un hub sur la liaison entre le routeur 2 et le switch, injecter du trafic par l’outil
de génération « netact » via le PC1. Essayer de voir la gestion de la perte de paquets parTCP. La perte de paquets étant un phénomène aléatoire, il faut régler le générateur detrafic de manière adéquat pour ne pas bloquer toutes communication, mais avecsuffisamment d’erreurs pour les visualiser facilement.
8. Refaire la même étude pour des trames UDP et un service tftp.
Phase 5 : Désinstallation
Remettre le poste en l’état où vous l’avez trouvé…
33
TP Réseaux2
N°13 : Services d'infrastructure : DHCP
Objectifs du TP:• Paramétrage sous Linux Debian du service DHCP.• Configuration d’un routeur en serveur DHCP• Mise en œuvre du service DHCP sur plusieurs sous-réseaux avec un serveur relais
Ressources nécessaires au TP
•Durant le TP, vous allez utiliser un PC client Windows, un PC client LINUX et un PCserveur Debian Linux à configurer avec l’adresse IP 192.168.1X0.N°PC, ainsi qu'unrouteur et un switch.
Phase 1 : Paramétrage d’un serveur DHCP sous LINUX
1.Editer le fichier de configuration dhcpd.conf (sous /etc/dhcp3) afin de définir les paramètres de votre réseau.
2.Configurer le serveur DHCP pour qu’il assigne une adresse ip dynamique à un client dans laplage x.x.x.200 x.x.x.220.
3.Lancer le service (/etc/init.d/dhcp3-server) et tester votre configuration avec le clientWindows (ipconfig /renew). Quelle adresse lui a-t-il été attribuée ?
4.Refaire les mêmes opérations avec le client Linux. Modifier le fichier de configuration /etc/network/interfaces
Auto eth0Iface eth0 inet dhcp
Relancer le service de mise en réseau : /etc/init.d/networkingPour renouveler : commande dhclient
5.Positionner la durée de bail sur une valeur faible (10 secondes). Visualiser les trameséchangées lors des opérations de renouvellement de bail (vous pouvez utiliser la commandemode monitor pour visualiser, à partir du PC sous Windows, les trames échangées).
6.Visualiser les trames échangées lors d’un nouveau bail à partir de la machine sous Windows(ipconfig /release puis ipconfig /renew).
7.Configurer le serveur afin que celui-ci assigne une adresse IP fixe à la machine cliente enfonction de l'adresse MAC de cette dernière. Vérifier que la configuration est effectuée.
8.Visualiser le fichier de log (/var/log/syslog) afin de voir les différentes transactions (s'il esttrop important utiliser la commande tail : tail /var/log/syslog).
9.Modifier la configuration du serveur DHCP pour qu’il alloue automatiquement une passerelleet un serveur DNS au client en remplissant les champs adéquats dans la trame DHCP.Tester sur le client Windows, visualiser les trames échangées.
10.A quel élément du switch le serveur DHCP peut-il affecter une adresse ? Activer au moinsun vlan sur le switch pour qu’il soit client DHCP : int vlan x
34
192.168.1X0.0
PC1 (Windows)
PC2 (Linux)
PC3
Serveur DHCPLinux (Debian)
ip address dhcp no shut
Phase 2 : Configuration du routeur en serveur DHCP
1.Configurer l'interface du routeur côté client avec une adresse IP fixe. Laisser la deuxième interfaceinactive.
2.Créer un pool DHCP sur le routeur : ip dhcp pool « pool_name » On rentre alors en mode de configuration DHCP.
3.En premier lieu, définir une plage d’adresse à attribuer à un sous-réseau déterminé :network ip_address mask
Vérifier que le service fonctionne bien (sinon l’activer : service dhcp). Visualiser les trameséchangées. Visualiser l’état du service : show ip dhcp binding
4.En revenant en mode de configuration DHCP, modifier le paramètre permettant de régler la duréedu bail : le mettre au minimum. Vérifier le bon fonctionnement.
5.Configurer les options DHCP : concernant la passerelle par défaut, le nom de domaine, le serveurde nom.
6.Exclure du pool les 5 premières adresses pour pouvoir les réserver à des équipements spéciaux : ip dhcp exluded-address
Pour des raisons de sécurité, on préfère séparer la fonction dhcp des fonctions de routage, on va doncréutiliser notre serveur sur PC.
Phase 3 : Configuration avec le serveur DHCP sur un sous-réseau différent du client
1.Supprimer le pool DHCP précédent du routeur. Redémarrer le service sur le serveur DHCPlinux.
2.La machine cliente étant sur un autre sous-réseau, où s’arrêtent les trames de demandeDHCP.
3.Peut-on autoriser le routeur à transmettre sans modification les trames DHCP ? Quel seraitalors l’inconvénient ?
4.Configurer le routeur pour qu’il devienne un serveur relais : ip helper_address AdresseIPserveur (sur l'interface d'arrivée des trames DHCP).
Comment sont transmises les trames (faire des captures à tous les niveaux possibles) ?Comment le serveur DHCP reconnaît-il le sous-réseau d’origine de la demande ?
Phase 4 : Désinstallation (Phase obligatoire)
1.Reconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement » 2.Ranger les câbles sur les supports muraux prévus à cet effet.3.Arrêter les 3 PC et éteindre les écrans.
35
192.168.1X0.0
PC1
PC2
PC3
Serveur DHCP
192.168.1X1.0
TP Réseaux2
N°14 : Gestion de réseaux : SNMP
Dès lors que les réseaux deviennent d’une taille importante, la gestion des différents équipements
(routeurs, switches, serveurs…) ne peut plus se faire équipement par équipement. Il est alors nécessaire de
mettre en place une gestion centralisée. Des protocoles spécifiques ont été développés afin de permettre un
gestion et une surveillance en temps réel sur un grand ensemble d’équipements : le plus connu est SNMP
(Simple Network Management Protocol)
Chaque équipement « manageable » SNMP possède une base de données (dénommée MIB :
Management Information Base) décrivant les différents états matériels et les paramètres de configuration.
Cette base de données a une structure arborescente complexe . Une partie de l’arborescence est imposée par
l’IANA, le reste est laissé libre pour que les constructeurs y ajoutent les paramètres des différents matériels.
Le protocole SNMP, basé sur UDP, va pouvoir, à partir d’un moniteur SNMP, interroger chaque
équipement pour récupérer les différentes informations. Sur chaque équipement, un agent SNMP va faire le
relais entre les requêtes du moniteur et les informations internes de l’équipement.
Objectifs du TP:Découverte des protocoles de gestion à distance des équipements dont SNMP.
Ressources nécessaires au TPChaque PC sous Windows comporte un moniteur SNMP, les équipements (switch, routeurs)possèdent un agent SNMP .
Phase 1 : Configuration des équipements réseaux1. Configurer les switches avec leur vlan par défaut à l’adresse 192.168.1Xx.102. Attribuer des adresses IP aux postes3. Configurer les interfaces des routeurs et mettre en place un routage RIP.
Phase 2 : Utilisation d’un moniteur SNMP v2 en surveillance : GetIf
1. Lancer l’application GetIf, visualiser les différents menus.2. Lancer la découverte automatique des équipements en testant leur adresse IP (IP discover).
Choisissez la gamme d’adresses correspondant à celles prédéfinies.3. Les équipements réseaux, switch et routeurs sont-ils détectés ? Pourquoi ? Faire un ping pour
vous assurer du bon fonctionnement.4. Valider les agents SNMP en lecture sur chaque équipement par la commande :
Snmp-server community public ro5. Visualiser les trames échangées lors d’une découverte d’un environnement réseau.6. Choisissez d’analyser plus particulièrement le switch en le sélectionnant.7. Afficher le contenu de sa table MIB. Trames échangées.
36
Routeur central
Réseau N1
Routeur
Switch1
Switch2
Réseau N2192.168.1X1.0
192.168.1X2.0
192.168.1X3.0
8. Parcourir l’arborescence de la table pour visualiser le paramètre donnant le nombre d'octets émispar une interface (.iso.org.dod.internet.mgmt.mib-2.interfaces.iftable.ifEntry.ifoutOctets) traduitpar (.1.3.6.1.2.12.2.1.16). Comparer avec la commande IOS : show interfaces Fxx.
9. Dans la MIB, donner le nombre de trames UDP envoyées (...mib-2.udp.udpoutDatagrams.)Comparer cette valeur à celle issue d'une commande IOS (show ip traffic).
10. Analyser les trames échangées lors de ces deux interrogations SNMP du switch.11. Parcourez de la même manière les différentes MIB de chaque équipements réseaux accessibles.12. Comment sont vus les ordinateurs ?
Phase 2 : Utilisation d’un moniteur SNMP en modification
1. Définir un accès en lecture/écriture sur tous les équipements à partir de la communauté(community) private (snmp-server community private rw)
2. Modifier l'état d’une interface du switch (up/down). Vérifier cette modification sur la console duswitch. (.1.3.6.1.2.1.2.2.1.7.4 par exemple pour l'interface F0/4).
3. Analyser en détail le contenu SNMP de la trame qui a permis cette modification. Bien visualiserle type de codage utilisé.
4. Réaliser la même modification sur un routeur.5. Visualiser les informations sur le statut SNMP des équipements (show snmp…).
Phase 3 : Contrôle d’accès aux tables MIB
1. Définir des communautés différentes sur chaque équipement permettant à partir du poste sur leréseau N1 de visualiser le contenu du switch et du routeur et de ne modifier que celui du switch.De même autoriser à voir et à modifier le contenu du routeur pour le poste sur le réseau N2.
2. Remettre tous les équipements dans les mêmes communautés de lecture et de lecture/écriture.Puis définir une Access List pour empêcher le poste sur le réseau N1 d’accéder à la MIB durouteur. Peut-on choisir de voir les MIB mais de ne pas les modifier par cette technique ?
3. Enlevez l’ACL, puis configurer plus finement les agents SNMP afin de n’autoriser l’accès qu’àune adresse IP (celle du poste N1) (snmp-server community…)
4. Faire de même, afin de n’autoriser l’accès qu’à une partie de l’arborescence de la MIB enutilisant une « view » : (snmp-server view … puis snmp-server community xxx view…).
Phase 4 : Utilisation du protocole CDP sur les équipements CISCO
1. Visualiser les trames CDP sur le lien entre routeur et switch. Activer et désactiver le protocoleCDP et visualiser les différences de comportement. Que contiennent les trames CDP envoyées ?
2. Modifier le timer CDP et le temps de sauvegarde en mémoire cache. Vérifier ces paramètres parune capture de trames et en visualisant les informations CDP sur les équipements (show cdp…).
3. Effacer les statistiques utilisées par CDP (clear cdp…). Vérifier l’évolution sur les informationstransmises.
4. Déclencher une erreur en configurant deux ports du switch sur des VLAN différents en modeaccess et en les reliant via le hub. Visualiser les trames CDP échangées, ainsi que les messagesd’erreurs affichés sur la console.
Phase 5 : Etudier le mécanisme RMON (Remote monitoring)1. Configurer le switch pour envoyer des Trap SNMP vers le poste sur N1 (snmp-server host ...).2. Définissez des événements envoyant des Trap (rmon event 1 log trap ...)3. Définissez une alarme sur le débit d'un port générant les événements précédents (rmon alarm...).4. Visualiser ces événements (show rmon event/alarm ; debug snmp) où en les capturant sous
wireshark.
Phase 6 : Désinstallation (Phase obligatoire)
1.Supprimer les configurations des équipements que vous avez modifiées.2.Reconfigurer le protocole TCP/IP en cliquant « Obtenir une adresse IP automatiquement » 3.Arrêter les 3 PC et éteindre les écrans.
37
