ad4

Libellés

ad7

Translate - traduction

lundi 20 avril 2015

Synthèse sur le routage

Synthèse sur le routage

On trouvera ici une vue d'ensemble sur le routage. On aborde de manière synthétique les notions de table de routage, de métrique, de distance administrative, de protocole de routage dynamique et de routage statique, de convergence, de routage à vecteur de distance, à état de liens et hybride.

1. Terminologie et distinctions

  • On distinguera la notion de métrique et de distance administrative dans une table de routage dont on connait la composition.
  • On définira les objectifs des protocoles de routage
  • On distinguera le routage statique du routage dynamique (protocole de routage).
  • On distinguera les protocoles de routage intérieurs et les protocoles de routage extérieurs ainsi que la notion de système autonome.
  • Parmi les protocoles de routage, distinguera les protocoles de routage à vecteur de distance, les protocoles de routage à état de liens, ainsi que les protocoles de routage hybride.

2. Compostion d'une table de routage.

Une table de routage est une sorte de "panneau indicateur" qui donne les routes (les réseaux) joignables à partir du "carrefour" que constitue un routeur. Les paquets arrivent sur une interface de la machine. pour "router" le paquet, le routeur fondera sa décision en deux temps : d'abord il regarde dans l'en-tête IP le réseau de destination et compare toutes les entrées dont il dispose dans sa table de routage; ensuite, si le réseau de destination est trouvé, il commute le paquet sur le bon port de sortie; si ce réseau n'est pas trouvé, le paquet est jeté.
Une table de routage réside en RAM. Elle constituée des éléments suivants :
  • Méthode de routage : type de protocole qui a appris la route.
  • Réseau et masque : destination.
  • Distance administrative : Préférence d'une route par un protocole sur un autre. Chaque protocole a sa valeur par défaut.
  • Valeur de métrique : valeur d'une route sur une autre parmi toutes celles apprises par un protocole de routage.
  • Via prochaine interface (Gateway).
  • Interface de sortie du routeur.

2.1. Métrique

La métrique d'une route est la valeur d'une route en comparaison d'autres routes apprises par le protocole de routage. Plus sa valeur est faible, meilleure est la route. Chaque protocole dispose de sa méthode de valorisation. On peut trouver toute une série de composante de métrique  parmi :
  • nombre de sauts (RIP)
  • bande passante (IGRP - EIGRP)
  • délai (IGRP - EIGRP)
  • charge (IGRP - EIGRP)
  • fiabilité (IGRP - EIGRP)
  • MTU (IGRP - EIGRP)
  • coût (OSPF - ISIS)

2.2 Distance administrative

La distance administrative est la préférence dans une table de routage des routes apprises par un protocole de routage par rapport aux mêmes routes apprises par un autre protocole de routage. Plus la valeur est faible et plus le protocole est préféré. Chaque protocole dispose de sa valeur par défaut sur les routeurs Cisco :

Méthode de routage Distance administrative
Interface directement connectée 0
Route statique 1
Ext-BGP 20
Int-EIGRP 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
Int-BGP 200
Inconnu 255

3. Routage statique v. routage dynmamique

Une route statique est une entrée manuelle dans la table de routage. Une route dynamique est apprise dynamiquement par un protocole commun.

3.1. Objectifs des protocoles de routage

  • Découvrir dynamiquement les routes vers les réseaux d'un interréseau et les inscrire dans la table de routage.
  • S'il existe plus d'une route vers un réseau, inscrire la meilleure route dans la table de routage.
  • Détecter les routes qui ne sont plus valides et les supprimer de la table de routage.
  • Ajouter le plus rapidement possible de nouvelles routes ou remplacer le plus rapidement les routes perdues par la meilleure route actuellement disponible.
  • Empêcher les boucles de routage

3.2. Routes statiques

Une route statique est une entrée manuelle dans une table de routage. Contrairement aux routes apprises dynamiquement, leur maintenance est plus lourde pour les administrateurs. Elles servent d'alternatives aux routes dynamiques surtout quand la situation le permet ou l'exige en termes de facilité, de simplicité ou de sécurité.
Voici la commande de configuration des routes statiques :
(config)#ip route network mask {address|interface} [AD]
où :
network : est l'adresse du réseau à joindre
mask : est le masque du réseau à joindre
address : est l'adresse du prochain routeur directement connecté pour atteindre le réseau
interface : est l'interface de sortie du routeur pour atteindre le réseau
AD : distance administrative optionelle (1, par défaut)
Par exemple, à partir du routeur A, le réseau 200.150.75.0/24 est joignable par l'interface de Serial 0/0 par la passerelle (prochaine adresse IP) 192.168.1.2 :

sy1

RA(config)#ip route 200.150.75.0 255.255.255.0 serial 0/0
ou
RA(config)#ip route 200.150.75.0 255.255.255.0 192.168.1.2
On peut vérifier le routage statique dans la configuration courante du routeur via la commande #show running-config .
Notons qu'une route a toujours une métrique de 0. Le réseau à joindre est censé être directement connecté.

4. Les protocoles de routage

La convergence est le temps pour qu'un ensemble de routeurs puissent avoir un vision homogène, complète et efficace de l'ensemble des routes d'un interréseau. Le temps de convergence est particulièrement éprouvé lorsqu'il y a des modifications topologiques dans l'interréseau.

4.1. Sytème autonome, routage intérieur et extérieur

Un sytème autonome (AS) est un ensemble de réseaux sous la même autorité administrative (autorité de gestion). Au sein d'un système autonome, les routes sont générées par des protocoles de routage intérieurs comme RIP, IGRP, EIGRP, OSPF ou ISIS. Les protocoles de routage qui permettent de connecter les systèmes autonomes entre eux sont des protocoles de routage extérieurs comme EGP ou BGP. Dans le contexte de l'interconexion mondiale des réseaux, l'IANA assigne un numéro d'AS (16 bits). Un AS peut éventuellement être découpé en zones (areas) selon le protocole de routage (OSPF et ISIS).

4.2. Protocole de routage à vecteur de distance, à état de lien et hybride

Sans entrer dans les détails, nous allons définir les notions de protocole de routage à vecteur de distance, à état de lien et hybride.
Un protocole de routage à vecteur de distance est celui qui utilise un algorithme de routage qui additionne les distances pour trouver les meilleures routes (Bellman-Ford). Souvent ils envoient l'entièreté de leur table de routage aux voisins. Ils sont sensibles aux boucles de routage. Dans ce type de protocole, aucun routeur ne remplit de fonction particulière. On parlera de connaissance "plate" de l'interréseau ou de routage non-hiérarchique. Ces protocoles convergent lentement. On citera RIP et IGRP.
Un protocole de routage à état de liens utilise un algorithme plus efficace (Dijkstra ou Shortest Path First). Les routeurs collectent l'ensemble des coûts des liens et construisent de leur point de vue l'arbre de tous les chemins. Les meilleures routes sont alors intégrées à la table de routage. On parlera de routage hiérarchique. On citera OSPF et ISIS. Ils convergent très rapidement.
Un protocole de routage hybride est un protocole de routage à vecteur de distance qui reprend des concepts d'états de liens. On citera EIGRP.
Le compartif détaillé de ces types de protocoles de routage sera abordé au début du semestre 3.

5. Tableau récapitulatif des protocoles de routage intérieurs



x Vecteur de distance Etat de liens
TCP/IP RIP
Routing Information Protocol
OSPF
Open Shortest Path First

Cisco EIGRP
Ehanced Interior Gateway Routing Protocol
/
OSI / ISIS
Intermediate System to Intermediate System

Le principe de l'encapsulation dans le modèle OSI

Le principe de l'encapsulation dans le modèle OSI est un aussi une notion fondamentale pour bien comprendre le fonctionnement de la transmission d'un hôte d'origine à sa destination. Chaque couche parle à l'autre dans un contexte d'égal à égal. 
 
 

Procédure "Password Recovery"

Récupération de mot de passe  


A vrai dire, la procédure "password recovery", "recouvrement de mot de passe", ne permet pas de retrouver un mot de passe d'un routeur Cisco. Tout au plus, elle permet de reprendre la main sur un routeur dont l’'accès est limité par un mot de passe, de le changer ou de le lire si celui-ci n’est pas crypté. En laboratoire, cette procédure nous permettra de travailler sur des machines dont la configuration est vierge.

1.Objectifs

  • Gérer l'IOS Cisco
  • Reprendre la main sur un routeur Cisco

2. Principe

Si des mots de passe ont été définis par un administrateur, ils sont situés dans la "startup-configuration" (fichier de configuration initiale) qui elle-même sera copiée dans la "running-configuration" (fichier de configuration courante) à l'issue du démarrage du routeur.
En évitant la "startup-configuration", on évite le passage obligé de mots de passe d'administration, on accède au mode de configuration avec tous les privilèges. Eviter une configuration existante permet de démarrer la machine avec une configuration vierge. Tout au plus, peut-on consulter, supprimer, modifier ou charger la configuration de démarrage qui existe toujours en NVRAM. Les mots de passe sont cryptés soit en type 5 ou en type 7. L'encryptage type 7 est de moins en moins courant car son algorithme est connu.
Pour ce faire, il faut changer les paramètres de démarrage du routeur afin d'interrompre son démarrage. Un accès physique au routeur est nécessaire. Dans la console, on utilisera la combinaison des touches CTRL et PAUSE pour accéder au mode minimal du routeur qui est appelé "ROM Monitor Mode". Il s'agit d'un mode de bas niveau exécuté en RAM et situé dans ROM qui permet entre autres de changer les valeurs du registre de configuration, de télécharger un IOS à partir d'une connection IP ou sérielle, de configurer la vitesse de la console, etc.
Le changement s'’opère sur la valeur du registre de démarrage. Une fois le routeur redémarré, il n'’y aura plus de mot de passe demandé mais aussi plus aucune configuration. Notons aussi que les interfaces n'auront pas été démarrées. Il faudra explicitement les activer pas un "no shutdown". On pourra par contre changer n'importe quel paramètre de la machine. Enfin, il ne faudra pas oublier de changer la valeur du registre à partir du mode normal sur sa valeur par défaut, sinon la "startup-configuration" sera toujours ignorée si le routeur redémarre pour une raison quelconque.

3. Conditions

La seule condition est d'’avoir un accès aux ports console ou AUX et de pouvoir redémarrer le routeur.

4. Procédure

Quelle que soit la plate-forme la procédure est toujours la même. Toutefois, selon le routeur, les commandes en "ROM Monitor Mode" peuvent changer. Il suffit de les connaître ou de les trouver grâce à l’aide (commande help ou ?).
Press RETURN to get started!


Router>enable
Password:
Password:
Le routeur demande un mot de passe pour accéder au mode privilège.

4.1. Redémarrage du routeur et CTRL-PAUSE endéans les 60 secondes. Entrée dans le mode ROM Monitor

rommon1>

4.2. Modification de la valeur du registre de démarrage

rommon1>confreg 0x2142 

4.3. Redémarrage du routeur (et esquive de la startup-configuration)

rommon2>reset
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

Self decompressing the image :
########################################################################## [OK]
---Sortie omise---
 --- System Configuration Dialog ---

Continue with configuration dialog? [yes/no]: no


Press RETURN to get started! 
Tapez no pour éviter le mode setup

5. Opérations

5.1. Visualisation de la configuration de démarrage

Router#show startup-configuration 
Using 499 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable secret 5 $1$mERr$.TUcXMCAonRND.tFXUzor0
!

5.2. Vérification de la présence d'un fichier de configuration de démarrage

Router#cd nvram:
Router#dir
Directory of nvram:/

 124  -rw-           0                    <no date>  startup-config
 125  ----           0                    <no date>  private-config

129016 bytes total (128964 bytes free)

5.3. Modification des paramètres

Router>enable
Router#configure terminal
Router(config)# …[...]
Router(config)#^Z
Router#copy running-config startup-config 

5.4. Rétablissement du registre de démarrage et redémarrage

Router#configure terminal
Router(config)#config-register 0x2102
Router(config)#exit
Router#reload

5.5. Vérification des paramètres du registre

Router#show version
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
---sortie ommise et à la dernière ligne :---
Configuration register is 0x2102
 

6. Références :

jeudi 2 avril 2015

Routage statique et adressage IPv6

Afin d’aborder la configuration orientée IPv6 d’un routeur de manière simple, nous allons voir, dans cet article, comment configurer un routeur en utilisant un adressage IPv6 ainsi que comment utiliser des routes statiques IPv6.

La topologie

Rien de très compliqué. Nous avons ici deux routeurs, chacun disposant d’un LAN (ici simulé par une interface loopback). Le but étant de permettre au LAN de R1 de communiquer avec le LAN de R2.
Nous allons donc devoir définir l’adressage IPv6 des interfaces, et ensuite définir le routage statique sur R1 et R2.

Configuration des interfaces de R1

Commençons par configuré l’interface loopback qui simulera le LAN de R1. Qui recevra la première adresse du réseau 2001:ABCD:0001::/48 … soit 2001:ABCD:0001:0000:0000:0000:0001 que l’on peut écrire sous forme abrégée 2001:ABCD:1::1
R1>enable
R1#configure terminal
R1(config)#interface loopback 0
R1(config-if)#description LAN R1
R1(config-if)#ipv6 address 2001:ABCD:1::1/48
R1(config-if)#exit
R1(config)#
Configurons maintenant l’interface Serial 0/0 de R1 qui le lie à R2. Elle sera quant à elle configurée selon la norme EUI-64. Ce qui signifie que les 64 derniers bits de l’adresse IPv6 seront automatiquement définis. Il suffit de donner l’adresse du réseau et de spécifier le format eui-64.
Les derniers 64 bits sont normalement attribués en fonction de l’adresse MAC d’une interface ethernet, toutefois, ici nous configurons une interface sérielle qui bien entendu n’a pas d’adresse MAC. Le routeur va alors compléter l’adresse IPv6 en utilisant l’adresse MAC d’une interface Ethernet présente sur le routeur.
R1(config)#interface serial 0/0
R1(config-if)#clock rate 4000000
R1(config-if)#ipv6 address 2001:ABCD::/48 eui-64
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#
Voyons le résultat…
R1#show ipv6 interface serial 0/0
Serial0/0 is up, line protocol is down
IPv6 is enabled, link-local address is FE80::C200:AFF:FE78:0 [TEN]
No Virtual link-local address(es):
Global unicast address(es):
2001:ABCD::C200:AFF:FE78:0, subnet is 2001:ABCD::/48 [EUI/TEN]
Joined group address(es):
FF02::1
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
R1#
L’interface a donc maintenant l’adresse IPv6 globale 2001:ABCD::C200:AFF:FE78:0 … reste à comprendre d’où cela provient. Pour cela, analysons l’adresse MAC de l’interface FastEthernet que le routeur a utilisé pour générer l’adresse en question…
R1#show interfaces fastEthernet 0/0 | include Hardware
Hardware is Gt96k FE, address is c000.0a78.0000 (bia c000.0a78.0000)
R1#
Voici comment le routeur a composé l’adresse:
  1. Les 64 permiers bits sont définis par l’adresse réseau, et si nécessaire complétés par des 0. Soit: 2001:ABCD:0000:0000……..
  2. Les 64 derniers bits sont composés de l’adresse MAC (empruntée à une interface FastEthernet), en insérant la valeur hexadécimale FFFE au milieur de celle-ci pour passer de 48 bits (format de l’adresse MAC) aux 64 bits requis… soit: 2001:ABCD:0000:0000:C000:0AFF:FE78:0000
  3. Dernière étape, le 7e bit de l’adresse MAC est mis à 1 on passe donc de C000.0A78.0000 à C200.00A78.0000, ce qui au final nous donne l’adresse 2001:ABCD:0000:0000:C200:0AFF:FE78:0000 qui peut s’écrire plus simplement 2001:ABCD::C200:AFF:FE78:0
Reste maintenant à configurer R2…

Configuration de R2

R2>enable
R2#configure terminal
R2(config)#interface loopback 0
R2(config-if)#ipv6 address 2001:ABCD:2::1/48
R2(config-if)#exit
R2(config)#interface serial 0/0
R2(config-if)#ipv6 address 2001:ABCD::/48 eui-64
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#exit
R2#
Testons la connectivité entre R1 et R2…
Pour cela commençons par retrouver l’adresse IPv6 de l’interface sérielle de R2…
R2#show ipv6 interface brief
FastEthernet0/0            [administratively down/down]
Serial0/0                  [up/up]
FE80::C201:AFF:FE78:0
2001:ABCD::C201:AFF:FE78:0
FastEthernet0/1            [administratively down/down]
Serial0/1                  [administratively down/down]
Loopback0                  [up/up]
FE80::C201:AFF:FE78:0
2001:ABCD:2::1
R2#
Utilisons maintenant la commande ping en ipv6 pour tester que le lien entre R1 et R2 fonctionne…
R1#ping ipv6 2001:ABCD::C201:AFF:FE78:0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:ABCD::C201:AFF:FE78:0, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/12/36 ms
R1#
Ok, tout semble en ordre, passons maintenant à la définition des routes statiques.

Définition des routes statiques…

Pour que le LAN de R1 puisse communiquer avec le LAN de R2, nous devons définir une route sur R1 qui indique le next-hop pour atteintre le LAN de R2, … et … sur R2 une route qui indique le Next-hop pour atteindre le LAN de R1.
Mais avant tout … il faut activer le routage IPv6 ! Sans quoi, le routeur se comporterait comme une simple machine IPv6, capable d’envoyer ou de recevoir du traffic mais pas de router !

Sur R1…

R1(config)#ipv6 unicast-routing
R1(config)#ipv6 route 2001:ABCD:2::/48 2001:ABCD::C201:AFF:FE78:0

Sur R2

R2(config)#ipv6 unicast-routing
R2(config)#ipv6 route 2001:ABCD:1::/48 2001:ABCD::C200:AFF:FE78:0

Vérifications

Commençons par jeter un oeil à la table de routage de R1
R1#show ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
C   2001:ABCD::/48 [0/0]
     via ::, Serial0/0
L   2001:ABCD::C200:AFF:FE78:0/128 [0/0]
     via ::, Serial0/0
C   2001:ABCD:1::/48 [0/0]
     via ::, Loopback0
L   2001:ABCD:1::1/128 [0/0]
     via ::, Loopback0
S   2001:ABCD:2::/48 [1/0]
     via 2001:ABCD::C201:AFF:FE78:0
L   FF00::/8 [0/0]
     via ::, Null0
R1#
La route crée est bien présente. Testons maintenant la connectivité, en lançant un ping ipv6, depuis l’interface Loopback de R1 vers l’interface Loopback de R2.

R1#ping
Protocol [ip]: ipv6
Target IPv6 address: 2001:ABCD:2::1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands? [no]: yes
Source address or interface: 2001:ABCD:1::1
UDP protocol? [no]:
Verbose? [no]:
Precedence [0]:
DSCP [0]:
Include hop by hop option? [no]:
Include destination option? [no]:
Sweep range of sizes? [no]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:ABCD:2::1, timeout is 2 seconds:
Packet sent with a source address of 2001:ABCD:1::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/10/40 ms
R1#
 
Tout semble en ordre !

Exercice « Router-on-a-stick »

Voici une mise en pratique de diverses techniques de bases ( routage inter-vlan, dhcp, access-list, …) dans le cadre d’un petit réseau de tpe « router-on-a-stick » (routage inter-vlan à l’aide d’un router dédié).

Description de l’exercice


Voici un réseau très modeste. Le but est ici d’implémenter une série de techniques de base afin de créer une structure cohérente, parmis celles-ci:
  • Utilisation de VLANs
  • Routage inter-VLANs
  • Sécurisation minimale des ports du switch
  • Application d’access-lists
  • Mise en place du dhcp pour les machines hôtes

Structure générale

Le switch, disposant de 24 ports FastEthernet comportera 4 VLANs ( 1-native, 10, 20 et 30 ). Les VLANs 10 et 20 doivent pouvoir acceuillir 10 hôtes, le VLAN 30 doit pouvoir contenir 4 serveurs. Aucun port ne peut rester dans le VLAN 1. Tous les ports devront être configurés pour n’accepter qu’une seule mac-adresse, apprise dynamiquement.
Le routeur en plus de sa fonction de base servira de serveur DHCP pour les  hôtes des VLANs 10 et 20.
Aussi bien sur le switch que sur le routeur on configurera l’accès de management via telnet. Toutefois seuls les hôtes du VLAN 10 pourront y accéder.
Un serveur Web/Dns est présent dans le VLAN 30 avec l’adresse statique 192.168.1.34/29. Tous les hôtes du réseau doivent pouvoir y accéder pour les requêtes DNS et ICMP (pour du troubleshooting éventuel), par contre, seuls les hôtes du VLAN 20 peuvent accéder à l’application Web de ce serveur.
Les adresses des réseaux/interfaces nécessaires sont indiqués sur le schéma.

Configuration du switch SW1

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname SW1
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/2
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/3-Fa0/8 identique ....
! .... omises pour gagner un peu de place ;-) ...
!
interface FastEthernet0/9
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/10
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/11
 switchport access vlan 20
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/12
 switchport access vlan 20
 switchport mode access
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/13-Fa0/18 identique ....
! .... omises pour gagner un peu de place ;-) ... 
!
interface FastEthernet0/19
 switchport access vlan 20
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/20
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/21
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/22-Fa0/23 identique ....
! .... omises pour gagner un peu de place ;-) ... 
!
interface FastEthernet0/24
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! Int Gig1/1 en TRUNK pour permettre le passage des VLANs vers le routeur. On ets ici sur un 2960, l'encapsulation est dot1q
!
interface GigabitEthernet1/1
 switchport mode trunk
!
! On met l'interface Gig1/2 en shutdown puisqu'elle ne sert à rien et qu'on ne veut pas permettre à quelqu'un de l'utiliser.
!
interface GigabitEthernet1/2
 shutdown
!
! On défini l'adresse IP du VLAN pour mermettre l'administration à distance du switch via telnet.
!
interface Vlan1
 ip address 192.168.0.2 255.255.255.252
!
! On défini la passerelle par défaut du switch
!
ip default-gateway 192.168.0.1
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
 login
!
line vty 0 4
 password 7 0822455D0A16
 login
 transport input telnet
line vty 5 15
 password 7 0822455D0A16
 login
 transport input telnet
!
!
end

Configuration du routeur R1

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname R1
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
! L'interface physique est utilisée pour le VLAN 1 qui n'est pas taggé avec dot1Q.
! on y applique l'access-list 1 en out pour n'autoriser que le traffic venant du VLAN 10 vers l'interface d'admin du switch
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.252
 ip access-group 1 out
 duplex auto
 speed auto
!
! SubInterface pour le VLAN 10, encapsulation dot1Q
!
interface FastEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.1.1 255.255.255.240
!
! SubInterface pour le VLAN 20, encapsulation dot1Q
!
interface FastEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.1.17 255.255.255.240
!
! SubInterface pour le VLAN 30, encapsulation dot1Q
! on y applique l'access list extended "server-access" de manière à n'autoriser
! que le traffic icmp et DNS pour les VLANS 10 et 20 ! et uniquement
! le traffic Web provenant du VLAN 20 vers le serveur Web/DNS
!
interface FastEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.1.33 255.255.255.248
 ip access-group server-access out
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
ip classless
!
!
! Définition de l'access-list 1 pour l'accès telnet de management du routeur et du switch
!
access-list 1 permit 192.168.1.0 0.0.0.15
!
! Définition de l'access-list etended server-access pour l'accès au serveur Web/DNS
!
ip access-list extended server-access
 permit tcp 192.168.1.16 0.0.0.15 host 192.168.1.34 eq www
 permit icmp 192.168.1.0 0.0.0.31 host 192.168.1.34
 permit tcp 192.168.1.0 0.0.0.31 host 192.168.1.34 eq domain
 permit udp 192.168.1.0 0.0.0.31 host 192.168.1.34 eq domain
!
!
! On exclu les adresses des sub-interfaces du routeurs pour les pool DHCP
!
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.17
!
!
! Définition des pools DHCP pour chaque VLAN
!
ip dhcp pool vlan10
 network 192.168.1.0 255.255.255.240
 default-router 192.168.1.1
 dns-server 192.168.1.34
ip dhcp pool vlan20
 network 192.168.1.16 255.255.255.240
 default-router 192.168.1.17
 dns-server 192.168.1.34
!
!
!
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
 login
!
! On applique l'access-list 1 aux lignes VTY pour n'autoriser 
! que les connexion provenant du VLAN 10
!
line vty 0 4
 access-class 1 in
 password 7 0822455D0A16
 login
 transport input telnet
line vty 5 15
 access-class 1 in
 password 7 0822455D0A16
 login
 transport input telnet
!
!
!
end
Voilà donc les config complètes du switch et du routeur.

Laboratoire Frame relay

mercredi 1 avril 2015

Le masque générique

Le masque générique : Wildcard Masks (inverse masks)

Pour utiliser certains protocoles ou fonctionnalités des routeurs, on fait parfois appel aux « wildcard masks », aussi appelés « inverse masks » (masques inverses) afin d’identifier un sous-réseau ou un range d’adresses IP. C’est d’ailleurs le cas pour OSPF (protocole de routage) ou encore pour les ACLs (access lists) et donc aussi pour le NAT. Voici de quoi il s’agit…

Wildcard Masks

Ces masques servent donc à identifier les adresses qui correspondent ou non à certains critères (un range d’adresse IP généralement). Leur particularité réside dans la manière dont ils sont appliqués. Pour comprendre leur fonctionnement, il faut garder en tête qu’une adresse IPv4 est un ensemble de 32 bits. Par exemple, 193.62.31.125 s’écrit 11000001.00111110.00011111.01111101 en binaire. Un wildcard mask est également composé de 32bits. Par exemple 0.0.0.255 s’écrit 0000000.0000000.0000000.11111111 en binaire.
Lors de l’application d’un wildcard mask il faut savoir que:
  • Un bit avec une valeur de 0 vérifie la correspondance de l’adresse.
  • Un bit avec une valeur de 1 ignore la valeur correspondante de l’adresse.
Prenons un exemple:
Un réseau 193.62.31.64 avec un wildcard mask 0.0.0.63 (ce qui correspond à un /26). Celà donne en binaire:
11000001.00111110.00011110.01000000  (pour l'adresse réseau)
00000000.00000000.00000000.00111111 (pour le wildcard mask)
Chaque bit de l’adresse qui correspond à un bit à 0 dans le masque devra être identique pour correspondre au réseau. Dans le cas présent, seuls les 6 derniers bits de l’adresse peuvent varier. Toutes les adresses qui commenceront par 11000001.00111110.00011110.01…… feront donc partie du range.
Il y a bien sur moyen de calculer plus rapidement ces wildcard masks, surtout parce qu’on utilise que très rarement des masques comme 0.0.124.93 (00000000.00000000.01111100.01011101), en théorie on pourrait, mais les résultats seraient assez tordus. Généralement on utilise les wildcard masks qui correspondent à des sous-réseaux:
  • 0.0.0.0 correspond à un masque « normal » /32 ou  255.255.255.255, une adresse de machine.
  • 0.0.0.255 correspond à un masque normal en /24 ou 255.255.255.0
  • 0.0.255.255 correspond à un masque normal en /16 ou 255.255.0.0
  • etc
Pour calculer rapidement le wildcard mask d’un sous réseau le plus simple est de faire une simple soustraction comme suit:

  255.255.255.255
- 255.255.255.192 ( pour un masque en /26 )
-----------------
=  0 . 0 . 0 . 63
 
Autre exemple pour un masque en /19

  255.255.255.255
- 255.255.224. 0
-----------------
=  0 . 0 . 31. 255
Voilà, il n’y a pas grand chose d’autre à dire à ce sujet.