Tout les TP CCNA4 - ennoncé

201
Ce document est la propriété exclusive de Cisco Systems, Inc. L’autorisation d’imprimer et de copier ce document n’est autorisée que pour une distribution non commerciale et l’utilisation de ce document est exclusivement réservée aux formateurs du cours CCNA Exploration : Accès au réseau étendu, en tant que partie intégrante du programme officiel Cisco Networking Academy.

Transcript of Tout les TP CCNA4 - ennoncé

Page 1: Tout les TP CCNA4 - ennoncé

Ce document est la propriété exclusive de Cisco Systems, Inc. L’autorisation d’imprimer et de copier ce document n’est autorisée que pour une distribution non commerciale et l’utilisation de ce document est exclusivement réservée aux formateurs du cours CCNA Exploration : Accès au réseau étendu, en tant que partie intégrante du programme officiel Cisco Networking Academy.

Page 2: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 4

Travaux pratiques 1.4.1 : travaux pratiques : révision avancée

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

Passerelle par défaut

R1

Fa0/1 N/D N/D N/D

Fa0/1.10 192.168.10.1 255.255.255.0 N/D

Fa0/1.12 10.12.12.1 255.255.255.0 N/D

Fa0/1.13 10.13.13.1 255.255.255.0 N/D

S0/0/0 10.1.1.1 255.255.255.252 N/D

R2

Fa0/1 N/D N/D N/D

Fa0/1.12 10.12.12.2 255.255.255.0 N/D

Fa0/1.20 192.168.20.1 255.255.255.0 N/D

S0/0/0 10.1.1.2 255.255.255.252 N/D

S0/0/1 10.2.2.1 255.255.255.252 N/D

R3 Fa0/1 N/D N/D N/D

Page 3: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : révision d’Exploration 2 et 3 Travaux pratiques 1.4.1 : révision avancée

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 4

Fa0/1.13 10.13.13.3 255.255.255.0 N/D

Fa0/1.30 192.168.30.1 255.255.255.0 N/D

S0/0/1 10.2.2.2 255.255.255.252 N/D

Comm1 VLAN10 192.168.10.2 255.255.255.0 192.168.10.1

Comm2 VLAN20 192.168.20.2 255.255.255.0 192.168.20.1

Comm3 VLAN30 192.168.30.2 255.255.255.0 192.168.30.1

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1

PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer et activer des interfaces Configurer le protocole Spanning Tree Configurer les serveurs et le client VTP Configurer les réseaux locaux virtuels (VLAN) sur les commutateurs Configurer le routage RIP sur tous les routeurs Configurer le routage OSPF sur tous les routeurs Configurer le routage EIGRP sur tous les routeurs

Scénario

Au cours de ces travaux pratiques, vous allez examiner les concepts de routage et de commutation. Essayez cependant de travailler de façon autonome. Si vous éprouvez des difficultés, reportez-vous au cours précédent.

Remarque : il n’est pas conseillé d’utiliser la configuration de trois protocoles de routage distincts (RIP, OSPF et EIGRP) pour acheminer le même réseau. En effet, cette pratique est des moins recommandées, et elle ne devrait pas être mise en œuvre dans un réseau de production. Elle a été adoptée ici pour vous permettre d’examiner les principaux protocoles de routage et pour illustrer le concept de distance administrative.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Étape 2 : suppression des configurations existantes sur les routeurs

Page 4: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : révision d’Exploration 2 et 3 Travaux pratiques 1.4.1 : révision avancée

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 4

Tâche 2 : exécution des configurations de base des périphériques

Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2, Comm3, en respectant les consignes suivantes :

Configurez le nom d’hôte.

Désactivez la recherche DNS.

Configurez un mot de passe pour le mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Tâche 3 : configuration et activation d’adresses série et Ethernet

Étape 1 : configuration des interfaces sur R1, R2 et R3

Étape 2 : vérification de l’adressage IP et des interfaces

Étape 3 : configuration de l’interface VLAN de gestion sur Comm1, Comm2 et Comm3

Étape 4 : configuration des interfaces Ethernet PC1 et PC3

Étape 5 : test de la connectivité entre les ordinateurs

Tâche 4 : configuration du protocole STP

Étape 1 : configuration systématique de Comm1 en tant que racine

Étape 2 : vérification de la définition de Comm1 en tant que racine

Tâche 5 : configuration de VTP

Étape 1 : configuration de Comm1 en tant que serveur VTP et création d’un nom de domaine et d’un mot de passe

Étape 2 : configuration de Comm2 et de Comm3 en tant que clients VTP, affectés d’un nom de domaine et d’un mot de passe

Étape 3 : vérification de la configuration

Tâche 6 : configuration des réseaux locaux virtuels

Étape 1 : configuration de Comm1 avec les réseaux locaux virtuels

Étape 2 : vérification que Comm2 et Comm3 ont reçu les configurations VLAN de Comm1

Étape 3 : attribution de ports aux réseaux locaux virtuels appropriés

Page 5: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : révision d’Exploration 2 et 3 Travaux pratiques 1.4.1 : révision avancée

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 4

Tâche 7 : configuration du routage RIP

Étape 1 : configuration du routage RIP sur R1, R2 et R3

Étape 2 : test de la connectivité avec la commande ping

Étape 3 : vérification de la table de routage

Tâche 8 : configuration du routage OSPF

Étape 1 : configuration du routage RIP sur R1, R2 et R3

Étape 2 : vérification du remplacement des routes RIP par les routes OSPF en raison d’une distance administrative inférieure

En quoi l'activation du protocole OSPF affecte-t-elle les décisions de routage ?

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

Étape 3 : vérification de l’activation du protocole RIP

Tâche 9 : configuration du routage EIGRP

Étape 1 : configuration du routage EIGRP sur R1, R2 et R3

Étape 2 : vérification du remplacement des routes OSPF par les routes EIGRP en raison d’une distance administrative inférieure Étape 3 : vérification de l’activation du protocole OSPF

Tâche 10 : documentation des configurations des routeurs

Tâche 11 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Page 6: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 20

Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

Passerelle par défaut

R1 Fa0/1 192.168.10.1 255.255.255.0 N/D S0/0/0 10.1.1.1 255.255.255.252 N/D

R2 Lo0 209.165.200.225 255.255.255.224 N/D

S0/0/0 10.1.1.2 255.255.255.252 N/D S0/0/1 10.2.2.1 255.255.255.252 N/D

R3 Fa0/1 192.168.30.1 255.255.255.0 N/D S0/0/1 10.2.2.2 255.255.255.252 N/D

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1 PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Page 7: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 20

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer et activer des interfaces Configurer le routage OSPF sur tous les routeurs Configurer l’encapsulation PPP sur toutes les interfaces série Comprendre le fonctionnement des commandes debug ppp negotiation et debug ppp packet Remplacer l’encapsulation PPP par l’encapsulation HDLC sur les interfaces série Interrompre volontairement une encapsulation PPP et la restaurer Configurer l’authentification PPP à l’aide des protocoles PAP et CHAP interrompre volontairement l’authentification PPP PAP et CHAP et la restaurer

Scénario

Dans le cadre de ces travaux pratiques, vous apprendrez à configurer l’encapsulation PPP sur les liaisons série en utilisant le réseau illustré dans le diagramme de topologie. Vous apprendrez également à restaurer l’encapsulation HDLC des liaisons série. Observez bien le résultat affiché par le routeur lorsque vous interrompez volontairement l’encapsulation PPP. Cela vous aidera dans les travaux pratiques de dépannage associés à ce chapitre. Enfin, vous apprendrez à configurer l’authentification PPP à l’aide des protocoles PAP et CHAP.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Vous pouvez utiliser n’importe quel routeur disponible durant les travaux pratiques, pourvu qu’il dispose des interfaces requises, comme illustré sur le diagramme de topologie. Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces s’affichent différemment.

Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : configuration de base d’un routeur

Configurez les routeurs R1, R2 et R3 conformément aux instructions suivantes :

Configurez le nom d’hôte du routeur.

Désactivez la recherche DNS.

Configurez un mot de passe pour le mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Page 8: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 20

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Tâche 3 : configuration et activation d’adresses série et Ethernet

Étape 1 : configuration des interfaces sur R1, R2 et R3

Configurez les interfaces des routeurs R1, R2 et R3 avec les adresses IP de la table d’adressage figurant au début des travaux pratiques. Veillez à inclure la fréquence d’horloge sur les interfaces série DCE.

Étape 2 : vérification de l’adressage IP et des interfaces

Utilisez la commande show ip interface brief pour vérifier que l’adressage IP est correct et que les interfaces sont actives. Lorsque vous aurez terminé, veillez à enregistrer la configuration actuelle dans la mémoire NVRAM du routeur.

Étape 3 : configuration des interfaces Ethernet de PC1 et PC3

Configurez les interfaces Ethernet de PC1 et PC3 avec les adresses IP et les passerelles par défaut provenant de la table d’adressage.

Étape 4 : test de la configuration par l’envoi d’une requête ping entre le PC et la passerelle par défaut

Tâche 4 : configuration du protocole OSPF sur les routeurs

Si vous souhaitez revoir les commandes OSPF, consultez la section Exploration 2, module 11.

Étape 1 : activation du routage OSPF sur R1, R2 et R3

Utilisez la commande router OSPF avec l’ID de processus 1. Veillez à annoncer correctement les réseaux. R1(config)#router ospf 1

R1(config-router)#network 192.168.10.0 0.0.0.255 area 0

R1(config-router)#network 10.1.1.0 0.0.0.3 area 0

*Aug 17 17:49:14.689: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/0 from LOADING to FULL, Loading Done

R1(config-router)#

R2(config)#router ospf 1

R2(config-router)#network 10.1.1.0 0.0.0.3 area 0

*Aug 17 17:48:40.645: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on

Serial0/0/0 from LOADING to FULL, Loading Done

R2(config-router)#network 10.2.2.0 0.0.0.3 area 0

R2(config-router)#network 209.165.200.224 0.0.0.31 area 0

R2(config-router)#

*Aug 17 17:57:44.729: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from LOADING to FULL, Loading Done

R2(config-router)#

R3(config)#router ospf 1

R3(config-router)#network 10.2.2.0 0.0.0.3 area 0

*Aug 17 17:58:02.017: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Page 9: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 20

Serial0/0/1 from LOADING to FULL, Loading Done

R3(config-router)#network 192.168.30.0 0.0.0.255 area 0

R3(config-router)#

Étape 2 : vérification de la connectivité sur l’ensemble du réseau

Utilisez les commandes show ip route et ping pour vérifier la connectivité. R1#show ip route

<résultat omis>

O 192.168.30.0/24 [110/1563] via 10.1.1.2, 00:33:56, Serial0/0/0

C 192.168.10.0/24 is directly connected, FastEthernet0/1

209.165.200.0/32 is subnetted, 1 subnets

O 209.165.200.225 [110/782] via 10.1.1.2, 00:33:56, Serial0/0/0

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

C 10.1.1.2/32 is directly connected, Serial0/0/0

O 10.2.2.0/30 [110/1562] via 10.1.1.2, 00:33:56, Serial0/0/0

C 10.1.1.0/30 is directly connected, Serial0/0/0

R1#ping 192.168.30.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

R1#

R2#show ip route

<résultat omis>

O 192.168.30.0/24 [110/782] via 10.2.2.2, 00:33:04, Serial0/0/1

O 192.168.10.0/24 [110/782] via 10.1.1.1, 00:33:04, Serial0/0/0

209.165.200.0/27 is subnetted, 1 subnets

C 209.165.200.224 is directly connected, Loopback0

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks

C 10.2.2.2/32 is directly connected, Serial0/0/1

C 10.2.2.0/30 is directly connected, Serial0/0/1

C 10.1.1.0/30 is directly connected, Serial0/0/0

C 10.1.1.1/32 is directly connected, Serial0/0/0

R2#ping 192.168.30.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms

R2#ping 192.168.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms

R2#

Page 10: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 20

R3#show ip route

<résultat omis>

C 192.168.30.0/24 is directly connected, FastEthernet0/1

O 192.168.10.0/24 [110/1563] via 10.2.2.1, 00:32:01, Serial0/0/1

209.165.200.0/32 is subnetted, 1 subnets

O 209.165.200.225 [110/782] via 10.2.2.1, 00:32:01, Serial0/0/1

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

C 10.2.2.0/30 is directly connected, Serial0/0/1

O 10.1.1.0/30 [110/1562] via 10.2.2.1, 00:32:01, Serial0/0/1

C 10.2.2.1/32 is directly connected, Serial0/0/1

R3#ping 209.165.200.225

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 209.165.200.225, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms

R3#ping 192.168.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

R3#

Tâche 5 : configuration de l’encapsulation PPP sur les interfaces série

Étape 1 : utilisation de la commande show interface pour vérifier que le protocole HDLC est l’encapsulation série par défaut

R1#show interface serial0/0/0

Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.1.1.1/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

<résultat omis>

R2#show interface serial 0/0/0

Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.1.1.2/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

<résultat omis>

R2#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial

Page 11: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 20

Internet address is 10.2.2.1/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

<résultat omis>

R3#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.2.2.2/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

<résultat omis>

Étape 2 : utilisation des commandes de débogage sur R1 et R2 pour constater les effets de la configuration du protocole PPP

R1#debug ppp negotiation

PPP protocol negotiation debugging is on

R1#debug ppp packet

PPP packet display debugging is on

R1#

R2#debug ppp negotiation PPP protocol negotiation debugging is on

R2#debug ppp packet

PPP packet display debugging is on

R2#

Étape 3 : remplacement de l’encapsulation HDCL des interfaces série par l’encapsulation PPP

Modifiez le type d’encapsulation sur la liaison entre R1 et R2, puis observez les effets. Si vous commencez à recevoir trop de données de débogage, utilisez la commande undebug all pour désactiver les opérations de débogage. R1(config)#interface serial 0/0/0

R1(config-if)#encapsulation ppp

R1(config-if)#

*Aug 17 19:02:53.412: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached

R1(config-if)#

*Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is DOWN, Setup

*Aug 17 19:02:53.416: Se0/0/0 PPP: Using default call direction

*Aug 17 19:02:53.416: Se0/0/0 PPP: Treating connection as a dedicated line

*Aug 17 19:02:53.416: Se0/0/0 PPP: Session handle[E4000001] Session id[0]

*Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open

*Aug 17 19:02:53.424: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10

*Aug 17 19:02:53.424: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE)

R1(config-if)#

*Aug 17 19:02:55.412: Se0/0/0 PPP: Outbound cdp packet dropped

*Aug 17 19:02:55.432: Se0/0/0 LCP: TIMEout: State REQsent

*Aug 17 19:02:55.432: Se0/0/0 LCP: O CONFREQ [REQsent] id 2 len 10

*Aug 17 19:02:55.432: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE)

*Aug 17 19:02:56.024: Se0/0/0 PPP: I pkt type 0x008F, datagramsize 24

Page 12: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 20

link[illegal]

*Aug 17 19:02:56.024: Se0/0/0 UNKNOWN(0x008F): Non-NCP packet, discarding

R1(config-if)#

*Aug 17 19:02:57.252: Se0/0/0 PPP: I pkt type 0x000F, datagramsize 84

link[illegal]

*Aug 17 19:02:57.252: Se0/0/0 UNKNOWN(0x000F): Non-NCP packet, discarding

*Aug 17 19:02:57.448: Se0/0/0 LCP: TIMEout: State REQsent

*Aug 17 19:02:57.448: Se0/0/0 LCP: O CONFREQ [REQsent] id 3 len 10

*Aug 17 19:02:57.448: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE)

R1(config-if)#

*Aug 17 19:02:58.412: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to down

R2(config)#interface serial 0/0/0

R2(config-if)#encapsulation ppp

R2(config-if)#

*Aug 17 19:06:48.848: Se0/0/0 PPP: Phase is DOWN, Setup

*Aug 17 19:06:48.848: Se0/0/0 PPP: Using default call direction

*Aug 17 19:06:48.848: Se0/0/0 PPP: Treating connection as a dedicated line

*Aug 17 19:06:48.848: Se0/0/0 PPP: Session handle[C6000001] Session id[0]

*Aug 17 19:06:48.848: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open

*Aug 17 19:06:48.856: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10

*Aug 17 19:06:48.856: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C)

*Aug 17 19:06:48.860: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14

link[ppp]

*Aug 17 19:06:48.860: Se0/0/0 LCP: I CONFACK [REQsent] id 1 len 10

R2(config-if)#

*Aug 17 19:06:48.860: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C)

R2(config-if)#

*Aug 17 19:06:50.864: Se0/0/0 LCP: TIMEout: State ACKrcvd

*Aug 17 19:06:50.864: Se0/0/0 LCP: O CONFREQ [ACKrcvd] id 2 len 10

*Aug 17 19:06:50.864: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C)

*Aug 17 19:06:50.868: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14

link[ppp]

*Aug 17 19:06:50.868: Se0/0/0 LCP: I CONFREQ [REQsent] id 61 len 10

*Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BDB9A8 (0x050663BDB9A8)

*Aug 17 19:06:50.868: Se0/0/0 LCP: O CONFACK [REQsent] id 61 len 10

*Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BDB9A8 (0x050663BDB9A8)

*Aug 17 19:06:50.868: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14

link[ppp]

*Aug 17 19:06:50.868: Se0/0/0 LCP: I CONFACK [ACKsent] id 2 len 10

*Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C)

*Aug 17 19:06:50.868: Se0/0/0 LCP: State is Open

*Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is FORWARDING, Attempting Forward

*Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is ESTABLISHING, Finish LCP

*Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is UP

*Aug 17 19:06:50.872: Se0/0/0 IPCP: O CONFREQ [Closed] id 1 len 10

*Aug 17 19:06:50.872: Se0/0/0 IPCP: Address 10.1.1.2 (0x03060A010102)

*Aug 17 19:06:50.872: Se0/0/0 CDPCP: O CONFREQ [Closed] id 1 len 4

*Aug 17 19:06:50.872: Se0/0/0 PPP: Process pending ncp packets

*Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8021, datagramsize 14

link[ip]

*Aug 17 19:06:50.876: Se0/0/0 IPCP: I CONFREQ [REQsent] id 1 len 10

*Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.1 (0x03060A010101)

*Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8207, datagramsize 8

link[cdp]

Page 13: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 20

*Aug 17 19:06:50.876: Se0/0/0 IPCP: O CONFACK [REQsent] id 1 len 10

*Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.1 (0x03060A010101)

*Aug 17 19:06:50.876: Se0/0/0 CDPCP: I CONFREQ [REQsent] id 1 len 4

*Aug 17 19:06:50.876: Se0/0/0 CDPCP: O CONFACK [REQsent] id 1 len 4

*Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8021, datagramsize 14

link[ip]

*Aug 17 19:06:50.876: Se0/0/0 IPCP: I CONFACK [ACKse

R2(config-if)#nt] id 1 len 10

*Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.2 (0x03060A010102)

*Aug 17 19:06:50.876: Se0/0/0 IPCP: State is Open

*Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8207, datagramsize 8

link[cdp]

*Aug 17 19:06:50.876: Se0/0/0 IPCP: Install route to 10.1.1.1

*Aug 17 19:06:50.880: Se0/0/0 CDPCP: I CONFACK [ACKsent] id 1 len 4

*Aug 17 19:06:50.880: Se0/0/0 CDPCP: State is Open

*Aug 17 19:06:50.880: Se0/0/0 PPP: O pkt type 0x0021, datagramsize 80

*Aug 17 19:06:50.880: Se0/0/0 IPCP: Add link info for cef entry 10.1.1.1

*Aug 17 19:06:50.884: Se0/0/0 PPP: I pkt type 0x0021, datagramsize 80

link[ip]

*Aug 17 19:06:51.848: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to up

R2(config-if)#

*Aug 17 19:06:51.888: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 1 len 12 magic

0x63BDB9A8

*Aug 17 19:06:51.888: Se0/0/0 LCP-FS: O ECHOREP [Open] id 1 len 12 magic

0x63BD388C

<résultat omis>

*Aug 17 19:07:00.936: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on

Serial0/0/0 from LOADING to FULL, Loading Done

Que se passe-t-il lorsque l’une des extrémités de la liaison série est encapsulée avec le protocole PPP et l’autre extrémité avec le protocole HDLC ?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Par quelles étapes le protocole PPP passe-t-il si l’autre extrémité de la liaison série sur R2 est configurée via l’encapsulation PPP ?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Page 14: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 20

_____________________________________________________________________

_____________________________________________________________________

Que se passe-t-il lorsque l’encapsulation PPP est configurée sur chaque extrémité de la liaison série ?

_____________________________________________________________________

_____________________________________________________________________

Étape 4 : désactivation de la fonction de débogage

Désactivez la fonction de débogage si vous n’avez pas encore utilisé la commande undebug all. R1#undebug all

Port Statistics for unclassified packets is not turned on.

All possible debugging has been turned off

R1#

R2#undebug all

Port Statistics for unclassified packets is not turned on.

All possible debugging has been turned off

R2#

Étape 5 : remplacement de l’encapsulation HDLC par l’encapsulation PPP aux deux extrémités de la liaison série entre R2 et R3

R2(config)#interface serial0/0/1

R2(config-if)#encapsulation ppp

R2(config-if)#

*Aug 17 20:02:08.080: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached

R2(config-if)#

*Aug 17 20:02:13.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R2(config-if)#

*Aug 17 20:02:58.564: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R2(config-if)#

*Aug 17 20:03:03.644: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from LOADING to FULL, Loading Done

R2(config-if)#

*Aug 17 20:03:46.988: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R3(config)#interface serial 0/0/1

R3(config-if)#encapsulation ppp

R3(config-if)#

*Aug 17 20:04:27.152: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

*Aug 17 20:04:30.952: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/1 from LOADING to FULL, Loading Done

Page 15: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 20

Quand le protocole de ligne sur la liaison série est-il activé et quand la contiguïté OSPF est-elle restaurée ?

_____________________________________________________________________

_____________________________________________________________________

Étape 6 : vérification de l’activation de l’encapsulation PPP sur les interfaces série

R1#show interface serial0/0/0

Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.1.1.1/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation PPP, LCP Open

Open: CDPCP, IPCP, loopback not set

<résultat omis>

R2#show interface serial 0/0/0

Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.1.1.2/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation PPP, LCP Open

Open: CDPCP, IPCP, loopback not set

<résultat omis>

R2#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.2.2.1/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation PPP, LCP Open

Open: CDPCP, IPCP, loopback not set

<résultat omis>

R3#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial

Internet address is 10.2.2.2/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation PPP, LCP Open

Open: CDPCP, IPCP, loopback not set

<résultat omis>

Page 16: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 20

Tâche 7 : interruption et restauration de l’encapsulation PPP

En interrompant volontairement l’encapsulation PPP, vous en saurez plus sur les messages d’erreur générés. Cela vous aidera ultérieurement dans les travaux pratiques de dépannage.

Étape 1 : rétablissement de l’encapsulation HDLC par défaut des deux interfaces série de R2

R2(config)#interface serial 0/0/0

R2(config-if)#encapsulation hdlc

R2(config-if)#

*Aug 17 20:36:48.432: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on

Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached

*Aug 17 20:36:49.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to down

R2(config-if)#

*Aug 17 20:36:51.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to up

R2(config-if)#interface serial 0/0/1

*Aug 17 20:37:14.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to down

R2(config-if)#encapsulation hdlc R2(config-if)#

*Aug 17 20:37:17.368: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached

*Aug 17 20:37:18.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R2(config-if)#

*Aug 17 20:37:20.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R2(config-if)#

*Aug 17 20:37:44.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R2(config-if)#

En quoi l’interruption délibérée d’une configuration est-elle utile ?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Pourquoi les deux interfaces série sont-elles désactivées, activées, puis désactivées de nouveau ?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Page 17: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 12 sur 20

Outre l’utilisation de la commande encapsulation hdlc, comment peut-on remplacer l’encapsulation PPP d’une interface série par l’encapsulation HDLC par défaut ? (Indice : la réponse à cette question est liée à la commande no.)

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Étape 2 : rétablissement de l’encapsulation PPP des deux interfaces série de R2

R2(config)#interface s0/0/0

R2(config-if)#encapsulation ppp

*Aug 17 20:53:06.612: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to up

R2(config-if)#interface s0/0/1

*Aug 17 20:53:10.856: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on

Serial0/0/0 from LOADING to FULL, Loading Done

R2(config-if)#encapsulation ppp

*Aug 17 20:53:23.332: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R2(config-if)#

*Aug 17 20:53:24.916: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from LOADING to FULL, Loading Done

R2(config-if)#

Tâche 8 : configuration de l’authentification PPP

Étape 1 : configuration de l’authentification PPP à l’aide du protocole PAP sur la liaison série reliant R1 et R2

R1(config)#username R1 password cisco

R1(config)#int s0/0/0

R1(config-if)#ppp authentication pap

R1(config-if)#

*Aug 22 18:58:57.367: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to down

R1(config-if)#

*Aug 22 18:58:58.423: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached

R1(config-if)#ppp pap sent-username R2 password cisco

Page 18: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 13 sur 20

Que se passe-t-il lorsque l’authentification PPP, via le protocole PAP, est configurée sur une seule extrémité de la liaison série ?

_____________________________________________________________________

_____________________________________________________________________

R2(config)#username R2 password cisco

R2(config)#interface Serial0/0/0

R2(config-if)#ppp authentication pap

R2(config-if)#ppp pap sent-username R1 password cisco R2(config-if)#

*Aug 23 16:30:33.771: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/0, changed state to up

R2(config-if)#

*Aug 23 16:30:40.815: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on

Serial0/0/0 from LOADING to FULL, Loading Done

R2(config-if)#

Que se passe-t-il lorsque l’authentification PPP, via le protocole PAP, est configurée sur chaque extrémité de la liaison série ?

_____________________________________________________________________

_____________________________________________________________________

Étape 2 : configuration de l’authentification PPP, via le protocole CHAP, sur la liaison série reliant R2 et R3

Dans le cas d’une authentification PAP, le mot de passe n’est pas chiffré. Même s’il vaut mieux utiliser ce type d’authentification plutôt que de n’en utiliser aucune, il est préférable de chiffrer le mot de passe transmis sur la liaison. Le protocole CHAP chiffre le mot de passe. R2(config)#username R3 password cisco

R2(config)#int s0/0/1

R2(config-if)#ppp authentication chap

R2(config-if)#

*Aug 23 18:06:00.935: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R2(config-if)#

*Aug 23 18:06:01.947: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached

R2(config-if)#

R3(config)#username R2 password cisco

*Aug 23 18:07:13.074: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R3(config)#int s0/0/1

R3(config-if)#

*Aug 23 18:07:22.174: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/1 from LOADING to FULL, Loading Done

R3(config-if)#ppp authentication chap

R3(config-if)#

Page 19: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 14 sur 20

Vous pouvez constater que l’état du protocole de ligne de l’interface série 0/0/1 passe à UP (activé) avant même que l’interface ne soit configurée pour l’authentification CHAP. Pouvez-vous en déterminer la raison ?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Étape 3 : examen du résultat du débogage

Pour mieux comprendre le processus CHAP, consultez le résultat de la commande debug ppp authentication sur R2 et R3. Arrêtez ensuite l’interface Serial 0/0/1 sur R2, puis exécutez la commande no shutdown sur l’interface Serial 0/0/1 sur R2. R2#debug ppp authentication

PPP authentication debugging is on

R2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#int s0/0/1

R2(config-if)#shutdown

R2(config-if)#

*Aug 23 18:19:21.059: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached

R2(config-if)#

*Aug 23 18:19:23.059: %LINK-5-CHANGED: Interface Serial0/0/1, changed state

to administratively down

*Aug 23 18:19:24.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R2(config-if)#no shutdown

*Aug 23 18:19:55.059: Se0/0/1 PPP: Using default call direction

*Aug 23 18:19:55.059: Se0/0/1 PPP: Treating connection as a dedicated line

*Aug 23 18:19:55.059: Se0/0/1 PPP: Session handle[5B000005] Session id[49]

*Aug 23 18:19:55.059: Se0/0/1 PPP: Authorization required

*Aug 23 18:19:55.063: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to

up

*Aug 23 18:19:55.063: Se0/0/1 CHAP: O CHALLENGE id 48 len 23 from "R2"

*Aug 23 18:19:55.067: Se0/0/1 CHAP: I CHALLENGE id 2 len 23 from "R3"

*Aug 23 18:19:55.067: Se0/0/1 CHAP: Using hostname from unknown source

*Aug 23 18:19:55.067: Se0/0/1 CHAP: Using password from AAA

*Aug 23 18:19:55.067: Se0/0/1 CHAP: O RESPONSE id 2 len 23 from "R2"

*Aug 23 18:19:55.071: Se0/0/1 CHAP: I RESPONSE id 48 len 23 from "R3"

*Aug 23 18:19:55.071: Se0/0/1 PPP: Sent CHAP LOGIN Request

*Aug 23 18:19:55.071: Se0/0/1 PPP: Received LOGIN Response PASS

*Aug 23 18:19:55.071: Se0/0/1 PPP: Sent LCP AUTHOR Request

*Aug 23 18:19:55.075: Se0/0/1 PPP: Sent IPCP AUTHOR Request

*Aug 23 18:19:55.075: Se0/0/1 LCP: Received AAA AUTHOR Response PASS

*Aug 23 18:19:55.075: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS

*Aug 23 18:19:55.075: Se0/0/1 CHAP: O SUCCESS id 48 len 4

*Aug 23 18:19:55.075: Se0/0/1 CHAP: I SUCCESS id 2 len 4

*Aug 23 18:19:55.075: Se0/0/1 PPP: Sent CDPCP AUTHOR Request

*Aug 23 18:19:55.075: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS

*Aug 23 18:19:55.079: Se0/0/1 PPP: Sent IPCP AUTHOR Request

*Aug 23 18:19:56.075: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Page 20: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 15 sur 20

Serial0/0/1, changed state to up

R2(config-if)#

*Aug 23 18:20:05.135: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from LOADING to FULL, Loading Done

R3#debug ppp authentication

PPP authentication debugging is on

R3#

*Aug 23 18:19:04.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to

down

R3#

*Aug 23 18:19:04.494: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached

*Aug 23 18:19:05.494: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

R3#

*Aug 23 18:19:36.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to

up

*Aug 23 18:19:36.494: Se0/0/1 PPP: Using default call direction

*Aug 23 18:19:36.494: Se0/0/1 PPP: Treating connection as a dedicated line

*Aug 23 18:19:36.494: Se0/0/1 PPP: Session handle[3C000034] Session id[52]

*Aug 23 18:19:36.494: Se0/0/1 PPP: Authorization required

*Aug 23 18:19:36.498: Se0/0/1 CHAP: O CHALLENGE id 2 len 23 from "R3"

*Aug 23 18:19:36.502: Se0/0/1 CHAP: I CHALLENGE id 48 len 23 from "R2"

*Aug 23 18:19:36.502: Se0/0/1 CHAP: Using hostname from unknown source

*Aug 23 18:19:36.506: Se0/0/1 CHAP: Using password from AAA

*Aug 23 18:19:36.506: Se0/0/1 CHAP: O RESPONSE id 48 len 23 from "R3"

*Aug 23 18:19:36.506: Se0/0/1 CHAP: I RESPONSE id 2 len 23 from "R2"

R3#

*Aug 23 18:19:36.506: Se0/0/1 PPP: Sent CHAP LOGIN Request

*Aug 23 18:19:36.506: Se0/0/1 PPP: Received LOGIN Response PASS

*Aug 23 18:19:36.510: Se0/0/1 PPP: Sent LCP AUTHOR Request

*Aug 23 18:19:36.510: Se0/0/1 PPP: Sent IPCP AUTHOR Request

*Aug 23 18:19:36.510: Se0/0/1 LCP: Received AAA AUTHOR Response PASS

*Aug 23 18:19:36.510: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS

*Aug 23 18:19:36.510: Se0/0/1 CHAP: O SUCCESS id 2 len 4

*Aug 23 18:19:36.510: Se0/0/1 CHAP: I SUCCESS id 48 len 4

*Aug 23 18:19:36.514: Se0/0/1 PPP: Sent CDPCP AUTHOR Request

*Aug 23 18:19:36.514: Se0/0/1 PPP: Sent IPCP AUTHOR Request

*Aug 23 18:19:36.514: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS

R3#

*Aug 23 18:19:37.510: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R3#

*Aug 23 18:19:46.570: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/1 from LOADING to FULL, Loading Done

R3#

Page 21: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 16 sur 20

Tâche 9 : interruption délibérée et restauration de l’authentification PPP via le protocole CHAP

Étape 1 : interruption de l’authentification PPP à l’aide du protocole CHAP

Sur la liaison série reliant R2 et R3, activez le protocole d’authentification PAP pour l’interface série 0/0/1. R2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#int s0/0/1

R2(config-if)#ppp authentication pap

R2(config-if)#^Z

R2#

*Aug 24 15:45:47.039: %SYS-5-CONFIG_I: Configured from console by console

R2#copy run start

Destination filename [startup-config]? Building configuration...

[OK]

R2#reload

L’activation du protocole d’authentification PAP sur l’interface série 0/0/1 provoque-t-elle une interruption de l’authentification entre R2 et R3 ?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Étape 2 : restauration de l’authentification PPP avec le protocole CHAP sur la liaison série

Notez qu’il n’est pas nécessaire de recharger le routeur pour que ces modifications soient prises en compte. R2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#int s0/0/1

R2(config-if)#ppp authentication chap

R2(config-if)#

*Aug 24 15:50:00.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R2(config-if)#

*Aug 24 15:50:07.467: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on

Serial0/0/1 from LOADING to FULL, Loading Done

R2(config-if)#

Étape 3 : interruption volontaire de l’authentification PPP avec le protocole CHAP par le changement du mot de passe de R3

R3#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R3(config)#username R2 password cisco

R3(config)#^Z

R3#

*Aug 24 15:54:17.215: %SYS-5-CONFIG_I: Configured from console by console

Page 22: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 17 sur 20

R3#copy run start

Destination filename [startup-config]? Building configuration...

[OK]

R3#reload

Une fois le rechargement terminé, quel est l’état du protocole de ligne sur l’interface série 0/0/1 ?

_____________________________________________________________________

_____________________________________________________________________

Étape 4 : restauration de l’authentification PPP avec le protocole CHAP par le changement du mot de passe de R3

R3#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R3(config)#username R2 password cisco

R3(config)#

*Aug 24 16:11:10.679: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

R3(config)#

*Aug 24 16:11:19.739: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on

Serial0/0/1 from LOADING to FULL, Loading Done

R3(config)#

Tâche 10 : documentation des configurations des routeurs

Exécutez la commande show run sur chaque routeur et capturez les configurations.

R1#show run

!<résultat omis>

!

hostname R1

!

!

enable secret class

!

!

!

no ip domain lookup

!

username R1 password 0 cisco

!

!

!

interface FastEthernet0/1

ip address 192.168.10.1 255.255.255.0

no shutdown

!

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

encapsulation ppp

clockrate 64000

Page 23: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 18 sur 20

ppp authentication pap

ppp pap sent-username R2 password 0 cisco

no shutdown

!

!

!

router ospf 1

network 10.1.1.0 0.0.0.3 area 0

network 192.168.10.0 0.0.0.255 area 0

!

!

banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the

full extent of the law^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

R2#show run

!<résultat omis>

!

hostname R2

!

!

enable secret class

!

!

no ip domain lookup

!

username R3 password 0 cisco

username R2 password 0 cisco

!

!

!

interface Loopback0

ip address 209.165.200.225 255.255.255.224

!

!

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.252

encapsulation ppp

ppp authentication pap

ppp pap sent-username R1 password 0 cisco

no shutdown

!

Page 24: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 19 sur 20

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252

encapsulation ppp

clockrate 64000

ppp authentication chap

no shutdown

!

!

router ospf 1

network 10.1.1.0 0.0.0.3 area 0

network 10.2.2.0 0.0.0.3 area 0

network 209.165.200.224 0.0.0.31 area 0

!

!

banner motd ^CUnauthorized access strictly prohibited and prosecuted to the

full extent of the law^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

R3#show run

!<résultat omis>

!

hostname R3

!

!

enable secret class

!

!

!

no ip domain lookup

!

username R2 password 0 cisco

!

!

!

interface FastEthernet0/1

ip address 192.168.30.1 255.255.255.0

no shutdown

!

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

encapsulation ppp

ppp authentication chap

no shutdown

Page 25: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.1 : configuration de base du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 20 sur 20

!

router ospf 1

network 10.2.2.0 0.0.0.3 area 0

network 192.168.30.0 0.0.0.255 area 0

!

!

banner motd ^CUnauthorized access strictly prohibited and prosecuted to the

full extent of the law^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

Tâche 11 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 26: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 4

Travaux pratiques 2.5.2 : configuration avancée du protocole PPP

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

Passerelle par défaut

R1 Fa0/1 10.0.0.1 255.255.255.128 N/D S0/0/0 172.16.0.1 255.255.255.252 N/D S0/0/1 172.16.0.9 255.255.255.252 N/D

R2 Lo0 209.165.200.161 255.255.255.224 N/D

S0/0/0 172.16.0.2 255.255.255.252 N/D S0/0/1 172.16.0.5 255.255.255.252 N/D

Page 27: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.2 : configuration avancée du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 4

R3 Fa0/1 10.0.0.129 255.255.255.128 N/D S0/0/0 172.16.0.10 255.255.255.252 N/D S0/0/1 172.16.0.6 255.255.255.252 N/D

PC1 Carte réseau 10.0.0.10 255.255.255.128 10.0.0.1

PC3 Carte réseau 10.0.0.139 255.255.255.128 10.0.0.129

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer et activer des interfaces Configurer le routage OSPF sur tous les routeurs Configurer l’encapsulation PPP sur toutes les interfaces série Faire passer l’encapsulation des interfaces série de PPP à HDLC Interrompre volontairement une encapsulation PPP et la restaurer Configurer l’authentification PPP à l’aide du protocole CHAP Interrompre volontairement et restaurer l’authentification PPP via le protocole CHAP.

Scénario

Dans le cadre de ces travaux pratiques, vous apprendrez à configurer l’encapsulation PPP sur les liaisons série en utilisant le réseau illustré dans le diagramme de topologie. Vous configurerez également l’authentification PPP CHAP. Si vous rencontrez des difficultés, reportez-vous aux travaux pratiques Configuration PPP de base. Essayez cependant de travailler de façon autonome, sans y avoir recours.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : configuration de base d’un routeur

Configurez les routeurs R1, R2 et R3 conformément aux instructions suivantes :

Configurez le nom d’hôte du routeur.

Désactivez la recherche DNS.

Configurez un mot de passe pour le mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Page 28: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.2 : configuration avancée du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 4

Tâche 3 : configuration et activation d’adresses série et Ethernet

Étape 1 : configuration des interfaces sur R1, R2 et R3

Étape 2 : vérification de l’adressage IP et des interfaces

Étape 3 : configuration des interfaces Ethernet de PC1 et PC3

Étape 4 : test de la connectivité entre les ordinateurs

Tâche 4 : configuration du protocole OSPF sur les routeurs

Étape 1 : activation du routage OSPF sur les routeurs

Étape 2 : vérification de la connectivité sur l’ensemble du réseau

Tâche 5 : configuration de l’encapsulation PPP sur les interfaces série

Étape 1 : configuration du protocole PPP sur les interfaces série des trois routeurs

Étape 2 : vérification que toutes les interfaces série utilisent l’encapsulation PPP

Tâche 6 : interruption et restauration volontaire de l’encapsulation PPP

Étape 1 : choix d’une méthode d’interruption de l’encapsulation PPP sur le réseau

Étape 2 : restauration d’une connectivité complète sur le réseau

Étape 3 : vérification de la connectivité complète sur le réseau

Tâche 7 : configuration de l’authentification PPP via le processus CHAP

Étape 1 : configuration de l’authentification PPP, via le processus CHAP, sur toutes les liaisons série

Étape 2 : vérification de l’authentification PPP, via le protocole CHAP, sur toutes les liaisons série

Tâche 8 : interruption délibérée et restauration de l’authentification PPP via le protocole CHAP

Étape 1 : choix d’une méthode d’interruption de l’authentification PPP, via le protocole CHAP, sur une ou plusieurs liaisons série

Étape 2 : vérification de la rupture de l’authentification PPP avec le protocole CHAP

Étape 3 : restauration de l’authentification PPP, via le protocole CHAP, sur toutes les liaisons série

Étape 4 : vérification de l’authentification PPP, via le protocole CHAP, sur toutes les liaisons série

Page 29: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.2 : configuration avancée du protocole PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 4

Tâche 9 : documentation des configurations des routeurs

Tâche 10 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 30: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 6

Travaux pratiques 2.5.3 : dépannage de la configuration PPP

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

Passerelle par défaut

R1 Fa0/1 10.0.0.1 255.255.255.128 N/D S0/0/0 172.16.0.1 255.255.255.252 N/D S0/0/1 172.16.0.9 255.255.255.252 N/D

R2 Lo0 209.165.200.161 255.255.255.224 N/D

S0/0/0 172.16.0.2 255.255.255.252 N/D S0/0/1 172.16.0.5 255.255.255.252 N/D

Page 31: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.3 : dépannage de la configuration de PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 6

R3 Fa0/1 10.0.0.129 255.255.255.128 N/D S0/0/0 172.16.0.10 255.255.255.252 N/D S0/0/1 172.16.0.6 255.255.255.252 N/D

PC1 Carte réseau 10.0.0.10 255.255.255.128 10.0.0.1

PC3 Carte réseau 10.0.0.139 255.255.255.128 10.0.0.129

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Charger les routeurs avec les scripts fournis Détecter et corriger des erreurs réseau Documenter le réseau corrigé

Scénario

Les routeurs de votre société ont été configurés par un ingénieur réseau peu expérimenté. La présence de plusieurs erreurs dans la configuration a provoqué des problèmes de connectivité. Votre responsable vous demande de détecter les erreurs de configuration et de les corriger, puis de décrire le travail réalisé. En utilisant vos connaissances en matière de protocole PPP, ainsi que des méthodes de vérification standard, détectez les erreurs et corrigez-les. Veillez à ce que toutes les liaisons série utilisent l’authentification PPP CHAP et vérifiez que tous les réseaux sont accessibles.

Tâche 1 : chargement des routeurs avec les scripts fournis

R1

enable

configure terminal

!

hostname R1

!

!

enable secret class

!

!

!

no ip domain lookup

!

username R2 password 0 cisco

!

!

!

interface FastEthernet0/0

ip address 10.0.0.1 255.255.255.128

shutdown

Page 32: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.3 : dépannage de la configuration de PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 6

duplex auto

speed auto

!

interface FastEthernet0/1

duplex auto

speed auto

!

interface Serial0/0/0

ip address 172.16.0.1 255.255.255.248

no fair-queue

clockrate 64000

!

interface Serial0/0/1

ip address 172.16.0.2 255.255.255.252

encapsulation ppp

ppp authentication pap

!

router ospf 1

log-adjacency-changes

network 10.0.0.0 0.0.0.127 area 0

network 172.16.0.8 0.0.0.3 area 0

!

ip classless

!

ip http server

!

!

control-plane

!

banner motd ^CUnauthorized access strictly prohibited and prosecuted to the

full extent of the law^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

R2

enable

configure terminal

!

hostname R2

!

!

enable secret class

!

!

no ip domain lookup

Page 33: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.3 : dépannage de la configuration de PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 6

!

username R1 password 0 cisco

username R3 password 0 class

!

!

!

interface Loopback0

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 209.165.200.161 255.255.255.224

shutdown

duplex auto

speed auto

!

interface Serial0/0/0

ip address 172.16.0.2 255.255.255.252

encapsulation ppp

no fair-queue

ppp authentication chap

!

interface Serial0/0/1

ip address 172.16.0.2 255.255.255.252

!

router ospf 1

log-adjacency-changes

network 172.16.0.0 0.0.0.3 area 0

network 172.16.0.4 0.0.0.3 area 0

network 209.165.200.128 0.0.0.31 area 0

!

ip classless

!

ip http server

!

!

control-plane

!

banner motd ^CUnauthorized access strictly prohibited and prosecuted to the

full extent of the law^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

Page 34: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.3 : dépannage de la configuration de PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 6

R3

enable

configure terminal

!

hostname R3

!

!

enable secret class

!

!

no ip domain lookup

!

username R1 password 0 cisco

username R3 password 0 cisco

!

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.0.0.129 255.255.255.0

duplex auto

speed auto

!

interface Serial0/0/0

ip address 172.16.0.10 255.255.255.252

no fair-queue

clockrate 64000

!

interface Serial0/0/1

encapsulation ppp

ppp authentication pap

!

router ospf 1

log-adjacency-changes

network 10.0.0.128 0.0.0.127 area 0

network 192.16.0.4 0.0.0.3 area 0

network 192.16.0.8 0.0.0.3 area 0

!

ip classless

!

ip http server

!

!

control-plane

!

banner motd ^CUnauthorized access strictly prohibited and prosecuted to the

full extent of the law^C

!

line con 0

exec-timeout 0 0

Page 35: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : protocole PPP Travaux pratiques 2.5.3 : dépannage de la configuration de PPP

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 6

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

Tâche 2 : recherche et correction des erreurs sur le réseau

Tâche 3 : documentation du réseau corrigé

Une fois que vous avez corrigé toutes les erreurs et testé la connectivité du réseau, documentez la configuration finale de chaque périphérique.

Tâche 4 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 36: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 1 sur 23 Ce document contient des informations publiques Cisco.

Travaux pratiques 3.5.1 : Frame Relay de base

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

Passerelle par défaut

R1 Fa0/0 192.168.10.1 255.255.255.0 N/D S0/0/1 10.1.1.1 255.255.255.252 N/D

R2 S0/0/1 10.1.1.2 255.255.255.252 N/D Lo 0 209.165.200.225 255.255.255.224 N/D

Comm1 VLAN1 192.168.10.2 255.255.255.0 192.168.10.1

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1

Page 37: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 2 sur 23 Ce document contient des informations publiques Cisco.

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer et activer des interfaces Configurer le routage EIGRP sur tous les routeurs Configurer l’encapsulation Frame Relay sur toutes les interfaces série Configurer un routeur en tant que commutateur Frame Relay Comprendre le résultat des commandes show frame-relay Connaître les effets de la commande debug frame-relay lmi Interrompre volontairement une liaison Frame Relay et la restaurer Remplacer l’encapsulation Frame Relay par défaut Cisco par une encapsulation de type IETF Remplacer l’interface de supervision locale (LMI) Frame Relay Cisco par une interface ANSI Configurer une sous-interface Frame Relay

Scénario

Dans le cadre de ces travaux pratiques, vous apprendrez à configurer l’encapsulation Frame Relay sur les liaisons série en utilisant le réseau illustré dans le diagramme de topologie. Vous apprendrez également à configurer un routeur en tant que commutateur Frame Relay. Des normes Cisco et des normes ouvertes s’appliquent à Frame Relay. Nous allons passer en revue ces deux types de norme. Portez une attention particulière à la section des travaux pratiques dans laquelle vous interrompez volontairement les configurations du protocole Frame Relay. Cela vous aidera dans les travaux pratiques de dépannage associés à ce chapitre.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie Vous pouvez utiliser n’importe quel routeur durant les travaux pratiques, à condition qu'il soit équipé des interfaces indiquées dans la topologie. Les travaux pratiques relatifs au protocole Frame Relay comportent deux liens DCE sur le même routeur, à la différence des autres travaux pratiques d’Exploration 4. Assurez-vous que votre câblage soit conforme au diagramme de topologie. Remarque : si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces s’affichent différemment. Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : configuration de base d’un routeur

Configurez les routeurs R1 et R2, ainsi que le commutateur Comm1, conformément aux instructions suivantes :

Configurez le nom d’hôte du routeur.

Désactivez la recherche DNS.

Configurez un mot de passe pour le mode d’exécution privilégié.

Configurez une bannière de message du jour.

Page 38: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 3 sur 23 Ce document contient des informations publiques Cisco.

Configurez un mot de passe pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Configurez des adresses IP sur les routeurs R1 et R2. Important : laissez les interfaces séries désactivées.

Activez le système autonome (AS) 1 du protocole EIGRP sur les routeurs R1 et R2 pour tous les réseaux.

enable

configure terminal

no ip domain-lookup

enable secret class

banner motd ^CUnauthorized access strictly prohibited, violators will be

prosecuted to the full extent of the law^C

!

!

!

line console 0

logging synchronous

password cisco

login

!

line vty 0 4

password cisco

login

end

copy running-config startup-config

!R1

interface serial 0/0/1

ip address 10.1.1.1 255.255.255.252

shutdown

!Les interfaces séries doivent rester désactivées jusqu’à ce que le

!commutateur Frame Relay soit configuré.

interface fastethernet 0/0

ip address 192.168.10.1 255.255.255.0

no shutdown

router eigrp 1

no auto-summary

network 10.0.0.0

network 192.168.10.0

!

!R2

interface serial 0/0/1

ip address 10.1.1.2 255.255.255.252

shutdown

!Les interfaces séries doivent rester désactivées jusqu’à ce que le

!commutateur Frame Relay soit configuré.

Page 39: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 4 sur 23 Ce document contient des informations publiques Cisco.

interface loopback 0

ip address 209.165.200.225 255.255.255.224

router eigrp 1

no auto-summary

network 10.0.0.0

network 209.165.200.0

!

Tâche 3 : configuration du protocole Frame Relay

Vous allez à présent configurer une liaison de base Frame Relay point à point entre les routeurs 1 et 2. Vous devez tout d’abord configurer le commutateur FR en tant que commutateur Frame Relay, puis créer des identificateurs de connexion de liaisons de données (DLCI).

Que signifie DLCI ? _________________________________________________________________________ Quelle est la fonction d’un DLCI ? _____________________________________________________________________________ _____________________________________________________________________________

Qu’est-ce qu’un PVC et comment est-il utilisé ? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

Étape 1 : configuration d’un commutateur FR en tant que commutateur Frame Relay et création d’un PVC entre les routeurs R1 et R2

Cette commande permet d’activer globalement la commutation Frame Relay sur le routeur, lui permettant de transférer des trames sur la base du DLCI entrant plutôt que sur une adresse IP :

Commutateur-FR(config)#frame-relay switching

Remplacez le type d’encapsulation de l’interface par le type Frame Relay. Tout comme HDLC ou PPP, le protocole Frame Relay est un protocole de couche liaison de données qui définit le tramage du trafic de la couche 2.

Commutateur-FR(config)#interface serial 0/0/0

Commutateur-FR(config)#clock rate 64000

Commutateur-FR(config-if)#encapsulation frame-relay

La modification du type d’interface en DCE indique au routeur d’envoyer des messages de veille à l’interface de supervision locale et permet à Frame Relay d’acheminer des instructions à appliquer. Il n’est pas possible de configurer des PVC entre deux interfaces DTE Frame Relay à l’aide de la commande frame-relay route.

Commutateur-FR(config-if)#frame-relay intf-type dce

Page 40: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 5 sur 23 Ce document contient des informations publiques Cisco.

Remarque : les types d’interface Frame Relay ne doivent pas forcément correspondre au type de l’interface physique sous-jacente. Une interface série ETTD physique peut faire office d’interface DCE Frame Relay et une interface DCE physique peut faire office d’interface ETTD Frame Relay.

Configurez le routeur pour qu’il transfère le trafic entrant sur l’interface série 0/0/0 avec DLCI 102 vers l’interface série 0/0/1 avec un DLCI de sortie défini sur 201.

Commutateur-FR(config-if)#frame-relay route 102 interface serial 0/0/1 201

Commutateur-FR(config-if)#no shutdown

La configuration suivante permet la création de deux PVC : la première, entre le routeur R1 et le routeur R2 (DLCI 102) et la seconde, entre le routeur R2 et le routeur R1 (DLCI 201). Vous pouvez vérifier la configuration à l’aide de la commande show frame-relay pvc.

Commutateur-FR(config-if)#interface serial 0/0/1

Commutateur-FR(config)#clock rate 64000

Commutateur-FR(config-if)#encapsulation frame-relay

Commutateur-FR(config-if)#frame-relay intf-type dce

Commutateur-FR(config-if)#frame-relay route 201 interface serial 0/0/0 102

Commutateur-FR(config-if)#no shutdown

Commutateur-FR#show frame-relay pvc

PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)

Active Inactive Deleted Static

Local 0 0 0 0

Switched 0 1 0 0

Unused 0 0 0 0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE =

Serial0/0/0

input pkts 0 output pkts 0 in bytes 0

out bytes 0 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 0

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 0 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 00:03:33, last time pvc status changed 00:00:19

PVC Statistics for interface Serial0/0/1 (Frame Relay DCE)

Active Inactive Deleted Static

Local 0 0 0 0

Switched 0 1 0 0

Unused 0 0 0 0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE =

Serial0/0/1

Page 41: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 6 sur 23 Ce document contient des informations publiques Cisco.

input pkts 0 output pkts 0 in bytes 0

out bytes 0 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 0

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 0 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 00:02:02, last time pvc status changed 00:00:18

Remarquez le 1 dans la colonne Inactive. Aucun point d’extrémité n’a été configuré pour le PVC créé. Le commutateur Frame Relay le détecte et marque alors le PVC comme étant inactif.

Exécutez la commande show frame-relay route. Elle vous indique toutes les routes Frame Relay existantes, leurs interfaces, leurs DLCI et leurs états. Il s’agit de la route de couche 2, qu’emprunte le trafic du protocole Frame Relay via le réseau. Ne le confondez pas avec le routage IP de la couche 3. Commutateur-FR#show frame-relay route

Input Intf Input Dlci Output Intf Output Dlci Status

Serial0/0/0 102 Serial0/0/1 201 inactive

Serial0/0/1 201 Serial0/0/0 102 inactive

Étape 2 : configuration du routeur R1 pour Frame Relay

Le protocole de résolution d’adresse inverse (ARP inverse) permet aux extrémités distantes d’une liaison Frame Relay de se découvrir de manière dynamique et offre une méthode dynamique de mappage d’adresses IP avec des DLCI. Malgré l’utilité du protocole ARP inverse, il n'est pas toujours fiable. La meilleure pratique consiste à mapper les adresses IP avec les DLCI, de manière statique, puis de désactiver l’ARP inverse.

R1(config)#interface serial 0/0/1

R1(config-if)#encapsulation frame-relay

R1(config-if)#no frame-relay inverse-arp

À quoi sert de mapper une adresse IP avec un DCLI ? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

La commande frame-relay map mappe de manière statique une adresse IP vers un DLCI. Outre le mappage de l’adresse IP vers un DLCI, le logiciel Cisco IOS permet le mappage de plusieurs adresses de protocole de couche 3. Le mot clé broadcast de la commande ci-après envoie le trafic multidiffusion ou de diffusion destiné à cette liaison sur le DLCI. La plupart des protocoles de routage nécessitent le mot clé broadcast pour fonctionner correctement sur Frame Relay. Vous pouvez utiliser le mot clé broadcast pour plusieurs DLCI sur la même interface. Le trafic est alors répliqué sur l’ensemble des PVC.

Page 42: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 7 sur 23 Ce document contient des informations publiques Cisco.

R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast

Le DLCI est-il mappé avec l’adresse IP locale ou avec celle de l’autre extrémité du PVC ? _____________________________________________________________________________

R1(config-if)#no shutdown

Pourquoi la commande no shutdown doit-elle être utilisée après la commande no frame-relay inverse-arp ? _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________

Étape 3 : configuration du routeur R2 pour Frame Relay

R2(config)#interface serial 0/0/1

R2(config-if)#encapsulation frame-relay

R2(config-if)#no frame-relay inverse-arp

R2(config-if)#frame-relay map ip 10.1.1.1 201 broadcast

R2(config-if)#no shutdown

À ce stade, vous recevez des messages indiquant l’activation des interfaces et l’établissement de la contiguïté du voisinage du protocole EIGRP.

R1#*Sep 9 17:05:08.771: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2

(Serial0/0/1) is up: new adjacency

R2#*Sep 9 17:05:47.691: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1

(Serial0/0/1) is up: new adjacency

La commande show ip route affiche des tables de routage complètes.

R1 :

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS

level-2

ia - IS-IS inter area, * - candidate default, U - per-user static

route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

Page 43: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 8 sur 23 Ce document contient des informations publiques Cisco.

C 192.168.10.0/24 is directly connected, FastEthernet0/0

D 209.165.200.0/24 [90/20640000] via 10.1.1.2, 00:00:07, Serial0/0/1

10.0.0.0/30 is subnetted, 1 subnets

C 10.1.1.0 is directly connected, Serial0/0/1

R2 :

R2#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

D 192.168.10.0/24 [90/20514560] via 10.1.1.1, 00:26:03, Serial0/0/1

209.165.200.0/27 is subnetted, 1 subnets

C 209.165.200.224 is directly connected, Loopback0

10.0.0.0/30 is subnetted, 1 subnets

C 10.1.1.0 is directly connected, Serial0/0/1

Tâche 4 : vérification de la configuration

À présent, vous devez être en mesure d’envoyer une requête ping de R1 vers R2 Il est possible que les PVC ne soient activés que quelques secondes après le démarrage des interfaces. Vous pouvez également voir les routages EIGRP de chaque routeur.

Étape 1 : transmission d’une requête ping à R1 et R2

Vérifiez que vous pouvez envoyer une requête ping à R2, à partir de R1.

R1#ping 10.1.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms

R2#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms

Étape 2 : accès aux informations relatives aux PVC

La commande show frame-relay pvc affiche les informations relatives à l’ensemble des PVC configurés sur le routeur. Les résultats incluent également le DLCI associé.

Page 44: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 9 sur 23 Ce document contient des informations publiques Cisco.

R1 :

R1#show frame-relay pvc

PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)

Active Inactive Deleted Static

Local 1 0 0 0

Switched 0 0 0 0

Unused 0 0 0 0

DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1

input pkts 5 output pkts 5 in bytes 520

out bytes 520 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

pvc create time 10:26:41, last time pvc status changed 00:01:04

R2 :

R2#show frame-relay pvc

PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)

Active Inactive Deleted Static

Local 1 0 0 0

Switched 0 0 0 0

Unused 0 0 0 0

DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1

input pkts 5 output pkts 5 in bytes 520

out bytes 520 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

pvc create time 10:25:31, last time pvc status changed 00:00:00

Commutateur-FR :

Commutateur-FR#show frame-relay pvc

PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)

Active Inactive Deleted Static

Local 0 0 0 0

Switched 1 0 0 0

Unused 0 0 0 0

Page 45: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 10 sur 23 Ce document contient des informations publiques Cisco.

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/0

input pkts 0 output pkts 0 in bytes 0

out bytes 0 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 0

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 0 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 10:27:00, last time pvc status changed 00:04:03

Étape 3 : vérification des mappages Frame Relay

La commande show frame-relay map affiche les informations relatives aux mappages statique et dynamique des adresses de couche 3 avec les identificateurs DLCI. Le protocole ARP inverse étant désactivé, seuls les mappages statiques sont utilisés.

R1 :

R1#show frame-relay map

Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static,

CISCO, status defined, active

R2 :

R2#show frame-relay map

Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static,

CISCO, status defined, active

Commutateur FR :

Le commutateur FR fait office de périphérique de couche 2. Il n’est donc pas nécessaire de mapper les adresses de couche 3 avec les DLCI de couche 2.

Étape 4 : débogage de l’interface LMI Frame Relay

Quelle est la fonction de l’interface LMI sur un réseau Frame Relay ? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

Quelles sont les trois types d’interface LMI ? _____________________________________________________________________________

Page 46: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 11 sur 23 Ce document contient des informations publiques Cisco.

Avec quel identificateur DLCI l’interface LMI fonctionne-t-elle ? _____________________________________________________________________________

Exécutez la commande debug frame-relay lmi. Les résultats affichent des informations détaillées sur toutes les données de l’interface LMI. Les messages de veille sont envoyés toutes les 10 secondes. Par conséquent, vous allez probablement devoir attendre avant qu’un résultat ne s’affiche.

Les résultats du débogage affichent deux paquets LMI : le premier sortant (envoyé) et le deuxième entrant.

R1#debug frame-relay lmi

Frame Relay LMI debugging is on

Displaying all Frame Relay LMI data

R1#

*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE

up

*Aug 24 06:19:15.920: datagramstart = 0xE73F24F4, datagramsize = 13

*Aug 24 06:19:15.920: FR encap = 0xFCF10309

*Aug 24 06:19:15.920: 00 75 01 01 00 03 02 C4 C3

*Aug 24 06:19:15.920:

*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21

*Aug 24 06:19:15.924: RT IE 1, length 1, type 0

*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196

*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0

R1#undebug all

Port Statistics for unclassified packets is not turned on.

All possible debugging has been turned off

Notez que les résultats affichent un paquet LMI sortant, comportant le numéro de séquence 196. Le dernier message LMI reçu du commutateur Frame Relay portait le numéro de séquence 195.

*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up

Cette ligne indique un message LMI entrant, provenant du commutateur Frame Relay, et à destination de R1, et portant le numéro de séquence 196.

*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21

Le commutateur Frame Relay l’a envoyé sous le numéro de séquence 196 (myseq) et le dernier message LMI que celui-ci a reçu de R1 portait le numéro de séquence 196 (yourseq).

*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196

DLCI 102 est le seul identificateur DLCI présent sur la liaison. Actuellement, son état est actif.

*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0

Tâche 4 : dépannage du protocole Frame Relay

Divers outils de dépannage sont mis à votre disposition pour résoudre les problèmes de connectivité liés au protocole Frame Relay. Pour vous familiariser avec le processus de dépannage, interrompez la connexion Frame Relay établie plus tôt, puis rétablissez-la.

Page 47: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 12 sur 23 Ce document contient des informations publiques Cisco.

Étape 1 : suppression du mappage de trame de R1

R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface serial0/0/1

R1(config-if)#encapsulation frame-relay

R1(config-if)#no frame-relay map ip 10.1.1.2 102 broadcast

L’instruction de mappage de trame étant maintenant supprimée de R1, essayez d’envoyer une requête ping au routeur R1 depuis R2. Aucune réponse ne vous parviendra. R2#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

Par ailleurs, des messages de console doivent vous informer de l'état activé, puis désactivé de la contigüité du EIGRP.

R1(config-if)#*Sep 9 17:28:36.579: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is down: Interface Goodbye received

R1(config-if)#*Sep 9 17:29:320.583: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency

R1(config-if)#*Sep 9 17:32:37.095: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded

R2#*Sep 9 17:29:15.359: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1

(Serial0/0/1) is down: holding time expired

Exécutez la commande debug ip icmp sur R1 : R1#debug ip icmp

ICMP packet debugging is on

Envoyez une nouvelle requête ping à l’interface série de R1. Le message de débogage suivant s’affiche sur R1 : R2#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

R1#*Sep 9 17:42:13.415: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

R1#*Sep 9 17:42:15.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

R1#*Sep 9 17:42:17.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

R1#*Sep 9 17:42:19.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

R1#*Sep 9 17:42:21.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

Le paquet ICMP, issu de R2, atteint R1, comme l’illustre ce message de débogage.

Pourquoi la requête ping a-t-elle échoué ? _____________________________________________________________________________ _____________________________________________________________________________

Page 48: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 13 sur 23 Ce document contient des informations publiques Cisco.

L’exécution de la commande show frame-relay map renvoie une ligne vide. R1#show frame-relay map

R1#

Désactivez tous les débogages à l’aide de la commande undebug all, puis réexécutez la commande frame-relay map ip, mais sans utiliser le mot clé broadcast. R1#undebug all

Port Statistics for unclassified packets is not turned on.

All possible debugging has been turned off

R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface serial0/0/1

R1(config-if)#encapsulation frame-relay

R1(config-if)#frame-relay map ip 10.1.1.2 102

R2#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 40/41/44 ms

Remarquez alors que les requêtes ping aboutissent, la contiguïté EIGRP continue à « osciller » (entre l’état désactivé et activé).

R1(config-if)#*Sep 9 17:47:58.375: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency

R1(config-if)#*Sep 9 17:51:02.887: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded

R1(config-if)#*Sep 9 17:51:33.175: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency

R1(config-if)#*Sep 9 17:54:37.687: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1:

Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded

Pourquoi la contiguïté EIGRP continue-t-elle à osciller ? _____________________________________________________________________________ _____________________________________________________________________________

Remplacez l’instruction de mappage du protocole Frame Relay, puis intégrez le mot clé broadcast. Vérifiez que la table de routage est restaurée et que vous disposez d’une connectivité de bout en bout. R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface serial0/0/1

R1(config-if)#encapsulation frame-relay

R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

Page 49: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 14 sur 23 Ce document contient des informations publiques Cisco.

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static

route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.10.0/24 is directly connected, FastEthernet0/0

209.165.200.0/27 is subnetted, 1 subnets

D 209.165.200.224 [90/20640000] via 10.1.1.2, 00:00:05, Serial0/0/1

10.0.0.0/30 is subnetted, 1 subnets

C 10.1.1.0 is directly connected, Serial0/0/1

Étape 2 : modification du type d’encapsulation Frame Relay

Le logiciel Cisco IOS prend en charge deux types d’encapsulation Frame Relay : l’encapsulation Cisco par défaut et IETF, basée sur des normes. Remplacez l’encapsulation Frame Relay de l’interface serial0/0/1 sur R2 par IETF. R2(config-if)#encapsulation frame-relay ietf

Notez que l’interface ne se désactive pas. Cela peut vous surprendre. Les routeurs Cisco peuvent interpréter correctement des trames Frame Relay utilisant l’encapsulation Frame Relay Cisco par défaut ou l’encapsulation Frame Relay de la norme IETF. Si votre réseau est entièrement constitué de routeurs Cisco, il n’existe aucune différence, que vous utilisiez l’encapsulation Frame Relay Cisco par défaut ou celle de la norme IETF. Les routeurs Cisco prennent en charge ces deux types de trames entrantes. Toutefois, si vous disposez de routeurs de fournisseurs différents utilisant le protocole Frame Relay, vous devez utiliser la norme IETF. La commande encapsulation frame-relay ietf force le routeur Cisco à encapsuler ses trames sortantes en utilisant la norme IETF. Cette norme peut être comprise par le routeur d’un autre fournisseur.

R2#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is up

Hardware is GT96K Serial

Internet address is 10.1.1.2/30

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation FRAME-RELAY IETF, loopback not set

<résultat omis>

Commutateur-FR#show int s0/0/0

Serial0/0/0 is up, line protocol is up

Hardware is GT96K Serial

MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation FRAME-RELAY, loopback not set

Remarquez que les deux commandes show interface affichent des résultats différents. Remarquez également que la contiguïté EIGRP est encore à l’état activé. Bien que le commutateur FR et R2 utilisent des types d’encapsulation différents, ils continuent à acheminer le trafic.

Remplacez le type d’encapsulation par le type par défaut :

R2(config-if)#encapsulation frame-relay

Page 50: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 15 sur 23 Ce document contient des informations publiques Cisco.

Étape 3 : changement du type de l’interface LMI

Sur R2, remplacez le type de l’interface LMI par ANSI. R2#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#interface serial 0/0/1

R2(config-if)#encapsulation frame-relay

R2(config-if)#frame-relay lmi-type ansi

R2(config-if)#^Z

R2#copy run start

Destination filename [startup-config]?

Building configuration...

[OK]

*Sep 9 18:41:08.351: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to down

*Sep 9 18:41:08.351: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1

(Serial0/0/1) is down: interface down

R2#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is down

R2#show frame-relay lmi

LMI Statistics for interface Serial0/0/1 (Frame Relay DTE) LMI TYPE = ANSI

Invalid Unnumbered info 0 Invalid Prot Disc 0

Invalid dummy Call Ref 0 Invalid Msg Type 0

Invalid Status Message 0 Invalid Lock Shift 0

Invalid Information ID 0 Invalid Report IE Len 0

Invalid Report Request 0 Invalid Keep IE Len 0

Num Status Enq. Sent 1391 Num Status msgs Rcvd 1382

Num Update Status Rcvd 0 Num Status Timeouts 10

Last Full Status Req 00:00:27 Last Full Status Rcvd 00:00:27

Si vous poursuivez l’exécution de la commande show frame-relay lmi, vous remarquerez l’augmentation du temps mis en évidence. Au bout de 60 secondes, l’interface passe à l’état activé/désactivé car R2 et le commutateur FR n’échangent plus de messages de veille ou toutes autres informations d’état de liens.

Exécutez la commande debug frame-relay lmi. Remarquez que les paquets LMI ne s’affichent plus par paires. Lorsque tous les messages LMI sortants sont consignés, aucun message entrant ne s’affiche. En effet, R2 attend l’interface LMI ANSI et le commutateur FR envoie l’interface LMI Cisco.

R2#debug frame-relay lmi

*Aug 25 04:34:25.774: Serial0/0/1(out): StEnq, myseq 20, yourseen 0,

DTE down

*Aug 25 04:34:25.774: datagramstart = 0xE73F2634, datagramsize = 14

*Aug 25 04:34:25.774: FR encap = 0x00010308

*Aug 25 04:34:25.774: 00 75 95 01 01 00 03 02 14 00

*Aug 25 04:34:25.774:

Laissez le débogage activé et restaurez le type LMI de Cisco sur R2. R2(config-if)#frame-relay lmi-type cisco

*Aug 25 04:42:45.774: Serial0/0/1(out): StEnq, myseq 2, yourseen 1, DTE down

*Aug 25 04:42:45.774: datagramstart = 0xE7000D54, datagramsize = 13

Page 51: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 16 sur 23 Ce document contient des informations publiques Cisco.

*Aug 25 04:42:45.774: FR encap = 0xFCF10309

*Aug 25 04:42:45.774: 00 75 01 01 01 03 02 02 01

*Aug 25 04:42:45.774:

*Aug 25 04:42:45.778: Serial0/0/1(in): Status, myseq 2, pak size 21

*Aug 25 04:42:45.778: RT IE 1, length 1, type 0

*Aug 25 04:42:45.778: KA IE 3, length 2, yourseq 2 , myseq 2

*Aug 25 04:42:45.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0

*Aug 25 04:42:55.774: Serial0/0/1(out): StEnq, myseq 3, yourseen 2, DTE up

*Aug 25 04:42:55.774: datagramstart = 0xE7001614, datagramsize = 13

*Aug 25 04:42:55.774: FR encap = 0xFCF10309

*Aug 25 04:42:55.774: 00 75 01 01 01 03 02 03 02

*Aug 25 04:42:55.774:

*Aug 25 04:42:55.778: Serial0/0/1(in): Status, myseq 3, pak size 21

*Aug 25 04:42:55.778: RT IE 1, length 1, type 0

*Aug 25 04:42:55.778: KA IE 3, length 2, yourseq 1 , myseq 3

*Aug 25 04:42:55.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0

*Aug 25 04:42:56.774: %LINEPROTO-5-UPDOWN: Line protocol on Interface

Serial0/0/1, changed state to up

Comme vous pouvez le constater, le numéro de séquence de l’interface LMI a été redéfini sur 1 et R2 commence à comprendre les messages de l’interface LMI provenant du commutateur FR. Une fois que le commutateur Frame relay et R2 ont réussi à échanger des messages LMI, l’état de l’interface devient activé.

Tâche 5 : configuration d’une sous-interface Frame Relay

Frame Relay prend en charge deux types de sous-interfaces : point à point et point à multipoint. Les sous-interfaces point à multipoint prennent en charge les topologies d’accès multiples non-broadcast. Par exemple, une topologie Hub and Spoke peut utiliser une sous-interface point à multipoint. Au cours de ces travaux pratiques, vous apprendrez à créer une sous-interface point à point.

Étape 1 : création d’un circuit PVC entre R1 et R2 sur le commutateur Frame Relay

Commutateur-FR(config)#interface serial 0/0/0

Commutateur-FR(config-if)#frame-relay route 112 interface serial 0/0/1 212

Commutateur-FR(config-if)#interface serial 0/0/1

Commutateur-FR(config-if)#frame-relay route 212 interface serial 0/0/0 112

Étape 2 : création et configuration d’une sous-interface point à point sur R1

Créez une sous-interface 112 en tant qu’interface point à point. Vous devez définir l’encapsulation Frame Relay sur l’interface physique avant de pouvoir créer des sous-interfaces. R1(config)#interface serial 0/0/1.112 point-to-point

R1(config-subif)#ip address 10.1.1.5 255.255.255.252

R1(config-subif)#frame-relay interface-dlci 112

Étape 3 : création et configuration d’une sous-interface point à point sur R2

R2(config)#interface serial 0/0/1.212 point-to-point

R2(config-subif)#ip address 10.1.1.6 255.255.255.252

R2(config-subif)#frame-relay interface-dlci 212

Page 52: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 17 sur 23 Ce document contient des informations publiques Cisco.

Étape 4 : vérification de la connectivité

Vous devez être en mesure d’envoyer une requête ping sur le nouveau circuit PVC. R1#ping 10.1.1.6

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.6, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms

R2#ping 10.1.1.5

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.5, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms

Vous pouvez également vérifier la configuration à l’aide des commandes show frame-relay pvc et show frame-relay map de la tâche 4.

R1 :

R1#show frame-relay pvc

PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)

Active Inactive Deleted Static

Local 2 0 0 0

Switched 0 0 0 0

Unused 0 0 0 0

DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1

input pkts 319 output pkts 279 in bytes 20665

out bytes 16665 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 193 out bcast bytes 12352

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

pvc create time 04:43:35, last time pvc status changed 01:16:05

DLCI = 112, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/1.112

input pkts 15 output pkts 211 in bytes 2600

out bytes 17624 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 200 out bcast bytes 16520

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

pvc create time 00:19:16, last time pvc status changed 00:18:56

Page 53: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 18 sur 23 Ce document contient des informations publiques Cisco.

R2 :

R2#show frame-relay pvc

PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)

Active Inactive Deleted Static

Local 2 0 0 0

Switched 0 0 0 0

Unused 0 0 0 0

DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1

input pkts 331 output pkts 374 in bytes 19928

out bytes 24098 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 331 out bcast bytes 21184

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

pvc create time 05:22:55, last time pvc status changed 01:16:36

DLCI = 212, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/1.212

input pkts 217 output pkts 16 in bytes 18008

out bytes 2912 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 6 out bcast bytes 1872

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

pvc create time 00:19:37, last time pvc status changed 00:18:57

Commutateur-FR : Commutateur-FR#show frame-relay pvc

PVC Statistics for interface Serial0/0/0 (Frame Relay DCE)

Active Inactive Deleted Static

Local 0 0 0 0

Switched 2 0 0 0

Unused 0 0 0 0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/0

input pkts 335 output pkts 376 in bytes 20184

out bytes 24226 dropped pkts 2 in pkts dropped 2

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

Page 54: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 19 sur 23 Ce document contient des informations publiques Cisco.

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 333

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 2 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 05:23:43, last time pvc status changed 01:18:32

DLCI = 112, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/0

input pkts 242 output pkts 18 in bytes 20104

out bytes 3536 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 242

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 0 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 00:21:41, last time pvc status changed 00:21:22

PVC Statistics for interface Serial0/0/1 (Frame Relay DCE)

Active Inactive Deleted Static

Local 0 0 0 0

Switched 2 0 0 0

Unused 0 0 0 0

DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/1

input pkts 376 output pkts 333 in bytes 24226

out bytes 20056 dropped pkts 0 in pkts dropped 0

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 376

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 0 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 05:23:14, last time pvc status changed 01:39:39

DLCI = 212, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0/0/1

input pkts 18 output pkts 243 in bytes 3536

out bytes 20168 dropped pkts 0 in pkts dropped 0

Page 55: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 20 sur 23 Ce document contient des informations publiques Cisco.

out pkts dropped 0 out bytes dropped 0

in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

out BECN pkts 0 in DE pkts 0 out DE pkts 0

out bcast pkts 0 out bcast bytes 0

30 second input rate 0 bits/sec, 0 packets/sec

30 second output rate 0 bits/sec, 0 packets/sec

switched pkts 18

Detailed packet drop counters:

no out intf 0 out intf down 0 no out PVC 0

in PVC down 0 out PVC down 0 pkt too big 0

shaping Q full 0 pkt above DE 0 policing drop 0

pvc create time 00:21:36, last time pvc status changed 00:21:20

R1 :

R1#show frame-relay map

Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static,

broadcast,

CISCO, status defined, active

Serial0/0/1.112 (up): point-to-point dlci, dlci 112(0x70,0x1C00), broadcast

status defined, active

R2 : R2#show frame-relay map

Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static,

broadcast,

CISCO, status defined, active

Serial0/0/1.212 (up): point-to-point dlci, dlci 212(0xD4,0x3440), broadcast

status defined, active

Commutateur-FR : Commutateur-FR#show frame-relay route

Input Intf Input Dlci Output Intf Output Dlci Status

Serial0/0/0 102 Serial0/0/1 201 active

Serial0/0/0 112 Serial0/0/1 212 active

Serial0/0/1 201 Serial0/0/0 102 active

Serial0/0/1 212 Serial0/0/0 112 active

Effectuez à présent le débogage de l’interface LMI Frame Relay. R1#debug frame-relay lmi

*Aug 25 05:58:50.902: Serial0/0/1(out): StEnq, myseq 136, yourseen 135, DTE

up

*Aug 25 05:58:50.902: datagramstart = 0xE7000354, datagramsize = 13

*Aug 25 05:58:50.902: FR encap = 0xFCF10309

*Aug 25 05:58:50.902: 00 75 01 01 00 03 02 88 87

*Aug 25 05:58:50.902:

*Aug 25 05:58:50.906: Serial0/0/1(in): Status, myseq 136, pak size 29

*Aug 25 05:58:50.906: RT IE 1, length 1, type 0

*Aug 25 05:58:50.906: KA IE 3, length 2, yourseq 136, myseq 136

*Aug 25 05:58:50.906: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0

Page 56: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 21 sur 23 Ce document contient des informations publiques Cisco.

*Aug 25 05:58:50.906: PVC IE 0x7 , length 0x6 , dlci 112, status 0x2 , bw 0

Notez que deux DLCI figurent dans le message de l’interface LMI provenant du commutateur Frame Relay vers R1.

R2#debug frame-relay lmi

*Aug 25 06:08:35.774: Serial0/0/1(out):StEnq, myseq 7,yourseen 4,DTE up

*Aug 25 06:08:35.774: datagramstart = 0xE73F28B4, datagramsize = 13

*Aug 25 06:08:35.774: FR encap = 0xFCF10309

*Aug 25 06:08:35.774: 00 75 01 01 00 03 02 07 04

*Aug 25 06:08:35.774:

*Aug 25 06:08:35.778: Serial0/0/1(in): Status, myseq 7, pak size 29

*Aug 25 06:08:35.778: RT IE 1, length 1, type 0

*Aug 25 06:08:35.778: KA IE 3, length 2, yourseq 5 , myseq 7

*Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 201, status 0x2, bw 0

*Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 212, status 0x2, bw 0

Configurations finales R1#show run

<résultat omis>

!

hostname R1

enable secret class

no ip domain lookup

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 10.1.1.1 255.255.255.252

encapsulation frame-relay

frame-relay map ip 10.1.1.2 102 broadcast

no frame-relay inverse-arp

no shutdown

!

interface Serial0/0/1.112 point-to-point

ip address 10.1.1.5 255.255.255.252

frame-relay interface-dlci 112

!

router eigrp 1

network 10.0.0.0

network 192.168.10.0

no auto-summary

!

!

banner motd ^CUnauthorized access prohibited, violators will be prosecuted to

the full extent of the law.^C

!

line con 0

password cisco

logging synchronous

login

line aux 0

Page 57: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 22 sur 23 Ce document contient des informations publiques Cisco.

line vty 0 4

login

password cisco

!

end

R2#show run

<résultat omis>

!

hostname R2

!

!

enable secret class

!

!

no ip domain lookup

!

!

interface Loopback0

ip address 209.165.200.225 255.255.255.224

!

!

interface Serial0/0/1

ip address 10.1.1.2 255.255.255.252

encapsulation frame-relay

clockrate 64000

frame-relay map ip 10.1.1.1 201 broadcast

no frame-relay inverse-arp

frame-relay lmi-type cisco

no shutdown

!

interface Serial0/0/1.212 point-to-point

ip address 10.1.1.6 255.255.255.252

frame-relay interface-dlci 212

!

router eigrp 1

network 10.0.0.0

network 209.165.200.224 0.0.0.31

no auto-summary

!

!

line con 0

password cisco

logging synchronous

login

line aux 0

line vty 0 4

password cisco

login

!

end

Page 58: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.1 : protocole Frame Relay de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Page 23 sur 23 Ce document contient des informations publiques Cisco.

Commutateur-FR#show run

<résultat omis>

!

hostname Commutateur-FR

!

enable secret class

!

no ip domain lookup

frame-relay switching

!

!

!

!

interface Serial0/0/0

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay intf-type dce

frame-relay route 102 interface Serial0/0/1 201

frame-relay route 112 interface Serial0/0/1 212

no shutdown

!

interface Serial0/0/1

no ip address

encapsulation frame-relay

frame-relay intf-type dce

frame-relay route 201 interface Serial0/0/0 102

frame-relay route 212 interface Serial0/0/0 112

no shutdown

!

!

line con 0

password cisco

login

line aux 0

line vty 0 4

password cisco

login

!

end

Page 59: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 4

Travaux pratiques 3.5.2 : exercice de configuration de frame relay

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut

R1 Fa0/1 172.16.1.254 255.255.255.0 N/D

S0/0/0 10.1.2.1 255.255.255.252 N/D

R2 Fa0/1 172.16.2.254 255.255.255.0 N/D

S0/0/1 10.1.2.2 255.255.255.252 N/D

PC1 Carte réseau 172.16.1.1 255.255.255.0 172.16.1.254

PC3 Carte réseau 172.16.2.1 255.255.255.0 172.16.2.254

Page 60: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 3.5.2 : Accès au réseau étendu : Frame Relay exercice de configuration de frame relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 4

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer et activer des interfaces Configurer le routage EIGRP sur tous les routeurs Configurer l’encapsulation Frame Relay sur toutes les interfaces série Configurer un circuit virtuel permanent (PVC) Frame Relay Interrompre volontairement un circuit virtuel permanent (PVC) Frame Relay et le restaurer Configurer des sous-interfaces Frame Relay Interrompre volontairement le circuit PVC et le restaurer

Scénario

Au cours de ces travaux pratiques, vous allez configurer le protocole Frame Relay via le réseau indiqué dans le diagramme de topologie. Si vous rencontrez des difficultés, reportez-vous aux travaux pratiques Protocole Frame Relay de base. Essayez cependant de travailler en parfaite autonomie.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : configuration de base d’un routeur

Configurez les routeurs R1, R2 et R3 conformément aux instructions suivantes :

Configurez le nom d’hôte du routeur.

Désactivez la recherche DNS.

Configurez un mot de passe pour le mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez la connexion synchrone.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Page 61: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 3.5.2 : Accès au réseau étendu : Frame Relay exercice de configuration de frame relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 4

Tâche 3 : configuration d’adresses IP

Étape 1 : configuration d’adresses IP sur toutes les liaisons en fonction de la table d’adressage

Étape 2 : vérification de l’adressage IP et des interfaces

Étape 3 : activation des interfaces Ethernet des routeurs R1 et R2, mais non des interfaces séries

Étape 4 : configuration des interfaces Ethernet de PC1 et PC3

Étape 5 : vérification de la connectivité entre les PC et leurs routeurs locaux

Tâche 4 : configuration du protocole EIGRP sur les routeurs R1 et R2

Étape 1 : activation du protocole EIGRP sur les routeurs R1 et R2 de tous les sous-réseaux

Tâche 5 : configuration du PVC Frame Relay entre R1 et R2

Étape 1 : configuration des interfaces sur un commutateur FR pour créer le circuit PVC entre R1 et R2

Utilisez les identificateurs de connexion de liaisons de données (DLCI) figurant dans le diagramme de topologie.

Étape 2 : configuration des interfaces physiques sur R1 et R2 pour permettre une encapsulation Frame Relay

Ne découvrez pas automatiquement les adresses IP à l’extrémité des liaisons. Une fois la configuration terminée, activez la liaison.

Étape 3 : configuration des cartes Frame Relay sur R1 et R2 à l’aide des identificateurs DLCI appropriés, et activation de la diffusion sur les identificateurs DLCI

Étape 4 : vérification de la connectivité de bout en bout via le PC1 et le PC2

Tâche 6 : interruption volontaire et restauration du PVC

Étape 1 : interruption du PVC entre R1 et R2 selon les méthodes choisies

Étape 2 : restauration d’une connectivité complète sur le réseau

Étape 3 : vérification de la connectivité complète sur le réseau

Tâche 7 : configuration de sous-interfaces Frame Relay

Étape 1 : suppression de l’adresse IP et de la configuration de la carte Frame Relay depuis les interfaces physiques de R1 et R2

Étape 2 : configuration des sous-interfaces point-à-point de Frame Relay sur R1 et R2, avec les mêmes adresses IP et les identificateurs DLCI utilisés précédemment sur les interfaces physiques

Étape 3 : vérification de la connectivité de bout en bout

Page 62: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 3.5.2 : Accès au réseau étendu : Frame Relay exercice de configuration de frame relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 4

Tâche 8 : interruption volontaire et restauration du PVC

Étape 1 : interruption du PVC à l’aide d’une méthode différente de celle utilisée lors de la tâche 6

Étape 2 : restauration du PVC

Étape 3 : vérification de la connectivité de bout en bout

Tâche 9 : documentation des configurations des routeurs

Exécutez la commande show run sur chaque routeur et capturez les configurations.

Tâche 10 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Page 63: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 5

Travaux pratiques 3.5.3 : dépannage de Frame Relay

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut

R1 Lo0 172.18.11.254 255.255.255.0 N/D

S0/0/0 172.18.221.1 255.255.255.252 N/D

R2 Lo0 172.18.111.254 255.255.255.0 N/D

S0/0/1 172.18.221.2 255.255.255.252 N/D

Objectif pédagogique

Mettre en pratique les compétences en matière de dépannage d’un réseau Frame Relay

Scénario

Au cours de ces travaux pratiques, vous apprendrez à dépanner un environnement Frame Relay mal configuré. Chargez les configurations suivantes dans les routeurs ou faites-vous aider par votre formateur. Localisez et corrigez toutes les erreurs figurant dans les configurations et établissez une connectivité de bout en bout. La configuration finale obtenue doit correspondre au diagramme de topologie, ainsi qu’à la table d’adressage. Tous les mots de passe sont définis sur cisco, à l’exception du mot de passe enable secret, défini sur class.

Page 64: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.3 : dépannage de Frame Relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 5

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Étape 2 : suppression des configurations existantes sur les routeurs

Étape 3 : importation des configurations

Routeur 1

!

hostname R1

!

enable secret class

!

no ip domain lookup

!

!

!

!

interface Loopback0

ip address 172.18.11.254 255.255.255.0

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/0/1

no ip address

shutdown

no fair-queue

clockrate 125000

!

interface Serial0/0/0

ip address 172.18.221.1 255.255.255.252

encapsulation frame-relay

frame-relay map ip 172.18.221.2 678 broadcast

no frame-relay inverse-arp

no shutdown

!

router eigrp 1

network 172.18.221.0

network 172.18.11.0

no auto-summary

!

!

!

line con 0

Page 65: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.3 : dépannage de Frame Relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 5

password cisco

logging synchronous

line aux 0

line vty 0 4

password cisco

login

!

end

Routeur 2 !

hostname R2

!

enable secret class

!

no ip domain lookup

!

interface Loopback0

ip address 172.18.111.254 255.255.255.0

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/0/0

no ip address

shutdown

no fair-queue

!

interface Serial0/0/1

ip address 172.18.221.2 255.255.255.252

encapsulation frame-relay

clockrate 125000

frame-relay map ip 172.18.221.1 181

no frame-relay inverse-arp

frame-relay lmi-type ansi

!

router eigrp 1

network 172.18.221.0

network 172.18.111.0

no auto-summary

!

!

!

line con 0

password cisco

logging synchronous

line aux 0

Page 66: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.3 : dépannage de Frame Relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 5

line vty 0 4

login

!

end

Commutateur FR :

!

hostname Commutateur FR

!

!

enable secret class

!

!

!

no ip domain lookup

frame-relay switching

!

!

!

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/0/0

no ip address

encapsulation frame-relay

no fair-queue

clockrate 125000

frame-relay intf-type dce

frame-relay route 182 interface Serial0/0/1 181

no shutdown

!

interface Serial0/0/1

no ip address

clockrate 125000

encapsulation frame-relay

frame-relay intf-type dce

no shutdown

!

!

!

!

line con 0

password cisco

logging synchronous

line aux 0

line vty 0 4

Page 67: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : Frame Relay Travaux pratiques 3.5.3 : dépannage de Frame Relay

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 5

password cisco

login

!

end

Tâche 2 : dépannage et réparation de la connexion Frame Relay entre R1 et R2

Tâche 3 : documentation des configurations des routeurs

Exécutez la commande show run sur chaque routeur et capturez les configurations.

Tâche 4 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 68: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 37

Travaux pratiques 4.6.1 : configuration de base de la sécurité

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de

sous-réseau Passerelle par défaut

R1 Fa0/1 192.168.10.1 255.255.255.0 N/D

S0/0/0 10.1.1.1 255.255.255.252 N/D

R2

Fa0/1 192.168.20.1 255.255.255.0 N/D

S0/0/0 10.1.1.2 255.255.255.252 N/D

S0/0/1 10.2.2.1 255.255.255.252 N/D

Lo0 209.165.200.225 255.255.255.224 N/D

R3 Fa0/1 192.168.30.1 255.255.255.0 N/D

S0/0/1 10.2.2.2 255.255.255.252 N/D

Comm1 VLAN10 192.168.10.2 255.255.255.0 N/D

Comm3 VLAN20 192.168.30.2 255.255.255.0 N/D

Page 69: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 37

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1

PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur TFTP Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer la sécurité de base des ports Désactiver les services et interfaces Cisco inutilisés Protéger les réseaux d'entreprise contre des principales attaques externes et internes Comprendre et gérer les fichiers de configuration Cisco IOS ainsi que le système de

fichiers Cisco Configurer et utiliser Cisco SDM (Security Device Manager) et SDM Express pour définir

la sécurité de base d’un routeur Configurer les réseaux locaux virtuels (VLAN) sur les commutateurs

Scénario

Dans le cadre de ces travaux pratiques, vous apprendrez à configurer les paramètres de sécurité de base du réseau. Pour ce faire, vous utiliserez le réseau illustré sur le diagramme de topologie. Vous apprendrez également à configurer la sécurité d’un routeur de trois manières : en utilisant l’interface de ligne de commande (ILC), la fonction de sécurité automatique, ou Cisco SDM. Enfin, vous apprendrez à gérer le logiciel Cisco IOS.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Vous pouvez utiliser n’importe quel routeur durant les travaux pratiques, à condition qu'il soit équipé des interfaces indiquées dans la topologie.

Remarque : ces travaux pratiques ont été développés et testés à l’aide de routeurs 1841. si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparaîtront différemment.

Étape 2 : suppression des configurations existantes sur les routeurs

Page 70: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 37

Tâche 2 : exécution des configurations de routeur de base

Étape 1 : configuration des routeurs

Configurez les routeurs R1, R2 et R3 conformément aux instructions suivantes :

Configurez le nom d'hôte du routeur conformément au diagramme de topologie.

Désactivez la recherche DNS.

Configurez une bannière de message du jour.

Configurez les adresses IP sur R1, R2 et R3.

Activez la version 2 du protocole RIP sur l'ensemble des routeurs de tous les réseaux.

Créez une interface de bouclage sur R2 afin de simuler une connexion Internet.

Configurez un serveur TFTP sur R2. Vous pouvez télécharger le logiciel serveur TFTP à partir de : http://tftpd32.jounin.net/

Étape 2 : configuration des interfaces Ethernet

Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP à l’aide des adresses IP et des passerelles par défaut figurant dans la table d’adressage fournie au début de ces travaux pratiques.

Étape 3 : test de la configuration d’un PC par l’envoi d’une commande ping à la passerelle par défaut, à partir de chaque PC et du serveur TFTP

Tâche 3 : sécurisation du routeur par rapport aux accès non autorisés

Étape 1 : configuration des mots de passe sécurisés et authentification AAA

Configurez des mots de passe sécurisés sur R1 à l’aide d’une base de données locale. Dans ces travaux pratiques, le mot de passe à utiliser est ciscoccna.

R1(config)#enable secret ciscoccna

Comment la configuration d’un mot de passe enable secret contribue-t-elle à protéger un routeur d’une attaque ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

La commande username permet de définir un nom d'utilisateur et un mot de passe, enregistrés localement sur le routeur. Par défaut, le niveau de privilège de l’utilisateur est défini sur 0 (le niveau d’accès le plus bas). Vous pouvez modifier le niveau d’accès assigné à un utilisateur en ajoutant le mot clé privilege 0 – 15 avant le mot clé password. R1(config)#username ccna password ciscoccna

La commande aaa permet d’activer le protocole AAA (Authentication, Authorization and Accounting : authentification, autorisation et comptabilisation) de manière globale sur le routeur. Cette commande est utilisée lors de la connexion au routeur. R1(config)#aaa new-model

Page 71: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 37

Vous pouvez créer une liste d’authentification qui est consultée lorsqu’un utilisateur tente de se connecter au périphérique, une fois que vous l’aurez appliquée aux lignes vty et aux lignes de la console. Le mot clé local indique que la base de données de l’utilisateur est enregistrée localement sur le routeur. R1(config)#aaa authentication login LOCAL_AUTH local

Les commandes suivantes indiquent au routeur que les utilisateurs qui tentent de se connecter doivent être authentifiés via la liste que vous venez de créer.

R1(config)#line console 0

R1(config-lin)#login authentication LOCAL_AUTH R1(config-lin)#line vty 0 4

R1(config-lin)#login authentication LOCAL_AUTH

Dans la section de configuration en cours suivante, quel élément vous semble non sécurisé ? R1#show run

<résultat omis>

!

enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1

!

aaa new-model

!

aaa authentication login LOCAL_AUTH local

!

username ccna password 0 ciscoccna

!

<résultat omis>

!

banner motd ^CUnauthorized access strictly prohibited, violators will be

prosecuted to the full extent of the law^C

!

line con 0

logging synchronous

login authentication LOCAL_AUTH

line aux 0

line vty 0 4

login authentication LOCAL_AUTH

!

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Pour appliquer un chiffrement simple sur les mots de passe, entrez la commande suivante en mode de configuration globale : R1(config)#service password-encryption

Pour vérifier cela, exécutez la commande show run.

Page 72: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 37

R1#show run

service password-encryption

!

enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1

!

aaa new-model

!

aaa authentication login LOCAL_AUTH local

!

username ccna password 7 0822455D0A1606141C0A

<résultat omis>

!

banner motd ^CCUnauthorized access strictly prohibited, violators will be

prosecuted to the full extent of the law^C

!

line con 0

logging synchronous

login authentication LOCAL_AUTH

line aux 0

line vty 0 4

login authentication LOCAL_AUTH

!

Étape 2 : protection des lignes de console et des lignes VTY

Vous pouvez faire en sorte que le routeur déconnecte une ligne qui a été inactive pendant une période donnée. Si un ingénieur réseau est connecté à un périphérique réseau, qu’il est appelé et qu’il part subitement, cette commande permet de le déconnecter automatiquement au bout de la période indiquée. Les commandes suivantes permettent la déconnexion d’une ligne au bout de 5 minutes. R1(config)#line console 0

R1(config-lin)#exec-timeout 5 0

R1(config-lin)#line vty 0 4

R1(config-lin)#exec-timeout 5 0 La commande suivante permet d’empêcher les tentatives de connexion en force. Le routeur bloque les tentatives de connexion pendant 5 minutes si un utilisateur effectue 2 tentatives de connexion sans y parvenir au bout de 2 minutes. Pour répondre aux objectifs de ces travaux pratiques, la durée définie est particulièrement courte. Une action supplémentaire consiste à consigner chaque tentative de ce type. R1(config)#login block-for 300 attempt 2 within 120

R1(config)#security authentication failure rate 5 log Pour vérifier cela, essayez de vous connecter à R1, à partir de R2, via le protocole Telnet à l’aide d’un nom d’utilisateur et d’un mot de passe incorrects. Sur R2 : R2#telnet 10.1.1.1

Trying 10.1.1.1 ... Open

Unauthorized access strictly prohibited, violators will be prosecuted to the

full extent of the law

User Access Verification

Username: cisco

Password:

Page 73: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 37

% Authentication failed

User Access Verification

Username: cisco

Password:

% Authentication failed

[Connection to 10.1.1.1 closed by foreign host]

R2#telnet 10.1.1.1

Trying 10.1.1.1 ... % Connection refused by remote host

Sur R1 : *Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because

block period timed out at 12:40:11 UTC Mon Sep 10 2007

Tâche 4 : sécurisation de l’accès au réseau

Étape 1 : prévention de la propagation d’une mise à jour de routage RIP

Quelle machine peut recevoir des mises à jour de routage RIP sur un segment de réseau au niveau duquel le protocole RIP est activé ? S’agit-il de la configuration la plus appropriée ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

La commande passive-interface empêche les routeurs d’envoyer des mises à jour de routage à toutes les interfaces, excepté celles configurées pour participer à ces mises à jour. Cette commande doit être exécutée lors de la configuration du protocole RIP.

La première commande permet de définir toutes les interfaces en mode passif (l’interface reçoit uniquement les mises à jour de routage RIP). La deuxième commande permet de rétablir le mode actif pour certaines interfaces (qui peuvent alors envoyer et recevoir des mises à jour RIP).

R1 R1(config)#router rip

R1(config-router)#passive-interface default

R1(config-router)#no passive-interface s0/0/0

R2 R2(config)#router rip

R2(config-router)#passive-interface default

R2(config-router)#no passive-interface s0/0/0

R2(config-router)#no passive-interface s0/0/1

R3 R3(config)#router rip

R3(config-router)#passive-interface default

R3(config-router)#no passive-interface s0/0/1

Page 74: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 37

Étape 2 : prévention de la réception non autorisée des mises à jour RIP

Pour sécuriser le protocole RIP, vous devez tout d’abord bloquer les mises à jour RIP inutiles. Vous devez ensuite protéger les mises à jour RIP au moyen d’un mot de passe. Pour ce faire, vous devez d’abord configurer la clé à utiliser. R1(config)#key chain RIP_KEY

R1(config-keychain)#key 1

R1(config-keychain-key)#key-string cisco

Ces informations doivent être ajoutées à tous les routeurs destinés à recevoir des mises à jour RIP. R2(config)#key chain RIP_KEY

R2(config-keychain)#key 1

R2(config-keychain-key)#key-string cisco

R3(config)#key chain RIP_KEY

R3(config-keychain)#key 1

R3(config-keychain-key)#key-string cisco

Pour utiliser la clé, vous devez configurer chacune des interfaces participant aux mises à jour RIP. Ces interfaces sont celles qui ont été précédemment activées à l’aide de la commande no passive-interface.

R1 R1(config)#int s0/0/0

R1(config-if)#ip rip authentication mode md5

R1(config-if)#ip rip authentication key-chain RIP_KEY

À ce stade, R1 ne reçoit plus les mises à jour RIP issues de R2, étant donné que ce dernier n’est pas encore configuré pour utiliser une clé permettant les mises à jour de routage. Vous pouvez observer cette situation sur R1, en exécutant la commande show ip route et en vérifiant qu’aucune route provenant

de R2 ne figure dans la table de routage.

Effacez les routes IP à l’aide de la commande clear ip route * ou attendez l’expiration de leur délais

d’attente. R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, *-candidate default, U-per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 1 subnets, 1 masks

C 10.1.1.0/24 is directly connected, Serial0/0/0

C 192.168.10.0 is directly connected, Serial0/0/0

Pour utiliser l’authentification de routage, vous devez configurer R2 et R3. Notez que chaque interface active doit être configurée.

R2 R2(config)#int s0/0/0

R2(config-if)#ip rip authentication mode md5

R2(config-if)#ip rip authentication key-chain RIP_KEY

R2(config)#int s0/0/1

Page 75: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 37

R2(config-if)#ip rip authentication mode md5

R2(config-if)#ip rip authentication key-chain RIP_KEY

R3 R3(config)#int s0/0/1

R3(config-if)#ip rip authentication mode md5

R3(config-if)#ip rip authentication key-chain RIP_KEY

Étape 3 : vérification du fonctionnement du routage RIP

Une fois les trois routeurs configurés en vue d’utiliser l’authentification de routage, les tables de routage doivent à nouveau être alimentées avec toutes les routes RIP. À présent, R1 doit disposer de toutes les routes via RIP. Vérifiez cela à l’aide de la commande show ip route.

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, *-candidate default, U-per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

R 192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/0

C 192.168.10.0/24 is directly connected, FastEthernet0/1

R 192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0

10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks

R 10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/0

C 10.1.1.0/24 is directly connected, Serial0/0/0

Tâche 5 : consignation des activités via le protocole SNMP (Simple Network Management Protocol)

Étape 1 : configuration de la consignation via le protocole SNMP vers le serveur syslog

Il peut être utile d’effectuer une consignation via SNMP dans le cadre de la surveillance de l’activité d’un réseau. Les informations ainsi consignées peuvent être envoyées vers un serveur syslog du réseau, où elles peuvent être analysées et archivées. Soyez prudent lorsque vous configurez une consignation (syslog) sur le routeur. Lors du choix de l’hôte de consignation, rappelez-vous que ce dernier doit être connecté à un réseau fiable ou protégé, ou bien à une interface de routeur dédiée ou isolée.

Au cours de ces travaux pratiques, vous apprendrez à configurer l’ordinateur PC1 en tant que serveur syslog pour R1. Utilisez la commande logging pour sélectionner l’adresse IP du périphérique vers

lequel les messages SNMP sont envoyés. Dans l’exemple suivant, l’adresse IP de PC1 est utilisée. R1(config)#logging 192.168.10.10

Remarque : si vous souhaitez consulter les messages syslog, le logiciel syslog doit être installé et exécuté sur PC1.

Dans l’étape suivante, vous allez définir le niveau de gravité des messages à envoyer au serveur syslog.

Page 76: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 37

Étape 2 : configuration du niveau de gravité SNMP

Le niveau des messages SNMP peut être ajusté afin de permettre à l’administrateur de déterminer les types de messages envoyés au périphérique syslog. Les routeurs prennent en charge différents niveaux de consignation. Il existe huit niveaux, allant de 0 (Urgence, le système est instable) à 7 (Débogage, des messages contenant des informations sur le routeur sont envoyés). Pour configurer les niveaux de gravité, utilisez le mot clé associé à chaque niveau, comme indiqué dans le tableau ci-dessous.

Niveau de gravité Mot clé Description

0 emergencies Système inutilisable

1 alerts Action immédiate requise

2 critical Conditions critiques

3 errors Conditions d’erreur

4 warnings Conditions d’avertissement

5 notifications Condition normale mais sensible

6 informational Messages informatifs

7 debugging Messages de débogage

La commande logging trap permet de définir le niveau de gravité. Le niveau de gravité inclut le niveau spécifié et tout ce qui figure au-dessous (du niveau normal au niveau de gravité spécifié). Définissez R1 sur le niveau 4 pour capturer des messages avec des niveaux de gravité 4, 5, 6 et 7. R1(config)#logging trap warnings

Quel est le danger de définir un niveau de gravité trop élevé ou trop faible ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Remarque : si vous avez installé le logiciel syslog sur PC1, lancez-le et consultez les messages générés.

Page 77: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 37

Tâche 6 : désactivation des services réseau Cisco inutilisés

Étape 1 : désactivation des interfaces inutilisées

Pourquoi est-il nécessaire de désactiver les interfaces inutilisées sur les périphériques réseau ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Dans le diagramme de topologie, vous pouvez voir que R1 ne doit utiliser que les interfaces S0/0/0 et Fa0/1. Toutes les autres interfaces sur R1 doivent être désactivées sur le plan administratif, à l’aide de la commande de configuration d’interface shutdown.

R1(config)#interface fastethernet0/0

R1(config-if)#shutdown

R1(config-if)# interface s0/0/1

R1(config-if)#shutdown

*Sep 10 13:40:240.887: %LINK-5-CHANGED: Interface FastEthernet0/0, changed

state to administratively down

*Sep 10 13:40:250.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface

FastEthernet0/0, changed state to down

Pour vérifier si toutes les interfaces inactives de R1 ont bien été désactivées, utilisez la commande show ip interface brief. Les interfaces désactivées manuellement sont répertoriées comme étant désactivées sur le plan administratif. R1#sh ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.10.1 YES manual up up Serial0/0/0 10.1.0.1 YES manual up up Serial0/0/1 unassigned YES unset administratively down down

Étape 2 : désactivation des services globaux inutilisés

De nombreux services ne sont pas requis dans la plupart des réseaux modernes. Si les services inutilisés restent activés, les ports restent ouverts et peuvent alors être utilisés pour compromettre un réseau. Désactivez tous les services inutilisés sur R1. R1(config)#no service pad R1(config)#no service finger

R1(config)#no service udp-small-server

R1(config)#no service tcp-small-server

R1(config)#no ip bootp server

R1(config)#no ip http server

R1(config)#no ip finger

R1(config)#no ip source-route R1(config)#no ip gratuitous-arps

R1(config)#no cdp run

Page 78: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 37

Étape 3 : désactivation des services d’interface inutilisés

Les commandes ci-après sont saisies au niveau de l’interface et doivent être appliquées à chaque interface sur R1. R1(config-if)#no ip redirects

R1(config-if)#no ip proxy-arp

R1(config-if)#no ip unreachables

R1(config-if)#no ip directed-broadcast

R1(config-if)#no ip mask-reply

R1(config-if)#no mop enabled

Quel type d’attaque la désactivation des commandes IP redirects, IP unreachables et IP directed broadcasts peut-elle empêcher ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Étape 4 : utilisation de la fonction AutoSecure pour sécuriser un routeur Cisco

À l’aide d’une seule commande en mode CLI (Interface de ligne de commande), la fonction AutoSecure vous permet de désactiver les services IP communs pouvant être exploités par des attaques réseau et d’activer des fonctions et des services IP pouvant être utiles dans la protection d’un réseau lors d’une attaque. La fonction AutoSecure simplifie la configuration de la sécurité d’un routeur et renforce la configuration de ce même routeur.

Elle vous permet d’appliquer plus rapidement les mêmes fonctions de sécurité que celles que vous venez d’appliquer (sauf pour la sécurisation du protocole RIP) à un routeur. Comme vous avez déjà sécurisé R1, utilisez la commande auto secure sur R3.

R3#auto secure

--- AutoSecure Configuration ---

*** AutoSecure configuration enhances the security of

the router, but it will not make it absolutely resistant

to all security attacks ***

AutoSecure will modify the configuration of your device.

All configuration changes will be shown. For a detailed

explanation of how the configuration changes enhance security

and any possible side effects, please refer to Cisco.com for

Autosecure documentation.

At any prompt you may enter '?' for help.

Use ctrl-c to abort this session at any prompt.

Gathering information about the router for AutoSecure

Is this router connected to internet? [no]: yes

Enter the number of interfaces facing the internet [1]: 1

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 unassigned YES unset down down FastEthernet0/1 192.168.30.1 YES manual up up Serial0/0/0 unassigned YES manual down down Serial0/0/1 10.2.2.2 YES manual up up

Page 79: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 12 sur 37

Enter the interface name that is facing the internet: Serial0/0/1

Securing Management plane services...

Disabling service finger

Disabling service pad

Disabling udp & tcp small servers

Enabling service password encryption

Enabling service tcp-keepalives-in

Enabling service tcp-keepalives-out

Disabling the cdp protocol

Disabling the bootp server

Disabling the http server

Disabling the finger service

Disabling source routing

Disabling gratuitous arp

Enable secret is either not configured or

Is the same as enable password

Enter the new enable password: ciscoccna

Confirm the enable password: ciscoccna

Enter the new enable password: ccnacisco

Confirm the enable password: ccnacisco

Configuration of local user database

Enter the username: ccna

Enter the password: ciscoccna

Confirm the password: ciscoccna

Configuring AAA local authentication

Configuring Console, Aux and VTY lines for

local authentication, exec-timeout, and transport

Securing device against Login Attacks

Configure the following parameters

Blocking Period when Login Attack detected: 300

Maximum Login failures with the device: 5

Maximum time period for crossing the failed login attempts: 120

Configure SSH server? Yes

Enter domain-name: cisco.com

Configuring interface specific AutoSecure services

Disabling the following ip services on all interfaces:

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

Disabling mop on Ethernet interfaces

Securing Forwarding plane services...

Enabling CEF (This might impact the memory requirements for your platform)

Enabling unicast rpf on all interfaces connected to internet

Page 80: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 13 sur 37

Configure CBAC firewall feature: no

Tcp intercept feature is used prevent tcp syn attack

On the servers in the network. Create autosec_tcp_intercept_list

To form the list of servers to which the tcp traffic is to be observed

Enable TCP intercept feature: yes

This is the configuration generated:

no service finger

no service pad

no service udp-small-servers

no service tcp-small-servers

service password-encryption

service tcp-keepalives-in

service tcp-keepalives-out

no cdp run

no ip bootp server

no ip http server

no ip finger

no ip source-route

no ip gratuitous-arps

no ip identd

security passwords min-length 6

security authentication failure rate 10 log

enable password 7 070C285F4D061A061913

username ccna password 7 045802150C2E4F4D0718

aaa new-model

aaa authentication login local_auth local

line con 0

login authentication local_auth

exec-timeout 5 0

transport output telnet

line aux 0

login authentication local_auth

exec-timeout 10 0

transport output telnet

line vty 0 4

login authentication local_auth

transport input telnet

line tty 1

login authentication local_auth

exec-timeout 15 0

line tty 192

login authentication local_auth

exec-timeout 15 0

login block-for 300 attempts 5 within 120

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

logging facility local2

logging trap debugging

service sequence-numbers

logging console critical

logging buffered

interface FastEthernet0/0

Page 81: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 14 sur 37

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

no mop enabled

interface FastEthernet0/1

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

no mop enabled

interface Serial0/0/0

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

interface Serial0/0/1

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

interface Serial0/1/0

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

interface Serial0/1/1

no ip redirects

no ip proxy-arp

no ip unreachables

no ip directed-broadcast

no ip mask-reply

ip cef

access-list 100 permit udp any any eq bootpc

interface Serial0/0/1

ip verify unicast source reachable-via rx allow-default 100

ip tcp intercept list autosec_tcp_intercept_list

ip tcp intercept drop-mode random

ip tcp intercept watch-timeout 15

ip tcp intercept connection-timeout 3600

ip tcp intercept max-incomplete low 450

ip tcp intercept max-incomplete high 550

!

end

Apply this configuration to running-config? [yes]:yes

The name for the keys will be: R3.cisco.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Page 82: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 15 sur 37

R3#

000045: *Nov 16 15:39:10.991 UTC: %AUTOSEC-1-MODIFIED: AutoSecure

configuration has been Modified on this device

Comme vous pouvez le constater, la fonction AutoSecure permet une configuration plus rapide qu’une configuration ligne par ligne. Toutefois, la configuration manuelle présente également des avantages, que nous aborderons dans les travaux pratiques relatifs au dépannage. Lorsque vous utilisez la fonction AutoSecure, il se peut que vous désactiviez un service dont vous avez besoin. Soyez toujours très prudent et déterminez soigneusement les services dont vous avez besoin avant d’utiliser AutoSecure.

Tâche 7 : gestion de Cisco IOS et des fichiers de configuration

Étape 1 : affichage des fichiers IOS

Cisco IOS est le logiciel qui permet aux routeurs de fonctionner. Il se peut que votre routeur dispose de suffisamment de mémoire pour stocker plusieurs images Cisco IOS. Il est important de savoir quels fichiers sont stockés sur votre routeur.

Exécutez la commande show flash pour afficher le contenu de la mémoire flash de votre routeur.

Attention : soyez très prudent lorsque vous exécutez des commandes impliquant la mémoire flash. Une erreur dans la saisie d’une commande peut entraîner la suppression de l’image Cisco IOS. R2#show flash

-#- --length-- -----date/time------ path

1 13937472 May 05 2007 21:25:14 +00:00 c1841-ipbase-mz.124-1c.bin

2 1821 May 05 2007 21:40:28 +00:00 sdmconfig-18xx.cfg

3 4734464 May 05 2007 21:41:02 +00:00 sdm.tar

4 833024 May 05 2007 21:41:24 +00:00 es.tar

5 1052160 May 05 2007 21:41:48 +00:00 common.tar

8679424 bytes available (23252992 bytes used)

En parcourant cette liste, vous pouvez déjà déterminer les éléments suivants :

L’image est destinée à un routeur 1841 (c1841-ipbase-mz.124-1c.bin). Le routeur utilise une image de base IP (c1841-ipbase-mz.124-1c.bin). La version du logiciel Cisco IOS est 12.4(1c) (c1841-ipbase-mz.124-1c.bin). SDM est installé sur ce périphérique (sdmconfig-18xx.cfg, sdm.tar).

Vous pouvez utiliser la commande dir all pour afficher tous les fichiers sur le routeur. R2#dir all

Directory of archive:/

No files in directory

No space information available

Directory of system:/

3 dr-x 0 <no date> memory

1 -rw- 979 <no date> running-config

2 dr-x 0 <no date> vfiles

No space information available

Directory of nvram:/

Page 83: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 16 sur 37

189 -rw- 979 <no date> startup-config

190 ---- 5 <no date> private-config

191 -rw- 979 <no date> underlying-config

1 -rw- 0 <no date> ifIndex-table

196600 bytes total (194540 bytes free)

Directory of flash:/

1 -rw- 13937472 May 05 2007 20:08:50 +00:00 c1841-ipbase-mz.124-1c.bin

2 -rw- 1821 May 05 2007 20:25:00 +00:00 sdmconfig-18xx.cfg

3 -rw- 4734464 May 05 2007 20:25:38 +00:00 sdm.tar

4 -rw- 833024 May 05 2007 20:26:02 +00:00 es.tar

5 -rw- 1052160 May 05 2007 20:26:30 +00:00 common.tar

6 -rw- 1038 May 05 2007 20:26:56 +00:00 home.shtml

7 -rw- 102400 May 05 2007 20:27:20 +00:00 home.tar

8 -rw- 491213 May 05 2007 20:27:50 +00:00 128MB.sdf

9 –rw- 398305 May 05 2007 20:29:08 +00:00 sslclient-win-1.1.0.154.pkg

10 -rw- 1684577 May 05 2007 20:28:32 +00:00 securedesktop-ios-3.1.1.27-

k9.pkg

31932416 bytes total (8679424 bytes free)

Étape 2 : transfert des fichiers via le protocole TFTP

Le protocole TFTP est utilisé lors de l’archivage et de la mise à jour du logiciel Cisco IOS d’un périphérique. Cependant, dans ces travaux pratiques, nous n’utilisons pas des fichiers Cisco IOS réels car toute erreur commise lors de la saisie d’une commande peut entraîner la suppression de l’image Cisco IOS du périphérique. À la fin de cette section, vous trouverez un exemple de transfert TFTP de fichiers Cisco IOS.

Pourquoi est-il important de disposer d’une version actualisée du logiciel Cisco IOS ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Lors d’un transfert de fichiers via TFTP, il est important de vérifier la communication entre le serveur TFTP et le routeur. Pour ce faire, exécutez une requête ping entre ces deux périphériques.

Pour commencer le transfert du logiciel Cisco IOS, créez un fichier nommé test sur le serveur TFTP, dans le dossier racine TFTP. Ce fichier peut être vide, car cette étape sert uniquement à illustrer les étapes effectuées. Chaque programme TFTP stocke les fichiers dans un emplacement différent. Consultez le fichier d’aide du serveur TFTP pour déterminer le dossier racine.

À partir de R1, procédez à l’extraction du fichier et enregistrez-le dans la mémoire flash. R2#copy tftp flash

Address or name of remote host []? 192.168.20.254 (adresse IP du serveur

TFTP) Source filename []? Test (nom du fichier que vous avez créé et enregistré sur

le serveur TFTP) Destination filename [test]? test-server (nom arbitrairement attribué au

fichier lors de son enregistrement sur le routeur)

Accessing tftp://192.168.20.254/test...

Loading test from 192.168.20.254 (via FastEthernet0/1): ! [OK - 1192 bytes]

Page 84: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 17 sur 37

1192 bytes copied in 0.424 secs (2811 bytes/sec)

Vérifiez l’existence du fichier dans la mémoire flash à l’aide de la commande show flash. R2#show flash

-#- --length-- -----date/time------ path

1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin

2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg

3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar

4 833024 May 05 2007 21:30:42 +00:00 es.tar

5 1052160 May 05 2007 21:31:10 +00:00 common.tar

6 1038 May 05 2007 21:31:36 +00:00 home.shtml

7 102400 May 05 2007 21:32:02 +00:00 home.tar

8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf

9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg

10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg

11 1192 Sep 12 2007 07:38:18 +00:00 test-server

8675328 bytes available (23257088 bytes used)

Les routeurs peuvent également agir comme des serveurs TFTP. Cela peut être utile si un périphérique a besoin d’une image et que l’un de vos périphériques utilise déjà cette image. Configurons R2 en tant que serveur TFTP de R1. Notez que les images Cisco IOS sont spécifiques aux plates-formes de routeur et aux besoins en matière de mémoire. Soyez prudent lorsque vous transférez une image Cisco IOS d’un routeur à l’autre.

La syntaxe de commande est la suivante : tftp-server nvram: [nomfichier1 [alias nomfichier2]

La commande ci-après permet de configurer R2 en tant que serveur TFTP. R2 envoie son fichier de configuration de démarrage aux périphériques qui le demandent, via TFTP (nous utilisons la configuration de démarrage pour une question de simplicité). Le mot-clé alias permet aux périphériques de demander le fichier en utilisant l’alias test au lieu du nom de fichier complet. R2(config)#tftp-server nvram:startup-config alias test

À présent, nous pouvons demander le fichier à partir de R2 en utilisant R1. R1#copy tftp flash Address or name of remote host []? 10.1.1.2 Source filename []? test

Destination filename []? test-router

Accessing tftp://10.1.1.2/test...

Loading test from 10.1.1.2 (via Serial0/0/0): ! [OK - 1192 bytes]

1192 bytes copied in 0.452 secs (2637 bytes/sec)

Vérifiez une nouvelle fois que le fichier test a été correctement copié à l’aide de la commande show flash. R1#show flash

-#- --length-- -----date/time------ path

1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin

2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg

3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar

4 833024 May 05 2007 21:30:42 +00:00 es.tar

5 1052160 May 05 2007 21:31:10 +00:00 common.tar

6 1038 May 05 2007 21:31:36 +00:00 home.shtml

Page 85: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 18 sur 37

7 102400 May 05 2007 21:32:02 +00:00 home.tar

8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf

9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg

10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg

11 1192 Sep 12 2007 07:38:18 +00:00 test-server

12 1192 Sep 12 2007 07:51:04 +00:00 test-router

8671232 bytes available (23261184 bytes used)

À présent, supprimez les fichiers inutiles de la mémoire flash de R1, pour éviter d’utiliser trop d’espace mémoire. Soyez particulièrement prudent lorsque vous effectuez cette opération ! La suppression accidentelle de la mémoire flash vous obligerait à réinstaller l’ensemble de l’image IOS du routeur. Si le routeur vous invite à supprimer la mémoire flash, via erase flash, cela indique qu’il se passe quelque

chose d’anormal. Il est extrêmement rare de devoir supprimer l'ensemble de la mémoire flash. Le seul cas légitime où cela peut se produire est lors de la mise à niveau du système IOS vers une grande image IOS. Si l’invite erase flash s’affiche comme dans l’exemple, ARRÊTEZ IMMÉDIATEMENT. Ne validez

PAS. Demandez IMMÉDIATEMENT l’aide de votre formateur. Erase flash: ?[confirm] no

R1#delete flash:test-server

Delete filename [test-server]? Delete flash:test? [confirm]

R1#delete flash:test-router

Delete filename [test-router]? Delete flash:test-router? [confirm]

Vérifiez que les fichiers ont été supprimés à l’aide de la commande show flash. Ceci est seulement un exemple. N’effectuez pas cette tâche.

R1#show flash

-#- --length-- -----date/time------ path

1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin

2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg

3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar

4 833024 May 05 2007 21:30:42 +00:00 es.tar

5 1052160 May 05 2007 21:31:10 +00:00 common.tar

6 1038 May 05 2007 21:31:36 +00:00 home.shtml

7 102400 May 05 2007 21:32:02 +00:00 home.tar

8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf

9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg

10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg

8679424 bytes available (23252992 bytes used)

Voici un exemple de transfert TFTP d’un fichier d’image Cisco IOS.

N’effectuez PAS cet exemple sur vos routeurs. Lisez-le simplement.

R1#copy tftp flash Address or name of remote host []? 10.1.1.2 Source filename []? c1841-ipbase-mz.124-1c.bin Destination filename []? flash:c1841-ipbase-mz.124-1c.bin

Accessing tftp://10.1.1.2/c1841-ipbase-mz.124-1c.bin...

Page 86: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 19 sur 37

Loading c1841-ipbase-mz.124-1c.bin from 10.1.1.2 (via Serial0/0/0):

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <résultat omis>

!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[OK - 13937472 bytes]

13937472 bytes copied in 1113.948 secs (12512 bytes/sec)

Étape 3 : restauration d’un mot de passe à l’aide de ROMmon

Si, pour une raison quelconque, vous ne parvenez plus à accéder à un périphérique car vous ignorez, avez perdu ou oublié le mot de passe, vous pouvez encore y accéder en modifiant le registre de configuration. Le registre de configuration indique au routeur la configuration à charger lors du démarrage. Dans le registre de configuration, vous pouvez demander au routeur de démarrer à partir d’une configuration vierge, non protégée par un mot de passe.

Pour modifier le registre de configuration, la première étape consiste à afficher le paramètre actuel, à l’aide de la commande show version. Ces opérations sont exécutées sur le routeur R3.

R3#show version

Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), RELEASE

SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2005 by Cisco Systems, Inc.

Compiled Tue 25-Oct-05 17:10 by evmiller

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

R3 uptime is 25 minutes

System returned to ROM by reload at 08:56:50 UTC Wed Sep 12 2007

System image file is "flash:c1841-ipbase-mz.124-1c.bin"

Cisco 1841 (revision 7.0) with 114688K/16384K bytes of memory.

Processor board ID FTX1118X0BN

2 FastEthernet interfaces

2 Low-speed serial(sync/async) interfaces

DRAM configuration is 64 bits wide with parity disabled.

191K bytes of NVRAM.

31360K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

La seconde étape consiste à recharger le routeur et à appuyer sur la touche Pause, lors du démarrage. L’emplacement de la touche Pause est différente d’un ordinateur à l’autre. En général, elle se trouve dans le coin supérieur droit du clavier. Une pause permet au périphérique de basculer en mode appelé ROMmon. Dans ce mode, il n’est pas nécessaire que le périphérique ait accès à un fichier d’image Cisco IOS. R3#reload

Proceed with reload? [confirm]

*Sep 12 08:27:280.670: %SYS-5-RELOAD: Reload requested by console. Reload

Reason: Reload command.

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 2006 by cisco Systems, Inc.

PLD version 0x10

Page 87: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 20 sur 37

GIO ASIC version 0x127

c1841 platform with 131072 Kbytes of main memory

Main memory is configured to 64 bit mode with parity disabled

Readonly ROMMON initialized

rommon 1 >

Modifiez la valeur du registre de configuration par une valeur permettant de charger la configuration initiale du routeur. Cette configuration ne dispose pas de mot de passe configuré, mais elle prend en charge les commandes Cisco IOS. Définissez la valeur du registre de configuration sur 0x2142. rommon 1 > confreg 0x2142

La valeur du registre étant modifiée, vous pouvez démarrer le périphérique à l’aide de la commande reset.

rommon 2 > reset program load complete, entry point: 0x8000f000, size: 0xcb80

program load complete, entry point: 0x8000f000, size: 0xcb80

program load complete, entry point: 0x8000f000, size: 0xd4a9a0

Self decompressing the image :

########################################################### #############################################################################

# [OK]

<résultat omis>

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Press RETURN to get started!

Étape 4 : restauration du routeur

À présent, copiez la configuration de démarrage vers la configuration en cours, restaurez cette configuration, puis rétablissez le registre de configuration à sa valeur par défaut (0x2102).

Pour copier la configuration de démarrage de la mémoire NVRAM vers la mémoire en cours, entrez la commande copy startup-config running-config. Attention : ne saisissez pas la commande

copy running-config startup-config, car vous risquez de supprimer la configuration de démarrage. Router#copy startup-config running-config Destination filename [running-config]? {enter}

2261 bytes copied in 0.576 secs (3925 bytes/sec)

R3#:show running-config

<résultat omis>

enable secret 5 $1$31P/$cyPgoxc0R9y93Ps/N3/kg.

!

<résultat omis>

!

Page 88: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 21 sur 37

key chain RIP_KEY

key 1

key-string 7 01100F175804

username ccna password 7 094F471A1A0A1411050D

!

interface FastEthernet0/1

ip address 192.168.30.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

shutdown

duplex auto

speed auto

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

shutdown

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

!

<résultat omis>

!

line con 0

exec-timeout 5 0

logging synchronous

login authentication

transport output telnet

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

Dans cette configuration, la commande shutdown s’affiche sur toutes les interfaces, car ces interfaces

sont toutes fermées. Le plus important est que vous puissiez voir les mots de passe (enable, enable secret, VTY, console) au format chiffré ou non. Vous pouvez réutiliser les mots de passe non chiffrés. Vous devez remplacer les mots de passe chiffrés par un nouveau mot de passe. R3#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R3(config)#enable secret ciscoccna

R3(config)#username ccna password ciscoccna

Exécutez la commande no shutdown sur chaque interface que vous souhaitez utiliser.

Page 89: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 22 sur 37

R3(config)#interface FastEthernet0/1

R3(config-if)#no shutdown

R3(config)#interface Serial0/0/0

R3(config-if)#no shutdown

Vous pouvez exécuter une commande show ip interface brief afin de confirmer que la configuration de votre interface est correcte. Chacune des interfaces que vous souhaitez utiliser doit afficher « up ». R3#show ip interface brief

Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES NVRAM administratively down down FastEthernet0/1 192.168.30.1 YES NVRAM up up Serial0/0/0 10.2.2.2 YES NVRAM up up Serial0/0/1 unassigned YES NVRAM administratively down down Entrez la commande config-register valeur du registre de configuration. La variable valeur du registre de configuration peut être la valeur que vous avez notée à l’étape 3 ou 0x2102. Enregistrez la configuration en cours. R3(config)#config-register 0x2102

R3(config)#end

R3#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

Quels sont les inconvénients d’une récupération de mot de passe ?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Tâche 8 : utilisation de SDM pour la sécurisation d’un routeur

Au cours de cette tâche, vous allez utiliser SDM (Security Device Manager) et l’interface utilisateur graphique pour sécuriser le routeur R2. L’utilisation de SDM est plus rapide que la saisie de chaque commande et vous permet davantage de contrôle que la fonction AutoSecure.

Vérifiez si SDM est installé sur le routeur : R2#show flash

-#- --length-- -----date/time------ path

1 13937472 Sep 12 2007 08:31:42 +00:00 c1841-ipbase-mz.124-1c.bin

2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg

3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar

4 833024 May 05 2007 21:30:42 +00:00 es.tar

5 1052160 May 05 2007 21:31:10 +00:00 common.tar

6 1038 May 05 2007 21:31:36 +00:00 home.shtml

7 102400 May 05 2007 21:32:02 +00:00 home.tar

8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf

9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg

10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg

11 2261 Sep 25 2007 23:20:16 +00:00 Tr(RIP)

12 2506 Sep 26 2007 17:11:58 +00:00 save.txt

Page 90: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 23 sur 37

Si SDM N’est PAS installé sur le routeur, vous devez l’installer pour continuer la procédure. Pour ce faire, demandez les instructions à votre formateur.

Étape 1 : connexion à R2 via le serveur TFTP

Créez un nom d’utilisateur et un mot de passe sur R2. R2(config)#username ccna password ciscoccna

Activez le serveur sécurisé http sur R2, puis connectez-vous à R2 à l’aide d’un navigateur Web sur le serveur TFTP. R2(config)#ip http secure-server

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

R2(config)#

*Nov 16 16:01:07.763: %SSH-5-ENABLED: SSH 1.99 has been enabled

*Nov 16 16:01:08.731: %PKI-4-NOAUTOSAVE: Configuration was modified.

Issue "write memory" to save new certificate

R2(config)#end

R2#copy run start

À partir du serveur TFTP, ouvrez un navigateur Web et accédez à https://192.168.20.1/. Connectez-vous avec le nom d’utilisateur et le mot de passe créés précédemment :

Nom d’utilisateur : ccna

Mot de passe : ciscoccna

Sélectionnez l’application Cisco Router and Security Device Manager.

Ouvrez Internet Explorer et entrez l’adresse IP de R2 dans la barre d’adresse. Une nouvelle fenêtre s’ouvre. Assurez-vous que tous les bloqueurs de fenêtre publicitaire intempestive sont désactivés sur votre navigateur. Assurez-vous également que JAVA est bien installé et mis à jour.

Une fois le chargement effectué, une nouvelle fenêtre SDM s’ouvre.

Page 91: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 24 sur 37

Étape 2 : accès à la fonction d’audit de sécurité

Cliquez sur le bouton Configure dans la partie supérieure gauche de la fenêtre.

Cliquez ensuite sur Security Audit, dans le panneau de gauche.

Une autre fenêtre s’ouvre.

Page 92: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 25 sur 37

Étape 3 : exécution d’un audit de sécurité

Une brève présentation de la fonction d’audit de sécurité s’affiche. Cliquez sur Next pour ouvrir la fenêtre de configuration de l’interface de la fonction d’audit de sécurité, Security Audit Interface configuration.

Une interface doit être définie sur Outside (Untrusted) (non fiable) si vous ne pouvez garantir la légitimité du trafic issu de cette interface. Dans cet exemple, les interfaces FastEthernet0/1 et Serial0/1/0 ne sont pas fiables. D’une part, Serial0/1/0 est directement connecté à Internet. D’autre part, Fastethernet0/1 est connecté à la partie accès au réseau. Un trafic illégitime peut donc s’infiltrer.

Après avoir défini les interfaces sur Outside (extérieure) et Inside (intérieure), cliquez sur Next. Une nouvelle fenêtre s’ouvre, indiquant que SDM est en train d’effectuer un audit de sécurité.

Page 93: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 26 sur 37

Comme vous pouvez le constater, la configuration par défaut n’est pas sécurisée. Cliquez sur le bouton Close pour continuer.

Étape 4 : application des paramètres au routeur

Page 94: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 27 sur 37

Cliquez sur le bouton Fix All pour appliquer toutes les corrections de sécurité proposées. Ensuite, cliquez sur le bouton Next.

Configurez un message de bannière à utiliser comme message du jour pour le routeur, puis cliquez sur Next.

Déterminez ensuite le niveau de gravité des journaux de déroutement que le routeur devra envoyer au serveur syslog. Dans ce scénario, le niveau de gravité est défini sur le débogage. Cliquez sur Next pour afficher un récapitulatif des modifications sur le point d’être apportées au routeur.

Page 95: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 28 sur 37

Étape 5 : validation de la configuration du routeur

Après avoir vérifié les modifications sur le point d’être effectuées, cliquez sur Finish.

Page 96: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 29 sur 37

Cliquez sur OK pour quitter SDM.

Tâche 9 : documentation des configurations des routeurs

Exécutez la commande show run sur chaque routeur et capturez les configurations.

Tâche 10 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Page 97: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 30 sur 37

Annexe : installation de SDM

Diagramme de topologie

Scénario

Au cours de ces travaux pratiques, vous allez préparer l’accès au routeur via Cisco Security Device Manager (SDM), à l’aide de commandes de base, afin d’établir une connectivité entre SDM et le routeur. Vous installerez ensuite l’application SDM en local sur votre PC hôte. Enfin, vous installerez SDM dans la mémoire flash d’un routeur.

Étape 1 : préparation

Pour commencer ces travaux pratiques, supprimez toutes les configurations existantes et rechargez les périphériques. Une fois les périphériques rechargés, définissez les noms d'hôte appropriés. Vérifiez si le commutateur est correctement configuré, de sorte que le routeur et l’hôte soient situés sur le même réseau local virtuel. Par défaut, tous les ports du commutateur sont assignés au réseau local virtuel VLAN 1.

Assurez-vous que votre PC dispose de la configuration minimale requise pour la prise en charge de SDM. SDM peut être installé sur un PC exécutant l’un des systèmes d’exploitation suivants :

Microsoft Windows ME Microsoft Windows NT 4.0 Workstation avec Service Pack 4 Microsoft Windows XP Professionnel Microsoft Windows 2003 Server (Standard Edition) Microsoft Windows 2000 Professionnel avec Service Pack 4

Remarque : Windows 2000 Advanced Server n’est pas pris en charge.

En outre, un navigateur Web utilisant SUN JRE version 1.4 ou ultérieure, ou un navigateur ActiveX, doit être activé.

Étape 2 : préparation du routeur pour SDM

Pour commencer, créez, sur le routeur, un nom d’utilisateur et un mot de passe que vous utiliserez pour SDM. Cette connexion doit bénéficier d’un niveau de privilège défini sur 15, afin de permettre à SDM de modifier des paramètres de configuration sur le routeur.

R1(config)# username ciscosdm privilege 15 password 0 ciscosdm

L’accès HTTP au routeur doit être configuré pour permettre l’exécution de SDM. Si votre image le prend en charge (vous devez disposer d’une image IOS qui prend en charge la fonction de chiffrement), vous devez également activer un accès HTTPS sécurisé, à l’aide de la commande ip http secure-server. L’activation du protocole HTTPS se répercute sur les clés de chiffrement

Page 98: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 31 sur 37

RSA. Cela est normal. Assurez-vous également que le serveur HTTP utilise la base données locale lors du processus d’authentification.

R1(config)# ip http server

R1(config)# ip http secure-server

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

*Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled

*Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified.

Issue "write memory" to save new certificate

R1(config)# ip http authentication local

Pour terminer, configurez les lignes de terminal virtuel du routeur afin de procéder à l’authentification par l’intermédiaire de la base de données d’authentification locale. Autorisez l’entrée de lignes de terminal virtuel via les protocoles Telnet et SSH.

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config-line)# transport input telnet ssh

Étape 3 : configuration de l’adressage

Configurez l’interface Fast Ethernet sur le routeur, avec l’adresse IP indiquée sur le diagramme. Si vous avez déjà configuré l’adresse IP adéquate, ignorez cette étape.

R1(config)# interface fastethernet0/0

R1(config-if)# ip address 192.168.10.1 255.255.255.0

R1(config-if)# no shutdown

Attribuez ensuite une adresse IP au PC. Si le PC dispose déjà d’une adresse IP dans le même sous-réseau que le routeur, vous pouvez ignorer cette étape.

Exécutez une requête ping sur l’interface Ethernet de R1 depuis le PC. Vous devez recevoir des réponses. Dans le cas contraire, vérifiez le réseau local virtuel des ports de commutation, ainsi que l’adresse IP et le masque de sous-réseau de chaque périphérique connecté au commutateur.

Étape 4 : extraction de SDM sur l’hôte

À présent, le routeur est configuré pour être accessible à partir de SDM et la connectivité est établie entre le routeur et le PC. Vous pouvez dès lors configurer le routeur à l’aide de SDM. Vous devez commencer par l’extraction du fichier zip de SDM vers un répertoire de votre disque dur. Dans cet exemple, nous utilisons le répertoire « C:\sdm\ ». Vous pouvez bien entendu utiliser le chemin de votre choix.

Le logiciel SDM est quasiment prêt pour la configuration du routeur. La dernière étape consiste à l’installer sur le PC.

Étape 5 : installation de l’application SDM sur le PC

Double-cliquez sur le programme exécutable setup.exe pour ouvrir l’assistant d’installation. Une fois l’assistant affiché, cliquez sur Next. Acceptez les termes du contrat de licence, puis cliquez sur Next.

Page 99: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 32 sur 37

Sur l’écran suivant, choisissez un emplacement d’installation de SDM parmi les trois emplacements proposés.

Vous pouvez installer l’application SDM sur l’ordinateur, sans la placer dans la mémoire flash du routeur, vous pouvez l'installer sur le routeur sans affecter l’ordinateur ou vous pouvez l’installer à la fois sur le routeur et sur l'ordinateur. Ces différents types d’installation sont très similaires. Si vous ne souhaitez pas installer SDM sur votre ordinateur, passez directement à l’étape 7.

Sinon, cliquez sur This Computer, puis sur Next. Utilisez le répertoire de destination par défaut, puis cliquez à nouveau sur Next.

Cliquez sur Install pour démarrer l’installation.

Le logiciel procède à l’installation, puis une dernière boîte de dialogue vous invite à lancer SDM. Activez la case à cocher Launch Cisco SDM, puis cliquez sur Finish.

Étape 6 : exécution de SDM depuis l'ordinateur

Si vous avez activé l’option Launch Cisco SDM lors de l’étape 5, l’application SDM doit se lancer depuis le programme d’installation. Dans le cas contraire, ou si vous exécutez SDM sans l’avoir installé, cliquez sur l’icône Cisco SDM sur le bureau. La boîte de dialogue de démarrage de l’application SDM s’affiche. Renseignez l’adresse IP du routeur, indiquée dans le diagramme, en tant qu’adresse IP du périphérique. Si vous avez activé le serveur sécurisé HTTP lors de l’étape 2, activez la case à cocher This device has HTTPS enabled and I want to use it.

Page 100: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 33 sur 37

Cliquez sur Yes lorsque le message d’avertissement de sécurité s’affiche. Sachez qu’au début, Internet Explorer peut bloquer l’application SDM. Vous devez alors l’autoriser ou modifier les paramètres de sécurité d’Internet Explorer pour pouvoir l’utiliser. Selon la version d’Internet Explorer que vous utilisez, l’un de ces paramètres est tout particulièrement important pour exécuter SDM en local. Ce paramètre se trouve dans le menu Outils, sous Options Internet. Cliquez sur l’onglet Avancé, puis sous l’en-tête Sécurité, activez la case à cocher Autoriser le contenu actif à s’exécuter dans les fichiers de la zone Ordinateur local.

Entrez le nom d’utilisateur et le mot de passe que vous avez créés auparavant.

Vous pouvez être amené à accepter un certificat provenant de ce routeur. Pour continuer, acceptez le certificat. Entrez ensuite le nom d’utilisateur et le mot de passe du routeur, puis cliquez sur Yes.

Page 101: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 34 sur 37

SDM procède à la lecture de la configuration à partir du routeur. Si la configuration ne présente aucune erreur, vous pourrez accéder au tableau de bord de l’application de SDM. Si la configuration affichée vous semble correcte, cela signifie que vous avez réussi à configurer SDM et à vous y connecter. Les informations affichées peuvent varier en fonction de la version de SDM utilisée.

Étape 7 : installation de SDM sur le routeur

Effectuez les instructions de l’étape 6 jusqu’à ce que l’invite présentée dans la figure suivante s’affiche. Lorsque cette fenêtre s’affiche, cliquez sur Cisco Router pour installer SDM dans la mémoire flash du routeur. Si vous ne souhaitez pas installer SDM dans la mémoire flash du routeur, ou si l’espace disponible en mémoire flash est insuffisant, n’essayez pas d’installer SDM sur le routeur.

Entrez les informations relatives au routeur afin de permettre au programme d’installation d’installer SDM sur le routeur et d’y accéder à distance.

Page 102: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 35 sur 37

Cisco SDM se connecte au routeur. Certains messages consignés dans la console peuvent s’afficher. Cela est normal.

Jan 14 16:15:26.367: %SYS-5-CONFIG_I: Configured from console by

ciscosdm on vty0 (192.168.10.50)

Choisissez Typical comme type d’installation, puis cliquez sur Next. Conservez les options d’installation par défaut, puis cliquez sur Next.

Page 103: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 36 sur 37

Cliquez enfin sur Install pour lancer le processus d’installation. Au cours de l’installation, d’autres messages peuvent être consignés dans la console. Le processus d’installation peut prendre un certain temps (observez les horodatages affichés sur la sortie de la console pour estimer la durée du processus sur un Cisco 2811). La durée du processus varie selon le modèle du routeur.

Jan 14 16:19:40.795: %SYS-5-CONFIG_I: Configured from console by

ciscosdm on vty0 (192.168.10.50)

À la fin de l’installation, vous êtes invité à lancer SDM sur le routeur. Avant d’effectuer cette opération, accédez à la console et exécutez la commande show flash:. Notez tous les fichiers stockés par SDM dans la mémoire flash. Avant l’installation, le premier fichier, c’est-à-dire l’image IOS, était le seul répertorié.

R1# show flash:

CompactFlash directory:

File Length Name/status

1 38523272 c2800nm-advipservicesk9-mz.124-9.T1.bin

2 1038 home.shtml

3 1823 sdmconfig-2811.cfg

4 102400 home.tar

5 491213 128MB.sdf

6 1053184 common.tar

7 4753408 sdm.tar

8 1684577 securedesktop-ios-3.1.1.27-k9.pkg

9 398305 sslclient-win-1.1.0.154.pkg

10 839680 es.tar

[47849552 bytes used, 16375724 available, 64225276 total]

62720K bytes of ATA CompactFlash (Read/Write)

Page 104: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.1 : configuration de base de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 37 sur 37

Étape 8 : exécution de l’application SDM à partir du routeur

Ouvrez Internet Explorer et accédez à l’adresse URL « https://<IP address>/ » ou « http://<IP address>/ », selon que vous avez ou non activé le serveur sécurisé HTTP au cours de l’étape 2. Lorsque vous êtes invité à accepter le certificat, cliquez sur Yes.

Ignorez les avertissements liés à la sécurité et cliquez sur Run.

Entrez le nom d’utilisateur et le mot de passe que vous avez configurés au cours de l’étape 2.

SDM procède à la lecture de la configuration à partir du routeur.

Une fois le chargement de la configuration actuelle du routeur terminé, la page d’accueil de Cisco SDM s’affiche. Si la configuration affichée vous semble correcte, cela signifie que vous avez réussi à configurer SDM et à vous y connecter. Les informations affichées peuvent être différentes de celles qui figurent dans l’illustration suivante, selon le numéro de modèle du routeur, la version de l’IOS, etc.

Page 105: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 4

Travaux pratiques 4.6.2 : configuration avancée de la sécurité

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de

sous-réseau Passerelle par défaut

R1 Fa0/1 192.168.10.1 255.255.255.0 N/D

S0/0/1 10.1.1.1 255.255.255.252 N/D

R2

Fa0/1 192.168.20.1 255.255.255.0 N/D

S0/0/1 10.2.2.1 255.255.255.252 N/D

Lo0 209.165.200.225 255.255.255.224 N/D

R3

Fa0/1 192.168.30.1 255.255.255.0 N/D

S0/0/1 10.2.2.2 255.255.255.252 N/D

S0/0/0 10.1.1.2 255.255.255.252 N/D

Comm1 VLAN10 192.168.10.2 255.255.255.0 N/D

Comm3 VLAN30 192.168.30.2 255.255.255.0 N/D

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1 PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur TFTP Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Page 106: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.2 : configuration avancée de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 4

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Exécuter les tâches de configuration de base d’un routeur Configurer et activer des interfaces Configurer la sécurité de base des ports Désactiver les services et interfaces Cisco inutilisés Protéger les réseaux d'entreprise contre des principales attaques externes et internes Comprendre et gérer les fichiers de configuration Cisco IOS ainsi que le système de fichiers Cisco Configurer et utiliser Cisco SDM (Security Device Manager) pour définir la sécurité de base

d’un routeur

Scénario

Au cours de ces travaux pratiques, vous apprendrez à configurer la sécurité au moyen du réseau indiqué dans le diagramme de topologie. Si vous rencontrez des difficultés, reportez-vous aux travaux pratiques sur la sécurité de base. Essayez cependant de travailler en parfaite autonomie. Dans le cadre de cet exercice, n’activez pas la protection par mot de passe et évitez de vous connecter aux lignes de console, afin d’éviter toute déconnexion accidentelle. Vous devez toutefois sécuriser la ligne de console par d’autres moyens. Dans ces travaux pratiques, le mot de passe à utiliser est ciscoccna.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : exécution des configurations de routeur de base

Étape 1 : configuration des routeurs

Configurez les routeurs R1, R2 et R3 conformément aux instructions suivantes :

Configurez le nom d'hôte du routeur conformément au diagramme de topologie.

Désactivez la recherche DNS.

Configurez une bannière de message du jour.

Configurez les adresses IP sur les interfaces des routeurs R1, R2 et R3.

Activez le protocole RIPv2 sur tous les routeurs de tous les réseaux.

Créez une interface de bouclage sur R2 afin de simuler une connexion Internet. Créez des réseaux locaux virtuels sur les commutateurs Comm1 et Comm3, puis configurez

les interfaces à intégrer aux réseaux locaux virtuels.

Configurez le routeur R3 afin d’assurer une connectivité sécurisée SDM.

Installez SDM sur PC3 ou R3, si ce n’est déjà fait.

Page 107: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.2 : configuration avancée de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 4

Étape 2 : configuration des interfaces Ethernet

Configurez les interfaces Ethernet de PC1, PC3 et du serveur TFTP à l’aide des adresses IP et des passerelles par défaut figurant dans la table d’adressage fournie au début de ces travaux pratiques.

Étape 3 : test de la configuration du PC via l’envoi d’une requête ping à la passerelle par défaut de chaque PC et du serveur TFPT

Tâche 3 : sécurisation de l’accès aux routeurs

Étape 1 : configuration d’une authentification AAA et de mots de passe sécurisés à l'aide d'une base de données locale

Créez un mot de passe sécurisé pour l’accès au routeur. Créez le nom d’utilisateur ccna, à stocker localement sur le routeur. Configurez le routeur de manière à utiliser la base de données d’authentification locale. Dans ces travaux pratiques, pensez à utiliser le mot de passe ciscoccna.

Étape 2 : sécurisation de la console et des lignes vty

Configurez la console, ainsi que les lignes vty, de manière à refuser l’accès aux utilisateurs saisissant un mot de passe et un nom d’utilisateur incorrects, et ce à deux reprises en l’espace de 2 minutes. Bloquez toute tentative de connexion supplémentaire pendant 5 minutes.

Étape 3 : vérification du refus des tentatives de connexion, une fois le nombre maximal de tentatives autorisé atteint

Tâche 4 : sécurisation de l’accès au réseau

Étape 1 : sécurisation du protocole de routage RIP

N’envoyez pas de mises à jour RIP aux routeurs non tributaires du réseau (tous les routeurs non mentionnés dans ce scénario). Authentifiez les mises à jour RIP et cryptez-les.

Étape 2 : vérification du fonctionnement du routage RIP

Tâche 5 : consignation des activités via le protocole SNMP (Simple Network Management Protocol)

Étape 1 : configuration de la connexion SNMP au serveur syslog via l'adresse 192.168.10.250 sur tous les périphériques

Étape 2 : consignation de tous les messages avec un niveau de gravité 4 sur le serveur syslog

Tâche 6 : désactivation des services réseau Cisco inutilisés

Étape 1 : désactivation des interfaces inutilisées de tous les périphériques

Étape 2 : désactivation des services globaux inutilisés sur R1

Étape 3 : désactivation des services d’interface inutilisés sur R1

Étape 4 : utilisation de la fonction AutoSecure pour sécuriser R2

Dans ces travaux pratiques, pensez à utiliser le mot de passe ciscoccna.

Page 108: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.2 : configuration avancée de la sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 4

Tâche 7 : gestion de Cisco IOS et des fichiers de configuration

Étape 1 : identification de l’emplacement du fichier running-config dans la mémoire du routeur

Étape 2 : transfert du fichier running-config de R1 vers R2 via le serveur TFTP

Étape 3 : interruption et restauration de R1 via ROMmon

Copiez, puis collez, les commandes suivantes sur R1. Restaurez R1 ensuite, via ROMmon.

line vty 0 4

exec-timeout 0 20

line console 0 exec-timeout 0 20

end

copy run start

exit

Étape 4 : depuis R2, restauration de la configuration enregistrée dans R1, via le serveur TFTP

Étape 5 : suppression de la configuration enregistrée depuis R2

Tâche 8 : sécurisation de R2 via SDM

Étape 1 : connexion à R2 via PC1

Étape 2 : accès à la fonction d'audit de sécurité

Étape 3 : exécution d’un audit de sécurité

Étape 4 : définition des paramètres à appliquer au routeur

Étape 5 : validation de la configuration du routeur

Tâche 9 : documentation des configurations des routeurs

Exécutez la commande show run sur chaque routeur et capturez les configurations.

Tâche 10 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Page 109: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 9

Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de

sous-réseau Passerelle par défaut

R1 Fa0/1 192.168.10.1 255.255.255.0 N/D S0/0/1 10.1.1.1 255.255.255.252 N/D

R2 Fa0/1 192.168.20.1 255.255.255.0 N/D S0/0/1 10.2.2.1 255.255.255.252 N/D

Lo0 209.165.200.225 255.255.255.224 N/D

R3 Fa0/1 192.168.30.1 255.255.255.0 N/D S0/0/1 10.2.2.2 255.255.255.252 N/D S0/0/0 10.1.1.2 255.255.255.252 N/D

Comm1 VLAN10 192.168.10.2 255.255.255.0 N/D Comm3 VLAN30 192.168.30.2 255.255.255.0 N/D

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1 PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur TFTP Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Page 110: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 9

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et réinitialiser tous les routeurs dans leur état par défaut Charger les routeurs avec les scripts fournis Identifier et corriger toutes les erreurs réseau Documenter le réseau corrigé

Scénario

Votre entreprise vient d’engager un nouvel ingénieur réseau qui a créé des problèmes de sécurité au niveau du réseau du fait d’erreurs de configuration et d’omissions. Votre responsable vous demande de corriger les erreurs commises par le nouvel ingénieur lors de la configuration des routeurs. Lorsque vous corrigez les erreurs, vérifiez que tous les périphériques sont bien sécurisés, et veillez à ce que ces périphériques et les réseaux restent accessibles aux administrateurs. Tous les routeurs doivent être accessibles via l’application SDM depuis PC1. Pour vérifier qu’un périphérique est sécurisé, utilisez des outils appropriés tels que Telnet et la commande ping. Toute utilisation non autorisée de ces outils devra être bloquée, mais assurez-vous également qu'une utilisation autorisée de ces outils soit possible. Dans le cadre de cet exercice, n’utilisez pas de protection par nom d’utilisateur ou mot de passe sur les lignes de console, afin d’empêcher tout verrouillage accidentel. Dans ce scénario, utilisez ciscoccna pour tous les mots de passe.

Tâche 1 : chargement des routeurs avec les scripts fournis

Chargez les configurations suivantes dans les périphériques de la topologie. R1 : no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 10 log

security passwords min-length 6

enable secret ciscoccna

!

aaa new-model

!

aaa authentication login LOCAL_AUTH local

!

aaa session-id common

!

resource policy

!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

Page 111: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 9

mmi snmp-timeout 180

ip subnet-zero

no ip source-route

no ip gratuitous-arps

ip cef

!

no ip dhcp use vrf connected

!

no ip bootp server

!

key chain RIP_KEY

key 1

key-string cisco

username ccna password ciscoccna

!

interface FastEthernet0/0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no shutdown duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.10.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

duplex auto

speed auto

no shutdown

!

!

interface Serial0/0/0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no shutdown

no fair-queue

clockrate 125000

!

interface Serial0/0/1

ip address 10.1.1.1 255.255.255.252

no ip redirects

no ip unreachables

no ip proxy-arp

no shutdown

!

interface Serial0/1/0

no ip address

no ip redirects

no ip unreachables

Page 112: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 9

no ip proxy-arp

no shutdown

clockrate 2000000

!

interface Serial0/1/1

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no shutdown

!

router rip

version 2

passive-interface default

no passive-interface Serial0/0/0

network 10.0.0.0

network 192.168.10.0

no auto-summary

!

ip classless

!

no ip http server

!

logging 192.168.10.150

no cdp run !

line con 0

exec-timeout 5 0

logging synchronous

transport output telnet

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 5 0

logging synchronous

login authentication local_auth

!

end

R2 : no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

!

hostname R2

!

security authentication failure rate 10 log

security passwords min-length 6

!

aaa new-model

!

Page 113: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 9

aaa authentication login local_auth local

!

aaa session-id common

!

resource policy

!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

no ip source-route

no ip gratuitous-arps

ip cef

!

no ip dhcp use vrf connected

!

no ip bootp server

!

!

username ccna password ciscoccna

!

!

interface FastEthernet0/0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.20.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

duplex auto

speed auto

no shutdown

!

interface Serial0/0/0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

shutdown

no fair-queue

!

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252

no ip redirects

Page 114: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 9

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

clockrate 128000

no shutdown

!

interface Serial0/1/0

ip address 209.165.200.224 255.255.255.224

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

no shutdown

!

interface Serial0/1/1

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

shutdown

clockrate 2000000

!

router rip

version 2

no passive-interface Serial0/0/1

network 10.0.0.0

network 192.168.20.0

no auto-summary

!

ip classless

!

no ip http server

!

logging trap debugging

logging 192.168.10.150

!

line con 0

exec-timeout 5 0

logging synchronous

transport output telnet

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 0 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

Page 115: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 9

R3 : no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname R3

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 10 log

security passwords min-length 6

enable secret ciscoccna

!

aaa new-model

!

aaa authentication login local_auth local

!

aaa session-id common

!

resource policy

!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero

no ip source-route

no ip gratuitous-arps

ip cef

!

!

no ip dhcp use vrf connected

!

no ip bootp server

!

key chain RIP_KEY

key 1

key-string Cisco

!

interface FastEthernet0/0

no ip address

no ip redirects

no ip proxy-arp

no ip directed-broadcast

duplex auto

speed auto

shutdown

!

interface FastEthernet0/1

ip address 192.168.30.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

Page 116: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 9

no shutdown

duplex auto

speed auto

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.252

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

clockrate 125000

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

no ip redirects

no ip unreachables

no ip proxy-arp

no ip directed-broadcast

!

router rip

version 2

passive-interface default

passive-interface Serial0/0/0

passive-interface Serial0/0/1

network 10.0.0.0

network 192.168.30.0

no auto-summary

!

ip classless

!

no ip http server

!

logging trap debugging

logging 192.168.10.150

no cdp run

!

control-plane

!

line con 0

exec-timeout 5 0

logging synchronous

transport output telnet

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

Page 117: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : sécurité d’un réseau d’entreprise Travaux pratiques 4.6.3 : dépannage de la configuration de sécurité

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 9

Tâche 2 : détection et correction de toutes les erreurs réseau

En utilisant les méthodes de dépannage standard, recherchez, documentez et corrigez les erreurs.

Remarque : lorsque vous dépannez un réseau de production défaillant, sachez que de petites erreurs peuvent être à l’origine de dysfonctionnements. Vérifiez en premier lieu l’orthographe et la casse des mots de passe, des clés et des noms de chaînes de clés, ainsi que des noms de listes d’authentification. Les défaillances sont souvent dues au non-respect d’une casse ou à un terme mal orthographié. La méthode recommandée consiste à commencer par les étapes de base avant de procéder aux étapes suivantes. Vérifiez d’abord si les noms et les clés correspondent. Ensuite, si la configuration utilise une liste ou une chaîne de clés, vérifiez si l’élément référencé existe réellement et s’il est le même sur tous les périphériques. Pour garantir que la configuration est exactement la même, il est recommandé d’effectuer cette configuration une première fois sur un périphérique, puis de la copier et de la coller dans l’autre périphérique. En outre, lorsque vous envisagez de désactiver ou de limiter des services, déterminez à quoi servent ces services et s'ils sont nécessaires. Déterminez également les informations que le routeur doit envoyer, ainsi que les personnes qui doivent les recevoir et celles qui ne doivent pas les recevoir. Enfin, définissez les opérations que les utilisateurs peuvent effectuer grâce à ces services, et si vous souhaitez les autoriser à effectuer ces opérations. En règle générale, vous devez prendre les mesures nécessaires afin d’éviter tout abus d’un service.

Tâche 3 : documentation du réseau corrigé

Tâche 4 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Page 118: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 11

Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

Passerelle par défaut

R1 Fa0/0 192.168.10.1 255.255.255.0

Fa0/1 192.168.11.1 255.255.255.0

S0/0/0 10.1.1.1 255.255.255.252

R2

Fa0/1 192.168.20.1 255.255.255.0

S0/0/0 10.1.1.2 255.255.255.252

S0/0/1 10.2.2.1 255.255.255.252

Lo0 209.165.200.225 255.255.255.224

R3 Fa0/1 192.168.30.1 255.255.255.0

S0/0/1 10.2.2.2 255.255.255.252

Comm1 Vlan1 192.168.10.2 255.255.255.0 192.168.10.1

Page 119: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 11

Comm2 Vlan1 192.168.11.2 255.255.255.0 192.168.11.1

Comm3 Vlan1 192.168.30.2 255.255.255.0 192.168.30.1

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1

PC2 Carte réseau 192.168.11.10 255.255.255.0 192.168.11.1

PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur Web Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Concevoir des listes de contrôle d’accès nommées standard et étendues Appliquer des listes de contrôle d’accès nommées standard et étendues Tester des listes de contrôle d’accès nommées standard et étendues Résoudre les problèmes liés aux listes de contrôle d’accès nommées standard et étendues

Scénario

Dans le cadre de ces travaux pratiques, vous apprendrez à configurer la sécurité d’un réseau de base à l’aide des listes de contrôle d’accès. Vous appliquerez des listes de contrôles d'accès standard et étendues.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Vous pouvez utiliser n’importe quel routeur disponible durant les travaux pratiques, pourvu qu’il dispose des interfaces requises, comme illustré sur le diagramme de topologie. Remarque : ces travaux pratiques ont été développés et testés à l’aide de routeurs 1841. Si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparaîtront différemment. Certaines commandes peuvent être différentes ou ne pas exister sur d’anciens routeurs ou des versions du système IOS antérieures à la version 12.4.

Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : exécution des configurations de routeur de base

Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en respectant les consignes suivantes :

Configurez le nom d'hôte du routeur conformément au diagramme de topologie.

Désactivez la recherche DNS.

Configurez un mot de passe class pour le mode d’exécution privilégié. Configurez une bannière de message du jour.

Configurez un mot de passe cisco pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Page 120: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 11

Configurez des adresses IP et des masques sur tous les périphériques.

Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les réseaux. Configurez une interface en mode bouclé sur R2 pour simuler le FAI.

Configurez des adresses IP pour l’interface VLAN 1 sur chaque commutateur.

Configurez chaque commutateur avec la passerelle par défaut appropriée.

Vérifiez l'intégralité de la connectivité IP à l’aide de la commande ping.

Tâche 3 : configuration d’une liste de contrôle d’accès standard

Les listes de contrôle d’accès standard ne peuvent filtrer le trafic qu’en fonction de l’adresse IP source. Il est généralement recommandé de configurer une liste de contrôle d’accès standard aussi proche que possible de la destination. Dans cette tâche, vous allez configurer une liste de contrôle d’accès standard. La liste de contrôle d’accès est conçue pour bloquer le trafic provenant du réseau 192.168.11.0/24 correspondant à la salle de travaux pratiques des participants, et ce afin de l’empêcher d’accéder à des réseaux locaux sur R3.

Cette liste est appliquée en entrée, sur l’interface série de R3. N’oubliez pas que chaque liste de contrôle d’accès comporte une instruction « deny all » implicite. Cette dernière bloque tous les trafics qui ne correspondent à aucune instruction de la liste. C’est la raison pour laquelle il est nécessaire d'ajouter l’instruction permit any à la fin de la liste.

Avant de configurer et d’appliquer cette liste, veillez à vérifier la connectivité depuis PC1 (ou l’interface Fa0/1 sur R1) vers PC3 (ou l’interface Fa0/1 sur R3). Les tests de connectivité doivent aboutir avant d’appliquer cette liste.

Étape 1 : création de la liste de contrôle d’accès sur le routeur R3

En mode de configuration globale, créez une liste de contrôle d’accès standard nommée STND-1. R3(config)#ip access-list standard STND-1

En mode de configuration de liste de contrôle d’accès standard, ajoutez une instruction chargée de refuser tous les paquets dont l’adresse source est 192.168.11.0/24 et d’ajouter un message dans la console pour chaque paquet correspondant.

R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log

Autorisez le reste du trafic. R3(config-std-nacl)#permit any

Étape 2 : application de la liste de contrôle d’accès

Appliquez la liste de contrôle d’accès STND-1 pour filtrer les paquets entrant dans R3, par le biais de l’interface série 0/0/1.

R3(config)#interface serial 0/0/1

R3(config-if)#ip access-group STND-1 in

R3(config-if)#end

R3#copy run start

Page 121: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 11

Étape 3 : test de la liste de contrôle d’accès

Avant de tester la liste de contrôle d’accès, assurez-vous que la console de R3 est visible. De cette manière, vous pouvez visualiser les messages du journal de la liste d’accès lorsque le paquet est refusé.

Vérifiez la liste de contrôle d’accès en envoyant une requête ping vers le PC3 à partir du PC2. La liste de contrôle d’accès étant conçue pour bloquer le trafic dont l’adresse source fait partie du réseau 192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requêtes ping vers le PC3.

Vous pouvez également utiliser une commande ping étendue à partir de l’interface Fa0/1 sur R1, vers l’interface Fa0/1 sur R3.

R1#ping ip

Target IP address: 192.168.30.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 192.168.11.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.11.1

U.U.U

Success rate is 0 percent (0/5)

Le message suivant doit s’afficher sur la console de R3 :

*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0

0.0.0.0 -> 192.168.11.1, 1 packet

En mode d’exécution privilégié sur R3, lancez la commande show access-lists. Une sortie similaire à la suivante s’affiche. Chaque ligne d’une liste de contrôle d’accès possède un compteur associé, qui affiche le nombre de paquets correspondants à la règle.

Standard IP access list STND-1

10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)

20 permit any (25 matches)

L’objectif de cette liste était de bloquer les hôtes du réseau 192.168.11.0/24. Tous les autres hôtes, notamment ceux du réseau 192.168.10.0/24, doivent être autorisés à accéder aux réseaux sur R3. Effectuez un autre test depuis PC1 vers PC3 pour vérifier que ce trafic n’est pas bloqué.

Vous pouvez également utiliser une commande ping étendue à partir de l’interface Fa0/0 sur R1, vers l’interface Fa0/1 sur R3.

R1#ping ip

Target IP address: 192.168.30.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 192.168.10.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Page 122: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 11

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.10.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms

Tâche 4 : configuration d’une liste de contrôle d’accès étendue

Lorsque vous souhaitez bénéficier d’un contrôle plus précis, vous pouvez utiliser une liste de contrôle d’accès étendue. Les listes de contrôle d’accès étendues peuvent filtrer le trafic en fonction d’autres critères que l’adresse source. Ainsi, le filtrage peut être basé sur le protocole, l’adresse IP source, l’adresse IP de destination, le numéro de port source et le numéro de port de destination.

Une autre stratégie mise en place pour ce réseau indique que les périphériques du réseau local 192.168.10.0/24 ne peuvent accéder qu’aux réseaux internes. Les ordinateurs de ce réseau local ne sont pas autorisés à accéder à Internet. Par conséquent, ces utilisateurs ne doivent pas pouvoir accéder à l’adresse IP 209.165.200.225. Cette exigence s’appliquant à la source et à la destination, il est nécessaire d’utiliser une liste de contrôle d’accès étendue.

Cette tâche consiste à configurer une liste de contrôle d’accès étendue sur R1, qui sera chargée d’empêcher le trafic en provenance d’un périphérique du réseau 192.168.10.0 /24 d’accéder à l’hôte 209.165.200.255 (l’ISP simulé). Cette liste de contrôle d’accès sera appliquée en sortie de l’interface série 0/0/0 de R1. Pour appliquer de façon optimale des listes de contrôle d’accès étendues, il est conseillé de les placer aussi près que possible de la source.

Avant de commencer, vérifiez que vous pouvez envoyer une requête ping vers 209.165.200.225 depuis le PC1.

Étape 1 : configuration d’une liste de contrôle d’accès étendue nommée

En mode de configuration globale, créez une liste de contrôle d’accès étendue nommée EXTEND-1. R1(config)#ip access-list extended EXTEND-1

Vous remarquerez que l’invite du routeur change pour indiquer que le routeur est à présent en mode de configuration de liste de contrôle d’accès étendue. À partir de cette invite, ajoutez les instructions nécessaires pour bloquer le trafic provenant du réseau 192.168.10.0 /24 à destination de l’hôte. Utilisez le mot clé host lors de la définition de la destination.

R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

N’oubliez pas que l’instruction implicite « deny all » bloque l’ensemble du trafic si vous n’ajoutez pas d’instruction permit supplémentaire. Ajoutez l’instruction permit pour vous assurer que d’autres trafics ne sont pas bloqués.

R1(config-ext-nacl)#permit ip any any

Étape 2 : application de la liste de contrôle d’accès

Dans le cas de listes de contrôle d’accès standard, la meilleure solution consiste à placer la liste aussi près que possible de la destination. En revanche, les listes de contrôle d’accès étendues sont souvent placées près de la source. La liste EXTEND-1 sera placée sur l’interface série et filtrera le trafic sortant.

R1(config)#interface serial 0/0/0

R1(config-if)#ip access-group EXTEND-1 out log

R1(config-if)#end

R1#copy run start

Page 123: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 11

Étape 3 : test de la liste de contrôle d’accès

À partir de PC1, envoyez une requête ping à l’interface de bouclage du routeur R2. Ces tests doivent échouer, car l’ensemble du trafic provenant du réseau 192.168.10.0 /24 est filtré lorsque la destination est 209.165.200.225. Si la destination correspond à une autre adresse, les envois de requêtes ping doivent aboutir. Pour le vérifier, envoyez des requêtes ping vers R3 à partir d’un périphérique du réseau 192.168.10.0/24.

Remarque : la fonctionnalité de la commande ping étendue sur R1 ne peut pas être utilisée pour tester cette liste de contrôle d’accès car le trafic est issu de R1 et n’est jamais testé sur la liste de contrôle d’accès appliquée à l’interface série R1.

Vous pouvez effectuer une vérification approfondie en entrant la commande show ip access-list sur R1 après l’envoi de la requête ping.

R1#show ip access-list

Extended IP access list EXTEND-1

10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)

20 permit ip any any

Tâche 5 : contrôle de l’accès aux lignes vty par le biais d’une liste de contrôle d’accès standard

Il est généralement conseillé de restreindre l’accès aux lignes vty du routeur pour l’administration à distance. Une liste de contrôle d’accès peut être appliquée aux lignes vty afin de limiter l’accès à des hôtes ou des réseaux spécifiques. Cette tâche consiste à configurer une liste de contrôle d’accès standard autorisant les hôtes de deux réseaux à accéder aux lignes vty. Les autres hôtes se voient refuser l’accès. Vérifiez que vous pouvez établir un accès Telnet vers R2 à partir de R1 et de R3.

Étape 1 : configuration de la liste de contrôle d’accès. Configurez une liste de contrôle d’accès standard nommée sur R2 pour autoriser le trafic provenant des réseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez à la liste de contrôle d’accès le nom Task-5.

R2(config)#ip access-list standard TASK-5

R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3

R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255

Étape 2 : application de la liste de contrôle d’accès

Accédez au mode de configuration de ligne pour les lignes vty 0 à 4. R2(config)#line vty 0 4

Utilisez la commande access-class pour appliquer la liste de contrôle d’accès aux lignes vty , dans le sens entrant. Vous remarquerez que cette commande diffère de la commande utilisée pour appliquer des listes de contrôle d’accès aux autres interfaces.

R2(config-line)#access-class TASK-5 in

R2(config-line)#end

R2#copy run start

Page 124: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 11

Étape 3 : test de la liste de contrôle d’accès

Établissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas d’adresse IP présente dans la plage d’adresses répertoriée dans les instructions d’autorisation de la liste de contrôle d’accès TASK-5. Les tentatives de connexion sont censées échouer.

R1# telnet 10.1.1.2

Trying 10.1.1.2 …

% Connection refused by remote host

Établissez une connexion Telnet avec R2 depuis R3. Vous êtes alors invité à entrer le mot de passe des lignes vty.

R3# telnet 10.1.1.2

Trying 10.1.1.2 … Open

CUnauthorized access strictly prohibited, violators will be prosecuted

to the full extent of the law.

User Access Verification

Password:

Pourquoi les tentatives de connexion à partir d’autres réseaux échouent-elles alors que ces réseaux ne sont pas explicitement répertoriés dans la liste de contrôle d’accès ?

_________________________________________________________________________________

_________________________________________________________________________________

Tâche 6 : dépannage des listes de contrôle d’accès

Lorsqu’une liste de contrôle d’accès est mal configurée, appliquée à une interface inadéquate ou dans un sens incorrect, le trafic réseau peut être affecté de manière imprévisible.

Étape 1 : suppression d’une liste de contrôle d’accès STND-1 à partir de S0/0/1 de R3

Vous avez précédemment créé et appliqué une liste de contrôle d’accès standard nommée sur R3. Utilisez la commande show running-config pour afficher la liste de contrôle d’accès et sa position. Vous devriez remarquer qu’une liste de contrôle d’accès appelée STND-1 a été configurée et appliquée en entrée de l’interface série 0/0/1. Souvenez-vous que cette liste a été conçue pour empêcher l’ensemble du trafic dont l’adresse source provient du réseau 192.168.11.0/24 d’accéder au réseau local de R3. Pour supprimer la liste de contrôle d’accès, accédez au mode de configuration d’interface de l’interface série 0/0/1 de R3. Utilisez la commande no ip access-group STND-1 in pour supprimer la liste de contrôle d’accès de l’interface.

R3(config)#interface serial 0/0/1

R3(config-if)#no ip access-group STND-1 in

Utilisez la commande show running-config pour vérifier que la liste de contrôle d’accès a bien été supprimée de l’interface série 0/0/1.

Étape 2 : application de la liste de contrôle d’accès STND-1 en sortie de l’interface S0/0/1

Pour comprendre l’importance du sens de filtrage des listes de contrôle d’accès, appliquez à nouveau la liste STND-1 à l’interface série 0/0/1. Cette fois, la liste de contrôle d’accès filtrera le trafic sortant et non le trafic entrant. Pensez à utiliser le mot clé out lors de l’application de la liste de contrôle d’accès.

R3(config)#interface serial 0/0/1

R3(config-if)#ip access-group STND-1 out

Page 125: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 11

Étape 3 : test de la liste de contrôle d’accès

Vérifiez la liste de contrôle d’accès en envoyant une requête ping vers le PC3 à partir du PC2. Vous pouvez également envoyer une requête ping étendue à partir de R1. Vous remarquerez que cette fois, l’envoi de requêtes ping aboutit et que les compteurs de la liste de contrôle d’accès ne sont pas modifiés. Pour le vérifier, entrez la commande show ip access-list sur R3.

Étape 4 : restauration de la configuration d’origine de la liste de contrôle d’accès

Supprimez la liste de contrôle d’accès appliquée en sortie et appliquez-la à nouveau en entrée. R3(config)#interface serial 0/0/1

R3(config-if)#no ip access-group STND-1 out

R3(config-if)#ip access-group STND-1 in

Étape 5 : application de la tâche TASK-5 à l’interface série Serial 0/0/0 d’entrée de R2

R2(config)#interface serial 0/0/0

R2(config-if)#ip access-group TASK-5 in

Étape 6 : test de la liste de contrôle d’accès

À partir de R1 ou des réseaux qui y sont connectés, essayez de communiquer avec un périphérique connecté à R2 ou R3. Vous remarquerez que toutes les communications sont bloquées, mais que cette fois les compteurs de liste de contrôle d’accès ne sont pas incrémentés. Cela est dû à la présence d’une instruction « deny all » (refuser tout) implicite à la fin de chaque liste de contrôle d’accès. Cette instruction « deny » bloque tous les trafics entrants de l’interface série Serial 0/0/0 provenant d’une autre source que R3. Cela a pour principale conséquence que les routes provenant de R1 seront supprimées de la table de routage. Les messages similaires à ce qui suit doivent s’afficher sur les consoles de R1 et R2. Notez que la désactivation de la relation de voisinage du protocole OSPF peut prendre un certain temps.

*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1

on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired

Lorsque vous recevez ce message, exécutez la commande show ip route sur R1 et R2 pour afficher les routes ayant été supprimées de la table de routage.

Supprimez la liste de contrôle d’accès TASK-5 de l’interface, puis enregistrez vos configurations. R2(config)#interface serial 0/0/0

R2(config-if)#no ip access-group TASK-5 in

R2(config)#exit

R2#copy run start

Page 126: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 11

Tâche 7 : documentation des configurations des routeurs

Configurations Routeur 1

hostname R1

!

enable secret class

!

no ip domain lookup

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

no shutdown

!

interface FastEthernet0/1

ip address 192.168.11.1 255.255.255.0

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

ip access-group EXTEND-1 out

clockrate 64000

no shutdown

!

router ospf 1

network 10.1.1.0 0.0.0.3 area 0

network 192.168.10.0 0.0.0.255 area 0

network 192.168.11.0 0.0.0.255 area 0

!

ip access-list extended EXTEND-1

deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

permit ip any any

!

banner motd ^CUnauthorized access strictly prohibited, violators will be

prosecuted to the full extent of the law.^

!

line con 0

password cisco

logging synchronous

login

!

line vty 0 4

password cisco

login

!

Routeur 2

hostname R2

!

enable secret class

!

no ip domain lookup

!

Page 127: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 11

interface Loopback0

ip address 209.165.200.225 255.255.255.224

!

interface FastEthernet0/1

ip address 192.168.20.1 255.255.255.0

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.252

no shutdown

!

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252

clockrate 125000

no shutdown

!

router ospf 1

no auto-cost

network 10.1.1.0 0.0.0.3 area 0

network 10.2.2.0 0.0.0.3 area 0

network 192.168.20.0 0.0.0.255 area 0

network 209.165.200.224 0.0.0.31 area 0

!

ip access-list standard TASK-5

permit 10.2.2.0 0.0.0.3

permit 192.168.30.0 0.0.0.255

!

banner motd ^Unauthorized access strictly prohibited, violators will be

prosecuted to the full extent of the law.^

!

line con 0

password cisco

logging synchronous

login

!

line vty 0 4

access-class TASK-5 in

password cisco

login

!

Routeur 3

hostname R3

!

enable secret class

!

no ip domain lookup

!

interface FastEthernet0/1

ip address 192.168.30.1 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

ip access-group STND-1 out

no shutdown

Page 128: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 11

!

router ospf 1

network 10.0.0.0 0.255.255.255 area 0

network 192.168.30.0 0.0.0.255 area 0

!

ip access-list standard STND-1

deny 192.168.11.0 0.0.0.255 log

permit any

!

banner motd ^Unauthorized access strictly prohibited, violators will be

prosecuted to the full extent of the law.^

!

line con 0

password cisco

logging synchronous

login

!

line vty 0 4

password cisco

login

!

end

Tâche 8 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 129: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 3

Travaux pratiques 5.5.2 : exercice sur les listes de contrôle d’accès

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut

R1 S0/0/0 10.1.0.1 255.255.255.0

Fa0/1 10.1.1.254 255.255.255.0

R2 S0/0/0 10.1.0.2 255.255.255.0

S0/0/1 10.3.0.1 255.255.255.0

Lo 0 10.13.205.1 255.255.0.0

R3 S0/0/1 10.3.0.2 255.255.255.0

Fa0/1 10.3.1.254 255.255.255.0

PC 1 Carte réseau 10.1.1.1 255.255.255.0 10.1.1.254

PC 3 Carte réseau 10.3.1.1 255.255.255.0 10.3.1.254

Page 130: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : listes de contrôle d’accès Travaux pratiques 5.5.2 : exercice sur les listes de contrôle d’accès

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 3

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Concevoir des listes de contrôle d’accès nommées standard et étendues Appliquer des listes de contrôle d’accès nommées standard et étendues Tester des listes de contrôle d’accès nommées standard et étendues Résoudre les problèmes liés aux listes de contrôle d’accès nommées standard et étendues

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Vous pouvez utiliser n’importe quel routeur disponible durant les travaux pratiques, pourvu qu’il dispose des interfaces requises, comme illustré sur le diagramme de topologie.

Remarque : il est possible que les sorties du routeur ainsi que les descriptions d’interface paraissent différentes si vous utilisez un routeur de type 1700, 2500 ou 2600.

Étape 2 : suppression des configurations existantes sur les routeurs

Tâche 2 : exécution des configurations de base des routeurs

Configurez les routeurs R1, R2 et R3 conformément aux instructions suivantes :

Configurez le nom d’hôte du routeur.

Désactivez la recherche DNS.

Configurez un mot de passe pour le mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Configurez les adresses IP sur tous les périphériques.

Créez une interface de bouclage sur R2.

Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les réseaux.

Vérifiez l'intégralité de la connectivité IP à l’aide de la commande ping.

Tâche 3 : configuration de listes de contrôle d’accès standard

Configurez des listes de contrôle d’accès nommées standard sur les lignes vty de R1 et R3, de sorte que les hôtes directement connectés à leurs sous-réseaux FastEthernet puissent y accéder en Telnet. Refusez et consignez toute autre tentative de connexion. Documentez vos procédures de test.

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Page 131: Tout les TP CCNA4 - ennoncé

Exploration 4 Accès au réseau étendu : listes de contrôle d’accès Travaux pratiques 5.5.2 : exercice sur les listes de contrôle d’accès

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 3

Tâche 4 : configuration de listes de contrôle d’accès étendues

En utilisant les listes de contrôle d’accès étendues sur R2, suivez les instructions ci-dessous :

Les salles dans lesquelles les participants effectuent les travaux pratiques utilisent les réseaux locaux connectés à R1 et R3. L’administrateur réseau a remarqué que les participants s’amusaient à jouer en réseau avec d’autres participants distants via le réseau étendu. Assurez-vous que la liste de contrôle d’accès rend impossible l’accès au réseau local de R3 via le réseau local associé à R1, et vice versa. Soyez précis dans vos instructions afin de ne pas affecter tout nouveau réseau local associé à R1 ou R3.

Autorisez tout trafic OSPF.

Autorisez le trafic ICMP vers les interfaces locales de R2.

Tout trafic réseau à destination du port TCP 80 doit être autorisé. Tout autre trafic doit être refusé et consigné.

Tout type de trafic non spécifié ci-dessus doit être refusé.

Remarque : vous devrez peut-être utiliser plusieurs listes d’accès pour effectuer cette configuration. Vérifiez la configuration effectuée et documentez les procédures de test.

Pourquoi l’ordre des instructions concernant les listes d’accès s’avère-t-il important ? __________________________________________________________________________________

__________________________________________________________________________________

Tâche 5 : vérification d’une liste de contrôle d’accès

Testez chaque protocole auquel vous désirez refuser l’accès et assurez-vous que le trafic autorisé n’a, en revanche, aucune difficulté d’accès.

Tâche 6 : documentation des configurations des routeurs

Tâche 7 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 132: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 3

Travaux pratiques 5.5.3 : dépannage des listes de contrôle d’accès

Diagramme de topologie

Page 133: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 5.5.3 : Accès au réseau étendu : listes de contrôle d'accès dépannage des listes de contrôle d’accès

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 3

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut

R1 S0/0/0 10.1.0.1 255.255.255.0

Fa0/1 10.1.1.254 255.255.255.0

R2 S0/0/0 10.1.0.2 255.255.255.0

S0/0/1 10.3.0.5 255.255.255.0

Lo 0 10.13.205.1 255.255.0.0

R3 S0/0/1 10.3.0.6 255.255.255.0

Fa0/1 10.3.1.254 255.255.255.0

PC 1 Carte réseau 10.1.1.1 255.255.255.0 10.1.1.254

PC 3 Carte réseau 10.3.1.1 255.255.255.0 10.3.1.254

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Charger les routeurs avec les scripts fournis Détecter et corriger des erreurs réseau Documenter le réseau corrigé

Scénario

Vous travaillez pour un fournisseur de services régional dont les clients ont été récemment exposés à plusieurs violations de sécurité. Des mesures de sécurité ont été mises en œuvre, mais elles n’ont pas répondu aux besoins spécifiques des clients. Votre département a été chargé d’examiner la configuration, d’effectuer des tests et d’apporter les modifications requises pour sécuriser les routeurs des clients.

Assurez-vous que vos configurations finales respectent les stratégies de sécurité suivantes :

Les clients R1 et R3 exigent que seuls les PC locaux aient accès aux lignes vty. Consignez toutes les tentatives d’accès aux lignes vty effectuées au moyen d’autres périphériques.

L’envoi et la réception de trafic entre les réseaux directement connectés à R1 et R3 sont interdits. Tous les autres types de trafics à destination et en provenance de R1 et R3 sont autorisés.

Un nombre minimum d’instructions de listes de contrôle d’accès doit être utilisé et appliqué en entrée aux interfaces série R2. Le protocole OSPF permet de distribuer les informations de routage. Tous les mots de passe, à l’exception du mot de passe enable secret, sont définis sur cisco. Le mot de passe enable secret est défini sur class.

Tâche 1 : chargement des routeurs avec les scripts fournis

Instructor note: These commands can be loaded into the router by the instructor or by the students. They are not included in the student version of the lab.

Page 134: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 5.5.3 : Accès au réseau étendu : listes de contrôle d'accès dépannage des listes de contrôle d’accès

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 3

Tâche 2 : recherche et correction des erreurs sur le réseau

Identifiez et corrigez toutes les erreurs de configuration. Documentez les étapes du processus de dépannage du réseau et notez chaque erreur détectée.

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

Tâche 3 : documentation du réseau corrigé

Une fois que vous avez corrigé toutes les erreurs et testé la connectivité du réseau, documentez la configuration finale de chaque périphérique.

Tâche 4 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 135: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 14

Travaux pratiques 7.4.1 : configuration de base de DHCP et NAT

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

R1 S0/0/0 10.1.1.1 255.255.255.252

Fa0/0 192.168.10.1 255.255.255.0

Fa0/1 192.168.11.1 255.255.255.0

R2 S0/0/0 10.1.1.2 255.255.255.252

S0/0/1 209.165.200.225 255.255.255.252

Fa0/0 192.168.20.254 255.255.255.0

FAI S0/0/1 209.165.200.226 255.255.255.252

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Préparer le réseau Effectuer des configurations de routeur de base Configurer un serveur DHCP Cisco IOS Configurer le routage statique et le routage par défaut Configurer la fonction NAT statique Configurer la fonction NAT dynamique à l’aide d’un pool d’adresses Configurer la surcharge de la fonction NAT

Page 136: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 14

Scénario

Au cours de ces travaux pratiques, vous allez configurer les services DHCP et IP NAT. Un routeur joue le rôle de serveur DHCP. L’autre routeur transmet les requêtes DHCP au serveur. Vous apprendrez également à configurer des traductions d’adresses de réseau (NAT) statique et dynamique ainsi que la surcharge de traduction d’adresses de réseau. Une fois les configurations terminées, vous vérifierez la connectivité entre les adresses internes et externes.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Vous pouvez utiliser n’importe quel routeur durant les travaux pratiques, à condition qu’il soit équipé des interfaces indiquées dans la topologie.

Remarque : il est possible que les sorties du routeur ainsi que les descriptions d’interface paraissent différentes si vous utilisez un routeur de type 1700, 2500 ou 2600. Certaines commandes peuvent être différentes ou ne pas exister sur les anciens routeurs.

Étape 2 : suppression de toutes les configurations existantes sur les routeurs

Tâche 2 : exécution des configurations de routeur de base

Configurez les routeurs R1, R2 et FAI conformément aux instructions suivantes :

Configurez le nom d’hôte du périphérique.

Désactivez la recherche DNS.

Configurez un mot de passe de mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions console.

Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty).

Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront attribuer des adresses IP par le service DHCP.

Activez OSPF en utilisant l’ID de processus 1 sur R1 et R2. N’annoncez pas le réseau 209.165.200.224/27.

Remarque : au lieu de relier un serveur à R2, vous pouvez configurer une interface de bouclage sur R2 de façon à utiliser l’adresse IP 192.168.20.254/24. De cette façon, il n’est pas nécessaire de configurer l’interface Fast Ethernet.

Page 137: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 14

Tâche 3 : configuration de PC1 et PC2 pour la réception d’une adresse IP via le protocole DHCP

Sur un PC Windows, cliquez sur Démarrer -> Panneau de configuration -> Connexions réseau -> Connexion au réseau local. Cliquez avec le bouton droit sur l’icône Connexion au réseau local et sélectionnez Propriétés.

Faites défiler la page vers le bas et mettez en surbrillance Protocole Internet (TCP/IP). Cliquez sur le bouton Propriétés.

Page 138: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 14

Vérifiez que le bouton Obtenir une adresse IP automatiquement est sélectionné.

Une fois que ces opérations ont été effectuées pour les ordinateurs PC1 et PC2, ces derniers peuvent recevoir une adresse IP transmise par un serveur DHCP.

Tâche 4 : configuration d’un serveur DHCP Cisco IOS

Le logiciel Cisco IOS prend en charge une configuration de serveur DHCP appelée Easy IP. L’objectif de ces travaux pratiques est que les périphériques présents sur les réseaux 192.168.10.0/24 et 192.168.11.0/24 demandent à R2 des adresses IP via le protocole DHCP.

Étape 1 : exclusion des adresses attribuées de manière statique

Le serveur DHCP suppose que toutes les adresses IP d’un groupe d’adresses DHCP peuvent être affectées à des clients DHCP. Vous devez spécifier les adresses IP que le serveur DHCP ne peut affecter aux clients. Il s’agit généralement d’adresses statiques réservées à l’interface des routeurs, à la console de gestion des commutateurs, aux serveurs et aux imprimantes du réseau local. La commande ip dhcp excluded-address empêche le routeur d’attribuer les adresses IP présentes dans la plage configurée. Les commandes suivantes excluent les dix premières adresses IP de chacun des pools des réseaux locaux connectés à R1. Ces adresses ne seront pas affectées à des clients DHCP. R2(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10

R2(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.10

Étape 2 : configuration du pool

Créez le pool DHCP à l’aide de la commande ip dhcp pool et nommez-le R1Fa0. R2(config)#ip dhcp pool R1Fa0

Spécifiez le sous-réseau à utiliser lors de l’attribution des adresses IP. Les pools DHCP sont associés automatiquement à une interface, en fonction de l’instruction réseau. Le routeur joue désormais le rôle de serveur DHCP et distribue les adresses du sous-réseau 192.168.10.0/24, en commençant par 192.168.10.1. R2(dhcp-config)#network 192.168.10.0 255.255.255.0

Page 139: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 14

Configurez le routeur par défaut et le serveur de noms de domaine du réseau. Les clients reçoivent ces paramètres via le protocole DHCP, de même qu’une adresse IP. R2(dhcp-config)#dns-server 192.168.11.5

R2(dhcp-config)#default-router 192.168.10.1

Remarque : aucun serveur DNS n’est disponible à l’adresse 192.168.11.5. Cette commande est configurée uniquement à des fins pédagogiques.

Étant donné que les périphériques du réseau 192.168.11.0/24 requièrent également que R2 leur fournissent des adresses, vous devez créer un pool distinct pour répondre à leurs besoins. Les commandes utilisées sont similaires à celles présentées ci-dessus : R2(config)#ip dhcp pool R1Fa1

R2(dhcp-config)#network 192.168.11.0 255.255.255.0

R2(dhcp-config)#dns-server 192.168.11.5

R2(dhcp-config)#default-router 192.168.11.1

Étape 3 : test du protocole DHCP

Vérifiez si les ordinateurs PC1 et PC2 ont reçu automatiquement une adresse IP. Sur chaque PC, cliquez sur Démarrer -> Exécuter -> cmd -> ipconfig

Quels sont les résultats du test ? ____________________________________ Comment interpréter les résultats ? _________________________________________

Étape 4 : configuration d’un agent relais DHCP

Les services réseaux tels que le protocole DHCP fonctionnent via les diffusions de couche 2. Si les périphériques fournissant ces services se trouvent sur un sous-réseau différent de celui des clients, ils ne peuvent pas recevoir les paquets de diffusion. Étant donné que le serveur DHCP et les clients DHCP ne figurent pas sur le même sous-réseau, vous devez configurer R1 pour qu’il transmette les messages de diffusion DHCP à R2, qui correspond au serveur DHCP, à l’aide de la commande de configuration d’interface ip helper-address.

Notez que la commande ip helper-address doit être configurée sur chaque interface concernée. R1(config)#interface fa0/0

R1(config-if)#ip helper-address 10.1.1.2

R1(config)#interface fa0/1

R1(config-if)#ip helper-address 10.1.1.2

Page 140: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 14

Étape 5 : émission et renouvellement des adresses IP sur PC1 et PC2

Selon que les PC ont été utilisés ou non dans d’autres travaux pratiques ou que vous les avez connectés ou non à Internet, ils ont peut-être déjà reçu automatiquement une adresse IP transmise par un autre serveur DHCP. Vous devez supprimer cette adresse IP à l’aide des commandes ipconfig /release et ipconfig /renew.

Étape 6 : vérification de la configuration DHCP

Il existe plusieurs méthodes de vérification de la configuration du serveur DHCP. Exécutez la commande ipconfig sur les ordinateurs PC1 et PC2 pour vérifier qu’ils ont reçu une adresse IP de façon dynamique. Vous pouvez ensuite entrer des commandes sur le routeur pour obtenir des informations supplémentaires. La commande show ip dhcp binding renvoie des informations sur les adresses DHCP actuellement attribuées. Ainsi, les informations suivantes, renvoyées par la commande, indiquent que l’adresse IP 192.168.10.11 a été associée à l’adresse MAC 3031.632e.3537.6563. Le bail IP expire le 14 septembre 2007 à 19:33:00. R1#show ip dhcp binding

Bindings from all pools not associated with VRF:

IP address Client-ID/ Lease expiration Type

Hardware address/

User name

192.168.10.11 0063.6973.636f.2d30. Sep 14 2007 07:33 PM Automatic

3031.632e.3537.6563.

2e30.3634.302d.566c.

31

La commande show ip dhcp pool affiche des informations concernant tous les pools DHCP actuellement configurés sur le routeur. Dans le résultat ci-après, le pool R1Fa0 est configuré sur R1. L’une des adresses a été louée à partir de ce pool. Le prochain client émettant une demande d’adresse recevra l’adresse 192.168.10.12. R2#show ip dhcp pool

Pool R1Fa0 :

Utilization mark (high/low) : 100 / 0

Subnet size (first/next) : 0 / 0

Total addresses : 254

Leased addresses : 1

Pending event : none

1 subnet is currently in the pool :

Current index IP address range Leased addresses

192.168.10.12 192.168.10.1 - 192.168.10.254 1

Page 141: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 14

La commande debug ip dhcp server events peut s’avérer extrêmement utile pour résoudre les problèmes liés aux baux DHCP avec un serveur DHCP Cisco IOS. Les informations de débogage affichées sur R1 suite à la connexion d’un hôte sont les suivantes. La partie en surbrillance indique que l’adresse 192.168.10.12 et le masque 255.255.255.0 sont attribués au client par le protocole DHCP.

*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER:

*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640

*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000

*Sep 13 21:04:18.072: DHCPD: circuit id 00000000

*Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool

class:

*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640

*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000

*Sep 13 21:04:18.072: DHCPD: circuit id 00000000

*Sep 13 21:04:18.072: DHCPD: there is no address pool for 192.168.11.1.

*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER:

R1#

*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640

*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000

*Sep 13 21:04:18.072: DHCPD: circuit id 00000000

*Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool

class:

*Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640

*Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000

*Sep 13 21:04:18.072: DHCPD: circuit id 00000000

R1#

*Sep 13 21:04:20.072: DHCPD: Ajout de liaisons à l’arbre de base

(192.168.10.12)

*Sep 13 21:04:20.072: DHCPD: Ajout de liaisons à l’arbre de base

*Sep 13 21:04:20.072: DHCPD: assigned IP address 192.168.10.12 to client

0063.6973.636f.2d30.3031.632e.3537.6563.2e30.3634.302d.566c.31.

*Sep 13 21:04:20.072: DHCPD: Sending notification of ASSIGNMENT:

*Sep 13 21:04:20.072: DHCPD: address 192.168.10.12 mask 255.255.255.0

*Sep 13 21:04:20.072: DHCPD: htype 1 chaddr 001c.57ec.0640

*Sep 13 21:04:20.072: DHCPD: lease time remaining (secs) = 86400

*Sep 13 21:04:20.076: DHCPD: Sending notification of ASSIGNMENT:

*Sep 13 21:04:20.076: DHCPD: address 192.168.10.12 mask 255.255.255.0

R1#

*Sep 13 21:04:20.076: DHCPD: htype 1 chaddr 001c.57ec.0640

*Sep 13 21:04:20.076: DHCPD: lease time remaining (secs) = 86400

Tâche 5 : configuration du routage statique et du routage par défaut

FAI fait appel au routage statique pour acccéder aux réseaux situés au-delà de R2. Cependant, avant d’envoyer le trafic vers FAI, R2 traduit les adresses privées en adresses publiques. Par conséquent, il est nécessaire de configurer sur FAI les adresses publiques impliquées dans la configuration de la traduction d’adresses de réseau de R2. Indiquez la route statique suivante sur FAI : FAI(config)#ip route 209.165.200.240 255.255.255.240 serial 0/0/1

Cette route statique comprend toutes les adresses à usage publique attribuées à R2.

Configurez une route par défaut sur R2 et propagez-la dans OSPF. R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.200.226

R2(config)#router ospf 1

R2(config-router)#default-information originate

Page 142: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 14

Attendez que R1 apprenne la route par défaut transmise par R2, puis consultez la table de routage de R1. Vous pouvez également supprimer le contenu de la table de routage à l’aide de la commande clear ip route *. Une route par défaut pointant vers R2 doit figurer dans la table de routage de R1. À partir de R1, envoyez une requête ping vers l’interface série 0/0/1 de FAI (209 165 200 226). En principe, cette requête ping doit aboutir. Envisagez un dépannage en cas d’échec.

Tâche 6 : configuration de la traduction d’adresses de réseau (NAT) statique

Étape 1 : mappage statique d’une adresse IP publique à une adresse IP privée

Les hôtes externes situés derrière FAI peuvent accéder au serveur interne connecté à R2. Désignez de manière statique l’adresse IP publique 209.165.200.254 comme adresse à utiliser lors de la traduction d’adresses de réseau pour associer les paquets à l’adresse IP privée du serveur interne, à l’adresse 192.168.20.254. R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254

Étape 2 : désignation des interfaces de traduction d’adresses de réseau internes et externes

Pour que la traduction d’adresses de réseau puisse fonctionner, vous devez désigner les interfaces internes et les interfaces externes. R2(config)#interface serial 0/0/1

R2(config-if)#ip nat outside

R2(config-if)#interface fa0/0

R2(config-if)#ip nat inside

Remarque : si vous utilisez un serveur interne simulé, affectez la commande ip nat inside à l’interface de bouclage.

Étape 3 : vérification de la configuration de la traduction d’adresses de réseau statique

À partir d’FAI, envoyez une requête ping vers l’adresse IP publique 209.165.200.254.

Tâche 7 : configuration d’un pool d’adresses pour la traduction d’adresses de réseau dynamique

Tandis que la fonction NAT statique fournit un mappage permanent entre une adresse interne et une adresse publique spécifique, la fonction NAT dynamique mappe des adresses IP privées avec des adresses publiques. Ces adresses IP publiques proviennent d’un pool NAT (pool de traduction d’adresses de réseau).

Étape 1 : définition d’un pool d’adresses globales

Créez un pool d’adresses à utiliser pour la traduction des adresses source correspondantes. La commande suivante crée un pool appelé MY-NAT-POOL, qui convertit les adresses correspondantes en une adresse IP disponible dans la plage 209.165.200.241 - -209 165 200 246. R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask

255.255.255.248

Page 143: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 14

Étape 2 : création d’une liste de contrôle d’accès étendue permettant d’identifier les adresses internes traduites

R2(config)#ip access-list extended NAT

R2(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any

R2(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any

Étape 3 : établissement d’une traduction de source dynamique par association du pool à la liste de contrôle d’accès

Un routeur peut disposer de plusieurs pools de traduction d’adresses de réseau et de plusieurs listes de contrôle d’accès. La commande suivante indique au routeur le pool d’adresses qui doit être utilisé pour convertir les hôtes autorisés par la liste de contrôle d’accès. R2(config)#ip nat inside source list NAT pool MY-NAT-POOL

Étape 4 : désignation des interfaces de traduction d’adresses de réseau internes et externes

Vous avez déjà désigné les interfaces internes et externes de votre configuration de traduction d’adresses de réseau statique. Ajoutez maintenant l’interface série connectée à R1 comme interface interne. R2(config)#interface serial 0/0/0

R2(config-if)#ip nat inside

Étape 5 : vérification de la configuration

Envoyez une requête ping au routeur FAI à partir de PC1 ou de l’interface Fast Ethernet de R1, en utilisant une commande ping étendue. Vérifiez ensuite la fonction NAT en exécutant les commandes show ip nat translations et show ip nat statistics sur R2. R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 209.165.200.241:4 192.168.10.1:4 209.165.200.226:4 209.165.200.226:4

--- 209.165.200.241 192.168.10.1 --- ---

--- 209.165.200.254 192.168.20.254 --- ---

R2#show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 0 extended)

Outside interfaces:

Serial0/0/1

Inside interfaces:

Serial0/0/0, Loopback0

Hits: 23 Misses: 3

CEF Translated packets: 18, CEF Punted packets: 0

Expired translations: 3

Dynamic mappings:

-- Inside Source

[Id: 1] access-list NAT pool MY-NAT-POOL refcount 1

pool MY-NAT-POOL: netmask 255.255.255.248

start 209.165.200.241 end 209.165.200.246

type generic, total addresses 6, allocated 1 (16%), misses 0

Queued Packets: 0

Pour résoudre les problèmes relatifs à la fonction NAT, vous pouvez utiliser la commande debug ip nat. Activez la commande de débogage de la fonction NAT et réexécutez la commande ping à partir de PC1.

R2#debug ip nat

IP NAT debugging is on

Page 144: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 14

R2#

*Sep 13 21:15:02.215: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [25]

*Sep 13 21:15:02.231: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [25]

*Sep 13 21:15:02.247: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [26]

*Sep 13 21:15:02.263: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [26]

*Sep 13 21:15:02.275: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [27]

*Sep 13 21:15:02.291: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [27]

*Sep 13 21:15:02.307: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [28]

*Sep 13 21:15:02.323: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [28]

*Sep 13 21:15:02.335: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [29]

*Sep 13 21:15:02.351: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [29]

R2#

Tâche 8 : configuration de la surcharge de la fonction NAT

Dans l’exemple précédent, que se passerait-il si vous deviez utiliser un nombre d’adresses IP publiques supérieur aux six adresses autorisées dans le pool ?

__________________________________________________________________________________

Grâce au suivi des numéros de port, la fonction de surcharge de traduction d’adresses de réseau permet à plusieurs utilisateurs internes de réutiliser une adresse IP publique.

Dans le cadre de cette tâche, vous supprimerez le pool et l’instruction de mappage configurés au cours de la tâche précédente. Vous configurerez ensuite la surcharge de traduction d’adresses de réseau sur R2, de manière à ce que toutes les adresses IP internes soient traduites en une adresse associée à l’interface S0/0/1 de R2 lors de la connexion à un périphérique externe.

Étape 1 : suppression du pool de traduction d’adresses de réseau et de l’instruction de mappage

Utilisez les commandes suivantes pour supprimer le pool de traduction d’adresses de réseau et l’association à la liste de contrôle d’accès. R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL

R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask

255.255.255.248

Si vous recevez le message suivant, effacez vos traductions d’adresses de réseau.

%Pool MY-NAT-POOL in use, cannot destroy

R2#clear ip nat translation *

Étape 2 : configuration de la traduction d’adresses de port sur R2 à l’aide de l’adresse IP publique de l’interface série 0/0/1

La configuration est similaire à une traduction d’adresses de réseau dynamique, mais au lieu d’un pool d’adresses, c’est le mot clé interface qui est utilisé pour identifier l’adresse IP externe. Par conséquent, aucun pool de traduction d’adresses de réseau n’est défini. Le mot clé overload permet d’ajouter le numéro de port à la traduction.

Comme vous avez déjà configuré une liste de contrôle d’accès pour identifier les adresses IP internes à traduire ainsi que les interfaces internes et externes, il ne vous reste plus qu’à configurer la commande suivante : R2(config)#ip nat inside source list NAT interface S0/0/1 overload

Page 145: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 14

Étape 3 : vérification de la configuration

Envoyez une requête ping au routeur FAI à partir de PC1 ou de l’interface Fast Ethernet de R1, en utilisant une commande ping étendue. Vérifiez ensuite la fonction NAT en exécutant les commandes show ip nat translations et show ip nat statistics sur R2. R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 209.165.200.225:6 192.168.10.11:6 209.165.200.226:6 209.165.200.226:6

--- 209.165.200.254 192.168.20.254 --- ---

R2#show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 1 extended)

Outside interfaces:

Serial0/0/1

Inside interfaces:

Serial0/0/0, Loopback0

Hits: 48 Misses: 6

CEF Translated packets: 46, CEF Punted packets: 0

Expired translations: 5

Dynamic mappings:

-- Inside Source

[Id: 2] access-list NAT interface Serial0/0/1 refcount 1

Queued Packets: 0

Remarque : au cours de la tâche précédente, vous auriez pu ajouter le mot clé overload à la commande ip nat inside source list NAT pool MY-NAT-POOL pour autoriser plus de six utilisateurs simultanés.

Tâche 9 : consignation des informations relatives au réseau

Exécutez la commande show run sur chaque routeur et capturez les configurations. R1#show run

<résultat omis>

!

hostname R1

!

enable secret class

!

no ip domain lookup

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

ip helper-address 10.1.1.2

no shutdown

!

interface FastEthernet0/1

ip address 192.168.11.1 255.255.255.0

ip helper-address 10.1.1.2

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

clock rate 125000

!

interface Serial0/0/1

no ip address

shutdown

Page 146: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 12 sur 14

!

router ospf 1

network 10.1.1.0 0.0.0.3 area 0

network 192.168.10.0 0.0.0.255 area 0

network 192.168.11.0 0.0.0.255 area 0

!

!

banner motd ^C

***********************************

!!!AUTHORIZED ACCESS ONLY!!!

***********************************

^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

exec-timeout 0 0

password cisco

logging synchronous

login

line vty 0 4

exec-timeout 0 0

password cisco

logging synchronous

login

!

end

R2#show run

!

hostname R2

!

!

enable secret class

!

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.10.1 192.168.10.10

ip dhcp excluded-address 192.168.11.1 192.168.11.10

!

ip dhcp pool R1Fa0

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 192.168.11.5

!

ip dhcp pool R1Fa1

network 192.168.11.0 255.255.255.0

dns-server 192.168.11.5

default-router 192.168.11.1

!

no ip domain lookup

!

interface Loopback0

ip address 192.168.20.254 255.255.255.0

ip nat inside

Page 147: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 13 sur 14

ip virtual-reassembly

!

!

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.252

ip nat inside

ip virtual-reassembly

!

interface Serial0/0/1

ip address 209.165.200.225 255.255.255.252

ip nat outside

ip virtual-reassembly

clock rate 125000

!

router ospf 1

network 10.1.1.0 0.0.0.3 area 0

network 192.168.20.0 0.0.0.255 area 0

default-information originate

!

ip route 0.0.0.0 0.0.0.0 209.165.200.226

!

!

no ip http server

no ip http secure-server

ip nat inside source list NAT interface Serial0/0/1 overload

ip nat inside source static 192.168.20.254 209.165.200.254

!

ip access-list extended NAT

permit ip 192.168.10.0 0.0.0.255 any

permit ip 192.168.11.0 0.0.0.255 any

!

!

banner motd ^C

***********************************

!!!AUTHORIZED ACCESS ONLY!!!

***********************************

^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

exec-timeout 0 0

password cisco

logging synchronous

login

Page 148: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.1 : Accès au réseau étendu : services d’adressage IP configuration de base de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 14 sur 14

line vty 0 4

exec-timeout 0 0

password cisco

logging synchronous

login

!

end

FAI#show run

<résultat omis>

!

hostname FAI

!

enable secret class

!

no ip domain lookup

!

interface Serial0/0/1

ip address 209.165.200.226 255.255.255.252

no shutdown

!

!

!

ip route 209.165.200.240 255.255.255.240 Serial0/0/1

!

banner motd ^C

***********************************

!!!AUTHORIZED ACCESS ONLY!!!

***********************************

^C

!

line con 0

exec-timeout 0 0

password cisco

logging synchronous

login

line aux 0

exec-timeout 0 0

password cisco

logging synchronous

login

line vty 0 4

password cisco

logging synchronous

login

!

end

Tâche 10 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 149: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 4

Travaux pratiques 7.4.2 : configuration avancée de DHCP et NAT

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

R1 S0/0/0 172.16.0.1 255.255.255.252

Fa0/0 172.16.10.1 255.255.255.0

Fa0/1 172.16.11.1 255.255.255.0

R2 S0/0/0 172.16.0.2 255.255.255.252

S0/0/1 209.165.201.1 255.255.255.252

Fa0/0 172.16.20.1 255.255.255.0

FAI S0/0/1 209.165.201.2 255.255.255.252

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Préparer le réseau Effectuer des configurations de routeur de base Configurer un serveur DHCP Cisco IOS Configurer le routage statique et le routage par défaut Configurer la fonction NAT statique Configurer la fonction NAT dynamique à l’aide d’un pool d’adresses Configurer la surcharge de la fonction NAT

Page 150: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.2 : Accès au réseau étendu : services d’adressage IP configuration avancée de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 4

Scénario

Dans le cadre de cet exercice, vous apprendrez à configurer les services d’adressage IP sur le réseau représenté dans le diagramme de topologie. Si vous avez besoin d’aide, reportez-vous aux travaux pratiques consacrés à la configuration des paramètres de base des services DHCP et NAT. Essayez cependant de travailler en parfaite autonomie.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Vous pouvez utiliser n’importe quel routeur durant les travaux pratiques, à condition qu'il soit équipé des interfaces indiquées dans la topologie.

Remarque : il est possible que les sorties du routeur ainsi que les descriptions d’interface paraissent différentes si vous utilisez un routeur de type 1700, 2500 ou 2600.

Étape 2 : suppression de toutes les configurations existantes sur les routeurs

Tâche 2 : exécution des configurations de routeur de base

Configurez les routeurs R1, R2 et FAI conformément aux instructions suivantes :

Configurez le nom d’hôte du périphérique.

Désactivez la recherche DNS.

Configurez un mot de passe de mode d’exécution privilégié.

Configurez une bannière de message du jour.

Configurez un mot de passe pour les connexions console.

Configurez un mot de passe pour toutes les connexions de terminaux virtuels (vty).

Configurez les adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront attribuer des adresses IP par le service DHCP.

Activez OSPF en utilisant l’ID de processus 1 sur R1 et R2. N’annoncez pas le réseau 209.165.200.224/27.

Remarque : Au lieu de relier un serveur à R2, vous pouvez configurer une interface de bouclage sur R2 de façon à utiliser l’adresse IP 192.168.20.254/24. De cette façon, il n’est pas nécessaire de configurer l’interface Fast Ethernet.

Tâche 3 : configuration d’un serveur DHCP Cisco IOS

Configurez le routeur R2 en tant que serveur DHCP pour les deux réseaux locaux (LAN) du routeur R1.

Étape 1 : exclusion des adresses attribuées de manière statique

Excluez les trois premières adresses de chaque pool.

Étape 2 : configuration du pool DHCP

Créez deux pools DHCP. Attribuez au premier pool le nom R1_LAN10 pour le réseau 172.16.10.0/24 et attribuez au deuxième pool le nom R1_LAN11 pour le réseau 172.16.11.0/24.

Pour chaque pool, configurez une passerelle par défaut et un serveur DNS simulé, à l’adresse 172.16.20.254.

Page 151: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.2 : Accès au réseau étendu : services d’adressage IP configuration avancée de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 4

Étape 3 : configuration de l’agent relais DHCP

Configurez des commandes helper-address de sorte que les broadcasts envoyés par un client soient acheminés vers le serveur DHCP.

Étape 4 : vérification de la configuration DHCP

Tâche 4 : configuration du routage statique et du routage par défaut

Sur FAI, configurez une route statique pour le réseau 209.165.201.0/27. Utilisez l’argument exit interface.

Configurez une route par défaut sur R2 et propagez-la dans OSPF. Utilisez l’adresse IP du tronçon suivant comme argument.

Tâche 5 : configuration de la traduction d’adresses de réseau (NAT) statique

Étape 1 : mappage statique d’une adresse IP publique à une adresse IP privée

Associez de manière statique l’adresse IP du serveur interne à l’adresse publique 209.165.201.30.

Étape 2 : désignation des interfaces de traduction d’adresses de réseau internes et externes

Étape 3 : vérification de la configuration de la traduction d’adresses de réseau statique

Tâche 6 : configuration d’un pool d’adresses pour la traduction d’adresses de réseau dynamique

Étape 1 : définition d’un pool d’adresses globales

Créez un pool appelé NAT_POOL pour les adresses IP 209.165.201.9 à 209.165.201.14 en utilisant le masque de sous-réseau /29.

Étape 2 : création d’une liste de contrôle d’accès standard permettant d’identifier les adresses internes traduites

Utilisez le nom NAT_ACL et autorisez tous les hôtes reliés aux deux réseaux locaux sur R1.

Étape 3 : activation de la source de traduction dynamique

Associez le pool de traduction d’adresses de réseau à la liste de contrôle d’accès et autorisez la surcharge de traduction d’adresses de réseau.

Étape 4 : désignation des interfaces de traduction d’adresses de réseau internes et externes

Vérifiez si les interfaces de traduction d’adresses de réseau internes et externes sont correctement définies.

Étape 5 : vérification de la configuration

Tâche 7 : consignation des informations relatives au réseau

Exécutez la commande show run sur chaque routeur et capturez les configurations.

Page 152: Tout les TP CCNA4 - ennoncé

CCNA Exploration Travaux pratiques 7.4.2 : Accès au réseau étendu : services d’adressage IP configuration avancée de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 4

Tâche 8 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 153: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 5

Travaux pratiques 7.4.3 : dépannage de DHCP et NAT

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau

R1 S0/0/0 172.16.0.1 255.255.255.252

Fa0/0 172.16.10.1 255.255.255.0

Fa0/1 172.16.11.1 255.255.255.0

R2 S0/0/0 172.16.0.2 255.255.255.252

S0/0/1 209.165.201.1 255.255.255.252

Fa0/0 172.16.20.1 255.255.255.0

FAI S0/0/1 209.165.201.2 255.255.255.252

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Préparer le réseau Charger les routeurs avec les scripts fournis Détecter et corriger des erreurs réseau Documenter le réseau corrigé

Page 154: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : services d’adressage IP Travaux pratiques 7.4.3 : dépannage de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 5

Scénario

Les routeurs R1 et R2 de votre société ont été configurés par un ingénieur réseau peu expérimenté. La présence de plusieurs erreurs dans la configuration a provoqué des problèmes de connectivité. Votre esponsable vous demande de détecter les erreurs de configuration et de les corriger, puis de décrire le travail réalisé. En utilisant vos connaissances en matière de services DHCP et NAT, ainsi que des méthodes de vérification standard, détectez les erreurs et corrigez-les. Vérifiez que tous les clients disposent d’une connectivité complète. Le FAI a été correctement configuré.

Assurez-vous que le réseau prend en charge les conditions suivantes :

1. Le routeur R2 doit faire office de serveur DHCP pour les réseaux 172.16.10.0/24 et 172.16.11.0/24, connectés au routeur R1.

2. Tous les PC connectés au routeur R1 doivent recevoir une adresse IP dans le réseau approprié via le protocole DHCP.

3. Le trafic provenant des réseaux locaux de R1, entrant dans l’interface série Serial 0/0/0 et sortant de l’interface série Serial 0/0/1 de R2, doit recevoir une traduction NAT avec un pool d’adresses fourni par le FAI.

4. Le serveur interne doit être accessible à partir des réseaux externes à l’aide de l’adresse IP 209.165.201.30 et à partir des réseaux internes à l’aide de l’adresse IP 172.16.20.254.

Tâche 1 : préparation du réseau

Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie

Étape 2 : suppression de toutes les configurations existantes sur les routeurs

Étape 3 : importation des configurations

R1

hostname R1

!

enable secret class

!

no ip domain lookup

!

interface FastEthernet0/0

ip address 172.16.10.1 255.255.255.0

ip helper-address 172.16.0.2

no shutdown

!

interface FastEthernet0/1

ip address 172.16.11.1 255.255.255.0

no shutdown

!

interface Serial0/0/0

ip address 172.16.0.1 255.255.255.252

clock rate 125000

no shutdown

!

router rip

version 2

Page 155: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : services d’adressage IP Travaux pratiques 7.4.3 : dépannage de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 5

network 172.16.0.0

no auto-summary

!

banner motd $AUTHORIZED ACCESS ONLY$

!

line con 0

password cisco

logging synchronous

login

line vty 0 4

password cisco

logging synchronous

login

!

end

R2

hostname R2

!

enable secret class

!

ip dhcp excluded-address 172.16.10.1 172.16.10.3

ip dhcp excluded-address 172.16.10.1 172.16.11.3

!

ip dhcp pool R1_LAN10

network 172.16.10.0 255.255.255.0

dns-server 172.16.20.254

!

ip dhcp pool R1_LAN11

network 172.16.11.0 255.255.255.0

dns-server 172.16.20.254

!

no ip domain lookup

!

interface FastEthernet0/0

ip address 172.16.20.1 255.255.255.0

ip nat inside

no shutdown

!

interface Serial0/0/0

ip address 172.16.0.2 255.255.255.252

no shutdown

!

interface Serial0/0/1

ip address 209.165.201.1 255.255.255.252

ip nat outside

clock rate 125000

no shutdown

!

router rip

version 2

network 172.16.0.0

default-information originate

Page 156: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : services d’adressage IP Travaux pratiques 7.4.3 : dépannage de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 5

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 209.165.201.2

!

ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248

ip nat inside source list NAT_ACL pool NATPOOL overload

!

ip access-list standard NAT_ACL

permit 172.16.10.0 0.0.0.255

!

banner motd $AUTHORIZED ACCESS ONLY$

!

line con 0

password cisco

logging synchronous

login

line vty 0 4

password cisco

logging synchronous

login

!

end

FAI

hostname FAI

!

enable secret class

!

interface Serial0/0/1

ip address 209.165.201.2 255.255.255.252

no shutdown

!

ip route 0.0.0.0 0.0.0.0 Serial0/0/1

!

banner motd $AUTHORIZED ACCESS ONLY$

!

line con 0

password cisco

logging synchronous

login

line vty 0 4

password cisco

logging synchronous

login

!

end

Page 157: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : services d’adressage IP Travaux pratiques 7.4.3 : dépannage de DHCP et NAT

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 5

Tâche 2 : recherche et correction des erreurs sur le réseau

Lorsque le réseau est correctement configuré :

Les ordinateurs PC1 et PC2 doivent être en mesure de recevoir des adresses IP depuis le pool DHCP approprié, comme l’indique la commande ipconfig. En outre, une commande show ip dhcp

bindings exécutée sur le routeur R2 doit indiquer que les deux PC ont reçu des adresses IP.

Les requêtes ping envoyées depuis les ordinateurs PC1 et PC2 au FAI doivent recevoir une traduction NAT avec surcharge, comme indiqué par la commande show ip nat translations sur le routeur R2.

Les requêtes ping envoyées depuis le serveur interne au FAI doivent recevoir la traduction NAT statique indiquée dans la topologie. Pour le vérifier, utilisez la commande show ip nat translations.

L’envoi d’une requête ping depuis le FAI à l’adresse globale du serveur interne doit aboutir.

Les requêtes ping envoyées depuis le FAI au routeur R1 ne doivent recevoir aucune traduction d’adresses de réseau (NAT), comme indiqué par la commande show ip nat translations ou debug ip nat sur le routeur R2.

Tâche 3 : documentation des configurations des routeurs

Exécutez la commande show run sur chaque routeur et capturez les configurations.

Tâche 4 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les hôtes PC connectés habituellement aux autres réseaux (réseau local de votre site ou Internet).

Page 158: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 21

Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de

sous-réseau Passerelle par défaut

R1

Fa0/0 192.168.10.1 255.255.255.0 N/D Fa0/1 192.168.11.1 255.255.255.0 N/D S0/0/0 10.1.1.1 255.255.255.252 N/D S0/0/1 10.3.3.1 255.255.255.252 N/D

R2

Fa0/1 192.168.20.1 255.255.255.0 N/D S0/0/0 10.1.1.2 255.255.255.252 N/D S0/0/1 10.2.2.1 255.255.255.252 N/D

Lo0 209.165.200.225 255.255.255.224 209.165.200.226

R3

Fa0/1 N/D N/D N/D Fa0/1.11 192.168.11.3 255.255.255.0 N/D Fa0/1.30 192.168.30.1 255.255.255.0 N/D S0/0/0 10.3.3.2 255.255.255.252 N/D S0/0/1 10.2.2.2 255.255.255.252 N/D

Comm1 VLAN10 Protocole DHCP 255.255.255.0 N/D Comm2 VLAN11 192.168.11.2 255.255.255.0 N/D

Page 159: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 21

Comm3 VLAN30 192.168.30.2 255.255.255.0 N/D PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1

PC2 Carte réseau 192.168.11.10 255.255.255.0 192.168.11.1

PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur TFTP Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Charger les routeurs et les commutateurs avec les scripts fournis Identifier et corriger toutes les erreurs réseau Documenter le réseau corrigé

Scénario

Vous êtes chargé de corriger les erreurs de configuration du réseau de la société. Dans le cadre de cet exercice, n’utilisez pas de protection par nom d’utilisateur ou mot de passe sur les lignes de console, afin d’empêcher tout verrouillage accidentel. Dans ce scénario, utilisez ciscoccna pour tous les mots de passe. Remarque : cet exercice étant un récapitulatif, il vous sera nécessaire d’utiliser l’ensemble des connaissances et des techniques de dépannage acquises au cours des exercices et travaux pratiques précédents.

Conditions requises

Comm2 correspond à la racine Spanning Tree du réseau local virtuel VLAN 11 et Comm3 à celle du réseau local virtuel VLAN 30.

Comm3 correspond à un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2. La liaison série entre les routeurs R1 et R2 est de type Frame Relay. Assurez-vous que chaque

routeur peut envoyer une requête ping à sa propre interface Frame Relay. La liaison série entre R2 et R3 utilise l’encapsulation HDLC. La liaison série entre R1 et R3 utilise le protocole PPP. La liaison série entre R1 et R3 est authentifiée à l’aide du protocole CHAP. En tant que routeur connecté à Internet, R2 doit utiliser des procédures de connexion sécurisée. Toutes les lignes vty, à l’exception de celles appartenant à R2, n’autorisent que les connexions depuis

les sous-réseaux affichés dans le diagramme de topologie, excluant ainsi l’adresse publique. Indice : R2# telnet 10.1.1.1 /source-interface loopback 0 Trying 10.1.1.1 ... % Connection refused by remote host L’usurpation de l’adresse IP source doit être évitée sur tous les liens non connectés à d’autres

routeurs. Les protocoles de routage doivent être sécurisés. Tous les routeurs RIP doivent utiliser

l’authentification MD5. R3 ne doit pas pouvoir établir de connexion telnet avec R2 au moyen de la liaison série

directement connectée.

Page 160: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 21

R3 peut accéder aux réseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/0. Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse d’origine située hors du sous-

réseau. Tous les périphériques ont accès au serveur TFTP. Tous les périphériques du sous-réseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP

auprès du service DHCP de R1. Cela concerne notamment Comm1. R1 doit être accessible via SDM. Toutes les adresses indiquées dans le diagramme doivent être accessibles à partir de tous les

périphériques.

Tâche 1 : chargement des routeurs avec les scripts fournis

!------------------------------------------

! R1

!------------------------------------------

no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

security passwords min-length 6

enable secret 5 ciscoccna

!

ip cef

!

ip dhcp pool Access1

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

!

no ip domain lookup

!

!

username R3 password 0 ciscoccna

username ccna password 0 ciscoccna

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

no shutdown

!

interface FastEthernet0/1

ip address 192.168.11.1 255.255.255.0

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

encapsulation frame-relay

Page 161: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 21

clockrate 128000

frame-relay map ip 10.1.1.1 201

frame-relay map ip 10.1.1.2 201 broadcast

no frame-relay inverse-arp

no shutdown

!

interface Serial0/0/1

ip address 10.3.3.1 255.255.255.252

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

encapsulation ppp

ppp authentication chap

no shutdown

!

!

router rip

version 2

passive-interface default

network 192.168.10.0

network 192.168.11.0

no auto-summary

!

ip classless

!

no ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.10.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

line vty 0 4

access-class VTY in

login local

!

end

!------------------------------------------

! R2

!------------------------------------------

no service password-encryption

!

hostname R2

!

security passwords min-length 6

enable secret ciscoccna

!

aaa new-model

Page 162: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 21

!

aaa authentication login LOCAL_AUTH local

aaa session-id common

!

ip cef

!

no ip domain lookup

!

key chain RIP_KEY

key 1

key-string cisco

username ccna password 0 ciscoccna

!

interface Loopback0

description Simulated ISP Connection

ip address 209.165.200.245 255.255.255.224

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.20.1 255.255.255.0

ip access-group TFTP out

ip access-group Anti-spoofing in

ip nat outside

duplex auto

speed auto

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.0

ip nat inside

encapsulation frame-relay

no keepalive

frame-relay map ip 10.1.1.1 201 broadcast

no frame-relay inverse-arp

!

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.0

ip access-group R3-telnet in

ip nat inside

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

clockrate 128000

!

!

router rip

version 2

passive-interface default

no passive-interface Serial0/0/0

no passive-interface Serial0/0/1

network 10.0.0.0

network 192.168.20.0

Page 163: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 21

default-information originate

no auto-summary

!

ip classless

ip route 0.0.0.0 0.0.0.0 209.165.200.226

!

no ip http server

ip nat inside source list NAT interface FastEthernet0/0 overload

!

ip access-list standard Anti-spoofing

permit 192.168.20.0 0.0.0.255

deny any

ip access-list standard NAT

permit 10.0.0.0 0.255.255.255

permit 192.168.0.0 0.0.255.255

!

ip access-list extended R3-telnet

deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet

deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet

deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet

deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet

permit ip any any

!

ip access-list standard TFTP permit 192.168.20.0 0.0.0.255

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

!------------------------------------------

! R3

!------------------------------------------

no service password-encryption

!

hostname R3

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

!

ip cef

Page 164: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 21

!

no ip domain lookup

!

key chain RIP_KEY

key 1

key-string cisco

username R1 password 0 ciscoccna

username ccna password 0 ciscoccna

!

interface FastEthernet0/1

no shutdown

!

interface FastEthernet0/1.11

encapsulation dot1Q 11

ip address 192.168.11.3 255.255.255.0

no snmp trap link-status

!

interface FastEthernet0/1.30

encapsulation dot1Q 30

ip address 192.168.30.1 255.255.255.0

ip access-group Anti-spoofing in

no snmp trap link-status

!

!

interface Serial0/0/0

ip address 10.3.3.2 255.255.255.252

encapsulation ppp

clockrate 125000

ppp authentication chap

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

!

router rip

version 2

passive-interface default

no passive-interface FastEthernet0/1.11

no passive-interface FastEthernet0/1.30

no passive-interface Serial0/0/0

no passive-interface Serial0/0/1

network 10.0.0.0

network 192.168.11.0

network 192.168.30.0

no auto-summary

!

ip classless

!

ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.30.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

Page 165: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 21

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

line vty 0 4

access-class VTY in

exec-timeout 15 0

logging synchronous

login local

!

end

!-----------------------------------------

! Comm1

!-----------------------------------------

no service password-encryption

!

hostname Comm1

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode transparent

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

vlan 10 !

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 10

switchport mode access

!

interface range FastEthernet0/3-24

!

interface GigabitEthernet0/1

shutdown

Page 166: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 21

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan10

ip address dhcp

no ip route-cache

!

ip default-gateway 192.168.10.1

ip http server

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm2

!-----------------------------------------

no service password-encryption

!

hostname Comm2

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode transparent

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 24576

spanning-tree vlan 30 priority 28672

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

switchport access vlan 11

Page 167: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 21

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/3

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan11

ip address 192.168.11.2 255.255.255.0

no ip route-cache

!

ip http server

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm3

!-----------------------------------------

no service password-encryption

!

hostname Comm3

!

security passwords min-length 6

enable secret ciscoccna

Page 168: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 21

!

no aaa new-model

vtp domain CCNA_troubleshooting

vtp mode server

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 28672

spanning-tree vlan 30 priority 24576

!

vlan internal allocation policy ascending

!

!

interface FastEthernet0/1

switchport trunk allowed vlan 30

switchport mode trunk

!

interface FastEthernet0/2

switchport access vlan 30

switchport mode access

!

interface FastEthernet0/3

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan30

ip address 192.168.30.2 255.255.255.0

no ip route-cache

!

ip default-gateway 192.168.30.1

ip http server

Page 169: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 12 sur 21

!

control-plane

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4 password ciscoccna

login

line vty 5 15

no login

!

end

Tâche 2 : détection et correction de toutes les erreurs réseau

Tâche 3 : vérification de la conformité aux conditions requises

Tâche 4 : documentation du réseau corrigé

Tâche 5 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Autres configurations

!------------------------------------------

! R1

!------------------------------------------

no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

security passwords min-length 6

enable secret 5 ciscoccna

!

ip cef

!

ip dhcp pool Access1

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

!

no ip domain lookup

frame-relay switching

!

!

username R3 password 0 ciscoccna

username ccna password 0 ciscoccna

!

Page 170: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 13 sur 21

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

no shutdown

!

interface FastEthernet0/1

ip address 192.168.11.1 255.255.255.0

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

encapsulation frame-relay

clockrate 128000

frame-relay map ip 10.1.1.1 201

frame-relay map ip 10.1.1.2 201 broadcast

no frame-relay inverse-arp

no shutdown

frame-relay intf-type dce

!

interface Serial0/0/1

ip address 10.3.3.1 255.255.255.252

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

encapsulation ppp

ppp authentication chap

no shutdown

!

!

router rip

version 2

passive-interface default

network 10.0.0.0

network 192.168.10.0

network 192.168.11.0

no auto-summary

!

ip classless

!

no ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.10.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

Page 171: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 14 sur 21

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

line vty 0 4

access-class VTY in

login local

!

end

!------------------------------------------

! R2

!------------------------------------------

no service password-encryption

!

hostname R2

!

security passwords min-length 6

enable secret ciscoccna

!

aaa new-model

!

aaa authentication login LOCAL_AUTH local

aaa session-id common

!

ip cef

!

no ip domain lookup

!

key chain RIP_KEY

key 1

key-string cisco

username ccna password 0 ciscoccna

!

interface Loopback0

description Simulated ISP Connection

ip address 209.165.200.245 255.255.255.224

!

interface FastEthernet0/0

ip address 192.168.20.1 255.255.255.0

ip access-group TFTP out

ip access-group Anti-spoofing in

ip nat outside

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.0

ip nat inside

encapsulation frame-relay

Page 172: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 15 sur 21

no keepalive

frame-relay map ip 10.1.1.1 201 broadcast

frame-relay map ip 10.1.1.2 201

no frame-relay inverse-arp

!

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.0

ip access-group R3-telnet in

ip nat inside

ip rip authentication mode md5

ip rip authentication key-chain RIP_KEY

clockrate 128000

!

!

router rip

version 2

passive-interface default

no passive-interface Serial0/0/0

no passive-interface Serial0/0/1

network 10.0.0.0

network 192.168.20.0

default-information originate

no auto-summary

!

ip classless

ip route 0.0.0.0 0.0.0.0 209.165.200.226

!

no ip http server

ip nat inside source list NAT interface FastEthernet0/0 overload

!

ip access-list standard Anti-spoofing

permit 192.168.20.0 0.0.0.255

deny any

ip access-list standard NAT

permit 10.0.0.0 0.255.255.255

permit 192.168.0.0 0.0.255.255

!

ip access-list extended R3-telnet

deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet

deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet

deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet

deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet

permit ip any any

!

ip access-list standard TFTP permit 192.168.20.0 0.0.0.255

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

Page 173: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 16 sur 21

transport output telnet

line vty 0 4

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

!------------------------------------------

! R3

!------------------------------------------

no service password-encryption

!

hostname R3

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

!

ip cef

!

no ip domain lookup

!

key chain RIP_KEY

key 1

key-string cisco

username R1 password 0 ciscoccna

username ccna password 0 ciscoccna

!

interface FastEthernet0/1

no shutdown

!

interface FastEthernet0/1.11

encapsulation dot1Q 11

ip address 192.168.11.3 255.255.255.0

no snmp trap link-status

!

interface FastEthernet0/1.30

encapsulation dot1Q 30

ip address 192.168.30.1 255.255.255.0

ip access-group Anti-spoofing in

no snmp trap link-status

!

!

interface Serial0/0/0

ip address 10.3.3.2 255.255.255.252

encapsulation ppp

clockrate 125000

ppp authentication chap

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

!

router rip

Page 174: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 17 sur 21

version 2

passive-interface default

no passive-interface FastEthernet0/0,11

no passive-interface FastEthernet0/0,30

no passive-interface Serial0/0/0

no passive-interface Serial0/0/1

network 10.0.0.0

network 192.168.11.0

network 192.168.30.0

no auto-summary

!

ip classless

!

ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.30.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

line vty 0 4

access-class VTY in

exec-timeout 15 0

logging synchronous

login local

!

end

!-----------------------------------------

! Comm1

!-----------------------------------------

no service password-encryption

!

hostname Comm1

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode transparent

vtp password ciscoccna

ip subnet-zero

!

Page 175: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 18 sur 21

no ip domain-lookup

!

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

vlan 10 !

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 10

switchport mode access

!

interface range FastEthernet0/3-24

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan10

ip address dhcp

no ip route-cache

!

ip default-gateway 192.168.10.1

ip http server

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm2

!-----------------------------------------

no service password-encryption

!

hostname Comm2

!

Page 176: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 19 sur 21

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode transparent

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 24576

spanning-tree vlan 30 priority 28672

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/3

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan11

ip address 192.168.11.2 255.255.255.0

Page 177: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 20 sur 21

no ip route-cache

!

ip http server

!

control-plane

!

line con 0

exec-timeout 0 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm3

!-----------------------------------------

no service password-encryption

!

hostname Comm3

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_troubleshooting

vtp mode server

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 28672

spanning-tree vlan 30 priority 24576

!

vlan internal allocation policy ascending

!

!

interface FastEthernet0/1

switchport trunk allowed vlan 30

switchport mode trunk

!

interface FastEthernet0/2

switchport access vlan 30

switchport mode access

!

interface FastEthernet0/3

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

Page 178: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.1 : dépannage des réseaux d’entreprise 1

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 21 sur 21

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan30

ip address 192.168.30.2 255.255.255.0

no ip route-cache

!

ip default-gateway 192.168.30.1

ip http server

!

control-plane

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4 password ciscoccna

login

line vty 5 15

no login

!

end

Page 179: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 11

Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de

sous-réseau Passerelle par défaut

R1

Fa0/0 192.168.10.1 255.255.255.0 N/D Fa0/1 192.168.11.1 255.255.255.0 N/D S0/0/0 10.1.1.1 255.255.255.252 N/D S0/0/1 10.3.3.1 255.255.255.252 N/D

R2

Fa0/1 192.168.20.1 255.255.255.0 N/D S0/0/0 10.1.1.2 255.255.255.252 N/D S0/0/1 10.2.2.1 255.255.255.252 N/D

Lo0 209.165.200.225 255.255.255.224 209.165.200.226

R3

Fa0/1 N/D N/D N/D Fa0/1.11 192.168.11.3 255.255.255.0 N/D Fa0/1.30 192.168.30.1 255.255.255.0 N/D S0/0/0 10.3.3.2 255.255.255.252 N/D S0/0/1 10.2.2.2 255.255.255.252 N/D

Comm1 VLAN10 Protocole DHCP N/D Comm2 VLAN11 192.168.11.2 255.255.255.0 N/D Comm3 VLAN30 192.168.30.2 255.255.255.0 N/D

Page 180: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 11

PC1 Carte réseau Protocole DHCP

PC2 Carte réseau 192.168.11.10 255.255.255.0 192.168.11.1

PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur TFTP Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Charger les routeurs et les commutateurs avec les scripts fournis Identifier et corriger toutes les erreurs réseau Documenter le réseau corrigé

Scénario

Dans le cadre de cet exercice, n’utilisez pas de protection par nom d’utilisateur ou mot de passe sur les lignes de console, afin d’empêcher tout verrouillage accidentel. Dans ces travaux pratiques, le mot de passe à utiliser est ciscoccna. Remarque : cet exercice étant un récapitulatif, il vous sera nécessaire d’utiliser l’ensemble des connaissances et des techniques de dépannage acquises au cours des exercices et travaux pratiques précédents.

Conditions requises

Comm2 correspond à la racine Spanning Tree du réseau local virtuel VLAN 11 et Comm3 à celle du réseau local virtuel VLAN 30.

Comm3 correspond à un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2. La liaison série entre les routeurs R1 et R2 est de type Frame Relay. La liaison série entre R2 et R3 utilise l’encapsulation HDLC. La liaison série entre R1 et R3 est authentifiée à l’aide du protocole CHAP. En tant que routeur connecté à Internet, R2 doit utiliser des procédures de connexion sécurisée. Toutes les lignes vty, à l’exception de celles appartenant à R2, n’autorisent que les connexions depuis

les sous-réseaux affichés dans le diagramme de topologie, excluant ainsi l’adresse publique. L’usurpation de l’adresse IP source doit être évitée sur tous les liens non connectés à d’autres

routeurs. Les protocoles de routage doivent être utilisés de manière sécurisée. Le protocole EIGRP est

utilisé dans ce scénario. R3 ne doit pas pouvoir établir de connexion telnet avec R2 au moyen de la liaison série

directement connectée. R3 peut accéder aux réseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/1. Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse d’origine située hors du sous-

réseau. Tous les périphériques ont accès au serveur TFTP. Tous les périphériques du sous-réseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP

auprès du service DHCP de R1. Cela concerne notamment Comm1. Toutes les adresses indiquées dans le diagramme doivent être accessibles à partir de tous les

périphériques.

Page 181: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 11

Tâche 1 : chargement des routeurs avec les scripts fournis

!------------------------------------------

! R1

!------------------------------------------

no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

security passwords min-length 6

enable secret ciscoccna

!

ip cef

!

ip dhcp pool Access1

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

!

no ip domain lookup

frame-relay switching

!

username R2 password ciscoccna

username ccna password ciscoccna

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

ip access-group Anti-spoofing out

duplex auto

speed auto

no shutdown

!

interface FastEthernet0/1

ip address 192.168.11.1 255.255.255.0

duplex auto

speed auto

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

encapsulation frame-relay

no keepalive

clockrate 128000

frame-relay map ip 10.1.1.1 201

frame-relay map ip 10.1.1.2 201 broadcast

no frame-relay inverse-arp

frame-relay intf-type dce

no shutdown

!

interface Serial0/0/1

ip address 10.3.3.1 255.255.255.0

encapsulation ppp

ppp authentication chap

no shutdown

Page 182: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 11

!

!

router eigrp 10

passive-interface default

no passive-interface FastEthernet0/0

no passive-interface FastEthernet0/1

no passive-interface Serial0/0/0

no passive-interface Serial0/0/1

network 10.1.1.0 0.0.0.255

network 10.2.2.0 0.0.0.255

network 192.168.10.0 0.0.0.255

network 192.168.11.0 0.0.0.255

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 10.1.1.2

!

ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.10.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

line con 0

exec-timeout 5 0

logging synchronous

line aux 0

line vty 0 4

access-class VTY in

login local

!

end

!------------------------------------------

! R2

!------------------------------------------

no service password-encryption

!

hostname R2

!

security passwords min-length 6

enable secret ciscoccna

!

aaa new-model

!

aaa authentication login local_auth local

aaa session-id common

!

ip cef

!

no ip domain lookup

!

Page 183: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 11

username ccna password 0 ciscoccna

!

interface Loopback0

ip address 209.165.200.225 255.255.255.224

ip access-group private in

!

interface FastEthernet0/1

ip address 192.168.20.1 255.255.255.0

ip access-group TFTP out

ip access-group Anti-spoofing in

ip nat outside

no shutdown

!

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.252

ip nat inside

encapsulation frame-relay

no keepalive

frame-relay map ip 10.1.1.1 201 broadcast

frame-relay map ip 10.1.1.2 201

no frame-relay inverse-arp

no shutdown

!

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252

ip nat inside

clockrate 128000

no shutdown

!

!

router eigrp 100

passive-interface default

no passive-interface FastEthernet0/1

no passive-interface Serial0/0/0

no passive-interface Serial0/0/1

no passive interface lo0

network 10.1.1.0 0.0.0.3

network 10.2.2.0 0.0.0.3

network 192.168.20.0 0.0.0.255

network 209.165.200.0 0.0.0.7

no auto-summary

!

ip route 0.0.0.0 0.0.0.0 209.165.200.226

!

no ip http server

ip nat inside source list NAT interface FastEthernet0/0 overload

!

ip access-list standard Anti-spoofing

permit 192.168.20.0 0.0.0.255

deny any

ip access-list standard NAT

permit 10.0.0.0 0.255.255.255

permit 192.168.0.0 0.0.255.255

ip access-list standard private

deny 127.0.0.1

Page 184: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 11

deny 10.0.0.0 0.255.255.255

deny 172.16.0.0 0.15.255.255

deny 192.168.0.0 0.0.255.255

permit any

!

ip access-list extended R3-telnet

deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet

deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet

deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet

deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet

!

ip access-list standard TFTP permit 192.168.20.0 0.0.0.255

!

control-plane

!

line con 0

exec-timeout 5 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

!------------------------------------------

! R3

!------------------------------------------

no service password-encryption

!

hostname R3

!

security passwords min-length 6

!

no aaa new-model

!

ip cef

!

no ip domain lookup

!

username R1 password ciscoccna

username ccna password ciscoccna

!

interface FastEthernet0/1

no shutdown

!

interface FastEthernet0/1.11

encapsulation dot1Q 11

ip address 192.168.11.3 255.255.255.0

no snmp trap link-status

Page 185: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 11

!

interface FastEthernet0/1.30

encapsulation dot1Q 30

ip address 192.168.30.1 255.255.255.0

ip access-group Anti-Spoofin in

no shutdown

!

!

interface Serial0/0/0

ip address 10.3.3.2 255.255.255.252

encapsulation ppp

ppp authentication pap

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

no shutdown

!

router eigrp 10

network 10.3.3.0 0.0.0.3

network 10.2.2.0 0.0.0.3

network 192.168.11.0 0.0.0.255

network 192.168.30.0 0.0.0.255

no auto-summary

!

ip classless

!

ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.30.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

!

line con 0

exec-timeout 5 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

line vty 0 4

access-class VTY out

exec-timeout 15 0

logging synchronous

login local

!

end

!-----------------------------------------

! Comm1

!-----------------------------------------

no service password-encryption

Page 186: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 11

!

hostname Comm1

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode transparent

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

vlan 10 !

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 10

switchport mode access

!

interface range FastEthernet0/3-24

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan10

ip address dhcp

no ip route-cache

!

ip default-gateway 192.168.10.1

ip http server

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

Page 187: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 11

no login

!

end

!-----------------------------------------

! Comm2

!-----------------------------------------

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Comm2

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode Client

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode mst

spanning-tree extend system-id

spanning-tree vlan 30 priority 4096

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/3

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

Page 188: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 11

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan11

ip address 192.168.11.2 255.255.255.0

no ip route-cache

!

ip http server

!

control-plane

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm3

!-----------------------------------------

no service password-encryption

!

hostname Comm3

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode Server

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 4096

vlan internal allocation policy ascending

!

Vlan 11,30

!

interface FastEthernet0/1

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/2

switchport access vlan 30

Page 189: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.2 : dépannage des réseaux d’entreprise 2

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 11

switchport mode access

!

interface FastEthernet0/3

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan30

ip address 192.168.30.2 255.255.255.0

no ip route-cache

!

ip default-gateway 192.168.30.1

ip http server

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4 password ciscoccna

login

line vty 5 15

no login

!

end

Tâche 2 : détection et correction de toutes les erreurs réseau

Tâche 3 : vérification de la conformité aux conditions requises

Tâche 4 : documentation du réseau corrigé

Tâche 5 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).

Page 190: Tout les TP CCNA4 - ennoncé

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 12

Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Diagramme de topologie

Table d’adressage

Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut

R1 Fa0/0 192.168.10.1 255.255.255.0 N/D Fa0/1 192.168.11.1 255.255.255.0 N/D S0/0/0 10.1.1.1 255.255.255.252 N/D S0/0/1 10.3.3.1 255.255.255.252 N/D

R2 Fa0/1 192.168.20.1 255.255.255.0 N/D S0/0/0 10.1.1.2 255.255.255.252 N/D S0/0/1 10.2.2.1 255.255.255.252 N/D

Lo0 209.165.200.225 255.255.255.224 209.165.200.226

R3

Fa0/1 N/D N/D N/D Fa0/1.11 192.168.11.3 255.255.255.0 N/D Fa0/1.30 192.168.30.1 255.255.255.0 N/D S0/0/0 10.3.3.2 255.255.255.252 N/D S0/0/1 10.2.2.2 255.255.255.252 N/D

Comm1 VLAN10 Protocole DHCP 255.255.255.0 N/D Comm2 VLAN11 192.168.11.2 255.255.255.0 N/D Comm3 VLAN30 192.168.30.2 255.255.255.0 N/D

Page 191: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 12

PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1 PC2 Carte réseau 192.168.11.10 255.255.255.0 192.168.11.1 PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1

Serveur TFTP Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1

Objectifs pédagogiques

À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :

Câbler un réseau conformément au diagramme de topologie Supprimer la configuration de démarrage et recharger un routeur pour revenir aux paramètres

par défaut Charger les routeurs et les commutateurs avec les scripts fournis Identifier et corriger toutes les erreurs réseau Documenter le réseau corrigé

Scénario

Dans le cadre de cet exercice, n’utilisez pas de protection par nom d’utilisateur ou mot de passe sur les lignes de console, afin d’empêcher tout verrouillage accidentel. Dans ce scénario, utilisez ciscoccna pour tous les mots de passe. Remarque : cet exercice étant un récapitulatif, il vous sera nécessaire d’utiliser l’ensemble des connaissances et des techniques de dépannage acquises au cours des exercices et travaux pratiques précédents.

Conditions requises

Comm2 correspond à la racine Spanning Tree du réseau local virtuel VLAN 11 et Comm3 à celle du réseau local virtuel VLAN 30.

Comm3 correspond à un serveur VTP (VLAN Trunking Protocol) dont le client est Comm2. La liaison série entre les routeurs R1 et R2 est de type Frame Relay. La liaison série entre R2 et R3 utilise l’encapsulation HDLC. La liaison série entre R1 et R3 est authentifiée à l’aide du protocole CHAP. En tant que routeur connecté à Internet, R2 doit utiliser des procédures de connexion sécurisée. Toutes les lignes vty, à l’exception de celles appartenant à R2, n’autorisent que les connexions

depuis les sous-réseaux affichés dans le diagramme de topologie, excluant ainsi l’adresse publique.

L’usurpation de l’adresse IP source doit être évitée sur tous les liens non connectés à d’autres routeurs.

Les protocoles de routage doivent être utilisés de manière sécurisée. Le protocole OSPF est utilisé dans ce scénario.

R3 ne doit pas pouvoir établir de connexion telnet avec R2 au moyen de la liaison série directement connectée.

R3 peut accéder aux réseaux locaux virtuels VLAN 11 et VLAN 30 via son port Fast Ethernet 0/1. Le serveur TFTP ne doit pas recevoir de trafic ayant une adresse d’origine située hors du sous-

réseau. Tous les périphériques ont accès au serveur TFTP. Tous les périphériques du sous-réseau 192.168.10.0 doivent pouvoir obtenir leurs adresses IP

auprès du service DHCP de R1. Cela concerne notamment Comm1. Toutes les adresses indiquées dans le diagramme doivent être accessibles à partir de tous les

périphériques.

Page 192: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 12

Tâche 1 : chargement des routeurs avec les scripts fournis

!------------------------------------------

! R1

!------------------------------------------

no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

security passwords min-length 6

enable secret ciscoccna

!

ip cef

!

ip dhcp pool Access1

network 192.168.11.0 255.255.255.0

default-router 192.168.10.1

!

no ip domain lookup

!

ip dhcp excluded-address 192.168.10.2 192.168.10.254

!

frame-relay switching

!

username R3 password 0 ciscoccna

username ccna password 0 ciscoccna

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

duplex auto

speed auto

no shutdown

!

interface FastEthernet0/1

ip address 192.168.11.1 255.255.255.0

duplex auto

speed auto

no shutdown

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

encapsulation frame-relay

no keepalive

clockrate 128000

frame-relay map ip 10.1.1.1 201

frame-relay map ip 10.1.1.2 201 broadcast

no frame-relay inverse-arp

frame-relay intf-type dce

no shutdown

!

Page 193: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 12

interface Serial0/0/1

ip address 10.3.3.1 255.255.255.252

encapsulation ppp

ppp authentication chap

no shutdown

!

interface Serial0/1/0

no ip address

shutdown

clockrate 2000000

!

interface Serial0/1/1

no ip address

shutdown

!

router ospf 1

log-adjacency-changes

passive-interface FastEthernet0/0

network 10.1.1.0 0.0.0.255 area 0

network 10.2.2.0 0.0.0.255 area 0

network 192.168.10.0 0.0.0.255 area 0

network 192.168.11.0 0.0.0.255 area 0

!

ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.10.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

line con 0

exec-timeout 5 0

logging synchronous

line aux 0

line vty 0 4

access-class VTY in

login local

!

end

!------------------------------------------

! R2

!------------------------------------------

no service password-encryption

!

hostname R2

!

security passwords min-length 6

enable secret ciscoccna

!

aaa new-model

!

Page 194: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 12

aaa authentication login local_auth local

aaa session-id common

!

ip cef

!

no ip domain lookup

!

username ccna password 0 ciscoccna

!

interface Loopback0

ip address 209.165.200.245 255.255.255.224

ip access-group private in

!

interface FastEthernet0/1

ip address 192.168.20.1 255.255.255.0

ip access-group TFTP out

ip access-group Anti-spoofing in

ip nat inside

duplex auto

speed auto

!

!

interface Serial0/0/0

ip address 10.1.1.2 255.255.255.252

ip nat outside

encapsulation frame-relay

no keepalive

frame-relay map ip 10.1.1.1 201 broadcast

frame-relay map ip 10.1.1.2 201

no frame-relay inverse-arp

!

interface Serial0/0/1

ip address 10.2.2.1 255.255.255.252

ip access-group R3-telnet in

ip nat outside

!

!

router ospf 1

passive-interface FastEthernet0/1

network 10.1.1.0 0.0.0.3 area 0

network 10.2.2.0 0.0.0.3 area 0

!

ip classless

ip route 0.0.0.0 0.0.0.0 209.165.200.226

!

no ip http server

ip nat inside source list nat interface FastEthernet0/0

!

ip access-list standard Anti-spoofing

permit 192.168.20.0 0.0.0.255

deny any

ip access-list standard NAT

permit 10.0.0.0 0.255.255.255

permit 192.168.0.0 0.0.255.255

Page 195: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 6 sur 12

ip access-list standard private

deny 127.0.0.1

deny 10.0.0.0 0.255.255.255

deny 172.0.0.0 0.31.255.255

deny 192.168.0.0 0.0.255.255

permit any

!

ip access-list extended R3-telnet

deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet

deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet

deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet

deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet

permit ip any any

!

ip access-list standard TFTP permit 192.168.20.0 0.0.0.255

!

line con 0

exec-timeout 5 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport output telnet

line vty 0 4

exec-timeout 15 0

logging synchronous

login authentication local_auth

transport input telnet

!

end

!------------------------------------------

! R3

!------------------------------------------

no service password-encryption

!

hostname R3

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

!

ip cef

!

no ip domain lookup

!

username R1 password ciscoccna

username ccna password ciscoccna

!

interface FastEthernet0/1

no ip address

duplex auto

speed auto

no shutdown

Page 196: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 7 sur 12

!

interface FastEthernet0/1.11

encapsulation dot1Q 12

ip address 192.168.11.3 255.255.255.0

no snmp trap link-status

!

interface FastEthernet0/1.30

encapsulation dot1Q 30

ip address 192.168.30.1 255.255.255.0

ip access-group Anti-spoofing in

!

!

interface Serial0/0/0

ip address 10.3.3.2 255.255.255.252

encapsulation ppp

clockrate 125000

ppp authentication chap

no shutdown

!

interface Serial0/0/1

ip address 10.2.2.2 255.255.255.252

encapsulation lapb

no shutdown

!

router ospf 1

passive-interface FastEthernet0/1.30

network 10.2.2.0 0.0.0.3 area 1

network 10.3.3.0 0.0.0.3 area 1

network 192.168.11.0 0.0.0.255 area 1

network 192.168.30.0 0.0.0.255 area 1

!

ip classless

!

ip http server

!

ip access-list standard Anti-spoofing

permit 192.168.30.0 0.0.0.255

deny any

ip access-list standard VTY

permit 10.0.0.0 0.255.255.255

permit 192.168.10.0 0.0.0.255

permit 192.168.11.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

permit 192.168.30.0 0.0.0.255

!

line con 0

exec-timeout 5 0

logging synchronous

line aux 0

exec-timeout 15 0

logging synchronous

line vty 0 4

access-class VTY in

exec-timeout 15 0

logging synchronous

login local

Page 197: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 8 sur 12

!

end

!-----------------------------------------

! Comm1

!-----------------------------------------

no service password-encryption

!

hostname Comm1

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode transparent

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

vlan 10 !

interface FastEthernet0/1

switchport access vlan 10

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 10

switchport mode access

!

interface range FastEthernet0/3-24

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan10

ip address dhcp

no ip route-cache

!

ip default-gateway 192.168.10.1

ip http server

!

Page 198: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 9 sur 12

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm2

!-----------------------------------------

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Comm2

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode client

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 24576

spanning-tree vlan 30 priority 28672

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/2

switchport access vlan 11

switchport mode access

!

interface FastEthernet0/3

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk allowed vlan 11,30

switchport mode trunk

!

Page 199: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 10 sur 12

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan11

ip address 192.168.11.2 255.255.255.0

no ip route-cache

!

ip http server

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4

password ciscoccna

login

line vty 5 15

no login

!

end

!-----------------------------------------

! Comm3

!-----------------------------------------

no service password-encryption

!

hostname Comm3

!

security passwords min-length 6

enable secret ciscoccna

!

no aaa new-model

vtp domain CCNA_Troubleshooting

vtp mode Server

vtp password ciscoccna

ip subnet-zero

!

no ip domain-lookup

!

no file verify auto

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

spanning-tree vlan 11 priority 28672

spanning-tree vlan 30 priority 24576

!

vlan internal allocation policy ascending

!

Page 200: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 11 sur 12

vlan 30

!

interface FastEthernet0/1

switchport trunk allowed vlan 11

switchport mode trunk

!

interface FastEthernet0/2

switchport access vlan 30

switchport mode access

!

interface FastEthernet0/3

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface FastEthernet0/4

switchport trunk native vlan 99

switchport trunk allowed vlan 11,30

switchport mode trunk

!

interface range FastEthernet0/5-24

shutdown

!

interface GigabitEthernet0/1

shutdown

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

no ip route-cache

!

interface Vlan30

ip address 192.168.30.2 255.255.255.0

no ip route-cache

!

ip default-gateway 192.168.30.1

ip http server

!

line con 0

exec-timeout 5 0

logging synchronous

line vty 0 4 password ciscoccna

login

line vty 5 15

no login

!

end

Page 201: Tout les TP CCNA4 - ennoncé

CCNA Exploration Accès au réseau étendu : dépannage du réseau Travaux pratiques 8.5.3 : dépannage des réseaux d’entreprise 3

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 12 sur 12

Tâche 2 : détection et correction de toutes les erreurs réseau

Tâche 3 : vérification de la conformité aux conditions requises

Les contraintes de temps ne permettant pas d’aborder le dépannage de problèmes couvrant tous les sujets, seul un certain nombre de sujets sont censés poser problème dans le cadre de cet exercice. Cependant, pour renforcer vos compétences en matière de dépannage, il est conseillé de vérifier le respect de chacune des conditions requises. Pour ce faire, présentez un exemple pour chaque condition requise, tel qu’une commande show ou debug.

Tâche 4 : documentation du réseau corrigé

Tâche 5 : remise en état

Supprimez les configurations et rechargez les routeurs. Déconnectez le câblage et stockez-le dans un endroit sécurisé. Reconnectez le câblage souhaité et restaurez les paramètres TCP/IP pour les PC hôtes habituellement connectés aux autres réseaux (réseaux locaux de votre site ou Internet).