Telecom-ParisTech-Commandes Base Sur Routeurs CISCO

TELECOM
l''II! Tech
.I~I
Parcours Techniciens Service
Client
Commandes de base
sur routeurs CISCO
Bruno MEURISSE
Commandes de base sur routeurs CISCO
Tse1 2012-2013
Commandes de base
sur routeurs CISCO
Mercredi 9 Janvier 2013
Bruno MEURISSE
- - -- -- - -- Pagel - - -- - - - -
Table des matières

1. Prise en main, routage statique et RIP .............. .............................................. .. .............. ... ..... ........ 3
1.1 Objectifs ............................. ......................................... ..... ...... .................. 3

1.1.1 Topologie: .......................... .... .... .... .. .. ... ... .. ....................................... .. .. ......... .... .. ............... 3
1.1.2 Configuration de base des routeurs : .. ............ .. ................... .. .... .... .. ................................... 4
1.1.3 Examen des commandes show des routeurs ...................................................................... 6
1.1.4 Gestion de CISCO lOS et des fichiers de configuration: .............. .. ................... .................... 8
1.1.5 Configuration de routes statiques: .............................. .............................. .. ................ .... .. 12
1.1.6 Transfert des fichiers via le protocole TFTP .............. ............ ........ .............. .. ........ ............. 13
1.2 Conf,i guration de RI P: ... ......... ... ................................ ... ... ...... .......... ........ .. 15
1.1.1. Configuration de base :... .... .. .... .. .. ........ ............................................................. ................ 15
1.1.2. Configuration d'une route par défaut et propagation de cette route : .......... .. ...... .. .. .. .... 16
1.1.3. Interface en mode passif : .. ...... .. .. ............................................................... .... ........ .......... 17
1.1.4. RIPv2 et authentification : ............. ................................................ .. .. .... .... ... .... ................. 18
1.3 Sécu r isation des routeurs : .... .................... ... ................... .. ........................ 19
2 Listes de contrôle d'accès : .. .......... .... .................................................. ...................... .... .. .............. 23
2.1 Configuration de base: .............................................. ...... .. .... .................. 23

2.2 Configuration d'une liste de contrôle d'accès standard .............. .. .................. 23
2.3 Confi.guration d'une liste de contrôle d'accès étendue ............ .. ..................... 24
2.4 Contrôle de l'accès aux lignes vty par liste de contrôle d'accès standard ......... 25
2.5 Exercice liste de contrôle d'accès étendue ... ........................ .... ................... 26
3 Configuration DHCP et NAT ............... ........... ... ........ ...... .. .. .. .. .. ............... ... .............. .... .. ..... ........... 27
3.1 Config u ration de base : .. .. ... ..... ........... ............... ... .... .. ...... .. .. ................... 27
3 .2 Configuration d 'un serveur DHCP Cisco lOS .. ... .. ............ .. .... ...... .. ............... 27
3.3 Configuration d'un agent relais DHCP ... ............. ............ .. . .......................... 28
3 .4 Topologie NAT ....... .... ...... .............................. ..... ....... ... ....................... .. .. 29
3.5 Configuration du routage statique et du routage par défaut ........................ .. 30
3 .6 Conf,i guration de la traduction d'adresses de réseau (NAT) statique ............... 30
3.7 Config,uration d'un pool d 'adresses pour la traduction d 'adresses dynamique ... 31
3.8 Configuration de la surcharge de la fonction NAT ...... ..... ..... ......................... 32
4 Annexe 1: CISCO PASSWORD RECOVERY.............................................. .... ..... ................................ 34
4.1 Procedure 1 ........ .... ... ...... .................................. .. ..... .............................. 34

4.2 Procedure 2 ........ . .... . ... ... ............................ .... .. ....... .. ............................. 35
Page 2
1. Prise en main, routage statique et RIP
1.1 Objectifs
• Prise en main des routeurs CISCO (ROMON, 105, version et registre, CLI ...)
• Configuration de routes statiques
• Configuration RIP de base, propagation d'une route par défaut, mode passif, actif, Vi vs V2,
problématique du masque, cas des réseaux multi-points, authentification (V2)
1.1.1 Topologie:
172.17.0.10/16
Fao/1: 172.17.0.1/16
,R4 R5 R6
172.18.0.10/16
Defau lt route : 172.18.0.2
Câbler en fonction de la topologie ci-dessus, câble « console» entre « comi » du PC et port

« console» du routeur et câble Ethernet droit entre sortie Ethernet du PC et le port du
commutateur d'une part et FaO/O du routeur et le commutateur. En l'absence de commutateurs,
connecter les stations aux routeurs en utilisant un câble croisé . Configurer IP statique sur les PC
Préparation des routeurs :
Démarrer une session hyperterminal ou tout autre terminal virtuel présent sur le Pc. Les paramètres
de configuration du terminal sont les suivants :
Paramètre Valeur
Bits par seconde 9600
Bits de données 8
Parité Aucun
Bits d' arrêt 1
Contrôle de flux Aucun
Page 3
L'ouverture de session sur le routeur se fait en mode « utilisateur» (prompt « > ») qui ne permet pas
de configurer l'équipement. Entrer en mode « privilégié» (prompt « # ») par la commande enabte . Si
un mot de passe est demandé, entrer class (ou tout autre mot de passe spécifié par le formateur. Si
le mot de passe est perdu, se reporter à la procédure en annexe).
Router>enable
En mode d'exécution p rivilégié entrer la commande erase startup-config
Router#erase startup-config
La ligne de réponse doit être: Erasing the nvram filesystem will remove aIl files ~ continue?
I[confirm]
Presser enter pour confirmer
La réponse doit être : Erase of nvram : complete
Maintenant, entrer la commandereload
Router#reload
La ligne de réponse doit être: System configurati on has been modified. Save? [yes/no]
Répondre no puis presser Enter
La ligne de réponse doit être : Proceed with reload ? [confirm]
Presser Enter pour confirmer
La première ligne de réponse sera: Reload requested by con sole.
Après rechargement, le texte suivant apparaît :
Would you like to enter the initial configuration dialog? [yes/no]
Répondre no puis presser Enter
La ligne de réponse doit être: Press RETURN to get started !
Presser Enter
Le routeur est prêt pour le TP.
1.1.2 Configuration de base des routeurs :
Entrer en mode privilégié, la première fois

Router >
Route r> enable # A la première configuration, il n'y a pas de mot de passe pré programmé
Router#
Passer en mode configuration
Router#
Router#configure terminal
Enter c onfiguration commands, one per line. End with CNTL j Z.
Rou ter (conf ig) # # le mode de configuration apparaÎt dans le prompt
Donner un nom au routeur
Router (c onfig)#
Ro ute r (c onfig) #hostname Rl # Ce nom est sensible à la casse et sera réutilisé pour
l'authentification
Rl (c onfig ) #
Désactiver la recherche ONS
Router (config ) #
Router (c onfig ) #no domain lookup # Par défaut toute commande non comprise par
l'interpréteur fera l'objet d'un résolution DNS. Cette commande permet d'empêcher cette résolution
Page 4
•.fillllJl
Mot de passe console:

Commandes de base sur routeurs ClSCO
Rl(config)#line console 0 # Mot de passe associé au port console

Rl(config-line)#password cisco
Rl(config-line)#login
Rl(config-line)#exit
Mot de passe terminal virtuel:
Rl (config) #line vty 0 4 # 5 Terminaux virtuels (Tel net) peuvent être créés
Rl(config-line)#password cisco
Rl(config-line)#login
Rl(config-line)#exit
Mot de passe « enable »

Rl(config)#enable password cisco # Mot de passe pour entrer en mode privilégié (enable)
Rl(config)#exit
Création d'une bannière d'accueil :

Rl (conf i9) # banner motd % # Définition du caractère de fin de message
Enter TEXT message. (Faites-le suivre du caractère '%')
( 00)
+------------------.0000--( )--0000.------------------+
1 1
1 Les pirates ne .0000 sont pas les bienvenus 1
1 ( ) 0000. 1
+---------------------\ (----( )--------------------+
\) ) /
(/ %
Retour au mode utilisateur, puis au mode privilégié:

Rl#
Rl#disable # Sortie du mode privilégié
Rl> # le prompt indique le mode utilisateur (»
Rl >
Rl>enable
password: cisco # le mot de passe « en able » est demandé
Rl#
Mot de passe « en able secret»

Rl#configure terminal
Rl (conf i9) #enable secret class # Ce mot de passe n'apparaÎtra jamais en clair dans la
configuration et sera prioritaire sur le mot de passe (( enable »
Configuration d'une interface Ethernet :
Rl(config)#
Rl (config) #int #suivi de (( tabulation »pour complément automatique du mot
Page 5
iiSIIM.
Rl (config)#interfacefastethernet 0/0 # le nom et le n° de l'interface dépend du type
de routeur 0/0: n° slot/n° port
Rl (config - if ) # # Le prompt indique l'environnement de configuration (ici : configuration
d'interface)
Rl (config - if ) #ip address 172.16.0.1 255.255.0.0 # l'adresse IP est suivie du
masque associé
Rl (con f ig-if ) #no shutdown # Autorisation administrative de l'interface
Rl (conf ig -if) #
02 : 13:5 2 : %LINK-3-UPDOWN: Interf ac e Ethernet O/O , c h anged state t o up
0 2:13 : 53: %L.INEPROTO-5-UPDOWN: Line pro tocol on Interface Ethe rnet O/O ,
c h a n ge d state to up # Indication du changement d'état de la ligne et du protocole
associé
Configurer la table d'hôtes:

Rl (config-if) #
Rl (conf ig- if ) #exi t # Sortie du mode configuration d'interface
Rl (conf ig) #ip host R2 172.16.0.2 172.18.0.2 # Un hôte peut avoir plusieurs adresses IP
R1 (config)#ip host R3 172.16.0.3 172.19.0.3
R1 ( c o nf i g ) #
Rl (config ) #"z
1.1.3 Examen des commandes show des routeurs
Il existe de nombreuses commandes show utilisables pour examiner Il e fonctionnement du routeur.

Dans les modes d'exécution privilégié et utilisateur, la commande « show? » présente la Il iste des
commandes show disponibles. Cette liste est beaucoup p ~ us longue en mode pr,ivilégié qu'en mode
utilisateur.
Exemple: la commande sho w running- c onfig

La commande show running-config affiche le contenu du fichier de configuration en cours d'exécution.
En mode d'exécution privilégié sur le routeur, examinez le résultat de la commande show running
config.
Si l'invite -More - apparaît, appuyez sur la touche Espace pour afficher le reste du résultat.
Rl#show running-config
Exemple: la commande show startup-config

La commande show startup-config aff,jche le fichier de configuration de démarrage en mémoire
NVRAM . En mode d'exécution privilégié sur le routeur, examinez le résultat de la commande show
startup-config.
R1#show startup-config
Page 6
Exemple: la commande show version

La commande show version affiche des informations sur la version logicielle actuellement chargée
avec les informations sur le matériel et ~ es périphériques. En mode d'exécution privilégié sur le
routeur, examinez le résultat de la commande show version.
R1#show version
Exemple: la commande show interface

La commande show 'i nterface affiche des statistiques pour toutes les interfaces configurées
sur le routeur. Il est possibl'e d'ajouter une interface donnée à la fin de cette commande pour afficher
uniquement les statistiques pour cette interface. En mode d'exécution privilégié sur le routeur,
examinez le résultat de la commande show interface fastEthernetO/O.
R1# show interface fastEthernet 0/0
Exemple: la commande show ip interface brief

La commande show ip interface brief affiche un récapitulatif des informations sur l'état de chaque
interface. En mode d'exécution privilégié sur le routeur, examinez le résultat de la commande show
ip interface brief.
R1#show ip interface brief
Utilisation de la commande ping
la commande ping est un outil pratique de dépannage des couches 1 à 3 du modèle OSI et de
diagnostic de la connectivité réseau de base. Vous pouvez exécuter cette commande en mode
utilisateur ou privilégié. La commande ping envoie un paquet ICMP (1lnternet Control Message
Protocol) au périphérique spécifié et attend une réponse. Vous pouvez envoyer des tests ping depuis
un routeur ou un PC hôte.
Exemple: envoi d'un paquet ping étendu entre RI et PCl

Entrez ping à l'invite d'exécution privilégiée et appuyez sur Entrée . Répondez comme suit aux
demandes suivantes:
R1#ping
Protocol [ip):
Target IP address: 172.17.0.10
Repeat count [5) : 10
Datagram size [100):
Timeout in seconds [2):
Extended commands [n):
Sweep range of sizes [n):
Type escape sequence to abort.
Sending 10, lOO-byte ICMP Echo s ta 192.168.1.10, timeout is 2 seconds:
! ! ! ! ! ! ! ! !!
Success rate is 100 percent (10/10), round-trip min / avg / max 53 / 77 / 94
ms
R1#
Note: les « !!!! » indiquent les « échos» réussis
Page 7
--------------------------------~------
1.1.4 Gestion de CISCO 105 et des fichiers de configuration:
1.1.4.1 Affichage des fichiers 105
105 est le système d'exploitation utilisé par les routeurs ClSCO. Il se peut que le routeur stocke
plusieurs images 105. Il est important de savoir quels fichiers sont stockés sur votre routeur.
Exécutez la commande show flash pour afficher le contenu de la mémoire flash de votre routeur.
Attention: il faut très prudent lors de l'utilisation des commandes impliquant la mémoire flash.
Une erreur dans la saisie d'une commande peut entraîner la suppression de l'image Cisco 105.
R1#show flash
-#- --length-- -----date/time------ path

1 13937472 May 05 2007 21:25:14 +00:00 c1841-ipbase-mz.124-1c.bin
2 1821 May 05 2007 21:40:28 +00:00 sdmconfig-18xx.cfg
3 4734464 May 05 2007 21:41:02 +00:00 sdm.tar
4 833024 May 05 2007 21 : 41:24 +00:00 eS.tar
5 1052160 May 05 2007 21:41:48 +00:00 common. tar
8679424 bytes available (23252992 bytes used)
En parcourant l'exemple ci-dessus, il est possible de déterminer les éléments suivants:
• L'image est destinée à un routeur 1841 (c1841-ipbase-mz.124-1c.bin).

• Le routeur utilise une image de base IP (c1841-ipbase-mz.124-1c.bin) .
• La version du logiciel Cisco 105 est 12.4(lc) (c1841-ipbase-mz.124-1c.bin) .
• SDM (Security Device Manager) est installé sur ce périphérique (sdmconfig-18xx.cfg,
sdm .tar) .
Vous pouvez utiliser la commande dir ail pour afficher tous les fichiers sur le routeur.
R1#dir aU
Directory of archive:/
No files in directory
No space information available

Directory of system:/
3 dr-x o <no date> memory

1 -rw- 979 <no date> running-config
2 dr-x o <no date> vfiles
No space information available

Directory of nvram:/
Page 8
-
ii~I\lf11
189
• lim.
-rw- 979
<no date> startup-config

190 5 <no date> private-config
191 -rw- 979 <no date> underlying-config
1 -rw- 0 <no date> if Index-table
196600 bytes total (194540 bytes free)

Directory of flash:;
1 -rw- 13937472 May 05 2007 20:08:50 +00 : 00 c1841-ipbase-mz.124-1c.bin

2 -rw- 1821 May 05 2007 20:25:00 +00:00 sdmconfig-18xx.cfg
3 -rw- 4734464 May 05 2007 20:25:38 +00:00 sdm.tar
4 -rw- 833024 May 05 2007 20:26:02 +00:00 eS.tar
5 -rw- 1052160 May 05 2007 20 : 26:30 +00:00 common.tar
6 -rw- 1038 May 05 2007 20 : 26:56 +00 : 00 home.shtml
7 -rw- 102400 May 05 2007 20 : 27:20 +00:00 home.tar
31932416 bytes total (8679424 bytes free)
1.1.4.2 Sauvegarde de la configuration dans un fichier texte:
Il est poss1
ible de capturer la configuration d'un routeur dans un fichier texte (.txt) et de l'enregistrer
pour l'utiliser par la suite. Il est ensuite possible de recopier la configuration dans le routeur pour ne
pas avoir à entrer les commandes une par une.
Étape 1 : utilisation de la commande show running-config pour afficher la configuration actue'lle du

routeur
R1#show running-config
version 12.3
hostname R1
enable secret 5 $1$J . hq$Ds72Qz86tvpcuW2X3FqBS.
no ip domain-lookup
interface FastEthernetO ; O
description R1 LAN
mac-address 0007.eca7.1511
ip address 192 . 168 . 1 . 1 255 . 255 . 255.0
duplex auto
speed auto
R1#
Page 9
••
iillDI iiI.I~.
Commandes de base sur routeurs
Étape 2 : copie du résultat de la commande

clseo
Sélectionner le résultat de la commande. Dans le menu Edition du logiciel HyperTerminal,

commande Copier.
Étape 3 : collage du résultat dans le Bloc-notes
Ouvrir le Bloc-notes. (Démarrer, Tous les programmes> Accessoires). Dans le menu Edition du Bloc
notes, cliquer sur Coller.
Étape 4 : modificat,i on des commandes

Il est nécessaire de modifier ou d'ajouter certaines commandes pour appliquer le script de
démarrage à un routeur. Voici des exemples de modifications:
• ajouter une commande no shutdown aux interfaces FastEthernet et Série utilisées;

• remplacer le texte chiffré de la commande enable secret par le mot de passe adapté;
• supprimer la commande mac-address des interfaces;
• supprimer la commande ip classless ;
• supprimer les interfaces non utilisées.
Étape 5 : enregistrement du fichier ouvert dans le Bloc-notes
1.1.4.3 Chargement du fichi'e r.txt sur le routeur
Effacer la configuration de démarrage actuelle

Confirmer la commande et répondre no à la demande d'enregistrement des modifications. Vous
devez obtenir un résultat similaire à celui-ci :
Rl#erase startup-config
Erasing the nvram filesystem will remove all files! Continue? [confirm]
[OK]
Erase of nvram: complete
Router#
Lancer la commande reload

Dès que le routeur a terminé l'amorçage, choisissez de ne pas utiliser la fonction Autolnstall :
Would you l ike to enter the initial configuration dialog? [yes/no]: no
Would you like to terminate autoinstall? [yes]:
Press Enter to accept default.

Press RETURN to get started!
Activer le mode de configuration globale

Router# configure terminal
Tapez les commandes de configuration (une par ligne). Terminez par

CNTL/Z.
Router (config)#
Page 10 ---------------------------------
ilS.IU
Copier des commandes
Dans le fichier .txt créé dans le Bloc-notes, sélectionner toutes les lignes et choisir Édition> Copier.
Utiliser la commande Coller vers l'hôte dans le menu Edition du logiciel HyperTerminal
Vérifier la configuration en cours

Lorsque toutes les commandes collées sont appliquées, vérifier la configuration à l'aide de la
commande show running-config.
Enregistrer la configuration
Utiliser la commande copy running-config startup-config pour enregistrer la
configuration en cours dans la mémoire NVRAM.
Rl#copy running-config startup-config
Building configuration ...

[OK]
Rl#
Page 11
1.1.5 Configuration de routes statiques:
Vérifier l'état des interfaces, sur chaque routeur, par la commande show ip interface brief
Les interfaces utiles sont-elles actives 7

----------------------------------
Vérifier les entrées des tables de routage
Utiliser la commande show ip route, pour visualiser la table de routage, sur R1, R2 et R3 ...
La table de routage est-elle présente 7_ _- - - - - - -__________
Si la table de routage est absente d'un routeur, valider la fonction « routage» par la commande :
Rl(config)#config terminal
Rl(config)#ip routing
Rl (config) #,'Z
Toutes les routes utiles sont-elles dans les tables de routage 7__________
Un hôte du sous réseau 172.16.2.0 peut-il voir le réseau 172.16.3.07______
Ajouter une route statique:
En mode de configuration globale, ajouter des routes statiques sur le routeur R1 vers les réseaux
172.18.0.0 à 172.23.0.0, sur le routeur R2 vers les réseaux 172.17.0.0,172.19.0.0 à 172.23.0.0, ect...
Exemple de configuration:
R2(config)#ip route 172.18.0.0 255.255.0.0 172.16.0.1
Quelles remarques ces commandes vous inspirent-elles 7_______________
Vérifier les nouvelles routes
Utiliser la commande show ip route, pour visualiser les tables de routage sur chacun des
routeurs
Toutes les routes utiles sont-elles dans les tables de routage 7_ _ _ _ _ __
Comment les routes statiques sont-elles indiquées 7__
Un hôte du sous réseau 172.xx.0.0 peut-il voir le réseau 172.yy.0.0 (test par « ping ») 7_
Note: Les erreurs les plus courantes:
- adresse destination et/ou masque et/ou « next hop »Iinterface de sortie syntaxiquement correcte(s)
mais erronée(s)
-commande « no shutdown » oubliée sur interface
Page 12 - - - - - - - - - - - - - - - -
1.1.6
• lirrml
Transfert des fichiers via le protocole TFTP
Le protocole TFTP est utilisé pour l'archivage et la mise à jour de l'lOS et/ou de la configuration. À la
fin de cette section, vous trouverez un exemple de transfert TFTP de fichiers Cisco lOS.
Lors d'un transfert de fichiers via TFTP, il est important de vérifier la communication entre le serveur
TFTP et le routeur. Pour ce faire, exécutez une requête ping entre ces deux périphériques.
1
Vérifier que le serveur TFTP est bien installé sur la station de travail ( ), sinon, l'insta''er et le
démarrer.
Pour commencer le transfert du logiciel Cisco lOS, créer un fichier nommé test sur le serveur TFTP,
dans ,le dossier racine TFTP.
Ce fichier peut être vide, car il sert uniquement à illustrer les étapes effectuées.
À partir du routeur, procédez à l'extraction du fichier et enregistrez-le dans la mémoire flash.
R1#COPY tftp flash

Address or name of remote host [l' ? 172.1x.xx.xx (adresse IP du serveur
TFTP)
Source filename []? Test (nom du fichier que vous avez créé et enregistré
sur le serveur TFTP)
Destination filename [test]? test-server (nom arbitrairement attribué au
fichier lors de son enregistrement sur le routeur)
Accessing tftp://172.1x.xx.xx/test ...
Loading test from 172.1x.xx.xx (via FastEthernetO/1):
[OK - 1192 bytes]
1192 bytes copied in 0.424 secs (2811 bytes/sec)

Vérifier l'existence du fichier dans la mémoire flash à l'aide de la commande show flash.
R1#show flash
-#- --length-- -----date / time------ path

1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin
3 4734464 May 05 2007 21:30:14 +00 : 00 sdm. tar
4 833024 May 05 2007 21:30:42 +00:00 es.tar
5 1052160 May 05 2007 21:31:10 +00:00 common.tar
6 1038 May 05 2007 21 :3 1:36 +00:00 home.shtml
7 102400 May 05 2007 21:32:02 +00:00 home.tar
8 491213 May 05 2007 21:32:30 +00:00 128MB . sdf
9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1 . 1 .27
k9.pkg
10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0 . 154.pkg
11 1192 Sep 12 2007 07:38:18 +00:00 test-server
Page 13 ---------------------------------
----- -- --
Les routeurs peuvent également servir de serveurs TFTP. Cela peut être utile si un périphérique
a besoin d'une image et que l'un de vos périphériques utilise déjà cette image.
Configurer R2 en tant que serveur TFTP de RI. Attention: les lOS sont spécifiques aux plates-formes
de routeur et aux besoins en matière de mémoire.
La syntaxe de commande est la sui,vante : tftp-server nvram: [nomfichierl [alias nomfichier2]
La commande ci-après permet de configurer R2 en tant que serveur TFTP. R2 envoie son fichier de
configuration de démarrage aux périphériques qui le demandent, via TFTP. Le mot-clé alias permet
aux périphériques de demander le fichier en utilisant l'alias test au lieu du nom de fichier complet.
R2(config)#tftp-server nvram:startup-config alias test
Il est possible de demander le fichier à partir de R2 en utilisant RI.

R1#copy tftp flash
Address or name of remote host []? 192.168.10.2

Source filename []? test
Destination filename [}? test-router
Accessing tftp://192.168.10.2/test ...
Loading test from 192.168.10.2 (via SerialO/O /O) :
[OK - 1192 bytes]
1192 bytes copied in 0.452 secs (2637 bytes/sec)
Vérifier une nouvelle fois que le fichier test a été correctement copié à l'aide de la commande show
flash.
R1#show flash
-#- --length-- -----date/time------ path
1 13937472 May 05 2007 21:13:20 +00:00 C1841-ipbase-mz.124-1c.bin
3 4734464 May 05 2007 21:30: 1 4 +00:00 sdm. tar
4 833024 May 05 2007 21:30:42 +00:00 es.tar
5 1052160 May 05 2007 21:31:10 +00:00 common.tar
6 1038 May 05 2007 21:31:36 +00:00 home.shtml
7 102400 May 05 2007 21:32:02 +00:00 home.tar
8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf
9 1684577 May 05 2007 21:33:16 +00:00 securedesktop ~ ios -3. 1.1.27-
k9.pkg
10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1 . 1 .0. 154 .pkg
11 1192 Sep 12 2007 07:38:18 +00:00 test-server
11 1192 Sep 12 2007 07:51:04 +00:00 test-router
Page 14 ---------------------------------
iifilml • tl.ld.
A présent, supprimer les fichiers inutiles de la mémoire flash de R1, pour éviter d'utiliser trop
d'espace mémoire . Soyez particulièrement prudent lorsque vous effectuez cette opération! La
suppression accidentelle de la mémoire flash obligerait à réinstaller l'ensemble de l'image 105 du
routeur. Si le routeur vous invite à supprimer la mémoire flash, via erase flash, cela indique qu'il se
passe quelque chose d'anormal. Uest extrêmement rare de devoir supprimer l'ensemble de la
mémoire flash. Le seul cas légitime où cela peut se produire est lors de la mise à niveau du système
105 vers une grande image 105. SI l'invite erase flash s'affiche comme dans l'exemple, ARRÊTEZ
IMMÉDIATEMENT. Ne validez PAS. III
Erase flash: ?[confirm] no
Rl#delete flash:test-server
Delete filename [test-server]?
Delete flash:test? tconfirm]
Rl#delete flash:test-router
Delete filename [test-router]?
Delete flash:test-router? [confirm]
1.2 Configuration de RIP:
1.1.1. Configuration de base:
Supprimer les routes statiques:

(Exemple de configuration sur R2 )
R2(config l #no ip route 172.18.0.0 255.255.0.0 172.16.0.1
Activer le routage RIP :

En mode de configuration globale (exemple sur R2) :
R2(configl#router rip
R2(config-routerl#network 172.16.0.0
R2(config-router l #network 172.18.0.0
R2 (config-routerl#exit
172.16.0.0 et 172.18.0.0 représentent les réseaux où sont connectées les interfaces du routeur
Vérifier les tables de routage :
Utiliser la commande show ip route

Que constatez-vous ?_ _ _ _ __
Vérifier 'la Routing Information Base de RIP :
PagelS - - - - - - - - - - - - - ------------ - - -
iifil\ll1l ••Iili
Utiliser la commande show ip rip database pour contrôler les informations échangées par RIP,
entre les routeurs
Tous les réseaux apparaissent-ils 7__
Vérifier lia table de routage sur les trois routeurs afin de constater l'adaptation opérée .
Debug RIP:
La commande debug est à utiliser avec parcimonie car très gourmande en ressource CPU.
Cependant, elle permet de tracer les événements réseaux et d'établir, le cas échéant un
diagnostique en cas de non fonctionnement.
Entrer debug ? en mode privilégié pour lister les entités associées ...
Entrer debug ip fip pour visualiser les options disponibles ...
La commande debug ip fip permet de lister les entrées des tables de routage
La commande debug ip packet permet de visualisé les paquets émis et reçus par le routeur
La commande debug ip fip database permet de voir l' évolution de la RIB
1.1.2. Configuration d'une route par défaut et propagation de cette route:
Configurer R2 comme connexion à un ISP
Le lien entre le réseau et l'ISP est simulé par la configuration de l'interface loopback avec une adresse
IP. Entrer les commandes suivantes sur R2 :
R2( config l #interface 1oopbackO

R2(config-if l #ip address 172.20 . 2.2 255.255.255.255
De R1 ou R3 essayer un ping vers 172.18.2.2 . Ce ping ne devrait pas fonctionner car le réseau
172.18.0.0/16 n'est pas dans la table de routage de R1 et R3
Créer une route par défaut sur R2
R2( config l #ip route 0.0.0.0 0.0.0.0 loopbackO
Cette commande configure une route par défaut statique .
Page 16 ---------------------------------
•
ISlml
Pour toute version d'IDS, à l'exception de la version 12.1, RIP propage automatiquement les routes
par défaut statiques. Aussi, en fonction de la version d'IDS, RIP peut nécessiter d'être explicitement
configuré pour propager la route 0.0.0.0/0. Les commandes suivantes permettent d'activer cette
fonctionnalité:
R2(config)#router rip
R2(config-router)#default-information originate
Et si cela ne marche toujours pas (pas de propagation de la route par défaut) :
R2(config)#no ip route 0.0.0.0 0.0.0.0 loopbackO

R2(config)#ip default-network 172.20.0.0
R2(config - router)#network 172.20.0.0
R2(config-router)#no default-information originate
R2(config-router)#exit
Vérifier les tables de routage
Vérifier les tables de routage de R1 et R3 en utilisant ta commande show ip route. Vérifier qu'ils
ont bien reçu la route par défaut
1.1.3. Interface en mode passif:
Sur PC1, 2 et 3 , à l'aide de l'ana'lyseur de protocole vérifier le contenu des messages RIP .
Combien de réseaux sont présents dans le message 7__
Pourquoi n'y a-t-il pas l'ensemble des réseaux existants 7__
Ces messages ne sont pas utiles, puisqu'il n'y a pas d'autres routeurs présents sur ces réseaux. Par
contre l'interface doit être déclarée à RIP pour pouvoir être annoncée aux autres routeurs. Pour
éviter de surcharger nos réseaux terminaux, il est possible de programmer ces interfaces en mode
passif.
R2(config-router)#passive-interface fastethernetO/1
Vérifier que iles messages RIP ne circulent plus sur les Ethernet utilisateurs et que ces réseaux sont
toujours présents dans les tables de routage .
Note: Une erreur sur les interfaces en mode passif entraine une non propagation des RIB et donc des
risques de perte de réseaux en table de routage. Utiliser la commande debug pour vérifier la
propagation des mises à jour
Page 17 ---------------------------------
iitlllM1
1.1.4. RIPv2 et authentification:
Passer les interfaces en mode actif:
Afin de pouvoir à nouveau analyser RIP ...
R2(config-router)# no passive-interface fastethernetO/O
Configurer la version 2 sur l'ensemble des routeurs :
R2(config-router)#version 2
Note:
RIPv2 « résume» automatiquement les réseaux propagés. Pour avoir la liste complète des réseaux,
dans le cas de l'utilisation du VLSM il faut ajoute la commande no auto-summary dans la
configuration RIP
Authentification:
L'authentification doit être configurée sur les 3 routeurs. Entrer les commandes suivantes, en mode
privilégié (exemple sur R2):
Définir la clé:
R2(config)#key chain private

R2(config)#key 1
R2(config)#key-string 234
R2(config)#Ctrl z
Autoriser l'authentification sur les interfaces:
R2(config)#interface serial 0/0/0

R2(config-if)#ip rip authentication key-chain private
R2(config)#inte r face fastether n et 0/1
R2(config-if)#ip rip authentication key-chain priva te
R2(config-if)#Ctrl z
Entrer la commande debug ip rip pour contrôler le résultat des commandes
Quelle information permet de voir que l'authentification est activée ? _
Authentification MDS :
VaUder l'authentification MDS sur R2 et R3 :
R2(config)#interface serial 0/0/0

R2(config-if)#ip rip authentication mode mdS
R2(config-if)#Ctrl z
Page 18
•
lili.œl
Que dit l'affichage 7_ _
Nettoyer les tables de routage par la commande clear ip route * . Attendre une minute.
Y-a-t-il à nouveau des routes RIIP en table et pourquoi 7_
Valider l'authentification MDS sur Ri :
Rl(configl#interface seriaI 0/0/0

Rl (c onfig-ifl#ip rip authentication mode mdS
Rl (c onfig-if l #interface seriaI 0/0/1
Rl (config-if l #ip rip authentication mode mdS
Rl (config-if l #Ctrl z
Que dit l'affichage 7_ _
Y-a-t-il à nouveau des routes RIP en table et pourquoi 7_ _
1.3 Sécurisation des routeurs :
Sécurisation du routeur par rapport aux accès non autorisés:

Configuration des mots de passe sécurisés et authentification MA
Configurer des mots de passe sécurisés sur Ri à l' aide d'une base de données locale. Dans ces
travaux pratiques, le mot de passe à utiliser est ciscolab.
Rl(con f ig l #enable secret ciscolab
Comment la configuration d'un mot de passe enable secret contribue-t-elle à protéger un routeur
d'une attaque 7
La commande username permet de définir un nom d'utilisateur et un mot de passe, enregistrés

localement sur l'e routeur. Par défaut, le niveau de privilège de l'utilisateur est défini sur 0 (le niveau
d' accès le plus bas) . U est possible de modifier le niveau d'accès assigné à un utilisateur en ajoutant le
mot clé privilege 0 -15 avant le mot clé password .
Page 19 ---------------------------------
• _ml
RI(config)#username 1ab password cisco1ab
La commande aaa permet d'activer le protocole AAA (Authentication, Authorization and Accounting
: authentification, autorisation et comptabilisation) de manière globale sur le routeur. Cette
commande est utilisée lors de la connexion au routeur.
RI (config)#aaa new-mode1
Vous pouvez créer une liste d'authentification qui est consultée lorsqu'un utilisateur tente de se
connecter au périphériClue, une fois que vous l'aurez appliquée aux lignes vty et aux lignes de la
console. Le mot clé local indique que la base de données de l'utilisateur est enregistrée localement
sur le routeur.
RI (config)#aaa authentication login LOCAL_AUTH local
Les commandes suivantes indiquent au routeur que les utilisateurs qui tentent de se connecter
doivent être authentifiés via la liste que vous venez de créer.
RI (config)#line console 0
RI (config-lin)#login authentication LOCAL AUTH
RI (config-lin)#line vty 0 4
RI (config-lin)#login authentication LOCAL AUTH
Utiliser la commande RI (config) #show run et trouver quel élément n'est pas sécurisé?
Pour appliquer un chiffrement simple sur les mots de passe, entrez la commande suivante en mode
de configuration globale:
Rl(config)#service password-encryption
Vérifier avec la commande show run.
Protection des lignes de console et des lignes VTY
Pour permettre une déconnection automatiquement au bout de la période indiquée. Les

commandes suivantes permettent la déconnexion d'une ligne au bout de 5 minutes.
Rl(config)#line console 0
Rl(config-lin)#exec-timeout 5 0
Rl(config-lin)#line vty 0 4
Rl(config-lin)#exec-timeout 5 0
La cormmande suivante permet d'empêcher les tentatives de connexion en force. Le routeur bloque
les tentatives de connexion pendant 5 minutes si un utilisateur effectue 2 tentatives de connexion
sans y parvenir au bout de 2 minutes. Exemple:
RI (config)#login b1ock-for 300 attempt 2 within 120

RI (config)#security authentication fai1ure rate 5 log
Page 20 ---------------------------------
Vérification: essayer une connexion à R1, à partir de R2, via le protocole Telnet à l'aide d'un nom
d'utilisateur et d'un mot de passe incorrects. (Vérifier les logs sur R1)
Sur R2:
R2#telnet 172.16.0.1
Désactivation des services globaux inutilisés

De nombreux services ne sont pas requis dans la plupart des réseaux modernes. Si les services
inutilisés restent activés, les ports restent ouverts et peuvent a'iors être utilisés pour compromettre
un réseau. Désactivez tous les services inutilisés sur Rl.
Rl (conf ig) #no service finger #Iiste d'utilisateur
Rl (config) #no service udp-small-server # Echo, Chargen, Discard telnet,
Rl(config)#no service tcp-small-server
Rl(config)#no ip bootp server
Rl(config)#no ip http server
Rl(config)#no ip finger
Rl(config)#no ip source-route
Rl(config)#no ip gratuitous-arps
Rl (conf ig) #no cdp run # Cisco Discovery Protocol
Désactivation des services d'interface inutilisés

Les commandes ci-après sont saisies au niveau de l'interface et doivent être appliquées à chaque
interface sur Hl.
Rl(config-if)#no ip redirects
Rl(config-if)#no ip proxy-arp
Rl(config-if)#no ip unreachables
Rl(config-if)#no ip directed-broadcast
Rl (config-if) #no ip mask-reply
Rl(config-if)#no mop enabled
Les commandes IP redirects, IP unreachables et IP directed broadcasts sont utilisées dans la

protection contre les attaques de reconnaissance. En envoyant des requêtes ping à un grand nombre
d'adresses, un pirate peut obtenir des informations sur la structure d'un réseau. La désactivation de
ces services permet de restreindre les informations obtenues par des actions de ce type.
Utilisation de la fonction AutoSecure pour sécuriser un routeur
La fonction AutoSecure vous permet de désactiver les services IP communs pouvant être exploités
par des attaques réseau et d'activer des fonctions et des services IP pouvant être utiles dans la
protection d'un réseau lors d'une attaque.
Page 21
Commandes de base sur routeurs ClSCO BueinHa
Services
Utiliser la commande auto secure sur R3 :

R3#auto secure
--- AutoSecure Configuration
*** AutoSecure configuration enhances the security of

the router, but it will not make it absolutely resistant
to aIl security attacks ***
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes

Enter the number of interfaces facing the internet [1]: 1
Interface IP-Address OK? Method Status Protocol

FastEthernetO / O unassigned YES unset down down
FastEthernetO / l 192.168.30.1 YES manual up up
SeriaIO/O/O unassigned YES manual down down
SerialO/O/l 10.2.2.2 YES manual up up
Enter the interface name that is facing the internet: SerialO/0/1
Securing Management plane services ...
oisabl ing service ...
Configurat~on of local user database

Enter the username : lab
Enter the password : ciscolab
Confirm the password : ciscolab
Configuring AAA local authentication...
Configure the following parameters
Blocking period when Login Attack detected: 300
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 120
Configure SSH server ? Yes

Enter domain-name: cisco.com
Configuring interface specifie AutoSecure services

oisabling the following ip servi c es on aIl interfaces :
Se c uring Forwarding plane services . ..
Page 22 ---------------------------------
Commandes de base sur routeurs CI.sCO
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on aIl interfaces connected to internet
Configure CBAC firewall feature: no

Tcp intercept feature is used prevent tcp syn attack
On the servers in the network. Create autosec tcp intercept list
To form the list of servers to which the tcp traffic is to be observed
Enable TCP intercept feature: yes
This is the configuration generated:
Apply this configuration to running-config? [yes] : yes
The name for the keys will be: R3 . cisco.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable ... [OK]
R3#
000045: *Nov 16 15:39:10 . 991 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
2 Listes de contrôle d'accès:
2.1 Configuration de base:

Supprimer la configuration existante sur les routeurs :
Rl#erase start
Rl#reload
Configurer les routeurs :
• Configurer le nom d'hôte du routeur conformément à la topologie.

• Désactiver la recherche ONS.
• Configurer un mot de passe c1ass pour le mode d'exécution privilégié.
• Configurer un mot de passe cisco pour les connexions de consoles.
• Configurer un mot de passe pour les connexions de terminaux virtuels (vty).
• Configurer des adresses IP et des masques sur tous les périphériques.
• Activer RIP sur l'ensemble des routeurs de tous les réseaux.
• Vérmer l'intégralité de la connectivité IP à l'aide de la commande ping.
2.2 Configuration d'une liste de contrôle d'accès standard

Les listes de contrôle d'accès standard ne peuvent filtrer le trafic qu'en fonction de l'adresse IP
source. Il est recommandé de configurer une liste de contrôle d'accès standard aussi proche que
possible de la destination. On veut créer une liste de contrôle d'accès pour bloquer le trafic
provenant du réseau 172.17.0.0/16 (R1) à destination des réseaux locaux de R2 (idem entre R2 et R3,
R3 et R4 ... et R7 et R1)
Page 23
•
ililml ••ml
Cette liste sera appliquée en entrée, sur l'interface faO/O de R2 ( chaque liste de contrôle d'accès
comporte une instruction « deny ail » implicite, bloquant tous les trafics qui ne correspondent à
aucune instruction de la liste; c'est la raison pour laquelle il est nécessaire d'ajouter l'instruction
permit any à la fin de la liste.).
Vérifier ja connectivité depuis PCl vers PC2 .
Création de la liste de contrôle d'accès sur le routeur R2
En mode de configuration globale, créez une liste de contrôle d'accès standard nommée UST-STD-l.
R2(config)# ip access-1ist standard LIST-STD-1

R2(config-std-nac l )# deny 172.17.0.0 0.0.255.255 log
(refuser tous les paquets dont le réseau source est 172.16.2.0/24 et ajouter un message dans la
console pour chaque paquet correspondant)
R2 (conf ig-std-nacl) # permit any # autoriser le reste du trafic
Application de la liste de contrôle d'accès
Appliquer la liste de contrôle d'accès lIST-STD-l pour filtrer les paquets entrant dans R2, via
l'interface fast Ethernet 0/0.
R2(config)# interface fastethernet 0/0

R2(config-if)# ip access-group LIST-STD-1 in
R2(config-if)# exit
Test de la liste de contrôle d'accès
Vérifier la liste de contrôle d'accès en envoyant une requête ping vers le PC2 à partir du PCl et PC3 à
7. La Hste de contrôle d'accès étant conçue pour bloquer le trafic dont l'adresse source fait partie du
réseau 172.18.0.0/16, le PO ne peut normalement pas envoyer de requêtes ping vers le PC2.
Vérifier les messages à la console de R2.
2.3 Configuration d'une liste de contrôle d'accès étendue
Les listes de contrôle d'accès étendues peuvent filtrer le trafic en fonction d'autres critères, tels que
le protocole, l'adresse IP source, l'adresse IP de destination, le numéro de port source et le numéro
de port de destination.
On souhaite que PO ne puisse pas atteindre PC2 , (PC2 ->PC3 ... PC7->PCl)
Page 24 ---------------------------------
ii:ll~1 IilIi.lBl
Pour cela, configurer une liste de contrôle d'accès étendue sur R1 (R2 ... 57), qui sera chargée
d'empêcher le trafic en provenance de PC1 d'accéder à l'hôte 172.18.0.10 (idem pour PC2 et
192.19.0.10 ... ). Cette liste de contrôle d'accès sera appliquée en sortie de l'interface Fast ethernet
0/0 de R1 (FaO/O de R2 .. .). Pour appliquer de façon optimale des listes de contrôle d'accès étendues,
il est conseillé de les placer aussi près que possib'le de la source.
Configuration d'une liste de contrôle d'accès étendue nommée (exemple sur Ri)
En mode de configuration globale, créer une liste de contrôle d'accès étendue nommée LlST-EXT-i.
Rl(config)# ip access-list extended LIST-EXT-1
Rl(config-ext-nacl)# deny ip 172.19.0.0 0.0.255 . 255 host 172.18.0.10
Rl(config-ext - nacl ) # permit any any

Rl(config)# interface seriaI faO/O
Rl(config-if ) # ip access-group LIST-EXT-1 out log
Rl(config-if)# end
A partir de PC1, envoyer une requête ping à l'interface faO/1 de R2 . Ces tests doivent échouer, car
l'ensemble du trafic provenant du réseau 172.17.0.0/16 est filtré . Si la destination correspond à une
autre adresse, les ping doivent aboutir.
Remarque: la fonctionnalité de la commande ping étendue sur R1 ne peut pas être utilisée pour
tester cette liste de contrôle d'accès car le trafic est issu de R1 et n'est jamais testé sur la liste de
contrôle d'accès appliquée à l'interface série Rl.
Vous pouvez effectuer une vérification approfondie en entrant la commande show ip access-list sur
R1 après l'envoi de la requête ping.
2.4 Contrôle de l'accès aux lignes vty ,par liste de contrôle d'accès standard
Il est généralement conseillé de limiter l'accès aux lignes vty du routeur pour l'administration à,
distance. Pour cela, il est possible de configurer une liste de contrôle d'accès standard autorisant
certains hôtes à accéder aux lignes vty. Les autres hôtes se voient refuser l'accès.
Vérifiez que vous pouvez établir un accès Telnet vers R2 à partir de Hl .
Page 25 - -- - -- - -- -- - -- --
Configuration de la liste de contrôle d'accès.
Configurez une liste de contrôle d'accès standard nommée sur Ri pour autoriser le trafic provenant
des réseaux 172.18.0.0/16 et 172.19.0.0/16 (idem pour R2 et 172.19.0.0 et 172.20.0.0 ... ). Refusez le
reste du trafic. Attribuez à la liste de contrôle d'accès le nom DY.
RI(c o nfig)# ip access-list standard TTY
Rl(c o nfig-std - nacl)# permit 172.18.0.0 0.0.255.255
RI (co nfig-std-nacl)# permit 172.18.0.0 0.0.255.255
RI (c o nfig)# line vty 0 4

RI (c o nfig-line ) # access-class TTY in
RI(co nfig-line)# end
Etablissez une connexion Telnet avec Ri depuis R2 . R2 ne comporte pas d' adresse IP présente dans la
plage d'adresses répertoriée dans ,les instructions d'autorisation de la liste de contrôle d'accès DY.
Les tentatives de connexion sont censées échouer.
Etablissez une connexion Telnet avec Ri depuis R3. Vous êtes alors invité à entrer le mot de passe
des lignes vty.
2.5 Exercice liste de contrôle d'accès étendue
Créer une liste d' accès étendue sur Ri interdisant à PC2 et PC3 de se tester par un « ping »,
autorisant les flux de routage (RIP), interdisant 'les flux http vers et de R2, R3 et les réseaux y étant
connectés, autorisant l'accès aux serveurs TFTP et interdisant TELNET de R2, R3 et les réseaux y
étant connectés.
Vérifier le résultat...
---------------------------------- Page 26 ---------------------------------

iiS1\YI11
3 Configuration DHCP et NAT
3.1 Configuration de base:

Supprimer la configuration existante sur les routeurs :
Rl#erase start
Rl #reload
Configurez les routeurs conformément aux instructions suivantes:
• Configurer le nom d'hôte du périphérique.

• Désactiver la recherche DNS.
• Configurer un mot de passe de mode d'exécution privilégié.
• Configurer un mot de passe pour les connexions console .
• Configurer un mot de passe pour toutes les connexions de terminaux virtuels (vty).
• Configurer l'es adresses IP sur tous les routeurs. Plus loin dans cet exercice, les PC se verront
attribuer des adresses IP par le service DHCP.
• Activer RIP sur RI et R2 .
Configurer les PC pour qu'ils obtiennent une adresse IP automatiquement (propriétés de Protocole
Internet (TCP/IP))
3.2 Configuration d'un serveur DHCP Ciseo lOS
Le logiciel Cisco 105 prend en charge une configuration de serveur DHCP appelée Easy IP. L'objectif
est que PC2 et PC3 demandent à RI des adresses IIP via le protocole DHCP.
Exclusion des adresses attribuées de manière statique
Le serveur DHCP suppose que toutes les adresses IP d'un groupe d'adresses DHCP peuvent être
affectées à des clients DHCP. III' faut spécifier les adresses IP que le serveur DHCP ne peut affecter aux
clients. La commande ip dhcp excluded-address empêche le routeur d'attribuer les
adresses IP présentes dans la plage configurée. Les commandes suivantes excluent les neuf
premières adresses IP de chacun des pools des réseaux locaux connectés à R2. Ces adresses ne
seront pas affectées à des clients DHCP .
Rl(config)# ip dhcp excluded-address 172.19.0.1 172.19.0.9
Configuration du pool
Crée le pool DHCP à l'aide de la commande ip dhcp pool et nommez-le R2FaO, puis spécifier le
sous-réseau à utiliser lors de l'attribution des adresses IP. Les poo'ls DHCP sont associés
Page 27
•Illml
automatiquement à une interface, en fonction de l'instruction réseau. le routeur joue désormais le

rôle de serveur DHCP
Rl(config)# ip dhcp pool R2FAO
Rl(config)# network 172.19.0.0 255.255.255.0
Configurez le routeur par défaut et le serveur de noms de domaine du réseau. Les clients reçoivent
ces paramètres via le protocole DHCP, de même qu'une adresse IP.
Rl(config)# dns-server 172.18.3.5
Rl(config)# default-router 172.19.0.2
Remarque: aucun serveur DNS n'est disponible. Cette commande est configurée uniquement à des
fins pédagogiques.
Etant donné que les périphériques des autres réseaux requièrent également que Rlleur fournissent
des adresses, vous devez créer des pools distincts pour répond[re à leurs besoins. Les commandes
utilisées sont similaires aux précédentes
3.3 Configuration d'un agent relais OH CP
Les services réseaux tels que le protocole DHCP fonctionnent via ,les diffusions de couche 2. Si les
périphériques fournissant ces services se trouvent sur un sous-réseau différent de celui des clients, fis
ne peuvent pas recevoir les paquets de diffusion. Etant donné que 'le serveur DHCP et les clients
DHCP ne figurent pas sur le même sous-réseau, il faut configurer R2 ( R3 ... R7) pour qu'il transmette
les messages de diffusion DHCP à Rl, qui correspond au serveur DHCP, à l'aide de la commande de
configuration d'interface ip helper-address (sur chaque interface recevant des requêtes DHCP).
R2(config)# interface faO/O
R2(config)# ip helper-address 172.16.0.1
Emission et renouvellement des adresses IP sur PC2 à PC7
Supprimer et renouveler l'éventuelle adresse IP sur PC2 à PC7 à l'aide des commandes ipconfig
Irelease et ipconfig Irenew, en mode commande.
Vérification de la configuration DHCP
Il existe plusieurs méthodes de vérification de la configuration du serveur DHCP. Exécutez la

commande ipconfig sur les ordinateurs PC2 et PC3 pour vérifier qu'ils ont reçu une adresse IP de
façon dynamique. Vous pouvez ensuite entrer des commandes sur le routeur pour obtenir des
informations supplémentaires.
Utiliser la commande show ip dhcp binding pour avoir des informations sur les adresses
DHCP actuellement attribuées.
Page 28 - - - - - - - - - - - - -- - -
Utiliser la commande show ip dhcp pool pour affiche des informations concernant tous les
pools DHCP actuellement configurés sur le routeur.
Utiliser la commande debug ip dhcp server events pour résoudre les problèmes liés aux
baux DHCP avec un serveur DHCP Cisco lOS.
3.4 Topologie NAT
172. 17.0.10/16
FaO/l: 172 .17.0..1/16
R4 R5
172.18.0.10/16
Defau lt route: 172.18.0.2
Câbler la plate forme en fonction du schéma ci-dessus et modifier l'adressage en conséquence.
Page 29 - - -- - -- - -- - - -- -
•
iil1RI\!1
3.5 Configuration du routage statique et du routage par défaut
R7 fait appel au routage statique pour accéder aux réseaux situés au-delà de R6. Cependant, avant
d'envoyer le trafic vers R7, R6 doit traduire les adresses privées en adresses pubHques. Par
conséquent, il est nécessaire de configurer sur H7 les adresses publiques impliquées dans la
configuration de la traduction d'adresses de réseau de R6. Indiquez la route statique suivante sur R7 :
R7(config)# ip route 209.165.200.0 255.255.255.0 faO/O

Cette route statique comprend toutes les adresses à usage publique attribuées à R6.
Configurez une route par défaut sur R6 et propagez-la dans RIP.
R6(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.7

R6(config)# router rip
R6(config-router)# default-information originate
Attendre que RI à R5 apprelilnent la route par défaut transmise par R6, puis consulter la table de
routage. Il est possible de supprimer le contenu de la table de routage à l'aide de la commande
clear ip route *. Une route par défaut pointant vers R6 doit figurer dans la table de routage
de RI à R5.
3.6 Configuration de la traduction d'adresses de réseau (NAT) statique
Mappage statique d'une adresse IP publique à une adresse IP privée
Les hôtes externes situés derrière R7 peuvent accéder PC1, connecté à RI. Il faut désigner de
manière statique l'adresse IP publique 209.165.200.254 comme adresse à utiliser lors de la
traduction d'adresses de réseau pour associer les paquets à l'adresse IP privée de PC1, à l'adresse
172.17.0.10.
R6(config)# ip nat inside source static 172.17.0.10 209.165.200.254
Désignation des interfaces de traduction d'adresses de réseau internes et externes
Pour que la traduction d'adresses de réseau puisse fonctionner, vous devez désigner les interfaces
internes et les interfaces externes.
R6(config)# interface faO/1
R6(config-if)# ip nat outside
R6(config-if)# interface faO/O
R6(config-if)# ip nat inside
----------------------------------- Page 30 ----------------------------------

iiiilWI • IIm
Vérification de la configuration de la traduction d'adresses de réseau statique
A partir de R7, envoyez une requête ping vers 'l'adresse IP publique 209.165.200.254.
3.7 Configuration d'un pool d'adresses pour la traduction d'adresses dynamique
Tandis que la fonction NAT statique fournit un mappage permanent entre une adresse interne et une
adresse publique spécifique, la fonction NAT dynamique mappe des adresses IP privées avec des
adresses publiques. Ces adresses IP publiques proviennent d'un pool NAT (pool de traduction
d'adresses de réseau).
Définition d'un pool d'adresses globales
Créer un pool d'adresses à utiliser pour la traduction des adresses source correspondantes ici : pool
de 5 adresses publiques).
R6(config)# ip nat pool MON-POOL-NAT 209.165.200.241 209.165.200.246

netnask 255.255.255.0
Création d'une liste de contrôle d'accès étendue permettant d'identifier les adresses internes
traduites
R6(config)# ip access-list extended NAT
R6(config-ext-nacl)# permit ip 172.17.0.0 0.0.255.255 any
R6(config-ext-nacl)# permit ip 172.18.0.0 0.0.255.255 any
Etablissement d'une traduction de source dynamique par association du pool à la liste de contrôle
d'accès
Un routeur peut disposer de plusieurs pool's de traduction d'adresses de réseau et de plusieurs listes
de contrôle d'accès. La commande suivante indique au routeur le pool d'adresses qui doit être utilisé
pour convertir les hôtes autorisés par la liste de contrôle d'accès.
R6(config)# ip nat inside source list NAT pool MON-POOL-NAT
Désignation des interfaces de traduction d'adresses de réseau internes et externes
R6(config)# interface faO/O

R6(config)# ip nat inside
Page 31 - - -- - - -- - -- - -- --
Vérification de la configuration
Envoyer une requête ping au routeur R6 à partir de PC2. Vérifier ensuite la fonction NAT en
exécutant Il es commandes show ip nat translations et show ip nat statistics sur
R6.
Pour résoudre les problèmes relatifs à la fonction NAT, il est possible d'utiliser la commande debug
ip nat. Activer la commande de débogage de la fonction NAT et réexécutez la commande ping à
partir de PC2.
3.8 Configuration de la surcharge de lai fonction NAT
Dans l'exemple précédent, que se passerait-il s'il fallait utiliser un nombre d'adresses IP publiques
supérieur aux six adresses autorisées dans le pool?
Grâce au suivi des numéros de port, la fonction de surcharge de traduction d'adresses de réseau
(PAT) permet à plusieurs utilisateurs internes de réutiliser une adresse IP publique.
Dans le cadre de cette tâche, on supprimera le pool et l'' instruction de mappage configurés au cours
de la tâche précédente. On configurera ensuite la surcharge de traduction d'adresses de réseau sur
Rl, de manière à ce que toutes les adresses IP internes soient traduites en une adresse associée à
l'interface SO/O/l de Rllors de la connexion à un périphérique externe.
Suppression du pool de traduction d'adresses de réseau et de l'instruction de mappage
R6(config)# no ip nat inside source list NAT pool MON-POOL-NAT

R6(config)# no ip nat pool MON-POOL-NAT 209.165.200.241
209.165.200.246 netnask 255.255.255.0
Configuration de la traduction d'adresses de port sur R6 à l'aide de l'adresse IP publique de

l'interface Fast Ethernet 0/1
La configuration est similaire à une traduction d'adresses de réseau dynamique, mais au lieu d'un
poo ll d'adresses, c'est le mot clé interface qui est utilisé pour identifier l'adresse IP externe. Par
conséquent, aucun pool de traduction d'adresses de réseau n'est défini. Le mot clé overload permet
d'ajouter le numéro de port à la traduction.
Comme une liste de contrôl'e d'accès pour identifier les adresses IP internes à traduire ainsi que les
interfaces internes et externes sont déjà configurés, il suffit d"utiliser la commande suivante:
R6(config)# ip nat inside source list NAT interface faO/1 overload
Page 32 ----------------------------------
Vérification de la configuration
Envoyer une requête ping au routeur R7 à partir de PC2. Vérifier ensuite la fonction NAT en
exécutant l'es commandes show ip nat translations et show ip nat statistics sur R6.
----------------------------------- Page 33 ----------------------------------

iI!lI~1 • lillill!
4 Annexe 1: CISCO PASSWORD RECOVERY
CISCO 2600/2800 :
4.1 Procedure l
1. Connecter un terminal (ou un PC avec émulation de terminal) ayant les caractéristiques

suivantes:
o 9600 ba ud rate
o No parity
o 8 data bits
o 1 stop bit
o No flow control
2. Si vous avez accès au routeur, entrer show version au prompt, et notez les informations
concernant le registre.
Note: Le registre de configuration est généralement Ox2102 ou Ox102 . Dans le cas où vous
ne pouvez pas accéder au routeur, considérez que le registre vaut Ox2102 .
3. Éteignez puis rallumez le routeur.

4. Appuyez la touche Break du terminal dans les 60 secondes suivant le démarrage
5. Tapez confreg Ox2142 au prompt rommon 1>, afin de "bypasser" la configuration au
démarrage
6. Tapez reset au prompt rom mon 2>. Le routeur « reboote »
7. Tapez no après chaque question, ou pressez Ctrl-C pour sortir de la procédure.
8. Tapez enable au prompt Router>.
9. Tapez configure memory ou copy startup-config running-config pour copier la RAM
(NVRAM) non volatile en mémoire.
10. Tapez show running-config pour visualiser la configuration du routeur
11. Tapez configure terminal.
12. Tapez enable secret <password> pour changer le mot de passe enable secret
13. Tapez la commande no shutdown pour chaque interface à valider
14. Tapez config-register <configuration_ register_ setting>. Où configurationJegister_setting
est soit la valeur relevée au point 2 soit Ox2102 .
15. Pressez Ctrl-z ou tapez end pour quitter le mode configuration .
16. Tapez write memory ou copy running-config startup-config pour enregistrer les
mod ifications.
---------------------------------- Page 34 ---------------------------------
--- - -------------
4.2 Procedure 2
1. Arrêter le routeur.
2. Enlever la mémoire flash .
3. Mettre le routeur sous tension.
4. Au prompt Rommon1>, entrer la commande: confreg Ox2142
5. Insérez la mémoire flash .
6. Tapez reset.
7. A la requête "enter the initial configuration", tapez No, et pressez Enter.
8. Au prompt Router>, tapez enable .
9. Entrez la commande configure memory , et pressez Enter pour copier la configuration de
démarrage dans la configuration active.
10. Utilisez la commande config t pour entrer en mode de configuration global.
11. Utilisez cette commande pour créer un nouvel"username" et mot de passé associé:
router(config)#username cisco privilege 15 password cisco
12. Utilisez cette commande pour changer le registre : config-register Ox2102
13. Sauvegardez la configuration: write memory
14. Rechargez le routeur : router# reload
Page 35 ---------------------------------
•

Telecom-ParisTech-Commandes Base Sur Routeurs CISCO

Transféré par

Droits d'auteur :

Formats disponibles

Telecom-ParisTech-Commandes Base Sur Routeurs CISCO

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Telecom-ParisTech-Commandes Base Sur Routeurs CISCO

Transféré par

Droits d'auteur :

Formats disponibles

TELECOM

sur routeurs CISCO

Mercredi 9 Janvier 2013

Table des matières

1.1 Objectifs ............................. ......................................... ..... ...... .................. 3

2.1 Configuration de base: .............................................. ...... .. .... .................. 23

4.1 Procedure 1 ........ .... ... ...... .................................. .. ..... .............................. 34

1. Prise en main, routage statique et RIP

Câbler en fonction de la topologie ci-dessus, câble « console» entre « comi » du PC et port

Préparation des routeurs :

1.1.2 Configuration de base des routeurs :

Entrer en mode privilégié, la première fois

Mot de passe console:

Rl(config)#line console 0 # Mot de passe associé au port console

Mot de passe « enable »

Création d'une bannière d'accueil :

Retour au mode utilisateur, puis au mode privilégié:

Mot de passe « en able secret»

Configurer la table d'hôtes:

1.1.3 Examen des commandes show des routeurs

Il existe de nombreuses commandes show utilisables pour examiner Il e fonctionnement du routeur.

Exemple: la commande sho w running- c onfig

Exemple: la commande show startup-config

Exemple: la commande show version

Exemple: la commande show interface

Exemple: la commande show ip interface brief

Utilisation de la commande ping

Exemple: envoi d'un paquet ping étendu entre RI et PCl

1.1.4 Gestion de CISCO 105 et des fichiers de configuration:

1.1.4.1 Affichage des fichiers 105

-#- --length-- -----date/time------ path

8679424 bytes available (23252992 bytes used)

En parcourant l'exemple ci-dessus, il est possible de déterminer les éléments suivants:

• L'image est destinée à un routeur 1841 (c1841-ipbase-mz.124-1c.bin).

No space information available

3 dr-x o <no date> memory

No space information available

<no date> startup-config

196600 bytes total (194540 bytes free)

1 -rw- 13937472 May 05 2007 20:08:50 +00 : 00 c1841-ipbase-mz.124-1c.bin

31932416 bytes total (8679424 bytes free)

1.1.4.2 Sauvegarde de la configuration dans un fichier texte:

Étape 1 : utilisation de la commande show running-config pour afficher la configuration actue'lle du

enable secret 5 $1$J . hq$Ds72Qz86tvpcuW2X3FqBS.

Étape 2 : copie du résultat de la commande

Sélectionner le résultat de la commande. Dans le menu Edition du logiciel HyperTerminal,

Étape 3 : collage du résultat dans le Bloc-notes

Étape 4 : modificat,i on des commandes

• ajouter une commande no shutdown aux interfaces FastEthernet et Série utilisées;

Étape 5 : enregistrement du fichier ouvert dans le Bloc-notes

1.1.4.3 Chargement du fichi'e r.txt sur le routeur

Effacer la configuration de démarrage actuelle

Lancer la commande reload

Would you like to terminate autoinstall? [yes]:

Press Enter to accept default.

Activer le mode de configuration globale

Tapez les commandes de configuration (une par ligne). Terminez par

Vérifier la configuration en cours

Building configuration ...