PPE 1 2014-2015 MAMBU JEAN- ROBERT BRUNE JEREMY
Contenu 1.1 - Investissements de l entreprise... 2 2 - PRESENTATION DU PRESTATAIRE... 4 2.1- Le groupe Ozitem... 4 2.2 - Périmètre d Owentis... 5 3 - CAHIER DES CHARGES... 7 Mission 1 Infrastructure réseau... 7 Mission 2 - Système... 8 Mission 3 Administration distante... 9 Mission 4 - Services réseau... 9 Mission 5 Service de travail collaboratif... 9 Mission 6 - Déploiement des services de sécurité... 10 Mission 7 Gestion de l infrastructure... 10 Mission 8 Redondance des services... 11 Mission 9 Evolution IPv6... 11 4 SOLUTION... 13 4.1 - Projet... 14 4.1.1 - Objectifs... 19 7 - Annexes... 21 7.1 Procédure d installation des serveurs... 21 7.1.1 - Serveur DNS... Erreur Signet non défini. 7.1.2- Contrôleur de domaine Active Directory... 23 1 - PRESENTATION DE L ENTREPRISE
Butler Capital Partners est une société d'investissements française faisant partie des leaders indépendants en France du capital- investissement. Elle couvre une large gamme de types d investissement (capital développement, LBO et retournement). Son président- fondateur est Walter Butler. 1.1 - Investissements de l entreprise Un exemple d'opération de Butler Capital Partners est l acquisition en LBO auprès du groupe Pernod Ricard du groupe international ATYS (ex- Sias MPA), leader mondial des préparations aux fruits pour les yaourts, en mai 2002. Ce fonds n'a pas de secteur de prédilection. En douze ans, la société a investi dans France Champignons, César (déguisements), le transporteur routier Giraud, le groupe Flo ou la SSII Osiatis (Thomainfor, une ex- filiale de Thomson). Son fonds, créé en 1990, est enfin moins agressif que la concurrence, puisqu'il reste sept ans en moyenne au capital d'une entreprise avant de la revendre, contre trois à cinq ans pour le reste de la profession. En 2005-2006, il est le repreneur retenu, conjointement avec Veolia Transport, par l'état pour la privatisation de la SNCM. Une polémique éclata à propos des liens entre Walter Butler et le premier ministre Dominique de Villepin et le bas prix offert aux repreneurs (28 millions d'euros) compte tenu de l'estimation des actifs de la société (280 millions d'euros).
En juin 2006, Butler Capital Partners participe au rachat du Paris Saint- Germain Football Club à Canal+. Le 11 janvier 2008, il décide de vendre environ 28 des 33,3 % qu'il possède à l'un des autres actionnaires du club, Colony Capital, sans se désengager de l'administration du club1.
2 - PRESENTATION DU PRESTATAIRE 2.1- Le groupe Ozitem Le groupe Ozitem est une Société de Services en Ingénierie Informatique (SSII) possédant une véritable expertise en infrastructures sur des activités de centres de services, d infogérance et d assistance technique. Elle s occupe principalement de clients grands comptes et de grandes PME sur des secteurs d activités variés comme les banques, la finance et l industrie. Parmi ses clients notables, on peut citer : Air France, BNP, GDF Suez, Société Générale, En 2011, Owentis a intégré le groupe Ozitem pour en devenir une filiale à 100%. Cela a permis au Groupe, qui possédait déjà une expertise en Infrastructure Système, d ajouter des prestations d Infogérance, d Architecture Réseau et d Hébergement aux services proposés à ses clients. Les deux structures, bien qu appartenant au même groupe, ont gardé leurs propres domaines de compétences. A la tête du groupe se trouve M. Laurent SOULIE, Président Directeur Général et Directeur commercial. M. François ESPIEUX est le Directeur Associé Ozitem et gère la partie technique d Ozitem. M. Philippe REBRE est le Directeur Général Délégué Owentis. Le pôle technique Owentis regroupant la Direction Technique (DT) et le Centre des Opération (COP) est dirigé par M. Mathieu DOTTIN. Mon maître de stage M. Bruno ROUSSET est le responsable du COP.
Au cours de son histoire, le groupe Ozitem est devenu partenaire des plus grandes entreprises du domaine de l Informatique dont : Microsoft pour la partie Système VMware pour la virtualisation Fortinet pour la sécurité Citrix pour le Cloud Ces partenariats sont pour les clients des gages d efficacité et de qualité des services proposés par le groupe Ozitem. En 2012, le chiffre d affaire du groupe a atteint 20 millions d euros et le nombre de collaborateurs a dépassé 300. 2.2 - Périmètre d Owentis Créée en 1996, Owentis est une Société de Services en Ingénierie Informatique (SSII) française qui propose des prestations d expertise dans les domaines du Cloud, de l Infogérance et de l Architecture Réseau. Ses principaux clients sont Bayard Presse, Motul, BGFI Bank et Gide Loyrette Nouel. Depuis qu elle a intégré le groupe Ozitem, la société connait une croissance régulière et soutenue : son chiffre d affaire augmente d environ 20% par an. La société Owentis propose à ses clients des services orientés vers 3 axes. Les services managés permettant aux clients d externaliser le support, la supervision, l exploitation et
l administration de leurs plateformes et de leurs applications. Par ailleurs, une maintenance et une surveillance des équipements sont effectuées en continu : de 8h à 20h par le Centre des Opérations de Paris et de 20h à 8h par un prestataire. En cas de problème, il y a toujours un ingénieur d astreinte appartenant à la Direction Techniques disponible par téléphone et pouvant intervenir sur site de nuit. L infogérance est la gestion des plateformes opérées par les experts Owentis. La différence avec les services managés est qu ici, des prestations d hébergement, de PRA ou de Réseau sont proposées. En effet, grâce à un partenariat avec deux grands centres de données ou datacenters (Global Switch et Equinix), Owentis offre des possibilités d hébergement pour les infrastructures physiques ou virtuelles de ses clients. Les solutions SAAS (Software As A Service) sont des services proposant l usage d une application accessible à distance et sans installation via le Cloud. La maintenance de ces logiciel est assurée par Owentis ce qui permet aux clients de se concentrer sur leur métier. Les services proposés par Owentis dans ce domaine concernent principalement la sauvegarde de données en ligne et le partage de fichiers. De plus, des solutions d hébergement ou IAAS (Infrastructure As a Service) offrent la possibilité aux clients de louer des ressources informatiques suivant leurs besoins.
3 - CAHIER DES CHARGES Les différentes solutions retenues pour l étude du projet d un point de vue général d Owentis pourront faire l objet de documentations techniques suivant la complexité de la mise en œuvre. Mission 1 Infrastructure réseau Le réseau d Owentis doit comporter plusieurs périmètres de sécurité Adressage réseau et attribution de noms faciles à mettre à niveau : 172.20.0.0/21 Un système de cloisonnement du réseau devra être testé. Les commutateurs devront être facilement administrables afin de propager les configurations rapidement et aisément. Solution permettant l interconnexion des différents sites (stade, billetterie et magasin) Les différents commutateurs ainsi que le routeur doivent disposer de réglages de base homogènes. La solution doit se faire avec les équipements réseau CISCO.
Mission 2 - Système Solution permettant l authentification des utilisateurs. Les différents serveurs sont montés sur le VLAN administration, les serveurs seront sur Windows 2012 R2: Authentification à l'ouverture de session, chaque personne et chaque poste utilisant le réseau est authentifié auprès d'un serveur d'authentification basé sur un annuaire Active Directory. Pour intégrer les postes à l'annuaire un code administrateur provisoire sera fourni. Le domaine AD est " StadiumCompany.com". Il est commun à l'ensemble des utilisateurs de stade et des sites distants. Sur le domaine les profils utilisateurs sont itinérants. La résolution de noms, un serveur DNS répertoriant l'ensemble des noms du domaine "StadiumCompany.com" est accessible sur chaque réseau IP. Arès, qui servira de serveur DNS principal et aura l adresse 172.20.0.13, machine virtuelle sur Windows Server 2012 R2 entreprise Hermès, qui servira de contrôleur de domaine principal et aura l adresse 172.20.0.14, machine virtuelle sur Windows Server 2012 R2 entreprise Aphrodite, qui servira de contrôleur de domaine et DNS secondaire, il prendra le relai en cas de disfonctionnement ou surcharge sur Arès ou Hermès et aura comme adresse 172.20.15, machine virtuelle sur Windows Server 2012 R2 entreprise.
Kratos, qui servira de serveur DHCP, il donnera un IP dynamique disponible dans une plage d adresse configurée aux utilisateurs. A court terme il lui sera rajouté un disque dur et il aura aussi le rôle de serveur web pour les sites distants ainsi que serveur ftp pour les configurations des équipements réseaux et aura comme adresse 172.20.0.20, machine virtuelle sur Server 2012 R2 entreprise. Mission 3 Administration distante Solution permettant l administration à distance sécurisées La sécurité du système d information devra être renforcée entre les différents sites. La solution retenue devra être administrable à distance via un accès sécurisé par SSH. Mission 4 - Services réseau Solution permettant de mettre en place des services réseau plus mobiles et plus intégrés. Solution permettant l administration des accès utilisateurs locales mobiles Radius, qui servira de serveur d authentification wifi, 172.20.0.x, machine virtuelle sur Server 2012 R2 entreprise. Mission 5 Service de travail collaboratif Solution permettant le travail collaboratif. Héraclès, qui servira de serveur Exchange, il permettra aux utilisateurs de Owentis.com de communiquer avec une adresse qui leur sera créée à partir de ce serveur et aura comme adresse
172.20.0.16, machine virtuelle sur Windows Server 2012 R2 entreprise Héphaïstos, qui servira de serveur Exchange secondaire, il prendra le relai en cas de disfonctionnement ou surcharge sur Héraclès et aura comme adresse 172.20.17, machine virtuelle sur Windows Server 2012 R2 entreprise. Edge, serveur exchange 2013qui servira de Passerelle SMTP, il sera placé en DMZ 172.20.0.X, machine virtuelle sur Server 2012 R2 entreprise. Mission 6 - Déploiement des services de sécurité Solution permettant le déploiement des solutions techniques d accès mobile sécurisés. Athéna, qui servira de serveur Radius, il aura pour rôle d authentifier les machines et aura comme adresse 172.20.18, machine virtuelle sur Windows Server 2012 R2 entreprise. Hadès, qui servira de certificat, il aura pour rôle de générer des certificats, une fois ceux- ci générés il sera éteint et aura comme adresse 172.20.19, machine virtuelle sur Windows Server 2012 R2 entreprise. Mission 7 Gestion de l infrastructure Solution permettant la supervision et la gestion du patrimoine informatique. Les évènements importants doivent être journalisés et stockés afin de faciliter le travail de l administrateur Murdock1, qui servira de serveur FOG, il servira de serveur de déploiement (stockage) des images des postes clients est serveur 172.20.0.X, machine virtuelle sur Debian entreprise.
Murdock2, qui servira de serveur OCS- GLPI, il servira de serveur de gestion du pack informatique et des incidents 172.20.0.X, machine virtuelle sur Debian ou Windows 2012 R2 Mission 8 Redondance des services Solution permettant la redondance des services et la tolérance de panne de systèmes serveurs et des éléments d interconnexions La durée de l interruption de service doit être minimale Solution permettant d améliorer la continuité de service des services existants en cas de panne du serveur, Commutateurs et liaisons d accès (FAI) Les différentes configurations doivent pouvoir être sauvegardées/ restaurées rapidement et facilement Des procédures permettant la sauvegarde / récupération des configurations, la mise à jour des IOS et la réinitialisation des mots de passe de commutateur et du routeur devront être rédigées et mises à disposition sur un serveur FTP Qualité de service (QOS) nécessaire pour la vidéo en continu et ultérieurement, l implémentation de la voix sur IP. Mission 9 Evolution IPv6 Solution permettant de préparer la migration vers l adressage IPv6. L étude de l évolution vers IPv6: Une maquette dissociée devra être réalisée afin de tester les difficultés éventuelles d un passage à IPv6. Cette maquette devra permettre de vérifier le fonctionnement : - De l adressage IPv6 sur les équipements réseaux
- Du DHCP IPv6 - Du routage statique IPv6 et du routage dynamique utilisant RIPng
4 SOLUTION Objectif du VPN Les raisons d utiliser un VPN entre deux sites de l entreprise (ou plus) ou entre l entreprise et les utilisateurs nomades sont principalement les suivantes : Chiffrer les échanges afin qu un tiers ne puisse pas intercepter les données qui transitent sur Internet Permettre aux différents équipements (ordinateurs, serveurs, imprimantes ) de fonctionner ensemble sur le même réseau sans se soucier de leur localisation (multi site, télétravail ) Aujourd hui les utilisateurs cherchent principalement un moyen de chiffrer les échanges de données. Problématique du chiffrement. Le chiffrement du fichier ou d un flux de données transitant sur internet repose principalement une chose : La clé de chiffrement. Plus cette clés est longue (128, 256, 512,, 2048 bits) plus il sera difficile de décoder vos échanges. En effet le nombre de combinaisons augmente de manière exponentielle. Mais il se peut aussi que les algorithmes de chiffrement n aient pas les mêmes performances face à des pirates/espions professionnels. La longueur de la clé ne fait donc pas tout. Quoi qu il en soit, il est tout de même reconnu que des clés des 256 bits présentes à ce jour un très bon niveau de protection pour des applications civiles Protocole PPTP Le protocole Point- to- Point Tunnelling Protocol est simple d emploi mais à ce jour il ne doit plus être utilisé. Sa résistance au hacking n est pas suffisante pour une utilisation professionnelle. Protocole L2TP et L2TP/IPsec Le protocole Layer 2 Tunnel est un protocole VPN qui, de base, ne fournis pas de chiffrement. Pour cette raison il est impératif de le compléter par IPSec. Deux atouts de L2TP :
il est disponible dans une grande majorité d équipements, que ce soit du côté des terminaux comme du côté des équipements réseaux. il est aussi simple à mettre en œuvre que le PPTP Un inconvénient pour les utilisateurs nomades vient du fait que L2TP utilise un port UDP (500) pour se connecter. Or certains FireWall peuvent bloquer ce port et donc rendre toute connexion impossible (HotSpot Wifi, Hôtel, Centre d affaires ). Le chiffrement basé sur IPsec est actuellement reconnu comme fiable. Néanmoins ses performances en terme de ressources CPU consommée pour effectuer le chiffrement ne sont pas très bonne si vous avez des flux de données très importants à faire transiter (par exemple entre deux sites). Les protocoles basés sur SSL sont plus performant OpenVPN OpenVPN est une technologie assez récente développée par la communauté libre. OpenVPN utilise les protocoles SSLv3 et TLSv1 pour fournir une solution VPN de qualité. OpenVPN possède de nombreux paramètres de configuration lui permettant de s adapter à toutes les contraintes pouvant se présenter. OpenVPN supporte plusieurs algorithmes de chiffrement ( AEZ, Blowfish, 3DES, CAST ) Dans tous les cas, OpenVPN est souvent plus performant (rapide) que IPSec. OpenVPN est aujourd hui très répandu et se trouve supporté par de très nombreux éditeurs de logiciel et de matériel. Un des seuls inconvénients actuels d OpenVPN est, pour les non- initiés, le par CustomerRouter#show ip ssh Il existe de très nombreux protocoles pour que les ordinateurs puissent communiquer entre eux. Le protocole Telnet : simple mais dangereux
Un protocole très simple, très basique, c'est Telnet. Il sert juste à échanger des messages simples d'une machine à une autre. En théorie donc, on peut communiquer avec un serveur à l'aide du protocole Telnet. Le problème de ce protocole c'est justement qu'il est trop simple : les données sont transférées en clair sur le réseau. Il n'y a aucun cryptage. Voici ce qui pourrait se passer : Mais en fait, un pirate aurait la possibilité d'«écouter» ce qui se passe sur le réseau, et donc d'intercepter les données en chemin (figure suivante). Vous pouvez difficilement empêcher que quelqu'un intercepte les données. Intercepter les données peut être compliqué à réaliser, mais possible.
Comme on ne peut pas complètement empêcher quelqu'un d'intercepter les données qui transitent sur l'internet, il faut trouver un moyen pour que le client et le serveur communiquent de manière sécurisée. Le cryptage sert précisément à ça : si le pirate récupère le mot de passe crypté, il ne peut rien en faire. Il faut donc que la personne qui crypte et celle qui décrypte connaissent toutes deux cette clé qui sert à crypter et décrypter.
Si le pirate intercepte un message crypté, il ne peut rien en faire s'il ne connaît pas la clé secrète Interception du message crypté : échoué La création d'un tunnel sécurisé avec SSH SSH combine cryptage asymétrique et cryptage symétrique SSH utilise les deux cryptages : asymétrique et symétrique. Cela fonctionne dans cet ordre. 1. On utilise d'abord le cryptage asymétrique pour s'échanger discrètement une clé secrète de cryptage symétrique. 2. Ensuite, on utilise tout le temps la clé de cryptage symétrique pour crypter les échanges. Le cryptage asymétrique est donc utilisé seulement au début de la communication, afin que les ordinateurs s'échangent la clé de cryptage symétrique de manière sécurisée. Ensuite, ils ne communiquent que par cryptage symétrique. Voilà comment SSH fonctionne pour créer un canal d'échange sécurisé. Tout est crypté grâce à la clé symétrique que le client et le serveur se sont astucieusement communiquée.
amétrage nécessaire pour le mettre en place sur le serveur. SSTP VPN SSTP Secure Socket Tunneling Protocol a été lancé par Microsoft avec Windows Vista SP1 et est désormais présent sur toutes les versions de Windows. Bien qu il soit aujourd hui également disponible sur d autres plateformes comme Linux, RouterOS et SEIL, il faut reconnaitre qu il reste majoritairement utilisé dans l univers Windows. SSTP utilise SSL v3 et offre donc le même niveau de chiffrement qu OpenVPN. Un des grands avantages de SSTP, dans les environnements Windows, c est qu il nécessite très peu de paramétrage. Un non- professionnel de l informatique peut le mettre en place sur son serveur windows.
4.1 - Projet 4.1.1 - Objectifs Sécurisez le réseau informatique et les données entreprises. Interconnectez les sites au sein d un réseau VPN privé. Dopez l efficacité de vos collaborateurs nomades. Avec une solution VPN. assurez la confidentialité et la sécurité du transfert de données entre deux ou plusieurs sites. Ajoutez au choix les options de GTR, de supervision, de sécurité et de priorisation des flux. Mettre en œuvre des politiques visant à assurer une distribution optimale du trafic et à améliorer l'utilisation globale du réseau Donner un accès contrôlé et étanche vis à vis des autres flux sur l'infrastructure public Utiliser un service de réseau IP privé sur une infrastructure de réseau IP public Utilisant la couche réseau IP, niveau 3. Garantir l accès aux ressources par des utilisateurs ou groupes particuliers tout en suivant l activité de chaque utilisateur.
4.3- conclusion La sécurité du cœur de réseau, un impératif pour toutes les organisations, implique de déployer plusieurs fonctions de sécurité. X Nous avons choisi Fortinet, pionnier de l Unified Threath Management, une approche qui permet de déployer cette sécurité multicouche à partir d un seul équipement, ce qui facilite les tâches d administration et encourage l évolutivité, la flexibilité et les performances.
7 - Annexes 7.1 Procédure d installation des serveurs
7.1.2 3 3. Installation et configuration de SSH Installation du serveur SSH Le client SSH est disponible dans le paquet openssh-client, qui est préinstallé. Pour pouvoir vous connecter à distance, vous pouvez maintenant installer le serveur SSH : # aptitude install openssh-server L'installation comporte une étape de génération des clefs de chiffrement. Finalement, le serveur SSH se lance. Configuration du serveur SSH Le fichier de configuration du serveur SSH est /etc/ssh/sshd_config. À ne pas confondre avec le fichier/etc/ssh/ssh_config, qui est le fichier de configuration du client SSH. Nous allons vous commenter les lignes les plus importantes de ce fichier de configuration : Port 22 Signifie que le serveur SSH écoute sur le port 22, qui est le port par défaut de SSH. Vous pouvez le faire écouter sur un autre port en changeant cette ligne. Vous pouvez aussi le faire écouter sur plusieurs ports à la fois en rajoutant des lignes similaires. PermitRootLogin yes Signifie que vous pouvez vous connecter en root par SSH. Vous pouvez changer et mettre no, ce qui signifie que pour vous connecter en root à distance, vous devrez d'abord vous connecter par SSH en tant que simple utilisateur, puis utiliser la commande su pour devenir root. Sans cela, un pirate n'aurait qu'à trouver le mot de passe du compte root, alors que là, il doit trouver votre login et votre mot de passe. X11Forwarding yes Signifie que vous allez pouvoir travailler en déport d'affichage par SSH. Ce sera expliqué plus tard, dans le Chapitre 42. Si vous avez modifié le fichier de configuration du serveur, il faut lui dire de relire son fichier de configuration : # /etc/init.d/ssh reload
Reloading OpenBSD Secure Shell server's configuration. 4. Se connecter par SSH 4.1. Authentification par mot de passe C'est la méthode la plus simple. Depuis la machine cliente, tapez : % ssh login@nom_dns_du_serveur_ssh Astuce Si vous utilisez le même identifiant sur le client et sur le serveur, vous pouvez vous contenter de taper : % ssh nom_dns_du_serveur_ssh Si c'est la première connexion SSH depuis ce client vers ce serveur, il vous demande si le fingerprint de la clef publique présentée par le serveur est bien le bon. Pour être sûr que vous vous connectez au bon serveur, vous devez connaître de façon certaine le fingerprint de sa clef publique et la comparer à celle qu'il vous affiche. Si les deux fingerprints sont identiques, répondez yes, et la clef publique du serveur est alors rajoutée au fichier ~/.ssh/known_hosts. Si vous vous êtes déjà connecté depuis ce client vers le serveur, sa clef publique est déjà dans le fichier~/.ssh/known_hosts et il ne vous demande donc rien. Ensuite, entrez votre mot de passe... et vous verrez apparaître le prompt, comme si vous vous êtiez connecté en local sur la machine. 4.2. Authentification par clef Au lieu de s'authentifier par mot de passe, les utilisateurs peuvent s'authentifier grâce à la cryptographie asymétrique et son couple de clefs privée/publique, comme le fait le serveur SSH auprès du client SSH. Générer ses clefs Pour générer un couple de clefs DSA, tapez : % ssh-keygen -t dsa Les clefs générées ont par défaut une longueur de 1024 bits, ce qui est aujourd'hui considéré comme suffisant pour une bonne protection. La clef privée est stockée dans le fichier ~/.ssh/id_dsa avec les permissions 600 et la clef publique est stockée dans le fichier~/.ssh/id_dsa.pub avec les permissions 644.
Lors de la création, OpenSSH vous demande une pass phrase qui est un mot de passe pour protéger la clef privée. Cette pass phrase sert à chiffrer la clef privée. La pass phrase vous sera alors demandée à chaque utilisation de la clef privée, c'est-à-dire à chaque fois que vous vous connecterez en utilisant cette méthode d'authentification. Un mécanisme appelé sshagent permet de ne pas rentrer le mot de passe à chaque fois, comme nous le verrons un peu plus loin dans ce chapitre. Note Vous pouvez à tout moment changer la pass phrase qui protège votre clef privée avec la commandessh-keygen -p. Autoriser votre clef publique Pour cela, il suffit de copier votre clef publique dans le fichier ~/.ssh/authorized_keys de la machine sur laquelle vous voulez vous connecter à distance. La commande suivante permet de réaliser cette opération via SSH : % ssh-copy-id -i ~/.ssh/id_dsa.pub login@nom_dns_du_serveur Se connecter La commande est la même que pour une authentification par mot de passe.
Configuration du NAT dynamique avec surcharge: Les interfaces Fa0/0.11, Fa0/0.12 Fa0/0.13 est du côté privé seront déclarées comme «inside», l interface Fa0/1 par contre, étant du côté publique, sera configurée comme «outside». R- stade(config)#interface fastethernet 0/0.11 R- stade(config- if)#ip nat inside R- stade(config- if)#exit R- stade(config)#interface fastethernet 0/0.12 R- stade(config- if)#ip nat inside R- stade(config- if)#exit R- stade(config)# R- stade(config)#interface fastethernet 0/0.13 R- stade(config- if)#ip nat inside R- stade(config- if)#exit R- stade(config)#interface fastethernet 0/1 R- stade(config- if)#ip nat outside R- stade(config- if)#exit R- stade(config)# Access- list Identifier les adresses sources à faire passer par le NAT, donc nous créons une ACL. R- stade(config)#access- list 11 permit 172.20.0.0 0.0.0.255 R- stade(config)#access- list 12 permit 172.20.1.0 0.0.0.255 R- stade(config)#access- list 13 permit 172.20.2.0 0.0.0.127
R- stade(config)# Configuration du NAT Router(config)#ip nat inside source list 11 interface fastethernet 0/1 overload R- stade(config)#ip nat inside source list 12 interface fastethernet 0/1 overload R- stade(config)#ip nat inside source list 13 interface fastethernet 0/1 overload R- stade(config)#exit R- stade# R- stade#show ip nat translations Le routeur translate les paquets provenant des adresses décrites dans l ACL (172.20.1.0/24) et de remplacer l adresse IP source par celle configurée sur l interface F0/1 en la surchargeant pour permettre à plus d une machine de communiquer avec l extérieur (PAT). Configuration route par defaut Router(config)#ip route 0.0.0.0 0.0.0.0 172.20.95.253 8:28:37.847: %LINK- 3- UPDOWN: Interface FastEthernet0/0, cha *Jan 19 08:28:37.847: %LINK- 3- UPDOWN: Interface FastEtherneo up *Jan 19 08:28:37.851: %LINEPROTO- 5- UPDOWN: Line protocol on0, changed state to up *Jan 19 08:28:38.847: %LINEPROTO- 5- UPDOWN: Line protocol onet0/0, changed state to up *Jan 19 08:28:38.847: %LINEPROTO- 5- UPDOWN: Line protocol onet0/1, changed state to up
*Jan 19 08:28:41.091: %LINEPROTO- 5- UPDOWN: Line protocol onged state to up *Jan 19 08:28:42.003: %LINK- 5- CHANGED: Interface FastEthernto administratively down *Jan 19 08:28:43.003: %LINEPROTO- 5- UPDOWN: Line protocol onet0/0, changed state to down *Jan 19 08:28:51.387: %SYS- 5- CONFIG_I: Configured from memo *Jan 19 08:28:52.363: %SYS- 5- RESTART: System restarted - - Cisco IOS Software, 2800 Software (C2800NM- ADVSECURITYK9- M)RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Wed 25- Feb- 09 17:55 by prod_rel_team *Jan 19 08:28:52.371: %SNMP- 5- COLDSTART: SNMP agent on hostg a cold start *Jan 19 08:28:52.439: %SSH- 5- ENABLED: SSH 1.99 has been ena *Jan 19 08:28:52.847: %CRYPTO- 6- ISAKMP_ON_OFF: ISAKMP is OF *Jan 19 08:28:52.847: %CRYPTO- 6- ISAKMP_ON_OFF: ISAKMP is OF *Jan 19 08:28:52.847: %CRYPTO- 6- ISAKMP_ON_OFF: ISAKMP is OF *Jan 19 08:28:52.847: %CRYPTO- 6- GDOI_ON_OFF: GDOI is OFF *Jan 19 08:28:53.439: %LINK- 5- CHANGED: Interface NVI0, chanratively down *Jan 19 08:28:54.455: %LINEPROTO- 5- UPDOWN: Line protocol onged state to down
R- stade>en R- stade#hostname Routeur 1 ^ % Invalid input detected at '^' marker. R- stade#hostname Routeur1 ^ % Invalid input detected at '^' marker. R- stade#conf t Enter configuration commands, one per line. End with CNTL/ R- stade(config)#hos R- stade(config)#hostname Routeur 1 ^ % Invalid input detected at '^' marker. R- stade(config)#hostname Routeur1 Routeur1(config)#int fa 0/0 Routeur1(config- if)#ip add Routeur1(config- if)#ip address 172.20.0.1 255.255.255.0 Routeur1(config- if)#no shut Routeur1(config- if)#exi Routeur1(config)# *Jan 19 08:30:33.719: %LINK- 3- UPDOWN: Interface FastEthernet0/0, changed state to upint fa *Jan 19 08:30:36.707: %LINEPROTO- 5- UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up0/1
Routeur1(config- if)#ip add Routeur1(config- if)#ip address 200.200.200.1 255.255.255.252 Routeur1(config- if)#nop shut ^ % Invalid input detected at '^' marker. Routeur1(config- if)#no shut Routeur1(config- if)#exit Routeur1(config)#router ei Routeur1(config)#router eigrp 1 Routeur1(config- router)#netw Routeur1(config- router)#network 172.20.0.0 0.0.0.255 Routeur1(config- router)#net Routeur1(config- router)#network 200.200.200.0 0.0.0.3 Routeur1(config- router)#exit Routeur1(config)# % Please answer 'yes' or 'no'. Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started *Jan 19 07:58:31.199: % Error opening nvram:/ifindex- table o such file or directory *Jan 19 07:58:57.375: %VPN_HW- 6- INFO_LOC: Crypto engine: onoard 0 State changed to: Initialized *Jan 19 07:58:57.383: %VPN_HW- 6- INFO_LOC: Crypto engine: onoard 0 State changed to: Enabled
*Jan 19 07:58:58.219: %LINK- 3- UPDOWN: Interface FastEtherne0/0, changed state to up *Jan 19 07:58:58.223: %LINK- 3- UPDOWN: Interface FastEtherne0/1, changed state to up *Jan 19 07:58:58.223: %LINEPROTO- 5- UPDOWN: Line protocol oninterface SSLVPN- VIF0, changed state to up *Jan 19 07:58:59.219: %LINEPROTO- 5- UPDOWN: Line protocol oninterface FastEthernet0/0, changed state to up *Jan 19 07:58:59.223: %LINEPROTO- 5- UPDOWN: Line protocol oninterface FastEthernet0/1, changed state to up *Jan 19 07:59:08.735: %LINEPROTO- 5- UPDOWN: Line protocol oninterface FastEthernet0/1, changed state to down *Jan 19 07:59:10.399: %LINEPROTO- 5- UPDOWN: Line protocol oninterface FastEthernet0/1, changed state to up *Jan 19 08:03:19.303: %LINK- 5- CHANGED: Interface FastEthernt0/0, changed state to administratively down *Jan 19 08:03:19.307: %LINK- 5- CHANGED: Interface FastEthernt0/1, changed state to administratively down *Jan 19 08:03:19.919: %IP- 5- WEBINST_KILL: Terminating DNS pocess *Jan 19 08:03:20.303: %LINEPROTO- 5- UPDOWN: Line protocol oninterface FastEthernet0/0, changed state to down *Jan 19 08:03:20.307: %LINEPROTO- 5- UPDOWN: Line protocol oninterface FastEthernet0/1, changed state to down *Jan 19 08:03:26.815: %SYS- 5- RESTART: System restarted - - Cisco IOS Software, 2800 Software (C2800NM- ADVSECURITYK9- M) Version 12.4(24)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Wed 25- Feb- 09 17:55 by prod_rel_team