:: News .:. Documents .:. Forum .:. Downloads .:. Bibliographie .:. Liens .:. Contact  :: 


Home
  :. News
  .: Documents
    .: Notions
    .: Protocoles
    .: Sécurité
    .: Architecture
    .: Prog
    .: Systèmes
  :. Forum
  .: Downloads
  :. Bibliographie
  .: Liens
  :. Contact

Chat

  Nickname:


irc: #guill.net

Forum



 
Cisco 2500 : Routage, access-list et NAT  
 

 

I. Principes du routage

Quand le routeur reçoit un paquet sur une interface, il recherche dans sa table de routage l’adresse du réseau destination pour sélectionner l’interface de sortie.
Par défaut le routeur connaît les adresses IP des réseaux directement connectés à ses interfaces.
La commande : sh ip route permet de vérifier les protocoles de routage actifs.

1. Se connecter au routeur 1 en mode Telnet.
2. Utiliser la commande PING @ip depuis les routeurs pour vérifier les accès aux différents réseaux.
3. Depuis les postes de travail utiliser la commande PING (MS-DOS) pour vérifier les accès aux différents réseaux.

Si la route pour atteindre le brin 3 n'est pas déclarée sur le routeur 1, les PC du brin1 n'auront pas accès à ceux du brin 3.

1. Le routage statique

Si le réseau destination est directement connecté au routeur le transfert des paquets à destination de ce réseau sera implicitement assuré.

Si le réseau destination n’est pas directement connecté au routeur il faut alors définir la route à suivre ( prochain routeur ) pour joindre ce réseau.

Cette information ( @réseau destination - @ du prochain routeur ) est mémorisée dans la table de routage.

Cette table de routage peut être renseignée par un opérateur (Routage statique ) ou par un autre routeur grâce à un protocole de routage (RIP -IGRP-...) qui assure les échanges des tables de routage entre routeurs voisins.

Exemple :

ip route @Ip réseau-destination masque* @Ip-prochain-routeur

ip route 193.55.56.0 255.255.255.0 194.144.120.12

Dans notre exemple :

ip route @IPb3 255.255.255.0 @IPr2b2

masque* : les valeurs positionnées à 0 dans le masque ne sont pas prises en compte dans l’adresse réseau destination pour le choix de la route.

Conséquence :

Définition d’une route par défaut


ip route 0.0.0.0 0.0.0.0 194.144.120.12

Tous le paquets à destination de réseaux non connectés directement au routeur seront transmis à l’interface d’adresse 194.144.120.12

Ajouter les routes statiques pour permettre les échanges entre tous les postes de travail connectés aux différents segments du réseau.

Pour vérifier le routage utiliser les commandes : ping, tftp ou ftp (ms-dos)

Remarque :

N’oublier pas de configurer les ‘’default gateway’’ sur chaque poste de travail).

2. Le protocole RIP

Les routeurs peuvent aussi utiliser des protocoles de routage pour mettre à jour régulièrement leur table de routage.

Le protocole RIP ’’Routing Information Protocol ’’ : chaque routeur transmet à son voisin par BROADCAST sa table de routage toutes les 30’’.

Réaliser la mise jour des tables de routage avec le protocole RIP

1 - Vérifier le routage actif : sh ip route
2 - Supprimer les routes statiques : no ip route @ IP_réseau masque
3 - Activer sur chaque routeur le protocole RIP : router RIP
4 - Préciser les adresses IP des réseaux connectés au routeur et à diffuser : network @IP_réseau
5 - Vérifier les routes connues par le routeur : sh ip route
6 - Pour désactiver le protocole RIP : no router RIP
7 - Tester les échanges entre les postes de travail.

II. Le contrôle des accès (Filtres) : access-list

Les routeurs CISCO possèdent une fonction de filtrage des paquets. Ces filtres sont définis pour chaque interface en entrée et/ou en sortie. Pour définir un filtre en entrée sur l’interface ethernet 1 :

1.

Ajouter la commande : ip access-group 101 in dans la définition des caractéristiques de l’interface.

Exemple :

!
interface Ethernet1
description reseau eleve

ip address 194.50.149.50 255.255.255.0

ip access-group 101 in
no mop enabled
!

2.

Définir le filtre associé à l’interface par son N°:

access-list 101 permit ip host 198.54.153.164 host 195.51.150.125

ou

access-list 101 deny tcp host 193.49.148.206 eq ftp host 193.49.148.13

ou

access-list 10 permit ip 198.54.153.164

Remarques :

Les ‘’acces-list’’ standards sont numérotés de 0 à 99 (filtre sur les adresses Ip).


Les ‘’access-list’’ étendus sont numérotés de 100 à 199 (filtre sur les applications).


Par défaut les paquets sont bloqués, sauf si une commande (acces-list) autorise le passage du paquet.


Les ‘’access-list ‘’ sont mémorisés et scrutés par ordre d’écriture ; le routeur arrête la lecture des ’’access-list’’ dès qu’une condition est vérifiée.

Conséquence :

Dans un fichier de programmation (Conf net), il est souhaitable de supprimer tous les « access-list » précédemment définis pour une interface avant de définir les nouveaux.

Exemple :

!
no access-list 101
access-list 101 deny ip any 195.51.150.0 0.0.0.255
access-list 101 deny ip any 196.52.151.0 0.0.0.255
access-list 101 deny ip any 197.53.152.0 0.0.0.255
access-list 101 deny ip any 198.54.153.0 0.0.0.255
access-list 101 permit ip any any

!

III. La fonction NAT « Network Address Translation »

Cette fonction permet de translater les adresses IP lors du passage des paquets à travers le routeur. Elle est utilisée pour étendre l’adressage IP d’un réseau interne, sans tenir compte des adresses officielles d’accès à Internet.

La notion de domaine interne et externe est importante, comme pour les access-lists, puisqu'elle définit la translation pour tout paquet "sortant" du réseau, mais également pour tout paquet "entrant".

Pour contrôler les translations les routeurs CISCO utilisent :

- « Inside local address » : adresse IP d’un système du réseau interne.

- « Inside global Address » : Adresse IP ( allouée par le NIC – ou le fournisseur d’accès ) qui représente une adresse IP du réseau interne vue du monde extérieur. (Outside).

- « Outside local address » : Adresse IP d’un système du monde extérieur utilisée par les systèmes du réseau interne.

- « Outside global address » : Adresse IP d’un système du monde extérieur ( routable) définie par son propriétaire.

Définition des interfaces « Inside » et « Outside » :

interface Ethernet 0
description acces internet
ip address 193.49.148.160 255.255.255.0

ip access-group 150 in
ip nat outside
!
interface Ethernet 1
description reseau interne

ip address 192.168.10.10 255.255.255.0

ip access-group 160 in
ip nat inside

Translation statique utilisée pour permettre les accès aux serveurs :

ip nat translation timeout 43200


ip nat inside source static @IPInterne @IP-Translatée

ip nat inside source static 192.168.10.100 193.49.148.60

Translation dynamique :

ip nat translation timeout 43200

!défition de la zone d’adresses IP utilisables
ip nat pool SALLE-1 193.49.148.70 193.49.148.80 netmask 255.255.255.0
ip nat inside source list 1 pool SALLE-1
!
!Définition des stations autorisées à effectuer du NAT
!
no access-list 1
access-list 1 permit 192.168.10.0 0.0.0.255

Pour configurer les réponses au requêtes ARP pour les adresses IP translatées :

arp 193.49.148.60 00e0.1466.1112 ARPA alias
arp 193.49.148.70 00e0.1466.1112 ARPA alias
arp 193.49.148.71 00e0.1466.1112 ARPA alias
arp 193.49.148.72 00e0.1466.1112 ARPA alias

 




Sondage

Quel est votre connexion à Internet aujourd'hui ?
 
RTC 56Kbps
ADSL simple de 128 à 2048 Kbps
ADSL + Téléphonie (+TV) de 128 à 2048 Kbps
ADSL simple jusqu'à 20Mbps
ADSL + Téléphonie (+TV) jusqu'à 20Mbps
Autres (RNIS, Satellites bi-directionnel...)
Total :
2884

Recherche


Docs
   Pflogsumm (Analyseur de log mail pour Postfix)
   Proftpd (Mise en service d'un serveur FTP avec proftpd sous Linux)
   Openldap (Mise en service d'un serveur LDAP sous Linux)
   Gestion des périphériques en c++ builder (Communication RS232 en C++ Builder)
   Les sockets windows (Windows Sockets : un cours accéléré)

guill.net©1999-2018