Bah mamadou hady

École Centrale des Logiciels Libres et de Télécommunications
Rapport architecture des équipements Cisco
Présenté par :
Mamadou Hady Bah Me. Aly TIRERA

SOMMAIRE
I - Introduction.....................................................................................................................................4
II - TP1 :..............................................................................................................................................4
Activation de connexion à distance SSH avec authentification des Users via Radius...................4
III - TP2 :.............................................................................................................................................4
Sécurisation des ports d’un switch (passez emprunter 1 switch au loba).......................................4
IV - TP3 :.............................................................................................................................................4
Segmentation des réseaux avec des VLAN....................................................................................4
1. VLAN Liaison ACCES pour chaque réseau virtuel pour relier les deux switchs..................4
2. VLAN : Une seule liaison TRUNK pour relier les deux switchs..........................................4
3. Mise en œuvre des VLAN avec VTP.....................................................................................4
4. Routage inter-vlan classique..................................................................................................4
5. Routage Inter-vlan avec un Router On a Stick.......................................................................4
6. Routage Inter-vlan avec un switch de niveau 3......................................................................4
V - TP4 :..............................................................................................................................................4
Mise en place d’ACL......................................................................................................................4
VI - TP5 :.............................................................................................................................................4
Mise en œuvre des ports mirroring et forwarding..........................................................................4
VII - TP6 :............................................................................................................................................4
Mise en œuvre des protocoles VRRP et HSRP...............................................................................4
VIII - Projet: Etude du protocole GLBP..............................................................................................4
I) Introduction.................................................................................................................................5
1) Principe de fonctionnement...................................................................................................5
2) Schéma réseau........................................................................................................................5
II) Configuration de Base................................................................................................................5
III) Mise en place de GLBP............................................................................................................5
1) GBLP coté LAN : groupe 1...................................................................................................5
2) GLBP coté WAN : groupe 2..................................................................................................5
3) Test de fonctionnement..........................................................................................................5
IV) Configurations du load balancing.............................................................................................5
1) Round Robin..........................................................................................................................5
2) Weighted................................................................................................................................5
3) host-dependent.......................................................................................................................5
V) Configuration d’un track...........................................................................................................5
1) Configurations.......................................................................................................................5
2) Observations..........................................................................................................................5
VI) Authentification GLBP.............................................................................................................5
1) Authentification avec mot de passe.......................................................................................5
2) Authentification avec une Key-string....................................................................................5
3) Authentification avec Key-chain...........................................................................................5
VII) application au TP de routage inter-vlan avec les switchs de niveau 3....................................5
IX - Conclusion...................................................................................................................................5
École Centrale des Logiciels Libres et des Télécommunications

I – Introduction
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la
table de routage. C'est un équipement de couche 3 par rapport au modèle OSI.
Cisco étant réputer pour être le meilleur concepteur des équipement réseau au monde, connaître ces
équipement est un acquis indispensable dans le domaine des TIC au 21ième Siècle.
Sur ceux la nécessité de connaître quelques uns des ces équipement qui est d’ailleurs l’un des
objectifs phares de ces travaux mais aussi d’avoir un aperçus sur certains protocoles qui sont des
éléments indispensables dans le domaine des réseaux comme le VRRP, HSRP, GLBP, … qui tous
fournissent des services très spéciaux en la matière.

II - TP1 :
Activation de connexion à distance SSH avec authentification des
Users via Radius
Pour conclure cette partie sur la sécurité des appareils CISCO, nous nous proposons donc de
coupler nos routeurs et nos switchs à un serveur permettant de centraliser tous les utilisateurs de
notre réseau. Le protocole que vous allez utiliser, RADIUS
➢ Définition
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant
de centraliser des données d'authentification. Le protocole RADIUS a été inventé et développé en
1991 par la société Livingston, qui fabriquait des serveurs d'accès au réseau pour du matériel
uniquement équipé d'interfaces série; il a fait ultérieurement l'objet d'une normalisation par l'IETF.
La dernière version du protocole RADIUS est normalisée par l'IETF dans deux RFC: 2865
(RADIUS authentication) et 2866 (RADIUS accounting) de juin 2000.
➢ Secure Shell(SSH)
Secure SHell (SSH) est à la fois un programme informatique et un protocole de communication
sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de
connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés.
Pour mettre en place le travail que nous nous sommes fixer nous allons monter l’architecture.
➢ Architecture

Installation et Configuration d’un serveur RADIUS
Il faut installer un serveur radius sur une machine Ubuntu avec la commande suivantes :
Configuration du client radius
on édite le fichier /etc/freeradius/clients.conf dans notre cas pour certains le chemin est
/etc/freeradius/3.0/clients.conf comme le montre la figure ci-dessous :
On l’adapte à l’image suivante:
Ensuite on va créer les différents comptes utilisateur pour ouvrir des sessions sur le routeur à
distance dans le fichier /etc/freeradius/users n’oubliez pas l’autre chemin indiquer un peu plus
pour certains cas comme le montre la figure ci-dessous :
Sauvegardons le fichier et redémarrons le service freeradius

Configuration du routeur R1
Configuration de l’interface du Routeur R1
!
hostname R1
!
interface FastEthernet0/0
ip address dhcp
no shutdown
!
ssh : activation de connexion sur routeur
!
a) On donne un nom de domaine au routeur par la commande :
!
ip domain name ec2lt.sn
!
b) on gérére la clé de chiffrement par la commande :
!
crypto key generate rsa
!
c) On active le ssh par la commande :
!
ip ssh version 2
!
d) On configure l’authentification et on ajoute un compte utilisateurs
!
aaa new-model
aaa authentication login default local
username admin secret 5 $1$agMP$Yfpibhd5SQD9DlrEWIi8W.
!
Activation de l’ouverture de sessions à distance
!

line vty 0 5
login authentication default
transport input ssh# Pour autoriser uniquement les connexion ssh
enable secret 5 $1$kvGq$7dXnlf1MH6nu4Vt/ximHh.
!
Configuration de la methode d’authentification AAA sur le routeur
!
aaa new-model
aaa authentication dot1x default group radius
aaa authentication login default group radius
aaa authorization network default group radius
aaa authorization exec default local group radius
radius-server host 192.168.122.240 auth-port 1812 acct-port 1646 key testing123
!
end
R1#test aaa group radius [username] [mot de passe] legacy
Les caractères illisible sont le mot de passe que nous avons défini.
La commande aaa new-model active les fonctions d’authentification, d’autorisation
et de comptabilité du switch. Les trois commandes suivantes définissent les services
du serveur RADIUS (déclaré plus bas) qui aura la charge d’authentifier les utilisateurs.
La commande radius-server déclare le serveur RADIUS qui fournit les services
demandés ainsi qu’une clé d’authentification.
la commande test aaa permet de tester la disponibilité du serveur de RADIUS.

Maintenant nous allons tester nos comptes depuis le depuis avant
On utilise la commande suivante :
On constate que l’utilisateur a bien été authentifié au près du serveur RADIUS comme le montre
la figure ci-dessous : Pensez à démarrer le freeradius en mode debeug avec freeradius -X mais il
faut l’arrêter d’abord avant de lancer la commande.
Nous allons maintenant prendre une machine docker et installer openssh-server avec la
commande: apt-get install openssh-server comme vous pouvez le voir ici.
Ensuite configurons le client ssh en éditant le fichier /etc/ssh/ssh_config et en décommentant la
ligne suivante comme le montre la figure ci-dessous :

On ajoute sur le client SSH de Linux pour l’échange des paramètres de diffie-hellman dans
le fichier /etc/ssh/ssh_config comme ci-dessous:
Redémarrer le service avec /etc/init.d/ssh restart
Lançons une nouvelle connexion SSH vers le routeur, en essayant de nous authentifier avec les
utilisateurs radius comme le montre la figure ci-après :
Nous remarquons que la connectivité passer car nous parvenons à nous connecter depuis le client
sur le routeur avec les comptes que nous avons créer au niveau du serveur.

III - TP2 :
Sécurisation des ports d’un switch (passez emprunter 1 switch au labo)
Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments (câbles
ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer des circuits
virtuels.
Sécurisation de port
La sécurisation d’un port consiste à n’autoriser que certaines adresses MAC à envoyer des
trames au switch sur un port donné. Si le switch reçoit sur ce port une trame dont l’adresse
MAC source n’est pas dans la liste des adresses autorisées (on parle de violation de
sécurité), la politique par défaut est de fermer complètement le port (politique shutdown).
D’autres politiques sont applicables comme celle d’ignorer simplement la trame (politique
restrict).
Pour mettre cette sécurité des ports sur un switch nous allons monter notre topologie.
➢ ARCHITECTURE
Le 10.10.10.0/24 est notre réseau

Quelques commandes utiles sur les SWITCHs:
Pour afficher la table de commutation:
show mac address-table
Vider la table de commutation(les entrés dynamiques uniquement):
clear mac address-table dynamic
Afficher la duré de vie des entrés dynamiques de la table:
show mac address-table aging-time
Fixer à N secondes la duré de vie des entrés dynamiques de la table:
mac address-table aging-time N
Une fois les différents postes sont branchés sur le switch, nous allons afficher les ports pour
identifier celui que nous voulons sécurisé.
Comme sur cette image nous voulons sécurisé le port fa0/7 à travers l’adresse MAC de la machine
qui est connecter sur lui. Dont l’adresse est la suivante: 5cf9.dd5a.224e
A présent le port est identifié nous allons procéder à la configuration qui permet de sécurisé un port
à travers une adresse Mac comme le montre la figure ci-dessous:

Là nous vérifions est-ce que le port est bien sécurisé comme nous pouvons le voir ici.
Maintenant que nous avons sécurisé un de nos port essayons d’abord la connectivité entre les
différents machines qui y sont connectées au SWITCH.

Après avoir interdit toute connexion sur le port fa0/7 ayant une adresse Mac différente. essayons de
brancher une nouvelle machine sur le même port et voir le résultat. Ici nous remarquons que si
autre machine est branchée sur ce port il ne parvient plus à voir les autres car l’interface ne s’active
pas comme vous pouvez le voir ci-dessous:
Une autre méthode consiste à donner un nombre maximal des machines pouvant se connecter sur
un port.
➢ Sécurité par rapport à un nombre maximale
Connectons des machines à ce port et à chaque fois que nous branchons une nouvelle essayons de
faire un ping vers les autres et tirer une conclusion.
➢ Une première machine

➢ Une deuxième machine
➢ Une troisième machine
Nous constatons que si on essaye d’excéder le nombre maximale défini les choses ne vont plus
fonctionné.
Quelques détails sur les commandes utiliser pour réaliser ce travail.
Ce TP nous a permit de savoir que nous pouvons faire beaucoup des choses sur les port d’un
Switch pour éviter tout trafique non souhaiter.

IV - TP3 :
Segmentation des réseaux avec des VLAN
1. VLAN Liaison ACCES pour chaque réseau virtuel pour relier les deux
switchs
Ce TP consiste à utiliser quelques ports des deux switchs pour créer des réseaux virtuels appelé
VLAN.
Les flux de chaque réseau virtuel empruntent un chemin différent donc au tend de réseaux virtuels
que de liens entre les deux switchs.
➢ Définition
Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau
informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même
commutateur réseau.
➢ Intérêt des VLAN
Les VLAN présentent les intérêts suivants:
• Améliorer la gestion du réseau.
• Optimiser la bande passante.
• Séparer les flux.
• Segmentation: réduire la taille d'un domaine de broadcast,
• Sécurité: permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul
moyen pour communiquer entre des machines appartenant à des VLAN différents est alors
de passer par un routeur.
➢ Architecture

1) Donner les adresses IP aux différentes machines des différents vlans
2) Création des vlans sur les deux switchs
3) Affectation des ports aux vlans

Test de connectivité
Testons la connectivité entre les machines d’un même réseau virtuel
➢ VLAN 10
➢ VLAN 20
➢ VLAN 30
Remarques :
• utilisation inutile des câbles
• gaspillage d’interfaces fastethernet du switch

2. VLAN : Une seule liaison TRUNK pour relier les deux switchs
L’objectif de ce TP est d’utiliser un lien TRUNK entre les deux switchs pour transporter les
flux des différents réseaux virtuels. L’avantage d’un lien TRUNK est de pouvoir véhiculer
les données des différents vlans. Il permet aussi d’économiser le câble et des ports au niveau des
deux Switchs.
➢ Définition
Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien
physique (Une "sorte" d’agrégation de plusieurs lignes de télécommunication ou de VLAN afin
d'augmenter la bande passante…).
➢ TOPOLOGIE
1) Affecter les adresses IP aux différentes machines des différents vlans
2) Créer les vlans sur les deux switchs

3) Affectation des ports aux vlans
• Sur le switch 1 (SW1)
• Sur le switch 1 (SW2)
4) On affiche les détails du lien TRUNK avec la commande show interface 1/0
switchport.
Une fois cette commande est saisi vous verrez les trois lignes suivantes avec ses
explications:
Operational Mode : trunk : interface fonctionne en mode TRUNK
Operational Trunking Encapsulation : dot1q : donne le protocole d’encapsulation utilisé
Trunking Vlan Active : donne la liste des différents vlans admis pour le transport des flux

Teste de connectivité
➢ VLAN 10
➢ VLAN 20
➢ VLAN 30
Remarque: l’utilisation de liaison trunk permet d’économiser des port et des liens en terme
d’interfaces et en plus ça facilite la configuration.

3. Mise en œuvre des VLAN avec VTP
➢ Définition
VTP ou VLAN Trunking Protocol est un protocole de niveau 2 utilisé pour configurer et
administrer les VLAN sur les périphériques Cisco.
Principes du VTP
VTP (VLAN Trunking Protocol), protocole propriétaire Cisco permet, aux commutateurs
qui l’implémentent, d'échanger des informations de configuration des VLAN.Il permet donc de
redistribuer une configuration à d'autres commutateurs, évitant par la
même occasion à l'administrateur de faire des erreurs, en se trompant par exemple de nom
de VLAN.
Dans un domaine VTP, on distingue une hiérarchie comprenant trois modes de
fonctionnement :
• VTP serveur
• VTP client
• VTP transparent
Les modes VTP
Les commutateurs qui font office de serveur VTP peuvent créer, modifier, supprimer les
VLAN et d'autres paramètres de configuration. Ce sont eux qui transmettront cette
configuration aux commutateurs en mode client (ou serveur) dans leur domaine VTP.
Les commutateurs fonctionnant en mode client ne peuvent que recevoir et transmettre les
mises à jour de configuration.
Le mode transparent, lui, permet aux commutateurs de ne pas tenir compte des mises à
jour VTP. Ils sont autonomes dans le domaine VTP et ne peuvent configurer que leurs VLAN
(connectés localement). Cependant, ils transmettent aux autres commutateurs les mises à
jour qu’ils reçoivent.
Les commutateurs en mode serveur et client mettent à jour leur base de données VLAN, si
et seulement si, ils reçoivent une mise à jour VTP concernant leur domaine et contenant un
numéro de révision supérieur à celui déjà présent dans leur base.

➢ ARCHITECTURE
Configuration de VTP sur les SWITCHs
➢ Serveur
➢ Transparent

➢ Client
Configuration de la liaison trunk sur les interfaces
➢ Sur le Serveur
➢ Sur le Client
➢ Sur le transparent

Création des vlan sur le serveur
Vérification des VLAN avec la commande show vlan-swhitch
➢ Sur le serveur
➢ Sur le Client
Nous voyons bien que les vlan crée sur le serveur sont automatiquement sur le client, donc
la configuration du protocole vtp fonctionne.

NB: On pouvait ne pas mettre le lien entre le serveur et le client en utilisant le
transparent comme l’élément intermédiaire, ou encore ne pas utiliser le transparent en
reliant directement le serveur et client car ça allait toujours donner le même résultat .
En plus nous remarquons qu’avec ce protocole nous avons le pouvoir d’administrer nos
switchs à distance. D’où son importance dans un milieu où nous avons beaucoup des
équipement à gérer.

4. Routage inter-vlan classique
Ce TP consiste à mettre en place du routage inter-vlan pour faire communiquer les deux réseaux.
Dans ce TP nous utilisons un équipement de niveau 3 c’est-à-dire un routeur qui a deux interfaces
et chaque interface sera affecter à un vlan comme le montre l’architecture ci-dessous :
➢ ARCHITECTURE
a) Donner des adresses IP aux différentes machines des VLANs 10 et 20

b) Créer les Vlans 10 et 20
c) Affectation des interfaces aux VLAN avec les commandes suivantes:
interface range fastEthernet 1/0 – 2
switchport mode access
switchport access vlan 10
interface range fastEthernet 1/3 - 5
switchport mode access
switchport access vlan 20
d) Affichage des vlan

e) Donner une adresse IP à l’interface f0/0 qui constitue une passerelle par défaut du vlan
10 ensuite activer l’interface.
f) Donner une adresse IP à l’interface f0/1 qui constitue une passerelle par défaut du vlan 20
ensuite activer l’interface.
g) Teste de connectivité entre PC-1 et PC-3
Nous remarquons que la connectivité passe bien entre les machines des différents vlan.

5. Routage Inter-vlan avec un Router On a Stick
Ce TP consiste à faire appel à un équipement de niveau 3 pour faire communiquer les différents
réseaux virtuels. Vue que le switch ne peut être connecté qu’à une seule interface du routeur donc il
faut des interfaces virtuelles.
➢ SCHEMA
a) On donne des adresses IP et la passerelle aux différentes machines des deux vlans 10 et 20
b) création les VLANs 30 et 40

Vous remarquerez une petite incompréhension entre la notation de l’architecture et les
VLANs créer. Sur l’architecture les vlan 10 représente les 30 et les 20 représente les 40
s’est une erreur de frappe on s’en excuse.
c) Ajout des interfaces aux différents vlan avec les commandes que nous avons vu tout à
l’heure pour les liaisons access.
d) Affichons les vlan
e) Configurons l’interface f1/2 en mode trunk pour qu’il puisse véhiculer les flux des deux
vlans 30 et 40 comme le montre la figure ci-dessous :
• Affichage des informations de la liaison trunk

f) Activons l’interface f0/0 du routeur R1
g) Créons deux interfaces virtuelles f0/0.30 et f0/0.40 et affectation d’une adresse IP à
chacune des interfaces virtuelles du routeur R1.

• Affichage des interfaces virtuelles et leur Statut
h) Test de connectivité depuis
Ce TP nous a permit de comprendre que nous avons la possibilité d’utiliser des interfaces
virtuelles à la place des physiques et faire fonctionner exactement les choses comme il le
faut.

6. Routage Inter-vlan avec un switch de niveau 3
On propose l’architecture suivante dont nous avons des switchs d’accès et des switchs de
distributions comme le montre la figure ci-après :
a) Pensons à donner des adresses IP aux deux machines
b) Configuration des liens Trunk entre les switchs d’accès et les switchs de distribution
• Configuration du SW1 et SW2
sw(config)# interface range fastethernet 1/0 - 2
sw(config)# switchport mode trunk

Pour voir les configurations des autres interfaces on utilise la même commande seulement à
la place de 1/0 on met celui correspondant.
• Configuration du SW3 et SW4

Affichage de ses configuration
c) Création des Vlan10 et Vlan20 sur les 4 switch
d) affichons les Vlan

• Configuration des interfaces des SW3 et SW4 relier aux machines

e) Création des interfaces virtuelles sur les deux switchs de distribution (SW1 et SW2)
f) Test de bon fonctionnement
Nous allons depuis PC-1 faire un ping sur PC-2 comme le montre la figure ci-après :
La remarque elle est bonne car la connectivité fonctionne.

V - TP4 :
Mise en place d’ACL
ACL – Access Control List
Généralités
· Une ACL est une liste de règles permettant de filtrer ou d’autoriser du trafic sur un réseau en
fonction de certains critères (IP source, IP destination, port source, port destination, protocole, ...).
· Une ACL permet de soit autoriser du trafic (permit) ou de le bloquer (deny).
· Il est possible d’appliquer au maximum une ACL par interface et par sens (input/output).
· Une ACL est analysée par l’IOS de manière séquentielle.
· Dès qu’une règle correspond au trafic, l’action définie est appliquée, le reste de l’ACL n’est pas
analysé.
· Toute ACL par défaut bloque tout trafic. Donc tout trafic ne correspondant à aucune règle d’une
ACL est rejeté.
Remarque: Les ACLs servent également à identifier un trafic afin d’être traité par un processus,
dans ce cas le trafic correspondant à un « permit » est traité, et celui correspondant à un « deny »
est ignoré.
1. Autoriser l'accès au réseau pour un hôte sélectionné
Cette figure illustre un hôte sélectionné disposant d'une autorisation d'accès au réseau. Tout
trafic originaire de l'hôte PC2 et destiné au réseau 192.168.1.0/24 est autorisé, alors que
tout autre trafic originaire du réseau 192.168.0.0/24 et destiné à 192.168.1.0/24 est refusé.

➢ ARCHITECTURE
➢ Configuration des interfaces du routeur

➢ Configuration de l’ACL en autorisant une hôte sélectionnée
➢ Configuration du PC1
➢ Test de fonctionnement
Nous constatons bien que l’hôte sélectionné arrive à joindre le réseau de destination alors que le
PC3 n’y arrive pas pour des raisons d’interdiction avec le message suivant «communication
interdite administrativement» .

2. ACL et connections SSH
Autorisation de l’IP 172.16.1.2 uniquement à ouvrir des sessions à distance sur le Routeur
R1 :
➢ ARCHITECTURE
➢ Affectation d’une adresse IP à l’interface du routeur

Configuration de l’authentification d’SSH
• On donne un nom de domaine au routeur, on génère une clé et on active le ssh
• Options ajoutées au service ssh
- les évènements associés aux connexions ssh sont enregistrés.
- Un timeout de 60 secondes est ajouté pour les sessions ssh en cas d'inactivité .
- Nous laissons trois essais pour la connexion au routeur.
• Ajout d'un compte administrateur
• Interdiction de toute autre ouverture session que SSH avec transport input ssh
• Création de l’ACL en autorisant uniquement une hôte sélectionnée
• Ajout d’un mot de passe pour le mode privilégiés

➢ Fixons les adresses sur les différentes machines
NB: nous sommes dans le même réseau ce qui veut dire que les passerelles ont été ajouter
uniquement pour s’amuser.
Après avoir installer SSH avec la commande apt-get install openssh-server il faut ajouter à la fin
du fichier /etc/ssh/ssh_config la ligne suivante:
Puis redémarrer le service avec /etc/init.d/ssh restart.
➢ Teste de bon fonctionnement
Souvenez vous que nous avions autorisé uniquement l’hôte ayant 10.10.10.1 comme adresse.
Maintenant essayons avec la machine ayant 10.10.10.2 pour adresse et voir le résultat.
Nous voyons que pour cet utilisateur la connexion est refusée. Donc si on se résume on peut dire
que les ACL nous permet d’autoriser ou refuser un hôte ou un groupe donné à un service.

VI - TP5 :
Mise en œuvre des ports mirroring et forwarding
1) Port mirroring
Le port-mirroring est une technique qui permet de copier tout le trafic d'un ou de plusieurs port(s)
source(s) vers un port de destination.
➢ ARCHITECTURE
a) configurons le mirroring sur le port fa 1/2 de manière à recevoir toutes les informations qui
circulent entre le port fa 1/0 et fa1/1 comme montrer sur l’images suivante:
Nous avons utiliser both parce qu’on a dit toutes les informations qui circulent entre fa1/0 et fa1/1
cela veut dire tout simplement paquets entrant et sortant. Si on voulait seulement recevoir les
paquets reçus on aurait dit utiliser rx et tx pour les paquets transmis.

b) Teste de fonctionnement:
Pour cela lançons un ping depuis PC1 vers PC2 et démarrons Wireshark sur PC3 pour observer
ce qui se passe.
Remarque: le trafique qui s’effectue entre le PC1 et PC2 est bien visible sur l’interface défini
comme étant la destination.

2) Port forwarding
Définition
Le réacheminement de port (port forwarding ou port mapping en anglais) consiste à rediriger des
paquets réseaux reçus sur un port donné d'un ordinateur ou un équipement réseau vers un autre
ordinateur ou équipement réseau sur un port donné.
Le port forwarding, c'est sécurise !
Le fait d'utiliser de la NAT dynamique ainsi que le port forwarding augmente le niveau de
sécurité de votre réseau.
TP de mise en œuvre de port forwarding
➢ ARCHITECTURE
➢ Configuration du Routeur

Pour la configuration du routeur nous allons mettre son interface externe qui f0/0 en dhcp et l’autre
interface f0/1 nous allons la fixer une adresse comme le montre les figures suivantes:
➢ Configuration de redirection de port
Nous allons dire au Routeur tout trafic entrant vers le port 22 et 80 de ton interface externe redirige
le vers la machine locale (10.10.10.1/24) sur le même port.
Pour cela on utilise les commandes suivantes:
R1(config)# ip nat inside source static tcp 10.10.10.1 22 192.168.0.182 22 extendable
R1(config)#ip nat inside source static tcp 10.10.10.1 80 192.168.0.182 80 extendable
L’adresse 10.10.10.1 c’est celle de la machine locale et la 192.168.0.182 est celle de l’interface
externe du routeur.
Pour les tests on lance le navigateur firefox pour accéder au serveur web situé derrière le
routeur ou encire on prend le client-ssh puis on essaye d’ouvrir une session à distance comme le
montre les figures ci-dessous :

• Pour le cas du navigateur
• Pour le vas de ssh
Nous remarquons que l’accession au serveur web situé derrière le routeur et l’ouverture de la
session à distance par ssh fonctionnent.

VII - TP6 :
Mise en œuvre des protocoles VRRP et HSRP
TP de Mise en place du protocole VRRP
Définition
Virtual Router Redundancy Protocol (protocole de redondance de routeur virtuel, VRRP) est un
protocole standard dont le but est d'augmenter la disponibilité de la passerelle par défaut des hôtes
d'un même réseau. Le principe est de définir la passerelle par défaut pour les hôtes du réseau
comme étant une adresse IP virtuelle référençant un groupe de routeurs.
➢ ARCHITECTURE
a) Configurons les interfaces fastEthernet 0/0 et 0/1 des deux routeurs et identifions les interfaces
(identifier l’interface LAN (inside) et identifier l’interface WAN (outside)).
Les interfaces coté WAN nous allons les mettre en dhcp

Comme vous pouvez le voir sur les images ci-dessous:
• Configuration de R1
• Configuration de R2
b) Configuration du PAT sur les deux routeurs
• Nous allons commencer par créer une ACL pour sélectionner les réseaux qui utiliseront le
NAT en même temps nous allons créer une relation entre access-list et l’interface WAN.
Comme nous allons le voir ci-bas:

c) Configuration du protocole VRRP
• configuration de R1
• configuration de R2
d) Afficher les informations du protocole VRRP des deux routeurs
• Sur le routeur R1

• Sur le routeur R2
e) Attribution des éléments TCP/IP aux VPCs
Donnons aux différents VPCs des éléments TCP/IP à savoir une adresse IP , un masque de réseau,
et la passerelle par défaut qui est l’adresse IP virtuelle 20.20.20.254/24
• VPC1
• VPC1
• Configuration du navigateur

f) Test de bon fonctionnement
Lançons le navigateur pour accéder au site de l’école à l’adresse www.ec2lt.sn comme le montre la
figure ci-dessous :
g) Nous allons simuler une panne du routeur Master en arrêtant le routeur R1
• Lançons à nouveau le navigateur et essayons d’accéder à youtube à l’adresse
www.youtube.com comme le montre la figure ci-dessous :

Nous constatons que la redondance des passerelles est bien effectuée car bien vraie que routeur
master est arrêté L’autre prend automatiquement le relais.

TP de Mise en place du protocole HSRP
Présentation de HSRP
Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de “continuité
de service” implémenté dans les routeurs Cisco pour la gestion des “liens de secours”.
HSRP sert à augmenter la tolérance de panne sur le réseau en créant un routeur virtuel à partir de
deux (ou plus) routeurs physiques: un «actif» et l’autre (ou les autres) «en attente» (ou «standby»)
en fonctions des priorités accordées à chacun de ces routeurs.
HSRP est un protocole propriétaire aux équipements Cisco et il n'est pas activé par défaut.
Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de
paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés.
Fonctionemment du protocole HSRP
Cela se fait par la mise en commun du fonctionnement de plusieurs routeurs physiques (au
minimum deux) qui, de manière automatique, assurerons la relève entre eux d’un routeur à un
autre.
Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant
normalisé, il est disponible sur les routeurs d’autres marques que Cisco. Plus précisément, la
technologie HSRP permettra aux routeurs situés dans un même groupe (que l’on nomme «
standby group ») de former un routeur virtuel qui sera l’unique passerelle des hôtes du réseau
local. En se «cachant » derrière ce routeur virtuel aux yeux des hôtes. Les routeurs garantissent en
fait qu’il y est toujours un routeur qui assure le travail de l’ensemble du groupe. Un routeur dans ce
groupe est donc désigné comme « actif » et ce sera lui qui fera passer les requêtes d’un réseau à un
autre.
Pendant que le routeur actif travail, il envoie également des messages aux autres routeurs indiquant
qu’il est toujours « vivant » et opérationnel. Si le routeur principal (élu actif) vient à tomber. Il sera
automatiquement remplacé par un routeur qui était alors jusque-là « passif » et lui aussi membre du
groupe HSRP. Aux yeux des utilisateurs toutefois, cette réélection et ce changement de passerelle
sera totalement invisible car ils auront toujours pour unique passerelle le routeur virtuel que
forment
les routeurs membres du groupe HSRP. Le routeur virtuel aura donc toujours la même IP et adresse
MAC aux yeux des hôtes du réseau même si en réalité il y a un changement du chemin par lequel
transitent les paquets.

➢ ARCHITECTURE
NB: nous avons une meme architecture pour les deux protocoles VRRP et HSRP du coût nous
avons repris les configurations de base mais nous n’allons pas les mettre sur le rapport. Pour
rappelle ce à la place de la configuration de VRRP sur le TP précédent que nous allons configurer
le HSRP. Vu que le plan d’adressage n’a pas était changé, nous sommes obligés soit d’annuler la
configuration du VRRP soit éteindre les routeurs et reprendre à zéro. Pour éviter des messages
d’erreur tel que la coïncidence des adresses etc.
• Configuration du routeur R1

• Nous allons commencer par créer une ACL pour sélectionner les réseaux qui utiliseront le
NAT en même temps nous allons créer une relation entre access-list et l’interface WAN.
Comme nous allons le voir ci-bas:
• Configuration du protocole HSRP
L'élection des routeurs
L’élection des routeurs sert à déterminer lequel sera primaire (actif) et lequel sera secondaire
(passif). Dans notre cas R1 est le primaire.
« Standby » est la commande qui permet la configuration du HSRP. « 10 » est le numéro du
groupe HSRP dont fait partie l’interface. Il faut savoir qu’un routeur peut faire partie de plusieurs
groupes HSRP.
Effectuer la même configuration sur R2 en changeant la priorité par un nombre inférieur à R1.

• Test du HSRP
On peut maintenant passer à notre phase de test où nous allons désactiver le routeur actif pour voir
si les autres routeurs prennent bien le relais.
• Test avant de désactiver le routeur actif
• Test après avoir désactiver le routeur actif
Force est de constater que le protocole HSRV fonctionne comme prévu. Mais nous remarquons que
une fois le routeur «actif» est désactivé il faut patienter quelques temps pour que l’autre prend le
relais.

VIII - Projet: Etude du protocole GLBP
I) Introduction
Gateway Load Balancing Protocol est un protocole propriétaire Cisco qui permet de faire de la
redondance ainsi que de la répartition de charge sur plusieurs routeurs utilisant une seule adresse IP
virtuelle, mais plusieurs adresses MAC virtuelles.
Le protocole GLBP élit un Active Virtual Gateway (AVG) qui va répondre aux requêtes ARP pour
l’adresse IP virtuelle. GLBP permet de donner un poids variable à chacun des routeurs participants
pour la répartition de la charge entre ces routeurs. La charge est donc répartie par hôte dans le sous-
réseau.
1) Principe de fonctionnement
GLBP est un protocole propriétaire Cisco qui reprend les concepts de base de HSRP et VRRP.
Contrairement à ces 2 protocoles, tous les routeurs du groupe GLBP participent activement au
routage alors que dans VRRP ou HSRP, il n’y en a qu’un qui est en mode actif, tandis que les
autres patientent. Plus concrètement, à l’intérieur du groupe GLBP, le routeur ayant la plus haute
priorité ou la plus haute adresse IP du groupe prendra le statut de « AVG » (active virtual
gateway). Ce routeur va intercepter toutes les requêtes ARP effectuées par les clients pour avoir
l’adresse MAC de la passerelle par défaut, et grâce à l’algorithme d’équilibrage de charge
préalablement configuré, il va renvoyer l’adresse MAC virtuelle d’un des routeurs du groupe
GLBP. C’est d’ailleurs le Routeur AVG qui va assigner les adresses MAC virtuelles aux routeurs
du groupe, Ainsi ils ont le statut « AVF » ( Active Virtual Forwarder). Un maximum de 4
adresses MAC virtuelle est défini par groupe, les autres routeurs ayant des rôles de backup en cas
de défaillance des AVF.
Les timers de GLBP sont :
Hello : 3s
Dead : 10s est le temps à partir duquel un AVF sera Dead, son adresse mac sera associée à un autre
AVF
Redirect (Temps à partir duquel on arrêtera de rediriger l’adresse mac d’une AVF Dead vers une
autre AVF) : 600s
Timeout (Temps à partir duquel un routeur est considéré comme inactif, son adresse MAC ne sera
plus utilisée) : 14,400s (4 heures), doit être supérieur au temps de conservation des entrées ARP des
clients.

2) Schéma réseau
Vous pouvez observer que nous allons mettre en place deux groupes GLBP, un de chaque coté de
nos routeurs.
Nous essayerons d’expliquer la configuration le plus simplement possible. Dans mon schéma je
partirai du principe que le routeur R1 est AVG côté LAN, et que R3 est AVG coté WAN.
NB: Nous avons mis en place cette architecture pour bien expliquer et cerner les choses de
façons clair et net. Autrement dit nous allons mettre en place toutes les commandes
nécessaires et essayer au maximum possible d’expliquer tous les détails qui y sont liés au
protocole. Mais la partie pratique c’est un peu plus loin selon c’est qui nous ait demandé de
faire avec le routage inter-vlan en utilisant les switchs de niveau trois.
II) Configuration de Base
• 1) Routeur R1
Nous allons configurer le routeur 1, on commence par faire une petite configuration
générale du routeur :
Router#configure terminale
Router#no ip domain-lookup
Router#hostname R1
Ensuite nous configurons notre interface FastEthernet 0/0 :

R1(config)#interface fastethernet 0/0
R1(config-if)#description "Int LAN"
R1(config-if)#ip address 192.168.0.251 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#description "Int WAN"
• 2) Routeur R2
Même chose pour R2, on lui configure une configuration générale :
Router#hostname R2
• 3) Routeur R3
Et on recommence une dernière fois sur notre routeur R3 :

Router#hostname R3
III) Mise en place de GLBP
1) GBLP coté LAN : groupe 1
Nous commençons par configurer GBLP du coté LAN :
• a) Routeur R1
Comme indiqué au début de l’article, nous désignons R1 comme routeur AVG pour le
groupe GLBP 1 qui correspond au côté LAN de notre réseau.
Voici les commandes qui vont permettre de configurer le GBLP :
R1(config-if)#glbp 1 ip 192.168.0.254
R1(config-if)#glbp 1 priority 255
R1(config-if)#glbp 1 preempt
R1(config-if)#glbp 1 name glbp-lan

Quelques explications :
glbp 1 : Correspond au groupe 1.
glbp 1 ip : Permet d’attribuer une adresse IP à l’interface GLBP.
glbp 1 priority : Permet d’attribuer une priorité au routeur, qui va servir à élire un routeur
AVG. Nous voulons que R1 soit AVG donc nous mettons la plus haute valeur (255).
glbp 1 preempt : Si un routeur entre dans le groupe GLBP avec une valeur de priorité plus
forte que les autres, il doit quand même attendre la prochaine élection (qui aura lieu lorsque
le routeur AVG actuel sera hors service). La commande "preempt" permet d’éviter ce
problème. Pour affiner le réglage nous pouvons régler le délai avant que le routeur ne
reprenne le contrôle du groupe (délai par défaut = 30s) via la commande "glbp 1 preemp
delay XXX" où XXX est un nombre de seconde.
glbp 1 name glbp-lan : Permet simplement de donner un nom au groupe.
• b) Routeur R2
Pour la configuration de R2, on recommence :
On n’oublie pas de changer la valeur de la priorité par une plus faible.
• c) Routeur R3
Même chose :
2) GLBP coté WAN : groupe 2
Comme indiqué au début de l’article, nous désignons R3 comme routeur AVG pour le groupe
GLBP 2 qui correspond au coté WAN de notre réseau.
• a) Routeur R1
Voici les commandes qui vont permettre de configurer le GBLP coté WAN :

R1(config-if)#glbp 2 name glbp-wan
• b) Routeur R2
Pour la configuration de R2, on recommence :
• c) Routeur R3
Même chose :
3) Test de fonctionnement
Nous regardons le fonctionnement du groupe 1 de GLBP via la commande "show glbp" :
Si tout ça se passe bien Nous pouvons voir que :
Nos 3 routeurs sont biens dans le groupe 1
Les 3 adresses MAC virtuelles
R1 est bien routeur AVG du groupe 1
Que l’équilibrage fonctionne par défaut en mode "Round Robin"
Vous devez pouvoir tester maintenant la redondance, pour cela vous allez faire un Ping
infini de PC1 vers PC2. Vous regarderez à quel routeur votre PC1 est lié pour l’éteindre et
combien de Ping on perd.
Vous affichez la table ARP de PC1 avec arp -a :
En tapant la commande "show glbp", vous pouvez voir que l’adresse MAC de la
passerelle correspond au routeur R1 :
Maintenant vous savez que le routeur utilisé par PC1 est R1, vous débranchez donc R1 et
observez le Ping :
Grâce aux observations que vous devez faire, vous devez pouvoir établir un tableau
rassemblant au suivant :

Tableau correspondance MAC
@MAC Virtuelle @IP Hostname
0007.b400.0101 192.168.0.253 R1
0007.b400.0102 192.168.0.251 R2
0007.b400.0103 192.168.0.252 R3
Mais bien évidement si tout fonctionne correctement.
IV) Configurations du load balancing
GLBP propose trois modes d’équilibrage de charge :
Round Robin (le mode par défaut) : Pour chaque requête ARP, on renvoi l’adresse Mac
virtuelle immédiatement disponible. Prenons l’exemple ou nous avons une seule machine.
Si cette station fait une requête ARP, elle obtiendra l’adresse MAC du premier routeur. Si
elle vide son cache ARP, est qu’elle refait une requête, elle obtiendra l’adresse MAC du
second routeur, Ainsi de suite.
Weighted : Le poids de chaque interface du groupe GLBP définit la proportion de trafic à
envoyer sur chaque routeur.
Host-dependent : Chaque client générant une requête ARP recevra toujours la même
adresse Mac virtuelle.
1) Round Robin
• a) Configuration
Pour activer Round Robin, il nous faut seulement taper une commande :
glbp 1 load-balancing roung-robin
• b) Observations
On affiche les informations de GLBP via la commande "show glbp" :
Une fois cette commande est saisie vous pouvez observer que le mode est bien "Round
Robin".
Lancez un Ping infini de PC1 vers PC2. Vous regardez la table ARP, vous la videz, puis
vous regardez de nouveau pour observer si l’adresse MAC contenue dans la table ARP
change après chaque nouvelle requête ARP.
La commande arp -a permet d’afficher la table ARP du PC.
La commande arp -d permet de vider la table ARP du PC.
Donnez une conclusion ?

2) Weighted
Pour activer weighted, il nous faut seulement taper une commande :
glbp 1 load-balancing weighted
Puis ensuite sur chaque interface du groupe (Fa 0/0 de R1, R2 et R3 par exemple) vous
devez définir un poids via la commande :
glbp 1 weighting XXX
Si par exemple vous avez deux routeurs A et B. Le routeur A possède des interfaces à
100Mb/s et que le routeur B possède des interfaces à 1GB/s, vous devez mettre un poids
plus important sur les interfaces du routeur B pour qu’il soit privilégié.
• b) Observations
Affichez les informations de GLBP via la commande "show glbp" :
Conclure.
Tous les équipement ne sont pas du tout compatible avec ce mode.
3) host-dependent
Pour activer host-dependent, il nous faut seulement taper une commande :
glbp 1 load-balancing host-dependent
• b) Observations
Affichez les informations de GLBP via la commande "show glbp" :
Conclure.
V) Configuration d’un track
Comment expliquer le fonctionnement du Track ?
Imaginons que le lien entre R1 et Switch 2 tombe en panne. Le groupe GLBP 2, va
retirer le routeur R1 car il devient indisponible. Mais Le groupe GLBP1, il regarde
seulement les interfaces de son groupe. fa0/1 du routeur R1 ne faisant pas partie de
son groupe, il ne prendra pas en compte si l’interface tombe en panne. Pour éviter
ces problèmes nous allons configurer un "track", nous allons demander au routeur
d’observer l’interface fa 0/1 au niveau routage et au niveau physique. Pour finir nous
allons configurer le groupe GLBP 1 pour qu’il décrémente le poids des interfaces
dans le cas où le track lui indique qu’il y a un problème.

Pour information le poids par défaut de l’interface est de "100" .
1) Configurations
On commence par créer le track :
#configure terminal
(config)#track 1 interface fastethernet 0/1 line-protocole
(config-track)#exit
(config)#track 2 interface fastethernet 0/1 ip routing
(config-track)#exit
track 1 : Le chiffre "1" correspond à l’identifiant du track.
interface fastethernet 0/1 : indique que l’on veut surveiller cette interface.
line-protocole : Surveille le coté physique de l’interface.
ip routing : Surveille le coté routage de l’interface.
Ensuite nous allons configurer le groupe GLBP :
(config)#interface fastethernet 0/0
(config-if)#glbp 1 weighting 100 lower 50
(config-if)#glbp 1 weighting track 1 decrement 60
(config-if)#glbp 1 weighting track 2 decrement 60
weighting 100 lower 50 : On indique que le poids de l’interface et de 100, et que le
poids ne doit pas être en dessous de 50.
weighting track 1 decrement 60 : On fait en sorte que si le track 1 tombe alors on
décrémente le poids de l’interface de 60.
weighting track 2 decrement 60 : Même chose pour le track 2
On remarque que si un track tombe, le poids sera donc inférieur à 50, donc le groupe GLBP
1 va retirer le routeur en question. Les données ne seront donc plus envoyées au routeur
ayant un problème.
Pensez à faire cette configuration pour chaque groupe GLBP sur chaque routeur du ou des
groupe(s).

2) Observations
Vous allez faire un test pour vérifier le fonctionnement.
Vous allez lancer un Ping infini de PC1 vers PC2, puis comme dans l’exemple ci-dessus,
vous allez débrancher le câble entre le routeur auquel vous êtes rattaché et le switch2 pour
observer.
VI) Authentification GLBP
Il existe trois modes d’authentification avec GLBP :
Authentification avec un mot de passe.
Authentification en utilisant une Key-string
Authentification en utilisant une Key-chain
1) Authentification avec mot de passe
La plus simple des authentifications, le mot de passe :
(config-if)#glbp 1 authentication text Mot_De_Passe
A faire sur chaque routeur du groupe GLBP.
2) Authentification avec une Key-string
Sur chaque routeur on active le chiffrement des mots de passe :
#configure terminal
(config)#service password-encryption
Ensuite, on configure l’authentification :
(config-if)#glbp 1 authentication md5 key-string 0 Mot_De_Passe
3) Authentification avec Key-chain
Cette dernière méthode d’authentification est la plus complexe.
Sur chaque routeur on active le chiffrement des mots de passe :
#configure terminal
(config)#service password-encryption

Ensuite on configure la chaine de sécurité :
(config)#key chain Nom_de_la_chaine
(config-keychain)#key 0
(config-keychain-key)#key-string 0 Mot_De_Passe
key chain Nom_de_la_chaine : on donne un nom à la chaine, pour faciliter
l’utilisation.
key 0 : Le chiffre "0" correspond à l’identifiant de la clef, dans le cas où nous
aurions plusieurs clefs.
key-string 0 Mot_De_Passe : On définit la clef.
Pour finir on applique la chaine au groupe GLBP :
(config-if)#glbp 1 authentication md5 key-chain Nom_de_la_chaine
Nous y voilà arriver à la fin de l’étude du protocole glbp. Nous pouvons en déduire que le
protocole est un protocole très important dans le domaine du réseau d’après tout ce qu’on a
vu à son sujet, mais assez long.

VII) application au TP de routage inter-vlan avec les switchs de niveau 3.
Comme dit un peu plus haut, c’est dans cette parie que nous allons mettre en pratique les
connaissances acquises au cour de l’étude du protocole.
Pour cela nous allons mettre en place notre architecture.
➢ ARCHITECTURE
➢ Configuration des swtchs: nous allons configurer des liaisons trunk sur toues les
interfaces des switchs exceptées que les reliées aux Pcs.
• SWITCH1
Faire exactement la même chose sur le SWITCH2

• SWITCH3
Faire exactement la même chose sur le SWITCH4
➢ Création des VLANs: nous allons créer des vlans sur touts les SWITCHs.
• Sur SWITCH1 et 2
A faire sur les deux autres.
➢ Affectation: affectons les interfaces 1/2 des switchs 3 et 4 aux différents VLANs
respectivement 10 et 20.
• SWITCH3
• SWITCH4

➢ Affichage: affichons les vlans que nous avons créer.
• SWITCH1
• SWITCH2
• SWITCH3
• SWITCH4

Nous constatons que les deux interfaces 1/2 des switchs 2 et 4 sont affectées aux vlans 10
et 20.
➢ Affichage: dans cette partie nous allons afficher les liaisons trunk et access que
nous avons créer sur les SWITCHs.
• SWITCH1 et 2: pour les interfaces 1/0
A faire sur toutes les interfaces de tous les switchs.
➢ Attribution: attribuons des adresses IP virtuelles aux SWITCHs des distributions.
• SWITCH1

• SWITCH2
➢ Configuration: Ici on configure le protocole glbp sur les switchs des distributions.
• SWITCH1

• SWITCH2
➢ Vérification: vérifions la configuration du prtocole glb avec show glbp.
• SWITCH1

➢ Affichage: Ici on affiche le statu avec show glbp brief:
La partie configuration est terminée: vous allez voir que il n’y a pas beaucoup des
détails, juste parce que nous supposons que ceux précédemment sur la partie étude du
protocole ont été suffisants.

➢ Phase de test: Maintenant nous allons procéder aux testes. Après avoir donner les
éléments TCP/IP aux VPCs lançons un ping entre les deux comme ci-dessous:
On arrête le lien AVG pour voir.

Arrêt d’un autre lien.
Nous voyons que l’ensemble de la configuration du protocole fonctionne car n peut arrêter
n’importe quel lien de notre architecture et cela n’empêche pas le bon fonctionnement.

IX – Conclusion
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la
table de routage. C'est un équipement de couche 3 par rapport au modèle OSI.
Cisco étant réputer pour être le meilleur concepteur des équipement réseau au monde, connaître ces
équipement est un acquis indispensable dans le domaine des TIC au 21ième Siècle.
D’où l’importance de ces Tps qui non seulement nous ont permis de manipuler quelques uns de ses
équipement mais aussi plusieurs protocoles tels que: VRRP, HSRP, GLBP … qui assurent la
redondance des passerelles, la répartition des charges et tant d’autres qui sont des solutions
incontournables dans le domaine de sécurité des réseau, car très favorables aux pannes
intermédiaire d’un équipement parmi tant d’autres.
Pour terminer nous pouvons dire que ces travaux pratiques ont été sûrement un des meilleurs
travaux qui soient.

Bah mamadou hady

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Bah mamadou hady

Similaire à Bah mamadou hady (20)

Bah mamadou hady