GIROD Patrick TP APC 3. Routage et ACL

Transcription

1 Routage et ACL 1

2 Sommaire : 1 Introduction Objectif Schéma du réseau.3 2 Configuration du site de Lyon Configuration des postes Configuration du Commutateur Cœur de réseau et du router RI Configuration des sites distants Configuration des postes des sites distants Routage intersites Configuration ACL Configuration ACL du site De Lyon Table de filtrage Commandes pour Grenoble et Nantes Exemple de Ping sous configuration ACL Configuration ACL des postes des sites Distants Filtrage Commandes Exemple de Ping sous configuration ACL Configuration pour Casablanca Test de connexion au serveur HTTPS Etherchannel et spanning tree Schéma Etherchannel Le spanning tree..10 2

3 1 Introduction : 1-1) Objectif : Le but de ce travail est de mettre en place un réseau entre différents sites avec le routage statique et de configurer des règles de filtrage ACL (Access Control List). 1-2) Schéma du réseau : Configuration des sites : Zone réseau Adresse Site Lyon /16 Site Grenoble /16 Site Nantes /16 Site Casablanca /16 2 Configuration du site Lyon : 2-1) Configuration des postes : PC-Vlan30 : Adresse IP : Masque de sous-réseau : Passerelle : PC-Vlan40 : Adresse IP : Masque de sous-réseau : Passerelle : PC-Vlan50 : Adresse IP : Masque de sous-réseau : Passerelle :

4 Ser1-AD/DHCP/DNS: Adresse IP: Masque de sous-réseau : Passerelle : ) Configuration du Commutateur Cœur de réseau et du router RI : Table de routage du Cœur de réseau Sw-Coeur1 : Table de routage du routeur RI : Ces deux lignes de la table de routage du routeur RI signifient : -Pour accéder aux sites distants il faut passer par l interface du Vlan 90 d adresse Pour accéder au tout les réseaux connectés on passe par l interface Configuration des sites distants : 3-1) Configuration des postes des sites distants : PC-Grenoble : Adresse IP : Masque de sous-réseau : Passerelle : PC-Nantes : Adresse IP : Masque de sous-réseau : Passerelle :

5 PC-Casablanca : Adresse IP : Masque de sous-réseau : Passerelle : Si on envoie une requête de trame d un des postes de Lyon à un poste d un site distant, par exemple Grenoble, la requête échouera car les routeurs n ont pas les routes nécessaires à cette requête. 3-2) Routage intersites : Nouvelle table de routage du Cœur de réseau Sw-Coeur1 : Nouvelle table de routage du routeur RI : Table de routage du routeur RD-1 :

6 Table de routage du routeur RD-2 : Table de routage du routeur R_FAI : Si on envoie la même requête de Lyon à Grenoble après les modifications apportées aux tables de routage, on constate que les informations se transmettent sans problèmes. 4 Configuration ACL : La configuration ACL permet de créer des permissions d accès système permettant de faire une gestion plus fine des droits d'accès aux fichiers. 4-1) Configuration ACL du site De Lyon : Le but de la manœuvre est de faire en sorte que chaque poste communique uniquement avec le serveur ) Table de filtrage : N IP source Port IP destination Port Protocole Autorisation source destination /16 any /24 any ip permit /16 any /24 any ip permit /16 any /24 any ip permit 4-1-2) Commandes : Pour configurer les postes voici les commandes à entrer sur le commutateur cœur de réseau: Sw_coeur1# conf t Sw_coeur1 (config) #access-list 101 permit ip [adresse IP poste vlan] [masque sousréseau inversé] [Adresse IP du serveur] [Masque de sous-réseau inversé du serveur] Exemple de masque de sous réseau inversé : Masque normal : Masque inversé : Sw_coeur1 (config) # int vlan [N Vlan] Sw_coeur1 (config-if) # ip access-group in Sw_coeur1 (config-if) # end Entrer ces commandes pour l ensemble des postes du site de Lyon. 6

7 4-1-3) Exemple de Ping sous configuration ACL : Ping du Poste Vlan 30 au serveur : Ping du poste Vlan 30 au poste Vlan 40 : On constate que la configuration fonctionne car le poste communique uniquement avec le serveur 4-2) Configuration ACL des postes des sites Distants : Le but est le même qu avec les postes de Lyon, mais il faut ce coup-ci le faire avec les postes des sites distants ) Table de filtrage : N IP source Port IP destination Port Protocole Autorisation source destination /16 any /24 any ip permit /16 any /24 any ip permit /16 any / tcp permit 4-2-2) Commandes pour Grenoble et Nantes : Pour configurer les postes voici les commandes à entrer sur le routeur RD-2 : RD-2# conf t RD-2 (config) #access-list 101 permit ip [adresse IP poste] [masque sousréseau inversé] [Adresse IP du serveur] [Masque de sous-réseau inversé du serveur] RD-2 (config) # int [nom interface du poste du routeur] RD-2 (config-if) # ip access-group in RD-2 (config-if) # end 7

8 4-2-3) Exemple de Ping sous configuration ACL : Ping du Poste Grenoble vers le serveur : Ping du Poste Grenoble vers le Poste Nantes : On constate que la configuration à fonctionné et que les postes des réseaux distants communiquent uniquement avec le serveur du site de Lyon ) Configuration pour Casablanca : Le site de Casablanca doit avoir accès uniquement au serveur SGBD sur le port 443 pour le service HTTPS. D après la table de filtrage voici les commandes à entrer sur le routeur RD-2 : RD-2# conf t RD-2 (config) #access-list 101 permit tcp [adresse IP poste] [masque sousréseau inversé] [Adresse IP du serveur] [Masque de sous-réseau inversé du serveur] 4-2-5) Test de connexion au serveur HTTPS : 8

9 Si dans le navigateur web, après avoir entrer l adresse du port HTTPS, si cet écran s affiche cela signifie que le site Casablanca est bien connecté au serveur SGBD. 5 Etherchannel et spanning tree : 5-1) Schéma : Pour la configuration pour l etherchannel et suite aux configurations ACL, le schéma du réseau doit subir quelques modifications : 5-2) Etherchannel : L etherchannel permet la mise en place d agrégat de liens qui permet de regrouper plusieurs liens physiques en un seul lien logique et ainsi améliorer les performances en termes de bandepassante, de haute disponibilité et de répartition de charge. Voici les commandes pour mettre en place l etherchannel sur le commutateur cœur de réseau : Sw_coeur1 (config) #interface range GigaEthernet 0/1-2 Sw_coeur1 (config-if-range) #channel-group 1 mode active Sw_coeur1 (config-if-range) #exit Sw_coeur1 (config)#interface port-channel 1 Sw_coeur1 (config-if) #switchport mode trunk Pour tester l installation, il faut faire un ping continue sur un des postes concerné : PC-Casablanca>ping t Si après le débranchement du premier câble, la connexion est toujours établie, alors cela signifie que l etherchannel est bien installé. 9

10 5-3) Le spanning tree : L objectif du protocole (défini par la norme 802.1d) est de gérer les boucles sur un réseau local dans le cas de l'utilisation de lien redondant. Dans certain cas, il est souhaitable de fixer les priorités par défaut. Le switch qui aura la priorité la plus basse sera élu root. Pour notre schéma, le switch cœur sera choisi pour être le commutateur root. Commande : Sw_coeur1 (config) #spanning-tree vlan root primary Sw_coeur 1(config) #end Sw_coeur1#show spanning-tree vlan [n vlan] 10