Préparation CCNA

Télécharger au format pptx, pdf ou txt
Télécharger au format pptx, pdf ou txt
Vous êtes sur la page 1sur 157

Préparation à la

Certification CCNA 200-301


CCNA est probablement la certification Cisco la plus populaire qui soit.

Ce cours couvre tout dans CCNA 1.0 200-301. Vous apprendrez les bases de la mise en réseau,

comment configurer un petit réseau avec des routeurs et des commutateurs Cisco et plus encore.
Faits saillants du cours

Dans ce cours, vous apprendrez :

 Apprenez les bases du réseautage.


 La différence entre les protocoles comme IP, TCP et UDP.
 La différence entre IPv4 et IPv6.
 La différence entre les routeurs et les commutateurs.
 Comment configurer les commutateurs Cisco Catalyst.
 Comment configurer les routeurs Cisco IOS.
 Comment configurer le protocole de routage OSPF.
 Comment protéger vos routeurs avec des listes d'accès et des VPN.
 Impact de l'automatisation du réseau sur la gestion de réseau traditionnelle
 Et bien d'autres sujets...
Format de l'examen CCNA

Nom de l'examen CCNA 200-301


Coût de l'examen CCNA 230 USD
Format de l'examen CCNA Choix multiple
Nombre total de questions 120 Questions
Note de passage 849 sur 1000
Durée de l'examen 2 heures (120 minutes)
Langues Anglais et japonais
Centre d’examen Pearson Vue ou One Vue
Compétences mesurées / pondération des examens CCNA

 Fondamentaux du réseau - 20 %

 Accès au réseau - 20 %

 Connectivité IP – 25 %

 Services IP – 10 %

 Fondamentaux de la sécurité – 15 %

 Automatisation et programmabilité - 10 %


Avantages d'obtenir une certification CCNA
1. Démontrez votre expertise et vos compétences pour progresser dans votre carrière en tant que professionnel
certifié CCNA
2. Atteindre une norme reconnue par l'industrie grâce à la certification CCNA pour l'administration des
solutions Cisco pour les entreprises du monde entier
3. Maîtrisez les bases de l'informatique d'entreprise sous forme de mise en réseau, de sécurité, d'automatisation
et de programmabilité
4. Renforcez votre confiance en acquérant le savoir-faire du monde réel enseigné dans la formation CCNA
5. Portez votre insigne d'honneur Cisco grâce à la formation à la certification CCNA et évoluez dans votre
carrière
6. Devenez un professionnel mondial avec la certification CCNA la plus reconnue et la plus respectée de
l'industrie
Public cible de la formation à la certification CCNA

Les rôles professionnels pouvant suivre la formation CCNA incluent, sans toutefois s'y limiter :

• Techniciens en informatique
• Ingénieurs réseau
• Toute personne souhaitant acquérir des connaissances sur les produits et services Cisco
• Professionnels de l'informatique en herbe
• Toute personne souhaitant passer son examen de certification CCNA

*Les étudiants appartenant au groupe d'âge de 13 à 17 ans peuvent passer l'examen CCNA avec le
consentement parental
Équipement de laboratoire recommandé pour Cisco
CCNA
Matériel réel
Partie Commutateurs / Switchs

Cisco Catalyst 3550


Catalyseur Cisco 2950T

Partie Routeurs
Gamme Cisco 1800 Gamme Cisco 2800
Câbles Console  convertisseur de port USB vers série

Câble série DB60 qui peut être utilisé avec l'interface


série WIC 1-T :
 Câbles UTP
Émulateur / Simulateur

GNS3 Cisco VIRL


C'est l' émulateur officiel de Cisco. C'est un excellent produit que j'utilise
pour la plupart de mes laboratoires de nos jours. 

Les avantages de Cisco VIRL sont :


• C'est de Cisco, donc c'est 100% légal. Il comprend toutes les images
IOS.
• Il exécute des routeurs, des commutateurs et d'autres périphériques tels
que le pare-feu Cisco ASA.
Il a quelques inconvénients :

• Exigences matérielles importantes : au moins 8 Go de RAM et un processeur décent.


• Ce n'est pas gratuit. Vous payez environ 199 $ par année.
• Il fonctionne sur VMware, vous aurez donc besoin d'un serveur ESXi ou d'un poste de travail
VMWare. ESXi peut être téléchargé gratuitement, mais la station de travail VMware est un produit
payant.
• L'installation n'est pas simple, il faut du temps pour installer Cisco VIRL et s'y familiariser.
Cisco Packet Tracer

Cisco dispose également d'un simulateur appelé Packet tracer, spécialement créé pour CCNA Routing &
Switching. C'est un simulateur qui imite les commandes et la sortie de Cisco IOS. 

Tout ce qui est lié à CCNA est pris en charge, mais si vous voulez essayer autre chose, il est possible que
la commande ne soit pas incluse.

Le traceur de paquets n'est pas accessible au public, il ne peut être téléchargé que si vous êtes membre de
la Cisco Networking Academy.
Presentation des équipements d’un réseau
Plan

• Les composants d’un réseau


• Terminaux
• Equipements réseaux
• Média
• Services
Les Composants d’un réseau

Equipement réseau

Terminaux
Terminaux
Equipements réseau
Media
Services
Comparer les modèles OSI et TCP/IP
Plan

• Comparaison OSI – TCP/IP


• OSI et Equipements réseau
Comparaison modèle OSI et TCP/IP

Le modèle OSI (de l'anglais Open Systems Interconnection) est une norme de communication, en 


réseau, de tous les systèmes informatiques. C'est un modèle de communications entre ordinateurs
 proposé par l'ISO (Organisation internationale de normalisation) qui décrit les fonctionnalités
nécessaires à la communication et l'organisation de ces fonctions.

Fondé sur le concept de division d'un système de communication en sept couches abstraites, empilées
les unes sur les autres, le modèle OSI peut être considéré comme un langage universel pour les réseaux
informatiques.
Pourquoi le modèle OSI est-il important ?

Bien que l'Internet moderne ne suive pas strictement le modèle OSI (mais plutôt la suite de protocoles
Internet, plus simple), ce dernier se révèle toujours très utile pour résoudre les problèmes affectant un
réseau.

Que l'incident concerne un utilisateur unique ne parvenant pas à connecter son ordinateur portable à
Internet ou une complication au niveau d'un site web entraînant une panne pour des milliers d'utilisateurs,
le modèle OSI peut permettre de résoudre le blocage et d'isoler la source du dysfonctionnement. De
même, la possibilité de circonscrire la défaillance à une couche spécifique du modèle peut épargner une
foule de travail inutile aux administrateurs.
TCP/IP

TCP/IP est un protocole de liaison de données utilisé sur Internet pour permettre aux ordinateurs et autres
appareils d’envoyer et de recevoir des données.

L’acronyme TCP/IP signifie Transmission Control Protocol/Internet Protocol. Il permet aux appareils
connectés à Internet de communiquer entre eux via les réseaux.
OSI et Equipements réseau
Ordinateur, Téléphone, Serveur,
Téléphone IP, Firewall (NGFW),
Proxy Web, IPS

Pare feu (Firewall)

Routeur et Switch L3

Switch L2 et NCI

Connecteur RJ45, Cable en


cuivre, Connecteur fibre SFP, NIC
Découvrir les modes de Cisco IOS
Plan

• La hiérarchie des modes

• Naviguer entre les modes


La hierarchie des modes

Routeur> - Mode utilisateur EXEC

Routeur # - Mode EXEC privilégié

- Mode de configuration (notez que le


Routeur(config)# signe # indique qu'il n'est accessible qu'en
mode EXEC privilégié)

- Niveau d'interface dans le mode de


Routeur(config-if)#
configuration

- Niveau moteur de routage en mode


Routeur(config-router)#
configuration

Routeur (ligne de - Niveau ligne ( vty , tty, async) en mode


configuration) # configuration
Naviguer entre les modes
Phase pratique
Découvrir les Hubs et les Bridges
Hubs (Repeteurs)
Un Hub est un répéteur multi port.

Il permet deux choses :

- Répéter le signal électrique pour éviter que ça s'attenue

- Permet d'avoir une topologie physique en étoile

On a ce qu'on appelle par un domaine de collision


Bridges (Ponts)

Première domaine de collision Deuxième domaine de


collision

Le pont est assez intelligent pour bloquer les collisions grace aux Mémoires tampons
Possibilité de mémoriser la Mac address
Cisco IOS CLI
Cisco IOS Internetwork Operating System

1. Introduction

Cisco IOS (Internetwork Operating System) est une famille de logiciels utilisée sur la plupart des routeurs et
commutateurs Cisco Sytems. IOS dispose d’un ensemble de fonctions de routage (routing), de commutation
(switching), d’interconnexion de réseaux (internetworking) et de télécommunications dans un système d’exploitation
multitâche.
La plupart des fonctionnalités IOS ont été portées sur d’autres noyaux comme QNX (IOS-XR) et Linux (IOS-XE).

Tous les produits Cisco ne fonctionnent pas nécessairement sous Cisco IOS, comme les plateformes de sécurité ASA
(dérivé Linux) ou les routeurs “carrier” qui fonctionnent sous Cisco IOS-XR.
2. Versions

La dénomination des versions Cisco IOS utilise des nombres et certaines lettres, en général sous la forme

a.b(c.d)e où :

• a est le numéro de version majeur

• b est le numéro de version mineur

• c est le numéro de révision (release)

• d est le numéro de l’intérim (omit des révisions générales)

• e (aucune, une ou deux lettres) est l’identifiant du train comme aucun (Mainline), T (Technology), E

(Enterprise), S (Service provider), XA est un train de fonctionnalités spécifiques, etc.


Rebuilds – Un rebuild est souvent une version corrective compilée d’un problème ou d’une vulnérabilité pour
une version IOS donnée. Par exemple, 12.1(8)E14 est un Rebuild, le 14 signifiants le 14ème rebuild de 12.1(8)E.
Interim releases – Basé sur une production hebdomadaire.
Maintenance releases – Révision rigoureusement testées.

3. Trains
Un train est un véhicule fournissant un logiciel Cisco auprès d’un ensemble de plateformes et de
fonctionnalités.
3.1. Jusqu’en version 12.4
Avant l’IOS release 15, les révisions étaient séparées en différents “trains”, chacun contenant un ensemble de
fonctionnalités. Les “trains” étant liés aux différents marchés et clients que Cisco voulait toucher.
•The mainline train, Version stable.
•The T – Technology train, Version en développement, prochaine version stable.
•The S – Service Provider train
•The E – Enterprise train
•The B – broadband train
•The X* (XA, XB, etc.)

3.2. Depuis 15.0


À partir de la version IOS 15, il n’y a plus qu’un seul train : le Train M/T.
Connexion à un commutateur Cisco
1. Connexion série / console

•Câble inversé (roll-over) du port COM1 du PC au routeur sur le port console.


•Lancer un logiciel d’émulation de terminal (putty/hyperterminal) 9600 bauds, 8, n, 1.
Introduction aux adresses IP

Ce chapitre décrit les types d’adresses IPv4 et IPv6, Unicast, Broadcast, Anycast,
adresses privées et publiques et la nécessité NAT en IPv4.
1. Adressage IP
L’adressage IP dispose des caractéristiques suivantes :
• C’est un identifiant logique (configuration administrative)
• Dont l’unicité est nécessaire : les adresses IP doivent être assignées à une seule interface.
• Qui respecte une organisation hiérarchique (par niveau) et géographique.

2. Type d’adresses IP
Les adresses IP permettent d’identifier de manière unique les hôtes d’origine et de destination.
Les routeurs se chargent d’acheminer les paquets à travers les liaisons intermédiaires.
Il existe plusieurs types d’adresses qui correspondent à plusieurs usages.

On trouve au moins trois grandes catégories :


• Les adresses Unicast : à destination d’un seul hôte
• Les adresses Broadcast (IPv4) : à destination de tous les hôtes du réseau
• Les adresses Multicast (IPv4 et IPv6) : à destination de certains hôtes du réseau.
On peut reconnaître la nature de ces destinations en fonctions des valeurs contenues dans les adresses.
Parmi les adresses Unicast on distinguera :
• Les adresses non-routées : locales ou de loopback jamais transférées par les routeurs.
(l'adresse IPv4 127.0.0.1 constitue l'adresse loopback. L'adresse loopback est l'interface réseau
réservée utilisée par le système local pour permettre les communications entre processus. L'hôte utilise
cette adresse pour s'envoyer des paquets à lui-même.)
• Les adresses publiques ou globales : pour lesquelles les routeurs publics acheminent les paquets
• Les adresses privées ou unique locale : pour lesquelles seuls les routeurs privés transfèrent le trafic
(les routeurs publics ne connaissent pas de chemin pour des destinations privées).
Les adresses dites Anycast ne distinguent pas à vue des adresses Unicast. Elles désignent la destination la
plus proche.
3. Internet : adressage IPv4 et IPv6
Les interfaces prennent une adresse IP :
• IPv4 : les adresses sont codées sur 32 bits (4 octets) en notation décimale pointée. Par exemple :
195.238.2.21. La solution IPv4 est largement épuisée aujourd’hui
• IPv6 : les adresses sont codées sur 128 bits (8 mots de 16 bits) et notées en hexadécimal. Par
exemple : 200a:14d6:6f8:1:7256:81ff:febf:7c37 |

4. Masque d’adresse

En IPv4 comme en IPv6, une adresse IP est toujours accompagnée de son masque.
Le masque d’une adresse IP détermine l’appartenance d’une adresse à un réseau IP.
Un masque est une suite homogène de bits à 1 et puis de bits à 0.
On peut l’écrire :
en notation décimale (en IPv4, ancienne méthode) : 255.255.255.0, par exemple
en notation CIDR qui reprend le nombre de bits à 1 dans le masque (en IPv4 et en IPv6).Par exemple /24 = 24
bits à 1 dans le masque, soit 255.255.255.0.

5. Tables et protocoles
Sur chaque hôte, on trouvera différentes tables relevant de processus ou protocoles distincts :

• Une table ARP (IPv4) et de voisinage (IPv6/ICMPv6/ND)


• Une de table de routage
• Une table de groupes Multicast joints
6. Passerelle par défaut
La passerelle par défaut est l’adresse IP dans le même réseau que l’hôte et qui permet de joindre d’autres
réseaux, soit l’adresse IP du routeur dans le LAN.
• En IPv4, il faut la configurer manuellement ou l’attribuer par DHCP.
• En IPv6, elle est automatiquement annoncée par le routeur via des Router Advertisements (ND)
Elle est nécessaire car ne pouvant connaître l’adresse physique du destinataire situé dans un autre réseau, le
trafic est physiquement livré à la passerelle qui décidera du sort à réserver aux paquets.

Ce paramètre devient une entrée dans la table de routage de l’hôte qui désigne le point de livraison physique
pour toute destination (autre que le réseau local). Le trafic vers l’Internet sera donc livré physiquement à cette
passerelle qui elle-même prendra une décision de routage.
7. Adressage privé et adressage public en IPv4

À cause du manque d’adresse IPv4 la plupart des LANs sont adressés de manière privée dans les blocs :
10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16.

Ces adresses IPv4 privées conformément à leur nature n’ont pas de destinations sur l’Internet. Le RFC 1918
définit cet espace.

Pour interconnecter un réseau privé à l’Internet public, on utilise un routeur NAT qui réalisera la traduction
d’adresses privées en une ou plusieurs adresses publiques.

Expliqué de manière simple, les routeurs NAT altèrent les en-têtes en remplaçant les champs d’adresses
contenant une adresse IP privée par une adresse IP publique.

La section 2. du RFC 1918 motive l’usage des adresses privées en IPv4 :


https://www.rfc-editor.org/rfc/rfc1918#section-2
8. Nécessité du NAT en IPv4

À cause de la consommation galopante d’adresses IPv4 publiques, les autorités de l’Internet ont proposé des
solutions :
1. L’adoption d’un nouveau protocole avec IPv6 corrigeant des faiblesses d’IPv4 avec un conseil de
transition en double pile IPv4/IPV6.
2. En vue d’offrir une connectivité globale (publique) à des hôtes privés, une des solutions est la
traduction du trafic (NAT). Une autre est la mise en place d’un proxy applicatif.
Ces dernières solutions de traduction tronquent le trafic IP d’origine, génèrent de la charge sur les ressources
nécessaires à la traduction ou à la réécriture du trafic dans un sens et dans un autre. Ce n’est pas sans poser de
problème et cela génère un coût non négligeable.
9. NAT et pare-feu
Les pare-feu (Firewall) ont pour objectif de filtrer les communications TCP/IP. Ils sont capables de tenir
compte des sessions établies à partir d’une zone de confiance et d’empêcher tout trafic initié de l’Internet.

Quand ils sont placés dans le réseau (ailleurs que sur les hôtes), ils remplissent des tâches de routage. La plupart
du temps cette fonction “pare-feu” est intégrée aux routeurs.

On a tendance à confondre les fonctionnalités NAT avec celles du pare-feu.


Même s’il est probable que le même logiciel prenne en charge les deux fonctions, ces procédures sont
distinctes. Alors que le NAT sert à traduire le trafic, il ne protège en rien.

Cette fonction de filtrage est prise en charge par le pare-feu à état qui arrête les connexions non sollicitées sur
le réseau à protéger.
Quant à lui, le proxy offrira d’autres fonctions que la traduction telle que le contrôle du trafic, des mécanismes
de cache, avec ou sans authentification, …
Dans tous les cas, c’est la fonction pare-feu qui protège des tentatives de connexions externes.
10. Gestion des adresses IP
En IPv4, les adresses pourront être configurées de manière statique sur les interfaces ou dynamiquement via
DHCP (RFC 2131).

En l’absence de service DHCP sur le réseau, les hôtes Windows et Mac OS X autoconfigurent une adresse
APIPA (Automatic Private Internet Protocol Addressing) ou IPv4LL dans la plage d’adresses IP
169.254.0.0/16 (255.255.0.0). Ces adresses sont formalisées dans le RFC 3927 sous le titre “Dynamic
Configuration of IPv4 Link-Local Addresses”

En IPv6, on trouvera une nette amélioration des solutions de gestion des adresses avec des mécanismes
d’autoconfiguration sans état (SLAAC/ND), des mécanismes de configuration dynamique, des solutions de
renumérotation des préfixes et des identifiants d’interface, des paramètres DNS (DHCPv6, RDNSS). Toutefois,
comme en IPv4, ces procédures et protocoles restent vulnérables à des attaques locales.
Adressage IPv4
Il est inimaginable de se présenter à un examen Cisco ou à un entretien d’embauche dans le domaine des
réseaux sans maîtriser l’adressage IPv4 et ses mécanismes de découpage. On trouvera ici un exposé sur ce
sujet.
1. Introduction aux adresses IPv4

Une adresse IPv4 est un identifiant de 32 bits représentés par 4 octets (8 bits) codés en décimales séparées par
des points.

Le masque de réseau lui aussi noté en décimal pointé indique avec les bits à 1 la partie réseau partagée par
toutes les adresses d’un bloc et avec les bits à 0 la partie unique qui identifie les interfaces sur la liaison.

Par exemple, 192.168.1.25 255.255.255.0 indique un numéro de réseau (première adresse) 192.168.1.0 et un
numéro de Broadcast 192.168.1.255. Toutes les adresses comprises entre ces valeurs peuvent être utilisées par
les interfaces attachées à une même liaison (un même switch).

À cause du manque d’espace IPv4 disponible, on trouve souvent des masques qui chevauchent les octets, ce
qui nécessite de passer par des calculs binaires.
2. Définition

• Une adresse IPv4 (Internet Protocol version 4) est une identification unique pour un hôte sur un
réseau IP.
• Une adresse IP est un nombre d’une valeur de 32 bits représentée par 4 valeurs décimales pointées ;
chacune a un poids de 8 bits (1 octet) prenant des valeurs décimales de 0 à 255 séparées par des
points. La notation est aussi connue sous le nom de “décimale pointée”.

3. Identification de la classe d’adresse (RFC791)

Les Classes
À l’origine d’IPv4, on distingue une organisation en classes d’adresses dont les quatre premiers bits indiquent
la classe.
• Les adresses de Classe A commencent par 0xxx en binaire, ou 0 à 127 en décimal.
• Les adresses de Classe B commencent par 10xx en binaire, ou 128 à 191 en décimal.
• Les adresses de Classe C commencent par 110x en binaire, ou 192 à 223 en décimal.
• Les adresses de Classe D commencent par 1110 en binaire, ou 224 à 239 en décimal.
• Les adresses de Classe E commencent par 1111 en binaire, ou 240 à 255 en décimal.

Notes sur les Classes d’adresses :

• Seules les adresses de Classes A, B et C sont assignables à des interfaces (adresse d’Unicast)
• La classe D est utilisée pour des adresses de Multicast (adresse unique identifiant de nombreuses
destinations)
• La classe E est utilisée pour des besoins futurs ou des objectifs scientifiques
Adresses spécifiques :
• Les adresses commençant de 127.0.0.0 à 127.255.255.255 sont réservées pour le bouclage (loopback)
• Adresses privées non routables vers l’Internet sont (RFC1918)
• Pour la classe A : de 10.0.0.0 à 10.255.255.255
• Pour la classe B : de 172.16.0.0 à 172.31.255.255
• Pour la classe C : de 192.168.0.0 à 192.168.255.255
Distinction de la partie réseau de la partie hôte
Par défaut :

• La partie réseau des adresses de Classe A portera sur le premier octet et la partie hôte sur les trois
derniers (2^24 = 16 777 216 hôtes possibles par réseau)
• La partie réseau des adresses de Classe B portera sur les deux premiers octets et la partie hôte sur les
deux derniers (2^16 = 65 536 hôtes possibles par réseau)
• La partie réseau des adresses de Classe C portera sur les trois premiers octets et la partie hôte sur le
dernier (2^8 = 256 hôtes possibles par réseau)
Classes d'adresses IPv4

4. Utilisation d’un masque

Utilisation d’un masque


Un masque va préciser de manière certaine dans quel réseau se trouve une adresse IP et en conséquence :
1. L’adresse du réseau (appelée aussi numéro de réseau, non assignable)
2. L’adresse de Broadcast (adresse visant toutes les destinations, non assignable)
3. La plage d’adresses utilisables (de la première à la dernière en dehors des adresses précitées)

Un masque sera une suite de 32 bits divisée en 4 octets pointés composée uniquement d’abord d’une suite de 1
et, après, d’une suite de 0. La notation est aussi décimale pointée. Toutefois, on trouvera une autre notation dite
CIDR (Classless Interdomain Routing) qui représente le nombre de bits pris par la partie réseau du masque.

Masque par défaut


Le nombre d’hôtes possibles obtenus ci-dessus correspond à l’application d’un masque par défaut sur un type
de classe d’adresse :

• Le masque par défaut des adresses de Classe A est 255.0.0.0 ou /8


• Le masque par défaut des adresses de Classe B est 255.255.0.0 ou /16
• Le masque par défaut des adresses de Classe C est 255.255.255.0 ou /24
5. Le routage sans classe (CIDR)
Les RFC1518 (historique)  RFC4632

(technique) consacrent la méthode CIDR, routage sans classe interdomaine, comme méthode de gestion et
d’organisation plus efficace des adresses Internet. Concrètement cela signifie que :
• Une adresse est toujours accompagnée de son masque identifiant son appartenance à un réseau (domaine de Broadcast)
• La notion de classe d’adresse IPv4 disparaît dans la pratique.
• La notion de blocs identifiant des domaines de routage remplace la notion de classe d’adresse IPv4, rendant l’usage d’un
masque indispensable.
• Pour simplifier la notation, on préfère représenter un slash / + le nombre de bits à 1 dans le masque. Par exemple /26 au lieu
de 255.255.255.192.
• Les blocs sont variables, peuvent être agrégés ou découpés dans les informations de routage ou dans les plans d’adressage.
• Ces blocs sont des ensembles homogènes (les adresses se suivent) d’adresses en base 2 : 1, 2, 4, 8, 16, 32, 64, 128, 256,
512, 1024, 2048, 4096, …, 65536, … adresses.
• Le RFC950 reste une référence en matière de calculs (numéro de réseau, Broadcast, plage d’adresses).
• Les protocoles de routage doivent supporter le masque comme information supplémentaire. On parle de
protocoles de routage classless rendant RIPv1 et IGRP obsolètes.
• Toute une série de questions peuvent être posées dans la maîtrise de l’adressage IPv4 et peuvent être
résolues soi-même ou avec un logiciel pour automatiser des tâches

6. Notation CIDR
CIDR : Classless Inter-Domain Routing
Au lieu de représenter le masque d’une adresse en notation décimale pointée, le CIDR propose de noter une
adresse suivie de /”nombre de bits à 1”, le nombre de bits à zéro qui reste représente la taille du bloc. Soit, par
exemple : 255.255.255.192 => 26 bits à 1 => /26
Il est utile de connaître les masques par défaut :

• 255.0.0.0 : /8
• 255.255.0.0 : /16
• 255.255.255.0 : /24
Le masque donne aussi le nombre de bits à zéro (32 - le masque).

Par exemple, un /20 fournit un bloc de adresses = 4096.


Par exemple, un /24 fournit un bloc de adresses = 256.
Par exemple, un /30 fournit un bloc de adresses = 4. Les bits à zéro dans le masque indiquent l’étendue du
réseau.
7. Masques à longueurs variables (VLSM) (RFC1878)
Dans l’ancienne méthode, les masques de découpage devaient être identiques parce qu’ils n’étaient pas
transportés dans les informations de routage.

Rappels
Il est utile de rappeler que dans un masque, les bits à 1 correspondent à la partie fixe qui identifie le réseau et les
bits à zéro correspondent à la partie variable qui identifie précisément une interface (un hôte, un noeud) dans ce
domaine.

La première adresse est réservée et identifie le réseau en général. Elle n’est pas utilisable sur une interface mais
identifie les réseaux dans les tables de routage.
La dernière ne peut pas se configurer sur une interface et est utilisée comme adresse de destination pour la
diffusion (Broadcast).
Pour bien comprendre le mécanisme, il est plus intéressant de se représenter une topologie censée être fixée.
Dans la réalité, il faudra tenir compte de l’évolutivité des besoins en adresses étant donné qu’un réseau que
l’on planifie ne décroît jamais par définition. Le quotidien de l’administration des réseaux consiste en la
gestion des adressages privés (cachés par du NAT). Pourquoi se passer d’un bloc 192.168.0.0/16,
172.16.0.0/12 ou 10.0.0.0/8 que l’on découpera aisément ?

Premier cas d’école


On peut partir d’un ancien cas d’école considérant qu’il faille adresser un interréseau avec des adresses
globales (publiques). On vous octroie un bloc d’adresses IPv4 195.167.46.0/24. Selon les contraintes
représentées d’un internet maillé de trois routeurs ayant chacun un réseau local (LAN) :

• LAN de R1 100 PCs,


• LAN de R2 50 PCs,
• LAN de R3 25 PCs.
On a donc un bloc de 256 adresses (/24). On propose ici de le découper de la manière suivante :
• Un bloc /25 de 128 adresses pour le LAN de R1,
• Un bloc /26 de 64 adresses pour le LAN de R2,
• Un bloc /27 de 32 adresses pour le LAN de R3.
Dans le reste, on prendra trois blocs /30 de 4 adresses pour adresser les connexions point à point.
• La première adresse du bloc est attribuée comme numéro de réseau au réseau LAN de R1 car il a les plus gros
besoins : 195.167.46.0. Pour trouver la plage du réseau LAN de R1 (100 adresses), on fixe les bits à zéro dans
le masque : 7 bits à zéro ( = 128 adresses) soit de 195.167.46.0/25 à 195.167.46.127/25.

• La prochaine adresse est 195.167.46.128. Elle est le numéro de réseau du prochain réseau ayant les plus gros
besoins en adresses : le LAN de R2. Le masque a besoin de 6 bits à zéro ( = 64) pour le LAN de R2 (50
adresses), soit de 195.167.46.128/26 à 195.167.46.191/26

• 64 adresses plus loin, 195.167.46.192 est la première adresse (le numéro de réseau) du LAN de R3. Le LAN
de R3 a besoin de 25 adresses en offrant un masque avec 5 bits à zéro ( = 32 adresses) : de 195.167.46.192/27
à 195.167.46.223/27.

• 195.167.46.224 est la prochaine adresse disponible. Il reste un bloc de 32 adresses, jusqu’à 195.167.46.255.
Les connexions point à point prennent un masque /30 comprenant 4 adresses dont 2 utiles : l’une pour le
numéro de réseau, deux utiles, la dernière pour la diffusion.
Le plan d’adressage proposé est représenté en tableau.
Attribution Contrainte Réseau Plage adressable Diffusion

LAN R1 100 adresses 195.167.46.0/25 195.167.46.1/25 à 195.167.46.126/25 195.167.46.127/25

LAN R2 50 adresses 195.167.46.128/26 195.167.46.129/26 à 195.167.46.190/26 195.167.46.191/26

LAN R3 25 adresses 195.167.46.192/27 195.167.46.193/27 à 195.167.46.222/27 195.167.46.223/27

R2-R3 4 adresses 195.167.46.224/30 195.167.46.225/30 à 195.167.46.226/30 195.167.46.227/30

R1-R2 4 adresses 195.167.46.228/30 195.167.46.229/30 à 195.167.46.230/30 195.167.46.231/30

R1-R3 4 adresses 195.167.46.232/30 195.167.46.233/30 à 195.167.46.234/30 195.167.46.235/30


8. Super-réseaux
Ce qu’on appelle communément le super-netting consiste à regrouper des blocs contigus pour créer un seul
bloc plus large.
Par exemple, pour adresser un réseau de 500 machines on peut prendre deux /24, soit . Le masque devient /23.
En effet, /23 nous offrent 9 bits à 0, soit = 512 adresses. Le CIDR a permis d’octroyer des blocs larges aux
derniers FAI IPv4 indépendamment des classes d’adresses C.
9. Agrégation de routes
Afin de diminuer la taille des tables de routage, alors que le comportement courant est de trouver une entrée
pour chaque réseau, on peut “résumer” les routes à condition d’avoir un plan d’adressage qui regroupe les
réseaux géographiquement. Considérons par exemple la topologie d’un réseau privé entre Paris et six sites
distants : plusieurs réseaux concentrés sur Lille et sur Lyon. Les réseaux d’extrémité contiennent deux VLANs :
l’un pour les données et l’autre pour la voix.
Le routeur à Paris devrait voir deux routes dans sa table de routage l’une annonçant 192.168.0.0/22 passant
par Lille et une autre annonçant 192.168.4.0/22 passant par Lyon.

9. Protocoles de routage sans classe (Classless)


Le CIDR doit être supporté par les protocoles de routage :
• RIPv2
• OSPFv2 et OSPFv3
• EIGRP
• BGPv4
Introduction aux routeurs Cisco

Dans ce chapitre, on tentera d’identifier et de décrire les composants matériels et logiciels


des routeurs Cisco Systems.
1. Un routeur est un ordinateur
Un routeur est un ordinateur spécialisé dans l’envoi de paquets à travers le réseau de données.
Il est responsable de l’interconnexion des réseaux en sélectionnant le meilleur chemin pour qu’un paquet soit
acheminé jusqu’à sa destination.

Il transfère les paquets qui ne lui sont pas spécifiquement destinés, par définition.
Les routeurs sont le centre du réseau en son cœur.
Un routeur a généralement (au minimum) deux connexions :
• Une connexion WAN (vers un ISP/FAI)
• Une connexion LAN
Seuls les routeurs sont capables de transférer les paquets d’une interface à une autre.
Le routeur transfère le trafic en fonction de l’adresse IP destination trouvée dans le paquet; précisément, il
compare cette destination à une entrée de sa table de routage qui indique une interface de sortie qui emprunte le
meilleur chemin.
2. Composants d’un routeur Cisco : Logiciel
Un routeur Cisco fonctionne grâce à des logiciels :
• Une sorte de BIOS : ROM Monitor Mode
• Un système d’exploitation : Cisco IOS (Internetwork Operating System)
3. Composants d’un routeur Cisco : Matériel
Sur le plan matériel, les routeurs Cisco sont principalement composés de :
• CPU, RAM, NVRAM, Flash, ROM
• Interfaces
• Aujourd’hui, Cisco Systems propose des routeurs matériels et logiciels basés sur des plateformes Intel
qui ne disposent pas de “ROM Monitor Mode”.
• IOS XR est une nouvelle version d’IOS entièrement réécrite qui profite d’une architecture Microkernel (
QNX) performante (Multitâche préemptif et protection mémoire).
Mémoire exemple commande
RAM Fichier de configuration courante show running-config
RAM Tables de routage show ip [ipv6] route
RAM Cache ARP Cache ND show arp / show ipv6 neighbors
RAM Mémoire de travail show memory
Flash Emplacement de l’image IOS show flash
Fichiers de configuration
Flash show flash
supplémentaires
Flash Images supplémentaires de l’IOS show flash

NVRAM Fichier de configuration de démarrage show startup-config


NVRAM Registre de configuration show version
POST, Bootstrap, Trouve et charge
ROM Mode ROM Monitor ou RXBoot
l’IOS, la configuration initiale
5. Démarrage d’un routeur
Pour redémarrer un routeur Cisco :

Router# reload
Lors de son redémarrage le routeur passe différentes étapes :

• Test matériel
• Power-On Self Test (POST)
• Exécution bootstrap loader
• Localisation et chargement de l’IOS
• Localisation et chargement du fichier de configuration initiale (startup-config)
• Ou mode “setup” et configuration courante vierge
5.1. Vérification du démarrage
La commande show version permet de connaître :

• Le modèle exact de la plateforme


• Le nom de l’image et la version de l’IOS
• La version du Bootstrap dans la ROM
• Le nom du fichier d’image et son emplacement
• Le nombre et le type d’interfaces
• La quantité de RAM
• La quantité de NVRAM
• La quantité de Flash
• La licence installée
• La valeur du registre de configuration
6. Modèles de routeurs
On peut s’informer sur les différentes catégories de routeurs chez différents fabricants :
• Cisco Systems
• Juniper Networks
• HP
• et bien d’autres
12. Formes de routeur

• Routeur grand public

• Routeurs d’accès

• Routeur à services intégrés

• Pare-feux NG

• Routeur de datacenter

• Routeur virtuel
Chapitre : Table de routage Cisco IOS

Dans cet chapitre, on décrira les éléments et la structure d'une table de routage de routeur
Cisco.
1. Routage : en bref
Les machines qui s’occupent d’acheminer les paquets d’une extrémité à l’autre de l’inter-réseau sont les routeurs.
• Ils fondent leurs décisions sur base des adresses IP contenues dans les paquets.
• Un routeur est une sorte de carrefour muni de panneaux indicateurs (table de routage).
• Ils sont optimisés pour ces tâches (logiciel et matériel).
• Ils commutent les paquets sur la meilleure interface de sortie.

2. Table de routage d’un routeur


Une table de routage est une sorte de “panneau indicateur” qui donne les routes (les réseaux) joignables à partir
du “carrefour” que constitue un routeur. Les paquets arrivent sur une interface de la machine. Pour “router” le
paquet, le routeur fondera sa décision en deux temps : d’abord il regarde dans l’en-tête IP le réseau de destination
et compare toutes les entrées dont il dispose dans sa table de routage; ensuite, si le réseau de destination est
trouvé, il commute le paquet sur le bon port de sortie; si ce réseau n’est pas trouvé, le paquet est jeté.
3. Éléments d’une table de routage
Le routage IP peut trouvée une analogie avec le système routier ou encore le routage postal.
• Un réseau de destination et son masque = une ville
• Une distance administrative/métrique = un kilométrage
• Une passerelle/une interface de sortie = une direction
Les routes avec la métrique la plus faible sont toujours préférées.

4. Structure d’une table de routage

La table de routage fonctionne en mémoire vive (RAM) et comprend des informations telles que :
• Les réseaux directement connectés - pour tout réseau directement connecté à une interface.
• Les réseaux distants joignables - pour tout réseau qui n’est pas directement connecté au routeur.
Des informations détaillées à propos de ces destinations incluent l’adresse du réseau, son masque et l’adresse du
prochain saut (routeur) vers la destination
Les commandes show ip route ou show ipv6 route affichent la table de routage (à condition que le routage IPv6
soit activé avec la commande ipv6 unicast-routing).

5. Routes directement connectées


On ajoute un réseau à la table de routage en activant une interface du routeur.

Chaque interface d’un routeur appartient à un bloc réseau différent


Une interface est activée avec la commande no shutdown (et avec la commande ipv6 enable avec IPv6)
Le réseau “directement connecté “ sera indiqué par un code “C” dans la table de routage
Pour qu’une route statique ou dynamique soit installée dans la table de routage, il faut au minimum un réseau
directement connecté (pour transférer les paquets vers une passerelle).
6. Routes locales
Une route locale est une destination (/32ou /128) du routeur lui-même pour adresse routable configurée sur une
interface et par opposition à une destination distante.

R1#show ip route
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.254/32 is directly connected, GigabitEthernet0/0
192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.2.0/24 is directly connected, GigabitEthernet0/1
L 192.168.2.254/32 is directly connected, GigabitEthernet0/1
7. Routes statiques
Une route statique est une route qui a été encodée manuellement.
Une route statique indique :
• La destination: le réseau à joindre et son masque
• La direction : l’adresse IP de la passerelle ou l’interface de sortie
Une route statique est indiquée par un “S” dans la table de routage
La table doit contenir au moins un réseau directement connecté pour qu’une route statique puisse entrer en
fonction.

Quand utiliser des routes statiques ?


• Quand l’inter-réseau n’est constitué que de quelques routeurs
• Quand le routeur connecte un LAN à un FAI
• Dans les topologies Hub-and-Spoke (en étoile)
• Par mesure de sécurité
Examen d’une table de routage
Veuillez identifier les routes “Connected” et “Static” de la table de routage suivante :

Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 195.238.2.22 to network 0.0.0.0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
195.238.2.0/30 is subnetted, 1 subnets
C 195.238.2.20 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 195.238.2.22
Route par défaut
Une route par défaut est celle qui prendra en charge tout trafic qui n’a pas de correspondance spécifique dans la
table de routage.
Ici dénotée par une * dans la table : S* 0.0.0.0/0 [1/0] via 195.238.2.22

8. Routes dynamiques
Les protocoles de routage mettent en oeuvre le routage dynamique :
• Ils ajoutent des destinations dans la table de routage.
• Ils découvrent de nouveaux réseaux automatiquement.
• Ils mettent à jour et maintiennent les tables de routage de manière cohérente entre les routeurs entre eux.
Les routeurs sont capables de découvrir de nouveaux réseaux en partageant des informations sur leurs tables
de routage.
9. Maintenance de la table de routage
Les protocoles de routage sont utilisés pour se partager des informations concernant la topologie du réseau et
maintenir leur table de routage en fonction de modifications logiques ou physiques de l’infrastructure réseau.
Exemple de protocoles de routage :
• RIPv2
• EIGRP
• OSPFv2
• OSPFv3
• BGP

10. Conclusion

3 principes :
• Les routeurs prennent leurs décisions de manière autonome, en se basant sur les informations de la table
de routage.
• Chaque table de routage peut contenir des informations différentes.
• Une table de routage peut indiquer comment atteindre une destination mais pas son retour
Configuration du routage statique sur un routeur Cisco IOS

On trouvera dans ce chapitre des exemples de configuration du routage statique avec un


routeur Cisco IOS.
1. Configuration d’une route statique
En Cisco IOS, une entrée de route statique s’écrit comme une entrée de table de routage.
R1(config)# ip route <network> <mask> {address|interface} [AD]
où :
• network : est l’adresse du réseau à joindre
• mask : est le masque du réseau à joindre
• address : est l’adresse du prochain routeur directement connecté pour atteindre le réseau
• interface : est l’interface de sortie du routeur pour atteindre le réseau
• AD : distance administrative optionnelle (1, par défaut)

2. Premier exemple
A partir du routeur A, le réseau 200.150.75.0/24 est joignable par l'interface Serial 0/0 par la passerelle 192.168.1.2

Par exemple, à partir du routeur A, le réseau 200.150.75.0/24 est joignable par l’interface Serial 0/0 par la
passerelle (prochaine adresse IP) 192.168.1.2

RA(config)#ip route 200.150.75.0 255.255.255.0 serial 0/0

Notons qu’une route statique “directement connectée” à une interface dispose toujours d’une distance
administrative de 0. Le réseau à joindre est censé être directement connecté. Mais cela ne fonctionne que sur
les interfaces point à point.
Par contre en précisant l’adresse du prochain saut, la distance administrative sera fixée à 1 par défaut.

RA(config)#ip route 200.150.75.0 255.255.255.0 192.168.1.2


Les routes statiques IPv6 se configurent de la même manière qu’en IPv4 en utilisant la commande ipv6 route.
On conseillera d’utiliser des passerelles adressées en Link-local ce qui nécessitera de préciser l’interface de
sortie et l’adresse du prochain saut.

3. Second exemple
Dans cet exemple, en IPv6 on préfère préciser la passerelle par l’interface de sortie et l’adresse Link-Local du
prochain saut.
Sur R1 : R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2

Sur R2 : R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1

4. Configuration d’une route statique par défaut


Toujours dans le même exemple, qu’est-ce qui nous empêche d’encoder une route par défaut ?
Sur R1 : R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2

Sur R2 : R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1


5. Route statique flottante
Une route statique flottante est une route statique qui prendra le relais en cas de rupture de la meilleure liaison.
Elle peut servir de mécanisme de backup. Une route statique flottante se configure avec une distance
administrative plus élevée qu’une route apprise autrement.
Par exemple, en IPv4, les routes avec une distance administrative de 130 (pour être supérieures à celle de RIP
par défaut), en prenant garde de nier les anciennes configurations :

Sur R1 :
R1(config)#no ip route 192.168.2.0 255.255.255.0 192.168.3.2
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2 130

Sur R2 :
R2(config)#no ip route 192.168.1.0 255.255.255.0 192.168.3.1
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1 130
Synthèse sur les protocoles de routage dynamique

Décrire le rôle des protocoles de routage dynamique : Principes, objectifs, classification


(intérieur et extérieur, vecteur de distance et état de lien), métrique, distance administrative
et routes des protocoles de routage dynamique.
1. Objectifs des protocoles de routage
Le rôle principal est de découvrir dynamiquement les routes vers les réseaux d’un inter réseau et les inscrire
dans la table de routage sur routeur.
• S’il existe plus d’une route vers un réseau, inscrire la meilleure route dans la table de routage.
• Détecter les routes qui ne sont plus valides et les supprimer de la table de routage.
• Ajouter le plus rapidement possible de nouvelles routes ou remplacer le plus rapidement les routes
perdues par la meilleure route actuellement disponible.

2. Fonctionnement
Un protocole de routage transporte notamment des informations sur les différentes routes dans l’inter réseau
mais aussi des messages de maintien de relations de voisinage.
Chaque routeur reçoit et envoie des informations de routage.
Il applique un algorithme qui optimise ces informations en chemins cohérents.
3. Routage statique versus routage dynamique
Avantages du routage statique :
• Il peut servir de mécanisme de backup.
• Il est facile à configurer.
• Aucune ressource supplémentaire nécessaire.
• Il plus sécurisé.
Désavantages du routage statique :
• Chaque changement dans la topologie nécessite une intervention manuelle sur les routeurs de la
topologie.
• Cette méthode ne convient pas à la croissance des réseaux larges.
4. Système autonome (AS), routage intérieur et extérieur
Un système autonome (AS) est un ensemble de réseaux sous la même autorité administrative (autorité de
gestion).
• Au sein d’un système autonome, les routes sont générées par des protocoles de routage intérieurs comme
RIP, EIGRP, OSPF ou ISIS.
• Les protocoles de routage qui permettent de connecter les systèmes autonomes entre eux sont des
protocoles de routage extérieurs comme BGP.
• Dans le contexte de l’interconnexion mondiale des réseaux, l’IANA (par délégation aux organismes
régionaux) attribue les numéros de système autonome (16/32 bits).
Dans ce scénario, R1 est le routeur ISP qui annonce une route par défaut. R2 annonce un réseau public
2.2.2.0/24.
5. Protocole à vecteur de distance
Un protocole de routage à vecteur de distance est celui qui utilise un algorithme de routage qui additionne les
distances pour trouver les meilleures routes (Bellman-Ford).
• Les routeurs envoient l’entièreté de leur table de routage aux voisins.
• Ils sont sensibles aux boucles de routage.
• Avec ce type de protocole, aucun routeur ne remplit de fonction particulière. On parlera de
connaissance “plate” de l’interréseau ou de routage non-hiérarchique.
• Ils convergent lentement.
• On citera RIP comme étant représentatif. EIGRP est aussi un protocole à vecteur de distance
entièrement optimisé par Cisco Systems.
6. Protocole de routage à état de liens
• Un protocole de routage à état de liens utilise un algorithme plus efficace (Dijkstra ou Shortest Path
First) qui est aussi plus gourmand en termes de consommation de ressources CPU/RAM.
• Les routeurs collectent l’ensemble des coûts des liens d’un interréseau et construisent de leur point de
vue l’arbre de tous les chemins possibles. Les meilleures routes sont alors intégrées à la table de routage.
• On parle de routage hiérarchique.
• OSPF et IS-IS sont des protocoles de routage à état de liens.
• Ils convergent très rapidement.
• Les routeurs entretiennent des relations de voisinage maintenues.
7. EIGRP
• Protocole propriétaire Cisco récemment publié sous le RFC 7868 (Informational)
• Protocole à vecteur de distance (algorithme DUAL) sans boucles.
• Multi-protocoles : il supporte IPv4 aussi bien qu’IPv6.
• Les mises à jour sont partielles / incrémentielles.
• Simple à configurer et à maintenir : préféré dans des infrastructures homogènes Cisco.
• Met aussi en oeuvre des relations de voisinage maintenues.
• Calcule d’avance des routes sans boucle alternatives aux meilleures routes.
• Est capable de répartition de charge inégale
• Converge rapidement (comparable à OSPF)
8. Routage Classful
• RIPv1 et IGRP (Cisco) sont aujourd’hui des protocoles obsolètes.
• Les protocoles classful n’embarquaient pas d’informations sur les masques des réseaux ce qui les rendait
incompatibles avec le CIDR (Classless Inter Domain Routing), se basant uniquement sur la nature d’une
classe réseau pour distinguer des découpages en sous-réseaux homogènes.

9. Classification des protocoles de routage


10. Convergence
La convergence est le temps nécessaire pour qu’un ensemble de routeurs puissent disposer d’une vision
homogène, complète et efficace de l’ensemble des routes d’un interréseau. Le temps de convergence est
particulièrement éprouvé lorsqu’il y a des modifications topologiques dans l’interréseau.

11. Métrique
La métrique d’une route est la valeur d’une route en comparaison à d’autres routes apprises par le même
protocole de routage. Plus sa valeur est faible, meilleure est la route. Chaque protocole dispose de sa méthode de
valorisation. On peut trouver toute une série de composantes de métrique parmi :
• Le nombre de sauts (RIP)
• La bande passante (EIGRP)
• Le délai (EIGRP)
• La charge (EIGRP)
• La fiabilité (EIGRP)
• Le coût (OSPF)
12. Distance administrative d’une route
La distance administrative est indique la préférence dans une table de routage pour des destinations apprises par
un protocole de routage par rapport aux mêmes destinations apprises par un autre protocole de routage.
Plus la valeur est faible et plus le protocole est préféré.
Par défaut, une route EIGRP sera préférée à une route RIP; une route statique sera préférée à toute autre route
dynamique.
Valeurs par défaut de distance administrative

Méthode de routage Distance administrative


Réseau connecté 0
Route statique 1
Ext-BGP 20
Int-EIGRP 90
OSPF 110
IS-IS 115
RIP 120
Int-BGP 200
Inconnu 255
14. Vérification de la configuration du routage
Quel que soit le protocole de routage configuré, c’est la commande IOS show ip protocols qui offre une vue
sur tous les paramètres d’un protocole de routage. Ici par exemple pour vérifier la configuration de RIP.

Router# show ip protocols | begin rip


Routing Protocol is "rip"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Sending updates every 30 seconds, next due in 27 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Redistributing: rip
Default version control: send version 2, receive version 2
Interface Send Recv Triggered RIP Key-chain
15. Répartition de charge
Ce que l’on appelle communément “Load Balancing” est la capacité pour un routeur de supporter plusieurs
chemins à coût égaux vers une destination.
Il en résulte que les paquets vers une même destination sont répartis sur plusieurs interfaces.
Le protocole EIGRP est capable de répartir la charge sur des liens inégaux sous certaines conditions.
16. Synthèse Interior Gateway Protocols
Vecteur de distance Etat de lien
Algorithme Bellman-Ford (RIP) Algorithme Dijkstra (OSPF)
Facile à configurer Compétences requises
Partage des tables de routage Partage des liaisons
Réseaux plats Réseaux conçus (design) organisés en areas
Convergence plus lente Convergence rapide, répartition de charge
Topologies limitées Topologies complexes et larges
Gourmand en bande passante Relativement discret
Peu consommateur en RAM et CPU Gourmand en RAM et CPU

Mises à jour régulière en Broadcast/Multicast Mises à jour immédiate

Pas de signalisation Signalisation fiable et en mode connecté


OSPFv2/v3 - IP89
RIPv1 - UDP520 - 255.255.255.255 ; RIPv2 - UDP520 - 224.0.0.9
- 224.0.0.5, 224.0.0.6, FF02::5, FF02::6

EIGRP - 224.0.0.10, FF02::A - Cisco Systems (DUAL) IS-IS


Lab configuration d’un routeur Cisco
1. Scénario d’exercice
Le scénario de base est le suivant. Un routeur Cisco connecte deux LANs.
• Un réseau local (LAN1) adressé sur l’interface G0/0 :
• en IPv4 en 192.168.1.254/24
• Un réseau local (LAN2) adressé sur l’interface G0/1 :
• en IPv4 en 192.168.2.254/24

• On trouvera un PC1 dans LAN1 adressé en IPv4 en 192.168.1.1/24.

• On trouvera un PC2 dans LAN2 adressé en IPv4 en 192.168.2.2/24.


Topologie : un routeur connecte deux LANs
1.1. Vérification de l’état des interfaces

Toutes les interfaces sont désactivées administrativement colonne “Status”.

Router#show ip interface brief

Interface IP-Address OK? Method Status Protocol


GigabitEthernet0/0 unassigned YES unset administratively down down
GigabitEthernet0/1 unassigned YES unset administratively down down
GigabitEthernet0/2 unassigned YES unset administratively down down
GigabitEthernet0/3 unassigned YES unset administratively down down

1.2. Vérification de la configuration par défaut

Observer :
• Le nom
• Les paramètres d’interfaces IPv4
• La partie control plane
Lab routage statique simple
1. Topologie et énoncé.
Dans ce cas d’école de routage statique simple, deux routeurs interconnectés entre eux (R1 et R2) connectent
chacun un LAN adressé en IPv4. L’exercice consiste à monter la topologie, à configurer les interfaces en IPv4
selon le diagramme et à activer et vérifier le routage statique IPv4,

Topologie : deux routeurs interconnectés entre eux connectent chacun un LAN adressé en IPv4
2. Configuration des routes statiques

Sur R1 :
• R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2
Sur R2 :
• R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1

3. Vérification du routage
3.1. Vérification des routes statiques
Sur R1 et R2, en IPv4 :
R1 ou R2 # show ip route static
Network Address Translation (NAT44)
Dans ce chapitre on parlera du Inside Source NAT44 (Statique, Pool et PAT) et de son implémentation en
Cisco IOS.
1. Introduction
Le NAT, pour “Network Address Translation”, Traduction d’Adresses Réseau, a été proposé en 1994 sous le 
RFC 1631 comme solution à court terme face au manque d'adresses IPv4. Son objectif principal était de
permettre aux adresses IP d’’être partagées par un grand nombre de périphériques réseau. Envisagé comme un
palliatif au manque d’adresses IPv4, il montre aujourd’hui ses limites à la croissance de l’Internet. Ce que l’on
appelle “IP Masquerading”, pour masquage d’adresses IP est synonyme du NAT dans le jargon. On parlera ici
uniquement de l’implémentation du NAT en Cisco IOS.

2. Définition
Le NAT est défini dans le RFC 3022. Le NAT permet d’utiliser des adresses n’ayant pas de signification globale
(par exemple des adresses privées définies dans le RFC 1918, non globalement routables) pour les connecter à
travers l’Internet en traduisant celles-ci en adresses globales routables. Le NAT permet aussi de fournir une
solution de renumérotation pour les organisations qui changent de fournisseur de service par exemple.
3. Portée
On peut utiliser le NAT dans différents cas :
• On dispose d’une multitude d’hôtes adressés de manière privée et le routeur externe dispose d’une seule
ou de quelques adresses IPv4 globales (publiques). Le NAT est configuré sur un routeur en bordure d’un
réseau d’extrémité (un LAN), étant identifié comme étant le côté interne (“inside”), qui connecte un
réseau public comme l’Internet, identifié comme étant le côté externe (“outside”). Le NAT traduit les
adresses locales internes en une adresse globale unique avant d’envoyer les paquets vers le réseau
• On doit changer des adresses internes. Au lieu de les changer, on les traduit par du NAT.
externe.
• On veut rendre accessible des hôtes qui sont localement et globalement dans le même adressage,
autrement dit on permet une connectivité d’adresses qui se chevauchent (“overlapping”) de part et d’autre
du routeur NAT.
• On peut utiliser également le NAT pour distribuer la charge TCP vers un hôte virtuel qui répond à la place
de plusieurs serveurs réels selon un principe de type round-robin.
• Il contribue à améliorer la sécurité des réseaux internes en les rendant opaques aux autres organisations,
mais il n’est jamais une mesure de filtrage de sécurité.
4. Limites
• Le NAT contredit le principe fondamental d’IP qui demande une communication de bout en bout (les
stations d’extrémité établissent et gèrent elles-mêmes leur communication). Le NAT pose donc des
problèmes dans l’établissement de communications utilisant certains protocoles de sécurité assurant une
authentification et un chiffrement (IPSEC), des applications peer-to-peer (VOIP) et autres tels que FTP.
• En matière de sécurité, il n’est jamais qu’une option qui ne remplace pas un filtrage IP pertinent (pare-
feu, firewall).
• Par ailleurs, son utilisation répandue rend opaque l’étendue réelle de l’Internet IPv4. Rappelons que ce
principe a été mis en place pour répondre de manière temporaire au manque d’adresses IPv4.
5. Terminologie Cisco
On fera la distinction entre interne (“inside”) et externe (“outside”). Les adresses internes sont celles qui sont
maîtrisées par l’administrateur du réseau d’extrémité. Les adresses externes sont celles dont on n’a pas la
maîtrise et qui font partie d’un réseau public tel que l’Internet.
On fera aussi la distinction entre adresses locales et globales. Les adresses locales sont celles qui ne sont pas
nécessairement des adresses légitimes et les adresses globales sont celles qui sont routables, qui ont une
signification à portée globale.
Concrètement, on trouvera dans les tables NAT jusqu’à quatre types d’adresses :
• Inside local address - L’adresse IP assignée à un hôte à l’intérieur d’un réseau d’extrémité. Il s’agit probablement
d’une adresse privée, non routable globalement.
• Inside global address - La ou les adresses IP publiques qui représentent les adresses IP locales internes, les
adresses IP routables du routeur NAT.
• Outside local address - L’adresse IP d’un hôte telle qu’elle apparaît aux hôtes d’un réseau interne. Il ne s’agit pas
nécessairement d’une adresse légitime routable.
• Outside global address - L’adresse IP réelle routable d’un hôte qui se situe à l’extérieur du réseau du routeur NAT.
#show ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 122.168.122.106:59856 192.168.1.100:59856 194.57.169.1:123 194.57.169.1:123
udp 122.168.122.106:43050 192.168.1.101:43050 195.154.105.147:123 195.154.105.147:123
tcp 122.168.122.106:43516 192.168.1.101:43516 216.58.204.132:443 216.58.204.132:443
Dans cette sortie, la colonne Inside local correspond à l’adresse et au port source original qui est traduit dans
une entrée correspondante 122.168.122.106:59856. L’adresse Inside global est l’adresse de traduction que la
destination va recevoir. L’adresse de destination n’est traduite dans aucune direction, soit la colonne Outside
local et la colonne Outside global sont équivalentes.

6. Traduction d’adresses IP
On trouvera deux grands types de traduction d’adresses internes :
• Les traductions statiques : une correspondance de type un à un entre une adresse IPv4 locale interne
et une adresse IPv4 globale interne. Elles sont utiles lorsqu’un hôte interne doit être accessible de
l’extérieur. On peut également établir des correspondances de ports TCP/UDP pour réaliser ce que l’on
appelle communément le transfert de ports.
• Les traductions dynamiques : une correspondance de plusieurs-à-plusieurs entre un ensemble
d’adresses IP locales (définies par une ACL) et un groupe d’adresses IP globales (définies par un
“pool”, une plage d’adresses).
On trouvera deux variantes aux traductions dynamiques :
• Overloading : la correspondance de plusieurs adresses IP locales internes (définies par une ACL) et une
adresse IP globale interne (définie par le nom d’une interface) ou plusieurs adresses IP globales internes
(définies par un “pool”) en utilisant comme critère distinctif du trafic les ports TCP/UDP. Cette solution
est aussi appelée PAT (“Port Address Translation”), “single-address NAT” ou encore “port-level
multiplexed NAT”.
• Overlapping : la correspondance entre adresses IP internes qui se chevauchent avec des adresses
externes et inversement.

7. Méthodes de configuration de traduction d’adresses IP internes


Au préalable, il est utile d’être informé sur les liste d’accès (ACLs) Cisco IOS.

7.1. Traduction statique


Définition du NAT
• (config)#ip nat inside source static <local_inside_ip> <global_inside_ip>
Définition des interfaces Inside/Outside
• (config)#interface <type> <number>
• (config-if)#ip nat inside
• (config)# interface <type> <number>
• (config-if)#ip nat outside

7.2. Traduction dynamique simple


Adresses locales soumises au NAT
• (config)#access-list <access-list_number> permit <source_ip> <wildcard_mask>
Pool d’adresses globales
• (config)#ip nat pool <name> <start_ip> <end_ip>
Definition du NAT
• (config)#ip nat inside source list <access-list_number> pool <name>
Définition des interfaces Inside/Outside
• (config)#interface <type> <number>
• (config-if)#ip nat inside
• (config)# interface <type> <number>
• (config-if)#ip nat outside
7.3. Traduction dynamique overload (PAT) avec une seule IP globale
Adresses locales soumises au NAT
• (config)#access-list <access-list_number> permit <source_ip> <wildcard_mask>
Definition du NAT
• (config)#ip nat inside source list <access-list_number> interface <type> <number> overload
Définition des interfaces Inside/Outside
• (config)#interface <type> <number>
• (config-if)#ip nat inside
• (config)# interface <type> <number>
• (config-if)#ip nat outside
Diagnostic
• #clear ip nat translation *
• #show ip nat translations [verbose]
• #show ip nat statistics
• #debug ip nat

8. Mise en place du Source NAT overload


Mise en place du Source NAT overload
À partir d’une topologie représentative telle que celle-ci, on configure le Source NAT overload (PAT) sur R1 qui
connecte l’Internet.
• R1(config)#interface g0/1
• R1(config-if)#ip address dhcp
• R1(config-if)#no shutdow

En premier lieu, la procédure consiste à identifier les paquets dont l’adresse IPv4 source correspond à une
adresse 192.168.1 par une ACL. En configuration globale sur R1 :
• R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

Ensuite, une règle NAT traduira l’adresse IPv4 source correspondant à l’ACL définie précédemment par
l’adresse IPv4 de l’interface externe G0/1.
• R1(config)#ip nat inside source list 1 interface g0/1 overload
Enfin, il faut indiquer chaque interface qui choisira le trafic à traduire, ici G0/2, G0/3 et G0/0 (inside) et le côté
des destinations qui pourraient être traduites (outside).
• (config)#interface g0/0
• (config-if)#ip nat inside
• (config-if)#interface g0/2
• (config-if)#ip nat inside
• (config-if)#interface g0/3
• (config-if)#ip nat inside
• (config-if)#interface g0/1
• (config-if)#ip nat outside
9. Diagnostic NAT
On retiendra les commandes suivantes :
show running-config | include nat
show access-list
show ip nat translations
show ip nat statistics

9.1. Vérification de la configuration


• # gateway#show running-config | include nat
• # ip nat inside
• # ip nat outside
• # ip nat inside source list lan interface GigabitEthernet0/1 overload
• # gateway#show access-list lan
Standard IP access list lan
10 permit 192.168.1.0, wildcard bits 0.0.0.255 (41 matches)
9.2. Vérification des traductions
C’est la commande show ip nat translations qui offre la table de traduction.

9.3. Statistiques NAT


La commande show ip nat statistics offre les statistiques du service de traduction.

9.4. Déboggage NAT en Cisco IOS


La commande debug ip nat ? peut être utilisée simplement ou avec un paramètre spécifique.
Attribution d’adresses IPv4 : DHCP
Avant d’être capable d’émettre du trafic TCP/IP vers une destination précise, une interface doit disposer au
minimum d’une adresse IP et de son masque et, éventuellement d’autres paramètres (passerelle par défaut,
résolveur DNS, etc.). En IPv4, c’est DHCP qui permet d’attribuer ces paramètres à une interface qui le
demande. DHCP maintient un état des adresses attribuées par un mécanisme de bail (à durée déterminée).
Ce chapitre expose le fonctionnement du protocole, sa configuration et sa vérification en Cisco IOS.
Attribution d’adresses IPv4 : DHCP
Avant d’être capable d’émettre du trafic TCP/IP vers une destination précise, une interface doit disposer au
minimum d’une adresse IP et de son masque et, éventuellement d’autres paramètres (passerelle par défaut,
résolveur DNS, etc.). En IPv4, c’est DHCP qui permet d’attribuer ces paramètres à une interface qui le demande.
DHCP maintient un état des adresses attribuées par un mécanisme de bail (à durée déterminée). Ce chapitre
expose le fonctionnement du protocole, sa configuration et sa vérification en Cisco IOS.
En IPv6, le comportement par défaut est l’auto-configuration des interfaces mais la version actualisée de DHCPv6
fournit un service géré des adresses semblable et amélioré d’attribution dynamique des adresses.
1. DHCP (IPv4)
DHCP (Dynamic Host Control Protocol) est formalisé dans le RFC3121
• DHCP est la successeur en version améliorée et compatible du protocole BOOTP. DHCP peut être
identifié comme du trafic BOOTP par les analyseurs de paquets.
• La procédure d’attribution d’adresses en DHCP (IPv4) consiste en l’échange de 4 messages sur les ports
UDP 67 (Serveur) et 68 (Client).
• Les messages du client au serveur émanent en Broadcast.
• Les réponses du serveur au client se font en Unicast.
1.1. Échange DHCP
Un échange DHCP connait typiquement quatre messages “DORA” :
• DHCPDISCOVER
• DHCPOFFER
• DHCPREQUEST
• DHCPACK
Echange entre client et serveur DHCP
Dans une session typique, le client diffuse (Broadcast) un message DHCPDISCOVER sur son segment local. Le
client peut suggérer son adresse IP et la durée du bail (lease). Si le serveur est sur le même segment, il peut
répondre avec un message DHCPOFFER qui inclut une adresse IP valide et d’autres paramètres comme le masque
de sous-réseau. Une fois que le client reçoit ce message, il répond avec un DHCPREQUEST qui inclut une valeur
identifiant le serveur (pour le cas o๠il y en aurait plusieurs). Cette valeur l’identifie de manière certaine et décline
implicitement les offres des autres serveurs. Une fois le DHCPREQUEST reçu, le serveur répond avec les
paramètres définitifs de configuration par un message DHCPACK (si le serveur a déjà assigné l’adresse IP, il
envoie un DHCPNACK).

Si le client détecte que l’adresse IP est déjà utilisée sur le segment, il envoie un DHCPDECLINE au serveur et le
processus recommence.
Si le client reçoit un message DHCPNACK du serveur après un DHCPREQUEST, le processus recommence
également.
Si le client plus besoin d’une adresse IP, il envoie un DHCPRELEASE au serveur.
Si le client veut étendre la durée du bail qui lui est allouée, il envoie un DHCPREQUEST au serveur dans lequel
le champ ‘ciaddr’ correspondra à son adresse IP actuelle. Le serveur répondra avec un DHCPACK comprenant la
nouvelle durée du bail.

1.2. États DHCP


La procédure DHCP connait aussi habituellement plusieurs états.
• INIT
• SELECTING
• REQUESTING
• BOUND
• RENEWING
• REBINDING
• BOUND
1.3. Options DHCP

Code d’options Signification


1 Subnet Mask
3 Router
6 Domain Name Server
54 DHCP Server Identifier
51 IP Address Lease Time
58 Renewal Time Value
59 Rebinding Time Value
255 End

2. Configuration DHCP en Cisco IOS


Le principe de configuration d’un service DHCP est assez évident : Dans un “pool” nommé on définit une plage à
servir et différentes options telles que la durée du bail, la passerelle par défaut et bien d’autres options. Aussi, on
peut exclure ou réserver des adresses du bloc
2.1. Création d’un pool DHCP
Pour définir une plage, où le masque peut être noté en décimal pointé 255.255.255.0 en format “legacy” ou en
notation CIDR /24 par exemple, on instancie au préalbale un “pool” DHCP en configuration globale.
• Router(config)#ip dhcp pool <name>
• Router(dhcp-config)#network <subnet> <mask>
Nécessairement, il faut que le routeur offrant ce service dispose d’une interface capable de communiquer
directement avec le client en TCP/IP.

2.2. Durée du bail DHCP


Par défaut, la durée d’un bail d’adresse DHCP en Cisco IOS est de un jour, 24 heures. On peut modifier cette
valeur dans la configuration du pool selon la nomenclature “Jours Heures Minutes” avec la commande lease :
• Router(dhcp-config)#lease ?
2.3. Options passerelle et serveur DNS
Pour configurer deux paramètres essentiels supplémentaires comme une passerelle par défaut et des serveurs de
noms, on utilise les commandes suivantes :
• (config)#ip dhcp pool <name>
• (dhcp-config)#default-router <ip_address>
• (dhcp-config)#dns-server <server_1> <server_2> <...>
2.4. Exclusion d’adresses à distribuer
Pour exclure certaines adresses de la plage, on reviendra en configuration globale avec la commande suivantes en
définissant une plage d’une première à une dernière adresse.
• (config)#ip dhcp excluded-address <première_adresse> <dernière_adresse>
Voici une configuration opérationnelle sur le LAN du routeur configuré en 192.168.1.254/24 sur son interface
LAN :
• Gateway(config)#ip dhcp pool GW

• Gateway(dhcp-config)#network 192.168.1.0 255.255.255.0

• Gateway(dhcp-config)#default-router 192.168.1.254

• Gateway(dhcp-config)#dns-server 8.8.8.8

• Gateway(dhcp-config)#lease 0 8

• Gateway(dhcp-config)#exit

• Gateway(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10

Le pool DHCP servira les adresses de 192.168.1.11/24 à 192.168.1.254/24 avec un bail de huit heures en poussant comme
paramètre de passerelle par défaut 192.168.1.254 et comme paramètre de serveur de noms 8.8.8.8.
2.6. Configuration des options “Serveur TFTP” et “Serveur NTP”
Un service DHCP peut pousser une multitude de paramètres (à condition que les hôtes puissent les interpréter). En
dehors options habituelles (Router, DNS, masque, durée du bail, etc.), les options supplémentaires sont
référencées par un code en hexadécimal.
• L’option DHCP 150 fournit les adresses IP d’une liste de serveurs TFTP (RFC 5859)
• L’option DHCP 66 donne l’adresse IP ou le nom d’hôte d’un seul serveur TFTP (RFC 2132).
Par exemple :
• (dhcp-config)#option 150 ip 192.168.1.254
• (dhcp-config)#option 66 ascii gateway
L’option DHCP 42 fournit l’adresse de serveurs NTP :
• (dhcp-config)#option 42 ip 192.168.1.254
2.7. Configuration d’un interface DHCP client
On utilise le paramètre dhcp dans la commande ip address dhcp au lieu d’y placer une adresse IPv4 et son
masque.
• (config)#interface g0/1
• (config-if)#ip address dhcp
3. Diagnostic DHCP en Cisco IOS
Voici une exemple de configuration du service DHCP en Cisco IOS.
• Router#sh run | begin ip dhcp
Pour en faire le diagnostic, on utilisera volontiers les commandes IOS suivantes :
• show ip dhcp binding
• show ip dhcp pool <name>
• show ip dhcp server statistics
• show ip dhcp conflict
• debug ip dhcp server packet
• debug ip dhcp server events
3.1. Vérification des baux attribués
Pour vérifier les baux attribués :
• Router#show ip dhcp binding
3.2. Vérification de la configuration du pool DHCP
Pour vérifier le pool DHCP :
• Router#show ip dhcp pool DHCP-LAN
3.3. Statistiques des messages DHCP
Pour obtenir les statistiques des messages DHCP :
• Router#show ip dhcp server statistics
3.4. Déboggage du service DHCP
La commande debug ip dhcp server suivuie d’un paramètre active les logs sur le service DHCP.
• Routeur#debug ip dhcp server ?
Par exemple, quand une station de travail du réseau local redémarre :
• Router#debug ip dhcp server events
On ne manquera pas de désactiver le déboggage.
• Router#undebug all
4. DHCP Relay

Les clients DHCP utilisent le Broadcast UDP pour entrer en contact avec leurs serveurs. Ce trafic est arrêté par les
routeurs du premier saut.
Pour faire en sorte que la passerelle du réseau qui reçoit du trafic DHCP le transfère auprès du serveur qui gère la
plage DHCP à servir, il est possible de configurer un routeur Cisco avec la commande ip helper-address en
configuration d’interface.

L’interface qui reçoit ce trafic DHCPDISCOVER remplace le champ IP source par la sienne (une adresse Unicast
dans le bloc à servir) et remplace l’adresse IP de destination 255.255.255.255 par l’adresse IP du serveur DHCP
renseigné en paramètre de la commande ip helper-address en configuration d’interface.
Cette solution est intéressante et légère quand on désire centraliser le rôle DHCP à un seul endroit de son
interréseau.
Protocole de résolution de noms DNS
Le protocole et le système DNS permet de résoudre des noms en adresses IP. DNS est une sorte de service mondial de
correspondance entre des noms et des adresses IP. DNS utilise principalement le port UDP 53. Plus précisément, DNS est un
système d’interrogation de registre mondial.

Vous aimerez peut-être aussi