Préparation CCNA
Préparation CCNA
Préparation CCNA
Ce cours couvre tout dans CCNA 1.0 200-301. Vous apprendrez les bases de la mise en réseau,
comment configurer un petit réseau avec des routeurs et des commutateurs Cisco et plus encore.
Faits saillants du cours
Connectivité IP – 25 %
Services IP – 10 %
Les rôles professionnels pouvant suivre la formation CCNA incluent, sans toutefois s'y limiter :
• Techniciens en informatique
• Ingénieurs réseau
• Toute personne souhaitant acquérir des connaissances sur les produits et services Cisco
• Professionnels de l'informatique en herbe
• Toute personne souhaitant passer son examen de certification CCNA
*Les étudiants appartenant au groupe d'âge de 13 à 17 ans peuvent passer l'examen CCNA avec le
consentement parental
Équipement de laboratoire recommandé pour Cisco
CCNA
Matériel réel
Partie Commutateurs / Switchs
Partie Routeurs
Gamme Cisco 1800 Gamme Cisco 2800
Câbles Console convertisseur de port USB vers série
Cisco dispose également d'un simulateur appelé Packet tracer, spécialement créé pour CCNA Routing &
Switching. C'est un simulateur qui imite les commandes et la sortie de Cisco IOS.
Tout ce qui est lié à CCNA est pris en charge, mais si vous voulez essayer autre chose, il est possible que
la commande ne soit pas incluse.
Le traceur de paquets n'est pas accessible au public, il ne peut être téléchargé que si vous êtes membre de
la Cisco Networking Academy.
Presentation des équipements d’un réseau
Plan
Equipement réseau
Terminaux
Terminaux
Equipements réseau
Media
Services
Comparer les modèles OSI et TCP/IP
Plan
Fondé sur le concept de division d'un système de communication en sept couches abstraites, empilées
les unes sur les autres, le modèle OSI peut être considéré comme un langage universel pour les réseaux
informatiques.
Pourquoi le modèle OSI est-il important ?
Bien que l'Internet moderne ne suive pas strictement le modèle OSI (mais plutôt la suite de protocoles
Internet, plus simple), ce dernier se révèle toujours très utile pour résoudre les problèmes affectant un
réseau.
Que l'incident concerne un utilisateur unique ne parvenant pas à connecter son ordinateur portable à
Internet ou une complication au niveau d'un site web entraînant une panne pour des milliers d'utilisateurs,
le modèle OSI peut permettre de résoudre le blocage et d'isoler la source du dysfonctionnement. De
même, la possibilité de circonscrire la défaillance à une couche spécifique du modèle peut épargner une
foule de travail inutile aux administrateurs.
TCP/IP
TCP/IP est un protocole de liaison de données utilisé sur Internet pour permettre aux ordinateurs et autres
appareils d’envoyer et de recevoir des données.
L’acronyme TCP/IP signifie Transmission Control Protocol/Internet Protocol. Il permet aux appareils
connectés à Internet de communiquer entre eux via les réseaux.
OSI et Equipements réseau
Ordinateur, Téléphone, Serveur,
Téléphone IP, Firewall (NGFW),
Proxy Web, IPS
Routeur et Switch L3
Switch L2 et NCI
Le pont est assez intelligent pour bloquer les collisions grace aux Mémoires tampons
Possibilité de mémoriser la Mac address
Cisco IOS CLI
Cisco IOS Internetwork Operating System
1. Introduction
Cisco IOS (Internetwork Operating System) est une famille de logiciels utilisée sur la plupart des routeurs et
commutateurs Cisco Sytems. IOS dispose d’un ensemble de fonctions de routage (routing), de commutation
(switching), d’interconnexion de réseaux (internetworking) et de télécommunications dans un système d’exploitation
multitâche.
La plupart des fonctionnalités IOS ont été portées sur d’autres noyaux comme QNX (IOS-XR) et Linux (IOS-XE).
Tous les produits Cisco ne fonctionnent pas nécessairement sous Cisco IOS, comme les plateformes de sécurité ASA
(dérivé Linux) ou les routeurs “carrier” qui fonctionnent sous Cisco IOS-XR.
2. Versions
La dénomination des versions Cisco IOS utilise des nombres et certaines lettres, en général sous la forme
a.b(c.d)e où :
• e (aucune, une ou deux lettres) est l’identifiant du train comme aucun (Mainline), T (Technology), E
3. Trains
Un train est un véhicule fournissant un logiciel Cisco auprès d’un ensemble de plateformes et de
fonctionnalités.
3.1. Jusqu’en version 12.4
Avant l’IOS release 15, les révisions étaient séparées en différents “trains”, chacun contenant un ensemble de
fonctionnalités. Les “trains” étant liés aux différents marchés et clients que Cisco voulait toucher.
•The mainline train, Version stable.
•The T – Technology train, Version en développement, prochaine version stable.
•The S – Service Provider train
•The E – Enterprise train
•The B – broadband train
•The X* (XA, XB, etc.)
Ce chapitre décrit les types d’adresses IPv4 et IPv6, Unicast, Broadcast, Anycast,
adresses privées et publiques et la nécessité NAT en IPv4.
1. Adressage IP
L’adressage IP dispose des caractéristiques suivantes :
• C’est un identifiant logique (configuration administrative)
• Dont l’unicité est nécessaire : les adresses IP doivent être assignées à une seule interface.
• Qui respecte une organisation hiérarchique (par niveau) et géographique.
2. Type d’adresses IP
Les adresses IP permettent d’identifier de manière unique les hôtes d’origine et de destination.
Les routeurs se chargent d’acheminer les paquets à travers les liaisons intermédiaires.
Il existe plusieurs types d’adresses qui correspondent à plusieurs usages.
4. Masque d’adresse
En IPv4 comme en IPv6, une adresse IP est toujours accompagnée de son masque.
Le masque d’une adresse IP détermine l’appartenance d’une adresse à un réseau IP.
Un masque est une suite homogène de bits à 1 et puis de bits à 0.
On peut l’écrire :
en notation décimale (en IPv4, ancienne méthode) : 255.255.255.0, par exemple
en notation CIDR qui reprend le nombre de bits à 1 dans le masque (en IPv4 et en IPv6).Par exemple /24 = 24
bits à 1 dans le masque, soit 255.255.255.0.
5. Tables et protocoles
Sur chaque hôte, on trouvera différentes tables relevant de processus ou protocoles distincts :
Ce paramètre devient une entrée dans la table de routage de l’hôte qui désigne le point de livraison physique
pour toute destination (autre que le réseau local). Le trafic vers l’Internet sera donc livré physiquement à cette
passerelle qui elle-même prendra une décision de routage.
7. Adressage privé et adressage public en IPv4
À cause du manque d’adresse IPv4 la plupart des LANs sont adressés de manière privée dans les blocs :
10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16.
Ces adresses IPv4 privées conformément à leur nature n’ont pas de destinations sur l’Internet. Le RFC 1918
définit cet espace.
Pour interconnecter un réseau privé à l’Internet public, on utilise un routeur NAT qui réalisera la traduction
d’adresses privées en une ou plusieurs adresses publiques.
Expliqué de manière simple, les routeurs NAT altèrent les en-têtes en remplaçant les champs d’adresses
contenant une adresse IP privée par une adresse IP publique.
À cause de la consommation galopante d’adresses IPv4 publiques, les autorités de l’Internet ont proposé des
solutions :
1. L’adoption d’un nouveau protocole avec IPv6 corrigeant des faiblesses d’IPv4 avec un conseil de
transition en double pile IPv4/IPV6.
2. En vue d’offrir une connectivité globale (publique) à des hôtes privés, une des solutions est la
traduction du trafic (NAT). Une autre est la mise en place d’un proxy applicatif.
Ces dernières solutions de traduction tronquent le trafic IP d’origine, génèrent de la charge sur les ressources
nécessaires à la traduction ou à la réécriture du trafic dans un sens et dans un autre. Ce n’est pas sans poser de
problème et cela génère un coût non négligeable.
9. NAT et pare-feu
Les pare-feu (Firewall) ont pour objectif de filtrer les communications TCP/IP. Ils sont capables de tenir
compte des sessions établies à partir d’une zone de confiance et d’empêcher tout trafic initié de l’Internet.
Quand ils sont placés dans le réseau (ailleurs que sur les hôtes), ils remplissent des tâches de routage. La plupart
du temps cette fonction “pare-feu” est intégrée aux routeurs.
Cette fonction de filtrage est prise en charge par le pare-feu à état qui arrête les connexions non sollicitées sur
le réseau à protéger.
Quant à lui, le proxy offrira d’autres fonctions que la traduction telle que le contrôle du trafic, des mécanismes
de cache, avec ou sans authentification, …
Dans tous les cas, c’est la fonction pare-feu qui protège des tentatives de connexions externes.
10. Gestion des adresses IP
En IPv4, les adresses pourront être configurées de manière statique sur les interfaces ou dynamiquement via
DHCP (RFC 2131).
En l’absence de service DHCP sur le réseau, les hôtes Windows et Mac OS X autoconfigurent une adresse
APIPA (Automatic Private Internet Protocol Addressing) ou IPv4LL dans la plage d’adresses IP
169.254.0.0/16 (255.255.0.0). Ces adresses sont formalisées dans le RFC 3927 sous le titre “Dynamic
Configuration of IPv4 Link-Local Addresses”
En IPv6, on trouvera une nette amélioration des solutions de gestion des adresses avec des mécanismes
d’autoconfiguration sans état (SLAAC/ND), des mécanismes de configuration dynamique, des solutions de
renumérotation des préfixes et des identifiants d’interface, des paramètres DNS (DHCPv6, RDNSS). Toutefois,
comme en IPv4, ces procédures et protocoles restent vulnérables à des attaques locales.
Adressage IPv4
Il est inimaginable de se présenter à un examen Cisco ou à un entretien d’embauche dans le domaine des
réseaux sans maîtriser l’adressage IPv4 et ses mécanismes de découpage. On trouvera ici un exposé sur ce
sujet.
1. Introduction aux adresses IPv4
Une adresse IPv4 est un identifiant de 32 bits représentés par 4 octets (8 bits) codés en décimales séparées par
des points.
Le masque de réseau lui aussi noté en décimal pointé indique avec les bits à 1 la partie réseau partagée par
toutes les adresses d’un bloc et avec les bits à 0 la partie unique qui identifie les interfaces sur la liaison.
Par exemple, 192.168.1.25 255.255.255.0 indique un numéro de réseau (première adresse) 192.168.1.0 et un
numéro de Broadcast 192.168.1.255. Toutes les adresses comprises entre ces valeurs peuvent être utilisées par
les interfaces attachées à une même liaison (un même switch).
À cause du manque d’espace IPv4 disponible, on trouve souvent des masques qui chevauchent les octets, ce
qui nécessite de passer par des calculs binaires.
2. Définition
• Une adresse IPv4 (Internet Protocol version 4) est une identification unique pour un hôte sur un
réseau IP.
• Une adresse IP est un nombre d’une valeur de 32 bits représentée par 4 valeurs décimales pointées ;
chacune a un poids de 8 bits (1 octet) prenant des valeurs décimales de 0 à 255 séparées par des
points. La notation est aussi connue sous le nom de “décimale pointée”.
Les Classes
À l’origine d’IPv4, on distingue une organisation en classes d’adresses dont les quatre premiers bits indiquent
la classe.
• Les adresses de Classe A commencent par 0xxx en binaire, ou 0 à 127 en décimal.
• Les adresses de Classe B commencent par 10xx en binaire, ou 128 à 191 en décimal.
• Les adresses de Classe C commencent par 110x en binaire, ou 192 à 223 en décimal.
• Les adresses de Classe D commencent par 1110 en binaire, ou 224 à 239 en décimal.
• Les adresses de Classe E commencent par 1111 en binaire, ou 240 à 255 en décimal.
• Seules les adresses de Classes A, B et C sont assignables à des interfaces (adresse d’Unicast)
• La classe D est utilisée pour des adresses de Multicast (adresse unique identifiant de nombreuses
destinations)
• La classe E est utilisée pour des besoins futurs ou des objectifs scientifiques
Adresses spécifiques :
• Les adresses commençant de 127.0.0.0 à 127.255.255.255 sont réservées pour le bouclage (loopback)
• Adresses privées non routables vers l’Internet sont (RFC1918)
• Pour la classe A : de 10.0.0.0 à 10.255.255.255
• Pour la classe B : de 172.16.0.0 à 172.31.255.255
• Pour la classe C : de 192.168.0.0 à 192.168.255.255
Distinction de la partie réseau de la partie hôte
Par défaut :
• La partie réseau des adresses de Classe A portera sur le premier octet et la partie hôte sur les trois
derniers (2^24 = 16 777 216 hôtes possibles par réseau)
• La partie réseau des adresses de Classe B portera sur les deux premiers octets et la partie hôte sur les
deux derniers (2^16 = 65 536 hôtes possibles par réseau)
• La partie réseau des adresses de Classe C portera sur les trois premiers octets et la partie hôte sur le
dernier (2^8 = 256 hôtes possibles par réseau)
Classes d'adresses IPv4
Un masque sera une suite de 32 bits divisée en 4 octets pointés composée uniquement d’abord d’une suite de 1
et, après, d’une suite de 0. La notation est aussi décimale pointée. Toutefois, on trouvera une autre notation dite
CIDR (Classless Interdomain Routing) qui représente le nombre de bits pris par la partie réseau du masque.
(technique) consacrent la méthode CIDR, routage sans classe interdomaine, comme méthode de gestion et
d’organisation plus efficace des adresses Internet. Concrètement cela signifie que :
• Une adresse est toujours accompagnée de son masque identifiant son appartenance à un réseau (domaine de Broadcast)
• La notion de classe d’adresse IPv4 disparaît dans la pratique.
• La notion de blocs identifiant des domaines de routage remplace la notion de classe d’adresse IPv4, rendant l’usage d’un
masque indispensable.
• Pour simplifier la notation, on préfère représenter un slash / + le nombre de bits à 1 dans le masque. Par exemple /26 au lieu
de 255.255.255.192.
• Les blocs sont variables, peuvent être agrégés ou découpés dans les informations de routage ou dans les plans d’adressage.
• Ces blocs sont des ensembles homogènes (les adresses se suivent) d’adresses en base 2 : 1, 2, 4, 8, 16, 32, 64, 128, 256,
512, 1024, 2048, 4096, …, 65536, … adresses.
• Le RFC950 reste une référence en matière de calculs (numéro de réseau, Broadcast, plage d’adresses).
• Les protocoles de routage doivent supporter le masque comme information supplémentaire. On parle de
protocoles de routage classless rendant RIPv1 et IGRP obsolètes.
• Toute une série de questions peuvent être posées dans la maîtrise de l’adressage IPv4 et peuvent être
résolues soi-même ou avec un logiciel pour automatiser des tâches
6. Notation CIDR
CIDR : Classless Inter-Domain Routing
Au lieu de représenter le masque d’une adresse en notation décimale pointée, le CIDR propose de noter une
adresse suivie de /”nombre de bits à 1”, le nombre de bits à zéro qui reste représente la taille du bloc. Soit, par
exemple : 255.255.255.192 => 26 bits à 1 => /26
Il est utile de connaître les masques par défaut :
• 255.0.0.0 : /8
• 255.255.0.0 : /16
• 255.255.255.0 : /24
Le masque donne aussi le nombre de bits à zéro (32 - le masque).
Rappels
Il est utile de rappeler que dans un masque, les bits à 1 correspondent à la partie fixe qui identifie le réseau et les
bits à zéro correspondent à la partie variable qui identifie précisément une interface (un hôte, un noeud) dans ce
domaine.
La première adresse est réservée et identifie le réseau en général. Elle n’est pas utilisable sur une interface mais
identifie les réseaux dans les tables de routage.
La dernière ne peut pas se configurer sur une interface et est utilisée comme adresse de destination pour la
diffusion (Broadcast).
Pour bien comprendre le mécanisme, il est plus intéressant de se représenter une topologie censée être fixée.
Dans la réalité, il faudra tenir compte de l’évolutivité des besoins en adresses étant donné qu’un réseau que
l’on planifie ne décroît jamais par définition. Le quotidien de l’administration des réseaux consiste en la
gestion des adressages privés (cachés par du NAT). Pourquoi se passer d’un bloc 192.168.0.0/16,
172.16.0.0/12 ou 10.0.0.0/8 que l’on découpera aisément ?
• La prochaine adresse est 195.167.46.128. Elle est le numéro de réseau du prochain réseau ayant les plus gros
besoins en adresses : le LAN de R2. Le masque a besoin de 6 bits à zéro ( = 64) pour le LAN de R2 (50
adresses), soit de 195.167.46.128/26 à 195.167.46.191/26
• 64 adresses plus loin, 195.167.46.192 est la première adresse (le numéro de réseau) du LAN de R3. Le LAN
de R3 a besoin de 25 adresses en offrant un masque avec 5 bits à zéro ( = 32 adresses) : de 195.167.46.192/27
à 195.167.46.223/27.
• 195.167.46.224 est la prochaine adresse disponible. Il reste un bloc de 32 adresses, jusqu’à 195.167.46.255.
Les connexions point à point prennent un masque /30 comprenant 4 adresses dont 2 utiles : l’une pour le
numéro de réseau, deux utiles, la dernière pour la diffusion.
Le plan d’adressage proposé est représenté en tableau.
Attribution Contrainte Réseau Plage adressable Diffusion
Il transfère les paquets qui ne lui sont pas spécifiquement destinés, par définition.
Les routeurs sont le centre du réseau en son cœur.
Un routeur a généralement (au minimum) deux connexions :
• Une connexion WAN (vers un ISP/FAI)
• Une connexion LAN
Seuls les routeurs sont capables de transférer les paquets d’une interface à une autre.
Le routeur transfère le trafic en fonction de l’adresse IP destination trouvée dans le paquet; précisément, il
compare cette destination à une entrée de sa table de routage qui indique une interface de sortie qui emprunte le
meilleur chemin.
2. Composants d’un routeur Cisco : Logiciel
Un routeur Cisco fonctionne grâce à des logiciels :
• Une sorte de BIOS : ROM Monitor Mode
• Un système d’exploitation : Cisco IOS (Internetwork Operating System)
3. Composants d’un routeur Cisco : Matériel
Sur le plan matériel, les routeurs Cisco sont principalement composés de :
• CPU, RAM, NVRAM, Flash, ROM
• Interfaces
• Aujourd’hui, Cisco Systems propose des routeurs matériels et logiciels basés sur des plateformes Intel
qui ne disposent pas de “ROM Monitor Mode”.
• IOS XR est une nouvelle version d’IOS entièrement réécrite qui profite d’une architecture Microkernel (
QNX) performante (Multitâche préemptif et protection mémoire).
Mémoire exemple commande
RAM Fichier de configuration courante show running-config
RAM Tables de routage show ip [ipv6] route
RAM Cache ARP Cache ND show arp / show ipv6 neighbors
RAM Mémoire de travail show memory
Flash Emplacement de l’image IOS show flash
Fichiers de configuration
Flash show flash
supplémentaires
Flash Images supplémentaires de l’IOS show flash
Router# reload
Lors de son redémarrage le routeur passe différentes étapes :
• Test matériel
• Power-On Self Test (POST)
• Exécution bootstrap loader
• Localisation et chargement de l’IOS
• Localisation et chargement du fichier de configuration initiale (startup-config)
• Ou mode “setup” et configuration courante vierge
5.1. Vérification du démarrage
La commande show version permet de connaître :
• Routeurs d’accès
• Pare-feux NG
• Routeur de datacenter
• Routeur virtuel
Chapitre : Table de routage Cisco IOS
Dans cet chapitre, on décrira les éléments et la structure d'une table de routage de routeur
Cisco.
1. Routage : en bref
Les machines qui s’occupent d’acheminer les paquets d’une extrémité à l’autre de l’inter-réseau sont les routeurs.
• Ils fondent leurs décisions sur base des adresses IP contenues dans les paquets.
• Un routeur est une sorte de carrefour muni de panneaux indicateurs (table de routage).
• Ils sont optimisés pour ces tâches (logiciel et matériel).
• Ils commutent les paquets sur la meilleure interface de sortie.
La table de routage fonctionne en mémoire vive (RAM) et comprend des informations telles que :
• Les réseaux directement connectés - pour tout réseau directement connecté à une interface.
• Les réseaux distants joignables - pour tout réseau qui n’est pas directement connecté au routeur.
Des informations détaillées à propos de ces destinations incluent l’adresse du réseau, son masque et l’adresse du
prochain saut (routeur) vers la destination
Les commandes show ip route ou show ipv6 route affichent la table de routage (à condition que le routage IPv6
soit activé avec la commande ipv6 unicast-routing).
R1#show ip route
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.254/32 is directly connected, GigabitEthernet0/0
192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.2.0/24 is directly connected, GigabitEthernet0/1
L 192.168.2.254/32 is directly connected, GigabitEthernet0/1
7. Routes statiques
Une route statique est une route qui a été encodée manuellement.
Une route statique indique :
• La destination: le réseau à joindre et son masque
• La direction : l’adresse IP de la passerelle ou l’interface de sortie
Une route statique est indiquée par un “S” dans la table de routage
La table doit contenir au moins un réseau directement connecté pour qu’une route statique puisse entrer en
fonction.
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 195.238.2.22 to network 0.0.0.0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
195.238.2.0/30 is subnetted, 1 subnets
C 195.238.2.20 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 195.238.2.22
Route par défaut
Une route par défaut est celle qui prendra en charge tout trafic qui n’a pas de correspondance spécifique dans la
table de routage.
Ici dénotée par une * dans la table : S* 0.0.0.0/0 [1/0] via 195.238.2.22
8. Routes dynamiques
Les protocoles de routage mettent en oeuvre le routage dynamique :
• Ils ajoutent des destinations dans la table de routage.
• Ils découvrent de nouveaux réseaux automatiquement.
• Ils mettent à jour et maintiennent les tables de routage de manière cohérente entre les routeurs entre eux.
Les routeurs sont capables de découvrir de nouveaux réseaux en partageant des informations sur leurs tables
de routage.
9. Maintenance de la table de routage
Les protocoles de routage sont utilisés pour se partager des informations concernant la topologie du réseau et
maintenir leur table de routage en fonction de modifications logiques ou physiques de l’infrastructure réseau.
Exemple de protocoles de routage :
• RIPv2
• EIGRP
• OSPFv2
• OSPFv3
• BGP
10. Conclusion
3 principes :
• Les routeurs prennent leurs décisions de manière autonome, en se basant sur les informations de la table
de routage.
• Chaque table de routage peut contenir des informations différentes.
• Une table de routage peut indiquer comment atteindre une destination mais pas son retour
Configuration du routage statique sur un routeur Cisco IOS
2. Premier exemple
A partir du routeur A, le réseau 200.150.75.0/24 est joignable par l'interface Serial 0/0 par la passerelle 192.168.1.2
Par exemple, à partir du routeur A, le réseau 200.150.75.0/24 est joignable par l’interface Serial 0/0 par la
passerelle (prochaine adresse IP) 192.168.1.2
Notons qu’une route statique “directement connectée” à une interface dispose toujours d’une distance
administrative de 0. Le réseau à joindre est censé être directement connecté. Mais cela ne fonctionne que sur
les interfaces point à point.
Par contre en précisant l’adresse du prochain saut, la distance administrative sera fixée à 1 par défaut.
3. Second exemple
Dans cet exemple, en IPv6 on préfère préciser la passerelle par l’interface de sortie et l’adresse Link-Local du
prochain saut.
Sur R1 : R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2
Sur R1 :
R1(config)#no ip route 192.168.2.0 255.255.255.0 192.168.3.2
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2 130
Sur R2 :
R2(config)#no ip route 192.168.1.0 255.255.255.0 192.168.3.1
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1 130
Synthèse sur les protocoles de routage dynamique
2. Fonctionnement
Un protocole de routage transporte notamment des informations sur les différentes routes dans l’inter réseau
mais aussi des messages de maintien de relations de voisinage.
Chaque routeur reçoit et envoie des informations de routage.
Il applique un algorithme qui optimise ces informations en chemins cohérents.
3. Routage statique versus routage dynamique
Avantages du routage statique :
• Il peut servir de mécanisme de backup.
• Il est facile à configurer.
• Aucune ressource supplémentaire nécessaire.
• Il plus sécurisé.
Désavantages du routage statique :
• Chaque changement dans la topologie nécessite une intervention manuelle sur les routeurs de la
topologie.
• Cette méthode ne convient pas à la croissance des réseaux larges.
4. Système autonome (AS), routage intérieur et extérieur
Un système autonome (AS) est un ensemble de réseaux sous la même autorité administrative (autorité de
gestion).
• Au sein d’un système autonome, les routes sont générées par des protocoles de routage intérieurs comme
RIP, EIGRP, OSPF ou ISIS.
• Les protocoles de routage qui permettent de connecter les systèmes autonomes entre eux sont des
protocoles de routage extérieurs comme BGP.
• Dans le contexte de l’interconnexion mondiale des réseaux, l’IANA (par délégation aux organismes
régionaux) attribue les numéros de système autonome (16/32 bits).
Dans ce scénario, R1 est le routeur ISP qui annonce une route par défaut. R2 annonce un réseau public
2.2.2.0/24.
5. Protocole à vecteur de distance
Un protocole de routage à vecteur de distance est celui qui utilise un algorithme de routage qui additionne les
distances pour trouver les meilleures routes (Bellman-Ford).
• Les routeurs envoient l’entièreté de leur table de routage aux voisins.
• Ils sont sensibles aux boucles de routage.
• Avec ce type de protocole, aucun routeur ne remplit de fonction particulière. On parlera de
connaissance “plate” de l’interréseau ou de routage non-hiérarchique.
• Ils convergent lentement.
• On citera RIP comme étant représentatif. EIGRP est aussi un protocole à vecteur de distance
entièrement optimisé par Cisco Systems.
6. Protocole de routage à état de liens
• Un protocole de routage à état de liens utilise un algorithme plus efficace (Dijkstra ou Shortest Path
First) qui est aussi plus gourmand en termes de consommation de ressources CPU/RAM.
• Les routeurs collectent l’ensemble des coûts des liens d’un interréseau et construisent de leur point de
vue l’arbre de tous les chemins possibles. Les meilleures routes sont alors intégrées à la table de routage.
• On parle de routage hiérarchique.
• OSPF et IS-IS sont des protocoles de routage à état de liens.
• Ils convergent très rapidement.
• Les routeurs entretiennent des relations de voisinage maintenues.
7. EIGRP
• Protocole propriétaire Cisco récemment publié sous le RFC 7868 (Informational)
• Protocole à vecteur de distance (algorithme DUAL) sans boucles.
• Multi-protocoles : il supporte IPv4 aussi bien qu’IPv6.
• Les mises à jour sont partielles / incrémentielles.
• Simple à configurer et à maintenir : préféré dans des infrastructures homogènes Cisco.
• Met aussi en oeuvre des relations de voisinage maintenues.
• Calcule d’avance des routes sans boucle alternatives aux meilleures routes.
• Est capable de répartition de charge inégale
• Converge rapidement (comparable à OSPF)
8. Routage Classful
• RIPv1 et IGRP (Cisco) sont aujourd’hui des protocoles obsolètes.
• Les protocoles classful n’embarquaient pas d’informations sur les masques des réseaux ce qui les rendait
incompatibles avec le CIDR (Classless Inter Domain Routing), se basant uniquement sur la nature d’une
classe réseau pour distinguer des découpages en sous-réseaux homogènes.
11. Métrique
La métrique d’une route est la valeur d’une route en comparaison à d’autres routes apprises par le même
protocole de routage. Plus sa valeur est faible, meilleure est la route. Chaque protocole dispose de sa méthode de
valorisation. On peut trouver toute une série de composantes de métrique parmi :
• Le nombre de sauts (RIP)
• La bande passante (EIGRP)
• Le délai (EIGRP)
• La charge (EIGRP)
• La fiabilité (EIGRP)
• Le coût (OSPF)
12. Distance administrative d’une route
La distance administrative est indique la préférence dans une table de routage pour des destinations apprises par
un protocole de routage par rapport aux mêmes destinations apprises par un autre protocole de routage.
Plus la valeur est faible et plus le protocole est préféré.
Par défaut, une route EIGRP sera préférée à une route RIP; une route statique sera préférée à toute autre route
dynamique.
Valeurs par défaut de distance administrative
Observer :
• Le nom
• Les paramètres d’interfaces IPv4
• La partie control plane
Lab routage statique simple
1. Topologie et énoncé.
Dans ce cas d’école de routage statique simple, deux routeurs interconnectés entre eux (R1 et R2) connectent
chacun un LAN adressé en IPv4. L’exercice consiste à monter la topologie, à configurer les interfaces en IPv4
selon le diagramme et à activer et vérifier le routage statique IPv4,
Topologie : deux routeurs interconnectés entre eux connectent chacun un LAN adressé en IPv4
2. Configuration des routes statiques
Sur R1 :
• R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2
Sur R2 :
• R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
3. Vérification du routage
3.1. Vérification des routes statiques
Sur R1 et R2, en IPv4 :
R1 ou R2 # show ip route static
Network Address Translation (NAT44)
Dans ce chapitre on parlera du Inside Source NAT44 (Statique, Pool et PAT) et de son implémentation en
Cisco IOS.
1. Introduction
Le NAT, pour “Network Address Translation”, Traduction d’Adresses Réseau, a été proposé en 1994 sous le
RFC 1631 comme solution à court terme face au manque d'adresses IPv4. Son objectif principal était de
permettre aux adresses IP d’être partagées par un grand nombre de périphériques réseau. Envisagé comme un
palliatif au manque d’adresses IPv4, il montre aujourd’hui ses limites à la croissance de l’Internet. Ce que l’on
appelle “IP Masquerading”, pour masquage d’adresses IP est synonyme du NAT dans le jargon. On parlera ici
uniquement de l’implémentation du NAT en Cisco IOS.
2. Définition
Le NAT est défini dans le RFC 3022. Le NAT permet d’utiliser des adresses n’ayant pas de signification globale
(par exemple des adresses privées définies dans le RFC 1918, non globalement routables) pour les connecter à
travers l’Internet en traduisant celles-ci en adresses globales routables. Le NAT permet aussi de fournir une
solution de renumérotation pour les organisations qui changent de fournisseur de service par exemple.
3. Portée
On peut utiliser le NAT dans différents cas :
• On dispose d’une multitude d’hôtes adressés de manière privée et le routeur externe dispose d’une seule
ou de quelques adresses IPv4 globales (publiques). Le NAT est configuré sur un routeur en bordure d’un
réseau d’extrémité (un LAN), étant identifié comme étant le côté interne (“inside”), qui connecte un
réseau public comme l’Internet, identifié comme étant le côté externe (“outside”). Le NAT traduit les
adresses locales internes en une adresse globale unique avant d’envoyer les paquets vers le réseau
• On doit changer des adresses internes. Au lieu de les changer, on les traduit par du NAT.
externe.
• On veut rendre accessible des hôtes qui sont localement et globalement dans le même adressage,
autrement dit on permet une connectivité d’adresses qui se chevauchent (“overlapping”) de part et d’autre
du routeur NAT.
• On peut utiliser également le NAT pour distribuer la charge TCP vers un hôte virtuel qui répond à la place
de plusieurs serveurs réels selon un principe de type round-robin.
• Il contribue à améliorer la sécurité des réseaux internes en les rendant opaques aux autres organisations,
mais il n’est jamais une mesure de filtrage de sécurité.
4. Limites
• Le NAT contredit le principe fondamental d’IP qui demande une communication de bout en bout (les
stations d’extrémité établissent et gèrent elles-mêmes leur communication). Le NAT pose donc des
problèmes dans l’établissement de communications utilisant certains protocoles de sécurité assurant une
authentification et un chiffrement (IPSEC), des applications peer-to-peer (VOIP) et autres tels que FTP.
• En matière de sécurité, il n’est jamais qu’une option qui ne remplace pas un filtrage IP pertinent (pare-
feu, firewall).
• Par ailleurs, son utilisation répandue rend opaque l’étendue réelle de l’Internet IPv4. Rappelons que ce
principe a été mis en place pour répondre de manière temporaire au manque d’adresses IPv4.
5. Terminologie Cisco
On fera la distinction entre interne (“inside”) et externe (“outside”). Les adresses internes sont celles qui sont
maîtrisées par l’administrateur du réseau d’extrémité. Les adresses externes sont celles dont on n’a pas la
maîtrise et qui font partie d’un réseau public tel que l’Internet.
On fera aussi la distinction entre adresses locales et globales. Les adresses locales sont celles qui ne sont pas
nécessairement des adresses légitimes et les adresses globales sont celles qui sont routables, qui ont une
signification à portée globale.
Concrètement, on trouvera dans les tables NAT jusqu’à quatre types d’adresses :
• Inside local address - L’adresse IP assignée à un hôte à l’intérieur d’un réseau d’extrémité. Il s’agit probablement
d’une adresse privée, non routable globalement.
• Inside global address - La ou les adresses IP publiques qui représentent les adresses IP locales internes, les
adresses IP routables du routeur NAT.
• Outside local address - L’adresse IP d’un hôte telle qu’elle apparaît aux hôtes d’un réseau interne. Il ne s’agit pas
nécessairement d’une adresse légitime routable.
• Outside global address - L’adresse IP réelle routable d’un hôte qui se situe à l’extérieur du réseau du routeur NAT.
#show ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 122.168.122.106:59856 192.168.1.100:59856 194.57.169.1:123 194.57.169.1:123
udp 122.168.122.106:43050 192.168.1.101:43050 195.154.105.147:123 195.154.105.147:123
tcp 122.168.122.106:43516 192.168.1.101:43516 216.58.204.132:443 216.58.204.132:443
Dans cette sortie, la colonne Inside local correspond à l’adresse et au port source original qui est traduit dans
une entrée correspondante 122.168.122.106:59856. L’adresse Inside global est l’adresse de traduction que la
destination va recevoir. L’adresse de destination n’est traduite dans aucune direction, soit la colonne Outside
local et la colonne Outside global sont équivalentes.
6. Traduction d’adresses IP
On trouvera deux grands types de traduction d’adresses internes :
• Les traductions statiques : une correspondance de type un à un entre une adresse IPv4 locale interne
et une adresse IPv4 globale interne. Elles sont utiles lorsqu’un hôte interne doit être accessible de
l’extérieur. On peut également établir des correspondances de ports TCP/UDP pour réaliser ce que l’on
appelle communément le transfert de ports.
• Les traductions dynamiques : une correspondance de plusieurs-à-plusieurs entre un ensemble
d’adresses IP locales (définies par une ACL) et un groupe d’adresses IP globales (définies par un
“pool”, une plage d’adresses).
On trouvera deux variantes aux traductions dynamiques :
• Overloading : la correspondance de plusieurs adresses IP locales internes (définies par une ACL) et une
adresse IP globale interne (définie par le nom d’une interface) ou plusieurs adresses IP globales internes
(définies par un “pool”) en utilisant comme critère distinctif du trafic les ports TCP/UDP. Cette solution
est aussi appelée PAT (“Port Address Translation”), “single-address NAT” ou encore “port-level
multiplexed NAT”.
• Overlapping : la correspondance entre adresses IP internes qui se chevauchent avec des adresses
externes et inversement.
En premier lieu, la procédure consiste à identifier les paquets dont l’adresse IPv4 source correspond à une
adresse 192.168.1 par une ACL. En configuration globale sur R1 :
• R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Ensuite, une règle NAT traduira l’adresse IPv4 source correspondant à l’ACL définie précédemment par
l’adresse IPv4 de l’interface externe G0/1.
• R1(config)#ip nat inside source list 1 interface g0/1 overload
Enfin, il faut indiquer chaque interface qui choisira le trafic à traduire, ici G0/2, G0/3 et G0/0 (inside) et le côté
des destinations qui pourraient être traduites (outside).
• (config)#interface g0/0
• (config-if)#ip nat inside
• (config-if)#interface g0/2
• (config-if)#ip nat inside
• (config-if)#interface g0/3
• (config-if)#ip nat inside
• (config-if)#interface g0/1
• (config-if)#ip nat outside
9. Diagnostic NAT
On retiendra les commandes suivantes :
show running-config | include nat
show access-list
show ip nat translations
show ip nat statistics
Si le client détecte que l’adresse IP est déjà utilisée sur le segment, il envoie un DHCPDECLINE au serveur et le
processus recommence.
Si le client reçoit un message DHCPNACK du serveur après un DHCPREQUEST, le processus recommence
également.
Si le client plus besoin d’une adresse IP, il envoie un DHCPRELEASE au serveur.
Si le client veut étendre la durée du bail qui lui est allouée, il envoie un DHCPREQUEST au serveur dans lequel
le champ ‘ciaddr’ correspondra à son adresse IP actuelle. Le serveur répondra avec un DHCPACK comprenant la
nouvelle durée du bail.
• Gateway(dhcp-config)#default-router 192.168.1.254
• Gateway(dhcp-config)#dns-server 8.8.8.8
• Gateway(dhcp-config)#lease 0 8
• Gateway(dhcp-config)#exit
Le pool DHCP servira les adresses de 192.168.1.11/24 à 192.168.1.254/24 avec un bail de huit heures en poussant comme
paramètre de passerelle par défaut 192.168.1.254 et comme paramètre de serveur de noms 8.8.8.8.
2.6. Configuration des options “Serveur TFTP” et “Serveur NTP”
Un service DHCP peut pousser une multitude de paramètres (à condition que les hôtes puissent les interpréter). En
dehors options habituelles (Router, DNS, masque, durée du bail, etc.), les options supplémentaires sont
référencées par un code en hexadécimal.
• L’option DHCP 150 fournit les adresses IP d’une liste de serveurs TFTP (RFC 5859)
• L’option DHCP 66 donne l’adresse IP ou le nom d’hôte d’un seul serveur TFTP (RFC 2132).
Par exemple :
• (dhcp-config)#option 150 ip 192.168.1.254
• (dhcp-config)#option 66 ascii gateway
L’option DHCP 42 fournit l’adresse de serveurs NTP :
• (dhcp-config)#option 42 ip 192.168.1.254
2.7. Configuration d’un interface DHCP client
On utilise le paramètre dhcp dans la commande ip address dhcp au lieu d’y placer une adresse IPv4 et son
masque.
• (config)#interface g0/1
• (config-if)#ip address dhcp
3. Diagnostic DHCP en Cisco IOS
Voici une exemple de configuration du service DHCP en Cisco IOS.
• Router#sh run | begin ip dhcp
Pour en faire le diagnostic, on utilisera volontiers les commandes IOS suivantes :
• show ip dhcp binding
• show ip dhcp pool <name>
• show ip dhcp server statistics
• show ip dhcp conflict
• debug ip dhcp server packet
• debug ip dhcp server events
3.1. Vérification des baux attribués
Pour vérifier les baux attribués :
• Router#show ip dhcp binding
3.2. Vérification de la configuration du pool DHCP
Pour vérifier le pool DHCP :
• Router#show ip dhcp pool DHCP-LAN
3.3. Statistiques des messages DHCP
Pour obtenir les statistiques des messages DHCP :
• Router#show ip dhcp server statistics
3.4. Déboggage du service DHCP
La commande debug ip dhcp server suivuie d’un paramètre active les logs sur le service DHCP.
• Routeur#debug ip dhcp server ?
Par exemple, quand une station de travail du réseau local redémarre :
• Router#debug ip dhcp server events
On ne manquera pas de désactiver le déboggage.
• Router#undebug all
4. DHCP Relay
Les clients DHCP utilisent le Broadcast UDP pour entrer en contact avec leurs serveurs. Ce trafic est arrêté par les
routeurs du premier saut.
Pour faire en sorte que la passerelle du réseau qui reçoit du trafic DHCP le transfère auprès du serveur qui gère la
plage DHCP à servir, il est possible de configurer un routeur Cisco avec la commande ip helper-address en
configuration d’interface.
L’interface qui reçoit ce trafic DHCPDISCOVER remplace le champ IP source par la sienne (une adresse Unicast
dans le bloc à servir) et remplace l’adresse IP de destination 255.255.255.255 par l’adresse IP du serveur DHCP
renseigné en paramètre de la commande ip helper-address en configuration d’interface.
Cette solution est intéressante et légère quand on désire centraliser le rôle DHCP à un seul endroit de son
interréseau.
Protocole de résolution de noms DNS
Le protocole et le système DNS permet de résoudre des noms en adresses IP. DNS est une sorte de service mondial de
correspondance entre des noms et des adresses IP. DNS utilise principalement le port UDP 53. Plus précisément, DNS est un
système d’interrogation de registre mondial.