Tutoriels sur le réseau - La pratique

Dans ces tutoriels ci-dessous, qui est la deuxième partie, sur le thème du réseau, nous continurons à aborder, sur la création de réseau virtuel avec le logiciel "Packet Tracer", je vous conseil de visionner les sept thèmes théorique pour mieux appréhender et comprendre ce que c'est un réseau et de pouvoir comprendre comment installer et configurer un réseau de A à Z.

Vous rencontrez des difficultés à faire certains tutoriels, vous pouvez me contacter pour que je puisse vous apporter mon aide et/ou des précisions en remplissent le formulaire de contact.

Je vous donne le lien pour télécharger le logiciel Packet Tracer, ainsi que le fichier pour le mettre en français.

Tutoriels sur le réseau

le câble réseau

Différence des câbles réseau

Sans Vidéo

Courant Porteur en Ligne

CPL - Courant Porteur en Ligne

Sans Vidéo

sécurité de la wifi

Sécurisez votre connexion WiFi

Sans Vidéo

Création d'un réseau

Création d'un réseau Ethernet

Durée : 5 mn 27

réseau LAN

Création d'un LAN

Durée : 22 mn 36

un réseau WAN

Création d'un WAN

Durée : 37 mn 35

creation de vlan

Création d'un Vlan

Durée : 19 mn 19

création d'un VPN

Création d'un VPN

Durée : 45 mn 22

Configuration d'un serveur DHCP

Durée : 8 mn 57

Configuration d’un serveur radius

Durée : 15 mn 15

Sécurisation des ports de Switch

Durée : 18 mn 00

Configuration d’un Téléphone (standard)

Configuration d’un Téléphone (standard)

Durée : 21 mn 59

Téléphoné en VOIP entre site distant

Durée : 34 mn 04

Routage Statique

Routage Statique

Durée : 40 mn 27

Routage Dynamique avec RIP

Routage Dynamique avec RIP

Durée : 18 mn 04

Configurer le protocole SSH

Configurer le protocole SSH

Durée : 20 mn 29


Retour


Différence entre un câble réseau droit et croisé (connecteur RJ45)

le câble réseau

Le câble réseau droit, à ses fils de couleur positionner au même emplacement sur ses connectiques ; or que le câble réseau croisé, à ses fils de couleur inverser sur ses connectiques.

Le câble droit ne pourras être connecté (relier) qu'avec des appareils qui seront de nature identiques (exemple : entre deux ordinateurs).

Le câble croisé, ne pourras être connecté (relier) qu'avec des appareils qui seront de nature différentes (exemple : entre un ordinateurs et une box ou modem ou routeur).


CPL - Courant Porteur en Ligne

Courant Porteur en Ligne

Le CPL, fonctionne sur le principe du courant électrique qui emmène les données en plus du courant électrique vers un ordinateur ou tout autres matériels compatible. L'installation et sa configuration est d'une facilité déconcertante ; Il vous faut au-moins deux boîtiers minimum, pour créer un réseau.

Exemple : liaison de deux PC et de votre box, de la manière suivante, il vous faut deux boîtiers CPL, vous branchez le 1er boîtier CPL sur une prise électrique et vous branchez le câble d'alimentation de votre box (si il est dépourvu de cette possibilité) ; puis un câble Ethernet de votre box au 1er boîtier CPL, puis un câble Ethernet de votre box à votre PC, pour le deuxième PC, vous branchez le boîtier sur une prise électrique et vous branchez le câble d'alimentation du PC sur le 2é boîtier CPL (si il est dépourvu de cette possibilités) ; puis un câble Ethernet du PC au 2é boîtier CPL.


Sécurisez votre connexion Wifi

sécurité de la wifi

Sans protection, n’importe qui, dans la zone de couverture de votre réseau Wi-Fi, peut utiliser votre connexion pour effectuer des actions malhonnêtes ou intercepter les données qui transitent- en gros, tout ce que vous faites sur Internet. Si le cryptage Web est souvent activé dans les box Internet, il est facilement contournable. Préférez un cryptage WPA, mais attention : tous les matériels (telle la console Nintendo DS) ne sont pas compatible WPA, pour ce qui est des cartes réseaux ou des clés USB Wi-Fi, vous devez peut-être faire une mise à jour des pilotes.

Pour accéder à l’interface d’administration de votre box, ouvrez votre navigateur à l’adresse http://192.168.1.1 [adresse par défaut de nombreuses box] et rendez-vous à la rubriqueWi-Fi, Configuration. Déroulez la liste mode de sécurité et sélectionnez l’option WPA2. Saisissez une phrase complexe comme clé de sécurité et validez. Sur votre appareil sans fil, reconnectez-vous au réseau Wi-Fi et saisissez la phrase complexe dans le champ Clé. Si vous utilisez une Livebox, appuyez sur le bouton de synchronisation (sous le boitier). Validez. Vos échanges sont sécurisés.


Création d'un réseau Ethernet

Comment créer un réseau (poste à poste) en Ethernet. Vous devrez au préalable avoir fait sur papier ou avec le logiciel dédier, telle que "Packet Tracert", le schéma du réseau que vous voulez créer.

Pour la création du schéma de votre réseau, vous mettrez sur votre schéma, les ordinateurs ainsi que la représentation des câbles que vous allez utiliser pour les liaisons ainsi que les adresse IP (de la classe C) pour chaque PC que vous utiliserez.

Chaque PC devra avoir une adresse IP différente. Quand on parle d'adresse IP, il faut que le dernier chiffre soit différent pour chaque ordinateur.

Exemple pour deux ordinateurs relier entre eux.

PC1 : @IP – 192.168.10.02/255.255.255.0

PC2 : @IP – 192.168.10.03/255.255.255.0

Le dernier chiffre identifie l'adresse de l'ordinateur.

La classe C (la classe C est réserver à cette usage) est dans une plage entre 192.0.0.0 à 223.255.255.255 avec un masque de réseau : 255.255.255.0.

Pour la création d'un réseau Ethernet (liaison entre deux PC minimum) il vous faudra un câble croisé, d'une longueur suffisamment longue et avec une marge pour ne pas avoir des câbles trop tendu (environ 50 cm en plus à chaque extrémité du câble). Attention, les câbles réseaux ne devront jamais être pliés mais rouler sur lui même, car sous risque de détériorer à l'intérieur du câble. Et bien sur, des cartes réseaux pour chaque PC que vous voulez relier.

Commencez par installer les cartes réseaux dans chaque ordinateur, ainsi que leurs pilotes (drivers) et installez les câbles en les reliant aux cartes, sur chaque PC.

Passons à la configuration, avec votre schéma de votre futur réseau en main, vous allez reproduire les mêmes manipulations pour chaque carte de votre réseau, avec une nuance sur leurs adresses IP.

Vous allez dans le panneau de configuration du Menu démarrer (que ça soit Windows 7 ou 10, c'est au même endroit qu'on doit allée).

Reproduisez les mêmes instructions pour chaque ordinateur.


Création de deux LAN

Pour la création de ce tutoriel, avec le logiciel Packet Tracer ; il nous faudra 6 ordinateurs et deux switch (modèle pris en exemple le 2960), on utilisera l'adresses IP de la classe C (192.168.1.0/24 soit 255.255.255.0).

Réalisation :

  1. Configuration des PC.
    1. Pc 1 : 192.168.1.1/24
    2. Pc 2 : 192.168.1.2/24
    3. Pc 3 : 192.168.1.3/24
    4. Pc 4 : 192.168.10.1/24
    5. Pc 5 : 192.168.10.2/24
    6. Pc 6 : 192.168.10.3/24

Création d'un WAN

Nous allons relier le site "paris" au site "Lyon".

Pour la création de ce tutoriel il nous faudra 6 ordinateurs, de deux switch (modèle pris en exemple le 2960) et de deux routeurs (modèle en exemple le 1811), on utilisera les adresses IP de la classe C (192.168.1.0/24 – 192.168.10.0/24 – 10.0.0.0/8).

Réalisation :

  1. Configuration des PC.
    1. Pc1 : 192.168.1.1/24
    2. Pc2 : 192.168.1.2/24
    3. Pc3 : 192.168.1.3/24
    4. Pc4 : 192.168.10.1/24
    5. Pc5 : 192.168.10.2/24
    6. Pc6 : 192.168.10.3/24
  2. Configuration des deux routeurs
    1. Routeur 1 - Paris (@ IP : 192.168.1.254/24 & 10.0.0.254/8) :
      1. Router>enable
      2. Router#configure terminal
      3. Router(config)#hostname Paris
      4. Router(config)#interface FastEthernet0/1
      5. Router(config-if)#ip address 192.168.1.254 255.255.255.0
      6. Router(config-if)#no shutdown
      7. Router(config-if)#exit
      8. Router(config)#interface Serial0/2/0
      9. Router(config-if)#ip address 10.0.0.254 255.0.0.0
      10. Router(config-if)#no shutdown
      11. Router(config-if)#exit
      12. Router(config)#ip route 192.168.10.0 255.255.255.0 10.0.0.253
      13. Router(config-if)#end
      14. Router#copy running-config startup-config
    2. Routeur 2 - Lyon (@ IP : 192.168.10.254/24 & 10.0.0.253/8) :
      1. Router>enable
      2. Router#configure terminal
      3. Router(config)#hostname Lyon
      4. Router(config)#interface FastEthernet0/1
      5. Router(config-if)#ip address 192.168.10.254 255.255.255.0
      6. Router(config-if)#no shutdown
      7. Router(config-if)#exit
      8. Router(config)#interface Serial0/2/0
      9. Router(config-if)#ip address 10.0.0.254 255.0.0.0
      10. Router(config-if)#no shutdown
      11. Router(config-if)#exit
      12. Router(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.254
      13. Router(config-if)#end
      14. Router#copy running-config startup-config

Création d'un Vlan

Pour la création de ce tutoriel il nous faudra 6 ordinateurs et un switch (modèle pris en exemple le 2960), on utilisera les adresses IP de la classe C (192.168.1.0/24).

Réalisation :

  1. Configuration des PC.
    1. Pc 1 : 192.168.1.1/24
    2. Pc 2 : 192.168.1.2/24
    3. Pc 3 : 192.168.1.3/24
    4. Pc 4 : 192.168.1.10/24
    5. Pc 5 : 192.168.1.20/24
    6. Pc 6 : 192.168.1.30/24
  2. Configuration de 3 VLAN (couleur : Vert=administration, Bleu=comptabilité, Orange=production)
    1. Switch>enable
    2. Switch#configure terminal
    3. Switch#(config)#vlan 10
    4. Switch(config-vlan)#name « nom du vlan »
    5. Switch(config-vlan)#exit (end)

Cette manipulation est à répéter pour la création des vlan.

Ports Affectation - Vlan Affectation aux PC
Fa0/1 - 0/8 Administration - Vlan 10 PC 1 & PC 4
Fa0/9 - 0/16 Comptabilité - Vlan 20 PC 2 & PC 5
Fa0/17 - 0/24 Production - Vlan 30 PC 3 & PC 6
  1. Switch#show vlan
  2. Switch#configure terminal
  3. Switch(config)#interface FastEthernet0/1
  4. Switch(config-if)#switchport access “numéro du vlan”
  5. Switch(config-if)#exit (end)

Cette manipulation est à répéter pour associer les ports aux vlan.

  1. Switch#Copy running-config startup-config

Création d'un VPN

Pour la création de ce tutoriel il nous faudra 1 ordinateur, 1 serveur et 3 routers (modèle pris en exemple le 1811), on utilisera les adresses IP de la classe A & C (10.1.1.0/30 - 10.2.2.0/30 - 192.168.1.0/24 - 192.168.3.0/24).

Dans cette réalisation du VPN, on utiliseras le protocole IPsec.

Réalisation :

On commence par configurer notre PC et notre serveur en leur attribuant la bonne configuration réseau.

Configuration routeur R1

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage. On vas utilisé le routage RIP mais vous pouvez faire un routage soit avec OSPF ou un routage statique ces vous choisissez.

La configuration de base du router R1 est terminer.

On refait la même procédure sur les routeurs R2 & R3 que pour le routeur R1 avec quelques nuance.

Configuration routeur R2

Configuration du routage du routeur R2

La configuration de base du router R2 est terminer.

Configuration routeur R3

Configuration du routage du routeur R3

La configuration de base du router R3 est terminer.

On vas configurer le VPN, mais il faut savoir que le VPN se configure juste sur les routeurs d'extrémités dans notre cas ces les routeurs R1 et R3 et par conséquence il ni auras aucune modification du routeur R2.

Première étape - configuration ru routeur R1

Vous devez vérifier que l'IOS de vos routeurs supporte le VPN.

group 5 : Spécifie l'identifiant Diffie-Hellman

lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs.

Sur certain routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit être choffré ou pas, alors tapez cette commande.

esp : signifie Encapsulation Security Protocol

Utiliser les mêmes protocoles d'encryptions et de Hash que vous avez utilisé plus haut.

Dans ce TP :

On vas fixer ensuite une valeur de Lifetime :

Création d'une ACL qui va déterminer le trafic autorisé.

Fin de la configuration du routeur R1

Nous allons configurer la crypto map qui vas être associé à l'access-list, le trafic et la destination.

Terminons la configuration sur R1 en appliquant la crypto map sur l'interface de sortie.

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Ce message doit vous indiquez que la crypto map fonctionne.

On refait la même configuration que sur le routeur R1

Ou

Création d'une ACL qui va déterminer le trafic autorisé.

Fin de la configuration du routeur R2

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Pour savoir si tout fonctionne, utiliser à l'invite de commande du Pc vers le Serveur, la commande "ping" suivi de l'adresse IP du serveur.


Configuration d'un serveur DHCP

Dans cette vidéo je vais vous montrez avec le logiciel “Packet Tracer” comment configurer un serveur DHCP et vous expliquez sommairement ce qu’est un serveur DHCP et son utilité ; Si cela vous intéresse, dite le-moi dans les commentaires, je verrais à faire une vidéo théorique et pourquoi pas de la pratique, pour vous décrire précisément ce que c’est un serveur DHCP.

Si cela vous intéresse, dite le moi en m'écrivant pour me laisser des commentaires, je verrais pour cela à faire une vidéo théorique et pourquoi pas virtualiser un serveur DHCP, ce qui permettra de vous décrire précisément ce que c’est un serveur DHCP.


Configuration d’un serveur radius

C’est quoi un serveur radius ?

C’est un protocole standard qui a pour but de centraliser toutes les authentifications par un login et mot de passe. Un serveur radius peut s’appuyer sur un active directory ou un serveur LDAP pour référencer des comptes déjà existants. L’avantage est de se connecter avec un seul compte sur plusieurs périphériques d’administration (ex : router/switch/Serveur/…). Ce qui permet de ne retenir qu’un login mot de passe et non plus des milliers.

RADIUS est un protocole client-serveur permettant de centraliser des données d'authentification. Le protocole RADIUS a été inventé et développé en 1991 par la société Livingston enterprise, qui fabriquait des serveurs d'accès au réseau pour du matériel uniquement équipé d'interfaces série ; il a fait ultérieurement l'objet d'une normalisation par l'IETF.

L’Internet Engineering Task Force (IETF), élabore et promeut des standards Internet, en particulier les standards qui composent la suite de protocoles Internet (TCP/IP). L'IETF produit la plupart des nouveaux standards d'Internet. Le but du groupe est généralement la rédaction d'une ou plusieurs Request for comments (RFC), nom donné aux documents de spécification à la base d’Internet.

Il s'agit d'un organisme de standardisation ouvert, qui n'a pas d'adhésion officielle ou de conditions d'adhésion. Tous les participants et les gestionnaires sont des bénévoles, bien que leur travail soit habituellement financé par leurs employeurs ou leurs commanditaires.

L'IETF a commencé comme une activité soutenue par le gouvernement fédéral américain, mais depuis 1993, il fonctionne comme une fonction d'élaboration de normes sous les auspices de l'Internet Society, une organisation internationale à but non lucratif fondée sur l'adhésion.


Sécurisation des ports de Switch

Nous allons parler dans ce tuto de comment on va sécuriser les ports sur son switch.

Avec les Switches Cisco, il est possible de faire un contrôle sur les ports en limitant l’accès à certaines adresses MAC, cela permet de sécuriser l’accès. Pour cela, il faut utiliser l’option « Port-security ».

Il y a deux méthodes, la première consiste à enregistrer manuellement l’adresse MAC autorisée et la seconde consiste à prendre comme adresse MAC autorisée celle de l’hôte qui va se connecter et envoyer une trame en premier à ce port du Switch Cisco.

Pour rappel, l’adresse MAC correspond à l’adresse physique de la machine c'est-à-dire de sa carte réseau.

Sécurisation manuelle de l’accès

Dans un premier temps, on va sécuriser manuellement l’accès en définissant une adresse MAC précise pour un port. Dans le but d’empêcher n’importe quel poste de travail de se connecter.

Pour le moment, il n’y a pas de sécurité, les postes de travail peuvent se connecter sur n’importe quel port du Switch et communiquer entre eux.

Étant donné qu’il y a des clients nomades (PC Portables) ils pourraient facilement changer de port sur le Switch donc nous allons autoriser uniquement le « Client Nomade 1 » à se connecter au port 2 du Switch, pour éviter que le « Client Nomade 2 » s’y connecte.

Ce qui correspond à : Passer en mode privilégié puis en mode de configuration et ensuite dans la configuration de l’interface FE 0/2 (port 2). En passe cette interface en mode « access » au lieu de « dynamic » puis on active la sécurité du port « port-security ». Pour finir, on définit l’adresse MAC autorisée sur cette interface.

! l’adresse MAC doit se marquer sur la forme xxx.xxx.xxx. et non xx :xx :xx :xx :xx :xx

Lorsque l’on débranche le « Client Nomade 1 » et que l’on branche le « Client Nomade 2 » on peut voir que la connexion est active (elle peut se désactiver) mais si on effectue un ping avec le « Client LAN » vers le « Client Nomade 2 » il n’y a pas de réponse. La protection s’applique bien.

Sécurisation automatique de l’accès

Il est possible de sécuriser l’accès de manière automatique c'est-à-dire que l’on active le « port-security » et c’est le premier hôte qui va se connecter et envoyer une trame qui va en être en quelque sorte le propriétaire. Tout le temps qu’il n’y ait pas de trame, l’adresse MAC du PC connecté n’est pas enregistrée.

Par exemple, paramétrons de cette manière le port 3 (Interface FastEthernet 0/3) :

Le port est actif et le PC connecté, il ne reste plus qu’à envoyer une trame (par exemple pinger le PC « Client LAN ») pour que l’adresse MAC du « Client Nomade 2 » soit enregistrée.

Configurer la réaction lors de la violation de la sécurité

Lorsqu’un hôte non autorisé se connecte sur un port sécurisé, le switch se doit de réagir à cette violation de la sécurité. Pour cela il utilise la commande « switchport port-security violation » avec 3 options différentes, qui sont :

Pour la réactiver, il faut désactiver le port manuellement et le réactiver manuellement pour qu’il redevienne actif. Pour cela, allez dans la configuration de l’interface et saisissez la commande « shutdown » pour désactiver puis « no shutdown » pour activer l’interface.

Exemple si on veut ajouter ce paramètre sur une interface déjà sécurisée :

Augmenter le nombre d’adresses MAC autorisées sur un port

Par défaut, il est possible d’autoriser une seule adresse MAC sur chacun des ports mais il est possible d’augmenter le nombre d’adresses grâce à la commande :

Où X correspond au nombre maximum d’adresses que vous souhaitez autoriser.


Configuration d’un Téléphone (standard)

De nos jours, il existe un grand nombre de logiciels utilisant la technologie VoIP. Certains sont même gratuits, comme Skype ou WhatsApp. Avec la VoIP, votre voix est transformée en signaux électriques à l'aide d'un pilote audio. Puis, un logiciel appelé codec (qui compresse et décompresse les informations transmises) convertit ce signal en langage binaire – ou langage informatique.

Nous allons passer à la pratique en fusant une configuration de téléphone compatible VOIP, sur packet tracert, si vous voulez en savoir plus sur le fonctionnement, laissez-moi vos commentaires en bas de la vidéo, je me ferais un plaisir de développer sur ce sujet.

Dans ce tuto nous allons avoir besoin et pour configurer :

1ère étape : nous allons configurer FastEthernet 0/0 et le serveur DHCP sur le routeur (2811).

Configuration de l'interface FA 0/0 :

Le serveur DHCP est nécessaire pour fournir une adresse IP et l'emplacement du serveur TFTP pour chaque téléphone IP connecté au réseau.

2e étape : Configurez le service de téléphonie Call Manager Express sur router.

Vous devez maintenant configurer le service de téléphonie Call Manager Express sur router pour permettre VoIP sur votre réseau.

3e étape : Configurer le répertoire de téléphone pour IP Phone

Bien que "Téléphone IP" soit déjà connecté au Switch, il a besoin de configuration additionnelle avant bien être capable de communiquer. Vous devez configurer le "Router" pour attribuer un numéro de téléphone à ce téléphone IP associer.

Cette étape est à répéter autant de fois qu'il y a de téléphone IP de connecter.

4e étape : configuration d'un VLAN de voix sur le Switch

Appliquer la configuration suivante sur les interfaces Switch. Cette configuration va séparer le trafic de voix et de données dans différents VLAN sur le Switch. Des paquets de données seront réalisées sur le VLAN d'accès.

5e étape : Vérifiez la configuration

Assurez-vous que le ou les téléphone(s) IP reçoit(vent) une adresse IP et un numéro de téléphone du "Router" (cela peut prendre un peu de temps). Notre tuto est à présent terminée, vous pourrez faire des appels avec les téléphones pouvant s’appeler.

Option : Pour faire l'interconnexion entre plusieurs réseaux différant, voici ce qu'il faut configurer pour chaque routeur.

Pour cela, je vous propose de regarder le tutoriel sur la VOIP entre site distant, ci-dessous.


Téléphoné en VOIP entre site distant

Nous allons passer à la pratique en faisant une configuration de téléphone compatible VOIP entre deux sites distants, sur Packet Tracer, si vous voulez en savoir plus sur le fonctionnement, laissez-moi vos commentaires en bas de la vidéo, je me ferais un plaisir de développer sur ce sujet.

L’idée ici n’est pas de configurer le routage des deux sites mais juste d’interconnecter Les deux Call Manager Express (Paris et Rouen) entre les 2 site.

A présent, nous allons mettre en place une configuration des téléphones pouvant s’appelé entre les deux sites.

Configuration des deux Switch

Switch de Paris Switch de Rouen
Switch>enable Switch>enable
Switch#configure terminal Switch#configure terminal
Switch(config)# Switch(config)#
Switch(config)#hostname SwParis Switch(config)#hostname SwRouen
SwParis(config)#interface range fastEthernet 0/1-24 SwRouen(config)#interface range fastEthernet 0/1-24
SwParis(config-if-range)#switchport voice vlan 1 SwRouen(config-if-range)#switchport voice vlan 1
SwParis(config-if-range)#end SwRouen(config-if-range)#end
SwParis# SwRouen#

Configuration des routeurs de Paris/Rouen

Router de Paris Router de Rouen
Paramétrage de l'interface 0/0
Router>enable Router>enable
Router#configure terminal Router#configure terminal
Router(config)#hostname Paris Router(config)#hostname Rouen
Paris(config)#interface fastEthernet 0/0 Rouen(config)#interface fastEthernet 0/0
Paris(config-if)#ip address 192.168.1.254 255.255.255.0 Rouen(config-if)#ip address 192.168.2.254 255.255.255.0
Paris(config-if)#no shutdown Rouen(config-if)#no shutdown
Paris(config-if)#exit Rouen(config-if)#exit
Configuration de la DHCP - VOIP
Paris(config)#ip dhcp pool PHONES Rouen(config)#ip dhcp pool PHONES
Paris(dhcp-config)#network 192.168.1.0 255.255.255.0 Rouen(dhcp-config)#network 192.168.2.0 255.255.255.0
Paris(dhcp-config)#default-router 192.168.1.254 Rouen(dhcp-config)#default-router 192.168.2.254
Paris(dhcp-config)#option 150 ip 192.168.1.254 Rouen(dhcp-config)#option 150 ip 192.168.2.254
Paris(dhcp-config)#exit Rouen(dhcp-config)#exit
Paris(config)# Rouen(config)#
Configuration des téléphone EPHONE
Paris(config)#telephony-service Rouen(config)#telephony-service
Paris(config-telephony)#max-ephones 2 Rouen(config-telephony)#max-ephones 2
Paris(config-telephony)#max-dn 2 Rouen(config-telephony)#max-dn 2
Paris(config-telephony)#ip source-address 192.168.1.254 port 2000 Rouen(config-telephony)#ip source-address 192.168.2.254 port 2000
Paris(config-telephony)#auto assign 1 to 2 Rouen(config-telephony)#auto assign 1 to 2
Paris(config-ephone-dn)#ephone-dn 1 Rouen(config-ephone-dn)#ephone-dn 1
Paris(config-ephone-dn)#number 1001 Rouen(config-ephone-dn)#number 2001
Paris(config-ephone-dn)#ephone-dn 2 Rouen(config-telephony)#ephone-dn 2
Paris(config-ephone-dn)#number 1002 Rouen(config-ephone-dn)#number 2002
Paris(config-ephone-dn)#exit Rouen(config-ephone-dn)#exit
Configuration de l'interface relient les deux routeurs
Paris(config)# Rouen(config)#
Paris(config)#interface fastEthernet 0/1 Rouen(config)#interface fastEthernet 0/1
Paris(config-if)#ip address 192.168.3.200 255.255.255.0 Rouen(config-if)#ip address 192.168.3.250 255.255.255.0
Paris(config-if)#no shutdown Rouen(config-if)#no shutdown
Paris(config-if)#exit Rouen(config-if)#exit
Configuration de la route static
Paris(config)# Rouen(config)#
Paris(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.250 Rouen(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.200
Configuration de la téléphonie entre les deux réseaux
Paris(config)#dial-peer voice 1000 voip Rouen(config)#dial-peer voice 2000 voip
Paris(config-dial-peer)#session target ipv4:192.168.3.250 Rouen(config-dial-peer)#session target ipv4:192.168.3.200
Paris(config-dial-peer)#destination-pattern 2... Rouen(config-dial-peer)#destination-pattern 1...
Paris(config-dial-peer)#end Rouen(config-dial-peer)#end
Paris# Rouen#

Les téléphones de sites distants peuvent dès à présent s’appeler. Pensez à sauvegarder dans les switch et routeurs les paramétrages en tapent cette ligne de commande à la fin copy running-config startup-config.


Routage Statique

Le routage statique est une forme de routage qui se produit lorsqu'un routeur utilise une entrée de routage configurée manuellement, plutôt que des informations provenant du trafic de routage dynamique. Ce qui consiste à créer un chemin où les informations devront passer pour aller d’un LAN à un autre LAN.

Nous allons créer un exercice pour mettre de faire communiquer les 2 réseaux LAN avec du routage statique, avec mise en place de routes statiques de backup (appelés aussi routes flottantes) ainsi qu’une route par défaut.

Voici la liste de matériel que l’on aura besoin pour créer ce tuto :

Les adresses réseaux que nous utiliserons seront « 192.168.2.0/24, 192.168.4.0/24, 192.168.6.0/24, 192.168.8.0/24, 192.168.10.0/24, 192.168.12.0/24, 192.168.14.0/24 et 192.168.16.0/24 ».

Routage statique

Un peu de théorie, il existe 3 types de route statique, les différences se jouent sur la fin de la commande ;

IMPORTANT : Cette commande est à taper pour les liaisons points to points seulement. Celle-ci ne fonctionnera pas sur les liaisons multi-points.

Cette commande est à utiliser pour les liaisons multi-points. On référence l’adresse IP du routeur voisin afin d’envoyer le paquet vers la bonne destination.

Note : Cette commande n’est pas disponible sous packet tracer pour l’IPv4 mais l’est pour l’IPv6.

Passons à la pratique, nous allons configurer le routeur R1, car actuellement notre routeur connait 4 routes, sur les interfaces « fa0/0 – fa0/1 – fa0/2 et fa0/3 ».

Ces routes sont référencées par la lettre C comme Connected

L’objectif est donc de référencer l’ensemble des réseaux qu’il ne connait pas. Nous avons au total 7 réseaux dans la maquette. Il me reste donc 3 réseaux à référencer. Nous allons faire en sorte que les routeurs empruntent les chemins les plus cours pour joindre la destination.

Voici les routes pour R1 :

On aurait pu remplacer fastEthernet 0/1 par 192.168.4.254, celle-ci serait donc une route récursive. Ce qui aurait donné :

NOTE : Dans notre cas, nous n’avons pas sujet utile de renseigner les routes récursives sur les routeurs.

Si cela vous en dit, nous pouvons vérifier la configuration avec la commande « show ip route ».

Les routes Statiques sont caractérisées par la lettre S comme STATIC vous l’avez deviné. Nous allons maintenant configurer les deux autres routeurs, des adresses static.

Voici les routes pour R2

Ou les routes récursives :

Note : Je ne référence pas volontairement le réseau 14.0 je n’en ai pas besoin

Voici les routes pour R3

Ou les routes récapitulatives

Maintenant nous lançons un ping du PC6 vers PC2 nous obtenons cela :

Nous avons 3 Ping de perdu sur 4. Cela est dû à la requête ARP exécutée entre chaque routeur sur les liaisons Ethernets

La route par défaut

Lorsqu’un routeur doit pouvoir accéder à internet ou d’autre réseau qui lui sont inconnus, il faut lui référencer une route par défaut. Cette route permet de lui indiquer un chemin de dernier recours.

Configuration du routeur R1

Configuration du routeur R2

NOTE : Ne connaissant pas l’adresse du routeur en face, il n’y a pas de route récursive…

Configuration du routeur R3

A présent chaque PC peut pinger le serveur 8.8.8.8 dans le cloud.

NOTE : Il y aura un maximum 3 Ping de perdu. Ce nombre peut varier en raison de plusieurs facteurs. Il y a toujours cette requête ARP que les routeurs effectuent sur les liaisons Ethernets.

Route de backup

L’inconvénient du routage statique est qu’il ne s’adapte pas automatiquement au changement de topologie lors d’un incident. Dans notre maquette l’incident viendra sur la liaison entre R1 et R3.

Pour cela nous allons ajouter une route de secours, qu’on appelle dans le jargon Cisco une route flottante. Il suffit juste de modifier la Distance Administrative.

Qu’est qu’une Distance Administrative (DA) : Sur un routeur la DA est une valeur de fiabilité. Plus elle est faible plus est fiable. Par défaut, la DA d’une route statique est de 1 (donc très fiable).

Nous pouvons retrouver cette valeur dans la table de routage avec uniquement des routes récursives :

Pour la redondance nous devons ajouter une route secondaire avec une DA plus élevé. De cette façon quand la maquette est opérationnelle à 100% le routeur prendra le meilleur chemin, mais si un incident arrive sur la liaison principale, la route primaire disparait de la table de routage pour laisser la place à la route secondaire.

Router R1

Pour joindre les réseaux 192.168.6.0, 192.168.8.0 et 192.168.10.0 le chemin de secours est de passer par R2

Voici donc les routes récursives :

La route par défaut empruntera l’autre chemin

Router R3

Pour joindre les réseaux 192.168.2.0, 192.168.4.0 et 192.168.12.0 le chemin de secours est de passer par R2

Voici donc les routes récursives :

La route par défaut empruntera l’autre chemin

Router R2

Pour joindre les réseaux 192.168.2.0 et 192.168.12.0 le chemin de secours est de passer par R3.

Voici donc les routes récursives :

Pour joindre les réseaux 192.168.8.0 et 192.168.10.0 le chemin de secours est de passer par R1

Voici donc les routes récursives :

Pour vérifier, coupons la liaison en R1 et R3 et faisons un show ip route sur R2

Nous voyons bien les routes avec les DA à 5 qui ont pris le relais. Faisons un test de ping de PC1 vers PC5.

Avec 3 pings de perdu dû au changement de route et aux requêtes ARP, le test est opérationnel. N’hésitez pas à faire des pings en continu et de tester en temps réel les coupures sur une seule liaison à la fois, vous verrez que le changement de route est assez rapide tout de même.


Routage Dynamique avec RIP

Notre mission, si toutefois vous l’acceptez, sera de mettre en place au sein de cette topologie un routage basé sur le protocole RIP (Routing Information Protocol - protocole d'information de routage) est un protocole de routage IP de type Vector Distance (à vecteur de distances) s'appuyant sur l'algorithme de détermination des routes décentralisé Bellman-Ford. Il permet à chaque routeur de communiquer aux routeurs voisins. La métrique utilisée est la distance qui sépare un routeur d'un réseau IP déterminé quant au nombre de sauts (ou « hops » en anglais).

Vous trouverez deux versions du protocole RIP :

Ce qui veux dire que pour chaque réseau IP connu, chaque routeur conserve l'adresse du routeur voisin dont la métrique est la plus petite (le nombre de saut le plus petit entre routeur pour atteindre le destinataire).

Sachant que l’ensemble des réseaux est en /24 voici le schéma d’adressage réseau :

Routeur 1 Interface Routeur 2 Interface Routeur 3 Interface
192.168.1.254 Fa0/0 192.168.3.254 Se1/0 192.168.4.1 Se1/0
192.168.3.1 Se1/0 192.168.4.254 Se1/1 192.168.5.1 Se1/1
192.168.6.1 Se1/1

Routeur 4 Interface Routeur 5 Interface
192.168.6.254 Se/1/0 192.168.2.254 Fa/0/0
192.168.7.254 Se1/1 192.168.5.254 Se0/0/1
192.168.7.1 Se0/0/0

L’objectif final étant de faire communiquer les 2 PC se trouvant sur cette maquette, voici les différentes étapes de configurations. Nous allons nous attarder sur la configuration du routeur 1 par deux étapes.

1ère étape : Configuration des interfaces

En suivant le tableau, faites de même pour les 4 autres routeurs.

2e étape : Configuration du protocole RIP

Ce protocole de routage est dans la catégorie des protocoles IGP* (Interior Gateway Protocol) à vecteur distance. Vecteur distance explique que le protocole choisit son meilleur chemin en fonction du nombre de saut. Ce protocole étant limité à 15 sauts, il choisira donc le chemin le plus court (en termes de saut) afin d’éviter d’atteindre sa limite. Au-delà des 15 sauts, les données seront supprimées. RIP est un protocole de base, configurable sur d’autre marque autre que Cisco.

Le routeur configuré avec ce protocole échange sa table de routage complète toutes les 30 secondes.

Dans notre topologie il est important de référencer à notre routeur, l’ensemble des réseaux auxquels il est connecté.

Voici la configuration :

Cette méthode est à reproduite sur les 4 autres routeurs.

Attention : Dans notre exemple, nous utilisons des masques génériques (255.255.255.0 ou /24) à nos adresses réseaux de classe C. Si vous utilisez des réseaux avec des masques différents de ceux par défaut, il vous faudra utiliser Ripv2. Voir plus bas pour plus d’informations

Dans notre cas le Router1 informera le Router2 et le Router4 de ses réseaux. Le Router4 et le Router2 apprendrons donc que le réseau 192.168.1.0 est accessible sur leur interface Se1/0 via 1 saut.

Pour vérifier nous allons afficher la table de routage de router2

Dans cette table de routage nous avons bien une Route (R comme Rip) 192.168.1.0 accessible via 1 saut.

Nous avons entre crochet également le nombre 120. Ce Nombre représente la fiabilité du protocole RIP.

Pour info, plus ce nombre est faible plus le protocole est fiable. En comparaison, une route Statique à une fiabilité de 1. Vous remarquez la différence de fiabilité. RIP Vs Statique = Statique Vainqueur !!

Nous avons également dans notre table de routage un double choix pour accéder au réseau 192.168.7.0. Le nombre de sauts étant identique sur 2 chemins différents, ce routeur alternera de chemin 1 fois sur 2 pour atteindre cette destination.

Une fois la configuration RIP terminée nos 2 PC peuvent communiquer.

Il est possible que le(s) premier(s) ping(s) soient perdus, cela est dû aux requêtes ARP réalisées en amonts.

Notre mission est terminée.

Voyons un peu plus en profondeur notre fameux protocole RIP.

L’un des problèmes de RIP est qu’il diffuse toutes les 30 secondes l’ensemble de sa table de routage. Ce qui explique que notre PC0 reçoit régulièrement des informations de router1. Cela provoque non seulement un broadcast de plus dans le réseau mais une divulgation d’information des autres réseaux.

Pour éviter cela, nous allons désactiver l’envoie des paquets RIP sur l’interface Fa0/0 de router1

Comme énoncé plus haut, RIP possède une version 2. Cette version apporte 3 améliorations :

Une autre option peut-être également intéressante. Celle de diffuser une route par défaut via RIP.

Dans notre exemple, je configure sur Router1 une route par défaut vers 192.168.1.1. (chose qui ne sert strictement à rien je l’avoue)

La commande « default-information originate » diffuse « l’information par defaut » à l’ensemble des autres routeurs de notre topologie.

Vérifions sur router5 par exemple.

Notre route par défaut est bien indiquée à notre router5 par un R* accessible par 2 sauts. Cela indique qu’il choisira le chemin via Router4 pour envoyer les informations dont il n’a pas connaissance.


Configurer le protocole SSH

Dans cette maquette nous allons utiliser l'adres IP réseau 192.168.10.1/24 et configurer SSH sur notre switch en 192.168.10.1

SSH est le protocole le plus sécurisé pour établir une communication avec un équipement distant. Les communications sont chiffrées entre les 2 équipements concernés sur le port 22. Malheureusement ce protocole n’est pas pris en compte sur tous les équipements. Afin de voir s’il est disponible faite la commande suivante SW1#sh ip ssh, SSH Enabled – version 1.99

Si une version du protocole s’affiche c’est que vous pouvez configurer SSH sur votre équipement. Auquel cas il vous faudra peut-être mettre à jour votre IOS

Passons à présent à la configuration IP du switch pour le rendre joignable via une IP

Voici maintenant la configuration SSH en détail

Par défaut, une longueur de 512 bits est proposée. Pour plus de sécurité il faut augmenter le nombre de bits. Pour une sécurité minimum Cisco préconise une valeur de 1024. Dans notre tuto nous irons jusqu’à 2048 bits.

How many bits in the modulus [512]: 2048

% Generating 2048 bit RSA keys, keys will be non-exportable…[OK]

Pour éviter les failles de sécurité répandues avec SSH v1 nous passerons en version 2

Configurez un login « admin » et un mot de passe qui sera « cisco »

Configuration des lines pour déclarer que seul le protocole SSH sera disponible avec l’utilisateur que nous venons de créer

Nous pouvons à présent tester la connexion sur le poste client avec la commande suivante : ssh –l admin 192.168.10.1