Routeur TP 4 Module : M2103 Thèmes abordés : Configuration d un routeur, d un switch. configuration d'un PC. Documentation : Support de cours Serveur ftp.lan.rt documents constructeurs consultables sur le site CISCO INTERNET Aide en ligne des logiciels Soft : serveur ftp.lan.rt : /M2103/TP4 hyperterminal ou PUTTY: APACHE_Server : serveur HTPP FileZilla_Server : serveur FTP wireshark : sniffer de réseau 1 Configuration initiale du réseau local Le réseau d entreprise est fourni en annexe 1. La connexion WAN de l entreprise est réalisée grâce à un routeur CISCO 1841. L infrastructure réseau devra contenir trois VLAN. A) Configurer votre SWITCH 2960 pour que les ports 1 à 8 soient sur le VLAN1, les ports 9 à 16 sur le VLAN 2 et le reste sur le VLAN 3. B) Les postes de travail seront sur le réseau 192.168.200.0/24. Proposer un plan d adressage sur ce réseau pour obtenir au minimum 18 sous-réseaux de 4 postes chacun. C) Connecter un PC sur chaque VLAN configuré sur le SWITCH, les adresses IP de chaque PC étant sur les trois premiers sous-réseaux disponible. Dans le cadre du TP la partie INTERNET sera simulé par le switch M2103_S et M2103_R sur lequel vous connecterez votre routeur. Vous respectez le plan d adressage ci-dessous. binôme interface M2103_S réseau opérateur adresse IP du routeur FAI 1 f0/11 199.99.9.0/29 199.99.9.1 2 f0/12 199.99.9.8/29 199.99.9.9 3 f0/13 199.99.9.16/29 199.99.9.17 4 f0/14 199.99.9.32/29 199.99.9.33 5 f0/15 199.99.9.40/29 199.99.9.41 6 f0/16 199.99.9.48/29 199.99.9.49 7 f0/17 199.99.9.56/29 199.99.9.57 D) Réaliser la topologie fournie en annexe à l aide du switch, des pc configurés en A) et C) et du routeur mis à votre disposition. Configurez sur le routeur les éléments suivants : Page 1
Le nom d hôte «entreprise». Le mot de passe de la console «cons». Le mot de passe du terminal virtuel «virt». Le mot de passe «enable secret» «ena». Les adresses IP des liaisons ETHERNET (l interface WAN utilisée sera FA0/1). E) Tester votre configuration en vérifiant que les PC communiquent entre eux. Faites un test de connectivité depuis vos PCs vers le serveur DNS 10.250.250.5 et expliquer pourquoi on ne peut pas l atteindre. 2 Mise en place du NAT Rappels : N.A.T En interfaçant une entreprise avec Internet via un routeur qui implémente NAT, on peut changer le plan d'adressage interne et utiliser des adresses non uniques dans le monde Internet et non routables sur celui-ci (cf. RFC 1918). On parle aussi d'adresses publiques (les uniques) et privées (non-uniques). Les adresses internes peuvent être choisies parmi les adresses définies dans la RFC 1918. Ainsi plusieurs sites peuvent avoir le même adressage interne et communiquer entre eux en utilisant ce mécanisme. Étant donné que les adresses internes sont réutilisées, on économise des adresses IP, dont l'occupation, en IPv4, arrive à saturation. Le NAT masquant l'adresse IP de la machine interne, participe aussi à la sécurité du site. A) Le fournisseur d'accès Internet a attribué à votre société l'adresse IP CIDR (Classless Interdomain Routing) publique définie dans le tableau précédent. Combien d adresses IP publiques dispose-t-on? L entreprise ayant au total 20 ordinateurs, peut-on leur donner une adresse publique à chacun? Il va donc falloir mettre en place un plan d adressage sur adresses privées en interne sur la plage 192.168.200.0/24 et un N.A.T sur le routeur pour que tous les postes puissent sortir sur internet. B) Rappeler le principe de la N.A.T avec surcharge (P.A.T). Modifier la configuration du routeur pour mettre en place une translation d adresses dynamique pour tous les vlans. C) Configurer le protocole RIP pour annoncer votre réseau IP WAN. On rappelle que les réseaux IP internes ne doivent pas être annoncés comme directement connecté à votre routeur R2. D) Accéder au serveur WEB externe de nom web_nat.nat depuis au moins deux machines différentes et observer la table de N.A.T sur le routeur pour différentes adresses internes de l entreprise. («show ip nat translations» et «debug ip nat») Un serveur WEB (web_nat.nat) est disponible à l adresse 10.254.254.13 (connexion à distance). Celuici vous permettra de tester votre configuration en «sortie». login «PEDA\etuX» où X est votre numéro de binôme, password : rtm2103. E) Etudier les trames reçues par le serveur web_nat.nat (grâce à WIRESHARK en utilisant un accès distant sur web_nat.nat). Faites des tests pour plusieurs machines internes différentes. On s attachera particulièrement à observer l adresse IP source et les ports source utilisés. F) Ajouter la commande adéquate pour que les entrées de traduction se désactivent au bout d une minute. Page 2
G) Refaire ces essais avec deux ou trois adresses internes différentes mais en attendant plus de une minute pour chaque nouvelle adresse IP. Relever à chaque essai la table N.A.T. Que peut-on dire de l adresse vue par l extérieur dans ce cas pour les trois adresses internes différentes. Vérifier ce résultat avec WIRESHARK. Peut-on dire ou deviner de quelle machine interne la requête est partie? (Ceci constitue une sécurité supplémentaire (IP masquerading)). H) L entreprise souhaite installer un serveur WEB interne. Quelle adresse IP faudra-t-il utiliser pour accéder à ce serveur depuis le WAN? I) Installer ce serveur (APACHE) sur le poste PC2 de l entreprise et essayer de vous connecter à ce serveur depuis une machine présente sur le WAN. Expliquer, en cas d échec, le problème et comment vous avez fait pour le corriger. Pour simuler une connexion depuis le WAN à destination de votre réseau local, vous pourrez utiliser un PC (PC_x) branché sur le réseau de l IUT (dont l adresse IP sera 10.200.215.X/8 et passerelle : 10.200.2.1 où X est votre numéro de binôme). J) Observer et relever la table N.A.T et les adresses sources, destinations ainsi que le ou les ports utilisés avec wireshark. Peut-on connaître l adresse interne du serveur WEB? K) On ajoute sur cette même machine un serveur FTP. Celui-ci est-il accessible depuis l extérieur? Expliquer pourquoi. Proposer et mettre en œuvre une solution pour que le serveur FTP soit accessible depuis l extérieur. (Voir le document nat-faq.pdf ). 3 ACL ACL standard Les listes de contrôle d'accès standard permettent de refuser ou accepter l'accès au réseau à un ensemble complet de protocoles. Les listes de contrôle d'accès standard filtrent le trafic en fonction d'une adresse d'origine et d'un masque Les listes de contrôle d'accès standard utilisent un numéro entre 1 et 99. Les listes de contrôles d'accès standard sont placées près de la destination. Il est conseillé : De créer les ACL à l'aide d'un éditeur de texte et de faire un copier/coller dans la configuration du routeur Placer les ACL standard au plus près de la destination sinon, vous risquez de détruire un paquet trop top Placer les extended ACL au plus près de la source du paquet que possible pour le détruire le plus vite possible Rappels : Placer la règle la plus spécifique en premier. Avant de faire le moindre changement sur une ACL, désactiver sur l'interface concernée celleci (no ip access-group). ACL étendue Elles sont plus complexes que les standards car elles effectuent plus de contrôle et offrent un filtrage plus précis. Page 3
Une ACL étendue autorise ou refuse des protocoles ou des numéros de port précis. Les listes de contrôle d'accès étendues vérifient les adresses d'origines et de destination d'un paquet. Il est possible de préciser plusieurs instructions dans une liste de contrôle d'accès unique. Les listes de contrôle d'accès étendues utilisent un numéro entre 100 et 199. Les listes de contrôle d'accès étendues sont placées près de la source à filtrer. ACL nommée Ce sont des listes d'accès standard ou étendues dont le numéro de liste (1 à199) est remplacée par un nom. Leurs avantages sont : Suppression d une entrée individuelle. Identification d une liste selon une situation par exemple on peut nommer la liste qui bloque le FTP " NoFPT". Recherche plus facile d une liste. Création de plus de 99 listes standards sur une interface pour un protocole donné et de plus de 199 listes étendues sur une interface pour un protocole donné. Ajouter ou suppression sélective des instructions. Par contre : Elles ne sont pas compatibles avec les versions d'ios inférieurs à 11.2 Une liste d'accès nommée est unique ; on ne peut pas donner le même nom à 2 listes d'accès même si le type est différent (ACL standard et ACL étendues). reflexive ACL Les RACL sont une nouvelle manière (introduite en IOS 11.3) de définir les ACLS en simplifiant leur écriture et leur gestion. Les RACLs fournissent la possibilité de filtrer le trafic réseau sur un routeur, sur la base de la couche "session" : elles fournissent un niveau de sécurité contre le "spoofing" et certaines attaques de déni de services. Deux ACLs nommées étendues sont créées: l'une spécifiant le mécanisme de réflexivité, la seconde vérifiant l'usage de celle-ci. Ces deux ACLs sont appliquées sur la même interface (d'où comptabilité avec NAT) ou sur des interfaces différentes (l'une avec une ACL incluant "reflexive", l'autre avec une ACL incluant "evaluate"). A) Définition des besoins en termes de liste de contrôle d accès : L ordinateur PC1 doit disposer d un accès limité au réseau local au seul serveur WEB interne. Il faut donc créer une liste de contrôle pour empêcher le trafic provenant de cet hôte d atteindre les autres réseaux, le serveur local FTP et INTERNET. La liste de contrôle d accès doit bloquer le trafic provenant de cet hôte mais autoriser tout autre trafic provenant de ce réseau. Dans ce cas, faut-il une liste d accès standard ou étendue? Justifier en une ou deux phrases. B) Écrire et appliquer la liste de contrôle d accès. C) Vérifier si la liste a été configurée correctement dans le routeur en essayant d accéder au serveur WEB externe, web_nat.nat, puis interne ainsi qu au serveur FTP. (Relever les résultats des tests). D) Essayer de se connecter au serveur WEB interne depuis PC1. Essayer de se connecter au serveur FTP interne depuis PC1. Essayer de se connecter au serveur WEB ET FTP interne depuis l hôte PC1. Essayer de se connecter au serveur WEB ET FTP interne depuis Pc_x. Utiliser la commande show access-lists pour vérifier la logique de la liste de contrôle d'accès. Relever le résultat. Page 4
E) Vérifier ensuite l application de la liste d accès sur l interface et d autre part dans le sens en utilisant la commande show ip interface. Relever le résultat pour chacune des interfaces et noter les listes qui leur sont appliquées. 4 Etat initial A) Effacer les configurations du routeur et du SWITCH en chargeant la configuration par défaut. Page 5
Annexe 1 : topologie du réseau Semestre 2 Module M2103 : Topologie du TP4 Pc1 VLAN 1 VLAN 2 SW1 Pc2 R2 192.168.200.0/24 VLAN 3 Pc3 M2103_S f0/x définie dans le tableau des adresses Pc_x: 10.200.215.x g0/2 g0/0/0 M2103_R g0/1 : 10.200.2.1 Réseau IUT : 10.0.0.0/8 Web_nat.nat 10.254.254.13 Page 6