SlideShare une entreprise Scribd logo
École Centrale des Logiciels Libres et de Télécommunications
Rapport architecture des équipements Cisco
Présenté par :
Mamadou Hady Bah Me. Aly TIRERA
SOMMAIRE
I - Introduction.....................................................................................................................................4
II - TP1 :..............................................................................................................................................4
Activation de connexion à distance SSH avec authentification des Users via Radius...................4
III - TP2 :.............................................................................................................................................4
Sécurisation des ports d’un switch (passez emprunter 1 switch au loba).......................................4
IV - TP3 :.............................................................................................................................................4
Segmentation des réseaux avec des VLAN....................................................................................4
1. VLAN Liaison ACCES pour chaque réseau virtuel pour relier les deux switchs..................4
2. VLAN : Une seule liaison TRUNK pour relier les deux switchs..........................................4
3. Mise en œuvre des VLAN avec VTP.....................................................................................4
4. Routage inter-vlan classique..................................................................................................4
5. Routage Inter-vlan avec un Router On a Stick.......................................................................4
6. Routage Inter-vlan avec un switch de niveau 3......................................................................4
V - TP4 :..............................................................................................................................................4
Mise en place d’ACL......................................................................................................................4
VI - TP5 :.............................................................................................................................................4
Mise en œuvre des ports mirroring et forwarding..........................................................................4
VII - TP6 :............................................................................................................................................4
Mise en œuvre des protocoles VRRP et HSRP...............................................................................4
VIII - Projet: Etude du protocole GLBP..............................................................................................4
I) Introduction.................................................................................................................................5
1) Principe de fonctionnement...................................................................................................5
2) Schéma réseau........................................................................................................................5
II) Configuration de Base................................................................................................................5
III) Mise en place de GLBP............................................................................................................5
1) GBLP coté LAN : groupe 1...................................................................................................5
2) GLBP coté WAN : groupe 2..................................................................................................5
3) Test de fonctionnement..........................................................................................................5
IV) Configurations du load balancing.............................................................................................5
1) Round Robin..........................................................................................................................5
2) Weighted................................................................................................................................5
3) host-dependent.......................................................................................................................5
V) Configuration d’un track...........................................................................................................5
1) Configurations.......................................................................................................................5
2) Observations..........................................................................................................................5
VI) Authentification GLBP.............................................................................................................5
1) Authentification avec mot de passe.......................................................................................5
2) Authentification avec une Key-string....................................................................................5
3) Authentification avec Key-chain...........................................................................................5
VII) application au TP de routage inter-vlan avec les switchs de niveau 3....................................5
IX - Conclusion...................................................................................................................................5
École Centrale des Logiciels Libres et des Télécommunications
I – Introduction
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la
table de routage. C'est un équipement de couche 3 par rapport au modèle OSI.
Cisco étant réputer pour être le meilleur concepteur des équipement réseau au monde, connaître ces
équipement est un acquis indispensable dans le domaine des TIC au 21ième Siècle.
Sur ceux la nécessité de connaître quelques uns des ces équipement qui est d’ailleurs l’un des
objectifs phares de ces travaux mais aussi d’avoir un aperçus sur certains protocoles qui sont des
éléments indispensables dans le domaine des réseaux comme le VRRP, HSRP, GLBP, … qui tous
fournissent des services très spéciaux en la matière.
École Centrale des Logiciels Libres et des Télécommunications
II - TP1 :
Activation de connexion à distance SSH avec authentification des
Users via Radius
Pour conclure cette partie sur la sécurité des appareils CISCO, nous nous proposons donc de
coupler nos routeurs et nos switchs à un serveur permettant de centraliser tous les utilisateurs de
notre réseau. Le protocole que vous allez utiliser, RADIUS
➢ Définition
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant
de centraliser des données d'authentification. Le protocole RADIUS a été inventé et développé en
1991 par la société Livingston, qui fabriquait des serveurs d'accès au réseau pour du matériel
uniquement équipé d'interfaces série; il a fait ultérieurement l'objet d'une normalisation par l'IETF.
La dernière version du protocole RADIUS est normalisée par l'IETF dans deux RFC: 2865
(RADIUS authentication) et 2866 (RADIUS accounting) de juin 2000.
➢ Secure Shell(SSH)
Secure SHell (SSH) est à la fois un programme informatique et un protocole de communication
sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de
connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés.
Pour mettre en place le travail que nous nous sommes fixer nous allons monter l’architecture.
➢ Architecture
École Centrale des Logiciels Libres et des Télécommunications
Installation et Configuration d’un serveur RADIUS
Il faut installer un serveur radius sur une machine Ubuntu avec la commande suivantes :
Configuration du client radius
on édite le fichier /etc/freeradius/clients.conf dans notre cas pour certains le chemin est
/etc/freeradius/3.0/clients.conf comme le montre la figure ci-dessous :
On l’adapte à l’image suivante:
Ensuite on va créer les différents comptes utilisateur pour ouvrir des sessions sur le routeur à
distance dans le fichier /etc/freeradius/users n’oubliez pas l’autre chemin indiquer un peu plus
pour certains cas comme le montre la figure ci-dessous :
Sauvegardons le fichier et redémarrons le service freeradius
École Centrale des Logiciels Libres et des Télécommunications
Configuration du routeur R1
Configuration de l’interface du Routeur R1
!
hostname R1
!
interface FastEthernet0/0
ip address dhcp
no shutdown
!
ssh : activation de connexion sur routeur
!
a) On donne un nom de domaine au routeur par la commande :
!
ip domain name ec2lt.sn
!
b) on gérére la clé de chiffrement par la commande :
!
crypto key generate rsa
!
c) On active le ssh par la commande :
!
ip ssh version 2
!
d) On configure l’authentification et on ajoute un compte utilisateurs
!
aaa new-model
aaa authentication login default local
username admin secret 5 $1$agMP$Yfpibhd5SQD9DlrEWIi8W.
!
Activation de l’ouverture de sessions à distance
!
École Centrale des Logiciels Libres et des Télécommunications
line vty 0 5
login authentication default
transport input ssh# Pour autoriser uniquement les connexion ssh
enable secret 5 $1$kvGq$7dXnlf1MH6nu4Vt/ximHh.
!
Configuration de la methode d’authentification AAA sur le routeur
!
aaa new-model
aaa authentication dot1x default group radius
aaa authentication login default group radius
aaa authorization network default group radius
aaa authorization exec default local group radius
radius-server host 192.168.122.240 auth-port 1812 acct-port 1646 key testing123
!
end
R1#test aaa group radius [username] [mot de passe] legacy
Les caractères illisible sont le mot de passe que nous avons défini.
La commande aaa new-model active les fonctions d’authentification, d’autorisation
et de comptabilité du switch. Les trois commandes suivantes définissent les services
du serveur RADIUS (déclaré plus bas) qui aura la charge d’authentifier les utilisateurs.
La commande radius-server déclare le serveur RADIUS qui fournit les services
demandés ainsi qu’une clé d’authentification.
la commande test aaa permet de tester la disponibilité du serveur de RADIUS.
École Centrale des Logiciels Libres et des Télécommunications
Maintenant nous allons tester nos comptes depuis le depuis avant
On utilise la commande suivante :
On constate que l’utilisateur a bien été authentifié au près du serveur RADIUS comme le montre
la figure ci-dessous : Pensez à démarrer le freeradius en mode debeug avec freeradius -X mais il
faut l’arrêter d’abord avant de lancer la commande.
Nous allons maintenant prendre une machine docker et installer openssh-server avec la
commande: apt-get install openssh-server comme vous pouvez le voir ici.
Ensuite configurons le client ssh en éditant le fichier /etc/ssh/ssh_config et en décommentant la
ligne suivante comme le montre la figure ci-dessous :
École Centrale des Logiciels Libres et des Télécommunications
On ajoute sur le client SSH de Linux pour l’échange des paramètres de diffie-hellman dans
le fichier /etc/ssh/ssh_config comme ci-dessous:
Redémarrer le service avec /etc/init.d/ssh restart
Lançons une nouvelle connexion SSH vers le routeur, en essayant de nous authentifier avec les
utilisateurs radius comme le montre la figure ci-après :
Nous remarquons que la connectivité passer car nous parvenons à nous connecter depuis le client
sur le routeur avec les comptes que nous avons créer au niveau du serveur.
École Centrale des Logiciels Libres et des Télécommunications
III - TP2 :
Sécurisation des ports d’un switch (passez emprunter 1 switch au labo)
Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments (câbles
ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer des circuits
virtuels.
Sécurisation de port
La sécurisation d’un port consiste à n’autoriser que certaines adresses MAC à envoyer des
trames au switch sur un port donné. Si le switch reçoit sur ce port une trame dont l’adresse
MAC source n’est pas dans la liste des adresses autorisées (on parle de violation de
sécurité), la politique par défaut est de fermer complètement le port (politique shutdown).
D’autres politiques sont applicables comme celle d’ignorer simplement la trame (politique
restrict).
Pour mettre cette sécurité des ports sur un switch nous allons monter notre topologie.
➢ ARCHITECTURE
Le 10.10.10.0/24 est notre réseau
École Centrale des Logiciels Libres et des Télécommunications
Quelques commandes utiles sur les SWITCHs:
Pour afficher la table de commutation:
show mac address-table
Vider la table de commutation(les entrés dynamiques uniquement):
clear mac address-table dynamic
Afficher la duré de vie des entrés dynamiques de la table:
show mac address-table aging-time
Fixer à N secondes la duré de vie des entrés dynamiques de la table:
mac address-table aging-time N
Une fois les différents postes sont branchés sur le switch, nous allons afficher les ports pour
identifier celui que nous voulons sécurisé.
Comme sur cette image nous voulons sécurisé le port fa0/7 à travers l’adresse MAC de la machine
qui est connecter sur lui. Dont l’adresse est la suivante: 5cf9.dd5a.224e
A présent le port est identifié nous allons procéder à la configuration qui permet de sécurisé un port
à travers une adresse Mac comme le montre la figure ci-dessous:
École Centrale des Logiciels Libres et des Télécommunications
Là nous vérifions est-ce que le port est bien sécurisé comme nous pouvons le voir ici.
Maintenant que nous avons sécurisé un de nos port essayons d’abord la connectivité entre les
différents machines qui y sont connectées au SWITCH.
École Centrale des Logiciels Libres et des Télécommunications
Après avoir interdit toute connexion sur le port fa0/7 ayant une adresse Mac différente. essayons de
brancher une nouvelle machine sur le même port et voir le résultat. Ici nous remarquons que si
autre machine est branchée sur ce port il ne parvient plus à voir les autres car l’interface ne s’active
pas comme vous pouvez le voir ci-dessous:
Une autre méthode consiste à donner un nombre maximal des machines pouvant se connecter sur
un port.
➢ Sécurité par rapport à un nombre maximale
Connectons des machines à ce port et à chaque fois que nous branchons une nouvelle essayons de
faire un ping vers les autres et tirer une conclusion.
➢ Une première machine
École Centrale des Logiciels Libres et des Télécommunications
➢ Une deuxième machine
➢ Une troisième machine
Nous constatons que si on essaye d’excéder le nombre maximale défini les choses ne vont plus
fonctionné.
Quelques détails sur les commandes utiliser pour réaliser ce travail.
Ce TP nous a permit de savoir que nous pouvons faire beaucoup des choses sur les port d’un
Switch pour éviter tout trafique non souhaiter.
École Centrale des Logiciels Libres et des Télécommunications
IV - TP3 :
Segmentation des réseaux avec des VLAN
1. VLAN Liaison ACCES pour chaque réseau virtuel pour relier les deux
switchs
Ce TP consiste à utiliser quelques ports des deux switchs pour créer des réseaux virtuels appelé
VLAN.
Les flux de chaque réseau virtuel empruntent un chemin différent donc au tend de réseaux virtuels
que de liens entre les deux switchs.
➢ Définition
Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau
informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même
commutateur réseau.
➢ Intérêt des VLAN
Les VLAN présentent les intérêts suivants:
• Améliorer la gestion du réseau.
• Optimiser la bande passante.
• Séparer les flux.
• Segmentation: réduire la taille d'un domaine de broadcast,
• Sécurité: permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul
moyen pour communiquer entre des machines appartenant à des VLAN différents est alors
de passer par un routeur.
➢ Architecture
École Centrale des Logiciels Libres et des Télécommunications
1) Donner les adresses IP aux différentes machines des différents vlans
2) Création des vlans sur les deux switchs
3) Affectation des ports aux vlans
École Centrale des Logiciels Libres et des Télécommunications
Test de connectivité
Testons la connectivité entre les machines d’un même réseau virtuel
➢ VLAN 10
➢ VLAN 20
➢ VLAN 30
Remarques :
• utilisation inutile des câbles
• gaspillage d’interfaces fastethernet du switch
École Centrale des Logiciels Libres et des Télécommunications
2. VLAN : Une seule liaison TRUNK pour relier les deux switchs
L’objectif de ce TP est d’utiliser un lien TRUNK entre les deux switchs pour transporter les
flux des différents réseaux virtuels. L’avantage d’un lien TRUNK est de pouvoir véhiculer
les données des différents vlans. Il permet aussi d’économiser le câble et des ports au niveau des
deux Switchs.
➢ Définition
Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien
physique (Une "sorte" d’agrégation de plusieurs lignes de télécommunication ou de VLAN afin
d'augmenter la bande passante…).
➢ TOPOLOGIE
1) Affecter les adresses IP aux différentes machines des différents vlans
2) Créer les vlans sur les deux switchs
École Centrale des Logiciels Libres et des Télécommunications
3) Affectation des ports aux vlans
• Sur le switch 1 (SW1)
• Sur le switch 1 (SW2)
4) On affiche les détails du lien TRUNK avec la commande show interface 1/0
switchport.
Une fois cette commande est saisi vous verrez les trois lignes suivantes avec ses
explications:
Operational Mode : trunk : interface fonctionne en mode TRUNK
Operational Trunking Encapsulation : dot1q : donne le protocole d’encapsulation utilisé
Trunking Vlan Active : donne la liste des différents vlans admis pour le transport des flux
École Centrale des Logiciels Libres et des Télécommunications
Teste de connectivité
➢ VLAN 10
➢ VLAN 20
➢ VLAN 30
Remarque: l’utilisation de liaison trunk permet d’économiser des port et des liens en terme
d’interfaces et en plus ça facilite la configuration.
École Centrale des Logiciels Libres et des Télécommunications
3. Mise en œuvre des VLAN avec VTP
➢ Définition
VTP ou VLAN Trunking Protocol est un protocole de niveau 2 utilisé pour configurer et
administrer les VLAN sur les périphériques Cisco.
Principes du VTP
VTP (VLAN Trunking Protocol), protocole propriétaire Cisco permet, aux commutateurs
qui l’implémentent, d'échanger des informations de configuration des VLAN.Il permet donc de
redistribuer une configuration à d'autres commutateurs, évitant par la
même occasion à l'administrateur de faire des erreurs, en se trompant par exemple de nom
de VLAN.
Dans un domaine VTP, on distingue une hiérarchie comprenant trois modes de
fonctionnement :
• VTP serveur
• VTP client
• VTP transparent
Les modes VTP
Les commutateurs qui font office de serveur VTP peuvent créer, modifier, supprimer les
VLAN et d'autres paramètres de configuration. Ce sont eux qui transmettront cette
configuration aux commutateurs en mode client (ou serveur) dans leur domaine VTP.
Les commutateurs fonctionnant en mode client ne peuvent que recevoir et transmettre les
mises à jour de configuration.
Le mode transparent, lui, permet aux commutateurs de ne pas tenir compte des mises à
jour VTP. Ils sont autonomes dans le domaine VTP et ne peuvent configurer que leurs VLAN
(connectés localement). Cependant, ils transmettent aux autres commutateurs les mises à
jour qu’ils reçoivent.
Les commutateurs en mode serveur et client mettent à jour leur base de données VLAN, si
et seulement si, ils reçoivent une mise à jour VTP concernant leur domaine et contenant un
numéro de révision supérieur à celui déjà présent dans leur base.
École Centrale des Logiciels Libres et des Télécommunications
➢ ARCHITECTURE
Configuration de VTP sur les SWITCHs
➢ Serveur
➢ Transparent
École Centrale des Logiciels Libres et des Télécommunications
➢ Client
Configuration de la liaison trunk sur les interfaces
➢ Sur le Serveur
➢ Sur le Client
➢ Sur le transparent
École Centrale des Logiciels Libres et des Télécommunications
Création des vlan sur le serveur
Vérification des VLAN avec la commande show vlan-swhitch
➢ Sur le serveur
➢ Sur le Client
Nous voyons bien que les vlan crée sur le serveur sont automatiquement sur le client, donc
la configuration du protocole vtp fonctionne.
École Centrale des Logiciels Libres et des Télécommunications
NB: On pouvait ne pas mettre le lien entre le serveur et le client en utilisant le
transparent comme l’élément intermédiaire, ou encore ne pas utiliser le transparent en
reliant directement le serveur et client car ça allait toujours donner le même résultat .
En plus nous remarquons qu’avec ce protocole nous avons le pouvoir d’administrer nos
switchs à distance. D’où son importance dans un milieu où nous avons beaucoup des
équipement à gérer.
École Centrale des Logiciels Libres et des Télécommunications
4. Routage inter-vlan classique
Ce TP consiste à mettre en place du routage inter-vlan pour faire communiquer les deux réseaux.
Dans ce TP nous utilisons un équipement de niveau 3 c’est-à-dire un routeur qui a deux interfaces
et chaque interface sera affecter à un vlan comme le montre l’architecture ci-dessous :
➢ ARCHITECTURE
a) Donner des adresses IP aux différentes machines des VLANs 10 et 20
École Centrale des Logiciels Libres et des Télécommunications
b) Créer les Vlans 10 et 20
c) Affectation des interfaces aux VLAN avec les commandes suivantes:
interface range fastEthernet 1/0 – 2
switchport mode access
switchport access vlan 10
interface range fastEthernet 1/3 - 5
switchport mode access
switchport access vlan 20
d) Affichage des vlan
École Centrale des Logiciels Libres et des Télécommunications
e) Donner une adresse IP à l’interface f0/0 qui constitue une passerelle par défaut du vlan
10 ensuite activer l’interface.
f) Donner une adresse IP à l’interface f0/1 qui constitue une passerelle par défaut du vlan 20
ensuite activer l’interface.
g) Teste de connectivité entre PC-1 et PC-3
Nous remarquons que la connectivité passe bien entre les machines des différents vlan.
École Centrale des Logiciels Libres et des Télécommunications
5. Routage Inter-vlan avec un Router On a Stick
Ce TP consiste à faire appel à un équipement de niveau 3 pour faire communiquer les différents
réseaux virtuels. Vue que le switch ne peut être connecté qu’à une seule interface du routeur donc il
faut des interfaces virtuelles.
➢ SCHEMA
a) On donne des adresses IP et la passerelle aux différentes machines des deux vlans 10 et 20
b) création les VLANs 30 et 40
École Centrale des Logiciels Libres et des Télécommunications
Vous remarquerez une petite incompréhension entre la notation de l’architecture et les
VLANs créer. Sur l’architecture les vlan 10 représente les 30 et les 20 représente les 40
s’est une erreur de frappe on s’en excuse.
c) Ajout des interfaces aux différents vlan avec les commandes que nous avons vu tout à
l’heure pour les liaisons access.
d) Affichons les vlan
e) Configurons l’interface f1/2 en mode trunk pour qu’il puisse véhiculer les flux des deux
vlans 30 et 40 comme le montre la figure ci-dessous :
• Affichage des informations de la liaison trunk
École Centrale des Logiciels Libres et des Télécommunications
f) Activons l’interface f0/0 du routeur R1
g) Créons deux interfaces virtuelles f0/0.30 et f0/0.40 et affectation d’une adresse IP à
chacune des interfaces virtuelles du routeur R1.
École Centrale des Logiciels Libres et des Télécommunications
• Affichage des interfaces virtuelles et leur Statut
h) Test de connectivité depuis
Ce TP nous a permit de comprendre que nous avons la possibilité d’utiliser des interfaces
virtuelles à la place des physiques et faire fonctionner exactement les choses comme il le
faut.
École Centrale des Logiciels Libres et des Télécommunications
6. Routage Inter-vlan avec un switch de niveau 3
On propose l’architecture suivante dont nous avons des switchs d’accès et des switchs de
distributions comme le montre la figure ci-après :
a) Pensons à donner des adresses IP aux deux machines
b) Configuration des liens Trunk entre les switchs d’accès et les switchs de distribution
• Configuration du SW1 et SW2
sw(config)# interface range fastethernet 1/0 - 2
sw(config)# switchport mode trunk
École Centrale des Logiciels Libres et des Télécommunications
Pour voir les configurations des autres interfaces on utilise la même commande seulement à
la place de 1/0 on met celui correspondant.
• Configuration du SW3 et SW4
École Centrale des Logiciels Libres et des Télécommunications
Affichage de ses configuration
c) Création des Vlan10 et Vlan20 sur les 4 switch
d) affichons les Vlan
École Centrale des Logiciels Libres et des Télécommunications
• Configuration des interfaces des SW3 et SW4 relier aux machines
École Centrale des Logiciels Libres et des Télécommunications
e) Création des interfaces virtuelles sur les deux switchs de distribution (SW1 et SW2)
f) Test de bon fonctionnement
Nous allons depuis PC-1 faire un ping sur PC-2 comme le montre la figure ci-après :
La remarque elle est bonne car la connectivité fonctionne.
École Centrale des Logiciels Libres et des Télécommunications
V - TP4 :
Mise en place d’ACL
ACL – Access Control List
Généralités
· Une ACL est une liste de règles permettant de filtrer ou d’autoriser du trafic sur un réseau en
fonction de certains critères (IP source, IP destination, port source, port destination, protocole, ...).
· Une ACL permet de soit autoriser du trafic (permit) ou de le bloquer (deny).
· Il est possible d’appliquer au maximum une ACL par interface et par sens (input/output).
· Une ACL est analysée par l’IOS de manière séquentielle.
· Dès qu’une règle correspond au trafic, l’action définie est appliquée, le reste de l’ACL n’est pas
analysé.
· Toute ACL par défaut bloque tout trafic. Donc tout trafic ne correspondant à aucune règle d’une
ACL est rejeté.
Remarque: Les ACLs servent également à identifier un trafic afin d’être traité par un processus,
dans ce cas le trafic correspondant à un « permit » est traité, et celui correspondant à un « deny »
est ignoré.
1. Autoriser l'accès au réseau pour un hôte sélectionné
Cette figure illustre un hôte sélectionné disposant d'une autorisation d'accès au réseau. Tout
trafic originaire de l'hôte PC2 et destiné au réseau 192.168.1.0/24 est autorisé, alors que
tout autre trafic originaire du réseau 192.168.0.0/24 et destiné à 192.168.1.0/24 est refusé.
École Centrale des Logiciels Libres et des Télécommunications
➢ ARCHITECTURE
➢ Configuration des interfaces du routeur
École Centrale des Logiciels Libres et des Télécommunications
➢ Configuration de l’ACL en autorisant une hôte sélectionnée
➢ Configuration du PC1
➢ Test de fonctionnement
Nous constatons bien que l’hôte sélectionné arrive à joindre le réseau de destination alors que le
PC3 n’y arrive pas pour des raisons d’interdiction avec le message suivant «communication
interdite administrativement» .
École Centrale des Logiciels Libres et des Télécommunications
2. ACL et connections SSH
Autorisation de l’IP 172.16.1.2 uniquement à ouvrir des sessions à distance sur le Routeur
R1 :
➢ ARCHITECTURE
➢ Affectation d’une adresse IP à l’interface du routeur
École Centrale des Logiciels Libres et des Télécommunications
Configuration de l’authentification d’SSH
• On donne un nom de domaine au routeur, on génère une clé et on active le ssh
• Options ajoutées au service ssh
- les évènements associés aux connexions ssh sont enregistrés.
- Un timeout de 60 secondes est ajouté pour les sessions ssh en cas d'inactivité .
- Nous laissons trois essais pour la connexion au routeur.
• Ajout d'un compte administrateur
• Interdiction de toute autre ouverture session que SSH avec transport input ssh
• Création de l’ACL en autorisant uniquement une hôte sélectionnée
• Ajout d’un mot de passe pour le mode privilégiés
École Centrale des Logiciels Libres et des Télécommunications
➢ Fixons les adresses sur les différentes machines
NB: nous sommes dans le même réseau ce qui veut dire que les passerelles ont été ajouter
uniquement pour s’amuser.
Après avoir installer SSH avec la commande apt-get install openssh-server il faut ajouter à la fin
du fichier /etc/ssh/ssh_config la ligne suivante:
Puis redémarrer le service avec /etc/init.d/ssh restart.
➢ Teste de bon fonctionnement
Souvenez vous que nous avions autorisé uniquement l’hôte ayant 10.10.10.1 comme adresse.
Maintenant essayons avec la machine ayant 10.10.10.2 pour adresse et voir le résultat.
Nous voyons que pour cet utilisateur la connexion est refusée. Donc si on se résume on peut dire
que les ACL nous permet d’autoriser ou refuser un hôte ou un groupe donné à un service.
École Centrale des Logiciels Libres et des Télécommunications
VI - TP5 :
Mise en œuvre des ports mirroring et forwarding
1) Port mirroring
Le port-mirroring est une technique qui permet de copier tout le trafic d'un ou de plusieurs port(s)
source(s) vers un port de destination.
➢ ARCHITECTURE
a) configurons le mirroring sur le port fa 1/2 de manière à recevoir toutes les informations qui
circulent entre le port fa 1/0 et fa1/1 comme montrer sur l’images suivante:
Nous avons utiliser both parce qu’on a dit toutes les informations qui circulent entre fa1/0 et fa1/1
cela veut dire tout simplement paquets entrant et sortant. Si on voulait seulement recevoir les
paquets reçus on aurait dit utiliser rx et tx pour les paquets transmis.
École Centrale des Logiciels Libres et des Télécommunications
b) Teste de fonctionnement:
Pour cela lançons un ping depuis PC1 vers PC2 et démarrons Wireshark sur PC3 pour observer
ce qui se passe.
Remarque: le trafique qui s’effectue entre le PC1 et PC2 est bien visible sur l’interface défini
comme étant la destination.
École Centrale des Logiciels Libres et des Télécommunications
2) Port forwarding
Définition
Le réacheminement de port (port forwarding ou port mapping en anglais) consiste à rediriger des
paquets réseaux reçus sur un port donné d'un ordinateur ou un équipement réseau vers un autre
ordinateur ou équipement réseau sur un port donné.
Le port forwarding, c'est sécurise !
Le fait d'utiliser de la NAT dynamique ainsi que le port forwarding augmente le niveau de
sécurité de votre réseau.
TP de mise en œuvre de port forwarding
➢ ARCHITECTURE
➢ Configuration du Routeur
École Centrale des Logiciels Libres et des Télécommunications
Pour la configuration du routeur nous allons mettre son interface externe qui f0/0 en dhcp et l’autre
interface f0/1 nous allons la fixer une adresse comme le montre les figures suivantes:
➢ Configuration de redirection de port
Nous allons dire au Routeur tout trafic entrant vers le port 22 et 80 de ton interface externe redirige
le vers la machine locale (10.10.10.1/24) sur le même port.
Pour cela on utilise les commandes suivantes:
R1(config)# ip nat inside source static tcp 10.10.10.1 22 192.168.0.182 22 extendable
R1(config)#ip nat inside source static tcp 10.10.10.1 80 192.168.0.182 80 extendable
L’adresse 10.10.10.1 c’est celle de la machine locale et la 192.168.0.182 est celle de l’interface
externe du routeur.
Pour les tests on lance le navigateur firefox pour accéder au serveur web situé derrière le
routeur ou encire on prend le client-ssh puis on essaye d’ouvrir une session à distance comme le
montre les figures ci-dessous :
École Centrale des Logiciels Libres et des Télécommunications
• Pour le cas du navigateur
• Pour le vas de ssh
Nous remarquons que l’accession au serveur web situé derrière le routeur et l’ouverture de la
session à distance par ssh fonctionnent.
École Centrale des Logiciels Libres et des Télécommunications
VII - TP6 :
Mise en œuvre des protocoles VRRP et HSRP
TP de Mise en place du protocole VRRP
Définition
Virtual Router Redundancy Protocol (protocole de redondance de routeur virtuel, VRRP) est un
protocole standard dont le but est d'augmenter la disponibilité de la passerelle par défaut des hôtes
d'un même réseau. Le principe est de définir la passerelle par défaut pour les hôtes du réseau
comme étant une adresse IP virtuelle référençant un groupe de routeurs.
➢ ARCHITECTURE
a) Configurons les interfaces fastEthernet 0/0 et 0/1 des deux routeurs et identifions les interfaces
(identifier l’interface LAN (inside) et identifier l’interface WAN (outside)).
Les interfaces coté WAN nous allons les mettre en dhcp
École Centrale des Logiciels Libres et des Télécommunications
Comme vous pouvez le voir sur les images ci-dessous:
• Configuration de R1
• Configuration de R2
b) Configuration du PAT sur les deux routeurs
• Nous allons commencer par créer une ACL pour sélectionner les réseaux qui utiliseront le
NAT en même temps nous allons créer une relation entre access-list et l’interface WAN.
Comme nous allons le voir ci-bas:
École Centrale des Logiciels Libres et des Télécommunications
c) Configuration du protocole VRRP
• configuration de R1
• configuration de R2
d) Afficher les informations du protocole VRRP des deux routeurs
• Sur le routeur R1
École Centrale des Logiciels Libres et des Télécommunications
• Sur le routeur R2
e) Attribution des éléments TCP/IP aux VPCs
Donnons aux différents VPCs des éléments TCP/IP à savoir une adresse IP , un masque de réseau,
et la passerelle par défaut qui est l’adresse IP virtuelle 20.20.20.254/24
• VPC1
• VPC1
• Configuration du navigateur
École Centrale des Logiciels Libres et des Télécommunications
f) Test de bon fonctionnement
Lançons le navigateur pour accéder au site de l’école à l’adresse www.ec2lt.sn comme le montre la
figure ci-dessous :
g) Nous allons simuler une panne du routeur Master en arrêtant le routeur R1
• Lançons à nouveau le navigateur et essayons d’accéder à youtube à l’adresse
www.youtube.com comme le montre la figure ci-dessous :
École Centrale des Logiciels Libres et des Télécommunications
Nous constatons que la redondance des passerelles est bien effectuée car bien vraie que routeur
master est arrêté L’autre prend automatiquement le relais.
École Centrale des Logiciels Libres et des Télécommunications
TP de Mise en place du protocole HSRP
Présentation de HSRP
Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de “continuité
de service” implémenté dans les routeurs Cisco pour la gestion des “liens de secours”.
HSRP sert à augmenter la tolérance de panne sur le réseau en créant un routeur virtuel à partir de
deux (ou plus) routeurs physiques: un «actif» et l’autre (ou les autres) «en attente» (ou «standby»)
en fonctions des priorités accordées à chacun de ces routeurs.
HSRP est un protocole propriétaire aux équipements Cisco et il n'est pas activé par défaut.
Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de
paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés.
Fonctionemment du protocole HSRP
Cela se fait par la mise en commun du fonctionnement de plusieurs routeurs physiques (au
minimum deux) qui, de manière automatique, assurerons la relève entre eux d’un routeur à un
autre.
Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant
normalisé, il est disponible sur les routeurs d’autres marques que Cisco. Plus précisément, la
technologie HSRP permettra aux routeurs situés dans un même groupe (que l’on nomme «
standby group ») de former un routeur virtuel qui sera l’unique passerelle des hôtes du réseau
local. En se «cachant » derrière ce routeur virtuel aux yeux des hôtes. Les routeurs garantissent en
fait qu’il y est toujours un routeur qui assure le travail de l’ensemble du groupe. Un routeur dans ce
groupe est donc désigné comme « actif » et ce sera lui qui fera passer les requêtes d’un réseau à un
autre.
Pendant que le routeur actif travail, il envoie également des messages aux autres routeurs indiquant
qu’il est toujours « vivant » et opérationnel. Si le routeur principal (élu actif) vient à tomber. Il sera
automatiquement remplacé par un routeur qui était alors jusque-là « passif » et lui aussi membre du
groupe HSRP. Aux yeux des utilisateurs toutefois, cette réélection et ce changement de passerelle
sera totalement invisible car ils auront toujours pour unique passerelle le routeur virtuel que
forment
les routeurs membres du groupe HSRP. Le routeur virtuel aura donc toujours la même IP et adresse
MAC aux yeux des hôtes du réseau même si en réalité il y a un changement du chemin par lequel
transitent les paquets.
École Centrale des Logiciels Libres et des Télécommunications
➢ ARCHITECTURE
NB: nous avons une meme architecture pour les deux protocoles VRRP et HSRP du coût nous
avons repris les configurations de base mais nous n’allons pas les mettre sur le rapport. Pour
rappelle ce à la place de la configuration de VRRP sur le TP précédent que nous allons configurer
le HSRP. Vu que le plan d’adressage n’a pas était changé, nous sommes obligés soit d’annuler la
configuration du VRRP soit éteindre les routeurs et reprendre à zéro. Pour éviter des messages
d’erreur tel que la coïncidence des adresses etc.
• Configuration du routeur R1
École Centrale des Logiciels Libres et des Télécommunications
• Nous allons commencer par créer une ACL pour sélectionner les réseaux qui utiliseront le
NAT en même temps nous allons créer une relation entre access-list et l’interface WAN.
Comme nous allons le voir ci-bas:
• Configuration du protocole HSRP
L'élection des routeurs
L’élection des routeurs sert à déterminer lequel sera primaire (actif) et lequel sera secondaire
(passif). Dans notre cas R1 est le primaire.
« Standby » est la commande qui permet la configuration du HSRP. « 10 » est le numéro du
groupe HSRP dont fait partie l’interface. Il faut savoir qu’un routeur peut faire partie de plusieurs
groupes HSRP.
Effectuer la même configuration sur R2 en changeant la priorité par un nombre inférieur à R1.
École Centrale des Logiciels Libres et des Télécommunications
• Test du HSRP
On peut maintenant passer à notre phase de test où nous allons désactiver le routeur actif pour voir
si les autres routeurs prennent bien le relais.
• Test avant de désactiver le routeur actif
• Test après avoir désactiver le routeur actif
Force est de constater que le protocole HSRV fonctionne comme prévu. Mais nous remarquons que
une fois le routeur «actif» est désactivé il faut patienter quelques temps pour que l’autre prend le
relais.
École Centrale des Logiciels Libres et des Télécommunications
VIII - Projet: Etude du protocole GLBP
I) Introduction
Gateway Load Balancing Protocol est un protocole propriétaire Cisco qui permet de faire de la
redondance ainsi que de la répartition de charge sur plusieurs routeurs utilisant une seule adresse IP
virtuelle, mais plusieurs adresses MAC virtuelles.
Le protocole GLBP élit un Active Virtual Gateway (AVG) qui va répondre aux requêtes ARP pour
l’adresse IP virtuelle. GLBP permet de donner un poids variable à chacun des routeurs participants
pour la répartition de la charge entre ces routeurs. La charge est donc répartie par hôte dans le sous-
réseau.
1) Principe de fonctionnement
GLBP est un protocole propriétaire Cisco qui reprend les concepts de base de HSRP et VRRP.
Contrairement à ces 2 protocoles, tous les routeurs du groupe GLBP participent activement au
routage alors que dans VRRP ou HSRP, il n’y en a qu’un qui est en mode actif, tandis que les
autres patientent. Plus concrètement, à l’intérieur du groupe GLBP, le routeur ayant la plus haute
priorité ou la plus haute adresse IP du groupe prendra le statut de « AVG » (active virtual
gateway). Ce routeur va intercepter toutes les requêtes ARP effectuées par les clients pour avoir
l’adresse MAC de la passerelle par défaut, et grâce à l’algorithme d’équilibrage de charge
préalablement configuré, il va renvoyer l’adresse MAC virtuelle d’un des routeurs du groupe
GLBP. C’est d’ailleurs le Routeur AVG qui va assigner les adresses MAC virtuelles aux routeurs
du groupe, Ainsi ils ont le statut « AVF » ( Active Virtual Forwarder). Un maximum de 4
adresses MAC virtuelle est défini par groupe, les autres routeurs ayant des rôles de backup en cas
de défaillance des AVF.
Les timers de GLBP sont :
Hello : 3s
Dead : 10s est le temps à partir duquel un AVF sera Dead, son adresse mac sera associée à un autre
AVF
Redirect (Temps à partir duquel on arrêtera de rediriger l’adresse mac d’une AVF Dead vers une
autre AVF) : 600s
Timeout (Temps à partir duquel un routeur est considéré comme inactif, son adresse MAC ne sera
plus utilisée) : 14,400s (4 heures), doit être supérieur au temps de conservation des entrées ARP des
clients.
École Centrale des Logiciels Libres et des Télécommunications
2) Schéma réseau
Vous pouvez observer que nous allons mettre en place deux groupes GLBP, un de chaque coté de
nos routeurs.
Nous essayerons d’expliquer la configuration le plus simplement possible. Dans mon schéma je
partirai du principe que le routeur R1 est AVG côté LAN, et que R3 est AVG coté WAN.
NB: Nous avons mis en place cette architecture pour bien expliquer et cerner les choses de
façons clair et net. Autrement dit nous allons mettre en place toutes les commandes
nécessaires et essayer au maximum possible d’expliquer tous les détails qui y sont liés au
protocole. Mais la partie pratique c’est un peu plus loin selon c’est qui nous ait demandé de
faire avec le routage inter-vlan en utilisant les switchs de niveau trois.
II) Configuration de Base
• 1) Routeur R1
Nous allons configurer le routeur 1, on commence par faire une petite configuration
générale du routeur :
Router#configure terminale
Router#no ip domain-lookup
Router#hostname R1
Ensuite nous configurons notre interface FastEthernet 0/0 :
École Centrale des Logiciels Libres et des Télécommunications
R1(config)#interface fastethernet 0/0
R1(config-if)#description "Int LAN"
R1(config-if)#ip address 192.168.0.251 255.255.255.0
R1(config-if)#no shutdown
Ensuite nous configurons notre interface FastEthernet 0/1 :
R1(config)#interface fastethernet 0/1
R1(config-if)#description "Int WAN"
R1(config-if)#ip address 192.168.1.251 255.255.255.0
R1(config-if)#no shutdown
• 2) Routeur R2
Même chose pour R2, on lui configure une configuration générale :
Router#configure terminale
Router#no ip domain-lookup
Router#hostname R2
Ensuite nous configurons notre interface FastEthernet 0/0 :
R2(config)#interface fastethernet 0/0
R2(config-if)#description "Int LAN"
R2(config-if)#ip address 192.168.0.252 255.255.255.0
R2(config-if)#no shutdown
Ensuite nous configurons notre interface FastEthernet 0/1 :
R2(config)#interface fastethernet 0/1
R2(config-if)#description "Int WAN"
R2(config-if)#ip address 192.168.1.252 255.255.255.0
R2(config-if)#no shutdown
• 3) Routeur R3
Et on recommence une dernière fois sur notre routeur R3 :
École Centrale des Logiciels Libres et des Télécommunications
Router#configure terminale
Router#no ip domain-lookup
Router#hostname R3
Ensuite nous configurons notre interface FastEthernet 0/0 :
R3(config)#interface fastethernet 0/0
R3(config-if)#description "Int LAN"
R3(config-if)#ip address 192.168.0.253 255.255.255.0
R3(config-if)#no shutdown
Ensuite nous configurons notre interface FastEthernet 0/1 :
R3(config)#interface fastethernet 0/1
R3(config-if)#description "Int WAN"
R3(config-if)#ip address 192.168.1.253 255.255.255.0
R3(config-if)#no shutdown
III) Mise en place de GLBP
1) GBLP coté LAN : groupe 1
Nous commençons par configurer GBLP du coté LAN :
• a) Routeur R1
Comme indiqué au début de l’article, nous désignons R1 comme routeur AVG pour le
groupe GLBP 1 qui correspond au côté LAN de notre réseau.
Voici les commandes qui vont permettre de configurer le GBLP :
R1(config-if)#glbp 1 ip 192.168.0.254
R1(config-if)#glbp 1 priority 255
R1(config-if)#glbp 1 preempt
R1(config-if)#glbp 1 name glbp-lan
École Centrale des Logiciels Libres et des Télécommunications
Quelques explications :
glbp 1 : Correspond au groupe 1.
glbp 1 ip : Permet d’attribuer une adresse IP à l’interface GLBP.
glbp 1 priority : Permet d’attribuer une priorité au routeur, qui va servir à élire un routeur
AVG. Nous voulons que R1 soit AVG donc nous mettons la plus haute valeur (255).
glbp 1 preempt : Si un routeur entre dans le groupe GLBP avec une valeur de priorité plus
forte que les autres, il doit quand même attendre la prochaine élection (qui aura lieu lorsque
le routeur AVG actuel sera hors service). La commande "preempt" permet d’éviter ce
problème. Pour affiner le réglage nous pouvons régler le délai avant que le routeur ne
reprenne le contrôle du groupe (délai par défaut = 30s) via la commande "glbp 1 preemp
delay XXX" où XXX est un nombre de seconde.
glbp 1 name glbp-lan : Permet simplement de donner un nom au groupe.
• b) Routeur R2
Pour la configuration de R2, on recommence :
R2(config-if)#glbp 1 ip 192.168.0.254
R2(config-if)#glbp 1 priority 120
R2(config-if)#glbp 1 preempt
R2(config-if)#glbp 1 name glbp-lan
On n’oublie pas de changer la valeur de la priorité par une plus faible.
• c) Routeur R3
Même chose :
R3(config-if)#glbp 1 ip 192.168.0.254
R3(config-if)#glbp 1 priority 110
R3(config-if)#glbp 1 preempt
R3(config-if)#glbp 1 name glbp-lan
2) GLBP coté WAN : groupe 2
Comme indiqué au début de l’article, nous désignons R3 comme routeur AVG pour le groupe
GLBP 2 qui correspond au coté WAN de notre réseau.
• a) Routeur R1
Voici les commandes qui vont permettre de configurer le GBLP coté WAN :
R1(config-if)#glbp 2 ip 192.168.1.254
R1(config-if)#glbp 2 priority 110
École Centrale des Logiciels Libres et des Télécommunications
R1(config-if)#glbp 2 preempt
R1(config-if)#glbp 2 name glbp-wan
• b) Routeur R2
Pour la configuration de R2, on recommence :
R2(config-if)#glbp 2 ip 192.168.1.254
R2(config-if)#glbp 2 priority 120
R2(config-if)#glbp 2 preempt
R2(config-if)#glbp 2 name glbp-lan
• c) Routeur R3
Même chose :
R3(config-if)#glbp 2 ip 192.168.1.254
R3(config-if)#glbp 2 priority 255
R3(config-if)#glbp 2 preempt
R3(config-if)#glbp 2 name glbp-lan
3) Test de fonctionnement
Nous regardons le fonctionnement du groupe 1 de GLBP via la commande "show glbp" :
Si tout ça se passe bien Nous pouvons voir que :
Nos 3 routeurs sont biens dans le groupe 1
Les 3 adresses MAC virtuelles
R1 est bien routeur AVG du groupe 1
Que l’équilibrage fonctionne par défaut en mode "Round Robin"
Vous devez pouvoir tester maintenant la redondance, pour cela vous allez faire un Ping
infini de PC1 vers PC2. Vous regarderez à quel routeur votre PC1 est lié pour l’éteindre et
combien de Ping on perd.
Vous affichez la table ARP de PC1 avec arp -a :
En tapant la commande "show glbp", vous pouvez voir que l’adresse MAC de la
passerelle correspond au routeur R1 :
Maintenant vous savez que le routeur utilisé par PC1 est R1, vous débranchez donc R1 et
observez le Ping :
Grâce aux observations que vous devez faire, vous devez pouvoir établir un tableau
rassemblant au suivant :
École Centrale des Logiciels Libres et des Télécommunications
Tableau correspondance MAC
@MAC Virtuelle @IP Hostname
0007.b400.0101 192.168.0.253 R1
0007.b400.0102 192.168.0.251 R2
0007.b400.0103 192.168.0.252 R3
Mais bien évidement si tout fonctionne correctement.
IV) Configurations du load balancing
GLBP propose trois modes d’équilibrage de charge :
Round Robin (le mode par défaut) : Pour chaque requête ARP, on renvoi l’adresse Mac
virtuelle immédiatement disponible. Prenons l’exemple ou nous avons une seule machine.
Si cette station fait une requête ARP, elle obtiendra l’adresse MAC du premier routeur. Si
elle vide son cache ARP, est qu’elle refait une requête, elle obtiendra l’adresse MAC du
second routeur, Ainsi de suite.
Weighted : Le poids de chaque interface du groupe GLBP définit la proportion de trafic à
envoyer sur chaque routeur.
Host-dependent : Chaque client générant une requête ARP recevra toujours la même
adresse Mac virtuelle.
1) Round Robin
• a) Configuration
Pour activer Round Robin, il nous faut seulement taper une commande :
glbp 1 load-balancing roung-robin
• b) Observations
On affiche les informations de GLBP via la commande "show glbp" :
Une fois cette commande est saisie vous pouvez observer que le mode est bien "Round
Robin".
Lancez un Ping infini de PC1 vers PC2. Vous regardez la table ARP, vous la videz, puis
vous regardez de nouveau pour observer si l’adresse MAC contenue dans la table ARP
change après chaque nouvelle requête ARP.
La commande arp -a permet d’afficher la table ARP du PC.
La commande arp -d permet de vider la table ARP du PC.
Donnez une conclusion ?
École Centrale des Logiciels Libres et des Télécommunications
2) Weighted
• a) Configuration
Pour activer weighted, il nous faut seulement taper une commande :
glbp 1 load-balancing weighted
Puis ensuite sur chaque interface du groupe (Fa 0/0 de R1, R2 et R3 par exemple) vous
devez définir un poids via la commande :
glbp 1 weighting XXX
Si par exemple vous avez deux routeurs A et B. Le routeur A possède des interfaces à
100Mb/s et que le routeur B possède des interfaces à 1GB/s, vous devez mettre un poids
plus important sur les interfaces du routeur B pour qu’il soit privilégié.
• b) Observations
Affichez les informations de GLBP via la commande "show glbp" :
Conclure.
Tous les équipement ne sont pas du tout compatible avec ce mode.
3) host-dependent
• a) Configuration
Pour activer host-dependent, il nous faut seulement taper une commande :
glbp 1 load-balancing host-dependent
• b) Observations
Affichez les informations de GLBP via la commande "show glbp" :
Conclure.
V) Configuration d’un track
Comment expliquer le fonctionnement du Track ?
Imaginons que le lien entre R1 et Switch 2 tombe en panne. Le groupe GLBP 2, va
retirer le routeur R1 car il devient indisponible. Mais Le groupe GLBP1, il regarde
seulement les interfaces de son groupe. fa0/1 du routeur R1 ne faisant pas partie de
son groupe, il ne prendra pas en compte si l’interface tombe en panne. Pour éviter
ces problèmes nous allons configurer un "track", nous allons demander au routeur
d’observer l’interface fa 0/1 au niveau routage et au niveau physique. Pour finir nous
allons configurer le groupe GLBP 1 pour qu’il décrémente le poids des interfaces
dans le cas où le track lui indique qu’il y a un problème.
École Centrale des Logiciels Libres et des Télécommunications
Pour information le poids par défaut de l’interface est de "100" .
1) Configurations
On commence par créer le track :
#configure terminal
(config)#track 1 interface fastethernet 0/1 line-protocole
(config-track)#exit
(config)#track 2 interface fastethernet 0/1 ip routing
(config-track)#exit
Quelques explications :
track 1 : Le chiffre "1" correspond à l’identifiant du track.
interface fastethernet 0/1 : indique que l’on veut surveiller cette interface.
line-protocole : Surveille le coté physique de l’interface.
ip routing : Surveille le coté routage de l’interface.
Ensuite nous allons configurer le groupe GLBP :
(config)#interface fastethernet 0/0
(config-if)#glbp 1 weighting 100 lower 50
(config-if)#glbp 1 weighting track 1 decrement 60
(config-if)#glbp 1 weighting track 2 decrement 60
Quelques explications :
weighting 100 lower 50 : On indique que le poids de l’interface et de 100, et que le
poids ne doit pas être en dessous de 50.
weighting track 1 decrement 60 : On fait en sorte que si le track 1 tombe alors on
décrémente le poids de l’interface de 60.
weighting track 2 decrement 60 : Même chose pour le track 2
On remarque que si un track tombe, le poids sera donc inférieur à 50, donc le groupe GLBP
1 va retirer le routeur en question. Les données ne seront donc plus envoyées au routeur
ayant un problème.
Pensez à faire cette configuration pour chaque groupe GLBP sur chaque routeur du ou des
groupe(s).
École Centrale des Logiciels Libres et des Télécommunications
2) Observations
Vous allez faire un test pour vérifier le fonctionnement.
Vous allez lancer un Ping infini de PC1 vers PC2, puis comme dans l’exemple ci-dessus,
vous allez débrancher le câble entre le routeur auquel vous êtes rattaché et le switch2 pour
observer.
VI) Authentification GLBP
Il existe trois modes d’authentification avec GLBP :
Authentification avec un mot de passe.
Authentification en utilisant une Key-string
Authentification en utilisant une Key-chain
1) Authentification avec mot de passe
La plus simple des authentifications, le mot de passe :
(config)#interface fastethernet 0/0
(config-if)#glbp 1 authentication text Mot_De_Passe
A faire sur chaque routeur du groupe GLBP.
2) Authentification avec une Key-string
Sur chaque routeur on active le chiffrement des mots de passe :
#configure terminal
(config)#service password-encryption
Ensuite, on configure l’authentification :
(config)#interface fastethernet 0/0
(config-if)#glbp 1 authentication md5 key-string 0 Mot_De_Passe
A faire sur chaque routeur du groupe GLBP.
3) Authentification avec Key-chain
Cette dernière méthode d’authentification est la plus complexe.
Sur chaque routeur on active le chiffrement des mots de passe :
#configure terminal
(config)#service password-encryption
École Centrale des Logiciels Libres et des Télécommunications
Ensuite on configure la chaine de sécurité :
(config)#key chain Nom_de_la_chaine
(config-keychain)#key 0
(config-keychain-key)#key-string 0 Mot_De_Passe
Quelques explications :
key chain Nom_de_la_chaine : on donne un nom à la chaine, pour faciliter
l’utilisation.
key 0 : Le chiffre "0" correspond à l’identifiant de la clef, dans le cas où nous
aurions plusieurs clefs.
key-string 0 Mot_De_Passe : On définit la clef.
Pour finir on applique la chaine au groupe GLBP :
(config)#interface fastethernet 0/0
(config-if)#glbp 1 authentication md5 key-chain Nom_de_la_chaine
A faire sur chaque routeur du groupe GLBP.
Nous y voilà arriver à la fin de l’étude du protocole glbp. Nous pouvons en déduire que le
protocole est un protocole très important dans le domaine du réseau d’après tout ce qu’on a
vu à son sujet, mais assez long.
École Centrale des Logiciels Libres et des Télécommunications
VII) application au TP de routage inter-vlan avec les switchs de niveau 3.
Comme dit un peu plus haut, c’est dans cette parie que nous allons mettre en pratique les
connaissances acquises au cour de l’étude du protocole.
Pour cela nous allons mettre en place notre architecture.
➢ ARCHITECTURE
➢ Configuration des swtchs: nous allons configurer des liaisons trunk sur toues les
interfaces des switchs exceptées que les reliées aux Pcs.
• SWITCH1
Faire exactement la même chose sur le SWITCH2
École Centrale des Logiciels Libres et des Télécommunications
• SWITCH3
Faire exactement la même chose sur le SWITCH4
➢ Création des VLANs: nous allons créer des vlans sur touts les SWITCHs.
• Sur SWITCH1 et 2
A faire sur les deux autres.
➢ Affectation: affectons les interfaces 1/2 des switchs 3 et 4 aux différents VLANs
respectivement 10 et 20.
• SWITCH3
• SWITCH4
École Centrale des Logiciels Libres et des Télécommunications
➢ Affichage: affichons les vlans que nous avons créer.
• SWITCH1
• SWITCH2
• SWITCH3
• SWITCH4
École Centrale des Logiciels Libres et des Télécommunications
Nous constatons que les deux interfaces 1/2 des switchs 2 et 4 sont affectées aux vlans 10
et 20.
➢ Affichage: dans cette partie nous allons afficher les liaisons trunk et access que
nous avons créer sur les SWITCHs.
• SWITCH1 et 2: pour les interfaces 1/0
A faire sur toutes les interfaces de tous les switchs.
➢ Attribution: attribuons des adresses IP virtuelles aux SWITCHs des distributions.
• SWITCH1
École Centrale des Logiciels Libres et des Télécommunications
• SWITCH2
➢ Configuration: Ici on configure le protocole glbp sur les switchs des distributions.
• SWITCH1
École Centrale des Logiciels Libres et des Télécommunications
• SWITCH2
➢ Vérification: vérifions la configuration du prtocole glb avec show glbp.
• SWITCH1
École Centrale des Logiciels Libres et des Télécommunications
➢ Affichage: Ici on affiche le statu avec show glbp brief:
La partie configuration est terminée: vous allez voir que il n’y a pas beaucoup des
détails, juste parce que nous supposons que ceux précédemment sur la partie étude du
protocole ont été suffisants.
École Centrale des Logiciels Libres et des Télécommunications
➢ Phase de test: Maintenant nous allons procéder aux testes. Après avoir donner les
éléments TCP/IP aux VPCs lançons un ping entre les deux comme ci-dessous:
On arrête le lien AVG pour voir.
École Centrale des Logiciels Libres et des Télécommunications
Arrêt d’un autre lien.
Nous voyons que l’ensemble de la configuration du protocole fonctionne car n peut arrêter
n’importe quel lien de notre architecture et cela n’empêche pas le bon fonctionnement.
École Centrale des Logiciels Libres et des Télécommunications
IX – Conclusion
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des
paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la
table de routage. C'est un équipement de couche 3 par rapport au modèle OSI.
Cisco étant réputer pour être le meilleur concepteur des équipement réseau au monde, connaître ces
équipement est un acquis indispensable dans le domaine des TIC au 21ième Siècle.
D’où l’importance de ces Tps qui non seulement nous ont permis de manipuler quelques uns de ses
équipement mais aussi plusieurs protocoles tels que: VRRP, HSRP, GLBP … qui assurent la
redondance des passerelles, la répartition des charges et tant d’autres qui sont des solutions
incontournables dans le domaine de sécurité des réseau, car très favorables aux pannes
intermédiaire d’un équipement parmi tant d’autres.
Pour terminer nous pouvons dire que ces travaux pratiques ont été sûrement un des meilleurs
travaux qui soient.
École Centrale des Logiciels Libres et des Télécommunications

Contenu connexe

Tendances

Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec serva
Pape Moussa SONKO
 
Formation1 sockets
Formation1 socketsFormation1 sockets
Formation1 sockets
Mariem SOMRANI
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
Dimitri LEMBOKOLO
 
Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système LinuxEL AMRI El Hassan
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Stephen Salama
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemCONNECT Tunisia
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40boukna abdou
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
Bou Diop
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxThierry Gayet
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
belhadj_rached
 
Amazon web services fonctionnement de quelques services
Amazon web services   fonctionnement de quelques servicesAmazon web services   fonctionnement de quelques services
Amazon web services fonctionnement de quelques services
Pape Moussa SONKO
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVA
Bachir Benyammi
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
Fathi Ben Nasr
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
Mohammed Zaoui
 

Tendances (20)

Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec serva
 
Formation1 sockets
Formation1 socketsFormation1 sockets
Formation1 sockets
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système Linux
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
 
Fr E Routing Slm V40
Fr E Routing Slm V40Fr E Routing Slm V40
Fr E Routing Slm V40
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
 
Lire les tables de routage
Lire les tables de routageLire les tables de routage
Lire les tables de routage
 
Amazon web services fonctionnement de quelques services
Amazon web services   fonctionnement de quelques servicesAmazon web services   fonctionnement de quelques services
Amazon web services fonctionnement de quelques services
 
Pfsense
PfsensePfsense
Pfsense
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVA
 
Ccna4
Ccna4Ccna4
Ccna4
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 

Similaire à Bah mamadou hady

Asterisk report
Asterisk reportAsterisk report
Asterisk reporttatbirt
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
StyvePola1
 
1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-cisco
MoctarThiongane
 
Mise en place nagios
Mise en place nagiosMise en place nagios
Mise en place nagios
JeanFrancoisMARTIN5
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windows
emmanuel minjoe
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
benhamza_elmader_proxy_ntop.pdf
benhamza_elmader_proxy_ntop.pdfbenhamza_elmader_proxy_ntop.pdf
benhamza_elmader_proxy_ntop.pdf
SofianeBENHAMZA
 
Ms es 70-291_1.0_fr
Ms es 70-291_1.0_frMs es 70-291_1.0_fr
Ms es 70-291_1.0_fr
jmydsa
 
Mini projet nextcloud
Mini projet nextcloudMini projet nextcloud
Mini projet nextcloud
SamiMessaoudi4
 
BTS E4 SYSLOG
BTS E4 SYSLOGBTS E4 SYSLOG
BTS E4 SYSLOG
SbastienGuritey
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
mia884611
 
Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIPBelkacem KAID
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
Fabian Vandendyck
 
Preparation tpcisco reseaux
Preparation tpcisco reseauxPreparation tpcisco reseaux
Preparation tpcisco reseaux
Baudosky Konnigui
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
mia884611
 
Case Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aCase Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aJulien Genon
 
TELEPHONIE SUR IP
TELEPHONIE SUR IPTELEPHONIE SUR IP
TELEPHONIE SUR IP
El hadji Idrissa Thiam
 
Atelier IDS SNORT
Atelier IDS SNORTAtelier IDS SNORT
Atelier IDS SNORT
Natasha Grant
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
mabrouk
 
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfrSca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfr
Yamadou BATHILY
 

Similaire à Bah mamadou hady (20)

Asterisk report
Asterisk reportAsterisk report
Asterisk report
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
 
1 lexique de-commandes-cisco
1 lexique de-commandes-cisco1 lexique de-commandes-cisco
1 lexique de-commandes-cisco
 
Mise en place nagios
Mise en place nagiosMise en place nagios
Mise en place nagios
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windows
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
benhamza_elmader_proxy_ntop.pdf
benhamza_elmader_proxy_ntop.pdfbenhamza_elmader_proxy_ntop.pdf
benhamza_elmader_proxy_ntop.pdf
 
Ms es 70-291_1.0_fr
Ms es 70-291_1.0_frMs es 70-291_1.0_fr
Ms es 70-291_1.0_fr
 
Mini projet nextcloud
Mini projet nextcloudMini projet nextcloud
Mini projet nextcloud
 
BTS E4 SYSLOG
BTS E4 SYSLOGBTS E4 SYSLOG
BTS E4 SYSLOG
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
Mannuel_Attaque_VoIP
Mannuel_Attaque_VoIPMannuel_Attaque_VoIP
Mannuel_Attaque_VoIP
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Preparation tpcisco reseaux
Preparation tpcisco reseauxPreparation tpcisco reseaux
Preparation tpcisco reseaux
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
 
Case Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aCase Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41a
 
TELEPHONIE SUR IP
TELEPHONIE SUR IPTELEPHONIE SUR IP
TELEPHONIE SUR IP
 
Atelier IDS SNORT
Atelier IDS SNORTAtelier IDS SNORT
Atelier IDS SNORT
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfrSca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfr
 

Bah mamadou hady

  • 1. École Centrale des Logiciels Libres et de Télécommunications Rapport architecture des équipements Cisco Présenté par : Mamadou Hady Bah Me. Aly TIRERA
  • 2. SOMMAIRE I - Introduction.....................................................................................................................................4 II - TP1 :..............................................................................................................................................4 Activation de connexion à distance SSH avec authentification des Users via Radius...................4 III - TP2 :.............................................................................................................................................4 Sécurisation des ports d’un switch (passez emprunter 1 switch au loba).......................................4 IV - TP3 :.............................................................................................................................................4 Segmentation des réseaux avec des VLAN....................................................................................4 1. VLAN Liaison ACCES pour chaque réseau virtuel pour relier les deux switchs..................4 2. VLAN : Une seule liaison TRUNK pour relier les deux switchs..........................................4 3. Mise en œuvre des VLAN avec VTP.....................................................................................4 4. Routage inter-vlan classique..................................................................................................4 5. Routage Inter-vlan avec un Router On a Stick.......................................................................4 6. Routage Inter-vlan avec un switch de niveau 3......................................................................4 V - TP4 :..............................................................................................................................................4 Mise en place d’ACL......................................................................................................................4 VI - TP5 :.............................................................................................................................................4 Mise en œuvre des ports mirroring et forwarding..........................................................................4 VII - TP6 :............................................................................................................................................4 Mise en œuvre des protocoles VRRP et HSRP...............................................................................4 VIII - Projet: Etude du protocole GLBP..............................................................................................4 I) Introduction.................................................................................................................................5 1) Principe de fonctionnement...................................................................................................5 2) Schéma réseau........................................................................................................................5 II) Configuration de Base................................................................................................................5 III) Mise en place de GLBP............................................................................................................5 1) GBLP coté LAN : groupe 1...................................................................................................5 2) GLBP coté WAN : groupe 2..................................................................................................5 3) Test de fonctionnement..........................................................................................................5 IV) Configurations du load balancing.............................................................................................5 1) Round Robin..........................................................................................................................5 2) Weighted................................................................................................................................5 3) host-dependent.......................................................................................................................5 V) Configuration d’un track...........................................................................................................5 1) Configurations.......................................................................................................................5 2) Observations..........................................................................................................................5 VI) Authentification GLBP.............................................................................................................5 1) Authentification avec mot de passe.......................................................................................5 2) Authentification avec une Key-string....................................................................................5 3) Authentification avec Key-chain...........................................................................................5 VII) application au TP de routage inter-vlan avec les switchs de niveau 3....................................5 IX - Conclusion...................................................................................................................................5 École Centrale des Logiciels Libres et des Télécommunications
  • 3. I – Introduction Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la table de routage. C'est un équipement de couche 3 par rapport au modèle OSI. Cisco étant réputer pour être le meilleur concepteur des équipement réseau au monde, connaître ces équipement est un acquis indispensable dans le domaine des TIC au 21ième Siècle. Sur ceux la nécessité de connaître quelques uns des ces équipement qui est d’ailleurs l’un des objectifs phares de ces travaux mais aussi d’avoir un aperçus sur certains protocoles qui sont des éléments indispensables dans le domaine des réseaux comme le VRRP, HSRP, GLBP, … qui tous fournissent des services très spéciaux en la matière. École Centrale des Logiciels Libres et des Télécommunications
  • 4. II - TP1 : Activation de connexion à distance SSH avec authentification des Users via Radius Pour conclure cette partie sur la sécurité des appareils CISCO, nous nous proposons donc de coupler nos routeurs et nos switchs à un serveur permettant de centraliser tous les utilisateurs de notre réseau. Le protocole que vous allez utiliser, RADIUS ➢ Définition RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. Le protocole RADIUS a été inventé et développé en 1991 par la société Livingston, qui fabriquait des serveurs d'accès au réseau pour du matériel uniquement équipé d'interfaces série; il a fait ultérieurement l'objet d'une normalisation par l'IETF. La dernière version du protocole RADIUS est normalisée par l'IETF dans deux RFC: 2865 (RADIUS authentication) et 2866 (RADIUS accounting) de juin 2000. ➢ Secure Shell(SSH) Secure SHell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés. Pour mettre en place le travail que nous nous sommes fixer nous allons monter l’architecture. ➢ Architecture École Centrale des Logiciels Libres et des Télécommunications
  • 5. Installation et Configuration d’un serveur RADIUS Il faut installer un serveur radius sur une machine Ubuntu avec la commande suivantes : Configuration du client radius on édite le fichier /etc/freeradius/clients.conf dans notre cas pour certains le chemin est /etc/freeradius/3.0/clients.conf comme le montre la figure ci-dessous : On l’adapte à l’image suivante: Ensuite on va créer les différents comptes utilisateur pour ouvrir des sessions sur le routeur à distance dans le fichier /etc/freeradius/users n’oubliez pas l’autre chemin indiquer un peu plus pour certains cas comme le montre la figure ci-dessous : Sauvegardons le fichier et redémarrons le service freeradius École Centrale des Logiciels Libres et des Télécommunications
  • 6. Configuration du routeur R1 Configuration de l’interface du Routeur R1 ! hostname R1 ! interface FastEthernet0/0 ip address dhcp no shutdown ! ssh : activation de connexion sur routeur ! a) On donne un nom de domaine au routeur par la commande : ! ip domain name ec2lt.sn ! b) on gérére la clé de chiffrement par la commande : ! crypto key generate rsa ! c) On active le ssh par la commande : ! ip ssh version 2 ! d) On configure l’authentification et on ajoute un compte utilisateurs ! aaa new-model aaa authentication login default local username admin secret 5 $1$agMP$Yfpibhd5SQD9DlrEWIi8W. ! Activation de l’ouverture de sessions à distance ! École Centrale des Logiciels Libres et des Télécommunications
  • 7. line vty 0 5 login authentication default transport input ssh# Pour autoriser uniquement les connexion ssh enable secret 5 $1$kvGq$7dXnlf1MH6nu4Vt/ximHh. ! Configuration de la methode d’authentification AAA sur le routeur ! aaa new-model aaa authentication dot1x default group radius aaa authentication login default group radius aaa authorization network default group radius aaa authorization exec default local group radius radius-server host 192.168.122.240 auth-port 1812 acct-port 1646 key testing123 ! end R1#test aaa group radius [username] [mot de passe] legacy Les caractères illisible sont le mot de passe que nous avons défini. La commande aaa new-model active les fonctions d’authentification, d’autorisation et de comptabilité du switch. Les trois commandes suivantes définissent les services du serveur RADIUS (déclaré plus bas) qui aura la charge d’authentifier les utilisateurs. La commande radius-server déclare le serveur RADIUS qui fournit les services demandés ainsi qu’une clé d’authentification. la commande test aaa permet de tester la disponibilité du serveur de RADIUS. École Centrale des Logiciels Libres et des Télécommunications
  • 8. Maintenant nous allons tester nos comptes depuis le depuis avant On utilise la commande suivante : On constate que l’utilisateur a bien été authentifié au près du serveur RADIUS comme le montre la figure ci-dessous : Pensez à démarrer le freeradius en mode debeug avec freeradius -X mais il faut l’arrêter d’abord avant de lancer la commande. Nous allons maintenant prendre une machine docker et installer openssh-server avec la commande: apt-get install openssh-server comme vous pouvez le voir ici. Ensuite configurons le client ssh en éditant le fichier /etc/ssh/ssh_config et en décommentant la ligne suivante comme le montre la figure ci-dessous : École Centrale des Logiciels Libres et des Télécommunications
  • 9. On ajoute sur le client SSH de Linux pour l’échange des paramètres de diffie-hellman dans le fichier /etc/ssh/ssh_config comme ci-dessous: Redémarrer le service avec /etc/init.d/ssh restart Lançons une nouvelle connexion SSH vers le routeur, en essayant de nous authentifier avec les utilisateurs radius comme le montre la figure ci-après : Nous remarquons que la connectivité passer car nous parvenons à nous connecter depuis le client sur le routeur avec les comptes que nous avons créer au niveau du serveur. École Centrale des Logiciels Libres et des Télécommunications
  • 10. III - TP2 : Sécurisation des ports d’un switch (passez emprunter 1 switch au labo) Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer des circuits virtuels. Sécurisation de port La sécurisation d’un port consiste à n’autoriser que certaines adresses MAC à envoyer des trames au switch sur un port donné. Si le switch reçoit sur ce port une trame dont l’adresse MAC source n’est pas dans la liste des adresses autorisées (on parle de violation de sécurité), la politique par défaut est de fermer complètement le port (politique shutdown). D’autres politiques sont applicables comme celle d’ignorer simplement la trame (politique restrict). Pour mettre cette sécurité des ports sur un switch nous allons monter notre topologie. ➢ ARCHITECTURE Le 10.10.10.0/24 est notre réseau École Centrale des Logiciels Libres et des Télécommunications
  • 11. Quelques commandes utiles sur les SWITCHs: Pour afficher la table de commutation: show mac address-table Vider la table de commutation(les entrés dynamiques uniquement): clear mac address-table dynamic Afficher la duré de vie des entrés dynamiques de la table: show mac address-table aging-time Fixer à N secondes la duré de vie des entrés dynamiques de la table: mac address-table aging-time N Une fois les différents postes sont branchés sur le switch, nous allons afficher les ports pour identifier celui que nous voulons sécurisé. Comme sur cette image nous voulons sécurisé le port fa0/7 à travers l’adresse MAC de la machine qui est connecter sur lui. Dont l’adresse est la suivante: 5cf9.dd5a.224e A présent le port est identifié nous allons procéder à la configuration qui permet de sécurisé un port à travers une adresse Mac comme le montre la figure ci-dessous: École Centrale des Logiciels Libres et des Télécommunications
  • 12. Là nous vérifions est-ce que le port est bien sécurisé comme nous pouvons le voir ici. Maintenant que nous avons sécurisé un de nos port essayons d’abord la connectivité entre les différents machines qui y sont connectées au SWITCH. École Centrale des Logiciels Libres et des Télécommunications
  • 13. Après avoir interdit toute connexion sur le port fa0/7 ayant une adresse Mac différente. essayons de brancher une nouvelle machine sur le même port et voir le résultat. Ici nous remarquons que si autre machine est branchée sur ce port il ne parvient plus à voir les autres car l’interface ne s’active pas comme vous pouvez le voir ci-dessous: Une autre méthode consiste à donner un nombre maximal des machines pouvant se connecter sur un port. ➢ Sécurité par rapport à un nombre maximale Connectons des machines à ce port et à chaque fois que nous branchons une nouvelle essayons de faire un ping vers les autres et tirer une conclusion. ➢ Une première machine École Centrale des Logiciels Libres et des Télécommunications
  • 14. ➢ Une deuxième machine ➢ Une troisième machine Nous constatons que si on essaye d’excéder le nombre maximale défini les choses ne vont plus fonctionné. Quelques détails sur les commandes utiliser pour réaliser ce travail. Ce TP nous a permit de savoir que nous pouvons faire beaucoup des choses sur les port d’un Switch pour éviter tout trafique non souhaiter. École Centrale des Logiciels Libres et des Télécommunications
  • 15. IV - TP3 : Segmentation des réseaux avec des VLAN 1. VLAN Liaison ACCES pour chaque réseau virtuel pour relier les deux switchs Ce TP consiste à utiliser quelques ports des deux switchs pour créer des réseaux virtuels appelé VLAN. Les flux de chaque réseau virtuel empruntent un chemin différent donc au tend de réseaux virtuels que de liens entre les deux switchs. ➢ Définition Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau. ➢ Intérêt des VLAN Les VLAN présentent les intérêts suivants: • Améliorer la gestion du réseau. • Optimiser la bande passante. • Séparer les flux. • Segmentation: réduire la taille d'un domaine de broadcast, • Sécurité: permet de créer un ensemble logique isolé pour améliorer la sécurité. Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur. ➢ Architecture École Centrale des Logiciels Libres et des Télécommunications
  • 16. 1) Donner les adresses IP aux différentes machines des différents vlans 2) Création des vlans sur les deux switchs 3) Affectation des ports aux vlans École Centrale des Logiciels Libres et des Télécommunications
  • 17. Test de connectivité Testons la connectivité entre les machines d’un même réseau virtuel ➢ VLAN 10 ➢ VLAN 20 ➢ VLAN 30 Remarques : • utilisation inutile des câbles • gaspillage d’interfaces fastethernet du switch École Centrale des Logiciels Libres et des Télécommunications
  • 18. 2. VLAN : Une seule liaison TRUNK pour relier les deux switchs L’objectif de ce TP est d’utiliser un lien TRUNK entre les deux switchs pour transporter les flux des différents réseaux virtuels. L’avantage d’un lien TRUNK est de pouvoir véhiculer les données des différents vlans. Il permet aussi d’économiser le câble et des ports au niveau des deux Switchs. ➢ Définition Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un seul lien physique (Une "sorte" d’agrégation de plusieurs lignes de télécommunication ou de VLAN afin d'augmenter la bande passante…). ➢ TOPOLOGIE 1) Affecter les adresses IP aux différentes machines des différents vlans 2) Créer les vlans sur les deux switchs École Centrale des Logiciels Libres et des Télécommunications
  • 19. 3) Affectation des ports aux vlans • Sur le switch 1 (SW1) • Sur le switch 1 (SW2) 4) On affiche les détails du lien TRUNK avec la commande show interface 1/0 switchport. Une fois cette commande est saisi vous verrez les trois lignes suivantes avec ses explications: Operational Mode : trunk : interface fonctionne en mode TRUNK Operational Trunking Encapsulation : dot1q : donne le protocole d’encapsulation utilisé Trunking Vlan Active : donne la liste des différents vlans admis pour le transport des flux École Centrale des Logiciels Libres et des Télécommunications
  • 20. Teste de connectivité ➢ VLAN 10 ➢ VLAN 20 ➢ VLAN 30 Remarque: l’utilisation de liaison trunk permet d’économiser des port et des liens en terme d’interfaces et en plus ça facilite la configuration. École Centrale des Logiciels Libres et des Télécommunications
  • 21. 3. Mise en œuvre des VLAN avec VTP ➢ Définition VTP ou VLAN Trunking Protocol est un protocole de niveau 2 utilisé pour configurer et administrer les VLAN sur les périphériques Cisco. Principes du VTP VTP (VLAN Trunking Protocol), protocole propriétaire Cisco permet, aux commutateurs qui l’implémentent, d'échanger des informations de configuration des VLAN.Il permet donc de redistribuer une configuration à d'autres commutateurs, évitant par la même occasion à l'administrateur de faire des erreurs, en se trompant par exemple de nom de VLAN. Dans un domaine VTP, on distingue une hiérarchie comprenant trois modes de fonctionnement : • VTP serveur • VTP client • VTP transparent Les modes VTP Les commutateurs qui font office de serveur VTP peuvent créer, modifier, supprimer les VLAN et d'autres paramètres de configuration. Ce sont eux qui transmettront cette configuration aux commutateurs en mode client (ou serveur) dans leur domaine VTP. Les commutateurs fonctionnant en mode client ne peuvent que recevoir et transmettre les mises à jour de configuration. Le mode transparent, lui, permet aux commutateurs de ne pas tenir compte des mises à jour VTP. Ils sont autonomes dans le domaine VTP et ne peuvent configurer que leurs VLAN (connectés localement). Cependant, ils transmettent aux autres commutateurs les mises à jour qu’ils reçoivent. Les commutateurs en mode serveur et client mettent à jour leur base de données VLAN, si et seulement si, ils reçoivent une mise à jour VTP concernant leur domaine et contenant un numéro de révision supérieur à celui déjà présent dans leur base. École Centrale des Logiciels Libres et des Télécommunications
  • 22. ➢ ARCHITECTURE Configuration de VTP sur les SWITCHs ➢ Serveur ➢ Transparent École Centrale des Logiciels Libres et des Télécommunications
  • 23. ➢ Client Configuration de la liaison trunk sur les interfaces ➢ Sur le Serveur ➢ Sur le Client ➢ Sur le transparent École Centrale des Logiciels Libres et des Télécommunications
  • 24. Création des vlan sur le serveur Vérification des VLAN avec la commande show vlan-swhitch ➢ Sur le serveur ➢ Sur le Client Nous voyons bien que les vlan crée sur le serveur sont automatiquement sur le client, donc la configuration du protocole vtp fonctionne. École Centrale des Logiciels Libres et des Télécommunications
  • 25. NB: On pouvait ne pas mettre le lien entre le serveur et le client en utilisant le transparent comme l’élément intermédiaire, ou encore ne pas utiliser le transparent en reliant directement le serveur et client car ça allait toujours donner le même résultat . En plus nous remarquons qu’avec ce protocole nous avons le pouvoir d’administrer nos switchs à distance. D’où son importance dans un milieu où nous avons beaucoup des équipement à gérer. École Centrale des Logiciels Libres et des Télécommunications
  • 26. 4. Routage inter-vlan classique Ce TP consiste à mettre en place du routage inter-vlan pour faire communiquer les deux réseaux. Dans ce TP nous utilisons un équipement de niveau 3 c’est-à-dire un routeur qui a deux interfaces et chaque interface sera affecter à un vlan comme le montre l’architecture ci-dessous : ➢ ARCHITECTURE a) Donner des adresses IP aux différentes machines des VLANs 10 et 20 École Centrale des Logiciels Libres et des Télécommunications
  • 27. b) Créer les Vlans 10 et 20 c) Affectation des interfaces aux VLAN avec les commandes suivantes: interface range fastEthernet 1/0 – 2 switchport mode access switchport access vlan 10 interface range fastEthernet 1/3 - 5 switchport mode access switchport access vlan 20 d) Affichage des vlan École Centrale des Logiciels Libres et des Télécommunications
  • 28. e) Donner une adresse IP à l’interface f0/0 qui constitue une passerelle par défaut du vlan 10 ensuite activer l’interface. f) Donner une adresse IP à l’interface f0/1 qui constitue une passerelle par défaut du vlan 20 ensuite activer l’interface. g) Teste de connectivité entre PC-1 et PC-3 Nous remarquons que la connectivité passe bien entre les machines des différents vlan. École Centrale des Logiciels Libres et des Télécommunications
  • 29. 5. Routage Inter-vlan avec un Router On a Stick Ce TP consiste à faire appel à un équipement de niveau 3 pour faire communiquer les différents réseaux virtuels. Vue que le switch ne peut être connecté qu’à une seule interface du routeur donc il faut des interfaces virtuelles. ➢ SCHEMA a) On donne des adresses IP et la passerelle aux différentes machines des deux vlans 10 et 20 b) création les VLANs 30 et 40 École Centrale des Logiciels Libres et des Télécommunications
  • 30. Vous remarquerez une petite incompréhension entre la notation de l’architecture et les VLANs créer. Sur l’architecture les vlan 10 représente les 30 et les 20 représente les 40 s’est une erreur de frappe on s’en excuse. c) Ajout des interfaces aux différents vlan avec les commandes que nous avons vu tout à l’heure pour les liaisons access. d) Affichons les vlan e) Configurons l’interface f1/2 en mode trunk pour qu’il puisse véhiculer les flux des deux vlans 30 et 40 comme le montre la figure ci-dessous : • Affichage des informations de la liaison trunk École Centrale des Logiciels Libres et des Télécommunications
  • 31. f) Activons l’interface f0/0 du routeur R1 g) Créons deux interfaces virtuelles f0/0.30 et f0/0.40 et affectation d’une adresse IP à chacune des interfaces virtuelles du routeur R1. École Centrale des Logiciels Libres et des Télécommunications
  • 32. • Affichage des interfaces virtuelles et leur Statut h) Test de connectivité depuis Ce TP nous a permit de comprendre que nous avons la possibilité d’utiliser des interfaces virtuelles à la place des physiques et faire fonctionner exactement les choses comme il le faut. École Centrale des Logiciels Libres et des Télécommunications
  • 33. 6. Routage Inter-vlan avec un switch de niveau 3 On propose l’architecture suivante dont nous avons des switchs d’accès et des switchs de distributions comme le montre la figure ci-après : a) Pensons à donner des adresses IP aux deux machines b) Configuration des liens Trunk entre les switchs d’accès et les switchs de distribution • Configuration du SW1 et SW2 sw(config)# interface range fastethernet 1/0 - 2 sw(config)# switchport mode trunk École Centrale des Logiciels Libres et des Télécommunications
  • 34. Pour voir les configurations des autres interfaces on utilise la même commande seulement à la place de 1/0 on met celui correspondant. • Configuration du SW3 et SW4 École Centrale des Logiciels Libres et des Télécommunications
  • 35. Affichage de ses configuration c) Création des Vlan10 et Vlan20 sur les 4 switch d) affichons les Vlan École Centrale des Logiciels Libres et des Télécommunications
  • 36. • Configuration des interfaces des SW3 et SW4 relier aux machines École Centrale des Logiciels Libres et des Télécommunications
  • 37. e) Création des interfaces virtuelles sur les deux switchs de distribution (SW1 et SW2) f) Test de bon fonctionnement Nous allons depuis PC-1 faire un ping sur PC-2 comme le montre la figure ci-après : La remarque elle est bonne car la connectivité fonctionne. École Centrale des Logiciels Libres et des Télécommunications
  • 38. V - TP4 : Mise en place d’ACL ACL – Access Control List Généralités · Une ACL est une liste de règles permettant de filtrer ou d’autoriser du trafic sur un réseau en fonction de certains critères (IP source, IP destination, port source, port destination, protocole, ...). · Une ACL permet de soit autoriser du trafic (permit) ou de le bloquer (deny). · Il est possible d’appliquer au maximum une ACL par interface et par sens (input/output). · Une ACL est analysée par l’IOS de manière séquentielle. · Dès qu’une règle correspond au trafic, l’action définie est appliquée, le reste de l’ACL n’est pas analysé. · Toute ACL par défaut bloque tout trafic. Donc tout trafic ne correspondant à aucune règle d’une ACL est rejeté. Remarque: Les ACLs servent également à identifier un trafic afin d’être traité par un processus, dans ce cas le trafic correspondant à un « permit » est traité, et celui correspondant à un « deny » est ignoré. 1. Autoriser l'accès au réseau pour un hôte sélectionné Cette figure illustre un hôte sélectionné disposant d'une autorisation d'accès au réseau. Tout trafic originaire de l'hôte PC2 et destiné au réseau 192.168.1.0/24 est autorisé, alors que tout autre trafic originaire du réseau 192.168.0.0/24 et destiné à 192.168.1.0/24 est refusé. École Centrale des Logiciels Libres et des Télécommunications
  • 39. ➢ ARCHITECTURE ➢ Configuration des interfaces du routeur École Centrale des Logiciels Libres et des Télécommunications
  • 40. ➢ Configuration de l’ACL en autorisant une hôte sélectionnée ➢ Configuration du PC1 ➢ Test de fonctionnement Nous constatons bien que l’hôte sélectionné arrive à joindre le réseau de destination alors que le PC3 n’y arrive pas pour des raisons d’interdiction avec le message suivant «communication interdite administrativement» . École Centrale des Logiciels Libres et des Télécommunications
  • 41. 2. ACL et connections SSH Autorisation de l’IP 172.16.1.2 uniquement à ouvrir des sessions à distance sur le Routeur R1 : ➢ ARCHITECTURE ➢ Affectation d’une adresse IP à l’interface du routeur École Centrale des Logiciels Libres et des Télécommunications
  • 42. Configuration de l’authentification d’SSH • On donne un nom de domaine au routeur, on génère une clé et on active le ssh • Options ajoutées au service ssh - les évènements associés aux connexions ssh sont enregistrés. - Un timeout de 60 secondes est ajouté pour les sessions ssh en cas d'inactivité . - Nous laissons trois essais pour la connexion au routeur. • Ajout d'un compte administrateur • Interdiction de toute autre ouverture session que SSH avec transport input ssh • Création de l’ACL en autorisant uniquement une hôte sélectionnée • Ajout d’un mot de passe pour le mode privilégiés École Centrale des Logiciels Libres et des Télécommunications
  • 43. ➢ Fixons les adresses sur les différentes machines NB: nous sommes dans le même réseau ce qui veut dire que les passerelles ont été ajouter uniquement pour s’amuser. Après avoir installer SSH avec la commande apt-get install openssh-server il faut ajouter à la fin du fichier /etc/ssh/ssh_config la ligne suivante: Puis redémarrer le service avec /etc/init.d/ssh restart. ➢ Teste de bon fonctionnement Souvenez vous que nous avions autorisé uniquement l’hôte ayant 10.10.10.1 comme adresse. Maintenant essayons avec la machine ayant 10.10.10.2 pour adresse et voir le résultat. Nous voyons que pour cet utilisateur la connexion est refusée. Donc si on se résume on peut dire que les ACL nous permet d’autoriser ou refuser un hôte ou un groupe donné à un service. École Centrale des Logiciels Libres et des Télécommunications
  • 44. VI - TP5 : Mise en œuvre des ports mirroring et forwarding 1) Port mirroring Le port-mirroring est une technique qui permet de copier tout le trafic d'un ou de plusieurs port(s) source(s) vers un port de destination. ➢ ARCHITECTURE a) configurons le mirroring sur le port fa 1/2 de manière à recevoir toutes les informations qui circulent entre le port fa 1/0 et fa1/1 comme montrer sur l’images suivante: Nous avons utiliser both parce qu’on a dit toutes les informations qui circulent entre fa1/0 et fa1/1 cela veut dire tout simplement paquets entrant et sortant. Si on voulait seulement recevoir les paquets reçus on aurait dit utiliser rx et tx pour les paquets transmis. École Centrale des Logiciels Libres et des Télécommunications
  • 45. b) Teste de fonctionnement: Pour cela lançons un ping depuis PC1 vers PC2 et démarrons Wireshark sur PC3 pour observer ce qui se passe. Remarque: le trafique qui s’effectue entre le PC1 et PC2 est bien visible sur l’interface défini comme étant la destination. École Centrale des Logiciels Libres et des Télécommunications
  • 46. 2) Port forwarding Définition Le réacheminement de port (port forwarding ou port mapping en anglais) consiste à rediriger des paquets réseaux reçus sur un port donné d'un ordinateur ou un équipement réseau vers un autre ordinateur ou équipement réseau sur un port donné. Le port forwarding, c'est sécurise ! Le fait d'utiliser de la NAT dynamique ainsi que le port forwarding augmente le niveau de sécurité de votre réseau. TP de mise en œuvre de port forwarding ➢ ARCHITECTURE ➢ Configuration du Routeur École Centrale des Logiciels Libres et des Télécommunications
  • 47. Pour la configuration du routeur nous allons mettre son interface externe qui f0/0 en dhcp et l’autre interface f0/1 nous allons la fixer une adresse comme le montre les figures suivantes: ➢ Configuration de redirection de port Nous allons dire au Routeur tout trafic entrant vers le port 22 et 80 de ton interface externe redirige le vers la machine locale (10.10.10.1/24) sur le même port. Pour cela on utilise les commandes suivantes: R1(config)# ip nat inside source static tcp 10.10.10.1 22 192.168.0.182 22 extendable R1(config)#ip nat inside source static tcp 10.10.10.1 80 192.168.0.182 80 extendable L’adresse 10.10.10.1 c’est celle de la machine locale et la 192.168.0.182 est celle de l’interface externe du routeur. Pour les tests on lance le navigateur firefox pour accéder au serveur web situé derrière le routeur ou encire on prend le client-ssh puis on essaye d’ouvrir une session à distance comme le montre les figures ci-dessous : École Centrale des Logiciels Libres et des Télécommunications
  • 48. • Pour le cas du navigateur • Pour le vas de ssh Nous remarquons que l’accession au serveur web situé derrière le routeur et l’ouverture de la session à distance par ssh fonctionnent. École Centrale des Logiciels Libres et des Télécommunications
  • 49. VII - TP6 : Mise en œuvre des protocoles VRRP et HSRP TP de Mise en place du protocole VRRP Définition Virtual Router Redundancy Protocol (protocole de redondance de routeur virtuel, VRRP) est un protocole standard dont le but est d'augmenter la disponibilité de la passerelle par défaut des hôtes d'un même réseau. Le principe est de définir la passerelle par défaut pour les hôtes du réseau comme étant une adresse IP virtuelle référençant un groupe de routeurs. ➢ ARCHITECTURE a) Configurons les interfaces fastEthernet 0/0 et 0/1 des deux routeurs et identifions les interfaces (identifier l’interface LAN (inside) et identifier l’interface WAN (outside)). Les interfaces coté WAN nous allons les mettre en dhcp École Centrale des Logiciels Libres et des Télécommunications
  • 50. Comme vous pouvez le voir sur les images ci-dessous: • Configuration de R1 • Configuration de R2 b) Configuration du PAT sur les deux routeurs • Nous allons commencer par créer une ACL pour sélectionner les réseaux qui utiliseront le NAT en même temps nous allons créer une relation entre access-list et l’interface WAN. Comme nous allons le voir ci-bas: École Centrale des Logiciels Libres et des Télécommunications
  • 51. c) Configuration du protocole VRRP • configuration de R1 • configuration de R2 d) Afficher les informations du protocole VRRP des deux routeurs • Sur le routeur R1 École Centrale des Logiciels Libres et des Télécommunications
  • 52. • Sur le routeur R2 e) Attribution des éléments TCP/IP aux VPCs Donnons aux différents VPCs des éléments TCP/IP à savoir une adresse IP , un masque de réseau, et la passerelle par défaut qui est l’adresse IP virtuelle 20.20.20.254/24 • VPC1 • VPC1 • Configuration du navigateur École Centrale des Logiciels Libres et des Télécommunications
  • 53. f) Test de bon fonctionnement Lançons le navigateur pour accéder au site de l’école à l’adresse www.ec2lt.sn comme le montre la figure ci-dessous : g) Nous allons simuler une panne du routeur Master en arrêtant le routeur R1 • Lançons à nouveau le navigateur et essayons d’accéder à youtube à l’adresse www.youtube.com comme le montre la figure ci-dessous : École Centrale des Logiciels Libres et des Télécommunications
  • 54. Nous constatons que la redondance des passerelles est bien effectuée car bien vraie que routeur master est arrêté L’autre prend automatiquement le relais. École Centrale des Logiciels Libres et des Télécommunications
  • 55. TP de Mise en place du protocole HSRP Présentation de HSRP Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de “continuité de service” implémenté dans les routeurs Cisco pour la gestion des “liens de secours”. HSRP sert à augmenter la tolérance de panne sur le réseau en créant un routeur virtuel à partir de deux (ou plus) routeurs physiques: un «actif» et l’autre (ou les autres) «en attente» (ou «standby») en fonctions des priorités accordées à chacun de ces routeurs. HSRP est un protocole propriétaire aux équipements Cisco et il n'est pas activé par défaut. Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés. Fonctionemment du protocole HSRP Cela se fait par la mise en commun du fonctionnement de plusieurs routeurs physiques (au minimum deux) qui, de manière automatique, assurerons la relève entre eux d’un routeur à un autre. Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant normalisé, il est disponible sur les routeurs d’autres marques que Cisco. Plus précisément, la technologie HSRP permettra aux routeurs situés dans un même groupe (que l’on nomme « standby group ») de former un routeur virtuel qui sera l’unique passerelle des hôtes du réseau local. En se «cachant » derrière ce routeur virtuel aux yeux des hôtes. Les routeurs garantissent en fait qu’il y est toujours un routeur qui assure le travail de l’ensemble du groupe. Un routeur dans ce groupe est donc désigné comme « actif » et ce sera lui qui fera passer les requêtes d’un réseau à un autre. Pendant que le routeur actif travail, il envoie également des messages aux autres routeurs indiquant qu’il est toujours « vivant » et opérationnel. Si le routeur principal (élu actif) vient à tomber. Il sera automatiquement remplacé par un routeur qui était alors jusque-là « passif » et lui aussi membre du groupe HSRP. Aux yeux des utilisateurs toutefois, cette réélection et ce changement de passerelle sera totalement invisible car ils auront toujours pour unique passerelle le routeur virtuel que forment les routeurs membres du groupe HSRP. Le routeur virtuel aura donc toujours la même IP et adresse MAC aux yeux des hôtes du réseau même si en réalité il y a un changement du chemin par lequel transitent les paquets. École Centrale des Logiciels Libres et des Télécommunications
  • 56. ➢ ARCHITECTURE NB: nous avons une meme architecture pour les deux protocoles VRRP et HSRP du coût nous avons repris les configurations de base mais nous n’allons pas les mettre sur le rapport. Pour rappelle ce à la place de la configuration de VRRP sur le TP précédent que nous allons configurer le HSRP. Vu que le plan d’adressage n’a pas était changé, nous sommes obligés soit d’annuler la configuration du VRRP soit éteindre les routeurs et reprendre à zéro. Pour éviter des messages d’erreur tel que la coïncidence des adresses etc. • Configuration du routeur R1 École Centrale des Logiciels Libres et des Télécommunications
  • 57. • Nous allons commencer par créer une ACL pour sélectionner les réseaux qui utiliseront le NAT en même temps nous allons créer une relation entre access-list et l’interface WAN. Comme nous allons le voir ci-bas: • Configuration du protocole HSRP L'élection des routeurs L’élection des routeurs sert à déterminer lequel sera primaire (actif) et lequel sera secondaire (passif). Dans notre cas R1 est le primaire. « Standby » est la commande qui permet la configuration du HSRP. « 10 » est le numéro du groupe HSRP dont fait partie l’interface. Il faut savoir qu’un routeur peut faire partie de plusieurs groupes HSRP. Effectuer la même configuration sur R2 en changeant la priorité par un nombre inférieur à R1. École Centrale des Logiciels Libres et des Télécommunications
  • 58. • Test du HSRP On peut maintenant passer à notre phase de test où nous allons désactiver le routeur actif pour voir si les autres routeurs prennent bien le relais. • Test avant de désactiver le routeur actif • Test après avoir désactiver le routeur actif Force est de constater que le protocole HSRV fonctionne comme prévu. Mais nous remarquons que une fois le routeur «actif» est désactivé il faut patienter quelques temps pour que l’autre prend le relais. École Centrale des Logiciels Libres et des Télécommunications
  • 59. VIII - Projet: Etude du protocole GLBP I) Introduction Gateway Load Balancing Protocol est un protocole propriétaire Cisco qui permet de faire de la redondance ainsi que de la répartition de charge sur plusieurs routeurs utilisant une seule adresse IP virtuelle, mais plusieurs adresses MAC virtuelles. Le protocole GLBP élit un Active Virtual Gateway (AVG) qui va répondre aux requêtes ARP pour l’adresse IP virtuelle. GLBP permet de donner un poids variable à chacun des routeurs participants pour la répartition de la charge entre ces routeurs. La charge est donc répartie par hôte dans le sous- réseau. 1) Principe de fonctionnement GLBP est un protocole propriétaire Cisco qui reprend les concepts de base de HSRP et VRRP. Contrairement à ces 2 protocoles, tous les routeurs du groupe GLBP participent activement au routage alors que dans VRRP ou HSRP, il n’y en a qu’un qui est en mode actif, tandis que les autres patientent. Plus concrètement, à l’intérieur du groupe GLBP, le routeur ayant la plus haute priorité ou la plus haute adresse IP du groupe prendra le statut de « AVG » (active virtual gateway). Ce routeur va intercepter toutes les requêtes ARP effectuées par les clients pour avoir l’adresse MAC de la passerelle par défaut, et grâce à l’algorithme d’équilibrage de charge préalablement configuré, il va renvoyer l’adresse MAC virtuelle d’un des routeurs du groupe GLBP. C’est d’ailleurs le Routeur AVG qui va assigner les adresses MAC virtuelles aux routeurs du groupe, Ainsi ils ont le statut « AVF » ( Active Virtual Forwarder). Un maximum de 4 adresses MAC virtuelle est défini par groupe, les autres routeurs ayant des rôles de backup en cas de défaillance des AVF. Les timers de GLBP sont : Hello : 3s Dead : 10s est le temps à partir duquel un AVF sera Dead, son adresse mac sera associée à un autre AVF Redirect (Temps à partir duquel on arrêtera de rediriger l’adresse mac d’une AVF Dead vers une autre AVF) : 600s Timeout (Temps à partir duquel un routeur est considéré comme inactif, son adresse MAC ne sera plus utilisée) : 14,400s (4 heures), doit être supérieur au temps de conservation des entrées ARP des clients. École Centrale des Logiciels Libres et des Télécommunications
  • 60. 2) Schéma réseau Vous pouvez observer que nous allons mettre en place deux groupes GLBP, un de chaque coté de nos routeurs. Nous essayerons d’expliquer la configuration le plus simplement possible. Dans mon schéma je partirai du principe que le routeur R1 est AVG côté LAN, et que R3 est AVG coté WAN. NB: Nous avons mis en place cette architecture pour bien expliquer et cerner les choses de façons clair et net. Autrement dit nous allons mettre en place toutes les commandes nécessaires et essayer au maximum possible d’expliquer tous les détails qui y sont liés au protocole. Mais la partie pratique c’est un peu plus loin selon c’est qui nous ait demandé de faire avec le routage inter-vlan en utilisant les switchs de niveau trois. II) Configuration de Base • 1) Routeur R1 Nous allons configurer le routeur 1, on commence par faire une petite configuration générale du routeur : Router#configure terminale Router#no ip domain-lookup Router#hostname R1 Ensuite nous configurons notre interface FastEthernet 0/0 : École Centrale des Logiciels Libres et des Télécommunications
  • 61. R1(config)#interface fastethernet 0/0 R1(config-if)#description "Int LAN" R1(config-if)#ip address 192.168.0.251 255.255.255.0 R1(config-if)#no shutdown Ensuite nous configurons notre interface FastEthernet 0/1 : R1(config)#interface fastethernet 0/1 R1(config-if)#description "Int WAN" R1(config-if)#ip address 192.168.1.251 255.255.255.0 R1(config-if)#no shutdown • 2) Routeur R2 Même chose pour R2, on lui configure une configuration générale : Router#configure terminale Router#no ip domain-lookup Router#hostname R2 Ensuite nous configurons notre interface FastEthernet 0/0 : R2(config)#interface fastethernet 0/0 R2(config-if)#description "Int LAN" R2(config-if)#ip address 192.168.0.252 255.255.255.0 R2(config-if)#no shutdown Ensuite nous configurons notre interface FastEthernet 0/1 : R2(config)#interface fastethernet 0/1 R2(config-if)#description "Int WAN" R2(config-if)#ip address 192.168.1.252 255.255.255.0 R2(config-if)#no shutdown • 3) Routeur R3 Et on recommence une dernière fois sur notre routeur R3 : École Centrale des Logiciels Libres et des Télécommunications
  • 62. Router#configure terminale Router#no ip domain-lookup Router#hostname R3 Ensuite nous configurons notre interface FastEthernet 0/0 : R3(config)#interface fastethernet 0/0 R3(config-if)#description "Int LAN" R3(config-if)#ip address 192.168.0.253 255.255.255.0 R3(config-if)#no shutdown Ensuite nous configurons notre interface FastEthernet 0/1 : R3(config)#interface fastethernet 0/1 R3(config-if)#description "Int WAN" R3(config-if)#ip address 192.168.1.253 255.255.255.0 R3(config-if)#no shutdown III) Mise en place de GLBP 1) GBLP coté LAN : groupe 1 Nous commençons par configurer GBLP du coté LAN : • a) Routeur R1 Comme indiqué au début de l’article, nous désignons R1 comme routeur AVG pour le groupe GLBP 1 qui correspond au côté LAN de notre réseau. Voici les commandes qui vont permettre de configurer le GBLP : R1(config-if)#glbp 1 ip 192.168.0.254 R1(config-if)#glbp 1 priority 255 R1(config-if)#glbp 1 preempt R1(config-if)#glbp 1 name glbp-lan École Centrale des Logiciels Libres et des Télécommunications
  • 63. Quelques explications : glbp 1 : Correspond au groupe 1. glbp 1 ip : Permet d’attribuer une adresse IP à l’interface GLBP. glbp 1 priority : Permet d’attribuer une priorité au routeur, qui va servir à élire un routeur AVG. Nous voulons que R1 soit AVG donc nous mettons la plus haute valeur (255). glbp 1 preempt : Si un routeur entre dans le groupe GLBP avec une valeur de priorité plus forte que les autres, il doit quand même attendre la prochaine élection (qui aura lieu lorsque le routeur AVG actuel sera hors service). La commande "preempt" permet d’éviter ce problème. Pour affiner le réglage nous pouvons régler le délai avant que le routeur ne reprenne le contrôle du groupe (délai par défaut = 30s) via la commande "glbp 1 preemp delay XXX" où XXX est un nombre de seconde. glbp 1 name glbp-lan : Permet simplement de donner un nom au groupe. • b) Routeur R2 Pour la configuration de R2, on recommence : R2(config-if)#glbp 1 ip 192.168.0.254 R2(config-if)#glbp 1 priority 120 R2(config-if)#glbp 1 preempt R2(config-if)#glbp 1 name glbp-lan On n’oublie pas de changer la valeur de la priorité par une plus faible. • c) Routeur R3 Même chose : R3(config-if)#glbp 1 ip 192.168.0.254 R3(config-if)#glbp 1 priority 110 R3(config-if)#glbp 1 preempt R3(config-if)#glbp 1 name glbp-lan 2) GLBP coté WAN : groupe 2 Comme indiqué au début de l’article, nous désignons R3 comme routeur AVG pour le groupe GLBP 2 qui correspond au coté WAN de notre réseau. • a) Routeur R1 Voici les commandes qui vont permettre de configurer le GBLP coté WAN : R1(config-if)#glbp 2 ip 192.168.1.254 R1(config-if)#glbp 2 priority 110 École Centrale des Logiciels Libres et des Télécommunications
  • 64. R1(config-if)#glbp 2 preempt R1(config-if)#glbp 2 name glbp-wan • b) Routeur R2 Pour la configuration de R2, on recommence : R2(config-if)#glbp 2 ip 192.168.1.254 R2(config-if)#glbp 2 priority 120 R2(config-if)#glbp 2 preempt R2(config-if)#glbp 2 name glbp-lan • c) Routeur R3 Même chose : R3(config-if)#glbp 2 ip 192.168.1.254 R3(config-if)#glbp 2 priority 255 R3(config-if)#glbp 2 preempt R3(config-if)#glbp 2 name glbp-lan 3) Test de fonctionnement Nous regardons le fonctionnement du groupe 1 de GLBP via la commande "show glbp" : Si tout ça se passe bien Nous pouvons voir que : Nos 3 routeurs sont biens dans le groupe 1 Les 3 adresses MAC virtuelles R1 est bien routeur AVG du groupe 1 Que l’équilibrage fonctionne par défaut en mode "Round Robin" Vous devez pouvoir tester maintenant la redondance, pour cela vous allez faire un Ping infini de PC1 vers PC2. Vous regarderez à quel routeur votre PC1 est lié pour l’éteindre et combien de Ping on perd. Vous affichez la table ARP de PC1 avec arp -a : En tapant la commande "show glbp", vous pouvez voir que l’adresse MAC de la passerelle correspond au routeur R1 : Maintenant vous savez que le routeur utilisé par PC1 est R1, vous débranchez donc R1 et observez le Ping : Grâce aux observations que vous devez faire, vous devez pouvoir établir un tableau rassemblant au suivant : École Centrale des Logiciels Libres et des Télécommunications
  • 65. Tableau correspondance MAC @MAC Virtuelle @IP Hostname 0007.b400.0101 192.168.0.253 R1 0007.b400.0102 192.168.0.251 R2 0007.b400.0103 192.168.0.252 R3 Mais bien évidement si tout fonctionne correctement. IV) Configurations du load balancing GLBP propose trois modes d’équilibrage de charge : Round Robin (le mode par défaut) : Pour chaque requête ARP, on renvoi l’adresse Mac virtuelle immédiatement disponible. Prenons l’exemple ou nous avons une seule machine. Si cette station fait une requête ARP, elle obtiendra l’adresse MAC du premier routeur. Si elle vide son cache ARP, est qu’elle refait une requête, elle obtiendra l’adresse MAC du second routeur, Ainsi de suite. Weighted : Le poids de chaque interface du groupe GLBP définit la proportion de trafic à envoyer sur chaque routeur. Host-dependent : Chaque client générant une requête ARP recevra toujours la même adresse Mac virtuelle. 1) Round Robin • a) Configuration Pour activer Round Robin, il nous faut seulement taper une commande : glbp 1 load-balancing roung-robin • b) Observations On affiche les informations de GLBP via la commande "show glbp" : Une fois cette commande est saisie vous pouvez observer que le mode est bien "Round Robin". Lancez un Ping infini de PC1 vers PC2. Vous regardez la table ARP, vous la videz, puis vous regardez de nouveau pour observer si l’adresse MAC contenue dans la table ARP change après chaque nouvelle requête ARP. La commande arp -a permet d’afficher la table ARP du PC. La commande arp -d permet de vider la table ARP du PC. Donnez une conclusion ? École Centrale des Logiciels Libres et des Télécommunications
  • 66. 2) Weighted • a) Configuration Pour activer weighted, il nous faut seulement taper une commande : glbp 1 load-balancing weighted Puis ensuite sur chaque interface du groupe (Fa 0/0 de R1, R2 et R3 par exemple) vous devez définir un poids via la commande : glbp 1 weighting XXX Si par exemple vous avez deux routeurs A et B. Le routeur A possède des interfaces à 100Mb/s et que le routeur B possède des interfaces à 1GB/s, vous devez mettre un poids plus important sur les interfaces du routeur B pour qu’il soit privilégié. • b) Observations Affichez les informations de GLBP via la commande "show glbp" : Conclure. Tous les équipement ne sont pas du tout compatible avec ce mode. 3) host-dependent • a) Configuration Pour activer host-dependent, il nous faut seulement taper une commande : glbp 1 load-balancing host-dependent • b) Observations Affichez les informations de GLBP via la commande "show glbp" : Conclure. V) Configuration d’un track Comment expliquer le fonctionnement du Track ? Imaginons que le lien entre R1 et Switch 2 tombe en panne. Le groupe GLBP 2, va retirer le routeur R1 car il devient indisponible. Mais Le groupe GLBP1, il regarde seulement les interfaces de son groupe. fa0/1 du routeur R1 ne faisant pas partie de son groupe, il ne prendra pas en compte si l’interface tombe en panne. Pour éviter ces problèmes nous allons configurer un "track", nous allons demander au routeur d’observer l’interface fa 0/1 au niveau routage et au niveau physique. Pour finir nous allons configurer le groupe GLBP 1 pour qu’il décrémente le poids des interfaces dans le cas où le track lui indique qu’il y a un problème. École Centrale des Logiciels Libres et des Télécommunications
  • 67. Pour information le poids par défaut de l’interface est de "100" . 1) Configurations On commence par créer le track : #configure terminal (config)#track 1 interface fastethernet 0/1 line-protocole (config-track)#exit (config)#track 2 interface fastethernet 0/1 ip routing (config-track)#exit Quelques explications : track 1 : Le chiffre "1" correspond à l’identifiant du track. interface fastethernet 0/1 : indique que l’on veut surveiller cette interface. line-protocole : Surveille le coté physique de l’interface. ip routing : Surveille le coté routage de l’interface. Ensuite nous allons configurer le groupe GLBP : (config)#interface fastethernet 0/0 (config-if)#glbp 1 weighting 100 lower 50 (config-if)#glbp 1 weighting track 1 decrement 60 (config-if)#glbp 1 weighting track 2 decrement 60 Quelques explications : weighting 100 lower 50 : On indique que le poids de l’interface et de 100, et que le poids ne doit pas être en dessous de 50. weighting track 1 decrement 60 : On fait en sorte que si le track 1 tombe alors on décrémente le poids de l’interface de 60. weighting track 2 decrement 60 : Même chose pour le track 2 On remarque que si un track tombe, le poids sera donc inférieur à 50, donc le groupe GLBP 1 va retirer le routeur en question. Les données ne seront donc plus envoyées au routeur ayant un problème. Pensez à faire cette configuration pour chaque groupe GLBP sur chaque routeur du ou des groupe(s). École Centrale des Logiciels Libres et des Télécommunications
  • 68. 2) Observations Vous allez faire un test pour vérifier le fonctionnement. Vous allez lancer un Ping infini de PC1 vers PC2, puis comme dans l’exemple ci-dessus, vous allez débrancher le câble entre le routeur auquel vous êtes rattaché et le switch2 pour observer. VI) Authentification GLBP Il existe trois modes d’authentification avec GLBP : Authentification avec un mot de passe. Authentification en utilisant une Key-string Authentification en utilisant une Key-chain 1) Authentification avec mot de passe La plus simple des authentifications, le mot de passe : (config)#interface fastethernet 0/0 (config-if)#glbp 1 authentication text Mot_De_Passe A faire sur chaque routeur du groupe GLBP. 2) Authentification avec une Key-string Sur chaque routeur on active le chiffrement des mots de passe : #configure terminal (config)#service password-encryption Ensuite, on configure l’authentification : (config)#interface fastethernet 0/0 (config-if)#glbp 1 authentication md5 key-string 0 Mot_De_Passe A faire sur chaque routeur du groupe GLBP. 3) Authentification avec Key-chain Cette dernière méthode d’authentification est la plus complexe. Sur chaque routeur on active le chiffrement des mots de passe : #configure terminal (config)#service password-encryption École Centrale des Logiciels Libres et des Télécommunications
  • 69. Ensuite on configure la chaine de sécurité : (config)#key chain Nom_de_la_chaine (config-keychain)#key 0 (config-keychain-key)#key-string 0 Mot_De_Passe Quelques explications : key chain Nom_de_la_chaine : on donne un nom à la chaine, pour faciliter l’utilisation. key 0 : Le chiffre "0" correspond à l’identifiant de la clef, dans le cas où nous aurions plusieurs clefs. key-string 0 Mot_De_Passe : On définit la clef. Pour finir on applique la chaine au groupe GLBP : (config)#interface fastethernet 0/0 (config-if)#glbp 1 authentication md5 key-chain Nom_de_la_chaine A faire sur chaque routeur du groupe GLBP. Nous y voilà arriver à la fin de l’étude du protocole glbp. Nous pouvons en déduire que le protocole est un protocole très important dans le domaine du réseau d’après tout ce qu’on a vu à son sujet, mais assez long. École Centrale des Logiciels Libres et des Télécommunications
  • 70. VII) application au TP de routage inter-vlan avec les switchs de niveau 3. Comme dit un peu plus haut, c’est dans cette parie que nous allons mettre en pratique les connaissances acquises au cour de l’étude du protocole. Pour cela nous allons mettre en place notre architecture. ➢ ARCHITECTURE ➢ Configuration des swtchs: nous allons configurer des liaisons trunk sur toues les interfaces des switchs exceptées que les reliées aux Pcs. • SWITCH1 Faire exactement la même chose sur le SWITCH2 École Centrale des Logiciels Libres et des Télécommunications
  • 71. • SWITCH3 Faire exactement la même chose sur le SWITCH4 ➢ Création des VLANs: nous allons créer des vlans sur touts les SWITCHs. • Sur SWITCH1 et 2 A faire sur les deux autres. ➢ Affectation: affectons les interfaces 1/2 des switchs 3 et 4 aux différents VLANs respectivement 10 et 20. • SWITCH3 • SWITCH4 École Centrale des Logiciels Libres et des Télécommunications
  • 72. ➢ Affichage: affichons les vlans que nous avons créer. • SWITCH1 • SWITCH2 • SWITCH3 • SWITCH4 École Centrale des Logiciels Libres et des Télécommunications
  • 73. Nous constatons que les deux interfaces 1/2 des switchs 2 et 4 sont affectées aux vlans 10 et 20. ➢ Affichage: dans cette partie nous allons afficher les liaisons trunk et access que nous avons créer sur les SWITCHs. • SWITCH1 et 2: pour les interfaces 1/0 A faire sur toutes les interfaces de tous les switchs. ➢ Attribution: attribuons des adresses IP virtuelles aux SWITCHs des distributions. • SWITCH1 École Centrale des Logiciels Libres et des Télécommunications
  • 74. • SWITCH2 ➢ Configuration: Ici on configure le protocole glbp sur les switchs des distributions. • SWITCH1 École Centrale des Logiciels Libres et des Télécommunications
  • 75. • SWITCH2 ➢ Vérification: vérifions la configuration du prtocole glb avec show glbp. • SWITCH1 École Centrale des Logiciels Libres et des Télécommunications
  • 76. ➢ Affichage: Ici on affiche le statu avec show glbp brief: La partie configuration est terminée: vous allez voir que il n’y a pas beaucoup des détails, juste parce que nous supposons que ceux précédemment sur la partie étude du protocole ont été suffisants. École Centrale des Logiciels Libres et des Télécommunications
  • 77. ➢ Phase de test: Maintenant nous allons procéder aux testes. Après avoir donner les éléments TCP/IP aux VPCs lançons un ping entre les deux comme ci-dessous: On arrête le lien AVG pour voir. École Centrale des Logiciels Libres et des Télécommunications
  • 78. Arrêt d’un autre lien. Nous voyons que l’ensemble de la configuration du protocole fonctionne car n peut arrêter n’importe quel lien de notre architecture et cela n’empêche pas le bon fonctionnement. École Centrale des Logiciels Libres et des Télécommunications
  • 79. IX – Conclusion Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la table de routage. C'est un équipement de couche 3 par rapport au modèle OSI. Cisco étant réputer pour être le meilleur concepteur des équipement réseau au monde, connaître ces équipement est un acquis indispensable dans le domaine des TIC au 21ième Siècle. D’où l’importance de ces Tps qui non seulement nous ont permis de manipuler quelques uns de ses équipement mais aussi plusieurs protocoles tels que: VRRP, HSRP, GLBP … qui assurent la redondance des passerelles, la répartition des charges et tant d’autres qui sont des solutions incontournables dans le domaine de sécurité des réseau, car très favorables aux pannes intermédiaire d’un équipement parmi tant d’autres. Pour terminer nous pouvons dire que ces travaux pratiques ont été sûrement un des meilleurs travaux qui soient. École Centrale des Logiciels Libres et des Télécommunications