Cisco: ACL

Le but ici est de creer des filtres au niveau des ports des switchs.

Fichier a telecharger: acl_clean.pkt
Logiciel: packet tracer

Consignes:

  • VTP, désactiver STP sur les interfaces clientes, et désactiver DTP
  • Empêcher les membres de vlan vert de pinguer vlan bleu, mais vlan bleu peut pinger vlan vert.
  • Empêcher le HTTP pour les membres de vlan vert, mais autoriser le HTTPS vers le vlan bleu
  • Empêcher le telnet pour les membres de vlan bleu & vert
  • Autoriser SSH à tout le monde, mais autoriser la connection SSH sur R0 uniquement pour les membres de vlan bleu

VLAN 10 = BLEU => 10.0.10.0/25
VLAN 20 = VERT => 10.0.20.0/27

VTP domaine: egilia
VTP passwod: learning

****************************************************
Correction

****************************************************

Premiere configuration sur les switchs
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »
On ne le dit jamais assez, mais avant d’ajouter un nouveau switch sur un reseau, il est fortement conseille d’effacer tout ce qu’il y a dessus.

Switch#delete flash:
    Delete filename []?vlan.dat
Switch#erase startup-config
Switch# reload

Switch#configure terminal
Switch(config)#no ip domain-lookup
Switch(config)#line console 0
Switch(config-line)#logging synchronous
Switch(config-line)#no exec-timeout
<== a eviter, mais pratique lorsqu'on configure un switch

Switch0(config)#hostname Sw0

Switch1(config)#hostname Sw1

Configuration VTP
 » » » » » » » » » » » » » » » » » » »’

Sw0(config)#vtp mode server
    (config)#vtp domain egilia
    (config)#vtp password learning

Sw1(config)#vtp mode client
    (config)#vtp domain egilia
    (config)#vtp password learning

Verification:
#show vtp status

Creation des VLANs sur le serveur
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »

Sw0(config)#vlan 10
    (config-vlan)#name BLEU
    (config-vlan)#vlan 20
    (config-vlan)#name VERT

Verification sur Switch0:
#show vlan brief

Configuration des liens Trunks
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »

Sw0(config)#int range f0/1-2
Sw0(config-if-range)#switchport mode trunk

Sw1(config)#int f0/2
Sw1(config-if-range)#switchport mode trunk

Verification sur Switch1:
#show vlan brief

Definir les interfaces clients:
 » » » » » » » » » » » » » » » » » » » »’
Sw0(config)#int f0/10
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 10
    (config-if)#int f0/20
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 20

Sw1(config)#int f0/10
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 10
    (config-if)#int f0/20
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 20

Verification:
#show vlan brief

Configuration du routage InterVLAN
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »
Routeur0(config)#hostname Router0
    (config)#no ip domain-lookup
    (config)#line console 0
    (config-line)#logg synchronous

Router0(config)#int f0/0
    (config-if)#no shutdown

Router0(config)#int f0/0.10
    (config-subif)#encapsulation dot1Q 10
    (config-subif)#ip address 10.0.10.126 255.255.255.128
    (config-subif)#int f0/0.20
    (config-subif)#encapsulation dot1Q 20
    (config-subif)#ip address 10.0.20.30 255.255.255.224

Configuration des DHCP
 » » » » » » » » » » » » » » » » » » » » » » » » »’

Router0(config)#ip dhcp pool VLAN10
    (dhcp-config)#network 10.0.10.0 255.255.255.128
    (dhcp-config)#default-router 10.0.10.126
    (dhcp-config)#dns-server 8.8.8.8
    (dhcp-config)#ip dhcp pool VLAN20
    (dhcp-config)#network 10.0.20.0 255.255.255.224
    (dhcp-config)#default-router 10.0.20.30
    (dhcp-config)#dns-server 8.8.8.8

Config les interfaces clients – se proteger contre BPDU en desactivant STP sur interfaces clients
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »’

Sw0(config)#spanning-tree portfast default
    (config)#int range f0/10 , f0/20
    (config-if-range)#spanning-tree bpduguard enable
    (config-if-range)#spanning-tree guard root

Sw1(config)#spanning-tree portfast default
    (config)#int range f0/10 , f0/20
    (config-if-range)#spanning-tree bpduguard enable
    (config-if-range)#spanning-tree guard root

Securite sur le VLAN – mise en place de la non negociate – pour supprimer les DTP(Dynamic Trunking Port):
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »’

Sw0#int range f0/10, f0/20
    #switchport nonegotiate
    #switchport port-security maximum 1
    #switchport port-security violation shutdown
    #switchport port-security mac-address sticky

Sw1#int range f0/10,f0/20
    #switchport nonegotiate
    #switchport port-security maximum 1
    #switchport port-security violation shutdown
    #switchport port-security mac-address sticky

Correction ACL
 » » » » » » » » » » » » » » » »’

==============================
/debut Brouillon pour preparer les ACL
==============================

On va chercher à analyser le filtrage demandé:
« « « « « « « « « « « « « « « « « « « « « « « 
Le but est de transformer chaque question en ACE, ensuite de mettre les ACE dans l’ordre de manière à ce qu’elles ne puissent pas se neutraliser, et reste à faire une optimisation pour avoir le moins d’entrée possible.

1/ Empêcher les membres de vlan vert de pinguer vlan bleu, mais vlan bleu peut pinger vlan vert

   deny icmp VERT BLEU echo
   permit icmp VERT BLEU echo-reply

 
2/ Empêcher le HTTP pour les membres de vlan vert, mais autoriser le HTTPS vers le vlan bleu

   deny tcp VERT host SERVER0 eq 80
   permit tcp VERT host SERVER0 eq 443

3/ Empêcher le telnet pour les membres de vlan bleu & vert   

  deny tcp VERT any eq 23
  deny tcp BLEU any eq 23

4/ Autoriser SSH à tout le monde, mais autoriser la connection SSH sur R0 uniquement pour les membres de vlan bleu

   permit tcp VERT any eq 22
   permit tcp BLEU any eq 22

   permit tcp BLEU host 10.0.10.1 eq 22

Brouillon – Application de l’ACL
 » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » » »’
   F0/0.10 IN
   deny tcp BLEU any eq 23
   permit ip any any
  
   F0/0.20 IN
    permit icmp VERT BLEU echo-reply
    permit tcp VERT host SERVER0 eq 443
    permit tcp VERT any eq 22
    (deny ip any any)

   
=> line vty
 access-class noSSHVERT

 ip access-list standard noSSHVERT
    deny 10.0.20.0 0.0.0.31
   
   
 permit icmp 10.0.20.0 0.0.0.31 10.0.10.0 0.0.0.127 echo-reply
    permit tcp 10.0.20.0 0.0.0.31 host 10.0.10.100 eq 443
    permit tcp 10.0.20.0 0.0.0.31 any eq 22

==============================
/fin Brouillon pour preparer les ACL
==============================

Creation d’ACL nomme
—————————————

Router0(config)#ip access-list standard noSSHVERT
    (config-std-nacl)#permit 10.0.10.0 0.0.0.127
    (config-std-nacl)#exit
Router0(config)#ip access-list extended noTELNETbleu
    (config-ext-nacl)#deny tcp 10.0.10.0 0.0.0.127 any eq telnet
    (config-ext-nacl)#permit ip any any
    (config-ext-nacl)#exit
Router0(config)#ip access-list extended VERTacl
    (config-ext-nacl)#permit icmp 10.0.20.0 0.0.0.31 10.0.10.0 0.0.0.127 echo-reply
    (config-ext-nacl)#permit tcp 10.0.20.0 0.0.0.31 host 10.0.10.100 eq 443
    (config-ext-nacl)#permit tcp 10.0.20.0 0.0.0.31 any eq 22
    (config-ext-nacl)#deny ip any any

Application de l’ACL
———————————-

Router0(config)#int f0/0.10
    (config-subif)#ip access-group noTELNETbleu in
Router0(config-subif)#int f0/0.20
    (config-subif)#ip access-group VERTacl in

 Fichier contenant la correction a telecharger: acl_correction.pkt

Cisco: NAT

Le but ici est de traduire les adresses  IP privees en adresse IP public.

Fichier a telecharger: nat_clean.pkt
Logiciel: packet tracer

Consignes:

  • Configurer les interfaces des routeurs
  • Mettre en place un DHCP sur les routeurs
  • Mettre en place OSPF avec authentification MD5
  • Mettre en place du NAT Statique sur le lien de R0 vers R1 en utilisant les IP du pool 80.0.0.0/24
  • Mettre en place du NAT Dynamic sur le lien de R1 vers R2 en utilisant le pool 81.0.0.0/24
  • Mettre en place du PAT sur le lien de R2 vers R0 en surchargeant l’IP de l’interface de R2.

NB: Vous devez penser à spécifier les réseaux utilisé par le NAT dans votre routage (soit via OSPF soit via du routage statique)

Maintenant, observez la différence dans les informations source et destination des paquets.

****************************************************
Correction

****************************************************

1.- Configuration des interfaces LAN & DHCP:
« « « « « « « « « « « « « « « « « « « « « « « « 
R0:
    int f1/0
        description LAN0
        ip address 192.168.0.254 255.255.255.0
        no shutdown

    int F0/0
        description –>R1
        ip address 1.0.0.1 255.255.255.252
        no shutdown

    int F0/1
        description –>R2
        ip address 1.0.0.5 255.255.255.252
        no shutdown

    ip dhcp pool LAN0
        default-router 192.168.0.254
        network 192.168.0.0 255.255.255.0
        dns-server 8.8.8.8

R1:
    int e1/0
        description LAN1
        ip address 192.168.1.126 255.255.255.128
        no shutdown

    int f0/0
        description –>R0
        ip address 1.0.0.2 255.255.255.252
        no shutdown

    int f0/1
        description –>R2
        ip address 1.0.0.9 255.255.255.252
        no shutdown

    ip dhcp pool LAN1
        default-router 192.168.1.126
        network 192.168.1.0 255.255.255.128
        dns-server 8.8.8.8

R2:
    int e1/0
        description LAN2
        ip address 192.168.2.62 255.255.255.192
        no shutdown

    int f0/1
        description –>R1
        ip address 1.0.0.10 255.255.255.252
        no shutdown

    int f0/0
        description –>R0
        ip address 1.0.0.6 255.255.255.252
        no shutdown

    ip dhcp pool LAN2
        default-router 192.168.2.62
        network 192.168.2.0 255.255.255.192
        dns-server 8.8.8.8

2.- Configuration de OSPF avec auth MD5:
« « « « « « « « « « « « « « « « « « « « « `

R0:
    router ospf 24
        network 192.168.0.0 0.0.0.255 area 0
        network 1.0.0.0 0.0.0.3 area 0
        network 1.0.0.4 0.0.0.3 area 0
        passive-interface f1/0

    int range f0/0 – 1
        ip ospf authentication message-digest
        ip ospf message-digest-key 1 md5 learning

R1:
    router ospf 25
        network 192.168.1.0 0.0.0.127 area 0
        network 1.0.0.8 0.0.0.3 area 0
        network 1.0.0.0 0.0.0.3 area 0
        passive-interface e1/0

    int range f0/0 – 1
        ip ospf authentication message-digest
        ip ospf message-digest-key 1 md5 learning

R2:
    router ospf 26
        network 192.168.2.0 0.0.0.63 area 0
        network 1.0.0.8 0.0.0.3 area 0
        network 1.0.0.4 0.0.0.3 area 0
        passive-interface e1/0

    int range f0/0 – 1
        ip ospf authentication message-digest
        ip ospf message-digest-key 1 md5 learning

3.- Creation d’une route statique
« « « « « « « « « « « « « « « « « « « « 

3.1- De R1 vers R0 pour le réseau 80.0.0.0/24, réseau utilisé pour notre NAT Statique:

R0(config)#ip route 80.0.0.0 255.255.255.0 fastEthernet 0/0

R1(config)#ip route 80.0.0.0 255.255.255.0 fastEthernet 0/0

3.2- De R2 vers R1 pour le réseau 81.0.0.0/24, réseau utilisé pour notre NAT Dynamique:

R1(config)#ip route 81.0.0.0 255.255.255.0 fastEthernet 0/1

R2(config)#ip route 81.0.0.0 255.255.255.0 fastEthernet 0/1

4.- NAT Static sur R0 vers R1
« « « « « « « « « « « « « « « « « « « « « « « `
   
4.1- Definir les interfaces inside/outside

Router0(config)#int f1/0
    (config-if)#ip nat inside
    (config-if)#int range f0/0-1
    (config-if-range)#ip nat outside

4.2- Regles de translation

Router0(config)#ip nat inside source static 192.168.0.1 80.0.0.1
        ip nat inside source static 192.168.0.2 80.0.0.2
        ip nat inside source static 1.0.0.6 80.0.0.3

4.3- Verification

R0#show ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
—    80.0.0.1             192.168.0.1        —                       —
—    80.0.0.2             192.168.0.2        —                       —    
     

Router0#show ip nat statistics
Total translations: 3 (3 static, 0 dynamic, 0 extended)
Outside Interfaces: FastEthernet0/0
Inside Interfaces: FastEthernet0/1 , FastEthernet1/0

Hits: 0  Misses: 0
Expired translations: 0
Dynamic mappings:
!—sortie tronquee—!

5.- NAT Dynamic sur R1 vers R2
« « « « « « « « « « « « « « « « « `

5.1- Creation de l’ACL nomme Etendu

R1(config)#ip access-list extended NATdyn
R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.127 any

5.2- Creation d’un pool

Router1(config)#ip nat pool NATpool 81.0.0.10 81.0.0.20 netmask 255.255.255.0

5.3- Regle de translation pour faire du NAT sur notre pool

Router1(config)#ip nat inside source list NATdyn pool NATpool

5.4- Definir les interfaces inside/outside

Router1(config)#int e1/0
    (config-if)#ip nat inside
    (config-if)#int range f0/0-1
    (config-if-range)#ip nat outside

5.5- Verification

PC3>tracert 192.168.1.1
Tracing route to 192.168.1.1 over a maximum of 30 hops:
  1   11 ms     11 ms     2 ms      192.168.0.254
  2   *         *         *         Request timed out.  <=== ARP
  3   *         119 ms    36 ms     1.0.0.2
  4   36 ms     45 ms     17 ms     81.0.0.11
Trace complete.

R1# debug ip nat  <== pour voir ce qui se passe en direct
R1#show ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
icmp 81.0.0.11:43      192.168.1.1:43     80.0.0.2:43        80.0.0.2:43
icmp 81.0.0.11:44      192.168.1.1:44     80.0.0.2:44        80.0.0.2:44
icmp 81.0.0.11:45      192.168.1.1:45     80.0.0.2:45        80.0.0.2:45
icmp 81.0.0.11:46      192.168.1.1:46     80.0.0.2:46        80.0.0.2:46

PC5>tracert 192.168.0.1
Tracing route to 192.168.0.1 over a maximum of 30 hops:
  1   13 ms     12 ms     9 ms      192.168.1.126
  2   *         11 ms     6 ms      1.0.0.10
  3   *         *         *         Request timed out.

PC2>tracert 192.168.2.1
Tracing route to 192.168.2.1 over a maximum of 30 hops:
  1   12 ms     6 ms      21 ms     192.168.1.126
  2   *         26 ms     30 ms     1.0.0.10
  3   *         *         *         Request timed out.

R1#show ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
icmp 81.0.0.13:217     192.168.1.1:217    192.168.0.1:217    192.168.0.1:217
icmp 81.0.0.13:218     192.168.1.1:218    192.168.0.1:218    192.168.0.1:218
icmp 81.0.0.13:219     192.168.1.1:219    192.168.0.1:219    192.168.0.1:219
icmp 81.0.0.13:220     192.168.1.1:220    192.168.0.1:220    192.168.0.1:220
icmp 81.0.0.12:334     192.168.1.26:334   192.168.2.1:334    192.168.2.1:334
icmp 81.0.0.12:335     192.168.1.26:335   192.168.2.1:335    192.168.2.1:335
icmp 81.0.0.12:336     192.168.1.26:336   192.168.2.1:336    192.168.2.1:336

6.- PAT sur R2 vers R0 en surchargeant l’IP de l’interface R2
« « « « « « « « « « « « « « « « « « « « « « « « « « « « « « « 
6.1- Definir les interfaces inside/outside

Router2(config)#int e1/0
    (config-if)#ip nat inside
    (config-if)#int range f0/0-1
    (config-if-range)#ip nat outside

6.2- Creation d’un ACL standart nomme

Router2(config)#ip access-list standard PAT_2
Router2(config-std-nacl)#permit 192.168.2.0 0.0.0.63

6.3- Regle de translation PAT

Router2(config)#ip nat inside source list PAT_2 interface f0/0 overload

6.4- Verification

PC1>tracert 192.168.1.26
Tracing route to 192.168.1.26 over a maximum of 30 hops:
  1   9 ms      19 ms     5 ms      192.168.2.62
  2   14 ms     4 ms      5 ms      1.0.0.9
  3   *         *         *         Request timed out.

PC4>tracert 192.168.0.1
Tracing route to 192.168.0.1 over a maximum of 30 hops:
  1   10 ms     8 ms      7 ms      192.168.2.62
  2   4 ms      7 ms      21 ms     1.0.0.5
  3   *         *         *         Request timed out.

R2#clear ip nat translation ?
  *  Deletes all dynamic translations
R2#clear ip nat translation *

R2#show ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
icmp 1.0.0.6:219       192.168.2.1:219    192.168.1.26:219   192.168.1.26:219
icmp 1.0.0.6:166       192.168.2.2:166    192.168.0.1:166    192.168.0.1:166

 Fichier contenant la correction a telecharger: nat_correction.pkt

Cisco: PPP

Le but ici est d’etablir une connection entre deux hotes via PPP (Point to Point Protocol) et de s’echanger les informations de routage via OSPF.

Fichier a telecharger: ppp_clean.pkt
Logiciel: packet tracer

1. Configurer PAP
Creer sur:
R1 HOMER password duffman
R0 LENNY password carlita

2.  Configurer CHAP
R1, R2: password nucleaire

3. Protocol de routage: OSPF

****************************************************
Correction

****************************************************

1.- Configuration des interfaces:
« « « « « « « « « « « « « « `
R0:
    int f0/0
        ip address 10.0.0.126 255.255.255.128
        no shutdown
        exit
   
    int s0/1/0
        ip address 1.1.1.1 255.255.255.252
        clock rate 56000
        bandwidth 56
        no shut

   
R1:
    int f0/0
        ip address 10.0.1.62 255.255.255.192
        no shutdown
        exit
   
    int s0/1/1
        ip address 1.1.1.2 255.255.255.252
        no shutdown
        bandwidth 56

   
    int s0/1/0
        ip address 1.1.1.5 255.255.255.252
        clock rate 56000
        bandwidth 56
        no shutdown

   
R2:
    int s0/1/1
        ip address 1.1.1.6 255.255.255.252
        no shutdown
        bandwidth 56
   
    int f0/0
        ip address 10.0.2.30 255.255.255.224
        no shutdown

2.- Configuration des DHCP:
« « « « « « « « « « « « « « `
R0:
    ip dhcp pool LAN0
        network 10.0.0.0 255.255.255.128
        default-router 10.0.0.126
        dns-server 8.8.8.8
        exit
    ip dhcp excluded-address 10.0.0.126

   
R1:
    ip dhcp pool LAN1
        network 10.0.1.0 255.255.255.192
        default-router 10.0.1.62
        dns-server 8.8.8.8
        exit
    ip dhcp excluded-address 10.0.1.1 10.0.1.10

   
R2:
    ip dhcp pool LAN2
        network 10.0.2.0 255.255.255.224
        default-router 10.0.2.30
        dns-server 8.8.8.8
        exit
    ip dhcp excluded-address 10.0.2.30

   
   
3.- Mise en place de PPP et PAP entre R0 et R1:
« « « « « « « « « « « « « « « « « « « « « « « « 
R0:
    int S0/1/0
        encapsulation ppp
        ppp authentication pap
        ppp pap sent-username HOMER password duffman

       
R1:
    int S0/1/1
        encapsulation ppp
        ppp authentication pap
        ppp pap sent-username LENNY password carlita

   

4.- Creation des usernames sur R0 et R1:
« « « « « « « « « « « « « « « « « « « « `
R0:
    username LENNY password carlita
   
R1:
    username HOMER password duffman
   

5.- Configuration de PPP CHAP entre R1 et R2:
« « « « « « « « « « « « « « « « « « « « `
R1:
    int s0/1/0
        encapsulation ppp
        ppp authentication chap
        exit
    hostname R1
    enable password nucleaire

NB: dans packet tracer, nous sommes obligé d’utiliser le « hostname » et le « enable password » pour l’authentification CHAP.

R2:
    int s0/1/1
        encapsulation ppp
        ppp authentication chap
        exit
    hostname R2
    enable password nucleaire

   

6.- Creation des usernames pour l’auth CHAP:
« « « « « « « « « « « « « « « « « « « « « « « `
R1:
    username R2 password nucleaire
   
R2:
    username R1 password nucleaire
   

7.- Pour vérifier PPP:
« « « « « « « « « « « 
 #show interface serial   
    -> affiche l’état du lien (LCP Open/Close)
        l’encapsulation, et les protocoles négociés via NCP
 # debug ppp negociation
    -> affiche en temps reel sur la ligne console la négociation du lien (échanges LCP)
 # debug ppp authentication
    -> affiche l’auth en temps reel sur la ligne console
   

R1#show int s0/1/0
Serial0/1/0 is up, line protocol is up (connected)
  Hardware is HD64570
  Internet address is 1.1.1.5/30
  MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, loopback not set, keepalive set (10 sec)
  LCP Open
  Open: IPCP, CDPCP
  <== protocol negocie via NCP

LCP Link Control Protocol
NCP Network Control Protocol

8.- Configuration d’OSPF:
« « « « « « « « « « « « « `
R0:
    router ospf 51
        network 10.0.0.0 0.0.0.127 area 0
        networ 1.1.1.0 0.0.0.3 area 0
        passive-interface f0/0

       
R1:
    router ospf 60
        network 10.0.1.0 0.0.0.63 area 0
        network 1.1.1.0 0.0.0.3 area 0
        network 1.1.1.4 0.0.0.3 area 0
        passive-interface f0/0

       
R2:
    router ospf 74
        network 10.0.2.0 0.0.0.31 area 0
        networ 1.1.1.4 0.0.0.3 area 0
        passive-interface f0/0

 Fichier contenant la correction a telecharger: ppp_correction.pkt

Cisco: Frame Relay, Point-to-Multipoint

Le but ici est de partager les informations de routage OSPF via Frame-Relay.

Fichier a telecharger: FR_multipoint_clean.pkt
Logiciel: packet tracer

Configurer:

  1. Les interfaces LANs
  2. DHCP
  3. Frame-Relay
  4. OSPF

Notes:

DLCI 102 201
DLCI 103 301
DLCI 203 302

LMI => ANSI
encapsulation frame-relay ietf
frame-relay lmi-type ansi



R10x et R20x : 10.0.12.0/30
R10x et R30x :10.0.13.0/30
R20x et R30x : 10.0.23.0/30

****************************************************
Correction

****************************************************

PVC (Permanent Virtual Circuit)
DLCI (Data Link Connection Identifier)
LMI (Local Management Interface)

1.- Configuration des interfaces LAN:
« « « « « « « « « « « « « « « « `

R10X:
    int f0/0
     ip address 192.168.10.254 255.255.255.0
     description vers LAN10
     no shut

R20X:
    int f0/0
     ip address 192.168.20.126 255.255.255.128
     description vers LAN20
     no shut

R30X:
    int f0/0
     ip address 192.168.30.14 255.255.255.240
     description vers LAN30
     no shut

2.- Configuration des DHCP:
« « « « « « « « « « « « « « « 
L’option pour mettre une duree de bail n’est pas disponible dans Packet Tracer, sinon la commande serait:
Router(dhcp-config)#lease {days [hours][minutes]|infinite}
      (dhcp-config)#lease 0 12 <= duree du bail a 12h

R10X:
    ip dhcp pool LAN10
     network 192.168.10.0 255.255.255.0
     default-router 192.168.10.254
     dns-server 8.8.8.8 8.8.4.4

R20X:
    ip dhcp pool LAN20
     network 192.168.20.0 /25
     default-router 192.168.20.126
     dns-server 8.8.8.8 8.8.4.4

R30X:
    ip dhcp pool LAN30
     network 192.168.30.0 /28
     default-router 192.168.30.14
     dns-server 8.8.8.8 8.8.4.4

3.- Configuration de Frame-Relay:
« « « « « « « « « « « « « « « « « `
-> Activation de FR ietf avec LMI de type ANSI:

R10X:
    int s2/0
     encapsulation frame-relay ietf
     frame-relay lmi-type ansi
     no shut

   
R20X:
    int s2/0
     encapsulation frame-relay ietf
     frame-relay lmi-type ansi
     no shut

R30X:
    int s2/0
     encapsulation frame-relay ietf
     frame-relay lmi-type ansi
     no shut

    

-> Creation du PVC entre R10X et R20X:

R10X:
    int s2/0.102 point-to-point
     ip address 10.0.12.1 255.255.255.252
     description vers R20X DLCI 102
     frame-relay interface-dlci 102
     bandwidth 128

   
R20X:
    int s2/0.201 point-to-point
     ip address 10.0.12.2 255.255.255.252
     description vers R10X dlci 201
     frame-relay interface-dlci 201
     bandwidth 128

    

-> Creation du PVC entre R10X et R30X:

R10X:
    int s2/0.103 point-to-point
     ip address 10.0.13.1 255.255.255.252
     description vers R30X DLCI 103
     frame-relay interface-dlci 103
     bandwidth 128

   
R30X:
    int s2/0.301 point-to-point
     ip address 10.0.13.2 255.255.255.252
     description vers R10X dlci 301
     frame-relay interface-dlci 301
     bandwidth 128

    

-> Creation du PVC entre R20X et R30X:

R20X:
    int s2/0.203 point-to-point
     ip address 10.0.23.1 255.255.255.252
     description vers R30X DLCI 203
     frame-relay interface-dlci 203
     bandwidth 128

   
R30X:
    int s2/0.302 point-to-point
     ip address 10.0.23.2 255.255.255.252
     description vers R20X dlci 302
     frame-relay interface-dlci 302
     bandwidth 128

   
4.- Configuration de l’OSPF:
« « « « « « « « « « « « « « `

R10X:
    router ospf 10
     network 10.0.12.0 0.0.0.3 area 0
     network 10.0.13.0 0.0.0.3 area 0
     network 192.168.10.0 0.0.0.255 area 0
     passive-interface F0/0

   
R20X:
    router ospf 20
     network 10.0.12.0 0.0.0.3 area 0
     network 10.0.23.0 0.0.0.3 area 0
     network 192.168.20.0 0.0.0.127 area 0
     passive-interface f0/0

   
R30X:
    router ospf 30
     network 10.0.13.0 0.0.0.3 area 0
     network 10.0.23.0 0.0.0.3 area 0
     network 192.168.30.0 0.0.0.15 area 0
     passive-interface f0/0

R30X#show ip route
!—sortie tronquee—-!
     10.0.0.0/30 is subnetted, 3 subnets
O       10.0.12.0 [110/1562] via 10.0.13.1, 00:00:22, Serial2/0.301
                  [110/1562] via 10.0.23.1, 00:00:22, Serial2/0.302

C       10.0.13.0 is directly connected, Serial2/0.301
C       10.0.23.0 is directly connected, Serial2/0.302
O    192.168.10.0/24 [110/782] via 10.0.13.1, 00:00:34, Serial2/0.301
     192.168.20.0/25 is subnetted, 1 subnet
s
O       192.168.20.0 [110/782] via 10.0.23.1, 00:00:22, Serial2/0.302
     192.168.30.0/28 is subnetted, 1 subnets

C       192.168.30.0 is directly connected, FastEthernet0/0

 Fichier contenant la correction a telecharger: FR_multipoint_correction.pkt

Cisco: Frame Relay, Point-to-Point

Le but ici est de partager les informations de routage OSPF via Frame-Relay.

Fichier a telecharger: fr_base_clean.pkt
Logiciel: packet tracer

 Configurer:

  1. Les interfaces LANs
  2. DHCP
  3. Frame-Relay
  4. OSPF

R2 et R0: 10.0.20.0/30

encapsulation frame-relay ietf
frame-relay lmi-type ansi 

****************************************************
Correction

****************************************************

RouterX(config)#no ip domain-lookup
    (config)#line console 0
    (config-line)#logging synchronous

Configuration interfaces + DHCP
« « « « « « « « « « « « « « « « « `
Router2(config)#int f0/0
    (config-if)#ip address 192.168.2.254 255.255.255.0
    (config-if)#no shutdown
    (config)#ip dhcp pool LAN2
    (dhcp-config)#network 192.168.2.0 255.255.255.0
    (dhcp-config)#default-router 192.168.2.254
    (dhcp-config)#dns-server 8.8.8.8

Router0(config)#int f0/0
    (config-if)#ip address 192.168.0.254 255.255.255.0
    (config-if)#no shutdown
    (config)#ip dhcp pool LAN0
    (dhcp-config)#network 192.168.0.0 255.255.255.0
    (dhcp-config)#default-router 192.168.0.254
    (dhcp-config)#dns-server 8.8.8.8

Frame Relay
« « « « « « « « « « « `

Router2(config)#int s2/0
    (config-if)#encapsulation frame-relay ietf
    (config-if)#frame-relay lmi-type ansi
    (config-if)#ip address 10.0.20.2 255.255.255.252
    (config-if)#bandwidth 64
    (config-if)#no shutdown

Router0(config)#int s2/0
    (config-if)#encapsulation frame-relay ietf
    (config-if)#frame-relay lmi-type ansi
    (config-if)#ip address 10.0.20.1 255.255.255.252
    (config-if)#bandwidth 64
    (config-if)#no shutdown

OSPF
« « « « « « 

Router2(config)#router ospf 100
    (config-router)#network 192.168.2.0 0.0.0.255 area 0
    (config-router)#network 10.0.20.0 0.0.0.3 area 0
    (config-router)#passive-interface f0/0

Router0(config)#router ospf 200
    (config-router)#network 192.168.0.0 0.0.0.255 area 0
    (config-router)#network 10.0.20.0 0.0.0.3 area 0
    (config-router)#passive-interface f0/0

Pour partager les informations de routage avec les voisins, il faut ajouter la commande ci-dessous (cf. Initial Configurations for OSPF over Non-Broadcast Links)

RouterX(config-if)#interface s2/0
    (config-if)#ip ospf network broadcast

Router0#show ip ospf int s2/0
Serial2/0 is up, line protocol is up
  Internet address is 10.0.20.1/30, Area 0
  Process ID 200, Router ID 192.168.0.254, Network Type BROADCAST, Cost: 1562
  Transmit Delay is 1 sec, State BDR, Priority 1
 !–sortie tronquée–!

Par defaut:
Type MULTI-POINT, Cost: 64

Router0#show ip ospf neighbor
Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.2.254     1   FULL/DR         00:00:05    10.0.20.2       Serial2/0

Router0#show ip route
!–sortie tronquée–!
     10.0.0.0/30 is subnetted, 1 subnets
C       10.0.20.0 is directly connected, Serial2/0
C    192.168.0.0/24 is directly connected, FastEthernet0/0
O    192.168.2.0/24 [110/1563] via 10.0.20.2, 00:07:34, Serial2/0

 Fichier contenant la correction a telecharger: fr_base_correction.pkt

Cisco: STP

Le but ici est de supprimer les boucles de couche 2 en desactivant certains ports.

Fichier a telecharger: stp_clean.pkt
Logiciel: packet tracer

  • Faire les vlan 10 (impair) et 20 (pair)
  • SW0 doit être Root Bridge pour le vlan 20
    SW1 doit être Root Bridge pour le vlan 10
  • Mettre en place portfast
  • Configurer le routeur en tant que server DHCP
  • Sécuriser les échanges (BPDUguard et Root Guard)
  • Port security => Restrict et 1 MAC apprise automatiquement
  • Configurer un acces Telnet Distant pour les Root bridge via les IP
    10.0.10.0/24
  • Faire du rapid STP

****************************************************
Correction

****************************************************

Spanning Tree est tres actif: ports oranges sur certains switchs.

0. Reinitialiser les switchs
———————————————-

Switch[10-20;A-D]#delete flash:vlan.dat
        #erase start
        #reload

no ip domain-lookup
line console 0
loggin sync

1. Mettre en place vtp pour diffuser le vlan.dat
—————————————————————————–

Server
 » » » » » » » »
Switch[10-20]#conf t
    (config)#vtp mode server
    (config)#vtp domain egilia
    (config)#vtp password learning

Client
 » » » » » »’
Switch[A-D]#conf t
    (config)#vtp mode client
    (config)#vtp domain egilia
    (config)#vtp password learning

2. Show vtp status
———————————————-

Switch[10-20]#show vtp status
    VTP Version                                       : 2
    Configuration Revision                      : 4
    Maximum VLANs supported locally : 255
    Number of existing VLANs                : 7
    VTP Operating Mode                         : Server
    VTP Domain Name                            : egilia
    VTP Pruning Mode                            : Disabled
    VTP V2 Mode                                    : Disabled
    VTP Traps Generation                       : Disabled
    MD5 digest                                        : 0xBE 0x09 0x8F 0x1E 0x3A 0x4E 0x88 0xDB
    Configuration last modified by 0.0.0.0 at 3-1-93 00:16:35
    Local updater ID is 0.0.0.0 (no valid interface found)

Switch[A-D]#show vtp status
    VTP Version                                       : 2
    Configuration Revision                      : 0
    Maximum VLANs supported locally : 255
    Number of existing VLANs               : 5
    VTP Operating Mode                         : Client
    VTP Domain Name                           : egilia
    VTP Pruning Mode                           : Disabled
    VTP V2 Mode                                  : Disabled
    VTP Traps Generation                      : Disabled
    MD5 digest                                       : 0x0A 0x3D 0x07 0x2F 0x3B 0xDF 0xC3 0x2A
    Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

3. Creer les vlan
———————————————-

Switch[10-20]
 » » » » » » » » » » » » » »’
Switch(config)#vlan 10
    (config-vlan)#name IMPAIR
    (config-vlan)#vlan 20
    (config-vlan)#name PAIR
Switch#show vlan brief

    VLAN Name                             Status    Ports
    —- ——————————– ——— ——————————-
    1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                    Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                    Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                    Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                    Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                    Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                    Gig1/1, Gig1/2
    10   IMPAIR                           active   
    20   PAIR                                active   
    1002 fddi-default                    active   
    1003 token-ring-default          active
    1004 fddinet-default               active   
    1005 trnet-default                   active

remarque: configuration du VTP VLAN n’est pas authorise quand les switchs sont en mode CLIENT.

4. Lien trunk entre les switch
————————————————-

Switch[10-20]
 » » » » » » » » » » » » » »
    (config)#int range f0/1-4
    (config-if-range)#switchport mode trunk

Switch[A,D]
 » » » » » » » » » » » »’
    (config)#int range f0/1-2
    (config-if-range)#switchport mode trunk

Switch[B-C]
 » » » » » » » » » » » »
    (config)#int range f0/1-4
    (config-if-range)#switchport mode trunk

5. Configurer les interfaces clients – se proteger contre BPDU
—————————————————————————————————-

Switch[A,D]
 » » » » » » » » » » » »’
    (config-if)#int f0/3
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 10
    (config-if)#int f0/4
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 20
   
    (config)#spanning-tree portfast default
  shutdown
    (config)#int range f0/3-4
    (config-if-range)#spanning-tree bpduguard enable
    (config-if-range)#spanning-tree guard root

Switch[B-C]
 » » » » » » » » » » » »’
    (config-if)#int f0/5
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 10
    (config-if)#int f0/6
    (config-if)#switchport mode access
    (config-if)#switchport access vlan 20

    (config)#spanning-tree portfast default
    (config)#int range f0/5-6
    (config-if-range)#spanning-tree bpduguard enable
    (config-if-range)#spanning-tree guard root

Switch20
 » » » » » » » » »’
    (config)#spanning-tree vlan 20 root primary
    (config)#spanning-tree vlan 20 priority 0
    (config)#spanning-tree vlan 10 root secondary
    (config)#spanning-tree vlan 10 priority 28672
<== multiple de 4092; valeur par defaut est 32768 (32768-4092=28672)

    (config)#interface f0/4
    (config-if)#spanning-tree portfast
port sera place en mode error disable state

Switch10
 » » » » » » » » » »
    (config)#spanning-tree vlan 10 root primary
    (config)#spanning-tree vlan 10 priority 0
    (config)#spanning-tree vlan 20 root secondary
    (config)#spanning-tree vlan 20 priority 28672

    (config)#interface f0/4
    (config-if)#spanning-tree portfast

6. Show vlan
—————————-

Switch[A,D]
 » » » » » » » » » » » »’
Switch#show vlan brief
    VLAN Name                             Status    Ports
    —- ——————————– ——— ——————————-
    10   IMPAIR                             active    Fa0/3
    20   PAIR                                  active    Fa0/4

Switch[B-C]
 » » » » » » » » » » » »
Switch#show vlan brief
    VLAN Name                             Status    Ports
    —- ——————————– ——— ——————————-
    10   IMPAIR                            active    Fa0/5
    20   PAIR                                 active    Fa0/6

7. Show spanning tree vlan 20
———————————————-

Switch20#sho spanning-tree vlan 20
VLAN0020
  Spanning tree enabled protocol ieee
  Root ID    Priority    20
             Address     00D0.FF1A.CCE6
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    20  (priority 0 sys-id-ext 20)
             Address     00D0.FF1A.CCE6
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
—————- —- — ——— ——– ——————————–
Fa0/1            Desg FWD 19        128.1    P2p
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/3            Desg FWD 19        128.3    P2p

Switch10#show spanning-tree vlan 20
VLAN0020
  Spanning tree enabled protocol ieee
  Root ID    Priority    20
             Address     00D0.FF1A.CCE6
             Cost        19
             Port        3(FastEthernet0/3)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    28692  (priority 28672 sys-id-ext 20)
             Address     000C.CF5E.BD7C
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
—————- —- — ——— ——– ——————————–
Fa0/1            Altn BLK 19        128.1    P2p
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/3            Root FWD 19        128.3    P2p

SwitchA#sho spanning-tree vlan 20
VLAN0020
  Spanning tree enabled protocol ieee
  Root ID    Priority    20
             Address     00D0.FF1A.CCE6
             Cost        19
             Port        2(FastEthernet0/2)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32788  (priority 32768 sys-id-ext 20)
             Address     0001.97ED.D454
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
—————- —- — ——— ——– ——————————–
Fa0/1            Altn BLK 19        128.1    P2p
Fa0/2            Root FWD 19      128.2    P2p
Fa0/4            Desg FWD 19      128.4    P2p

8. Configurer le router
———————————————-

Router(config)#int range f0/0-1
Router(config-if-range)#no shutdown
Router(config-if-range)#no ip address

Router(config)#int f0/0.20
    (config-subif)#encapsulation dot1Q 20
    (config-subif)#ip address 10.0.20.254 255.255.255.0
    (config-subif)#no shutdown

Router(config)#int f0/0.10
    (config-subif)#encapsulation dot1Q 10
    (config-subif)#ip address 10.0.10.254 255.255.255.0
    (config-subif)#no shutdown

Router(config-subif)#int f0/1.20
    (config-subif)#encapsulation dot1Q 20
    (config-subif)#ip address 192.168.20.254 255.255.255.0
    (config-subif)#no shutdown

Router(config-subif)#int f0/1.10
    (config-subif)#encapsulation dot1Q 10
    (config-subif)#ip address 192.168.10.254 255.255.255.0
    (config-subif)#no shutdown

9. Access a telnet
———————————————-

Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password learning

10. Mise en place de la non negociate – pour supprimer les DTP (Dynamic trunking protocol)
———————————————————————————————————————————————

Switch[A,D]
 » » » » » » » » » » » »’
    (config)# int range f0/3, f0/4
    (config-if-range)#switchport nonegotiate
    (config-if-range)#switchport port-security maximum 1
    (config-if-range)#switchport port-security violation shutdown
    (config-if-range)#switchport port-security mac-address stick

Switch[B,C]
 » » » » » » » » » » » »
    (config)# int range f0/5, f0/6
    (config-if-range)#switchport nonegotiate
    (config-if-range)#switchport port-security maximum 1
    (config-if-range)#switchport port-security violation shutdown
    (config-if-range)#switchport port-security mac-address stick

11. Mise en place de dhcp
———————————————-

Router(config)#ip dhcp pool LAN20
    (dhcp-config)#network 10.0.20.0 255.255.255.0
    (dhcp-config)#default-router 10.0.20.254
    (dhcp-config)#dns-server 8.8.8.8

Router(config)#ip dchp pool LAN10
    (dhcp-config)#network 10.0.10.0 255.255.255.0
    (dhcp-config)#default-router 10.0.10.254
    (dhcp-config)#dns-server 8.8.8.8

12. Mise en place du rapid-spanning tree partout
——————————————————————————-

Convergence STP est lent. RSTP a ete cree pour palier a cette lenteur.

Switch_X(config)# spanning-tree mode rapid-pvst

Note1: PVST, Per VLAN Spanning Tree.
Note2: aucune frame ne peut etre envoyee tant que la convergence n’est pas terminee.

Fichier contenant la correction a telecharger: stp_correction.pkt