Routeur TP 4. 1 Configuration initiale du réseau local. TRAVAUX PRATIQUES M2103 Semestre 2. Module : M2103

Documents pareils
Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Présentation et portée du cours : CCNA Exploration v4.0

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Présentation et portée du cours : CCNA Exploration v4.0

TCP/IP, NAT/PAT et Firewall

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Figure 1a. Réseau intranet avec pare feu et NAT.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Configuration du matériel Cisco. Florian Duraffourg

Exercice : configuration de base de DHCP et NAT

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

acpro SEN TR firewall IPTABLES

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

COTISATIONS VSNET 2015

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

RESEAUX MISE EN ŒUVRE

TP Réseau 1A DHCP Réseau routé simple

Programme formation pfsense Mars 2011 Cript Bretagne

Offre de stage. Un(e) stagiaire en informatique

Le Multicast. A Guyancourt le

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

TAGREROUT Seyf Allah TMRIM

Présentation du modèle OSI(Open Systems Interconnection)

Cisco Certified Network Associate Version 4

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Pare-feu VPN sans fil N Cisco RV120W

Configuration des VLAN

Les réseaux de campus. F. Nolot

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Administration de Réseaux d Entreprises

Mise en service d un routeur cisco

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Votre Réseau est-il prêt?

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Chapitre 1 Le routage statique

Dispositif sur budget fédéral

Sécurisation du réseau

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Administration Switch (HP et autres)

DIFF AVANCÉE. Samy.

Les réseaux /24 et x0.0/29 sont considérés comme publics

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

La qualité de service (QoS)

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

ETI/Domo. Français. ETI-Domo Config FR

Téléphonie Cisco. - CME Manager Express = Logiciel dans un routeur, version simplifiée du call manager.

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

TP 2 : ANALYSE DE TRAMES VOIP

Travaux pratiques : configuration des routes statiques et par défaut IPv6

MISE EN PLACE DU FIREWALL SHOREWALL

Spécialiste Systèmes et Réseaux

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Mettre en place un accès sécurisé à travers Internet

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

TP 2 Réseaux. Adresses IP, routage et sous-réseaux

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

NOTIONS DE RESEAUX INFORMATIQUES

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

Réseaux Locaux Virtuels

Cloud public d Ikoula Documentation de prise en main 2.0

Mise en route d'un Routeur/Pare-Feu

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

SQUID Configuration et administration d un proxy

Mise en place des réseaux LAN interconnectés en

Mise en place d'un Réseau Privé Virtuel

Fonctions Réseau et Télécom. Haute Disponibilité

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

TP Configuration de l'authentification OSPF

Documentation : Réseau

Travaux pratiques IPv6

TP N 1 : Installer un serveur trixbox.

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Compte-rendu du TP n o 2

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Transcription:

Routeur TP 4 Module : M2103 Thèmes abordés : Configuration d un routeur, d un switch. configuration d'un PC. Documentation : Support de cours Serveur ftp.lan.rt documents constructeurs consultables sur le site CISCO INTERNET Aide en ligne des logiciels Soft : serveur ftp.lan.rt : /M2103/TP4 hyperterminal ou PUTTY: APACHE_Server : serveur HTPP FileZilla_Server : serveur FTP wireshark : sniffer de réseau 1 Configuration initiale du réseau local Le réseau d entreprise est fourni en annexe 1. La connexion WAN de l entreprise est réalisée grâce à un routeur CISCO 1841. L infrastructure réseau devra contenir trois VLAN. A) Configurer votre SWITCH 2960 pour que les ports 1 à 8 soient sur le VLAN1, les ports 9 à 16 sur le VLAN 2 et le reste sur le VLAN 3. B) Les postes de travail seront sur le réseau 192.168.200.0/24. Proposer un plan d adressage sur ce réseau pour obtenir au minimum 18 sous-réseaux de 4 postes chacun. C) Connecter un PC sur chaque VLAN configuré sur le SWITCH, les adresses IP de chaque PC étant sur les trois premiers sous-réseaux disponible. Dans le cadre du TP la partie INTERNET sera simulé par le switch M2103_S et M2103_R sur lequel vous connecterez votre routeur. Vous respectez le plan d adressage ci-dessous. binôme interface M2103_S réseau opérateur adresse IP du routeur FAI 1 f0/11 199.99.9.0/29 199.99.9.1 2 f0/12 199.99.9.8/29 199.99.9.9 3 f0/13 199.99.9.16/29 199.99.9.17 4 f0/14 199.99.9.32/29 199.99.9.33 5 f0/15 199.99.9.40/29 199.99.9.41 6 f0/16 199.99.9.48/29 199.99.9.49 7 f0/17 199.99.9.56/29 199.99.9.57 D) Réaliser la topologie fournie en annexe à l aide du switch, des pc configurés en A) et C) et du routeur mis à votre disposition. Configurez sur le routeur les éléments suivants : Page 1

Le nom d hôte «entreprise». Le mot de passe de la console «cons». Le mot de passe du terminal virtuel «virt». Le mot de passe «enable secret» «ena». Les adresses IP des liaisons ETHERNET (l interface WAN utilisée sera FA0/1). E) Tester votre configuration en vérifiant que les PC communiquent entre eux. Faites un test de connectivité depuis vos PCs vers le serveur DNS 10.250.250.5 et expliquer pourquoi on ne peut pas l atteindre. 2 Mise en place du NAT Rappels : N.A.T En interfaçant une entreprise avec Internet via un routeur qui implémente NAT, on peut changer le plan d'adressage interne et utiliser des adresses non uniques dans le monde Internet et non routables sur celui-ci (cf. RFC 1918). On parle aussi d'adresses publiques (les uniques) et privées (non-uniques). Les adresses internes peuvent être choisies parmi les adresses définies dans la RFC 1918. Ainsi plusieurs sites peuvent avoir le même adressage interne et communiquer entre eux en utilisant ce mécanisme. Étant donné que les adresses internes sont réutilisées, on économise des adresses IP, dont l'occupation, en IPv4, arrive à saturation. Le NAT masquant l'adresse IP de la machine interne, participe aussi à la sécurité du site. A) Le fournisseur d'accès Internet a attribué à votre société l'adresse IP CIDR (Classless Interdomain Routing) publique définie dans le tableau précédent. Combien d adresses IP publiques dispose-t-on? L entreprise ayant au total 20 ordinateurs, peut-on leur donner une adresse publique à chacun? Il va donc falloir mettre en place un plan d adressage sur adresses privées en interne sur la plage 192.168.200.0/24 et un N.A.T sur le routeur pour que tous les postes puissent sortir sur internet. B) Rappeler le principe de la N.A.T avec surcharge (P.A.T). Modifier la configuration du routeur pour mettre en place une translation d adresses dynamique pour tous les vlans. C) Configurer le protocole RIP pour annoncer votre réseau IP WAN. On rappelle que les réseaux IP internes ne doivent pas être annoncés comme directement connecté à votre routeur R2. D) Accéder au serveur WEB externe de nom web_nat.nat depuis au moins deux machines différentes et observer la table de N.A.T sur le routeur pour différentes adresses internes de l entreprise. («show ip nat translations» et «debug ip nat») Un serveur WEB (web_nat.nat) est disponible à l adresse 10.254.254.13 (connexion à distance). Celuici vous permettra de tester votre configuration en «sortie». login «PEDA\etuX» où X est votre numéro de binôme, password : rtm2103. E) Etudier les trames reçues par le serveur web_nat.nat (grâce à WIRESHARK en utilisant un accès distant sur web_nat.nat). Faites des tests pour plusieurs machines internes différentes. On s attachera particulièrement à observer l adresse IP source et les ports source utilisés. F) Ajouter la commande adéquate pour que les entrées de traduction se désactivent au bout d une minute. Page 2

G) Refaire ces essais avec deux ou trois adresses internes différentes mais en attendant plus de une minute pour chaque nouvelle adresse IP. Relever à chaque essai la table N.A.T. Que peut-on dire de l adresse vue par l extérieur dans ce cas pour les trois adresses internes différentes. Vérifier ce résultat avec WIRESHARK. Peut-on dire ou deviner de quelle machine interne la requête est partie? (Ceci constitue une sécurité supplémentaire (IP masquerading)). H) L entreprise souhaite installer un serveur WEB interne. Quelle adresse IP faudra-t-il utiliser pour accéder à ce serveur depuis le WAN? I) Installer ce serveur (APACHE) sur le poste PC2 de l entreprise et essayer de vous connecter à ce serveur depuis une machine présente sur le WAN. Expliquer, en cas d échec, le problème et comment vous avez fait pour le corriger. Pour simuler une connexion depuis le WAN à destination de votre réseau local, vous pourrez utiliser un PC (PC_x) branché sur le réseau de l IUT (dont l adresse IP sera 10.200.215.X/8 et passerelle : 10.200.2.1 où X est votre numéro de binôme). J) Observer et relever la table N.A.T et les adresses sources, destinations ainsi que le ou les ports utilisés avec wireshark. Peut-on connaître l adresse interne du serveur WEB? K) On ajoute sur cette même machine un serveur FTP. Celui-ci est-il accessible depuis l extérieur? Expliquer pourquoi. Proposer et mettre en œuvre une solution pour que le serveur FTP soit accessible depuis l extérieur. (Voir le document nat-faq.pdf ). 3 ACL ACL standard Les listes de contrôle d'accès standard permettent de refuser ou accepter l'accès au réseau à un ensemble complet de protocoles. Les listes de contrôle d'accès standard filtrent le trafic en fonction d'une adresse d'origine et d'un masque Les listes de contrôle d'accès standard utilisent un numéro entre 1 et 99. Les listes de contrôles d'accès standard sont placées près de la destination. Il est conseillé : De créer les ACL à l'aide d'un éditeur de texte et de faire un copier/coller dans la configuration du routeur Placer les ACL standard au plus près de la destination sinon, vous risquez de détruire un paquet trop top Placer les extended ACL au plus près de la source du paquet que possible pour le détruire le plus vite possible Rappels : Placer la règle la plus spécifique en premier. Avant de faire le moindre changement sur une ACL, désactiver sur l'interface concernée celleci (no ip access-group). ACL étendue Elles sont plus complexes que les standards car elles effectuent plus de contrôle et offrent un filtrage plus précis. Page 3

Une ACL étendue autorise ou refuse des protocoles ou des numéros de port précis. Les listes de contrôle d'accès étendues vérifient les adresses d'origines et de destination d'un paquet. Il est possible de préciser plusieurs instructions dans une liste de contrôle d'accès unique. Les listes de contrôle d'accès étendues utilisent un numéro entre 100 et 199. Les listes de contrôle d'accès étendues sont placées près de la source à filtrer. ACL nommée Ce sont des listes d'accès standard ou étendues dont le numéro de liste (1 à199) est remplacée par un nom. Leurs avantages sont : Suppression d une entrée individuelle. Identification d une liste selon une situation par exemple on peut nommer la liste qui bloque le FTP " NoFPT". Recherche plus facile d une liste. Création de plus de 99 listes standards sur une interface pour un protocole donné et de plus de 199 listes étendues sur une interface pour un protocole donné. Ajouter ou suppression sélective des instructions. Par contre : Elles ne sont pas compatibles avec les versions d'ios inférieurs à 11.2 Une liste d'accès nommée est unique ; on ne peut pas donner le même nom à 2 listes d'accès même si le type est différent (ACL standard et ACL étendues). reflexive ACL Les RACL sont une nouvelle manière (introduite en IOS 11.3) de définir les ACLS en simplifiant leur écriture et leur gestion. Les RACLs fournissent la possibilité de filtrer le trafic réseau sur un routeur, sur la base de la couche "session" : elles fournissent un niveau de sécurité contre le "spoofing" et certaines attaques de déni de services. Deux ACLs nommées étendues sont créées: l'une spécifiant le mécanisme de réflexivité, la seconde vérifiant l'usage de celle-ci. Ces deux ACLs sont appliquées sur la même interface (d'où comptabilité avec NAT) ou sur des interfaces différentes (l'une avec une ACL incluant "reflexive", l'autre avec une ACL incluant "evaluate"). A) Définition des besoins en termes de liste de contrôle d accès : L ordinateur PC1 doit disposer d un accès limité au réseau local au seul serveur WEB interne. Il faut donc créer une liste de contrôle pour empêcher le trafic provenant de cet hôte d atteindre les autres réseaux, le serveur local FTP et INTERNET. La liste de contrôle d accès doit bloquer le trafic provenant de cet hôte mais autoriser tout autre trafic provenant de ce réseau. Dans ce cas, faut-il une liste d accès standard ou étendue? Justifier en une ou deux phrases. B) Écrire et appliquer la liste de contrôle d accès. C) Vérifier si la liste a été configurée correctement dans le routeur en essayant d accéder au serveur WEB externe, web_nat.nat, puis interne ainsi qu au serveur FTP. (Relever les résultats des tests). D) Essayer de se connecter au serveur WEB interne depuis PC1. Essayer de se connecter au serveur FTP interne depuis PC1. Essayer de se connecter au serveur WEB ET FTP interne depuis l hôte PC1. Essayer de se connecter au serveur WEB ET FTP interne depuis Pc_x. Utiliser la commande show access-lists pour vérifier la logique de la liste de contrôle d'accès. Relever le résultat. Page 4

E) Vérifier ensuite l application de la liste d accès sur l interface et d autre part dans le sens en utilisant la commande show ip interface. Relever le résultat pour chacune des interfaces et noter les listes qui leur sont appliquées. 4 Etat initial A) Effacer les configurations du routeur et du SWITCH en chargeant la configuration par défaut. Page 5

Annexe 1 : topologie du réseau Semestre 2 Module M2103 : Topologie du TP4 Pc1 VLAN 1 VLAN 2 SW1 Pc2 R2 192.168.200.0/24 VLAN 3 Pc3 M2103_S f0/x définie dans le tableau des adresses Pc_x: 10.200.215.x g0/2 g0/0/0 M2103_R g0/1 : 10.200.2.1 Réseau IUT : 10.0.0.0/8 Web_nat.nat 10.254.254.13 Page 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back