Cloud, Serveur, Réseau et Sécurité

5 mai 2015

Routeur Linksys WRT54GL en mode Bridge

Pour donner une seconde vie au fameux routeur Linksys WRT54G, n'y a rien de mieux que d'installer OpenWRT dessus. Mais ce n'est pas l'objet de cet article.

Le but de cet article, est d'essayer de vous donner un peu plus de détail par rapport à l'article original, sur les manipulations à suivre, afin de vous aider à être à l'aise pour les manipulations à suivre. Si j'écris cet article, c'est qu'il m'a fallu du temps pour comprendre ce qu'il faut faire, et que j'aimerai vous éviter d'avoir le même soucis.

Avant de commencer, je vous présente mon réseau qui est tout simple.

L'idée originale était d'offrir une connection internet à serveur local sans carte wifi, et sans avoir à le brancher directement au routeur du FAI. Parmis toutes les options que OpenWRT m'offre, celle qui me convient le mieux, est l'option du routeur en mode Bridge. L'avantage de ce mode est que je n'ai pas besoin d'avoir un réseau local avec une adresse IP différente de celle de l'interface du Routeur FAI pointant vers mon LAN. De ce fait, le routeur Linksys se comporte comme un switch.

Pour se faire, je vous propose une méthode "semi-débutante", dans le but est de jongler entre le GUI (interface graphique) et le CLI (ligne de commande) si vous n'êtes pas tout à fait à l'aise avec les lignes de commandes.

Les trois étapes pour y parvenir:

Etape 1. Connectez vous au niveau de l'interface du routeur Linksys en 192.168.1.1, puis remplacer l'adresse IP de l'interface LAN par 192.168.1.2 pour éviter un crash avec celle du routeur du FAI qui a aussi le même IP.

Vous pouvez rajouter une adresse DNS publique dans le cas où les pings vers internet passe, par contre vous n'arrivez pas à accéder à aucune page internet.

Etape 2. Sur le serveur connecté au routeur linksys, lancer un ping en continu vers le GW (gateway: 192.168.1.2), puis vers une adresse IP sur internet (8.8.8.8 ou 78.24.191.177 par example), après avoir appliqué une adresse IP statique (192.168.1.20 par exemple) sur ce server.

Etape 3. Il faut se connecter en ssh au niveau de l'interface du routeur WRT54G, puis appliquer les commandes comme indiquées dans l'article "Client Bridge". Sur Mac OS et Linux, utilisez la commande: ssh root@192.168.1.2; pour Windows, vous pouvez utiliser putty.

Si je reprends tout étape par étape, une fois connecté en SSH, taper les commandes ci-dessous:

1. Activer l'interface wifi, qui n'est pas activé par défaut.

root@OpenWrt:~# uci del wireless.wl0.disabled
root@OpenWrt:~# uci commit wireless
root@OpenWrt:~# uci set wireless.wl0.country=FR
root@OpenWrt:~# wifi

2. Pour le scan du réseau wifi, je vous propose de le faire à partir du GUI.

Dans le menu "Network / Wifi", cliquer sur "Scan", puis sélectionner votre réseau dans la liste. Une fois le mot de passe entré, cliquez sur "Save and Apply", et vérifier dans la console SSH que vous avez bien une configuration qui ressemble à celle ci-dessous:

root@OpenWrt:~# cat /etc/config/wireless

config 'wifi-device' 'wl0'
        option 'type'       'broadcom'
        option 'country'    'FR'
        option 'channel'    '9'

config 'wifi-iface'
        option 'device'     'wl0'
        option 'network'    'lan'
        option 'mode'       'sta'
        option 'ssid'       'Mon_réseau_wifi'
        option 'encryption' 'psk2'
        option 'key'        'secret-key'

S'il y a une option qui ne vous convient pas, vous devriez éditer ce fichier avec l'outil Vi, qui est un outil linux (cf. Vim sur OpenClassroom qui est une version améliorée de Vi).

root@OpenWrt:~# vi /etc/config/wireless

Une fois que vous êtes satisfait avec votre configuration, lancer le wifi sur le routeur Linksys avec la commande:

root@OpenWrt:~# wifi

3. Désactiver ensuite le serveur DHCP du routeur Linksys.

root@OpenWrt:~# vi /etc/config/dhcp

config 'dhcp' 'lan'
        option 'interface' 'lan'
        option 'start'      '100'
        option 'limit'      '150'
        option 'leasetime' '12h'
        option 'ignore'     '1'

root@OpenWrt:~# /etc/init.d/dnsmasq restart

4. Désactiver les pare-feux.

root@OpenWrt:~# /etc/init.d/firewall stop
root@OpenWrt:~# /etc/init.d/firewall disable

Et pour finir, noter qu'il n'y a qu'une seule interface au niveau du routeur Linksys, qui est celle du LAN. Il n'y a pas besoin d'interface WIFI dans notre cas.

N'oubliez pas de sauvegarder votre configuration une fois que vous avez accès à internet, à partir du LAN. Pour ce faire, naviguer dans System > Backup puis cliquer sur "Generate archive".

Note:
---------------------------
1. Il se peut que vous perdez l'accès à votre routeur linksys à tout moment pendant les manipulation ci-dessus, et qu'il n'y a aucun moyen de récupérer la main. Ne paniquez pas, il vous suffit de supprimer votre configuration en redémarrant le routeur en mode safe boot, puis d'y accéder via ftp (Putty, pour Windows) et de taper les commandes ci-dessous.

monServer:~$ ftp 192.168.1.1

root@OpenWrt:~# firstboot
root@OpenWrt:~# reboot -f

2. Si jamais vous n'avez plus accès à internet sur le serveur, il se peut que le wifi soit tombé au niveau du routeur linksys. Dans ce cas, il faut le relancer avec la commande wifi.

root@OpenWrt:~# wifi

20 juin 2013

Cisco: NAT - OSPF - FR - ACL

Fichier a telecharger: nat_clean.pkt

Logiciel: packet tracer

DLCI:

102 <-> 201 = R1 vers R2 // 80.0.0.0/30
103 <-> 301 = R1 vers R3 // 80.0.0.4/30
203 <-> 302 = R2 vers R3 // 80.0.0.8/30

- Configurer Frame Relay
- Mettre en place OSPF+MD5

- Mettre en place du PAT pour les hotes du subnet
192.168.1.0/24

- Mettre en place du NAT Static pour les hotes du subnet
192.168.2.0/25 avec les IP suivantes:
82.0.0.1 pour 192.168.2.1
82.0.0.2 pour 192.168.2.2

- Mettre en place du NAT Dynamic pour les hotes du subnet
192.168.3.0/2- avec le pool suivant:
83.0.0.10 à 83.0.0.20/27

- Mettre en place des ACL pour authoriser l'acces uniquement
en HTTP sur le serveur

****************************************************

Correction

****************************************************

Configuration des interfaces LAN & DHCP pour chaque LAN:
======================================
R1
'''''''''''
Router(config)#hostname Router1
Router1(config)#no ip domain-lookup
    (config)#line console 0
    (config-line)#logging synchronous

Router1(config)#int f0/0
    (config-if)#description vers Switch0
    (config-if)#ip address 192.168.1.254 255.255.255.0
    (config-if)#no shutdown

Router1(config)#ip dhcp pool LAN1
    (dhcp-config)#network 192.168.1.0 255.255.255.0
    (dhcp-config)#default-router 192.168.1.254
    (dhcp-config)#dns-server 8.8.8.8

R2
'''''''''''
Router(config)#hostname Router2
Router2config)#no ip domain-lookup
    (config)#line console 0
    (config-line)#logging synchronous

Router2(config)#int f0/0
    (config-if)#description vers Switch2
    (config-if)#ip address 192.168.2.126 255.255.255.128
    (config-if)#no shutdown

Router2(config)#ip dhcp pool LAN2
    (dhcp-config)#network 192.168.2.0 255.255.255.128
    (dhcp-config)#default-router 192.168.2.126
    (dhcp-config)#dns-server 8.8.8.8

Router2(config)#ip dhcp excluded-address 192.168.2.100 ##pour le serveur, mieux vaut prendre une adresse statique
Router2#ping 192.168.2.1 ##l'adresse du serveur

R3
'''''''''''
Router(config)#hostname Router3
Router3(config)#no ip domain-lookup
    (config)#line console 0
    (config-line)#logging synchronous

Router3(config)#int f0/0
    (config-if)#description vers Switch1
    (config-if)#ip address 192.168.3.62 255.255.255.192
    (config-if)#no shutdown

Router3(config)#ip dhcp pool LAN3
    (dhcp-config)#network 192.168.3.0 255.255.255.192
    (dhcp-config)#default-router 192.168.3.62
    (dhcp-config)#dns-server 8.8.8.8

Configuration de Frame-Relay
========================================
On va mettre en place un PVC pour chaque destination, afin de faire du point-to-point plutot que du multipoint qui poserait probleme pour nos MAJ de routage. Ainsi on pourra obtenir un PVC pour chaque subnet.

/!\ Pas d'adresse IP sur l'interface physique.

Pour s'y retrouver facilement on utilisera un DLCI pour chaque sub-interface.

R1
'''''''''''
Router1(config)# int s0/1/0
    (config-if)#encapsulation frame-relay   #Cisco par defaut
    (config-if)# no shutdown

Router1(config)#int s0/1/0.102 point-to-point
    (config-subif)#ip address 80.0.0.1 255.255.255.252
    (config-subif)#frame-relay interface-dlci 102
    (config-subif)#bandwidth 128

Router1(config)#int s0/1/0.103 point-to-point
    (config-subif)#ip address 80.0.0.6 255.255.255.252
    (config-subif)#frame-relay interface-dlci 103
    (config-subif)#bandwidth 128

R2
'''''''''''
Router2(config)#int s0/1/0
    (config-if)#encapsulation frame-relay
    (config-if)#no shutdown

Router2    (config)#int s0/1/0.201 point-to-point
    (config-subif)#frame-relay interface-dlci 201
    (config-subif)#ip address 80.0.0.2 255.255.255.252
    (config-subif)#bandwidth 128

Router2(config)#int s0/1/0.203 point-to-point
    (config-subif)#frame-relay interface-dlci 203
    (config-subif)#ip address 80.0.0.9 255.255.255.252
    (config-subif)#bandwidth 128

R3
'''''''''''
Router3(config)#int s0/1/0
    (config-if)#encapsulation frame-relay
    (config-if)#no shutdown

Router3(config)#int s0/1/0.301 point-to-point
    (config-subif)#frame-relay interface-dlci 301
    (config-subif)#ip address 80.0.0.5 255.255.255.252
    (config-subif)#bandwidth 128

Router3(config)#int s0/1/0.302 point-to-point
    (config-subif)#frame-relay interface-dlci 302
    (config-subif)#ip address 80.0.0.10 255.255.255.252
    (config-subif)#bandwidth 128

Remarque:
Router3(config-if)#int s0/1/0.301
%Cannot create sub-interface
Router3(config)#int s0/1/0.301 point-to-point

%LINK-5-CHANGED: Interface Serial0/1/0.301, changed state to up
Router3(config-subif)#

======================================================================
Frame-Relay Troubleshooting
======================================================================
Router1#ping 80.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 80.0.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router1#ping 80.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 80.0.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Router1#show ip int s0/1/0.102
Serial0/1/0.102 is up, line protocol is down (disabled)
Internet address is 80.0.0.1/30
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500
!----message tronque---!

Router1#show int s0/1/0
Serial0/1/0 is up, line protocol is down (disabled)
Hardware is HD64570
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
Encapsulation Frame Relay, loopback not set, keepalive set (10 sec)
LMI enq sent 81, LMI stat recvd 81, LMI upd recvd 0, DTE LMI up
LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0
LMI DLCI 0 LMI type is ANSI Annex D frame relay DTE
!----message tronque---!
     DCD=up DSR=up DTR=up RTS=up CTS=up

Router#show run
!----message tronque---!
interface Serial0/1/0
no ip address
encapsulation frame-relay ietf
frame-relay lmi-type ansi
!
interface Serial0/1/0.102 point-to-point
bandwidth 128
ip address 80.0.0.1 255.255.255.252
frame-relay interface-dlci 102
!----message tronque---!

Router1#show frame-relay lmi
LMI Statistics for interface Serial0/1/0 (Frame Relay DTE) LMI TYPE = ANSI
Invalid Unnumbered info 0      Invalid Prot Disc 0
Invalid dummy Call Ref 0       Invalid Msg Type 0
Invalid Status Message 0       Invalid Lock Shift 0
Invalid Information ID 0       Invalid Report IE Len 0
Invalid Report Request 0       Invalid Keep IE Len 0
Num Status Enq. Sent 51        Num Status msgs Rcvd 50
Num Update Status Rcvd 0       Num Status Timeouts 16

LMI Statistics for interface Serial0/1/0.102 (Frame Relay DTE) LMI TYPE = ANSI
Invalid Unnumbered info 0      Invalid Prot Disc 0
Invalid dummy Call Ref 0       Invalid Msg Type 0
Invalid Status Message 0       Invalid Lock Shift 0
Invalid Information ID 0       Invalid Report IE Len 0
Invalid Report Request 0       Invalid Keep IE Len 0
Num Status Enq. Sent 0         Num Status msgs Rcvd 0
Num Update Status Rcvd 0       Num Status Timeouts 16

Il semble bien qu'il y a echange de LMI et qu'on n'a pas de probleme de configuration. Du cote du provider, apres avoir verifie le type de LMI, il apparait que c'est de type Cisco, d'ou le message "line protocol is down" sur nos interfaces vu qu'on utilise deux protocols differents.

======================================================================

Verification
```````````````````
Router3#show frame-relay pvc

PVC Statistics for interface Serial0/1/0 (Frame Relay DTE)
DLCI = 301, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/1/0.301

input pkts 14055       output pkts 32795        in bytes 1096228
out bytes 6216155      dropped pkts 0           in FECN pkts 0
in BECN pkts 0         out FECN pkts 0          out BECN pkts 0
in DE pkts 0           out DE pkts 0
out bcast pkts 32795   out bcast bytes 6216155

DLCI = 302, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/1/0.302

input pkts 14055       output pkts 32795        in bytes 1096228
out bytes 6216155      dropped pkts 0           in FECN pkts 0
in BECN pkts 0         out FECN pkts 0          out BECN pkts 0
in DE pkts 0           out DE pkts 0
out bcast pkts 32795   out bcast bytes 6216155

Configuration de OSPF + MD5
===============================

R1
``````````
Router1(config)#router ospf 1
    (config-router)#network 192.168.1.0 0.0.0.255 area 0
    (config-router)#network 80.0.0.0 0.0.0.3 area 0
    (config-router)#network 80.0.0.4 0.0.0.3 area 0
    (config-router)#passive-int f0/0

R2
```````````
Router2(config)#router ospf 2
    (config-router)#network 192.168.2.0 0.0.0.127 area 0
    (config-router)#network 80.0.0.0 0.0.0.3 area 0
    (config-router)#network 80.0.0.8 0.0.0.3 area 0
    (config-router)#passive-int f0/0

R3
`````````````
Router3(config)#router ospf 3
    (config-router)#network 192.168.3.0 0.0.0.63 area 0
    (config-router)#network 80.0.0.4 0.0.0.3 area 0
    (config-router)#network 80.0.0.8 0.0.0.3 area 0
    (config-router)#passive-interface f0/0

======================================================================
OSPF Troubleshooting
======================================================================
Router1#show ip ospf neighbor
Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.2.126     0   FULL/ -        00:00:36    80.0.0.2        Serial0/1/0.102
192.168.3.62      0   FULL/ -        00:00:31    80.0.0.5        Serial0/1/0.103

Router2#show ip ospf neighbor
Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.1.254     0   FULL/ -        00:00:32    80.0.0.1        Serial0/1/0.201

Router3#show ip ospf neighbor
Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.1.254     0   FULL/ -        00:00:32    80.0.0.6        Serial0/1/0.301

Router3#show ip int s0/1/0.302
Serial0/1/0.302 is up, line protocol is up (connected)
Internet address is 80.0.0.10/30
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500

Router2#show ip int s0/1/0.203
Serial0/1/0.203 is up, line protocol is up (connected)
Internet protocol processing disabled

Router2#show running-config
!----message tronque---!
interface Serial0/1/0.203 point-to-point
bandwidth 128
no ip address
frame-relay interface-dlci 203
!----message tronque---!

Le probleme est resolu en appliquant une adresse ip sur l'interface s0/1/0.203 de R2.

Router2(config-subif)#ip address 80.0.0.9 255.255.255.0
% 80.0.0.0 overlaps with Serial0/1/0.201
Router2(config-subif)#ip address 80.0.0.9 255.255.255.252
Router2(config-subif)#
11:23:21: %OSPF-5-ADJCHG: Process 2, Nbr 192.168.3.62 on Serial0/1/0.203 from LOADING to FULL, Loading Done

Router2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     80.0.0.0/30 is subnetted, 3 subnets
C       80.0.0.0 is directly connected, Serial0/1/0.201
O       80.0.0.4 [110/1562] via 80.0.0.1, 00:02:32, Serial0/1/0.201
                 [110/1562] via 80.0.0.10, 00:02:32, Serial0/1/0.203
C       80.0.0.8 is directly connected, Serial0/1/0.203
O    192.168.1.0/24 [110/782] via 80.0.0.1, 00:20:51, Serial0/1/0.201
     192.168.2.0/25 is subnetted, 1 subnets
C       192.168.2.0 is directly connected, FastEthernet0/0
     192.168.3.0/26 is subnetted, 1 subnets
O       192.168.3.0 [110/782] via 80.0.0.10, 00:02:32, Serial0/1/0.203

======================================================================

Auth MD5 + modification des hello-intervalles
'''''''''''''''''''''''''''''''''
RAPPEL: OSPF demande a ce que les routeurs aient le meme hello et dead interval pour mettre en place une relation de voisinage.

R1
````````
Router1(config)#int s0/1/0.102
    (config-subif)#ip ospf hello-int 2
    (config-subif)#ip ospf dead-int 6
    (config-subif)#int s0/1/0.103
    (config-subif)#ip ospf hello-int 2
    (config-subif)#ip ospf dead-int 6

R2
````````
Router2(config)#int s0/1/0.201
    (config-subif)#ip ospf hello-int 2
    (config-subif)#ip ospf dead-int 6
    (config-subif)#int s0/1/0.203
    (config-subif)#ip ospf hello-int 2
    (config-subif)#ip ospf dead-int 6

R3
````````
Router3(config)#int s0/1/0.301
    (config-subif)#ip ospf hello-int 2
    (config-subif)#ip ospf dead-int 6
    (config-subif)#int s0/1/0.302
    (config-subif)#ip ospf hello-int 2
    (config-subif)#ip ospf dead-int 6

Verification
```````````````````
Router# show ip ospf neighbor

Mise-en-place de l'auth
``````````````````````````

Router1(config-subif)#int s0/1/0.102
    (config-subif)#ip ospf authentication message-digest
    (config-subif)#ip ospf message-digest-key 1 md5 egilia

Router1(config-subif)#int s0/1/0.103
    (config-subif)#ip ospf authentication message-digest
    (config-subif)#ip ospf message-digest-key 10 md5 learning

Router2(config-subif)#int s0/1/0.201
    (config-subif)#ip ospf authentication message-digest
    (config-subif)#ip ospf message-digest-key 1 md5 egilia

Router2(config-subif)#int s0/1/0.203
    (config-subif)#ip ospf authentication message-digest
    (config-subif)#ip ospf message-digest-key 2 md5 openforma

Router1(config-subif)#int s0/1/0.301
    (config-subif)#ip ospf authentication message-digest
    (config-subif)#ip ospf message-digest-key 10 md5 learning

Router1(config-subif)#int s0/1/0.302
    (config-subif)#ip ospf authentication message-digest
    (config-subif)#ip ospf message-digest-key 2 md5 openforma

Verification
```````````````````
Router# show ip ospf neighbor

Configuration du PAT
================================
1. Definir les interfaces inside/outside
2.creer l'ACL qui va permettre de definir les interfaces a translater
3. creer la regle PAT

/!\ ne pouvant avoir deux regles PAT utilisant la meme ACL, on va creer PAT_2 pour lier a la sub-interface qui va vers R2 et PAT_3 pour celle vers R3

Router1(config)#int f0/0
    (config-if)#ip nat inside
Router1(config-if)#int s0/1/0.102
    (config-subif)#ip nat outside
Router1(config-subif)#int s0/1/0.103
    (config-subif)#ip nat outside

Router1(config)#ip access-list standard PAT_2
    (config-std-nacl)#permit 192.168.1.0 0.0.0.255
Router1(config)#ip access-list standard PAT_3
    (config-std-nacl)#permit 192.168.1.0 0.0.0.255

Router1(config)#ip nat inside source list PAT_2 int s0/1/0.102 overload
    (config)#ip nat inside source list PAT_3 int s0/1/0.103 overload

Remarque: nos host peuvent ainsi aller sur le reseau WAN, et de plus ils sont inconnus par les hotes externes qui ne connaissent que l'IP publique utilisee
par nos hotes pas pas les IP privees, ce qui va ameliorer la securite.

Verification
````````````````
1. show running-config
2. show ip nat translation
3. show ip nat statistics

PC0>ping 192.168.2.100

Router1#show ip nat translations
Pro Inside global     Inside local       Outside local      Outside global
icmp 80.0.0.1:11       192.168.1.2:11     192.168.2.100:11   192.168.2.100:11

Router1#show ip nat statistics
Total translations: 1 (0 static, 1 dynamic, 1 extended)
Outside Interfaces: Serial0/1/0.102 , Serial0/1/0.103
Inside Interfaces: FastEthernet0/0
Hits: 8 Misses: 21
Expired translations: 10
Dynamic mappings:

Misses: 21, indique que 21 paquets n'etaient pas dans la table de translation NAT, ce qui en resulte que le routeur va les ajouter dans sa table.

Nombres de Misses/Hits indique le nombre de fois qu'un paquet passe par un routeur sur lequel la translation NAT existe deja.

Si la table de translation NAT est effacee via la commande 'clear ip nat translation *', alors le nombre de Misses augmentera considerablement au passage des paquets dans le routeur vu qu'il y aura creation d'une nouvelle table de translation NAT.

Configuration NAT statique
===========================================

Router2(config)#int f0/0
    (config-if)#ip nat inside
Router2(config-if)#int s0/1/0.201
    (config-subif)#ip nat outside
Router2(config-subif)#int s0/1/0.203
    (config-subif)#ip nat outside

Router2(config)#ip nat inside source static 192.168.2.1 82.0.0.1 ##PC2
    (config)#ip nat inside source static 192.168.2.100 82.0.0.2 ##Server

Verification
````````````````
Router2#show ip nat translations
Pro Inside global     Inside local       Outside local      Outside global
--- 82.0.0.2          192.168.2.100      ---                ---
--- 82.0.0.1          192.168.2.1        ---                ---

Configuration du NAT dyn
===============================================
1. Definir les interfaces
2. Creer le pool
3. creer l'ACL
4. Creer la regle de translation NAT

Router3(config)#int f0/0
    (config-if)#ip nat inside
Router3(config-if)#int s0/1/0.301
    (config-subif)#ip nat outside
Router3(config-subif)#int s0/1/0.302
    (config-subif)#ip nat outside

Router3(config)#ip nat pool NATpool 83.0.0.10 83.0.0.20 netmask 255.25.255.224

Router3(config)#ip access-list standard NATdyna
    (config-std-nacl)#permit 192.168.3.0 0.0.0.63

Router3(config-std-nacl)#ip nat inside source list NATdyna pool NATpool

/!\ si on veut faire du PAT sur notre POOL:
ip nat inside source list NATdyna pool NATpool overload

ACL
========================================================
l'objectif est de filtrer l'acces UNIQUEMENT en HTTP sur le serveur et de bloquer le traffic le plus tot possible.

1. Creer les ACLs
2. Appliquer les ACLs

Router1(config)#ip access-list extended HTTPok
Router1(config-ext-nacl)#permit tcp any host 192.168.2.100 eq 80
    (config-ext-nacl)#permit tcp any host 82.0.0.2 eq 80 ##car NAT sur R2
    (config-ext-nacl)#deny ip any host 192.168.2.100 ##bloquer tout autre traffic vers server
    (config-ext-nacl)#deny ip any host 82.0.0.2
    (config-ext-nacl)#permit ip any any ##autoriser tout le reste vers les autres destinations

Router1(config)#int f0/0
Router1(config-if)#ip access-group HTTPok in

Ajouter OSPF sur les reseaux utilises par le NAT
''''''''''''''''''''''''''''''''''''''''''''''''''''
sur R2 82.0.0.0 et R3 83.0.0.0

    i. OSPF sur R2
    '''''''''''''''

Router2(config)#router ospf 2
Router2(config-router)#redistribut connected subnets

Verification
`````````````````
Route statique de R1 vers R2 et R3.

Router1(config)#ip route 82.0.0.0 255.255.255.0 s0/1/0.102
Router1(config)#ip route 83.0.0.0 255.255.255.0 80.0.0.5

======================================================================
Remarque:
======================================================================
Metric pour une route statique est egale a 1 par defaut, mais on peut modifier cette valeur.

Router1(config)#ip route 83.0.0.0 255.255.255.0 80.0.0.5 ?
<1-255> Distance metric for this route

Router1(config)#ip route 83.0.0.0 255.255.255.0 80.0.0.5 110
Router1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     80.0.0.0/30 is subnetted, 3 subnets
C       80.0.0.0 is directly connected, Serial0/1/0.102
C       80.0.0.4 is directly connected, Serial0/1/0.103
O       80.0.0.8 [110/1562] via 80.0.0.2, 01:09:31, Serial0/1/0.102
                 [110/1562] via 80.0.0.5, 01:09:31, Serial0/1/0.103
     82.0.0.0/24 is subnetted, 1 subnets
S       82.0.0.0 is directly connected, Serial0/1/0.102
     83.0.0.0/24 is subnetted, 1 subnets
S       83.0.0.0 [110/0] via 80.0.0.5
C    192.168.1.0/24 is directly connected, FastEthernet0/0
     192.168.2.0/25 is subnetted, 1 subnets
O       192.168.2.0 [110/782] via 80.0.0.2, 01:09:31, Serial0/1/0.102
     192.168.3.0/26 is subnetted, 1 subnets
O       192.168.3.0 [110/782] via 80.0.0.5, 01:09:51, Serial0/1/0.103

======================================================================

Verification
''''''''''''''
A partir de PC0, ouvrir le lien vers 82.0.0.2:
    1.- https --> Request Timeout en https
    2.- http --> la page s'affiche

Notre ACL fonctionne correctement.

    ii. OSPF sur R3
    ''''''''''''''''''''

Router3(config)#ip access-list extended HTTPok
    (config-ext-nacl)#permit tcp any host 82.0.0.2 eq 80
    (config-ext-nacl)#deny ip any host 82.0.0.2
    (config-ext-nacl)#permit ip any any

Router3(config)#int f0/0
    (config-if)#ip access-group HTTPok in

Remarque:
''''''''''''
On pense a faire nos routes statiques pour que le reseau 82.0.0.0 soit connu par R3 et 83.0.0.0 connu par R2 pour repondre a PC1 et PC4.
Pour R2, on va mettre une 'default-route' qui renvoi vers R3.

Router3(config)#ip route 82.0.0.0 255.255.255.0 s0/1/0.302

Router2(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0.203
Router2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     80.0.0.0/30 is subnetted, 3 subnets
C       80.0.0.0 is directly connected, Serial0/1/0.201
O       80.0.0.4 [110/1562] via 80.0.0.1, 01:21:26, Serial0/1/0.201
                 [110/1562] via 80.0.0.10, 01:21:26, Serial0/1/0.203
C       80.0.0.8 is directly connected, Serial0/1/0.203
O    192.168.1.0/24 [110/782] via 80.0.0.1, 01:21:26, Serial0/1/0.201
     192.168.2.0/25 is subnetted, 1 subnets
C       192.168.2.0 is directly connected, FastEthernet0/0
     192.168.3.0/26 is subnetted, 1 subnets
O       192.168.3.0 [110/782] via 80.0.0.10, 01:31:47, Serial0/1/0.203
S*   0.0.0.0/0 is directly connected, Serial0/1/0.203

Verification
''''''''''''''
A partir de PC1,
    1.- Ouvrir le lien http vers 82.0.0.2
    2.- Ping 82.0.0.2 --> Reply from 192.168.3.62: Destination host unreachable.
    3.- Verification de l'utilisation des ACLs sur R3 suite aux tests 1. et 2.

Router3#show access-lists
Standard IP access list NATdyna
    permit 192.168.3.0 0.0.0.63 (22 match(es))
Extended IP access list HTTPok
    permit tcp any host 82.0.0.2 eq www (5 match(es))
    deny ip any host 82.0.0.2 (16 match(es))
    permit ip any any (4 match(es))

Notre ACL fonctionne correctement.

Fichier contenant la correction a telecharger: nat_correction.pkt

29 avr. 2013

Cisco: ACL

Le but ici est de creer des filtres au niveau des ports des switchs.

Fichier a telecharger: acl_clean.pkt
Logiciel: packet tracer

Consignes:

VTP, désactiver STP sur les interfaces clientes, et désactiver DTP
Empêcher les membres de vlan vert de pinguer vlan bleu, mais vlan bleu peut pinger vlan vert.
Empêcher le HTTP pour les membres de vlan vert, mais autoriser le HTTPS vers le vlan bleu
Empêcher le telnet pour les membres de vlan bleu & vert
Autoriser SSH à tout le monde, mais autoriser la connection SSH sur R0 uniquement pour les membres de vlan bleu

VLAN 10 = BLEU => 10.0.10.0/25
VLAN 20 = VERT => 10.0.20.0/27

VTP domaine: egilia
VTP passwod: learning

****************************************************

Correction

****************************************************

Premiere configuration sur les switchs
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
On ne le dit jamais assez, mais avant d'ajouter un nouveau switch sur un reseau, il est fortement conseille d'effacer tout ce qu'il y a dessus.

Switch#delete flash:
    Delete filename []?vlan.dat
Switch#erase startup-config
Switch# reload

Switch#configure terminal
Switch(config)#no ip domain-lookup
Switch(config)#line console 0
Switch(config-line)#logging synchronous
Switch(config-line)#no exec-timeout <== a eviter, mais pratique lorsqu'on configure un switch

Switch0(config)#hostname Sw0

Switch1(config)#hostname Sw1

Configuration VTP
'''''''''''''''''''''''''''''''''''''''

Sw0(config)#vtp mode server
    (config)#vtp domain egilia
    (config)#vtp password learning

Sw1(config)#vtp mode client
    (config)#vtp domain egilia
    (config)#vtp password learning

Verification:
#show vtp status

Creation des VLANs sur le serveur
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sw0(config)#vlan 10
    (config-vlan)#name BLEU
    (config-vlan)#vlan 20
    (config-vlan)#name VERT
Verification sur Switch0:
#show vlan brief

Configuration des liens Trunks
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sw0(config)#int range f0/1-2
Sw0(config-if-range)#switchport mode trunk

Sw1(config)#int f0/2
Sw1(config-if-range)#switchport mode trunk

Verification sur Switch1:
#show vlan brief

Definir les interfaces clients:
'''''''''''''''''''''''''''''''''''''''''
Sw0(config)#int f0/10
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 10
    (config-if)#int f0/20
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 20

Sw1(config)#int f0/10
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 10
    (config-if)#int f0/20
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 20

Verification:
#show vlan brief

Configuration du routage InterVLAN
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Routeur0(config)#hostname Router0
    (config)#no ip domain-lookup
    (config)#line console 0
    (config-line)#logg synchronous

Router0(config)#int f0/0
    (config-if)#no shutdown

Router0(config)#int f0/0.10
    (config-subif)#encapsulation dot1Q 10
    (config-subif)#ip address 10.0.10.126 255.255.255.128
    (config-subif)#int f0/0.20
    (config-subif)#encapsulation dot1Q 20
    (config-subif)#ip address 10.0.20.30 255.255.255.224

Configuration des DHCP
'''''''''''''''''''''''''''''''''''''''''''''''''''

Router0(config)#ip dhcp pool VLAN10
    (dhcp-config)#network 10.0.10.0 255.255.255.128
    (dhcp-config)#default-router 10.0.10.126
    (dhcp-config)#dns-server 8.8.8.8
    (dhcp-config)#ip dhcp pool VLAN20
    (dhcp-config)#network 10.0.20.0 255.255.255.224
    (dhcp-config)#default-router 10.0.20.30
    (dhcp-config)#dns-server 8.8.8.8

Config les interfaces clients - se proteger contre BPDU en desactivant STP sur interfaces clients
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sw0(config)#spanning-tree portfast default
    (config)#int range f0/10 , f0/20
    (config-if-range)#spanning-tree bpduguard enable
    (config-if-range)#spanning-tree guard root

Sw1(config)#spanning-tree portfast default
    (config)#int range f0/10 , f0/20
    (config-if-range)#spanning-tree bpduguard enable
    (config-if-range)#spanning-tree guard root

Securite sur le VLAN - mise en place de la non negociate - pour supprimer les DTP(Dynamic Trunking Port):
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sw0#int range f0/10, f0/20
    #switchport nonegotiate
    #switchport port-security maximum 1
    #switchport port-security violation shutdown
    #switchport port-security mac-address sticky

Sw1#int range f0/10,f0/20
    #switchport nonegotiate
    #switchport port-security maximum 1
    #switchport port-security violation shutdown
    #switchport port-security mac-address sticky

Correction ACL
'''''''''''''''''''''''''''''''''

==============================
/debut Brouillon pour preparer les ACL
==============================

On va chercher à analyser le filtrage demandé:
``````````````````````````````````````````````
Le but est de transformer chaque question en ACE, ensuite de mettre les ACE dans l'ordre de manière à ce qu'elles ne puissent pas se neutraliser, et reste à faire une optimisation pour avoir le moins d'entrée possible.

1/ Empêcher les membres de vlan vert de pinguer vlan bleu, mais vlan bleu peut pinger vlan vert

   deny icmp VERT BLEU echo
   permit icmp VERT BLEU echo-reply

2/ Empêcher le HTTP pour les membres de vlan vert, mais autoriser le HTTPS vers le vlan bleu

   deny tcp VERT host SERVER0 eq 80
   permit tcp VERT host SERVER0 eq 443

3/ Empêcher le telnet pour les membres de vlan bleu & vert

deny tcp VERT any eq 23
deny tcp BLEU any eq 23

4/ Autoriser SSH à tout le monde, mais autoriser la connection SSH sur R0 uniquement pour les membres de vlan bleu

   permit tcp VERT any eq 22
   permit tcp BLEU any eq 22

   permit tcp BLEU host 10.0.10.1 eq 22

Brouillon - Application de l'ACL
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   F0/0.10 IN
   deny tcp BLEU any eq 23
   permit ip any any

   F0/0.20 IN
    permit icmp VERT BLEU echo-reply
    permit tcp VERT host SERVER0 eq 443
    permit tcp VERT any eq 22
    (deny ip any any)


=> line vty
access-class noSSHVERT

ip access-list standard noSSHVERT
    deny 10.0.20.0 0.0.0.31


permit icmp 10.0.20.0 0.0.0.31 10.0.10.0 0.0.0.127 echo-reply
    permit tcp 10.0.20.0 0.0.0.31 host 10.0.10.100 eq 443
    permit tcp 10.0.20.0 0.0.0.31 any eq 22

==============================
/fin Brouillon pour preparer les ACL
==============================

Creation d'ACL nomme
---------------------------------------

Router0(config)#ip access-list standard noSSHVERT
    (config-std-nacl)#permit 10.0.10.0 0.0.0.127
    (config-std-nacl)#exit
Router0(config)#ip access-list extended noTELNETbleu
    (config-ext-nacl)#deny tcp 10.0.10.0 0.0.0.127 any eq telnet
    (config-ext-nacl)#permit ip any any
    (config-ext-nacl)#exit
Router0(config)#ip access-list extended VERTacl
    (config-ext-nacl)#permit icmp 10.0.20.0 0.0.0.31 10.0.10.0 0.0.0.127 echo-reply
    (config-ext-nacl)#permit tcp 10.0.20.0 0.0.0.31 host 10.0.10.100 eq 443
    (config-ext-nacl)#permit tcp 10.0.20.0 0.0.0.31 any eq 22
    (config-ext-nacl)#deny ip any any

Application de l'ACL
----------------------------------

Router0(config)#int f0/0.10
    (config-subif)#ip access-group noTELNETbleu in
Router0(config-subif)#int f0/0.20
    (config-subif)#ip access-group VERTacl in

Fichier contenant la correction a telecharger: acl_correction.pkt

14 avr. 2013

Cisco: NAT

Le but ici est de traduire les adresses IP privees en adresse IP public.

Fichier a telecharger: nat_clean.pkt
Logiciel: packet tracer

Consignes:

Configurer les interfaces des routeurs
Mettre en place un DHCP sur les routeurs
Mettre en place OSPF avec authentification MD5
Mettre en place du NAT Statique sur le lien de R0 vers R1 en utilisant les IP du pool 80.0.0.0/24
Mettre en place du NAT Dynamic sur le lien de R1 vers R2 en utilisant le pool 81.0.0.0/24
Mettre en place du PAT sur le lien de R2 vers R0 en surchargeant l'IP de l'interface de R2.

NB: Vous devez penser à spécifier les réseaux utilisé par le NAT dans votre routage (soit via OSPF soit via du routage statique)

Maintenant, observez la différence dans les informations source et destination des paquets.

****************************************************

Correction

****************************************************

1.- Configuration des interfaces LAN & DHCP:
````````````````````````````````````````````````
R0:
    int f1/0
        description LAN0
        ip address 192.168.0.254 255.255.255.0
        no shutdown

    int F0/0
        description -->R1
        ip address 1.0.0.1 255.255.255.252
        no shutdown

    int F0/1
        description -->R2
        ip address 1.0.0.5 255.255.255.252
        no shutdown

    ip dhcp pool LAN0
        default-router 192.168.0.254
        network 192.168.0.0 255.255.255.0
        dns-server 8.8.8.8

R1:
    int e1/0
        description LAN1
        ip address 192.168.1.126 255.255.255.128
        no shutdown

    int f0/0
        description -->R0
        ip address 1.0.0.2 255.255.255.252
        no shutdown

    int f0/1
        description -->R2
        ip address 1.0.0.9 255.255.255.252
        no shutdown

    ip dhcp pool LAN1
        default-router 192.168.1.126
        network 192.168.1.0 255.255.255.128
        dns-server 8.8.8.8

R2:
    int e1/0
        description LAN2
        ip address 192.168.2.62 255.255.255.192
        no shutdown

    int f0/1
        description -->R1
        ip address 1.0.0.10 255.255.255.252
        no shutdown

    int f0/0
        description -->R0
        ip address 1.0.0.6 255.255.255.252
        no shutdown

    ip dhcp pool LAN2
        default-router 192.168.2.62
        network 192.168.2.0 255.255.255.192
        dns-server 8.8.8.8

2.- Configuration de OSPF avec auth MD5:
```````````````````````````````````````````

R0:
    router ospf 24
        network 192.168.0.0 0.0.0.255 area 0
        network 1.0.0.0 0.0.0.3 area 0
        network 1.0.0.4 0.0.0.3 area 0
        passive-interface f1/0

    int range f0/0 - 1
        ip ospf authentication message-digest
        ip ospf message-digest-key 1 md5 learning

R1:
    router ospf 25
        network 192.168.1.0 0.0.0.127 area 0
        network 1.0.0.8 0.0.0.3 area 0
        network 1.0.0.0 0.0.0.3 area 0
        passive-interface e1/0

    int range f0/0 - 1
        ip ospf authentication message-digest
        ip ospf message-digest-key 1 md5 learning

R2:
    router ospf 26
        network 192.168.2.0 0.0.0.63 area 0
        network 1.0.0.8 0.0.0.3 area 0
        network 1.0.0.4 0.0.0.3 area 0
        passive-interface e1/0

    int range f0/0 - 1
        ip ospf authentication message-digest
        ip ospf message-digest-key 1 md5 learning

3.- Creation d'une route statique
````````````````````````````````````````

3.1- De R1 vers R0 pour le réseau 80.0.0.0/24, réseau utilisé pour notre NAT Statique:

R0(config)#ip route 80.0.0.0 255.255.255.0 fastEthernet 0/0

R1(config)#ip route 80.0.0.0 255.255.255.0 fastEthernet 0/0

3.2- De R2 vers R1 pour le réseau 81.0.0.0/24, réseau utilisé pour notre NAT Dynamique:

R1(config)#ip route 81.0.0.0 255.255.255.0 fastEthernet 0/1

R2(config)#ip route 81.0.0.0 255.255.255.0 fastEthernet 0/1

4.- NAT Static sur R0 vers R1
```````````````````````````````````````````````

4.1- Definir les interfaces inside/outside

Router0(config)#int f1/0
    (config-if)#ip nat inside
    (config-if)#int range f0/0-1
    (config-if-range)#ip nat outside

4.2- Regles de translation

Router0(config)#ip nat inside source static 192.168.0.1 80.0.0.1
        ip nat inside source static 192.168.0.2 80.0.0.2
        ip nat inside source static 1.0.0.6 80.0.0.3

4.3- Verification

R0#show ip nat translations
Pro Inside global     Inside local       Outside local      Outside global
---    80.0.0.1         192.168.0.1        ---               ---
---    80.0.0.2       192.168.0.2        ---               ---

Router0#show ip nat statistics
Total translations: 3 (3 static, 0 dynamic, 0 extended)
Outside Interfaces: FastEthernet0/0
Inside Interfaces: FastEthernet0/1 , FastEthernet1/0
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
!---sortie tronquee---!

5.- NAT Dynamic sur R1 vers R2
```````````````````````````````````

5.1- Creation de l'ACL nomme Etendu

R1(config)#ip access-list extended NATdyn
R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.127 any

5.2- Creation d'un pool

Router1(config)#ip nat pool NATpool 81.0.0.10 81.0.0.20 netmask 255.255.255.0

5.3- Regle de translation pour faire du NAT sur notre pool

Router1(config)#ip nat inside source list NATdyn pool NATpool

5.4- Definir les interfaces inside/outside

Router1(config)#int e1/0
    (config-if)#ip nat inside
    (config-if)#int range f0/0-1
    (config-if-range)#ip nat outside

5.5- Verification

PC3>tracert 192.168.1.1
Tracing route to 192.168.1.1 over a maximum of 30 hops:
1   11 ms     11 ms     2 ms      192.168.0.254
2   *         *         *         Request timed out. <=== ARP
3   *         119 ms    36 ms     1.0.0.2
4   36 ms     45 ms     17 ms     81.0.0.11
Trace complete.

R1# debug ip nat <== pour voir ce qui se passe en direct
R1#show ip nat translations
Pro Inside global     Inside local       Outside local      Outside global
icmp 81.0.0.11:43      192.168.1.1:43     80.0.0.2:43        80.0.0.2:43
icmp 81.0.0.11:44      192.168.1.1:44     80.0.0.2:44        80.0.0.2:44
icmp 81.0.0.11:45      192.168.1.1:45     80.0.0.2:45        80.0.0.2:45
icmp 81.0.0.11:46      192.168.1.1:46     80.0.0.2:46        80.0.0.2:46

PC5>tracert 192.168.0.1
Tracing route to 192.168.0.1 over a maximum of 30 hops:
1   13 ms     12 ms     9 ms      192.168.1.126
2   *         11 ms     6 ms      1.0.0.10
3   *         *         *         Request timed out.

PC2>tracert 192.168.2.1
Tracing route to 192.168.2.1 over a maximum of 30 hops:
1   12 ms     6 ms      21 ms     192.168.1.126
2   *         26 ms     30 ms     1.0.0.10
3   *         *         *         Request timed out.

R1#show ip nat translations
Pro Inside global     Inside local       Outside local      Outside global
icmp 81.0.0.13:217     192.168.1.1:217    192.168.0.1:217    192.168.0.1:217
icmp 81.0.0.13:218     192.168.1.1:218    192.168.0.1:218    192.168.0.1:218
icmp 81.0.0.13:219     192.168.1.1:219    192.168.0.1:219    192.168.0.1:219
icmp 81.0.0.13:220     192.168.1.1:220    192.168.0.1:220    192.168.0.1:220
icmp 81.0.0.12:334     192.168.1.26:334   192.168.2.1:334    192.168.2.1:334
icmp 81.0.0.12:335     192.168.1.26:335   192.168.2.1:335    192.168.2.1:335
icmp 81.0.0.12:336     192.168.1.26:336   192.168.2.1:336    192.168.2.1:336

6.- PAT sur R2 vers R0 en surchargeant l'IP de l'interface R2
``````````````````````````````````````````````````````````````
6.1- Definir les interfaces inside/outside

Router2(config)#int e1/0
    (config-if)#ip nat inside
    (config-if)#int range f0/0-1
    (config-if-range)#ip nat outside

6.2- Creation d'un ACL standart nomme

Router2(config)#ip access-list standard PAT_2
Router2(config-std-nacl)#permit 192.168.2.0 0.0.0.63

6.3- Regle de translation PAT

Router2(config)#ip nat inside source list PAT_2 interface f0/0 overload

6.4- Verification

PC1>tracert 192.168.1.26
Tracing route to 192.168.1.26 over a maximum of 30 hops:
1   9 ms      19 ms     5 ms      192.168.2.62
2   14 ms     4 ms      5 ms      1.0.0.9
3   *         *         *         Request timed out.

PC4>tracert 192.168.0.1
Tracing route to 192.168.0.1 over a maximum of 30 hops:
1   10 ms     8 ms      7 ms      192.168.2.62
2   4 ms      7 ms      21 ms     1.0.0.5
3   *         *         *         Request timed out.

R2#clear ip nat translation ?
* Deletes all dynamic translations
R2#clear ip nat translation *

R2#show ip nat translations
Pro Inside global     Inside local       Outside local      Outside global
icmp 1.0.0.6:219       192.168.2.1:219    192.168.1.26:219   192.168.1.26:219
icmp 1.0.0.6:166       192.168.2.2:166    192.168.0.1:166    192.168.0.1:166

Fichier contenant la correction a telecharger: nat_correction.pkt

12 avr. 2013

Cisco: PPP

Le but ici est d'etablir une connection entre deux hotes via PPP (Point to Point Protocol) et de s'echanger les informations de routage via OSPF.

Fichier a telecharger: ppp_clean.pkt
Logiciel: packet tracer

1. Configurer PAP
Creer sur:
R1 HOMER password duffman
R0 LENNY password carlita

2. Configurer CHAP
R1, R2: password nucleaire

3. Protocol de routage: OSPF

****************************************************

Correction

****************************************************

1.- Configuration des interfaces:
`````````````````````````````
R0:
    int f0/0
        ip address 10.0.0.126 255.255.255.128
        no shutdown
        exit

    int s0/1/0
        ip address 1.1.1.1 255.255.255.252
        clock rate 56000
        bandwidth 56
        no shut

R1:
    int f0/0
        ip address 10.0.1.62 255.255.255.192
        no shutdown
        exit

    int s0/1/1
        ip address 1.1.1.2 255.255.255.252
        no shutdown
        bandwidth 56

    int s0/1/0
        ip address 1.1.1.5 255.255.255.252
        clock rate 56000
        bandwidth 56
        no shutdown

R2:
    int s0/1/1
        ip address 1.1.1.6 255.255.255.252
        no shutdown
        bandwidth 56

    int f0/0
        ip address 10.0.2.30 255.255.255.224
        no shutdown

2.- Configuration des DHCP:
`````````````````````````````
R0:
    ip dhcp pool LAN0
        network 10.0.0.0 255.255.255.128
        default-router 10.0.0.126
        dns-server 8.8.8.8
        exit
    ip dhcp excluded-address 10.0.0.126

R1:
    ip dhcp pool LAN1
        network 10.0.1.0 255.255.255.192
        default-router 10.0.1.62
        dns-server 8.8.8.8
        exit
    ip dhcp excluded-address 10.0.1.1 10.0.1.10

R2:
    ip dhcp pool LAN2
        network 10.0.2.0 255.255.255.224
        default-router 10.0.2.30
        dns-server 8.8.8.8
        exit
    ip dhcp excluded-address 10.0.2.30


3.- Mise en place de PPP et PAP entre R0 et R1:
````````````````````````````````````````````````
R0:
    int S0/1/0
        encapsulation ppp
        ppp authentication pap
        ppp pap sent-username HOMER password duffman

R1:
    int S0/1/1
        encapsulation ppp
        ppp authentication pap
        ppp pap sent-username LENNY password carlita


4.- Creation des usernames sur R0 et R1:
`````````````````````````````````````````
R0:
    username LENNY password carlita

R1:
    username HOMER password duffman


5.- Configuration de PPP CHAP entre R1 et R2:
`````````````````````````````````````````
R1:
    int s0/1/0
        encapsulation ppp
        ppp authentication chap
        exit
    hostname R1
    enable password nucleaire

NB: dans packet tracer, nous sommes obligé d'utiliser le "hostname" et le "enable password" pour l'authentification CHAP.

R2:
    int s0/1/1
        encapsulation ppp
        ppp authentication chap
        exit
    hostname R2
    enable password nucleaire


6.- Creation des usernames pour l'auth CHAP:
```````````````````````````````````````````````
R1:
    username R2 password nucleaire

R2:
    username R1 password nucleaire


7.- Pour vérifier PPP:
``````````````````````
#show interface serial
    -> affiche l'état du lien (LCP Open/Close)
        l'encapsulation, et les protocoles négociés via NCP
# debug ppp negociation
    -> affiche en temps reel sur la ligne console la négociation du lien (échanges LCP)
# debug ppp authentication
    -> affiche l'auth en temps reel sur la ligne console


R1#show int s0/1/0
Serial0/1/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 1.1.1.5/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
LCP Open
Open: IPCP, CDPCP <== protocol negocie via NCP

LCP Link Control Protocol
NCP Network Control Protocol

8.- Configuration d'OSPF:
```````````````````````````
R0:
    router ospf 51
        network 10.0.0.0 0.0.0.127 area 0
        networ 1.1.1.0 0.0.0.3 area 0
        passive-interface f0/0

R1:
    router ospf 60
        network 10.0.1.0 0.0.0.63 area 0
        network 1.1.1.0 0.0.0.3 area 0
        network 1.1.1.4 0.0.0.3 area 0
        passive-interface f0/0

R2:
    router ospf 74
        network 10.0.2.0 0.0.0.31 area 0
        networ 1.1.1.4 0.0.0.3 area 0
        passive-interface f0/0

Fichier contenant la correction a telecharger: ppp_correction.pkt

Cisco: Frame Relay, Point-to-Multipoint

Le but ici est de partager les informations de routage OSPF via Frame-Relay.

Fichier a telecharger: FR_multipoint_clean.pkt
Logiciel: packet tracer

Configurer:

Les interfaces LANs
DHCP
Frame-Relay
OSPF

Notes:

DLCI 102 <--> 201
DLCI 103 <--> 301
DLCI 203 <--> 302

LMI => ANSI
encapsulation frame-relay ietf
frame-relay lmi-type ansi

R10x et R20x : 10.0.12.0/30
R10x et R30x :10.0.13.0/30
R20x et R30x : 10.0.23.0/30

****************************************************

Correction

****************************************************

PVC (Permanent Virtual Circuit)
DLCI (Data Link Connection Identifier)
LMI (Local Management Interface)

1.- Configuration des interfaces LAN:
`````````````````````````````````

R10X:
    int f0/0
     ip address 192.168.10.254 255.255.255.0
     description vers LAN10
     no shut

R20X:
    int f0/0
     ip address 192.168.20.126 255.255.255.128
     description vers LAN20
     no shut

R30X:
    int f0/0
     ip address 192.168.30.14 255.255.255.240
     description vers LAN30
     no shut

2.- Configuration des DHCP:
``````````````````````````````
L'option pour mettre une duree de bail n'est pas disponible dans Packet Tracer, sinon la commande serait:
Router(dhcp-config)#lease {days [hours][minutes]|infinite}
      (dhcp-config)#lease 0 12 <= duree du bail a 12h

R10X:
    ip dhcp pool LAN10
     network 192.168.10.0 255.255.255.0
     default-router 192.168.10.254
     dns-server 8.8.8.8 8.8.4.4

R20X:
    ip dhcp pool LAN20
     network 192.168.20.0 /25
     default-router 192.168.20.126
     dns-server 8.8.8.8 8.8.4.4

R30X:
    ip dhcp pool LAN30
     network 192.168.30.0 /28
     default-router 192.168.30.14
     dns-server 8.8.8.8 8.8.4.4

3.- Configuration de Frame-Relay:
```````````````````````````````````
-> Activation de FR ietf avec LMI de type ANSI:

R10X:
    int s2/0
    encapsulation frame-relay ietf
    frame-relay lmi-type ansi
    no shut

R20X:
    int s2/0
    encapsulation frame-relay ietf
    frame-relay lmi-type ansi
    no shut

R30X:
    int s2/0
    encapsulation frame-relay ietf
    frame-relay lmi-type ansi
    no shut


-> Creation du PVC entre R10X et R20X:

R10X:
    int s2/0.102 point-to-point
    ip address 10.0.12.1 255.255.255.252
    description vers R20X DLCI 102
    frame-relay interface-dlci 102
    bandwidth 128

R20X:
    int s2/0.201 point-to-point
    ip address 10.0.12.2 255.255.255.252
    description vers R10X dlci 201
    frame-relay interface-dlci 201
    bandwidth 128


-> Creation du PVC entre R10X et R30X:

R10X:
    int s2/0.103 point-to-point
    ip address 10.0.13.1 255.255.255.252
    description vers R30X DLCI 103
    frame-relay interface-dlci 103
    bandwidth 128

R30X:
    int s2/0.301 point-to-point
    ip address 10.0.13.2 255.255.255.252
    description vers R10X dlci 301
    frame-relay interface-dlci 301
    bandwidth 128


-> Creation du PVC entre R20X et R30X:

R20X:
    int s2/0.203 point-to-point
    ip address 10.0.23.1 255.255.255.252
    description vers R30X DLCI 203
    frame-relay interface-dlci 203
    bandwidth 128

R30X:
    int s2/0.302 point-to-point
    ip address 10.0.23.2 255.255.255.252
    description vers R20X dlci 302
    frame-relay interface-dlci 302
    bandwidth 128


4.- Configuration de l'OSPF:
`````````````````````````````

R10X:
    router ospf 10
    network 10.0.12.0 0.0.0.3 area 0
    network 10.0.13.0 0.0.0.3 area 0
    network 192.168.10.0 0.0.0.255 area 0
    passive-interface F0/0

R20X:
    router ospf 20
    network 10.0.12.0 0.0.0.3 area 0
    network 10.0.23.0 0.0.0.3 area 0
    network 192.168.20.0 0.0.0.127 area 0
    passive-interface f0/0

R30X:
    router ospf 30
    network 10.0.13.0 0.0.0.3 area 0
    network 10.0.23.0 0.0.0.3 area 0
    network 192.168.30.0 0.0.0.15 area 0
    passive-interface f0/0

R30X#show ip route
!---sortie tronquee----!
     10.0.0.0/30 is subnetted, 3 subnets
O       10.0.12.0 [110/1562] via 10.0.13.1, 00:00:22, Serial2/0.301
                  [110/1562] via 10.0.23.1, 00:00:22, Serial2/0.302
C       10.0.13.0 is directly connected, Serial2/0.301
C       10.0.23.0 is directly connected, Serial2/0.302
O    192.168.10.0/24 [110/782] via 10.0.13.1, 00:00:34, Serial2/0.301
     192.168.20.0/25 is subnetted, 1 subnets
O       192.168.20.0 [110/782] via 10.0.23.1, 00:00:22, Serial2/0.302
     192.168.30.0/28 is subnetted, 1 subnets
C       192.168.30.0 is directly connected, FastEthernet0/0

Fichier contenant la correction a telecharger: FR_multipoint_correction.pkt