Simulation Entreprise

Simulation de Rseau
Informatique d Entreprise
Etudes des Technologies de Base et
Modlisation sur Cisco Packet Tracer 5.3
Pierre-Yves GOUBIER
Simulation de Rseau Informatique d Entreprise Page 2
Simulation de Rseau Informatique d Entreprise
Etudes des Technologies de Base et Modlisation sur Cisco Packet Tracer 5.3
Avant-Propos
Notre entreprise, CiscoGum, ngociant en boules de gomme, va se dvelopper en plusieurs tapes.
Ces tapes saccompagneront dun accroissement de lutilisation de loutil informatique, et de la mise en

uvre de techniques dinterconnexion de rseaux de plus en plus complexes.
A chaque tape (que nous nommerons Phase , et qui seront au nombre de cinq), les notions techniques
ncessaires la mise en uvre du rseau de notre entreprise seront tudies.
Elles ne le seront pas forcment de manire pousse et magistrale, mais suffisamment pour vous permettre
dacqurir les connaissances de base ncessaires la ralisation dune telle plate-forme dans le monde rel
Lobjectif final est darriver mettre en place, sur notre simulateur, Cisco Packet Tracer 5.3, une infrastructure
complte et oprationnelle, reprsentant larchitecture du rseau informatique de notre socit.
La plan du dploiement dune phase sera toujours le mme :
Dans un premier temps, nous effectuerons une prsentation de la phase, qui mettra en vidence nos
besoins en volution du rseau informatique, en fonction des besoins et de la croissance de
lentreprise.
Nous ferons ensuite une approche des notions techniques quil sera ncessaire de mettre en uvre
pour arriver notre cible.
Un point important de chaque phase, sera galement de crer, puis mettre jour, une documentation
prcise de notre rseau dentreprise (plan dadressage IP et affectation dadresses, tableau de
brassage des ressources)
Ltape suivante sera la mise en uvre de notre phase sur le simulateur, et la configuration des
diffrents nuds, que ce soit en cration, ou en modification par rapport des phases antrieures.
Nous nous assurerons enfin, pour valider une phase, que tout fonctionne bien sur notre simulateur,
via le passage de commandes sur des nuds de traitement ou de transmission de donnes.
Les dernires phases seront un peu plus difficiles aborder, non pas en raison de la mise en uvre de
techniques beaucoup plus complexes, mais surtout en raison du fait que chaque nouvelle technique aborde,
(puisque notre objectif est de dployer un rseau dentreprise), ne le sera pas de manire isole, mais devra
intgrer linfrastructure des phases antrieures
Vous toucherez ainsi du doigt un des vrais problmes des rseaux dentreprise, savoir la prise en compte dun
existant et les inter-actions multiples entre des techniques ou technologies diffrentes

Table des matires
AVANT-PROPOS ............................................................................................................................................... 3
INTRODUCTION .............................................................................................................................................. 12
POSTULAT ...................................................................................................................................................... 13
PHASE I MISE EN PLACE DE LARCHITECTURE RESEAU LOCAL DE MONTPELLIER .......................................... 14
Prsentation de la Phase .............................................................................................................................. 14

ETAPE 1 MISE EN PLACE DE LINFRASTRUCTURE DE NIVEAU 2 ....................................................................................... 15
A - Connexion des commutateurs ................................................................................................................. 15
Quelques remarques sur les types de cbles ............................................................................................................. 15
Quelques remarques sur les contraintes dune architecture de niveau 2 ................................................................. 16
Quelques remarques sur la documentation .............................................................................................................. 16
B Mise en place de la simulation sur Packet Tracer ................................................................................... 18
C - Configuration des liens ............................................................................................................................ 19
D - Mise en place du VTP .............................................................................................................................. 24
Pour activer le VTP Serveur ......................................................................................................................... 24
Pour activer les VTP Client (exemple donn pour le commutateur MtpSwitch1) ........................................ 24
E - Cration des Vlans .................................................................................................................................. 26
Pour Crer nos 3 Vlans (sur le VTP serveur)................................................................................................. 26
Pour vrifier la prise en compte sur le VTP serveur et un VTP client .......................................................... 26
ETAPE 2 MISE EN PLACE DE LINFRASTRUCTURE DE NIVEAU 3 ....................................................................................... 28
Quelques remarques sur la notion de visibilit par couches ..................................................................................... 30
A Le plan dadressage IP ............................................................................................................................ 34
Quelques remarques sur la codification .................................................................................................................... 34
Quelques remarques sur les interactions entre les niveaux 2 et 3 ............................................................................ 34
Quelques remarques sur les DHCP ............................................................................................................................ 35
Quelques remarques sur les plages dadresses ......................................................................................................... 36
C - Configuration des postes de travail ......................................................................................................... 39
D Configuration du routeur (Cration) ...................................................................................................... 40
E Configuration du serveur Dhcp ............................................................................................................... 40
F Configuration du routeur ........................................................................................................................ 41
Configuration du commutateur................................................................................................................... 41
Vrification de la configuration du port du commutateur .......................................................................... 41
Configuration de la Fa0/0 du routeur .......................................................................................................... 41
Vrification de la configuration sur le routeur ............................................................................................ 42
PHASE II MISE EN PLACE DE LINTERCONNEXION AVEC PARIS ..................................................................... 44
Prsentation de la Phase .............................................................................................................................. 44

A Protocole de routage et liens WAN ........................................................................................................ 47
Quelques remarques sur le protocole de routage ..................................................................................................... 47
Quelques remarques sur les liens Wan utiliss.......................................................................................................... 48
C Configuration des liens LAN .................................................................................................................... 53
Configuration des liens trunk (lien 802.1q chez Cisco) ................................................................................ 53
Pour activer les VTP Client (exemple donn pour le commutateur SwitchParis1) ....................................... 53
Pour crer le Vlan 10 sur le VTP Serveur ..................................................................................................... 54
Configuration de la Fa0/0 du routeur .......................................................................................................... 54
D Mise en place du Frame Relay ................................................................................................................ 54

E Paramtrage des interfaces Srial sur Paris et Montpellier ................................................................... 57
Routeur de Montpellier ............................................................................................................................................. 57
Routeur de Paris ........................................................................................................................................................ 57
F - Mise en place du protocole de routage ................................................................................................... 59
Ospf sur Paris............................................................................................................................................... 59
Ospf sur Montpellier ................................................................................................................................... 59
G Configuration du serveur Dhcp pour Paris ............................................................................................. 62
H Configuration des postes de travail de Paris .......................................................................................... 62
PHASE III MISE EN PLACE DE LINTERCONNEXION AVEC MARSEILLE ............................................................ 64
Prsentation de la phase .............................................................................................................................. 65

A Les rseaux Wifi ...................................................................................................................................... 67
C Configuration des liens LAN .................................................................................................................... 73
Configuration des liens trunk (lien 802.1q chez Cisco) ................................................................................ 73
Pour activer les VTP Client (exemple donn pour le commutateur SwitchMarseille1) ................................ 73
Pour crer les Vlan 13 et 113 sur le VTP Serveur ........................................................................................ 74
D Configuration du serveur Dhcp pour Marseille....................................................................................... 74
E - Configuration de la Fa0/0 du routeur (Lan) ............................................................................................. 75
F Mise en place et modification du Frame Relay ....................................................................................... 76
Routeur de Marseille ................................................................................................................................... 77
Routeur de Montpellier ............................................................................................................................... 77
Routeur de Paris .......................................................................................................................................... 78
G Raccordement des Access Points et Configuration des postes de travail sans fil ................................... 80
Paramtrage du port Fa0/2 du commutateur SwitchMarseille2................................................................. 80
Cration de l Access Point Wireless............................................................................................................ 80
Cration et paramtrage des postes Wireless ............................................................................................ 81
H Intgration dans Ospf............................................................................................................................. 86
Ospf sur Marseille ....................................................................................................................................... 86
PHASE IV SIMULATION D INTERNAUTES ..................................................................................................... 87
Prsentation de la phase .............................................................................................................................. 87

A - L ADSL (Asymmetric Digital Subscriber Line) Le Modem ..................................................................... 89
B - La commutation niveau 3 et la translation dadresses............................................................................ 90
Quelques remarques sur les Proxys ........................................................................................................................... 92
Quelques remarques sur les interconnexions de rseaux privs ............................................................................... 92
C - Domain Name System (Dns) .................................................................................................................... 95
D - AS (Autonomous Sytem) et BGP (Border Gateway Protocol) .................................................................. 98
E - Mise en place sur Packet Tracer - Internet ............................................................................................ 100
Dfinition des AS et des prfixes de la simulation ................................................................................................... 101
Mise en place du Cur rseau du fournisseur daccs Alpha ................................................................................. 102
Configuration Matrielle du Routeur AlphaInternaute ....................................................................... 103
Paramtrage du routeur AlphaInternaute ........................................................................................... 103
Configuration Matrielle du Routeur AlphaMontpellier ..................................................................... 104
Paramtrage du routeur AlphaMontpellier ......................................................................................... 104
Configuration Matrielle du Routeur AlphaBackbone ........................................................................ 105
Paramtrage du routeur AlphaBackbone ............................................................................................ 105
Configuration Matrielle du Routeur Alpha63000Alpha65400 ........................................................... 107
Paramtrage du routeur Alpha63000Alpha65400 .............................................................................. 107
Configuration Matrielle du Routeur Alpha63000Beta65000 .............................................................. 108
Paramtrage du routeur Alpha63000Beta65000 .................................................................................. 108

Mise en place des ASBR 65000 et 65400 ................................................................................................................. 109
Configuration Matrielle du Routeur AlphaAS65400 ........................................................................... 109
Paramtrage du routeur AlphaAS65400 ............................................................................................... 109
Configuration Matrielle du Routeur AlphaAS65000 ........................................................................... 110
Paramtrage du routeur AlphaAS65000 ............................................................................................... 110
Infrastructure de commutation dans les AS 65400 et 65000 .................................................................................. 111
Ressources de l AS 65400 ......................................................................................................................... 111
Ressources de l AS 65000 ......................................................................................................................... 115
F - Mise en place sur Packet Tracer - Internautes ....................................................................................... 118
Configuration de la partie routage des Box ............................................................................................................. 119
Paramtrage du routeur MyBox#1 ...................................................................................................... 119
Paramtrage du routeur MyBox#2 ...................................................................................................... 120
Configuration du Lan des Internautes et de lacheminement ADSL ........................................................................ 121
G Test de Fonctionnement Internet et Backbone .................................................................................... 124
Test de connexion de l Internaute vers www.resa.alpha.com ................................................................................ 124
Commentaires sur lopration ................................................................................................................................. 125
PHASE V MISE EN PLACE DES SERVICES INTERNET ET DE LA VENTE EN LIGNE ............................................ 127
Prsentation de la Phase ............................................................................................................................ 128

A Planification de la mise en oeuvre ........................................................................................................ 130
Quelques remarques sur les Dmz, la scurit, et ladressage IP .............................................................................. 130
Quelques remarques sur le File Transfer Protocol (Ftp) et les Pare-Feu ................................................................. 133
B Mise jour de la documentation .......................................................................................................... 137
C Raccordement des serveurs et paramtrage IP .................................................................................... 140
D Raccordement du routeur sur le Lan Dmz et vers Internet via un CVP Frame Relay ............................ 144
Raccordement du routeur vers laDmz ..................................................................................................................... 144
Cration du Cvp Internet chez loprateur et paramtrage de son routeur. ........................................................... 145
Configuration du Frame-Relay sur le routeur de Montpellier ................................................................................. 148
Modification du routage .......................................................................................................................................... 150
E Configuration des Translations dadresses (NAT) et de ports (PAT) ..................................................... 154
Le mode simulation de Packet Tracer ...................................................................................................................... 157
F Configuration de la fonction de Pare-Feu (Firewall) ............................................................................. 160
Affectation des Access-Lists sur les Interfaces ......................................................................................................... 161
G Tests de fonctionnement de notre simulation...................................................................................... 162
Navigation dun utilisateur de notre entreprise vers www.ciscogum.com.............................................................. 162
Cinmatique du flux .................................................................................................................................. 163
Translations ............................................................................................................................................... 164
Routage ..................................................................................................................................................... 165
Utilisation des ACL de translation ou de Scurit...................................................................................... 165
Navigation dun utilisateur de notre entreprise vers www.ciscogum.fr .................................................................. 166
Translations ............................................................................................................................................... 169
Routage ..................................................................................................................................................... 169
Navigation dun utilisateur de notre entreprise vers localweb................................................................................ 171
Translations ............................................................................................................................................... 172
Routage ..................................................................................................................................................... 172
Navigation dun Internaute vers www.ciscogum.com ............................................................................................. 174
Translations ............................................................................................................................................... 178
Routage ..................................................................................................................................................... 179

Navigation dun Internaute vers www.ciscogum.fr ................................................................................................. 183
Translations ............................................................................................................................................... 187
Routage ..................................................................................................................................................... 188
Tests sur ftp.ciscogum.fr partir d'un internaute ................................................................................................... 191
Tests sur ftp.ciscogum. partir d'un utilisateur de mon entreprise ........................................................................ 192
EPILOGUE ..................................................................................................................................................... 193
ANNEXES ET GLOSSAIRE ............................................................................................................................... 195
DEFINITIONS DE NOTIONS OU CONCEPTS EVOQUES DANS LA SIMULATION ........................................................................ 195

Modle de rfrence des applications communicantes : .......................................................................... 195
Domaine de collision : ............................................................................................................................... 195
Domaine de diffusion (broadcast) : ........................................................................................................... 196
Un commutateur de niveau 2 :.................................................................................................................. 196
Spanning-Tree Protocol (STP) : .................................................................................................................. 196
Unicast, Broadcast et Multicast : ............................................................................................................... 197
Schmas L3 L1/L2 de la simulation ......................................................................................................... 198
Transformation Dcimale, Binaire, Hexadcimale (exemples) : ................................................................ 199
Cinmatique de lenvoi dun paquet (exemples) : ..................................................................................... 200
Mthode pour retrouver un rseau partir dune adresse (exemples) : .................................................. 201
La codification hexadcimale (exemple) :.................................................................................................. 201
Rseaux sans fils Canaux et Frquences : ............................................................................................... 202
Access-List Types et fonctionnement ..................................................................................................... 204
Masques de sous-rseau et Wildcard Mask .............................................................................................. 205
Topologie Frame Relay et IP ...................................................................................................................... 206
Proxy et Proxy Reverse .............................................................................................................................. 208
INVENTAIRE DES CONFIGURATIONS DES NUDS DE LA SIMULATION................................................................................ 211
Commutateur Frontal Montpellier, 1st Floor ............................................................................................. 211
Commutateur 1 Montpellier, 1st Floor ....................................................................................................... 211
Commutateur Frontal Montpellier, 2nd Floor ............................................................................................ 213
Commutateur 1 Montpellier, 2nd Floor ...................................................................................................... 213
Commutateur DMZ Montpellier ................................................................................................................. 215
Commutateur Frontal Paris ........................................................................................................................ 215
Commutateur 1 Paris.................................................................................................................................. 216
Commutateur frontal Marseille .................................................................................................................. 217
Commutateur 1 Marseille ........................................................................................................................... 218
Routeur Montpellier, 1st Floor ................................................................................................................... 220
Routeur Paris .............................................................................................................................................. 221
Routeur Marseille ....................................................................................................................................... 221
Routeur Frontal Alpha-Montpellier ............................................................................................................ 222
Routeur Alpha Backbone ............................................................................................................................ 222

Routeur Frontal Alpha Internaute .............................................................................................................. 223
Routeur Alpha AS6300-Beta 65000 ............................................................................................................ 223
Routeur AlphaAS 63000 Alpha AS65400 ................................................................................................. 224
Routeur Alpha AS65400.............................................................................................................................. 224
Routeur Beta AS65000 ............................................................................................................................... 225
Routeur MyBox #1 ...................................................................................................................................... 225
Routeur MyBox #2 ...................................................................................................................................... 226
Commandes utiles commutateur frontal - Montpellier 1st Floor ............................................................... 227
Commandes utiles commutateur 1 - Montpellier 1st Floor ........................................................................ 229
Commandes utiles commutateur frontal - Montpellier 2nd Floor .............................................................. 232
Commandes utiles commutateur 1 - Montpellier 2nd Floor ....................................................................... 234
Commandes utiles commutateur DMZ - Montpellier ................................................................................ 237
Commandes utiles routeur/firewall - Montpellier 1st Floor ....................................................................... 238
Commandes utiles routeur -Paris ............................................................................................................... 240
Commandes utiles routeur -Marseille ........................................................................................................ 241
Tables de routage des routeurs du Backbone Internet et des Internautes ................................................. 242
-ooOoo-

Table des Matires des Tableaux et Illustrations
Architecture Phase I...................................................................................................................................... 14
Schma de cblage Ethernet 4 paires cuivre, Connecteurs RJ45 (8 broches) ............................................... 15
Tableau des noms dhtes, Phase I - tape 1 (hostnames)........................................................................... 17
Tableau des liaisons - Phase I tape 1 - brassage......................................................................................... 17
Packet Tracer Phase I tape 1.................................................................................................................... 18
Exemples dinterconnexion avec ou sans 802.1q.......................................................................................... 28
Visibilit Application/Service Niveau 4/5 ................................................................................................... 30
Visibilit Liaison Niveau 2 .......................................................................................................................... 31
Visibilit Rseau Niveau 3 .......................................................................................................................... 32
Visibilit Equipements .................................................................................................................................. 33
Encapsulation des niveaux protocolaires ..................................................................................................... 34
Plages dadresses prives ............................................................................................................................. 36
Plan dadressage et tableau de recensement des IP, Phase I-Etape 2.......................................................... 37
Tableau des noms dhtes, Phase I-Etape 2 (hostnames) ............................................................................ 38
Tableau des liaisons, Phase I-Etape 2 brassage......................................................................................... 38
Architecture Phase II..................................................................................................................................... 44
Packet Tracer - Phase II ................................................................................................................................ 46
Organisation des aires Ospf de notre simulation ......................................................................................... 48
Terminologie Frame Relay ............................................................................................................................ 50
Comportements Frame Relay ....................................................................................................................... 50
Plan dadressage et tableau de recensement des IP, Phase II ...................................................................... 51
Tableau des noms dhtes Phase II (hostnames) .......................................................................................... 51
Tableau des liaisons Phase II brassage ...................................................................................................... 52
Architecture Phase III.................................................................................................................................... 64
Packet Tracer - Phase III ............................................................................................................................... 66
Mode Opratoire type Infrastructure ........................................................................................................... 68
Mode Opratoire type Ad Hoc ...................................................................................................................... 69
Plan dadressage et tableau de recensement des IP, Phase III ..................................................................... 70
Tableau des noms dhtes, Phase III (hostnames) ........................................................................................ 71
Tableau des liaisons Phase III brassage ..................................................................................................... 71
Intgration Ospf de Marseille ....................................................................................................................... 86
Architecture Phase IV ................................................................................................................................... 87
Packet Tracer - Phase IV ............................................................................................................................... 88
Spectre du raccordement tlphonique cuivre ............................................................................................. 89
Raccordement de type ADSL......................................................................................................................... 90
Raccordement sans fonction de routage ...................................................................................................... 91
Raccordement avec fonction de routage et translation ............................................................................... 91
Interconnexion de deux plans dadressage identiques ................................................................................. 92
Show running-configuration routeurs Alpha et Beta.................................................................................... 94
Debug de la translation sur le routeur Alpha ............................................................................................... 94
Cinmatique dun Ping ............................................................................................................................ 94
Espace de Nom de Domaine ......................................................................................................................... 95
Recherche Rcursive ..................................................................................................................................... 97
Classification des protocoles de routages .................................................................................................... 98
Catgories d AS (Autonomous System) ....................................................................................................... 99
Redistribution de BGP dans lIG de lAS ...................................................................................................... 100
Utilisation de IBGP sur tous les routeurs internes lAS (Full Mesh) .......................................................... 100

Cur du rseau du fournisseur daccs Alpha............................................................................................ 102
Infrastructure Commutation AS 65400 et AS 65000 .................................................................................. 111
Raccordement Internaute vers Internet ..................................................................................................... 121
Rsolution www.resa.alpha.com et Flux Http ............................................................................................ 124
Architecture Phase V .................................................................................................................................. 127
Packet Tracer - Phase V .............................................................................................................................. 129
Architecture de Scurit de base ................................................................................................................ 130
Architecture de Scurit avance ............................................................................................................... 132
Exemple Ftp : Architecture ......................................................................................................................... 133
Exemple Ftp : Rgles des Pare-Feux ........................................................................................................... 133
Cinmatique Ftp Actif ................................................................................................................................. 134
Cinmatique Ftp Passif ............................................................................................................................... 135
Plan dadressage et tableau de recensement des IP, Phase V .................................................................... 137
Tableau des noms dhtes, Phase V (hostnames)....................................................................................... 138
Tableau des liaisons Phase V brassage .................................................................................................... 138
Raccordements Serveurs en DMZ ............................................................................................................... 140
Raccordements du routeur Montpellier en DMZ ........................................................................................ 144
Raccordements du routeur Montpellier au rseau Frame-Relay................................................................ 145
Organisation des aires Ospf de notre simulation en Phase V ..................................................................... 150
Synthse des adresses Inside et Outside..................................................................................................... 154
Mode simulation de Packet Tracer ............................................................................................................. 157
Zoom sur un traffic ..................................................................................................................................... 158
Rcapitulatif des rgles du Pare-Feu .......................................................................................................... 160
Rsolution www.ciscogum.com et flux http ............................................................................................... 162
Rsolution Ciscogum.fr et Flux Http ........................................................................................................... 166
Rsolution Localweb et Flux http ................................................................................................................ 171
Rsolution Ciscogum.com et Flux Http ....................................................................................................... 174
Rsolution Ciscogum.fr et Flux Http ........................................................................................................... 183
Modles en couches des applications Communicantes .............................................................................. 195
Graphique illustrant les notions de domaines de collision, domaines de diffusion, et la justification de la
conception dun commutateur N2. ............................................................................................................. 196
Maquette Schma de vision L3 ................................................................................................................... 198
Maquette Schma de Vision L1/L2 ............................................................................................................. 198
Dcoupage de ltendue 2,4GHz ................................................................................................................ 202
Dcoupage de ltendue 5GHz ................................................................................................................... 203
Point-to-Point Physique networks .............................................................................................................. 206
Point-to-Point Virutel networks .................................................................................................................. 206
Non Broadcast Multi Access networks ....................................................................................................... 206
Point-to-Multipoint network ...................................................................................................................... 207
Un exemple dimplantation dun serveur Proxy ......................................................................................... 209
Un exemple dimplantation dun serveur Proxy Reverse ............................................................................ 210

Introduction
Il faut bien lavouer, depuis lavnement dInternet, les magnifiques ouvrages de rfrences technologiques qui
ornaient nos bibliothques semblent bien obsoltes. Qui na pas jet ou encartonn des ouvrages,
simplement parce de nouvelles versions ont t dites, intgrant de nouvelles mthodes, de nouvelles
techniques, de nouvelles rfrences ou simplement parce que le sujet trait nexiste plus (feu Token ring, par
exemple)
Mon livre de chevet estudiantin tait le Tannenbaum Rseaux . Quel plaisir de feuilleter ses pages la
recherche de techniques rseau inconnues, et quelle plaisir de voir apparatre dans nos librairies la nouvelle
version mise jour des nouvelles avances dans le domaine intgrant par ailleurs la notion dinflation dans
son cot dacquisition.
Aujourdhui, la mise en ligne des documents de quasiment tous les organismes de normalisation, dorganismes
de recherches universitaires, en allant jusquaux simples expriences de techniciens ou dingnieurs
dsirant partager leur savoir ou travailler sur des projets communautaires, comme dans le monde de lopen
source, me font penser quil y a bien longtemps que je nai plus ouvert un ouvrage issu de la technique de
Gutenbergdans le domaine des rseaux, en tout cas
Besoin dune connaissance sur une technologie ? En quelques clics, tout est accessible, du niveau de la
vulgarisation celui du spcialiste. Je vous concde quun travail de compilation et/ou tri en amont est
ncessaire, mais tout est l, et surtout, tout est jour en termes de dernires avances dans une spcialit.
Alors pourquoi ce manuel ?

1
Parce quil nest pas l pour vous apprendre le modle OSI ; il nest pas l pour vous apprendre Osfp ; il nest
toujours pas l pour vous apprendre le CSMA/CD, le code manchester diffrentiel, le Frame relay, lAdslbref,
ce nest pas un ouvrage de rfrences techniques.
Il a cependant une ambition : vous permettre, au travers de la simulation du dploiement du rseau dune
entreprise, dessayer de mettre en vidence les concepts et bonnes pratiques ncessaires la ralisation dun
tel projet
Le simulateur utilis sappelle Packet Tracer. Cest un produit dapprentissage Cisco pour leurs plateformes
matrielles, qui permet de mettre en uvre des interconnexions de rseaux, sans lobligation dacqurir de
matriel. Il est simple dutilisation. Il est fiable dans sa simulation du passage de commandes. Et surtout, il
marche ! Votre rseau fonctionne rellement ! Et ceci sans ncessiter une configuration de gamer sur votre
ordinateur
Jespre que vous allez bien vous amuser quand mme .
-ooOoo-
1
Cf Annexes et Glossaire : Modle de rfrence de applications communicantes

Postulat
Depuis maintenant plusieurs mois, la socit CiscoGum, a donc dmarr son activit de ngoce en boules de
gomme et chewing gum.
Son sige social est situ Montpellier, France.
Les produits ngocis, fabriqus par la socit britannique CatalyGum, sont imports de Grande Bretagne
2
Depuis lorigine, CiscoGum est implante dans un petit local de 60 m .
Quatre personnes travaillent dans ce local :
Deux commerciaux en charge de la prospection de distributeurs pour la commercialisation de nos

produits vers le march Franais.
Le directeur/crateur de la socit, qui, paule par une secrtaire, soccupe des relations
fournisseurs, de la partie comptable et administrative, ainsi que du suivi des commerciaux
Chaque salari possde un ordinateur de bureau sur lequel est install une suite bureautique, pour la
ralisation des devis, factures, courriers
La secrtaire possde galement un logiciel de comptabilit.
Chaque salari possde une imprimante, et il ny a aucun lien rseau entre les diffrents ordinateurs de
bureau, les changes seffectuant par le biais de supports amovibles (comme des clefs Usb, par exemple), sauf
pour la comptabilit qui doit etre imprativement consulte sur le poste de la secrtaire
La pntration spectaculaire du march par les produits proposs par notre Entreprise, va nous imposer une
rorganisation fonctionnelle et une spcialisation des activits des salaris (un comptable pour la comptabilit,
un chef des ventes, dautres commerciaux, un responsable importation). Cette rorganisation ncessitera
Une campagne dembauche et un dmnagement sur Montpellier, du petit local originel vers un
batiment de deux tages.
La cration de services spcialiss (service comptable, service commerciale, service informatique)
Une migration des outils informatiques, et une mise en rseau des ressources, de manire offrir aux
salaris un accs partag aux donnes et aux applications
Cest ici, partir de cette phase, que nous allons accompagner CiscoGum dans la ralisation et la mise en place
de leur nouvelle structure du traitement de linformation.

Phase I Mise en place de larchitecture Rseau Local de Montpellier
Architecture Phase I
Prsentation de la Phase
La mise en place de linfrastructure doit rpondre aux besoins suivants :
Infrastructure du rseau local redondante

2
Isolation des domaines de diffusion pour les trois services de lentreprise ; Administration/Direction,
Commercial, Comptabilit. La mise jour des domaines de diffusion (Vlans) sur les commutateurs du
rseau doit se faire de manire simple et centralise.
Mise en place dun plan dadressage IP volutif qui doit tenir compte des interconnexions futures
vers dautres sites de lEntreprise ou des partenaires -. Suivant ce plan, les adresses rseau IP seront
attribues de manire automatique. La communication entre les domaines de diffusion se fera donc
par un nud de routage.
2
Cf Annexes et Glossaire : Domaine de diffusion, Domaine de collision

Etape 1 Mise en place de linfrastructure de niveau 2
Lentreprise couvre deux tages du btiment et chaque tage doit pouvoir accueillir des postes de travail,
indiffremment, pour chacun des trois services. Nous allons donc crer trois Vlans, qui seront connus par
3
lensemble des commutateurs du site :
Le Vlan 10 : Direction
Le Vlan 20 : Comptabilit
Le Vlan 30 : Commercial
Les besoins en nombre de commutateurs sont estims 4 par tage, soit :
1 commutateur dit Fdrateur , qui sera raccord sur les trois autres commutateurs
3 commutateurs dit Feuilles , qui seront chacun relis par deux liens ; un vers le commutateur
fdrateur, lautre vers un des deux autres commutateurs feuilles, de manire pouvoir avoir une
redondance de chemin.
A - Connexion des commutateurs
Quelques remarques sur les types de cbles
La connexion se fera par des cbles croiss. En effet, des nuds de mme niveau niveau 2 dans notre cas
sinterconnectent via ce type de cble, alors que des liens entre des nuds de niveaux diffrents un routeur
niveau 3 et un commutateur niveau 2, par exemple devront tre raliss en utilisant des cbles droits.
A noter que de nombreux quipements possdent maintenant des ports dits autosense , qui vont dtecter
le sens du signal pour sy adapter. Dans ce cas, seuls des cbles droits seront utiliss, le port se chargeant ou
non, dinverser le signal. Dans cette simulation, nous nutilisons pas cette fonctionnalit.
Schma de cblage Ethernet 4 paires cuivre, Connecteurs RJ45 (8 broches)
3
Cf Annexes et Glossaire : Un commutateur de niveau 2

Quelques remarques sur les contraintes dune architecture de niveau 2
La redondance de liens mise en place gnrant des boucles de niveau 2, il faudra sassurer de la mise en uvre
4
du STP (spanning tree protocol) . Ce protocole est activ par dfaut sur les commutateurs. Le calcul du nud
root , dans ce cas, se fera donc via lexcution de lalgorithme avec les valeurs dcouvertes sur les
commutateurs qui y participeront.
Si elle est recommande, la maitrise de la localisation du nud root nest pas une contrainte dans cette
simulation.
Si on retient le principe de redondance physique entre commutateurs (un lien vers le frontal, un lien ou plus
vers une autre feuille), nous mettrons en place une redondance de ports entre les deux commutateurs
frontaux, celui du premier tage, et celui du second (deux liens entre eux). Nous gommerons cependant leffet
de boucle gnr, en mettant en place, non pas deux liens indpendants, mais deux liens physiques regroups
en un lien logique.
Cette technique se nomme un agrgat de liens (Etherchannel chez Cisco). Les nuds ninterprtant, lors de
lexcution de lalgorithme du spanning tree, que le seul lien logique, la mise en place dun tel protocole est
superflue. En effet, en cas de perte dun lien, le lien logique continue de fonctionner, mais sur un seul lien
physique. Il ny a donc pas de boucle stricto sensu.
De plus, lors de lutilisation du protocole spanning tree, la convergence issue dun changement de topologie de
niveau 2 (perte dun commutateur, dun lien), entraine une perte de communication inter commutateurs
pouvant aller jusqu' 50 secondes (le temps du recalcul de lalgorithme) ! Cet inconvnient nexiste pas lors
de la perte dun lien physique dans un agrgat.
Enfin, tous les liens inter commutateurs, logiques ou physiques, seront particuliers. Comme nous allons mettre
en place des Vlans rpartis gographiquement sur tous les commutateurs de tous les tages, ils devront
vhiculer entre eux des trames appartenant diffrents domaines de diffusion.
Pour cela, nous paramtrerons nos ports dinterconnexion de manire ce quils utilisent le protocole 802.1q,
ce qui va consister tiqueter les trames avec leurs identifiants de Vlan. Cette tiquetage existera sur les
liaisons inter commutateur, mais cest bien une trame non tiquete qui circulera ensuite, dans chaque
commutateur, lintrieur de son domaine de diffusion.
Quelques remarques sur la documentation
Aprs lnumration de ces diffrents points, et avant deffectuer les branchements de cbles, il est important
en amont de prparer une documentation prcise de la mise en place de cette architecture (et surtout, ne pas
omettre de la faire vivre en mme temps que notre rseau voluera). En effet, le schma situ en
prsentation de la Phase I a un aspect technique tourn vers une prsentation esthtique, qui va donner une
bonne vision globale de notre infrastructure. Il est cependant trs insuffisant pour la mettre en uvre
Nous allons donc commencer par raliser un tableau exhaustif, qui reprendra lensemble des liaisons, port
port, entre chacun de nos 8 commutateurs que nous aurons auparavant pris soin de nommer, selon la
codification suivante :
4
Cf Annexes et Glossaire : Spanning Tree Protocol

Tableau des noms dhtes, Phase I - tape 1 (hostnames)
Noeud Nom dhote

Commutateur Frontal Montpellier 1st Floor MtpSwitchFrontal
st
Commutateur 1 Montpellier 1 Floor MtpSwitch1
st
st
nd
Commutateur Frontal Montpellier 2 Floor MtpSwitchFrontal2E
nd
Commutateur 1 Montpellier 2 Floor MtpSwitch12E
nd
nd
Tableau des liaisons - Phase I tape 1 - brassage
Nud source Port local Port distant Nud distant Fonction

MtpSwitchFrontal Fa0/1 Fa0/1 MtpSwitch1 802.1q
Fa0/2 Fa0/1 MtpSwitch2 802.1q
Po1 Fa0/10 Po1 Fa0/10 MtpSwitchFrontal2E 802.1q-agrgat
Fa0/11 Fa0/11
MtpSwitch1 Fa0/24 Fa0/24 MtpSwitch2 802.1q
Fa0/1 Fa0/1 MtpSwitchFrontal 802.1q
MtpSwitch2 Fa0/1 Fa0/2 MtpSwitchFrontal 802.1q
MtpSwitchFrontal2E Fa0/1 Fa0/1 MtpSwitch12E 802.1q
Fa0/2 Fa0/1 MtpSwitch22E 802.1q
Po1 Fa0/10 Po1 Fa0/10 MtpSwitchFrontal 802.1q-agrgat
Fa0/11 Fa0/11
MtpSwitch12E Fa0/1 Fa0/1 MtpSwitchFrontal2E 802.1q
MtpSwitch22E Fa0/24 Fa0/24 MtpSwitch12E 802.1q
Fa0/1 Fa0/2 MtpSwitchFrontal2E 802.1q

B Mise en place de la simulation sur Packet Tracer
Lancer Packet Tracer. Un projet vierge saffiche.
Selectionner le type de nud Switches , et crer huit nuds modle 2950-24 (24 pour 24 ports). A
chaque cration, aller dans linterprteur de commande de chaque commutateur pour lidentifier
laide de la commande hostname : Switch(config)#hostname MtpSwitch2, par exemple.
Selectionner le type de liaison Connections et relier lensemble de vos commutateurs en fonction

des informations identifies dans le tableau prcdent, laide de cbles croiss (ou CrossOver).
Sur Packet Tracer, les ports des switchs sont no shutdown par dfaut (attention, ce nest pas le cas sur les
routeurs), les liens devraient passer up sans intervention de votre part Si ce nest pas le cas, pas de
panique, la configuration nest pas termine
Une fois lensemble des commutateurs connects via nos cbles croiss, votre cran devrait ressembler la
copie dcran suivante ( Le premier tage est reprsent par le groupe de quatre commutateurs en haut de
lcran) :
Packet Tracer Phase I tape 1

C - Configuration des liens
Configuration des liens trunk (lien 802.1q chez Cisco)
Sur le simulateur, les liens trunk montent par dfaut si une interconnexion entre deux commutateurs
est dtecte. Cela peut ne pas tre le cas dans des environnements rels. Pour configurer les liens
trunk, il est prfrable de forcer la commande ; cette opration doit tre effectue pour chaque lien
trunk, sur chaque commutateur, en fonction du tableau de brassage que nous avons construit
prcdemment :
MtpSwitchFrontal#conf t
Enter configuration commands, one per line. End with CNTL/Z.
MtpSwitchFrontal (config)#interface fastEthernet 0/1
MtpSwitchFrontal (config-if)#switchport mode trunk
MtpSwitchFrontal (config-if)#^Z
MtpSwitch1#conf t
MtpSwitch1 (config)#interface fastEthernet 0/24
MtpSwitch1 (config-if)#switchport mode trunk
MtpSwitch1 (config-if)#^Z
MtpSwitch2#conf t
MtpSwitch3#conf t
MtpSwitchFrontal2E#conf t
MtpSwitchFrontal2E (config)#interface fastEthernet 0/1
MtpSwitchFrontal2E (config-if)#switchport mode trunk
MtpSwitchFrontal2E (config-if)#^Z
MtpSwitch12E#conf t
MtpSwitch12E (config)#interface fastEthernet 0/24
MtpSwitch12E (config-if)#switchport mode trunk
MtpSwitch12E (config-if)#^Z
MtpSwitch22E#conf t

MtpSwitch32E#conf t
La vrification se fait laide de la commande suivante (exemple pour une interface) :
MtpSwitch2#sh interfaces fa0/24 switchport

Name: Fa0/24
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none
MtpSwitch2#
5
Il est galement possible, si le CDP est activ sur le commutateur, de vrifier le raccordement via la
commande suivante (exemple pour le commutateur frontal du 1er tage) :
MtpSwitchFrontal>sh cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
MtpSwitch1 Fas 0/1 133 S 2950 Fas 0/1
MtpSwitchFrontal2E
Fas 0/11 134 S 2950 Fas 0/11
MtpSwitchFrontal2E
Fas 0/10 134 S 2950 Fas 0/10
MtpSwitchFrontal2E
Por 1 134 S 2950 Fas 0/11
MtpSwitchFrontal2E
Por 1 134 S 2950 Fas 0/10
MtpSwitchFrontal2E
Por 1 134 S 2950 Por 1
MtpSwitchFrontal>
5
Le CDP est un protocole propritaire Cisco, utilis pour la dcouverte de la configuration des nuds voisins Cisco.

Configuration des Agrgats de liens (Etherchannel)
Avant toute chose, nous allons crer un Etherchannel. Cet Etherchannel est un port virtuel qui
regroupe plusieurs ports physiques. Il est identifi par un numro (ex : interface Port-channel 1). Il
faudra ensuite aller dans chaque interface physique dsire pour la rattacher a l Etherchannel via son
numro didentifiant (ex : channel-group 1 mode desirable). Dans notre simulation, nous rajouterons
galement lencapsulation dot1q (802.1q) puisque virtuel ou pas, ce lien doit pouvoir porter plusieurs
Vlans.
MtpSwitchFrontal# conf t
MtpSwitchFrontal(config)#interface port-channel 1
MtpSwitchFrontal(config-if)#switchport mode trunk
MtpSwitchFrontal(config-if)#^Z
MtpSwitchFrontal#
%SYS-5-CONFIG_I: Configured from console by console
MtpSwitchFrontal(config)#int fa0/10
MtpSwitchFrontal(config-if)#channel-group 1 mode desirable
MtpSwitchFrontal#
MtpSwitchFrontal(config)#int fa0/11
MtpSwitchFrontal(config-if)#channel-group 1 mode desirable
MtpSwitchFrontal#
Cette opration est bien sur renouveler sur le commutateur frontal du deuxime tage, le
MtpSwitchFrontal2E
MtpSwitchFrontal2E# conf t
MtpSwitchFrontal2E (config)#interface port-channel 1
MtpSwitchFrontal2E #
MtpSwitchFrontal2E # conf t
MtpSwitchFrontal2E (config)#int fa0/10
MtpSwitchFrontal2E (config-if)#channel-group 1 mode desirable
MtpSwitchFrontal2E # conf t
MtpSwitchFrontal2E (config)#int fa0/11
MtpSwitchFrontal2E (config-if)#channel-group 1 mode desirable

La vrification se fait laide des commandes suivantes :
MtpSwitchFrontal#show run
!
()
!
interface Port-channel 1
switchport mode trunk
!
()
!
interface FastEthernet0/10
channel-group 1 mode desirable
!
channel-group 1 mode desirable
!
()
MtpSwitchFrontal#show interfaces etherchannel

----
FastEthernet0/10:
Port state = 1
Channel group = 1 Mode = Desirable-S1 Gcchange = 0
Port-channel = Po1 GC = 0x00000000 Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = PAgP
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.

A - Device is in Auto mode. P - Device learns on physical port.
d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Local information:
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/10 d U1/S1 H30s 1 0 128 Any 0
Partner's information:
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/10 MtpSwitchFrontal 000C.CFAC.99A6 Fa0/10 0 SC 10001
Age of the port in the current state: 00d:00h:34m:02s
----
FastEthernet0/11:
Port state = 1
Channel group = 1 Mode = Desirable-S1 Gcchange = 0
Port-channel = Po1 GC = 0x00000000 Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = PAgP
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.

A - Device is in Auto mode. P - Device learns on physical port.
d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Local information:
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/11 d U1/S1 H30s 1 0 128 Any 0
Partner's information:
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/11 MtpSwitchFrontal 000C.CFAC.99A6 Fa0/11 0 SC 10001
Age of the port in the current state: 00d:00h:34m:02s
----
Port-channel1:Port-channel1
Age of the Port-channel = 00d:00h:34m:02s
Logical slot/port = 2/1 Number of ports = 2

GC = 0x00000000 HotStandBy port = null
Port state =
Protocol = 2
Port Security = Disabled
Ports in the Port-channel:
Index Load Port EC state No of bits

------+------+------+------------------+-----------
0 00 Fa0/10 Desirable-Sl 0
0 00 Fa0/11 Desirable-Sl 0
Time since last port bundled: 00d:00h:34m:02s Fa0/11
MtpSwitchFrontal#

D - Mise en place du VTP
Le VTP (ou Vlan Trunking Protocol) va vous permettre (sur du matriel Cisco) de configurer et administrer les
Vlans sur lensemble de nos commutateurs.
Il nous faut, minima, dfinir deux lments :
Le domaine VTP, primtre dans lequel les commutateurs interprteront les informations
transportes via VTP. Dans notre simulation, le domaine VTP se nommera montpellier (attention
la casse. Le nom de domaine y est sensible).
Le type de nud VTP : dans notre simulation, nous aurons un VTP Serveur, le commutateur Frontal de
Montpellier, 1st Floor . Tous les autres commutateurs, y compris ceux du deuxime tage, seront des
nuds de type VTP client.
La mise en uvre de cette fonctionnalit va nous permettre de crer, modifier ou supprimer des Vlans sur le
VTP serveur. Ceux-ci seront stocks dans la mmoire flash du commutateur, et , via VTP, lensemble des
6
VlanDatabase stockes sur les commutateurs clients du domaine, seront mises jour .
La configuration seffectue via les lignes de commandes ci-dessous :
Pour activer le VTP Serveur
MtpSwitchFrontal >en
MtpSwitchFrontal #conf t
MtpSwitchFrontal(config)#vtp domain montpellier
Changing VTP domain name from NULL to montpellier
MtpSwitchFrontal(config)#vtp mode server
Device mode already VTP SERVER. (par dfaut, un commutateur est configure en mode VTP
serveur)
MtpSwitchFrontal(config)#
Pour activer les VTP Client (exemple donn pour le commutateur MtpSwitch1)
MtpSwitch1>en
MtpSwitch1#conf t
MtpSwitch1(config)#vtp domain montpellier
Changing VTP domain name from NULL to montpellier
MtpSwitch1(config)#vtp mode client
Setting device to VTP CLIENT mode.
MtpSwitch1(config)#
La vrification se fait laide des la commandes suivantes, sur le VTP serveur et le VTP client :
MtpSwitchFrontal>show vtp status
VTP Version : 2
Configuration Revision : 116
Maximum VLANs supported locally : 255
Number of existing VLANs : 8
VTP Operating Mode : Server
VTP Domain Name : montpellier
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x03 0xE3 0xF4 0x43 0x9B 0xED 0xDF 0x0D
6 Attention : Lexistence dun Vlan dans la VlanDatabase dun quipement et laffectation dun port ce mme Vlan sont
deux choses diffrentes, comme nous le verrons plus loin.

Configuration last modified by 0.0.0.0 at 3-1-93 00:03:49
Local updater ID is 0.0.0.0 (no valid interface found)
MtpSwitch22E>show vtp status

VTP Version : 2
VTP Operating Mode : Client
MD5 digest : 0x03 0xE3 0xF4 0x43 0x9B 0xED 0xDF 0x0D

E - Cration des Vlans
Il ne reste plus qua crer nos Vlans.
Crer un Vlan, cela signifie crer le Vlan dans la Vlandatabase dun commutateur. Cela ne signifie pas affecter
un vlan un port Cela sera une tape supplmentaire, ralise lors de la mise en place (raccordement) dun
nud (poste de travail, serveur, routeur).
La facilit installe, savoir, le VTP, va nous permettre de crer les Vlans sur une seule database, celle du
serveur. Son contenu sera ensuite synchronis avec lensemble des VlanDatabase des commutateurs qui
participent au mme domaine VTP. Notez que les Vlandatabase sont gnralement localises dans la mmoire
7
Flash de lquipement .
Nous allons renseigner seulement deux lments concernant les Vlans : un numro (cest cet lment qui est
important dans le processus de commutation), et un nom (qui sera plus assimil un commentaire). Pour
rappel, le VTP serveur de notre plate-forme est MtpSwitchFrontal.
Pour Crer nos 3 Vlans (sur le VTP serveur)
MtpSwitchFrontal>en
MtpSwitchFrontal(config)#vlan 10
MtpSwitchFrontal(config-vlan)#name Direction
MtpSwitchFrontal(config-vlan)#exit
MtpSwitchFrontal(config-vlan)#name Comptabilite
MtpSwitchFrontal(config-vlan)#exit
MtpSwitchFrontal(config-vlan)#name Commercial
MtpSwitchFrontal(config-vlan)#^Z
MtpSwitchFrontal#
Pour vrifier la prise en compte sur le VTP serveur et un VTP client
MtpSwitchFrontal#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/24
10 Direction active
20 Comptabilite active
30 Commercial active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
7
Cest pour cette raison quun retour la configuration usine dun quipement, par la suppression de la configuration
localise dans sa NVRam (une autretype de mmoire), ne va pas toucher les informations concernant les Vlans.

Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
MtpSwitchFrontal#
MtpSwitch22E>sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/23
10 Direction active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs

------------------------------------------------------------------------------
Primary Secondary Type Ports

------- --------- ----------------- ------------------------------------------
MtpSwitch22E>
Voila, tout est prt au niveau de la connectique et de larchitecture de niveau 2 de notre plate-forme. Vous
remarquez que si les Vlans sont bien actifs sur ces commutateurs, aucun port nest affect un autre Vlan que
le Vlan par dfaut (Vlan 1). Il en sera de mme sur les commutateurs feuilles cette opration daffectation
sera faite postriori.
Certains commutateurs nauront jamais de ports affects (ce sera le cas des frontaux, par exemple) mais
comme ils participent une redondance de liens (via les Trunks 802.1q), il est impratif quils connaissent ces
Vlans car ils devront participer la bonne gestion du domaine de diffusion de ceux-ci, et par l mme, faire
tourner une instance de spanning tree pour chacun de ces Vlans.
-ooOoo-

Etape 2 Mise en place de linfrastructure de niveau 3
Notre architecture de niveau 2 donc t ralise lors de la premire tape, et bien ralise.si bien dailleurs
que toute communication entre Vlans est dsormais impossible puisquil nexiste aucun lien, ni physique, ni
logique, entre nos domaines de diffusion.
Interconnecter deux domaines de diffusion se fera par un nud de niveau suprieur (niveau3), et ce routeur
(puisque cest de ce type de nud dont il sagit) commutera (ou routera) les paquets (en fait les trames mais
en interprtant, dans la partie data de la trame, les lments qui concerne le niveau 3adresse IP
destination, adresse IP sourceetc) dun domaine de diffusion vers un autre.
Dans ce but, il sera ncessaire que le routeur ait une patte de rattachement dans chaque domaine de diffusion,
c'est--dire une une interface sur laquelle sera configure une adresse IP. Celle-ci sera dailleurs la default
gateway (passerelle par dfaut) qui sera code dans la pile IP des postes de travail ou des serveurs (pour
rappel, la pile IP dun nud de traitement, pour un poste de travail par exemple, se compose dune adresse
IP, dun masque de sous rseau, et dune passerelle par dfaut. Ladresse de passerelle peut tre optionnelle
en cas dutilisation dIP dans un domaine de diffusion non interconnect vers dautres domaines pas de
routeur).
Imaginons maintenant un commutateur, ou une pile de commutateurs, qui possderait 25 Vlans. Dans labsolu,
il faudrait gaspiller 25 interfaces physiques pour lier le routeur aux diffrents domaines de diffusion ! Fort
heureusement, les routeurs, et plus rcemment certaines machines physiques hbergeant des machines
virtuelles, sont capables de dcoder ou dencoder des trames en 802.1q. Un seul lien (peut tre deux, il ne faut
pas pour autant oublier les contraintes de continuit de service, et la redondance de liens) suffira alors pour
router nos paquets.
Exemples dinterconnexion avec ou sans 802.1q

Arretons nous un instant sur la notion de visibilit de niveau 2 ou de niveau 3.
Il ne faut pas perdre de vue qu IP est une notion logique, pas physique.
Ainsi cette reprsentation dinterconnexion au niveau 3
peut trs bien tre mise en uvre au niveau 2 ,
de cette manire, ou bien celle-l,
ou bien une autre ; il est difficile dtre exhaustif. La diffrence dans ces niveaux de visibilit peut tre
drangeante ; elle ncessite en tout cas une gymnastique intellectuelle , entre le concept dinterconnexion
de niveau 3, et la manire dont on va pouvoir la mettre en uvre, avec lapparition de contraintes concernant
la cible issue du cahier des charges, lexistant, le budget disponible peut tre mme que cette mise en uvre
matrielle, agrmente de ces contraintes, ncessitera un amnagement de larchitecture tudie au niveau 3.
Cette notion de visibilit est importante et nous allons lillustrer par un exemple.

Quelques remarques sur la notion de visibilit par couches
Pour bien comprendre cette notion de visibilit entre les diffrents acteurs dune application communicante,
prenons lexemple dune application Lambda, qui est accessible via Internet partir dun navigateur classique
sur le poste de travail du client. Concernant la mise en place de notre application sur notre Datacenter, nous
avons les informations suivantes :
Laccs sur Le frontal Web est en fait un cluster de deux serveurs web, qui coutent sur une VIP
(Adresse virtuelle unique), dont la synchronisation seffectue par des processus de niveau 2 de notre
modle Hybride.
Le client provient du rseau Internet, donc avec une adresse publique.
La patte de notre Firewall, cot oprateur a pour adresse publique 12.0.19.5/30, et le routeur
oprateur pour adresse 12.0.19.6/30.
Il existe des domaines de diffusion distincts pour les serveurs :
o Oracle
o Unit de traitement 1
o Unit de traitement 2
o Sql Server
o Frontaux Web
Nos deux routeurs coutent pour chaque rseau sur une adresse IP virtuelle unique.
Notre plan dadressage interne est une tendue prive 10.0.0.0/8, subnettable.
Nous allons commencer par faire une reprsentation graphique de notre application de type Visibilit
Application/Service , telle que pourrait la schmatiser un dveloppeur. Sa vision est avant tout une
cinmatique de flux, et descendra, par rapport au modle hybride, jusquau niveau 4 (socket, c'est--dire
association Port/Ip) :
Visibilit Application/Service Niveau 4/5

Observons maintenant quelles seraient les visions de type Visibilit Rseau (niveau 3) et Visibilit
Liaison (niveau 2).
Ces deux schmas suivants reprsentent toujours notre application, mais vue par les personnes en charge de la
commutation et du routage. La Visibilit liaison va nous permettre de localiser prcisment les
raccordements ncessaires la mise en place sur linfrastructure (les Vlans concerns, les liens identifis),
Visibilit Liaison Niveau 2

8
la Visibilit rseau , quand elle, reprendra tous les lments de niveau 3 ncessaires cette mme mise
en place :
Rseaux IP
Vip
Translations dadresses

Visibilit Rseau Niveau 3
8
Dans un souci de lisibilit, les flux applicatifs ne sont pas reports sur le schma de visibilit rseau.

Enfin, les techniciens salle devront physiquement raccorder toutes les ressources ncessaires sur
linfrastructure, et documenteront schmatiquement lapplication avec un niveau de visibilit de type
Visibilit Equipement .
Visibilit Equipements
Bref, si vous ne devez retenir quune chose de cet exemple, ce sera la diversit des points de vue, pour une
mme application, qui varieront en fonction des acteurs et de leurs missions

A Le plan dadressage IP
Quelques remarques sur la codification9
Pour mettre en place une interconnexion des rseaux IP, il va falloir commencer par dfinir un plan
dadressage. Reprenons rapidement le concept dun intranet, par rapport internet. Un intranet, cest une
mise en uvre dun rseau priv dentreprise qui utilise, pour la communication des applications, les
32
techniques de linternet. Une adresse IP, cest une codification sur 32 bits, soit 2 combinaisons. Pour
simplifier la lecture dune dresse IP, on va la reprsenter plutt par 4 groupes de 8 bits (8x4=32), chaque
8
groupe tant spar par un point. Chaque groupe de 8 bits sera ensuite converti en valeur dcimale, soit 2 ,
c'est--dire 256 combinaisons, codes de 0 255. Dans labsolu, un adresse IP pourra donc aller de la valeur
0.0.0.0 la valeur 255.255.255.255. La grande trouvaille dIP est le masque de sous-rseau, qui va permettre
dintgrer dans une mme adresse, la codification dune machine, et son rseau dappartenance. Ainsi,
ladresse IP 10.34.1.1 dont le masque est 255.255.255.0, reprsentera la machine .1 du rseau 10.34.1.0/24.
8
Les possibilits de codification du nombre de machines pour ce rseau seront de 2 (les huit bits du dernier
octet) 2 (quand toute la partie host est 0 en binaire, cette codification identifie le rseau, quand toute la
partie host est 1 en binaire, cette codification identifie ladresse de broadcast de niveau 3), soit 256-2=254
machines possibles dans ce domaine de diffusion ; ce dernier point nous permet dnumrer la rgle suivante
entre les niveaux 2 et 3 :
Tous les hosts dun mme rseau IP doivent tre joignables dans un mme domaine de diffusion.
Quelques remarques sur les interactions entre les niveaux 2 et 3
En effet, il ne faut jamais oublier que la notion atomique sur un rseau, cest la trame. Une trame, cest entre
autre, une adresse mac destination, une adresse mac source. Quand une application va vouloir envoyer une
information vers un niveau applicatif distant (en passant donc par le lien virtuel de la couche 5 locale couche
5 distante), elle va construire couche par couche une trame, dans laquelle les couches prcdentes
reprsenteront la donne transporte. Il faudra donc un moment, traduire ladresse IP de destination, en
adresse Mac de destination.
Encapsulation des niveaux protocolaires
9
Cf Annexes et Glossaire : Transformation dcimale, binaire, hexadcimale (exemples)

10
Dans ce but, la pile IP va utiliser un protocole, ARP, qui va consister envoyer un broadcast , dans son
domaine de diffusion, donc, pour demander une machine dont on connait ladresse IP, de nous fournir son
adresse Mac.
2 cibles sont identifiables :
soit la machine joindre est dans le mme rseau IP, et la requte ARP consistera rcuprer
ladresse mac de la machine de destination pour crer une trame unicast et lui envoyer.
soit la machine est dans un rseau IP diffrent, et la requte ARP consistera rcuprer ladresse mac
de la default-gateway (le routeur) configure dans sa propre pile IP, pour crer une trame unicast, et
lui envoyer. Le routeur, ensuite fera son uvre.
Dans notre simulation, nous utiliserons une fonctionnalit pour allouer automatiques des adresses IP : un ou
plusieurs serveurs DHCP. Le fonctionnement est simple : Une station de travail qui dsire obtenir une adresse
IP envoie un broadcast de niveau 2 dans son domaine de diffusion (do cette corrlation entre niveau 2 et 3).
Un serveur DHCP, qui reoit et possde un stock dadresse IP disponibles pour ce domaine de diffusion, renvoie
tous les lments de configuration IP cette station (ladresse, masque de sous-rseau, default-gateway,
adresses des serveurs dnsetc).
Quelques remarques sur les DHCP
dabord, il faut savoir que si plusieurs serveurs DHCP sont connects un mme domaine de diffusion,
la station prend la configuration du premier qui rpond. Attention donc, aux configurations dans le cas
de deux serveurs pour un seul sous rseau (serveur de backup). Il ne faut pas qui y ait de
recouvrement sous peine de gnrer des duplicate address Lmission dun ARP Gratuit nous
avertira dune telle ventualit (Cela consiste envoyer une requte ARP en utilisant sa propre
adresse IP. Une rponse positive entraine un rejet de la mise en place de la pile IP sur notre station
puisque ladresse existe dj.)
Pour viter la multiplication des serveurs DHCP (au moins un par domaine de diffusion), il est possible
dutiliser des relais DHCP. Cela va simplement consister dans notre simulation encapsuler notre
trame DHCP, pour lacheminer, via le routage, vers un seul et unique serveur, qui pourra grer
plusieurs rseaux IP, pour plusieurs domaines de diffusion.
10
Cf Annexes et Glossaire : Unicast, Broadcast et Multicast

Quelques remarques sur les plages dadresses
Toutes les machines dune entreprise nont pas ncessit tre raccordes au rseau Internet (ce qui ne veut
pas dire quelle ne pourront pas y aller, comme nous ltudierons plus loin). A cet usage, dans le cadre dun
intranet donc, lIANA (Internet Assigned Numbers Authority), en charge de la gestion des adresses IP, dfinie
trois plage dadresses rserves un usage priv, indiques dans le tableau suivant :
Plages dadresses prives
Plage dadresses rserves lusage priv par l IANA

Groupe de 24 bits (masque/8) Plage : 10.0.0.0 10.255.255.255
Groupe de 20 bits (masque /12) Plage : 172.16.0.0 172.31.255.255
Groupe de 16 bits (masque /16) Plage : 192.168.0.0 192.168.255.255
Concernant lensemble des plages dadresses disponibles, et par abus de langage historique, on parle de
rseaux de classe A, B ou C, mais cette notion, depuis plusieurs annes, t remplace par le CIDR (Classless
Inter-Domain Routing), bas sur le VLSM (Variable-Lentgh Subnet Masking) qui laisse une libert totale sur la
construction du masque de sous-rseau.
Plus conceptuellement, et grce la souplesse que va permettre le CIDR, nous allons pouvoir utiliser la
visualisation dcimale de nos adresses pour y intgrer des notions de codifications fonctionnelles, comme la
localisation gographique, linstance dans cette mme zone gographique, lorganisation de lEntrepriseetc..
Il est galement important de choisir au moment de la ralisation du plan dadressage le ou les protocoles de
routage qui seront utiliss. Ils sont directement issus de la topologie cible et des contraintes de lEntreprise
(type darchitecture Lan et Wan, redondance, disponibilit des liens et convergence) .
Dans notre simulation, nous utiliserons la plage prive 10.0.0.0/8
Le premier octet de nos adresses prendra donc la valeur 10.x.x.x
Le deuxime octet nous servira pour dfinir la localisation de notre entit, ou le type de lien qui sera utilis.
Pour une localisation, le numro de dpartement.

Pour un rseau Wifi raccord au rseau local, le numro de dpartement prfix par 1 .
Pour des Lans techniques (ex : Dmz), 200 210
Pour des liens Wans, 100
Le troisime octet est un numro dinstance dans lentit dfinie par le deuxime octet, sauf dans le cas dun
lien Wan, ou il prendra la valeur 100 .
Le quatrime octet sera utilis pour la codification des stations de travail. Les plages attribues par les serveurs
DHCP dmarreront par les valeurs les plus faibles (.1, .2,) alors que les valeurs les plus leves seront
rserves des nuds rseaux remarquables (comme ladresse de rattachement du routeur, .254, plus
prcisment, la default-gateway des stations de travail).

Notre plan tant prt, nous allons, toujours dans un souci de documentation, tablir un document de
recensement des rseaux que nous allons utiliser dans le cadre de linterconnexion des Lans de Paris et de
Montpellier. Bien entendu, cette documentation doit vivre sous peine de devenir rapidement inutilisable.
Nous ajouterons une autre contrainte notre interconnexion. Il ny aura quune patte de rattachement
physique pour le routage inter sites et Vlans. Il ny aura galement quun seul serveur DHCP qui distribuera les
adresses pour tous les Vlans de Montpellier ainsi que celui de Paris.
Plan dadressage et tableau de recensement des IP, Phase I-Etape 2
Plan dadressage et sous

Type de codification Adresses Affectes
rseaux
Hrault 10.34.0.0/16
Montpellier Vlan10 10.34.1.0/24
Dhcp/Dns Montpellier 10.34.1.200
Plage Dhcp Montpellier Vlan 10 10.34.1.1 10.34.1.100/24
Routeur 10.34.1.254
Routeur 10.34.2.254
Routeur 10.34.3.254
Une dernire remarque avant de passer la configuration : Nous navons pas ncessit de mettre en place un
protocole de routage sur notre routeur de Montpellier. En effet, ce dernier sera directement raccord
lensemble des Vlans (via un lien Ethernet 802.1q).
Chaque interface de rattachement (ou plutt sous-interfaces pour une interface physique dans le cadre dun
lien 802.1q) aura une adresse IP (qui sera la passerelle par dfaut de la pile IP de chaque station de travail ou
serveur), et, de facto, le routeur connaitra les trois rseaux de Montpellier, quil identifiera comme tant
directly connected .

Nous allons commencer par mettre jour notre documentation :
Tableau des noms dhtes, Phase I-Etape 2 (hostnames)
Noeud Nom dhote

st
st
st
nd
nd
nd
nd
Routeur de Montpellier Montpellier
Tableau des liaisons, Phase I-Etape 2 brassage

Fa0/11 Fa0/11
Fa0/23 Fa0/0 Montpellier Routeur 802.1q
Fa0/2 Vlan 10 FastEthernet PCVlan10Montpellier Poste de travail
Fa0/11 Fa0/11
Fa0/4 FastEthernet Serveur Montpellier Dns Dhcp
Montpellier Fa0/0 Fa0/23 MtpSwitchFrontal Routeur 802.1q

Puis nous allons rajouter dans notre projet sur Packet Tracer un routeur 2811, qui sera raccord sur le port
Fa0/23 du commutateur MtpSwitchFrontal , partir de son port Fa0/0 (comme indiqu dans notre
documentation).
Nous allons galement rajouter 3 stations de travail, qui nous serviront valider la bonne configuration de
notre interconnexion, ainsi quun serveur Dhcp.
Une fois lensemble connect via des cbles droits, et quelques champs texte rajouts pour le commentaire,
vous devriez avoir un schma quivalent la copie dcran ci-dessous :
Packet Tracer - Phase I tape 2
C - Configuration des postes de travail
Ils seront paramtrs pour rcuprer leur pile IP via un serveur Dhcp
Pour chaque poste de travail, cliquer sur son icne et aller sur longlet Desktop
Choisir IP configuration
cocher DHCP .

D Configuration du routeur (Cration)
Contentons nous de laspect de notre routeur pour

linstant, en couvrant les slots inutiliss par des
Wic Cover et un NM Cover , grce longlet
Physical . Attention, nomettez pas dteindre
votre routeur avant tout ajout (et de le rallumer en
fin daction).
E Configuration du serveur Dhcp
Pour terminer, nous allons connecter un serveur

Dhcp. Il sera lintrieur dun domaine de
diffusion, dans le rseau IP 10.34.1.0/24, mais
dlivrera des adresses pour nos trois Vlans, en
paramtrant le relais Dhcp sur les sous-interfaces
du routeur.
Sur le serveur ajout, aller sur longlet

Config
Choisir DHCP
Assurez-vous que le service Dhcp est bien
On.
Une remarque sur ladresse du serveur Dns nous
Champ Pool Name : la premire fois, on
aborderons plus tard la notion et la mise en place
garde le nom par dfaut serverPool ,
dune architecture de rsolution de noms. Pour
puis serverPoolx pour les tendues
linstant, nous saisirons toujours la mme adresse
suivantes.
IP : 10.200.0.222.
Saisir la Default Gateway (pour les postes
de travail) : 10.34.x.254
Saisir le Dns Server : 10.200.0.222
(toujours le mme quelques soit
ltendue).
Saisir la Start IP address : 10.34.x.1
Saisir le Subnet Mask : 255.255.255.0
Saisir Maximum number of users : 100
Faire Save pour la premire tendue
(serverPool est ltendue par dfaut, et
donc existe dja), ou Add puis Save, pour
les tendues suivantes.

F Configuration du routeur
Nous allons utiliser un seul lien physique pour relier le routeur au LAN de Montpellier. Il devra donc router le
trafic entre les trois sous-rseaux. Nous utiliserons donc une encapsulation dot1q cot commutateur et cot
routeur.
Configuration du commutateur
MtpSwitchFrontal>
MtpSwitchFrontal>en
MtpSwitchFrontal(config)#interface fastEthernet 0/23
MtpSwitchFrontal#
Vrification de la configuration du port du commutateur
MtpSwitchFrontal#sh interfaces fa0/23 switchport

Name: Fa0/23
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none
MtpSwitchFrontal#
Passons maintenant cot routeur. Ce dernier est rattach au commutateur via son interface Fa0/0. Pour
mettre en uvre le 802.1q sur le routeur, nous allons entrer en mode configuration de cette interface, dans
laquelle nous allons crer des sous interfaces (interfaces virtuelles) :
Configuration de la Fa0/0 du routeur
Montpellier#conf t
Montpellier(config)#int fa0/0.10
Montpellier(config-subif)#encapsulation dot1Q 10
Montpellier(config-subif)#ip address 10.34.1.254 255.255.255.0
Montpellier(config-subif)#no shut
Montpellier(config-subif)#int fa0/0.20
Montpellier(config-subif)#exit

Sur linterface Fa0/0, nous avons cr une sous-interface indexe par le numro de Vlan (toute autre valeur
aurait t permise, mais moins significative) ; On prcise lencapsulation dot1q, et le Vlan rattach ; puis, nous
saisissons son adresse IP, comme pour une interface physique.
Remarque : au besoin, faire un no shutdown de linterface physique Fa0/0.
Vrification de la configuration sur le routeur
Passons maintenant quelques commandes pour vrifier que tout est correctement paramtr et fonctionne
Montpellier#sh interfaces fa0/0.10

FastEthernet0/0.10 is up, line protocol is up (connected)
Hardware is PQUICC_FEC, address is 0090.2120.83d3 (bia 0090.2120.83d3)
Internet address is 10.34.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 10
ARP type: ARPA, ARP Timeout 04:00:00,
Last clearing of "show interface" counters never


Montpellier#
Montpellier#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 1 mask

C 10.34.1.0/24 is directly connected, FastEthernet0/0.10
Montpellier#
Rappelons-nous que le serveur Dhcp a t connect dans le sous rseau 10.34.1.0/24. Il va donc falloir mettre
en place un relais vers ce serveur pour que les demandes de baux IP, venant de 10.34.2.0/24 et de 10.34.3.0/24
puissent aboutir.
Ladresse utilise dans la commande ci-dessous, sera ladresse IP du serveur Dhcp.

Montpellier#conf t
Montpellier(config)#int fa0/0.20
Montpellier(config-subif)#
Montpellier(config-subif)#ip helper-address 10.34.1.200
Montpellier(config-subif)#ip helper-address 10.34.1.200
Montpellier(config-subif)#^Z
Montpellier#
Montpellier#
Pour finir, nous allons vrifier que nos trois postes

de travail ont bien obtenus un bail Dhcp, en allant
sur IP Configuration dans longlet
Desktop Nous devrions voir apparatre une
pile IP renseigne
Dans ce mme onglet, nous pouvons galement

lancer une fentre de commande (command
prompt) et essayer de faire un Ping de notre
machine du Vlan 20 vers une machine situe dans
le Vlan 10, pour obtenir le rsultat ci-contre.
Cest termin nous avons mis en uvre notre routage sur Montpellier ; nous avons mis en place un serveur
Dhcp qui distribue des baux sur nos trois sous-rseaux et les retour corrects de ping doivent nous conforter
dans le fonctionnement de cette inter-connexion.
-ooOoo-

Phase II Mise en place de linterconnexion avec Paris
Architecture Phase II
Vlan 20
OspfArea34
Montpellier
1st Floor
OspfArea0
Vlan 10
MontpellierNetworks
10.34.1.0/24 (vlan10)
10.34.2.0/24 (vlan20)
10.34.3.0/24 (vlan30)
Gateway : .254
Switch Vtp Server Dlci 175
Domain montpellier
Vlan 30 Port Channel

802.1q
Montpellier
2nd Floor IP over Frame Relay
CV Montpellier(.10)/Paris(.9)
10.100.100.8/30
Vlan 10
DHCP
Frame
Montpellier
Relay
Paris
Switch
Dlci 134
OspfArea0
Paris Network
10.75.1.0/24
OspfArea75
Switch Vtp
Server
Domain Paris
Paris
Notre entreprise se porte bien si bien que louverture dun site Parisien est lordre du jour. Nous allons pour
cela devoir utiliser des technologies propres la ralisation de liaisons grandes distances (Wan pour Wide
Area Network ).
Pour raliser cette interconnexion, nous allons louer les services dun oprateur. Une contrainte apparat : si
louverture dun site Parisien est dactualit, il probable qua trs court terme, un site Marseillais sera
galement mis en place.
Dans cette optique, loprateur nous propose un accs physique sur Montpellier et Paris, sur lequel sera mis en
place un circuit virtuel point point qui utilisera la technologie de commutation de trames (Frame Relay).

Quand le sige de Montpellier dsirera raliser une interconnexion vers Marseille, il nous suffira de crer sur
laccs physique de Montpellier un nouveau circuit virtuel. Le seul nouvel accs physique commander sera sur
Marseille.
Cette ralisation va ncessiter la mise en place sur nos routeurs d interfaces Sries, pour se connecter au
modem de loprateur (les normes de cblages mcaniques - connecteur physique -, lectriques - impdance
sur les broches des connecteurs - et fonctionnelles signification du signal par broche - sont diffrentes dans
le monde du Wan et celui du Lan).
Pour fonctionner, toutes liaisons synchrones ncessitent le calage sur un signal dhorloge. Cest loprateur, via
le modem, qui nous fournira ce signal. Nous devrons utiliser un cble dit Srial DCE pour connecter le
Modem oprateur (DCE ou ETCD) notre routeur (DTE ou ETTD).
Larchitecture Lan de Paris sera identique celle de Montpellier. Elle sera simplifie au niveau 2 par la mise en
place dun seul domaine de diffusion (Vlan 10). Cependant, dans un souci dvolution, nous garderons le
principe de lutilisation du VTP, avec un VTP Server qui sera le commutateur frontal de Paris, les autres tant
des VTP Clients, lensemble fonctionnant pour le domaine VTP Paris .
Pour le niveau 3, notre plan dadressage nous guide dans le choix de la codification : ce sera le 10.75.1.0/24
pour le Lan de Paris.
Il nous guide galement dans le choix du rseau IP qui sera utilis entre Montpellier et Marseille :
10.100.100.8/30.
8
En effet, si pour nos Lans, le masque est sur 24 bits, ce qui laisse la possibilit de coder 2 -2 postes de travail,
pour une liaison Wan point point, seulement 2 adresses utiles seront ncessaires (sur chacun des deux
points)si on rajoute ladresse du rseau et celle de broadcast de niveau 3, il nous faut donc 4 possibilit de
2
codification, soit : 2 .
Ainsi, 2 bits seulement seront donc ncessaires la codification de la partie host de tels rseaux soit, pour le
masque 32 bits max- 2 bits hosts => 30 bits => Not /30 ou 255.255.255.252.
Les stations de travail utiliseront le Dhcp. Nous ne mettrons pas en place un tel serveur sur Paris, mais nous
ajouterons une tendue sur le serveur Dhcp de Montpellier.
De manire propager nos demandes dadresses IP de Paris vers Montpellier, nous utiliserons nouveau la
commande ip helper-address , comme nous lavions fait sur le routeur Montpellier , entre ses diffrents
sous rseaux.
Sur Paris, nous mettrons en place un routeur, charg dacheminer le trafic vers Montpellier. De la mme
manire, il nous faudra configurer le routeur de Montpellier pour que ce dernier achemine galement le trafic
vers Paris.
Si les routeurs connaissent nativement les rseaux sur lesquels ils sont directement connects, ils ne
connaissent pas les rseaux connus des autres routeurs (Le routeur de Paris connaitra le Lan 10.75.1.0/24, le
Wan 10.100.100.8/30, mais pas les rseaux 10.34.x.0/24 de Montpellier).
Pour cela, il faudra mettre en place un protocole de routage, qui permettra ces deux routeurs dchanger
leurs routes.
Enfin, pour tester correctement notre simulation, nous rajouterons deux postes de travail, sur deux
commutateurs diffrents du Lan de Paris.

Une fois lensemble connect, et quelques champs texte ajouts pour le commentaire, vous devriez avoir un
schma quivalent la copie dcran ci-dessous :
Packet Tracer - Phase II

A Protocole de routage et liens WAN
Quelques remarques sur le protocole de routage
Dans notre simulation, nous allons utiliser Ospf. Ospf est un IGP (Interior Gateway Protocol) particulirement
adapt des rseaux organiss hirarchiquement.
Il va tre utilis par les routeurs pour changer leurs tables de routage. En effet, au dmarrage dun routeur, ce
dernier charge dans sa table les seuls rseaux connus, savoir ceux pour lesquels une ou plusieurs adresses IP
ont t paramtres sur leurs interfaces. Ces rseaux sont dits directly connected .
Pour Montpellier, 4 seulement seront connus :
10.34.1.0/24 par ladresse 10.34.1.254 rattache une interface Ethernet

10.100.100.8/30 par ladresse 10.100.100.10 rattache une interface Srie
Pour Paris, 2 seulement seront connus :

10.100.100.8/30 par ladresse 10.100.100.9 rattache une interface Srie
Via Ospf (qui utilise des trames de type Multicast), le routeur de Montpellier apprendra comment joindre le
rseau 10.75.1.0 au travers du lien Wan qui le relie Paris. Pour le routeur de Paris, ce mme lien Wan lui
permettra dapprendre o sont (ou plutt, par o il faut passer) pour joindre les rseaux 10.34.1.0/24,
10.34.2.0/24, 10.34.3.0/24.
Pour construire sa table de routage, chaque routeur devra connatre lensemble de la topologie du rseau (les
nuds et les liens) de manire calculer la route optimale pour commuter les paquets.
Cette topologie est stocke dans la LSDB (Link State Database) . Chaque changement dtat dun lien sera
vhicul par inondation sur le rseau au travers de trames LSA (Link State Advertisements) , de manire en
informer chaque nud de routage, pour quil mette jour sa LSDB et sa table de routage (recalcul du le
cheminement optimal).
Plus le rseau est tendu, plus la LSDB le sera et plus elle sera soumise aux variations potentielles des tats des
liens du rseau, quelle que soit leur localisation gographique Pour sadapter lagrandissement dun rseau
et son optimisation, Ospf va pouvoir tre organis en groupe logiques de routeurs, appels Aires (il est tout
fait possible de navoir quune seule aire pour des petits rseaux).
Les aires communiquent entre elles via, et seulement via, une aire dite backbone ; laire 0. Toutes les
autres aires doivent donc avoir un lien (physique ou virtuel Virtual Link), vers celle-ci.
Cette organisation en aires permet de limiter les flux changs entre les routeurs de deux aires diffrentes, et
deffectuer des regroupements de rseaux lors dannonces. Ces oprations seffectuent sur le routeur frontire
entre laire 0 et une autre aire (ABR pour Area Border Router ).
Nous navons pas lambition de dvelopper la thorie Ospf dans cette simulation, mais autant faire les choses
bien, en particulier dans la construction de nos aires Ainsi, sur de petits rseaux, si tous nos routeurs

appartiennent la seule aire 0 (area 0), tout se passera pour le mieux mais le jour o ce nest plus 3 ou 4 sous
rseaux que lon interconnecte, mais 100 ou 200, les contraintes changent
Ainsi, histoire de prendre de bonnes habitudes, nous dploierons dans notre simulation Ospf en Multi-
areas , mme si un rattachement de toutes les interfaces une seule Aire 0 aurait tout fait bien
fonctionneune bonne mise en uvre, sur des petits rseaux, permet dacqurir les bonnes pratiques qui
seront forts peu loignes de celles mettre en uvre sur de gros rseaux
Organisation des aires Ospf de notre simulation
Quelques remarques sur les liens Wan utiliss
Dans notre simulation, les liens que nous allons utiliser sont bass sur la commutation de trames (Frame
Relay). Le Frame Relay est une volution du protocole X25. Cependant, si X25 tait une norme qui couvrait les
niveaux 1,2 et 3 de lOSI, Frame Relay est un protocole qui couvre le niveau 2.
L encore, nous nallons pas faire un cours magistral sur cette technologie, mais mettre en vidence les
lments remarquables de son fonctionnement
Le premier point intressant est le gain obtenu sur le temps dacheminement. En effet, laugmentation de la
fiabilit des liaisons longues distances permet de mettre en place des contrles de validit de trames de bout
en bout, et non plus sur chaque nud travers, ce qui va nous permettre dobtenir un gain de temps lors de la
commutation (X25 effectuait des contrles de validit aux niveaux 1, 2 et 3, sur chaque nud travers).
Lutilisation dun seul accs physique, pour effectuer des liaisons multi-sites, est galement un atout important
de cette technologie. Dans la simulation, nous mettrons en place des liaisons de type point point ; une telle
mise en place aurait du ncessiter la souscription dautant dabonnements physiques quil y a de points
distants relierle Frame Relay va nous permettre de souscrire un seul abonnement physique (taill en
consquence, bien entendu), sur lequel nous demanderons loprateur dtablir des liaisons logiques (Circuit
Virtuel) destination de chacun de nos sites distants. Cest donc un gain financier, car cest gnralement le
cot de labonnement physique qui est lev en raison de la construction de la ligne alors que la mise en place
de circuits virtuels est une simple configuration logicielle.
Chaque circuit virtuel est identifi localement (il nest pas ncessaire davoir le mme numro didentifiant sur
chacun des deux points pour effectuer une liaison, mme si il simplifie grandement la comprhension dans la
pratique de ladministration du rseau) par un Dlci (Data Link Connection Identifier).

Cette technologie va aussi nous permettre de jouer entre la bande passante maximum garantie par loprateur
et le dbit rel offert par le lien physique. Contractuellement, quand on demande un circuit virtuel un
oprateur, on lui demande un CIR (Commited Information Rate) c'est--dire un dbit maximum garanti.
Le CIR est gal Bc / Tc, avec Bc (Comitted Burst Size) qui reprsente le nombre maximum de bits devant tre
transmis sur Tc (Comitted Rate Measurement Interval) qui reprsente lintervalle de temps de la mesure. Le
bit DE (Discard Eligibility) de la trame Frame relay est cod 0. Ce dbit est garanti.
Un exemple : je souscris un abonnement pour une ligne dont le dbit physique est de 2048 kbps, et
je demande la cration dun circuit virtuel 128 Kbps, c'est--dire un paramtrage du commutateur
avec Bc = 128. En France, Tc = 1s, ce qui simplifie grandement les calculs avec CIR = 128 / 1 => 128
Kbps, donc CIR = Bc (attention, ce nest peut tre pas forcement le cas dans dautres pays).
Sur un circuit virtuel, si la bande passante ncessaire devient suprieure au CIR, il sera possible dmettre au-
del du dbit garanti, dans la limite de lEIR (Extended Information Rate).
LEIR est gal Be / Tc, avec Be (Excess Burst Size) qui reprsente le nombre maximum de bits pouvant tre
transmis sur Tc (Comitted Rate Measurement Interval) qui reprsente lintervalle de temps de la mesure. Le
bit DE (Discard Eligibility) de la trame Frame relay est cod 1. Ce dbit nest pas garanti.
Reprenons lexemple prcdent : sur mon circuit virtuel dont le dbit garanti est de 128 Kbps, je peux
avoir des besoins de pointes 256 Kbps. Loprateur va rgler Be 256 128 = 128. Tc reste inchang,
1. Nous aurons donc EIR = 128 x 1 => 128 Kbps. Hors congestion, le dbit rel du lien sera donc de
CIR + EIR = 128 + 128 = 256 Kbps dont 128 Kbps garantis. La valeur de Be est paramtrable par
loprateur.
Il reste grer la congestion que peuvent engendrer ces dbordements de bande passante : pour signaler
lentre dans cet tat de congestion aux nuds du rseau, le commutateur va mettre un BECN (Backward
Explicit Congestion Notification) vers lmetteur et un FECN (Forward Explicit Congestion Notification) vers le
destinataire. Les nuds rcepteurs de cette information, sils sont correctement paramtrs, doivent ainsi
pouvoir adapter leur dbit en mission pour permettre au commutateur Frame Relay de sortir de cet tat.
Cest dautant plus dans lintrt des nuds, que le commutateur va mettre en marche un mcanisme de
dcongestion radical : Le drop alatoire des trames dont le bit DE est positionn 1, quels que soient les Dlci.
Et qui dit drop de trames, dit retransmissions TCP probables, et ralentissement applicatif.
Dans un respect contractuel si le dbit > CIR + EIR, toutes les trames seront limines.
Une dernire remarque sil est recommand davoir un cumul des CIR des Dlci infrieur ou gal au dbit
physique, il est tout fait possible de faire de loverbooking.
Par exemple, jai 3 liens physiques 2048 Kbps sur trois sites, Alpha, Beta et Gamma. Gamma est un
site de sauvegarde sur lequel je me connecte de 22h00 03h00 chaque nuit. Beta est le site de mes
utilisateurs, qui accdent au systme hberg sur Alpha, tous les jours de 08h00 18h00.
Il est tout fait possible de demander un oprateur de crer sur Alpha, 2 CV 2048 Kbps chacun
(soit un total thorique de 4096 Kbps) sur mon seul lien physique 2048Kbps. Jaurai ainsi un dbit
2048 Kbps entre Alpha et Beta en journe, et 2048 Kbps entre Alpha et Gamma la nuit. Le tout sur
un accs physique 2048 Kbps !
Il est cependant probable que, ne pouvant maitriser la rigueur de votre gestion horaire, loprateur ne pourra
sengager sur les dbits garantis.

Terminologie Frame Relay
EIR=Be/Tc
2048Mbps Dbit Physique maximum CIR=Bc/Tc
Trames limines
1024 Kbps MIR (Maximum Input Rate)

EIR
(Extendeded Information Rate)
Dbit non garanti
768Kbps Bit DE=1

CIR Bit DE=0
(Commited Information Rate)
Dbit garanti
T ...
Dure pour un Dlci (Data Link Connexion Identifier, chantillonn T)
Comportements Frame Relay
2048Mbps MIR (Maximum Input Rate) - Dbit Physique maximum
EIR=Be/Tc
Trames limines Drop des trames avec bit DE=1
CIR=Bc/Tc
Quel que soit le Circuit
1024 Kbps
BECN EIR
(Vers Emetteur) (Extended Information Rate)
FECN Dbit non garanti
(Vers Destinataire)
Be
Comportement adaptatif des nuds

baisse de lmission
768Kbps Bit DE=1

CIR Bit DE=0
Dlci10
(Commited Information Rate)
Dbut Congestion svre
Dbut Congestion lgre
Dbit garanti
Fin Congestion
Bc
Dlci22
T ...
Dure pour deux Dlci (Data Link Connexion Identifier, chantillonn T)

Toujours selon le mme principe, nous allons commencer par mettre jour notre documentation :
Plan dadressage et tableau de recensement des IP, Phase II
Type de codification Plan dadressage et sous rseaux Adresses Affectes

Hrault 10.34.0.0/16
Routeur 10.34.1.254
Routeur 10.34.2.254
Routeur 10.34.3.254
Paris 10.75.0.0/16
Paris Vlan10 10.75.1.0/24
Plage Dhcp Paris 10.75.1.1 10.75.1.100/24
Routeur 10.75.1.254/24
Lien Wan 10.100.100.0/24
Montpellier Paris 10.100.100.8/30
Montpellier 10.100.100.9
Paris 10.100.100.10
Tableau des noms dhtes Phase II (hostnames)
Noeud Nom dhote

st
st
st
nd
nd
nd
nd
Commutateur Frontal Paris SwitchFrontalParis
Commutateur 1 Paris SwitchParis1
Routeur de Paris Paris

Tableau des liaisons Phase II brassage

Fa0/11 Fa0/11
Fa0/11 Fa0/11
S0/0/0 S0/0/0 Paris FR Dlci 175
Paris Fa0/0 Fa0/23 SwitchFrontalParis Routeur
S0/0/0 S0/0/0 Montpellier FR Dlci 134
SwitchFrontalParis Fa0/1 Fa0/1 SwitchParis1 802.1q
Fa0/2 Fa0/1 SwitchParis2 802.1q
Fa0/23 Fa0/0 Paris Routeur
SwitchParis1 Fa0/24 Fa0/24 SwitchParis2 802.1q
Fa0/1 Fa0/1 SwitchFrontalParis 802.1q
SwitchParis2 Fa0/1 Fa0/2 SwitchFrontalParis 802.1q
Fa0/2 Vlan 10 FastEthernet PCVlan10Paris Poste de travail

C Configuration des liens LAN
Nous nallons pas commenter le dtail de la mise en uvre de linfrastructure Lan de Paris, puisque que nous
lavons dj fait lors de la mise en place du site de Montpellier. Notons simplement que cette architecture est
moins complexe, puisquelle ne possde pas dagrgat de liens, et un seul Vlan.
SwitchFrontalParis#conf t
SwitchFrontalParis (config)#interface fastEthernet 0/1
SwitchFrontalParis (config-if)#switchport mode trunk
SwitchFrontalParis (config-if)#^Z
SwitchParis1#conf t
SwitchParis1 (config)#interface fastEthernet 0/24
SwitchParis1 (config-if)#switchport mode trunk
SwitchParis1 (config-if)#^Z
SwitchParis2#conf t
SwitchParis3#conf t
SwitchFrontalParis >en
SwitchFrontalParis #conf t
SwitchFrontalParis(config)#vtp domain paris
Changing VTP domain name from NULL to paris
SwitchFrontalParis (config)#vtp mode server
serveur)
SwitchFrontalParis (config)# ^Z
Pour activer les VTP Client (exemple donn pour le commutateur SwitchParis1)
SwitchParis1>en
SwitchParis1#conf t
SwitchParis1 (config)#vtp domain paris
SwitchParis1 (config)#vtp mode client
SwitchParis1 (config)# ^Z

Pour crer le Vlan 10 sur le VTP Serveur
SwitchFrontalParis>en
SwitchFrontalParis #conf t
SwitchFrontalParis (config)#vlan 10
SwitchFrontalParis (config-vlan)#name Paris
SwitchFrontalParis (config-vlan)#^Z
SwitchFrontalParis #
Configuration de la Fa0/0 du routeur
Raccordons dans un premier temps notre routeur cot Lan. Nous verrons par la suite comment le
raccorder au lien Wan. Notons la ligne de commande qui permet de joindre le serveur Dchp (ip helper-
address 10.34.1.200) Il ny a pas de Dhcp local.
Paris#conf t
Paris (config)#int fa0/0
Paris (config)#ip address 10.75.1.254 255.255.255.0
Paris (config)#ip helper-address 10.34.1.200
Paris (config)#no shut
Paris #
D Mise en place du Frame Relay
Pour notre simulation, il va dabord falloir raliser

le nud effectuant la commutation frame-Relay
chez loprateur. Dans Packet Tracer, nous allons
rajouter un nud de type Cloud-PT-Empty
dans le choix Wan Emulation
Puis nous allons ouvrir ce nuage, en effectuant un

double clique.

Aprs avoir teint le nud en cliquant sur
linterrupteur, nous allons le charger avec 8
modules de type PT-CLOUD-NM-S de manire
obtenir aprs remise sous tension, le chssis
suivant :
Nous allons maintenant configurer, sur chaque

interface physique, les Circuits virtuels, en les
identifiant avec leur Dlci.
Linterface Srial0 du commutateur

Frame-Relay sera rattache physiquement
linterface S0/0/0 du routeur de Paris.
linterface S0/0/0 du routeur de
Montpellier.
Dans longlet Configuration , nous allons choisir

linterface Srial0 (qui sera donc connecte sur
Paris) et crer le Dlci 134 comme indiqu ci-contre.
Ce Dlci sera connu de Paris comme tant le lien
vers Montpellier. Faire Add pour ajouter le circuit
virtuel.
Ensuite, nous allons choisir linterface Srial1 (qui

sera donc connecte sur Montpellier) et crer le
Dlci 175 comme indiqu ci-contre. Ce Dlci sera
connu de Montpellier comme tant le lien vers
Paris. Faire Add pour ajouter le circuit virtuel.

Il nous faut maintenant paramtrer la
commutation entre ces deux circuits. Pour cela,
nous allons aller dans la partie Frame-Relay de
notre commutateur, et prciser, pour linterface
physique Srial 0, Sublink Montpellier, une
commutation avec linterface Srial 1, Sublink
Paris. Faire Add pour activer la commutation.
Avant de raliser un branchement, il va falloir

galement rajouter sur les routeurs de Montpellier
et de Paris, des interfaces physiques. Pour cela, il
faut effectuer un double-clique sur chaque
routeur, et aller dans longlet Physical .
Si il existe des WIC Cover (nous en avions mis sur

le routeur de Montpellier), enlevez celui du slot 0
contrleur 0 (cf. schma ci-contre. On numrote
les contrleurs de 0 X, en partant du bas,
droite) et mettez en sur les slots inutiliss.
Attention ! Ces oprations seffectuent chssis

teints !
Ensuite, rajouter sur chacun des deux routeurs,

une interface WIC-2T, en effectuant un drag-and-
drop, du choix droulant gauche, vers le slot
libre.
Lopration effectue, noubliez pas de remettre

vos routeurs sous tension.

E Paramtrage des interfaces Srial sur Paris et Montpellier
Routeur de Montpellier
Nous allons dabord passer une commande, au niveau de la configuration globale de linterface physique, pour
prciser le type dencapsulation Frame-Relay que nous allons utiliser. Cette commande sera, par la suite, active
pour toutes les sous interfaces que nous pourrons crer sur cette interface physique.
Montpellier#conf t
Montpellier(config)#interface s0/0/0
Montpellier(config-if)#encapsulation frame-relay ietf
Puis, nous allons crer notre sous-interface logique. Il est souhaitable quelle soit significative ; cest pour cela
que nous allons lindexer avec le numro de Dlci. Dans notre cas, le Dlci vers Paris sera le 175. Une remarque :
Ladresse Ip paramtre ici appartiendra au mme rseau que ladresse Ip qui sera configure sur la
Srial0/0/0.134 de ParisIl ny a bien entendu pas de rseau Ip intermdiaire, la technologie Frame Relay tant
11
une technologie de niveau 2 .
Montpellier(config-if)#int s0/0/0.175 point-to-point

Montpellier(config-subif)#bandwidth 128
Montpellier(config-subif)#frame-relay interface-dlci 175
Montpellier(config-subif)#^Z
Montpellier#
En cas de mauvaise configuration du Frame Relay, le lien Wan ne sera pas oprationnel. Il est toujours possible
de vrifier la disponibilit des circuits virtuels laide de la commande suivante :
Montpellier#show frame-relay pvc
PVC Statistics for interface Serial0/0/0 (Frame Relay DTE)

DLCI = 175, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0.175
input pkts 14055 output pkts 32795 in bytes 1096228

out bytes 6216155 dropped pkts 0 in FECN pkts 0
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0
in DE pkts 0 out DE pkts 0
out bcast pkts 32795 out bcast bytes 6216155
Routeur de Paris
Cot Paris, nous allons effectu la mme opration :
Paris#conf t
Paris(config)#interface s0/0/0
Paris(config-if)#encapsulation frame-relay ietf
11
Dans la configuration du Frame Relay, vous allez prciser une liaison de type point-to-point . Reportez-vous pour
information, dans Annexes et Glossaires , la documentation Topologies Frame Relay et IP .

Paris(config-if)#int s0/0/0.134 point-to-point
Paris(config-subif)#bandwidth 128
Paris(config-subif)#ip address 10.100.100.9 255.255.255.252
Paris(config-subif)#frame-relay interface-dlci 134
Paris(config-subif)#no shut
Paris(config-subif)#^Z
Paris#
Et il nous sera toujours possible de vrifier la bonne configuration des circuits virtuels cot Paris, avec la
commande :
Paris#show frame-relay pvc


La validation dfinitive de cette interconnexion se fera en passant, la commande suivante, sur un de deux
routeurs (Pour lexemple suivant, nous avons choisi le routeur de Paris) :
Paris#show ip interface brief

Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.75.1.254 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
Serial0/0/0 unassigned YES unset up up
Serial0/0/0.134 10.100.100.9 YES manual up up
Serial0/0/1 unassigned YES unset administratively down down
Vlan1 unassigned YES unset administratively down down

Paris#

F - Mise en place du protocole de routage
Linterconnexion tant termine au niveau 2, il va falloir mettre en place les lments qui permettront
deffectuer une interconnexion (IP tant orient sans connexion, il serait plus correct de dire une liaison)
de niveau 3 ; cette possibilit ne pourra exister que si chaque routeur a la connaissance des rseaux Ip connus
de tous les autres routeurs Le protocole de routage Ospf, que nous allons mettre en place, aura pour fonction
la ralisation de cet change de routes entre chaque nud de routage de lAS (Autonomous System).
Voici les tables de routage de Paris et de Montpellier, avant la mise en place dOspf :
Paris#show ip route

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.75.1.0/24 is directly connected, FastEthernet0/0
C 10.100.100.8/30 is directly connected, Serial0/0/0.134
Paris#
Montpellier#show ip route

Montpellier#
On observe que les seuls rseaux connus sur chacun des routeurs, sont bien ceux sur lesquels ils possdent des
rattachements directs. Mettons en place Ospf :
Ospf sur Paris
Paris#configure terminal
Paris(config)#router ospf 20
Paris(config-router)#network 10.75.0.0 0.0.255.255 area 75
Paris(config-router)#network 10.100.100.0 0.0.0.255 area 0
Paris(config-router)#^Z
Paris#
Ospf sur Montpellier
Montpellier#configure terminal
Montpellier(config)#router ospf 10
Montpellier(config-router)#network 10.34.0.0 0.0.255.255 area 34
Montpellier(config-router)# network 10.100.100.0 0.0.0.255 area 0

Montpellier(config-router)#^Z
Montpellier#
Commentons ces commandes :
La commande router ospf X permet de crer une instance (un processus) ospf sur le routeur
concern. La valeur X est uniquement une indication localeelle identifie le processus ospf sur le
routeur concern, et il ny a aucune corrlation ncessaire entre les numros de processus ospf des
routeurscest pour cela que la valeur est 10 sur le routeur de Montpellier, et 20 sur le routeur de
Paris.

12
La commande network [Rseau] [Wildcard Mask] dfinit quels rseaux participeront au processus
de routage. Le wildcard mask nest pas un masque de sous-rseau. Cest un masque dont les bits 0,
appliqu la valeur [Rseau], la rend ou non significative. Dans le cas des rseaux de Montpellier,
nous aurions trs bien pu crire trois lignes de commandes :
o network 10.34.1.0 0.0.0.255 area 34

o network 10.34.2.0 0.0.0.255 area 34
o network 10.34.3.0 0.0.0.255 area 34
mais avec la commande network 10.34.0.0 0.0.255.255, on fera participer l ospf tous les rseaux
qui commencent par 10.34.
Le paramtre area X qui suit la commande network, prcise dans quelle aire de rattachement se situe
les diffrents rseaux. On peut donc dire que le routeur de Paris, comme le routeur de Montpellier
sont des routeurs Border (ABR).
Maintenant, observons la consquence de nos actions sur les tables de routage de Paris et Montpellier :

O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 00:30:48, Serial0/0/0.175
Montpellier#
Paris#sh ip route
12
Cf Annexes et Glossaire : Masques de sous-rseaux et wildcard mask


O IA 10.34.1.0/24 [110/782] via 10.100.100.10, 00:34:08, Serial0/0/0.134
O IA 10.34.2.0/24 [110/782] via 10.100.100.10, 00:34:08, Serial0/0/0.134
O IA 10.34.3.0/24 [110/782] via 10.100.100.10, 00:34:08, Serial0/0/0.134
Paris#
Les tables de routage sont bien correctement renseignes. Ds lors, nous allons pouvoir utiliser toute
application sappuyant sur Ip entre Paris et Montpellieren particulier laccs au serveur Dhcp de Montpellier
sous rserve que ltendue a bien t pralablement configurece que nous allons raliser immdiatement.

G Configuration du serveur Dhcp pour Paris

Config
Choisir DHCP
Champ Pool Name : serverPool4 .
de travail) : 10.75.1.254
ltendue).
Saisir la Start IP address : 10.75.1.1
Faire Add puis Save.
H Configuration des postes de travail de Paris
Pour valider notre configuration, il suffit

maintenant daller dans la partie Desktop dun
poste de travail de Paris, et dactiver dans la
configuration Ip, loption Dhcp.
Si le routage et ltendue ont t correctement

paramtrs, rapidement, le poste de travail devrait
obtenir un bail.

Par principe, validons les liaisons Ip en pingant une
ressource (un poste de travail, par exemple), sur
Montpellier.
Linterconnexion avec Paris est termine, tant au niveau liaison de donnes (N2) quau niveau rseau (N3).
Toutes nos applications sappuyant sur Tcp/Ip fonctionneront dornavant entre Paris et Montpellier.
-ooOoo-

Phase III Mise en place de linterconnexion avec Marseille
Architecture Phase III

Prsentation de la phase
Lvolution attendue se produit. La cration dun site sur Marseille doit tre ralise
En ce qui concerne la cration de linfrastructure Lan, nous reprendrons le modle de Paris (avec le mme
nombre de commutateurs, un Vtp serveur et des Vtp Clients), la diffrence prs que cette fois, nous
mettrons en place un serveur Dhcp Local. Nous aurons galement grer deux Vlans ; un pour les postes fixes,
le Vlan 13, et un autre qui accueillera des postes nomadesle Vlan 113 ; ce sera dailleurs la grande nouveaut
de cette phase, savoir que les postes nomades se connecteront sur le Lan de Marseille, dans le Vlan 113, en
Wifi.
La mise en uvre du Wifi se fera par lajout dun point daccs (Access Point) directement raccord un
commutateur de notre Lan de Marseille, dans le Vlan 113. Laccs sera, bien entendu, scuris.
En ce qui concerne linterconnexion Wan, Paris et Montpellier seront raccords sur Marseille via deux circuits
virtuels Frame-Relay. Nous aurons donc un maillage complet (Full Meshed) entre nos trois sites.
Une fois que cette infrastructure sera en place, nous configurerons la partie Ip . Certaines adresses seront fixes,
(serveur Dhcp, pattes de rattachement des routeurs sur les Lans et le Wan) dautres dynamiques (pour les
stations de travail des Vlans 13 et 113).
Ce sera le serveur Dhcp de Marseille qui sera charg de distribuer les baux sur nos deux Vlans. Celui-ci tant
rattach au Vlan 13, il sera ncessaire dutiliser nouveau la commande ip helper-address sur notre routeur.
Linterconnexion de niveau 3 ncessitera galement la mise en place du protocole de routage Ospf sur le
routeur de Marseille, de manire router nos paquets entre nos deux Lans, et entre Marseille, Paris et
Montpellier.
Notre plan dadressage nous permettra de dfinir prcisment les rseaux Ip que nous utiliserons (Cf la partie
documentation de cette nouvelle phase).
Pour terminer, nous rajouterons quelques postes de travail (fixes et nomades), ce qui nous permettra de
valider notre configuration

schma quivalent la copie dcran suivante :
Packet Tracer - Phase III

A Les rseaux Wifi
Une petite curiosit pour commencer. Le terme Wifi nest pas un terme technique dfinissant les rseaux sans
fils, mais une marque commerciale dpose par un regroupement de professionnels, la Wifi Alliance, dont le
but est de promouvoir les rseaux technologies sans fils. Techniquement, on parlera plutt de Wireless Lan
(WLAN)
Les normes Wlan sont dfinies par l IEEE (Institute of Electrical and Electronics Engineers) sous la rfrence
802.11. Les plus rpendues sont issues des groupes 802.11a, 802.11b, 802.11g et 802.11n (dernire
gnration).
Le mdia utilis dans les rseaux sans fils ne sera donc plus le cuivre ou la fibre optique, mais les ondes radios
qui se propagent dans lespace qui nous environne. Ainsi, des contraintes propres ce mode de transmission
apparaissent :
Sur un rseau de transmission de donnes, le bruit est un lment important car une altration du
signal peut faire perdre linformation. Ce bruit, quil est relativement facile de supprimer sur des
rseaux filaires (cbles blinds, rpteurs), redevient non ngligeable sur des rseaux sans fils
(chevauchement de frquences, loignement de la source).

13
Les frquences utilises font galement lobjet de rglementations. En effet, gnralement des
organismes gouvernementaux rgulent le spectre des radios frquences en rservant des plages, soit
des usages militaires, soit des usages privs ddis, soit des usages privs publics Ces
rglementations peuvent varier dun pays un autre, ce qui peut complexifier laccs au rseau.
La confidentialit est galement un lment important car linterception dun signal radio est
beaucoup plus simple (il suffit dun rcepteur plac dans la zone de couverture) que linterception
dun signal filaire, qui est forcement intrusif. Ce dernier point peut tre jugul par une maitrise de la
zone de couverture (antenne directionnelle, cage de Faraday) et un cryptage plus ou moins
complexe de la transmissionAttention cependant au cryptage : il est lui aussi rgul, et galement de
manires diffrentes selon les pays ; ainsi, dans beaucoup de cas, le cryptage est admis si lalgorithme
de traitement est connu des autorits du pays dans lequel on met, ce qui est en adquation avec les
proccupations de scurit nationale dun tat, mais en contradiction avec la mise en uvre de
nouvelles techniques, protges par des brevets commerciaux
En ce qui concerne laccs au mdia, la norme 802.11 fait voluer la norme 802.3, du CSMA/CD vers le
CSMA/CA (on ne prconise plus la dtection de collision, mais lvitement de collision par anticipation). Les
formats de trames seront donc diffrents, la trame sans fils ayant besoin dinformations supplmentaires.
Pour rsum, dans notre simulation, nous allons nous connecter un rseau disponible dont nous allons rgler
le SSID (Service Set Identifier) de notre point daccs, le choix dun canal en 2,4GHz, et une mthode de
cryptage. Dans un souci de simplification, nous choisirons une cl WEP. Dans le monde rel, il est recommand
de mettre en place un type de cl plus complexe. Nous pourrions galement viter, dans un souci de scurit,
dannoncer notre rseau (SSID = Null), mais ce niveau de scurit ne rsiste pas une dmarche volontaire de
pntrer notre rseau, et savre souvent plus pnalisant car gnant pour les utilisateurs habilits.
13
Cf Annexes et Glossaire : Rseaux sans fils Canaux et Frquences

Avant la mise en oeuvre sur simulateur, prenons quand mme le temps de balayer quelques lments
terminologiques et conceptuels...
La norme 802.11 permet de faire fonctionner un rseau sans fil selon deux modes opratoires :
Le mode Infrastructure
Le mode Ad Hoc
Dans le mode Infrastructure, les postes de travail se connectent au rseau via des AP (Access Points).
L'ensemble des ressources associes un AP (AP compris) se nomme un BSS (Basic Service Set).
Chaque BSS est identifi par un BSSID, qui est, en mode infrastructure, l'adresse mac de l' AP.
Il est possible de relier diffrents AP et ses ressources connectes (donc BSS), via un DI (Distribution System),
que ce soit de manire filaire (votre LAN) ou un autre mdia sans fil... Cette association de BSS se nomme un
ESS (Extended Service Set).
Un ESS est identifi par un ESSID ou plus simplement, de manire abrge, un SSID.
Mode Opratoire type Infrastructure

Dans le mode Ad Hoc, il n'y a plus de noeud de type AP. Les liaisons Wifi se font de poste poste.
Cette association forme un IBBS (Independant Basic Service Set).
Un IBBS est galement identifi par un SSID.
Le problme principal d'un IBBS est qu'il n'y a pas de DS, donc, que les postes seront relis entre eux en
fonction de leur porte.
Ainsi, dans le schma suivant, le Portable A verra les portables B, C et D, mais le portable D, mme si il est
bien associ l' IBBS, ne verra que les portables A et C.
Il lui sera donc impossible d'changer du flux avec le portable B, hors de sa porte radio...
Ce mode opratoire est donc privilgier pour des liaisons poste poste phmres (en substitut de Blutooth,
par exemple), ou dans des PAN (Personal Area Network, comme un rseau domestique)...
Il ne sera quasiment jamais utilis en entreprise...
Mode Opratoire type Ad Hoc
Portable D
IBBS : Independant Basic Service Set

Cet IBBS est identifi par un SSID
Portable A Portable C
Portable B

A nouveau, nous commenons par mettre jour notre rfrentiel. Ce dernier commence devenir
consquent, mais par l mme, prend toute sa valeur
Plan dadressage et tableau de recensement des IP, Phase III

Hrault 10.34.0.0/16
Routeur 10.34.1.254
Routeur 10.34.2.254
Routeur 10.34.3.254
Paris 10.75.0.0/16
Paris Vlan10 10.75.1.0/24
Plage Dhcp Paris 10.75.1.1 10.75.1.100/24
Routeur 10.75.1.254/24
Marseille 10.13.0.0/16 Lan
Wireless Lan
Marseille Vlan13 10.13.1.0/24
Plage DHCP Marseille Vlan13 10.13.1.1 10.13.1.100/24
Dns/Dhcp Marseille 10.13.1.200
Routeur 10.13.1.254
10.113.0.0/16
Routeur 10.113.1.254
Lien Wan 10.100.100.0/24
Paris 10.100.100.10
Montpellier Marseille 10.100.100.16/30
Marseille 10.100.100.18
Paris Marseille 10.100.100.4/30
Paris 10.100.100.5
Marseille 10.100.100.6

Tableau des noms dhtes, Phase III (hostnames)
Noeud Nom dhote

st
st
st
nd
nd
nd
nd
Commutateur Frontal Marseille SwitchFrontalMarseille
Commutateur 1 Marseille SwitchMarseille1
Routeur de Marseille Marseille
Tableau des liaisons Phase III brassage

Fa0/11 Fa0/11
Fa0/11 Fa0/11

S0/0/0 Marseille FR Dlci 113
Marseille Fa0/0 Fa0/24 SwitchFrontalMarseille Routeur 802.1q
S0/0/0 Paris FR Dlci 175
SwitchFrontalMarseille Fa0/1 Fa0/1 SwitchMarseille1 802.1q
Fa0/2 Fa0/1 SwitchMarseille2 802.1q
Fa0/24 Fa0/0 Marseille Routeur
Fa0/4 FastEthernet Serveur Marseille Dns Dhcp
SwitchMarseille1 Fa0/24 Fa0/24 SwitchMarseille2 802.1q
Fa0/1 Fa0/1 SwitchFrontalMarseille 802.1q
Fa0/2 Vlan 13 FastEthernet PC1Marseille Poste de travail
SwitchMarseille2 Fa0/1 Fa0/2 SwitchFrontalMarseille 802.1q
Fa0/2 Vlan 113 FastEthernet AccessPoint Marseille AccessPoint
SwitchMarseille3 Fa0/23 Fa0/22 SwitchParis2 802.1q

C Configuration des liens LAN
Nous nallons pas commenter le dtail de la mise en uvre de linfrastructure Lan de Marseille, puisque que
nous lavons dj fait lors de la mise en place des phases prcdentes. Notons simplement le routage inter-
vlans entre le vlan 13 (postes de travail fixes) et le vlan 113 (postes de travail nomades).
SwitchFrontalMarseille#conf t
SwitchFrontalMarseille (config)#interface fastEthernet 0/1
SwitchFrontalMarseille (config-if)#switchport mode trunk
SwitchFrontalMarseille (config-if)#^Z
SwitchMarseille1#conf t
SwitchMarseille1(config)#interface fastEthernet 0/24
SwitchMarseille1(config-if)#switchport mode trunk
SwitchMarseille1(config-if)#^Z
SwitchFrontalMarseille >en
SwitchFrontalMarseille #conf t
SwitchFrontalMarseille(config)#vtp domain marseille
Changing VTP domain name from NULL to marseille
SwitchFrontalMarseille(config)#vtp mode server
serveur)
SwitchFrontalMarseille (config)# ^Z
Pour activer les VTP Client (exemple donn pour le commutateur SwitchMarseille1)
SwitchMarseille1>en
SwitchMarseille1(config)#vtp domain marseille
SwitchMarseille1(config)#vtp mode client
SwitchMarseille1(config)# ^Z

Pour crer les Vlan 13 et 113 sur le VTP Serveur
SwitchFrontalMarseille >en
SwitchFrontalMarseille #conf t
SwitchFrontalMarseille (config)#vlan 13
SwitchFrontalMarseille (config-vlan)#name PostesFixes
SwitchFrontalMarseille (config)#vlan 113
SwitchFrontalMarseille (config-vlan)#name PostesPortables
SwitchFrontalMarseille (config-vlan)#^Z
SwitchFrontalMarseille #
D Configuration du serveur Dhcp pour Marseille
Pour notre simulation, le postulat concernant le Dhcp est la mise en uvre dun serveur local. Comme nous
lavons fait pour Montpellier, nous allons donc rajouter un serveur physique sur le commutateur frontal de
Marseille. Il prendra en charge les tendues de nos deux sous rseaux (tous les lments de raccordement sont
dans notre documentation)

Config
Choisir DHCP
Champ Pool Name : serverPool .
de travail) : 10.13.1.254
ltendue).
Le sous rseau 10.13.1.0/24 est oprationnel. Nous allons effectuer la mme opration pour le sous rseau des
postes portables, le 10.113.1.0/24

Config
Choisir DHCP
Champ Pool Name : Portables .
de travail) : 10.113.1.254
ltendue).
Cette fois nos deux tendues sont oprationnelles. A la fois pour assurer le routage inter Vlans, et avoir la
possibilit de joindre le serveur Dhcp pour un Broadcast issu de nimporte quel Vlan, nous allons maintenant
paramtrer notre routeur
E - Configuration de la Fa0/0 du routeur (Lan)
Notons la ligne de commande qui permet de joindre le serveur Dchp (ip helper-address 10.13.1.200) sur la
sous interface de routage du rseau 10.113.1.0/24.
Marseille#conf t
Marseille(config)#int fa0/0.13
Marseille(config)#ip address 10.13.1.254 255.255.255.0
Marseille(config)#no shut
Marseille(config)#int fa0/0.113
Marseille(config)#ip address 10.113.1.254 255.255.255.0
Marseille(config)#ip helper-address 10.13.1.200
Marseille(config)#no shut
Marseille #
Voila, la partie Lan de Marseille est cre et le routage inter-Vlans sont oprationnels. Nous allons maintenant
demander loprateur de crer, sur le rattachement physique de Marseille, deux Circuits virtuels ; un vers
Montpellier, lautre vers Paris. Reprenons la configuration de notre commutateur Frame Relay

F Mise en place et modification du Frame Relay
Nous allons maintenant configurer, sur chaque

interface physique, les Circuits virtuels, en les
identifiant avec leur Dlci. Nous savons dj que :

linterface S0/0/0 du routeur de Paris.
Montpellier.
Nous allons maintenant rajouter un rattachement

physique :

Marseille.

linterface Srial3 (qui sera donc connecte sur
Marseille) et crer le Dlci. Ce Dlci sera connu de
Marseille comme tant le lien vers Montpellier.
Nous allons galement crer le Dlci 175. Ce Dlci
sera connu de Marseille comme tant le lien vers
Paris.
Enrichissons dun Dlci la commutation vers Paris :

maintenant linterface Srial0 (qui sera donc
connecte sur Paris) et crer le Dlci 113. Ce Dlci
sera connu de Paris comme tant le lien vers
Marseille
Enrichissons galement dun Dlci la commutation

vers Montpellier : Dans longlet Configuration ,
nous allons choisir maintenant linterface Srial1
(qui sera donc connecte sur Montpellier) et crer
le Dlci 113. Ce Dlci sera connu de Montpellier
comme tant le lien vers Marseille
Nous allons maintenant paramtrer la commutation entre ces nouveaux circuits virtuels

Il nous faut maintenant paramtrer la
commutation entre nos nouveaux liens ; nous
allons aller dans la partie Frame-Relay de notre
commutateur, et prciser :
Pour linterface physique Srial 0, Sublink

Marseille, une commutation avec
linterface Srial 3, Sublink Paris. Faire
Add pour activer la commutation entre
Marseille et Paris
Pour linterface physique Srial 1, Sublink
Marseille, une commutation avec
linterface Srial 3, Sublink Montpellier.
Faire Add pour activer la commutation
entre Marseille et Montpellier
Nous allons maintenant modifier les liens Wan de nos routeurs de Montpellier, Paris et Marseille pour activer
cette commutation. A ce stade, votre maitrise du passage de lignes de commande tant parfaite (je lespre)
nous nous contenterons de commentez les configurations finales des diffrents nuds
Routeur de Marseille
Marseille#sh run
Building configuration...
()
interface Serial0/0/0
no ip address
encapsulation frame-relay ietf
!
! Sous interface de liaison Frame Relay entre Marseille et Montpellier
interface Serial0/0/0.134 point-to-point
bandwidth 128
ip address 10.100.100.18 255.255.255.252
frame-relay interface-dlci 134
!
! Sous interface de liaison Frame Relay entre Marseille et Paris
bandwidth 128
ip address 10.100.100.6 255.255.255.252
()
Montpellier#sh run
()
no ip address
!
! Sous interface de liaison Frame Relay entre Montpellier et Marseille
bandwidth 128
ip address 10.100.100.17 255.255.255.252
!
! Sous interface de liaison Frame Relay entre Montpellier et Paris
bandwidth 128
ip address 10.100.100.10 255.255.255.252
()

Routeur de Paris
Paris#sh run
()
no ip address
!
! Sous interface de liaison Frame Relay entre Paris et Marseille
bandwidth 128
ip address 10.100.100.5 255.255.255.252
!
! Sous interface de liaison Frame Relay entre Paris et Montpellier
bandwidth 128
ip address 10.100.100.9 255.255.255.252
!
Vrifions maintenant sur nos diffrents routeurs, que les circuits Frame Relay sont bien actifs entre nos trois
sites :
Montpellier#sh frame-relay pvc



Montpellier#sh ip int brief

FastEthernet0/0 unassigned YES unset up up
FastEthernet0/0.10 10.34.1.254 YES manual up up
Montpellier#

Routeur de Marseille
Marseille#sh frame-relay pvc



Marseille#sh ip int brief

FastEthernet0/0 unassigned YES unset up up
Marseille#
Routeur de Paris
Paris#sh frame-relay pvc



Paris#sh ip int brief

FastEthernet0/0 10.75.1.254 YES manual up up
Paris#

G Raccordement des Access Points et Configuration des postes de travail sans fil
Nous allons maintenant mettre en place notre Access Point Wireless sur Marseille. Celui-ci sera connect sur le
port Fa0/2 du commutateur SwitchMarseille2 . Nous allons galement rajouter deux postes de travail
portables, sur lesquels nous activerons le Wireless. Nous choisirons demettre sur le canal 6 dans la bande des
2,4GHz, en annonant notre rseau via le SSID Marseille ; nous mettrons galement en place une cl de
scurit WEP de 10 caractres : abcdef0123 (seuls les caractres de type hexadcimaux sont autoriss, de
0 F, donc).
Commenons par configurer notre commutateur
Paramtrage du port Fa0/2 du commutateur SwitchMarseille2
SwitchMarseille2(config)#int fa0/2
SwitchMarseille2(config-if)#switchport mode access
SwitchMarseille2(config-if)#switchport access vlan 113
SwitchMarseille2(config-if)#duplex full
SwitchMarseille2(config-if)#speed 100
SwitchMarseille2#
Cration de l Access Point Wireless
Nous allons maintenant crer notre Access Point

sur notre espace de simulation. Dans Packet
Tracer, sur le choix des devices, choisissez un
Wireless Device et prenez le premier Access
Point Generic .

Double cliquez sur lAccess Point, et aller dans
longlet Config . Dans la partie Global
Settings , taper le nom du matriel :
AccessPointMarseille
Allez maintenant dans la partie Interface Port

0 . Cest linterface de rattachement Ethernet, qui
sera connecte sur le commutateur
SwitchMarseille2 . Le port sera configur en
100/Full, c'est--dire en adquation avec le
paramtrage que nous avons pralablement
effectu sur le port du commutateur.
Allez maintenant dans la partie Interface Port

1 . Ce port correspond lmetteur/rcepteur
radio. Tapez le SSID Marseille et le numro du
canal que nous allons utiliser : 6 ; cochez, dans
authentification, WEP , et tapez sa valeur :
abcdef0123 .
Choisissez 40/64-bit dans Encryption Type.
Cration et paramtrage des postes Wireless
Pour simuler notre connexion Wireless, nous allons choisir dans les End Devices , un poste de type
Laptop Generic .

Cliquez sur le poste que vous venez de mettre en
place. Par dfaut, il possde une interface ethernet
physique, que nous allons remplacer par une
antenne.
Pour effectuer cette opration, il faut aller sur

longlet Physical , puis :
Eteindre le Poste de travail.

Cliquer sur linterface ethernet du poste
et la faire glisser vers linterface Wireless.
Linterface Ethernet doit disparatre et le
slot du poste de travail devient libre.
Cliquer sur lantenne Wireless, et la faire
glisser vers le port disponible du poste de
travail.
Il ne reste plus qua mettre le poste de
travail sous tension lantenne Wireless
est dsormais oprationnelle.
Nous allons maintenant configurer la connexion

vers lAccess Point. Dans longlet Desktop ,
cliquer sur licne PC Wireless .
Lassistant de configuration de la liaison apparat.

Nous allons crer un rpofile de connexion. Choisir
longlet Profiles , et faire New pour crer un
nouveau profil.

Entrez maintenant un nom pour cette connexion.
Attention, ce nom est le nom du profil que vous
tes en train de crerce nest pas le SSID du
rseau (mme si dans notre exemple, le nom du
profil est gal au SSID, ce dernier tant
significatif). Faire OK
Sur lcran suivant, cliquez sur Advanced Setup

pour continuer la configuration.
Choisir Infrastructure Mode , et prciser le SSID

du rseau vers lequel on dsire se connecter :
Marseille . Faire Next.
Notre Access Point tant rattach sur le port Fa0/2

du commutateur SwitchMarseille2, sur le Vlan 113,
ce dernier disposant dun serveur Dhcp, nous
choisirons de cocher Obtain network settings
automatically . Faire Next.

Nous allons maintenant paramtrer la scurit
daccs au rseau sans-fil. Dans la liste droulante,
choisir une mthode daccs de type WEP .
Faire Next.
Conservez le cryptage sur 64 bits, et renseignez la

valeur de la clef WEP : abcdef0123 . Faire Next.
Un cran de synthse reprenant les lments du

profil que vous venez de crer apparat. Faire Save.
Il ne vous reste plus qua vous connecter sur votre

rseau Wireless, en cliquant sur Connect to
network Au bout de quelques instants, la
liaison devrait tre oprationnelle, et votre poste
de travail devrait rcuprer automatiquement une
adresse IP.

Il nous reste valider le bon fonctionnement de ce
rseau Marseillais, en effectuant quelques
pings
Dans lexemple ci-contre, nous validons le Wireless

en nous assurant que la configuration IP est bien
renseigne
et que notre portable sans-fil est capable de

joindre sa passerelle par dfaut (10.113.1.254).

H Intgration dans Ospf
Pour finir cette phase, si le routage inter-vlans a bien t mis en place, prcdemment, sur le site de Marseille
(commutation de paquets entre les rseaux 10.113.1.0/24 et 10.13.1.0/24, via la mise en place du protocole
802.1q sur linterface Fa0/0), il nest pas encore possible dchanger des paquets entre notre site de Marseille
et ceux de Paris et Montpellier
Il reste en effet configurer l Ospf sur le routeur de Marseille. Un petit rappel : Aires Ospf et Rseaux IP sont
deux notions diffrentes Nous allons ainsi crer une aire Ospf 13, dans laquelle nous rattacherons aussi bien
le rseau 10.13.1.0/24 que le rseau 10.113.1.0/24 (Il est hors de question de crer une aire 113 pour le
rseau 10.113.1.0/24)
Notre modle Ospf prendra cet aspect :
Intgration Ospf de Marseille
Et nous configurerons le routeur de Marseille de la manire suivante :
Ospf sur Marseille
Marseille#configure terminal
Marseille(config)#router ospf 20
Marseille(config-router)#network 10.13.0.0 0.0.255.255 area 13
Marseille(config-router)#^Z
Marseille#
Ds lors, il vous est possible de taper quelques commandes ping vers des machines de Paris ou de Montpellier,
qui valideront dfinitivement la ralisation de cette phase
-ooOoo-

Phase IV Simulation d Internautes
Architecture Phase IV
Prsentation de la phase
Nous allons simuler des internautes, qui, de chez eux, accderont des ressources de lInternet via une DSLBox
classiqueCette simulation va passer par lidentification des diffrentes fonctions techniques qui y sont
intgres, c'est dire :
La fonction modem et le raccordement au rseau via une technologie de type Adsl.

La fonction de commutation de niveau 2
La fonction de commutation de niveau 3, associe aux services :
Serveur Dhcp
Translation d'adresses et de ports
La mise en place sur Packet Tracer seffectuera par la mise en place de nuds physiques reprsentant la
fonction dsire.
Gnralement, une Box sert galement de point d'accs pour un rseau sans fil priv...nous ne simulerons pas
la fonctionnalit dans cet exemple, car ce point a t abord prcdemment.

schma quivalent la copie dcran suivante :
Packet Tracer - Phase IV

A - L ADSL (Asymmetric Digital Subscriber Line) Le Modem
Avant tout, cette Box intgrera un modem, qui sera connect sur une prise de tlphone standard de
linstallation domestique des internautes. En amont, loprateur sera intervenu au niveau du central
tlphonique qui alimente la liaison des internautes, pour effectuer un raccordement vers un DSLAM (Digital
Subscriber Line Access Multiplexer) dont la fonction sera, entre autre, de rcuprer le signal analogique des
diffrents modems connects (dautres internautes dont le raccordement aboutit ce mme central
tlphonique) pour le transformer en signal numrique (donnes, tlphonie sur IP), qui sera multiplex et
achemin dans le rseau de loprateur.
Le protocole de niveau 1 qui sera utilis, est lADSL (Asymmetric Digital Subscriber Line). Cette technologie a
t dveloppe sur le postulat suivant : les accs internet avant lADSL devaient utiliser le rseau tlphonique
commut classique via un modem, dont les dbits ne dpassaient pas les 115 200 bits/seconde. De plus, ce
type de connexion ncessitait lutilisation ddie de la ligne tlphonique commute (puisque cela revenait
faire un appel tlphonique) pendant toute la dure de la liaison. Ce qui dbouchait souvent, lors dune
utilisation plus rgulire ou professionnelle, sur la souscription dun deuxime abonnement tlphonique.
Le besoin daugmenter les dbits posait galement un gros problme car il ncessitait galement une refonte
de linfrastructure (volution du mdia) jusque chez linternaute (pose de fibres optiques) pour laquelle les
oprateurs ntaient pas technologiquement prts.
On a donc dcid dutiliser le spectre de la bande passante disponible du rseau tlphonique commut sur
mdia cuivre . On a ainsi rserv les frquences de 0 4kHz la tlphonie classique (analogique), les
frquences de 25,875kHz 137,825kHz pour le trafic montant (Internautes vers Internet), et de 138kHz
1104kHz pour le trafic descendant (Internet vers internaute). Avec lquipement de terminaison appropri, on
se retrouve donc avec la possibilit de tlphoner de manire classique tout en ayant accs simultanment
des donnes numriques.
Spectre du raccordement tlphonique cuivre
Approuve pour la premire fois en 1998, lADSL dans sa forme actuelle, autorise un dbit de 24Mbits
downstream pour 3,3 Mbits upstream.
Concernant lasymtrie, cette diffrence de bande passante disponible entre les dbits montants et
descendants vient de la volont doffrir linternaute une capacit en accord avec son utilisation de lInternet
(beaucoup de remontes dinformation partir de serveurs, pour peu de mise disposition)
Cependant, il faut bien avoir conscience que les besoins en dbits et flux symtriques explosant littralement
(VoIP, Accs plusieurs chaines de tlvision HD en simultan, donnes informatiques multimdias ou autres
hberges chez linternaute), cette technologie est en fin de vie, au profit dune volution vers un mdia de
type fibre optiqueavec par contre, cette fois, une offre oprateur qui existe.

Raccordement de type ADSL
B - La commutation niveau 3 et la translation dadresses
Les technologies dveloppes lors de la cration de lInternet, en particulier IPv4, la couche de routage, ont
trs vites atteint leurs limites des lors que le rseau a pris une dimension mondiale.
Si on ajoute cela quelques rsidus de guerre froide, savoir que les pools dadresses IP rservs taient
rpartis surtout entre les diffrents pays constituant le bloc de lOuest (ou assimils, comme lAustralie) et
trs peu pour les pays du bloc de lEst (Russie sovitique, Chine), et donc compltement hors des contextes
go-politiques et conomiques actuels, linterconnexion mondiale a failli tourner court
La stabilit actuelle dInternet reste fragile, et IPv6 enfin dploy, devrait arriver la fiabiliser, et surtout lui
permettre dvoluer. Deux lments majeurs ont cependant permis de faire vivre IPv4 bien au-dela des
chances annonces :
Labandon des classes et lutilisation du CIDR (Classless Inter Domain Routing) et du VLSM (Variable
Length Subnet mask)
Le NAT ou le PAT (Network Address Translation, Port Address Translation) cest dire la Translation
dAdresses IP et de Ports, qui va nous permettre aussi bien dutiliser une seule adresse publique pour
plusieurs centaines dutilisateurs provenant dun rseau priv, que dinterconnecter deux intranets
ayant un mme plan dadressage.
Prenons un exemple simple, qui sera lobjet de la simulation de nos internautes : Pour communiquer sur
Internet, il nous faut imprativement une adresse IP publique. La raret de celles-ci fait que nos Internautes
auront une adresse, et une seule

Cette adresse est gnralement affecte au poste de travail de linternaute et envoye via Dhcp lors de la mise
sous tension de celui-ci. La DslBox, dans ce cas l, ne jouera que le role dun pont (niveau 2, donc) entre cet
ordinateur et le rseau de loprateur
Raccordement sans fonction de routage
Que se passe-t-il maintenant si un de nos internautes veut utiliser son accs pour alimenter plusieurs machines,
sachant quil naura toujours quune seule adresse IP publique ? On va affecter ladresse IP publique la patte
de raccordement vers loprateur. Du cot raccordement vers linternaute, nous allons utiliser un sous rseau
dans les plages rserves un usage priv.
Cette plage est gnralement choisie et automatise via lusage dun serveur Dhcp intgr, ds lors que
linternaute active un mode dit Routeur sur sa Box. Il pourra ainsi connecter plusieurs machines sur son
Lan, chacune delle recevant automatiquement une adresse dans un sous rseau priv.
Lorsque lun des poste de linternaute dsirera accder Internet, le routeur effectuera une Translation
dadresse (NAT Network Address Translation), c'est--dire quil ira remplacer dans lentete IP, la valeur du
champ IP source priv, par son adresse publique.
Maintenant, si nos machines dsirent se connecter simultanment sur Internet, nous aurons un problme car
la translation dadresses IP sera insuffisante En effet, nous ne possdons toujours quune et une seule
adresse publique. Dans ces conditions, comment retrouver la machine source cot rseau priv ?
Et bien nous utiliserons une technique protocolaire de niveau transport (couche 4), la mme que celle qui
permet de multiplexer des applications (Html, Telnet, Ftp) sur une seule machine IP, c'est--dire en jouant
avec les ports. La diffrence sera que, sur le routeur en charge de la translation, ce multiplexage entre une
adresse publique et un port sera li une machine IP dans un rseau priv, et non pas une application. Cette
technique sappelle la Translation de Ports (PAT Ports Address Translation).
Raccordement avec fonction de routage et translation

Retenons sur le schma prcdent les notions de Cot Outside et de Cot Inside du nud (notre
routeur), qui va effectuer la translation. Elles sont ncessaires lors de la configuration des rgles de NAT pour
indiquer au routeur sur quelles interfaces appliquer les rgles de translation, et les effectuer au besoin.
Il est important de noter que cette translation nest pas optionnelle pour naviguer sur Internet. En effet, les
oprateurs ne routent et ne routeront jamais les rseaux dont les plages dadresses sont de type prives
Ainsi, sans translation IP/Ports dune adresse prive vers une adresse publique, laccs Internet sera tout
simplement impossible.
Quelques remarques sur les Proxys14
Comme vous lavez certainement compris, votre Lan va pouser une particularit. Il va allgrement mlanger
adresses IP publiques et addresses IP prives, sur le rseau de linternaute, au niveau de lentete IP de trames
(dans notre exemple, ladresse @google.fr est ladresse publique du serveur distant).
Si cet inconvnient peut etre acceptable pour un internaute, il ne lest pas au sein dune entit professionnelle
(entreprise, hbergeur). Un nouveau nud rseau fera alors son apparition : Le serveur Proxy et/ou le
serveur Reverse Proxy. Ce type de nud pourra prendre en charge une partie ou la totalit de la translation
dadresses, mais, c est avant tout une application qui va donc couvrir notre modle communicant jusqu' la
couche 5.
Nous ne simulerons pas cette fonction, mais vous trouverez en annexe de ce document une explication dtaill
de son utilit et de sa mise en uvre.
Quelques remarques sur les interconnexions de rseaux privs
Voici un exemple dutilisation de la translation, que nous ne simulerons pas ici, mais que lon rencontre
galement souvent au sein de lentreprise : linterconnexion de rseaux privs dentreprises qui ont le mme
plan dadressage Dans notre exemple, nous pouvons mme aller plus loin, en supposant quun poste client de
lentreprise Alpha, dont ladresse IP est 10.1.1.1/24, dsire se connecter au serveur Web dune entreprise Beta,
dont ladresse IP est galement 10.1.1.1/24, les deux entits tant relies au travers dune liaison Bande de
Base prive.
Interconnexion de deux plans dadressage identiques
14
Cf Annexes et Glossaire : Proxy et Proxy reverse

Dans un tel cas, les administrateurs rseaux des deux entits, Alpha et Beta, devront se consulter et se mettre
daccord sur le postulat suivant :
Avec quel rseau IP disponible de son plan dadressage, lentreprise Alpha verra lentreprise Beta ?
Avec quel rseau IP disponible de son plan dadressage, lentreprise Beta verra lentreprise Alpha ?
Ainsi, pour lexemple, nous dcidons quAlpha verra Beta non pas en 10.0.1.0/24 (ce qui est impossible
puisque cest son rseau IP de rattachement) mais en 10.0.4.0/24 (rseau disponible du plan dadressage
dAlpha), le serveur Web de Beta tant accessible via ladresse 10.0.4.1.
De mme, nous dcidons que Beta verra Alpha non pas en 10.0.1.0/24 (ce qui est impossible puisque cest son
rseau IP de rattachement) mais en 10.10.1.0/24 (rseau disponible du plan dadressage de Beta), le poste
de travail dAlpha tant accessible en 10.10.1.1
Nous ferons donc une double translation. Prenons lexemple dun ping fait partir du poste de travail dAlpha
(10.0.1.1) vers 10.0.4.1 (poste de travail Beta vu cot Alpha) :
Les paquets sortant dAlpha, passeront du cot Inside vers le cot Outside du routeur Alpha, avec une
IP Destination dans lentete IP qui ne sera pas modifie par rapport lentete de dpart (10.0.4.1),
mais dont ladresse IP Source sera modifie, et remplace par ladresse attendue par Beta (10.0.1.1
translate en 10.10.1.1).
Les paquets entrant sur Beta, passeront du cot Outside vers le cot Inside du routeur Beta, avec une
IP Destination dans lentete IP qui sera modifie (10.0.4.01 en 10.0.1.1), alors que IP Source ne sera
pas modifie (10.10.1.1).
Le mcanisme de la translation sera identique lors de lenvoi des paquets rponse (icmp-reply), mais
de manire inverse, sur les IP Source et IP destination (10.0.1.1 de Beta en 10.0.4.1, destination de
10.10.1.1, puis 10.0.4.1 destination de 10.10.1.1 en 10.0.1.1 d Alpha).
Dans cet exemple, la translation sera statique. Deux lments sont retenir
Il nest pas ncessaire de saisir la rgle retour dune rgle de translation. Celle-ci est implicite. (par
exemple, si il existe une rgle de translation de la source sur les paquets sortant, cot Inside dun
routeur, la rgle de translation de la destination sur les paquets entrants cot Outside est implicite)
Le routage vers chaque entit, au travers du rseau convenu , se fera via une route statique.
Pas de panique ! Meme si lexpos de cette mise en uvre nest pas des plus simple exposer de manire
expresse, la difficult ici, nest pas rellement technique (quatre lignes de commandes dans chacun de nos
deux routeurs) mais avant tout un problme dchange et dorganisation entre les administrateurs rseau des
deux entreprises.

Comme nous lavons prcis, nous ne simulerons pas cet exemple, mais cest une maquette trs simple
raliser sur Packet Tracer, avec une paire de routeurs et les configurations suivantes :
Show running-configuration routeurs Alpha et Beta
Routeur Beta Routeur Alpha

interface FastEthernet0/0 interface FastEthernet0/0
ip address 10.0.1.254 255.255.255.0 ip address 10.0.1.254 255.255.255.0
ip nat inside ip nat inside
duplex auto duplex auto
speed auto speed auto
! !
() ()
! !
interface Serial0/0/0 interface Serial0/0/0
encapsulation ppp encapsulation ppp
ip nat outside ip nat outside
! !
ip nat inside source static 10.0.1.1 10.0.4.1 ip nat inside source static 10.0.1.1 10.10.1.1
ip route 10.10.1.0 255.255.255.0 10.100.100.5 ip route 10.0.4.0 255.255.255.0 10.100.100.6
! !
! !
Debug de la translation sur le routeur Alpha
NAT: s=10.0.1.1->10.10.1.1, d=10.0.4.1 [2]

NAT*: s=10.0.4.1, d=10.10.1.1->10.0.1.1 [1]1
IP: tableid=0, s=10.0.1.1 (FastEthernet0/0), d=10.0.4.1 (Serial0/0/0), routed via RIB
IP: s=10.0.1.1 (FastEthernet0/0), d=10.0.4.1 (Serial0/0/0), g=10.100.100.6, len 128, forward
IP: tableid=0, s=10.0.4.1 (Serial0/0/0), d=10.0.1.1 (FastEthernet0/0), routed via RIB
IP: s=10.0.4.1 (Serial0/0/0), d=10.0.1.1 (FastEthernet0/0), g=10.0.1.1, len 128, forward
Cinmatique dun Ping

Poste Alpha (echo request) : Ping 10.0.4.1 : s=10.0.1.1 d=10.0.4.1
Inside Routeur Alpha : s=10.0.1.1 d=10.0.4.1
Le paquet est rout vers l'interface Outside de Alpha
Outside Routeur Alpha : s=10.0.1.1->10.10.1.1 d=10.0.4.1
Outside Routeur Beta : s=10.10.1.1 d=10.0.4.1->10.0.1.1
Le paquet est rout vers l'interface Inside de Beta
Inside Routeur Beta : s=10.10.1.1 d=10.0.0.1
Poste Beta reception : s=10.10.1.1 d=10.0.0.1
Poste Beta emission (echo reply) : s=10.0.0.1 d=10.10.0.1

Inside Routeur Beta : s=10.0.0.1 d=10.10.0.1
Le paquet est rout vers l'interface Outside de Beta
Outside Routeur Beta : s=10.0.0.1->10.0.4.1 d=10.10.0.1
Outside Routeur Alpha : s=10.0.4.1 d=10.10.0.1->10.0.1.1
Le paquet est rout vers l'interface Inside de Alpha
Inside Routeur Alpha : s=10.10.0.1 d=10.0.1.1
Poste Alpha reception : s=10.10.0.1 d=10.0.1.1
Ping OK !

C - Domain Name System (Dns)
Pour accder un service hberg, il est ncessaire de connatre ladresse IP de son serveur Hote. Rcuprer
cette information nest pas chose aise de plus, rien ne vous garanti quelle soit prenne, car elle peut
changer Imaginez-vous taper 24.12.52.31 un jour et 32.51.24.62 le lendemain, pour accder votre
messagerie sur Google ou Yahoo...
Ainsi, trs tt, on a associ un nom une adresse, dans un fichier quil tait mis jour sur un ordinateur de
lUniversit de Standford, et quil vous suffisait de tlcharger intervals rgulier (le fameux Hosts.txt, qui
hante dailleurs toujours les rpertoires de nos systmes dexploitation).
Cette solution, non viable dans un contexte mondial de plusieurs dizaines de millions de serveurs, a t
remplace par le systme de noms de domaine (Dns), labor dans le milieu des annes 1980. Il existe
plusieurs mises en uvre logicielles en fonction des systmes dexploitation de la plate-forme qui va offrir ce
service Notons que lapplication Dns actuellement la plus rpendue dans Internet, est BIND, dont le code
source (lignes de code avant compilation) est disponible (Open Source).
Espace de Nom de Domaine

Dns est une base de donnes hirarchique distribue, labore sur le modle Client-Serveur. Sa mise en uvre
est une application (Couche 5, donc). Un des concepts importants de Dns est non seulement de grer des
ressources pour un domaine (.org, .com,) , mais galement de pouvoir dlguer des sous domaines des
serveurs particuliers (SOA : Start of Authority)
Pour assurer une continuit de services, un SOA est gnralement compos dun serveur primaire et dun
serveur secondaire.
Lensemble des ressources Dns disponibles ainsi dlgues se nomme une Zone Dns. La mise jour des
ressources de cette Zone incombera un administrateur Dns, qui pourra lui aussi, au besoin, dlguer des
mises jour de ressources vers dautres administrateurs en crant des sous-zones (donc, un pointage vers un
autre SOA pour un sous-domaine particulier). Ce principe dorganisation permet donc, grace au jeu des
dlgations, de maintenir jour au travers du travail des administrateurs, une fonctionnalit de rsolution de
noms pouvant supporter plusieurs millions dassociations Adresse IP/Nom de Domaine
La Zone Racine (Root Zone, le niveau Root Level Domain ) est une zone particulire de 13 serveurs
(actuellement) qui recense lensemble des SOA de premier niveau (.org, .com, .fr, le Top Level Domain ou
TLD). Cette zone est supervise par lICANN (Internet Corporation for Assigned Names and Numbers), via
lIANA (Internet Assigned Numbers Authority).
Cet ensemble de 13 serveurs assure la resolution Dns pour la totalit du traffic mondial, qui dpend donc
entirement de la rsolution de noms (do les remises en questions rgulires quand leur administration et
leur localisation).
Le nommage dune machine se nomme FQDN (Full Qualified Domain Name). Il reprend la totalit de
larboresence Dns. Par exemple, si vous voulez joindre un serveur dont le nom est
ftp.marketing.monentreprise.fr, et en labsence de cache, une recherche Dns seffectuera de droite gauche,
c'est--dire :
Une requte est envoy vers la root zone (.) pour connatre le SOA de .fr
Une requte est envoye vers le SOA de la Zone (.fr) pour connatre le SOA de (.monentreprise)
Le SOA (.monentreprise) est capable de me renvoyer ladresse IP de la machine ftp.marketing.
Cette requte est effectue par un processus Dns du client : Le rsolveur.
Le rsolveur peut oprer de deux manires :
Rcursive : Le Dns interrog par le client renverra (si elle existe, bien entendu) la rponse attendue,
aprs avoir lui-mme fait des requtes vers dautres SOA, bases sur le FQDN de la machine
recherche.
Non Rcursive : Le Dns interrog par le client renverra la rponse attendue si il est SOA des zones
nommes dans le FQDN, ou seulement une partie (Je ne connais pas, mais je peux te renvoyer
ladresse dun autre SOA qui pourrait connatre la rponse)
Gnralement, quand vous faites une requte Dns dune machine de linternet, vous joignez le Dns donn par
votre oprateur (souvent, un deuxime vous est propose, en secours).
Cest une requte rcursive, car le serveur Dns que vous allez joindre, si il nest pas directement SOA des zones
identifies dans le nom de domaine, ira lui-mme interroger, via un ensemble de requtes non-rcursives

(avec autant ditrations quil sera ncessaire, en fonction des zones identifies dans le FQDN), les Dns du
Root Level Domain, puis du Top Level Domain pour finir par joindre le SOA possdant linformation.
Cette information, rcupre par le Dns dorigine, est ensuite renvoye au client initial.
Cette recherche rcursive a bien entendu un cot rseau, pas vritablement en terme de traffic, mais surtout
en terme de latence.
Une bonne ide pour gagner du temps, lors dun prochain accs une machine dont on a dj rsolue le nom,
15
est de mettre en cache mmoire cette information (activation de la fonctionnalit cache server) .
Recherche Rcursive
Requte Itrative
1 2 Qui est www.google.fr
Je ne sais pas mais je connais le SOA de (.fr) Root (.)
Requte Rcursive
Qui est www.google.fr
Requte Itrative
3 Qui est www.google.fr
Je ne sais pas mais je connais le SOA de (.google)
Son adresse IP est :

xxx.xxx.xxx.xxx
Requte Itrative (.fr)
6 4 Qui est www.google.fr
Mise en cache Son adresse IP est : xxx.xxx.xxx.xxx
5
De la rponse
(.google)
Nous naborderons pas dans la simulation la recherche inverse (qui consiste, toujours via les Dns et des
commandes de type nslookup, rechercher un nom quand on a ladresse IP dune machine), mais cette
fonctionnalit existe et doit etre connue...
15
Attention, les informations contenues dans un cache ont une dure de vie (TTL)Si, une fois linformation expire, il est
ncessaire de refaire une requte Dns complte, ce nest pas vritablement un problme. Par contre, si jamais la machine
cible devait changer dadresse, votre cache contiendait alors lancienne adresse (fausse, donc) et il vous serait impossible
daccder au service. Ce type de problme (gestion et/ou vidange du cache) se rencontre de manire assez classique au
sein de lentreprise

D - AS (Autonomous Sytem) et BGP (Border Gateway Protocol)
BGP est un EGP (Exterior Gateway Protocol)Lors de la mise en place dOSPF dans notre simulation, nous
avons dfini ce dernier comme un IGP (Interior Gateway Protocol), sans dtailler plus avant cette
dnomination. Nous allons devoir prciser un peu les choses.
Tout dabord, un petit schma pour illustrer les diffrents types de protocoles de routage existants
Classification des protocoles de routages
Sachant quun IGP sera utilis lintrieur dun AS (Autonomous System) et un EGP entre des AS, il va nous
falloir galement aborder la notion d AS (Autonomous System) ce qui nest pas toujours trs facile, car cette
notion a volue dans le temps
Classiquement, si lon se rfre la RFC 1930, on dfinit un AS comme un ensemble de routeurs, sous la
responsabilit dune administration technique unique, utilisant un IGP et des mtriques communs pour router
des paquets lintrieur de lAS, et un EGP avec des metriques communs pour router des paquets vers
dautres AS .
De nos jours, il est cependant courant de voir plusieurs protocoles de routage internes et diffrents mtriques
lintrieur dun mme AS (une entreprise utilisera plusieurs IGP, ou BGP avec des numros dAS Priv pour
se connecter un ou plusieurs fournisseur daccs, par exemplece mme fournisseur daccs grant lui-
mme plusieurs AS) Cependant la vision de l AS global quauront les autres acteurs de lInternet (dautres
oprateurs grant dautre AS) sera celle dune de politique de routage unique .
Dans des termes plus actuels, la RFC 1930 va donc proposer une nouvelle dfinitin dun AS : Cest un
ensemble connect dun ou plusieurs prefixes IP, administr par un ou plusieurs oprateurs, et qui possde
une politique de routage unique et clairement dfinie .
Les AS sont historiquement numrots une codification sur 16 bits, offrant donc 65536 possibilits. Cette
codification volue actuellement vers une codification sur 32 bits en raison de la rarfaction des numros
disponibles en codification 16 bits.
Un peu comme les adresses IP, cest lIANA qui gre et distribue via les RIRs (Regional Internet Registries) ces
numros, dont des plages sont rserves un usage priv.

Il existe trois catgories dAS :
Multihomed AS : dans cette configuration un AS va maintenir des connexions vers plusieurs autres AS.
Ce type dAS permet de rester connect en cas de dfaillance dun des accs. Ce type dAS nautorise
pas le transit BGP.
Stub AS : Un AS connect vers un seul autre AS.
Transit AS : Cest un AS qui va fournir des accs vers des rseaux dautres AS, au travers de sa
structure.
Catgories d AS (Autonomous System)
BGP sera le protocole de routage utilis sur Internet, puisqu'il permettra de joindre des prfixes (rseaux) via
une multitudes d' AS. Il est diffrent d'un IGP, dans le sens ou il a t conu pour grer de gros volumes, et
tablir les meilleures routes en fonction de metriques qui se basent sur le chemin parcouru, les attributs des
prfixes et un ensemble de rgles qui seront tablies manuellement par un administrateur. On parlera de
protocole de routage de type Path Vector.
Les routeurs mettant en oeuvre BGP auront la particularit de ne pas etre forcement des voisins "directs" au
sens IP. Ils tablissent entre eux (ou plutot, l'administrateur tabit entre eux) une session TCP sur le port 179.
Il existe deux versions de BGP :
eBGP pour tablir des liaisons inter AS via des routeurs "frontires" (ASBR).
iBGP pour tablir des liaisons l'interieur d'un AS.
La mise en oeuvre de sessions iBGP a t rendu ncessaire par les volumes des table de routage de l'Internet.
Jusqu'a la fin des annes 1990, il tait courant d'utiliser l EGP entre les AS, et de redistribuer les routes ainsi
apprises dans l' IGP des AS, ce qui n'est plus gure possible...
Quoiqu'il en soit, la mise en oeuvre d' iBGP ncessite, dans des AS volumineuses, une configuration lourde, et
au besoin, la mise en oeuvre de techniques "d'allgement" comme les route reflectors, ou la mise en place de
confdrations BGP. Des volutions technologiques au sein des AS (comme le Multi Label Switching Protocol -
MPLS) assouplissent grandement la mise en oeuvre de BGP (grace l'extension MP-BGP), avec des
interventions sur les routeurs aux seules extmits des AS inter-connectes.

Redistribution de BGP dans lIG de lAS
AS65600 AS65000
BGP BGP
OSPF
OSPF OSPF
BGP BGP
Redistribution OSPF-BGP Redistribution OSPF-BGP
OSPF
AS65300
Utilisation de IBGP sur tous les routeurs internes lAS (Full Mesh)
E - Mise en place sur Packet Tracer - Internet
Avant de crer la plateforme de nos internaute, nous allons crer un morceau dinternet, savoir une
infrastructure de ressources publiques, vers lesquelles nous allons pouvoir nous connecter. Vous remarquerez
que dans cette mise en uvre, nous allons directement simuler des serveurs de linternet, en leur donnant une
16
adresse publique, et en les connectant un switch
Nous allons donc commencer par mettre en place notre infrastructure de routage, puis, notre architecture Dns.
16
Dans la ralit, ces serveurs seront probablement hbergs sur une Dmz, avec une adresse IP prive, derrire un nud
rseau qui effectuera une translation Nous mettrons concrtement en place une telle infrastructure un peu plus tard, lors
de la ralisation de la phase V, et la mise en uvre de notre site de vente en ligne

Dfinition des AS et des prfixes de la simulation
Nous allons crer un groupe de routeurs qui utiliseront BGP pour changer des prfixes entre Trois AS :
Un AS 63000, sous la responsabilit du fournisseur daccs Alpha, qui sera en quelque sorte le cur
du rseau de notre fournisseur daccs, auquel se rattacheront les internautes.
Un AS 65400, galement sous la responsabilit du fournisseur daccs Alpha, qui nous permettra
dapprendre la route pour les prfixes 45.19.20.0/24, et qui hbergera les ressources suivantes :
o Un serveur de noms Root Level (SOA root) : 45.19.20.100/24,
o Un serveur de noms de notre fournisseur daccs Alpha (SOA alpha.com.), dont ladresse IP
sera utilise pour dans la configuration de notre Internaute, dans la partie Serveur Dns :
45.19.20.125/24
o Un serveur Web publique (http) appartenant notre fournisseur daccs Alpha :
www.resa.alpha.com : 45.19.20.120/24.
Un AS 65000 sous la responsabilit du fournisseur daccs Beta qui nous permettra dapprendre la
route pour les prfixes 23.12.12.0/24, et qui hbergera les ressources suivantes :
o Un serveur de noms Top Level (SOA fr. et com.) : 23.12.12.65/24
o Un serveur Web (http) de Ciscogum, hberg ltranger, (supposons Los Angeles)
www.ciscogum.com : 23.12.12.23/24
Comme il n'est pas possible de mettre en oeuvre iBGP sur notre simulateur, nous utiliserons la redistribution
de routes sur nos ASBR entre BGP et Ospf, l' IGP utilis par le fournisseur d'accs Alpha.
Lensemble des prfixes qui seront utiliss sont repris dans le tableau ci-dessous :
Prfixes et Ressources Description du rseau

75.19.19.4 /30 Raccordement des ASBR AS 63000 et 65400.
205.26.26.4 /30 Raccordement des ASBR AS 63000 et 65000.
205.25.36.4 /30 Raccordement Routeur Provider la Box (routeur) de l'Internaute.
192.168.0.16/28 dclin ainsi :
192.168.0.4 /30 Raccordement ASBR AS63000/65400 au backbone oprateur.
192.168.0.8 /30 Raccordement ASBR AS63000/65000 au backbone oprateur.
192.168.0.16 /30 Autre raccordement Routeur (usage en phase V) au backbone oprateur.
192.168.0.12 /30 Raccordement Routeur Provider/Box au backbone oprateur.
45.19.20.0 /24 Prfixes ressources DnsRootLevel, DnsProvider, HttpProvider.
23.12.12.0 /24 Prfixes ressources DnsTopLevel, HttpCiscogum.com.
35.36.37.19 /32 Adresse publique de la Box de l'internaute.
199.118.22.0/24 Prfixespubliques des ressources de la socit Ciscogum
Le routage interne du fournisseur daccs (Alpha) auquel est raccord linternaute et auquel, plus tard, en
phase V, nous raccorderons notre site de Montpellier, sera Ospf.

Mise en place du Cur rseau du fournisseur daccs Alpha
Cur du rseau du fournisseur daccs Alpha
Commenons par raliser le coeur de rseau, sur la base de 5 routeurs de type 2811. Seuls deux routeurs
seront ASBR BGP; les trois autres n'utiliseront qu'un IGP (Ospf), un pour la commutation interne, deux pour les
raccordements vers Ciscogum (nous verrons cela avec Montpellier, lors de la phase V) et vers nos Internautes.
Sur ces deux ASBR, nous utiliserons du routage statique, redistribu dans Ospf, pour raccorder les clients
(Montpellier et les Internautes).
Pour la saisie, comme nous lavons vu prcdemment, nous allons commenter partir de
configurations les commandes issues de l'affichage du contenu de la mmoire vive d'un composant, la
running-configuration...
N'oubliez pas de relier vos interfaces Serial via des cables DCE (le point de dpart tant le cot DCE,
c'est dire l'horloge....) et de configurer sur le routeur, dans la configuration de l'interface, cot DCE,
un signal d' horloge, via la commande "Clock rate"
N'oubliez pas de relier vos interfaces FastEthernet de vos routeurs, sur les commutateurs, via des
cables droits RJ45.

Configuration Matrielle du Routeur AlphaInternaute
Dans longlet Config, vous allez, de gauche droite,

mettre les lments suivants, de manire obtenir
la configuration ci-contre :
Un NM-Cover
Deux Wic-Cover
Deux WIC-2T. Linterface en bas, droite,
sera dcouverte au dmarrage comme la
S0/0/x. Celle en haut droite, comme la
S0/2/x.
Les modifications matrielles se font
toujours machine teinte.
Paramtrage du routeur AlphaInternaute
!
! Saisie du Hostname du routeur.
hostname AlphaInternaute
!
!
! Paramtrage de l'adresse IP de la patte ethernet du routeur, raccorde vers la Box Adsl de l'internaute, via un
Dslam.
ip address 205.25.36.254 255.255.255.0
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur backbone du rseau interne du
fournisseur daccs (Alpha). Dans un souci de compatibilit en terme de liaison WAN, nous mettons en place de
lencapsulation PPP (normalise), plutot que de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco)
propritaire.)
ip address 192.168.0.14 255.255.255.252
encapsulation ppp
!
!
! Activation du processus Ospf (identifi 30).
router ospf 30
! La ligne de redistribution suivante va permettre de router, via Ospf, les routes statiques qui se trouvent sur ce
routeur... dans notre cas, la route pour aller vers l'internaute.
redistribute static subnets
! La ligne suivante inactive Ospf sur l'interface raccorde l'Internaute... Ce dernier tant adressable via du
routage statique, ne prenons pas le risque (la mise en oeuvre dans ce cas est affaire de scurit) de lui envoyer des
Lsa de notre rseau interne...
passive-interface FastEthernet0/0
! La ligne suivante prcise les prfixes qui vont participer au processus de routage...dans notre cas, tous les
rseaux commenant par 192.168.0.
network 192.168.0.0 0.0.0.255 area 0
!
!
! Nous avons allou une adresse IP notre internaute : 35.36.37.19. Une et une seule. Comme il n'y aura plus
d'adresse publique derrire ce noeud, (si il y a plus d'un poste client chez l'internaute, cette adresse sera
translate dans un plan d'adressage priv - 192.168.0.0/24 - via une technique dite de Dynamic PAT). Cette route
dfinie le chemin aller vers l'Internaute, le retour se faisant sur le routeur de celui-ci, via une default route. Cette
route est redistribue dans Ospf. La route vers 35.36.37.20 simule le raccordement un deuxime internaute.
ip route 35.36.37.19 255.255.255.255 205.25.36.5
ip route 35.36.37.20 255.255.255.255 205.25.36.6

Configuration Matrielle du Routeur AlphaMontpellier

Un NM-Cover
Deux Wic-Cover
S0/2/x.
Paramtrage du routeur AlphaMontpellier
!
hostname AlphaMontpellier
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur backbone du rseau interne du
fournisseur daccs (Alpha). Dans un souci de compatibilit en terme de liaison WAN, nous mettons en place de
lencapsulation PPP (normalise), plutot que de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco)
propritaire.)
ip address 192.168.0.18 255.255.255.252
encapsulation ppp
!
!
! Activation du processus Ospf (identifi 30). => Rappel : ce numro de processus, dans un souci de facilit la
lecture des configurations, est le mme sur chacun des routeurs mais cela nest en rien obligatoire ! Cest une
information locale.
router ospf 30
!
!
network 192.168.0.0 0.0.0.255 area 0
!

Configuration Matrielle du Routeur AlphaBackbone

Un NM-Cover
Deux Wic-Cover
S0/2/x.
Paramtrage du routeur AlphaBackbone
!
hostname AlphaBackbone
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur Alpha ASBR AS 63000, qui tabliera une
liaison avec l ASBR de lAS-65400. Dans un souci de compatibilit en terme de liaison WAN, nous mettons en
place de lencapsulation PPP (normalise), plutot que de garder le Hdlc par dfaut, souvent (cest le cas chez
Cisco) propritaire. La liaison est raccorde un cable DCE dont le cot horloge est situ sur la S0/0/0 do
la commande de gnration dun signal dhorloge.
ip address 192.168.0.5 255.255.255.252
encapsulation ppp
clock rate 1200
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur Alpha ASBR AS 63000, qui tabliera une
liaison avec l ASBR de lAS-65000. Dans un souci de compatibilit en terme de liaison WAN, nous mettons en
place de lencapsulation PPP (normalise), plutot que de garder le Hdlc par dfaut, souvent (cest le cas chez
Cisco) propritaire. La liaison est raccorde un cable DCE dont le cot horloge est situ sur la S0/0/1 do
la commande de gnration dun signal dhorloge.
ip address 192.168.0.9 255.255.255.252
encapsulation ppp
clock rate 1200
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur de liaison vers linternaute. Dans un
souci de compatibilit en terme de liaison WAN, nous mettons en place de lencapsulation PPP (normalise),
plutot que de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire. La liaison est raccorde un
cable DCE dont le cot horloge est situ sur la S0/2/0 do la commande de gnration dun signal
dhorloge.
ip address 192.168.0.13 255.255.255.252
encapsulation ppp
clock rate 1200
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur de liaison vers Ciscogume Montpellier.
Dans un souci de compatibilit en terme de liaison WAN, nous mettons en place de lencapsulation PPP
(normalise), plutot que de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire. La liaison est
raccorde un cable DCE dont le cot Horloge est situ sur la S0/2/1 do la commande de gnration dun
signal dhorloge.
ip address 192.168.0.17 255.255.255.252

encapsulation ppp
clock rate 1200
!
!
information locale.
router ospf 30
network 192.168.0.0 0.0.0.255 area 0
!

Configuration Matrielle du Routeur Alpha63000Alpha65400

Un NM-Cover
Deux Wic-Cover
S0/2/x.
Paramtrage du routeur Alpha63000Alpha65400

!
hostname Alpha63000Alpha65400
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur AlphaBackbone. Dans un souci de
compatibilit en terme de liaison WAN, nous mettons en place de lencapsulation PPP (normalise), plutot que
de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire.
ip address 192.168.0.6 255.255.255.252
encapsulation ppp
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur ASBR Alpha AS 65400. Dans un souci de
de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire. La liaison est raccorde un cable DCE
dont le cot horloge est situ sur la S0/0/1 do la commande de gnration dun signal dhorloge.
ip address 75.19.19.5 255.255.255.252
encapsulation ppp
clock rate 1200
!
!
information locale.
router ospf 30
La ligne suivante permet de redistribuer les prfixes (en tenant compte des masques de rseaux) du processus
BGP AS 63000, dans le processus Ospf.
redistribute bgp 63000 subnets
network 192.168.0.0 0.0.0.255 area 0
!
!
! Activation du protocole BGP AS63000
router bgp 63000
! La ligne suivante permet d'tablir une liaison de voisinage avec l' ASBR 75.19.19.6, via eBGP, vers l' AS 65400.
neighbor 75.19.19.6 remote-as 65400
! Par dfaut, les protocoles de routage autres qu'Ospf, redistribus dans un processus Ospf, sont considrs
comme External de type 2. Les prfixes BGP redistribus en amont dans Ospf (venant de l' AS 65000), seront
donc considrs dans notre processus Ospf 30 comme de l'external Type 2, et c'est ce type de routes que nous
devrons redistribuer dans le voisin BGP suivant. Les prfixes BGP tant ainsi appris via une redistribution Ospf, la
commande "Network" (pour annoncer des prfixes), ne sera pas utilise.
redistribute ospf 30 match external 2
!

Configuration Matrielle du Routeur Alpha63000Beta65000

Un NM-Cover
Deux Wic-Cover
S0/2/x.
Paramtrage du routeur Alpha63000Beta65000

!
hostname Alpha63000Beta65000
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur AlphaBackbone. Dans un souci de
de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire.
ip address 192.168.0.10 255.255.255.252
encapsulation ppp
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur ASBR Beta AS 65000. Dans un souci de
de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire. La liaison est raccorde un cable DCE
dont le cot horloge est situ sur la S0/0/1 do la commande de gnration dun signal dhorloge.
ip address 205.26.26.5 255.255.255.252
encapsulation ppp
clock rate 1200
!
!
information locale.
router ospf 30
La ligne suivante permet de redistribuer les prfixes (en tenant compte des masques de rseaux) du processus
BGP AS 63000, dans le processus Ospf.
redistribute bgp 63000 subnets
network 192.168.0.0 0.0.0.255 area 0
!
!
! Activation du protocole BGP AS63000
router bgp 63000
! Par dfaut, les protocoles de routage autres qu'Ospf, redistribus dans un processus Ospf, sont considrs
comme External de type 2. Les prfixes BGP redistribus en amont dans Ospf (venant de l' AS 65400), seront
donc considrs dans notre processus Ospf 30 comme de l'external Type 2, et c'est ce type de routes que nous
devrons redistribuer dans le voisin BGP suivant. Les prfixes BGP tant ainsi appris via une redistribution Ospf, la
commande "Network" (pour annoncer des prfixes), ne sera pas utilise.
!

Mise en place des ASBR 65000 et 65400
Nous allons maintenant crer deux autres routeurs :
Un routeur qui sera administr par le fournisseur d'accs Alpha, mais qui sera ASBR de l' AS 65400,
sur lequel seront raccordes des ressources dont le prfixe sera 45.19.20.0/24.
Un routeur qui sera administr par le fournisseur d'accs Beta, et qui sera ASBR de l'AS 65000, sur
lequel seront raccordes des ressources dont le prfixe sera 23.12.12.0/24.
Configuration Matrielle du Routeur AlphaAS65400

Un NM-Cover
Deux Wic-Cover
S0/2/x.
Paramtrage du routeur AlphaAS65400

!
hostname AlphaAS65400
!
!
Paramtrage de la patte FastEthernet0/1, qui sera raccord un commutateur sur lequel nous trouverons les
ressources suivantes (et dont l'adresse de cette interface sera la gateway dans leur propre configuration IP) : Le
Dns Root Level, le Dns de notre fournisseur d'accs (Alpha), et un serveur web, www.resa.alpha.com.
ip address 45.19.20.254 255.255.255.0
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur Alpha63000Alpha65400. Dans un souci
de compatibilit en terme de liaison WAN, nous mettons en place de lencapsulation PPP (normalise), plutot
que de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire.
ip address 75.19.19.6 255.255.255.252
encapsulation ppp
!
!
! Activation du protocole BGP AS 65400
router bgp 65400
rseaux prfixs 45.19.20.0/24.
network 45.19.20.0 mask 255.255.255.0
!

Configuration Matrielle du Routeur AlphaAS65000
Ce routeur est de type 1841. Dans longlet Config,

vous allez mettre les lments suivants, de
manire obtenir la configuration ci-contre :
Un Wic-Cover
Un WIC-1T. L'interface serial, au
dmarrage, sera identifie S0/0/0.
Paramtrage du routeur AlphaAS65000
!
hostname BetaAS65000
!
!
Paramtrage de la patte FastEthernet0/0, qui sera raccord un commutateur sur lequel nous trouverons les
ressources suivantes (et dont l'adresse de cette interface sera la gateway dans leur propre configuration IP) : Le
Dns Top Level, et un serveur web, www.ciscogum.com.
ip address 23.12.12.254 255.255.255.0
!
!
! Paramtrage de l'adresse IP de la patte Serial, raccorde vers le routeur Alpha63000Alpha65000. Dans un souci
de compatibilit en terme de liaison WAN, nous mettons en place de lencapsulation PPP (normalise), plutot
que de garder le Hdlc par dfaut, souvent (cest le cas chez Cisco) propritaire.
ip address 205.26.26.6 255.255.255.252
encapsulation ppp
!
!
! Activation du protocole BGP AS 65400
router bgp 65000
rseaux prfixs 23.12.12.0/24.
network 23.12.12.0 mask 255.255.255.0
!

Infrastructure de commutation dans les AS 65400 et 65000
Infrastructure Commutation AS 65400 et AS 65000
Configurons maintenant les diffrentes ressources annonces via les AS 65400 et 65000.
Ressources de l AS 65400
Nous avons prcdemment paramtr linterface Fa0/1 avec ladresse 45.19.20.254. Ce sera
ladresse de Gateway des diffrents serveurs que nous allons mettre en place.
Nous allons commencer par rajouter un commutateur de type 2950-24. Il ny aura aucune
configuration sur ce commutateur (si ce nest un nom de host significatif de type SwitchAS65400).
Vous rattachez ensuite la Fa0/1 du routeur AlphaAS65400 sur un des ports de ce commutateur
(nimporte lequel). Si vous avez bien effectu un no shut lors de la configuration de linterface du
routeur, cette dernire devrait passer up .
Rattachons maintenant trois serveurs sur ce mme commutateur (toujours sur des ports de votre
choix).

Le premier serveur sera le serveur Dns Root
Level. Voici le dtail de sa configuration :
Nom du serveur : DnsRootLevel

Configuration
IP : 45.19.20.100
masque : 255.255.255.0
Default gateway : 45.19.20.254
Passer tous les services autres que Dns,

sur Off . Ce serveur servira donc
uniquement de serveur de noms.
Renseignons maintenant les diffrents types denregistrement qui configureront la partie Dns de
notre serveur, laide du tableau ci-dessous :
Configuration de la base Dns du serveur Dns Root Level

N Name Type Details
1 . SOA ServerName:rootserver
Mailbox:[email protected]
Expiry:2419200
DNS Root Level
Refresh:604800
Retry:86400
MinTTTl:604800
2 com NS ns1.com
3 fr NS ns1.fr
6 rootserver A Record 45.19.20.100
5 ns1.fr A Record 23.12.12.65
4 ns1.com A Record 23.12.12.65

Le deuxime serveur sera le serveur de noms
du fournisseur daccs Alpha, ns1.alpha.com.
Voici le dtail de sa configuration :
Nom du serveur : ns1.alpha.com

Configuration :
IP : 45.19.20.125
masque : 255.255.255.0

notre serveur, laide du tableau ci-dessous :
Configuration de la base Dns du serveur Dns de mon fournisseur daccs (Alpha)

N Name Type Details
2 alpha.com SOA ServerName:ns1.alpha.com
Expiry:2419200
ns1.alpha.com
Refresh:604800
Retry:86400
MinTTTl:604800
1 . NS rootserver
6 www.resa.alpha.com A Record 45.19.20.120
4 resa.alpha.com A Record 45.19.20.120
3 ns1.alpha.com A Record 45.19.20.125

Enfin, rajoutons notre troisime serveur qui
sera un serveur web de notre fournisseur
daccs Alpha, dont voici la configuration :
Nom du serveur : www.resa.alpha.com

Configuration :
IP : 45.19.20.120
masque : 255.255.255.0
Passer tous les services autres que Http,

uniquement de serveur Web. Vous pouvez
dailleurs cette occasion, modifier les
balises Html de la page daccueil, afin de
bien identifier ce serveur lors des tests
que nous effectuerons ulterieurement
comme ceci, par exemple :
(<html><center><font size='+2'
color='blue'>Welcome to
Alpha.com</font></center><hr>Best
Network Provider on the Web
=>www.resa.alpha.com)
Voila, toutes les resources joignables via lAS65400 sont dsormais oprationnelles

Ressources de l AS 65000
Nous avons prcdemment paramtr linterface Fa0/0 avec ladresse 23.12.12.254. Ce sera
ladresse de Gateway des diffrents serveurs que nous allons mettre en place.
Nous allons commencer par rajouter un commutateur de type 2950-24. Il ny aura aucune
configuration sur ce commutateur (si ce nest un nom de host significatif de type SwitchAS6500).
Vous rattachez ensuite la Fa0/0 du routeur AlphaAS65000 sur un des ports de ce commutateur
(nimporte lequel). Si vous avez bien effectu un no shut lors de la configuration de linterface du
routeur, cette dernire devrait passer up .
Rattachons maintenant deux serveurs sur ce mme commutateur (toujours sur des ports de votre
choix).
Le premier serveur sera le serveur Dns Top

Level. Voici le dtail de sa configuration :
Nom du serveur : DnsTopLevel

Configuration :
IP : 23.12.12.65
masque : 255.255.255.0


notre serveur, laide du tableau ci-dessous. Notez que certaines adresses ne sont pas encore
parlantes (199.18.22.222). Ces entres sont mises en place pour prparer notre phase V, quand
nous effectuerons de la vente en ligne partir de notre entreprise Ciscogum :
Configuration de la base Dns du serveur Dns Top Level

N Name Type Details
5 fr SOA ServerName:ns1.fr
Expiry:2419200
Refresh:604800
Retry:86400
MinTTTl:604800
4 com SOA ServerName:ns1.com
Expiry:2419200
DNS Top Level
Refresh:604800
Retry:86400
MinTTTl:604800
6 alpha.com NS ns1.alpha.com
3 ciscogum.fr NS ns1.ciscogum.fr
2 ciscogum.com NS ns1.ciscogum.com
1 . NS rootserver
9 ns1.com A Record 23.12.12.65
8 ns1.ciscogum.fr A Record 199.118.22.222
7 ns1.ciscogum.com A Record 199.118.22.222
11 ns1.alpha.com A Record 45.19.20.125
10 ns1.fr A Record 23.12.12.65
Le deuxime serveur sera un serveur web,

nomm ciscogum.com, serveur appartenant
notre entreprise Ciscogum, et hberg
ltranger (Los Angeles, par exemple). Voici sa
configuration :
Nom du serveur : www.ciscogum.com

Configuration :
IP : 23.12.12.23
masque : 255.255.255.0

Passer tous les services autres que Http,
uniquement de serveur Web. Vous pouvez
dailleurs cette occasion, modifier les
balises Html de la page daccueil, afin de
bien identifier ce serveur lors des tests
que nous effectuerons ulterieurement
comme ceci, par exemple :
(<html><center><font size='+2'
color='blue'> Los Angeles CiscoGum
Web
Server</font></center><hr>Welcome
on our Network !)
Voila, toutes les resources joignables via lAS65000 sont dsormais oprationnelles
La simulation de linfrastructure internet est donc termine nous nous y rattacherons ds que nous aurons
cr nos internautes.

F - Mise en place sur Packet Tracer - Internautes
Nous allons commencer par configurer les routeurs de nos Internautes. Pour cela, nous allons crer sur notre
map deux routeurs de type 2800. La configuration des deux routeurs sera quasiment identique nous
prciserons les spcificits entre les deux Box au fur et mesure de notre avance
Comme nous dsirons connecter plusieurs postes cot Internaute, et que loprateur nous a fourni une seule
adresse publique, nous mettrons en place de la translation de ports (PAT).
Ltendue IP choisie cot Internautes, sera de type prive : 192.168.0.0/24 (Pour les deux box)
Ladresse publique fournie par loprateur est : 35.36.37.19/32 pour la box 1 et 35.36.37.20/32 pour la box 2.
Le rseau IP publique de raccordement, du rseau du fournisseur daccs, vers linternaute, sera le
205.25.36.0/24.
Pour illustrer la flexibilit offerte par la translation dadresses, nous ne paramtrerons sur aucune interface,
(que ce soit cot fournisseur daccs, ou cot Internaute), les adresses 35.36.37.19/32 ou 35.36.37.20/32.
Elles nexistent que par la translation dadresse localise sur les routeurs des internautes, et sont connues via la
redistribution de routes statiques, cot fournisseur daccs
Quand au flux Internautes vers Internet, il est assur par une route par dfaut configure sur les routeurs des
internautes.
Pour rsum, le fournisseur daccs possde un sous rseau dadresses publiques (le 35.36.0.0/16, par
exemple) pour lequel il va distribuer une et une seule adresse, chacun de ses clients. Il se servira dun rseau
IP publique ddi, le 205.25.36.0/254 (mais qui pourrait galement tre un rseau IP priv, puisquil reste
interne lAS de loprateur) pour acheminer les paquets vers ses clients.
Cette configuration a quelques caractristiques amusantes :
La translation tant de type Dynamique PAT sur une interface Inside, un ping dinternet vers
linternaute, a fortiori une demande dentre en sessions TCP, ne pourra pas fonctionner. En effet,
comme il ny a pas de rgle de translation sur une interface Outside (la Fa0/1 de notre internaute),
ladresse de destination 35.36.37.19 (ou 35.36.37.20) sera inconnue dans le routeur de linternaute, et
le paquet sera rerout vers le routeur AlphaInternaute (point dentre du backbone oprateur vu de
lInternaute), qui, connaissant la route vers 35.36.37.19 (ou 35.36.37.20), renverra le paquet vers le
routeur de linternauteet ainsi de suiteNous avons donc une magnifique boucle IP dont seule la
dcrementation du TTL de 1 (en partant de 255) chaque saut, nous permettra de sortir
Par consquence, les flux oprationnels devront etre forcement linitiative dun poste de
linternaute.
Le rseau dacheminement (205.25.36.0/24) est totalement inconnu de linternaute.
Il lui est impossible de sapproprier une adresse autre que ladresse publique (35.36.37.19 ou
35.36.37.20) qui lui a t fournie, puisque la translation seffectue sur les 32 bits de ladresse.

Configuration de la partie routage des Box
Paramtrage du routeur MyBox#1
!
! Saisie du Hostname du routeur (spcifique cette box).
hostname MyBox#1
!
!
! Paramtarge IP de linterface rattache au commutateur de lInternaute. Cette adresse sera galement la valeur
de la passerelle par dfaut des postes de linternaute, que nous paramtrerons plus tard dans la fonction Dhcp.
Comme nous allons faire du Dynamique PAT sur ce routeur, nous allons galement prciser que cette interface
est rattache un segment Inside du rseau de linternaute.
ip address 192.168.0.254 255.255.255.0
ip nat inside
!
!
! Paramtrage IP de linterface qui sera (via la simulation de notre DSLAM) rattache au rseau de notre
fournisseur daccs. Cette adresse appartiendra au rseau dacheminement, inconnu de lInternaute. Nous
prciserons galement que cest une interface rattache un segment Outside du rseau de linternaute.
(spcifique cette box)
ip address 205.25.36.5 255.255.255.0
ip nat outside
!
!
! Cration dun pool dadresse que nous nommerons PUBLIC, et dont ltendue se limitera notre seule adresse
publique affecte lInternaute. Observer le masque, qui va nous permettre deffectuer une translation sur les
32 bits de ladresse IP. (spcifique cette box)
ip nat pool PUBLIC 35.36.37.19 35.36.37.19 netmask 255.255.255.255
! Voici la rgle de translation sur, cot Inside, qui nous permettra deffectuer une translation en utilisant le pool
cr ci-dessus (PUBLIC) si, et seulement si, le filtre dfini par laccess-list SOURCE (dcrite plus bas) est vrifi. Le
paramtre overload prcise que pour une mme adresse IP, nous allons effectuer de la translation de ports (PAT).
ip nat inside source list SOURCE pool PUBLIC overload
!
!
! Cette route par dfaut renvoie tous les flux destination de rseaux inconnus du routeur de linternaute, vers
loprateur.
ip route 0.0.0.0 0.0.0.0 205.25.36.254
!
!
! Voici laccess-list qui va slctionner le flux ligible la translation Dans notre cas, toutes les adresses se
prsentant avec une IP source commenant par 192.168.0, sur une patte rattache un segment Inside (l
intrerface Fa0/0 dans notre simulation). Attention, ce qui ressemble un masque de sous rseau dans permit
192.168.0.0 0.0.0.255 est en fait un Wildcard Mask (cf. glossaire)
ip access-list standard SOURCE
permit 192.168.0.0 0.0.0.255
!

Rajoutons un deuxime internaute, de la mme manire.
Paramtrage du routeur MyBox#2
!
! Saisie du Hostname du routeur. (spcifique cette box)
hostname MyBox#2
!
!
! Paramtarge IP de linterface rattache au commutateur de lInternaute. Cette adresse sera galement la valeur
de la passerelle par dfaut des postes de linternaute, que nous paramtrerons plus tard dans la fonction Dhcp.
Comme nous allons faire du Dynamique PAT sur ce routeur, nous allons galement prciser que cette interface
est rattache un segment Inside du rseau de linternaute.
ip address 192.168.0.254 255.255.255.0
ip nat inside
!
!
(spcifique cette box)
ip address 205.25.36.6 255.255.255.0
ip nat outside
!
!
! Cration dun pool dadresse que nous nommerons PUBLIC, et dont ltendue se limitera notre seule adresse
publique affecte lInternaute. Observer le masque, qui va nous permettre deffectuer une translation sur les
32 bits de ladresse IP. (spcifique cette box)
ip nat pool PUBLIC 35.36.37.20 35.36.37.20 netmask 255.255.255.255
! Voici la rgle de translation sur, cot Inside, qui nous permettra deffectuer une translation en utilisant le pool
cr ci-dessus (PUBLIC) si, et seulement si, le filtre dfini par laccess-list SOURCE (dcrite plus bas) est vrifi. Le
paramtre overload prcise que pour une mme adresse IP, nous allons effectuer de la translation de ports (PAT).
ip nat inside source list SOURCE pool PUBLIC overload
!
!
! Cette route par dfaut renvoie tous les flux destination de rseaux inconnus du routeur de linternaute, vers
loprateur.
ip route 0.0.0.0 0.0.0.0 205.25.36.254
!
!
permit 192.168.0.0 0.0.0.255
!

Configuration du Lan des Internautes et de lacheminement ADSL
Le paramtrage du routeur est la phase la plus dlicate de la simulation des AdslBox des internautes. Nous
allons maintenant raccorder box notre infrastructure internet. Ne perdez pas de vue que cela reste une
simulation ; un raccordement rel pourrait etre plus complexe en terme de mise en uvre Nanmoins, la
logique des couches protocolaires est respecte.
Ainsi, le raccordement routeur de linternaute vers le modem, puis le raccordement du modem vers le DSLAM,
et enfin le raccordement du DSLAM vers le routeur frontal de notre infrastructure internet, ne se
paramtreront quau niveau des couches 1 et 2 de lOSI (Physique et Liaison).
Au niveau 3 (Rseau), la communication virtuelle se fera bien de routeur routeur. Ce seront donc les seuls
lments sur lesquels il y aura une configuration IP.
Raccordement Internaute vers Internet
Raccordement des routeurs Internautes Modem DSLAM - Routeur Internet
Nous allons commencer par choisir, dans le

type Wan Emulation, un nud DSL Modem
pour chaque internaute. Il ny aura pas de
configuration particulire effectuer (si ce
nest de mettre un nom significatif dans
longlet Config ).
Rajoutons galement un nud de type Wan

Emulation, Cloud-PT. Ce nud est dj
configur avec un certain nombre dinterfaces
de raccordements, de technologies
diffrentes. L encore, pour linstant, il ny a
pas de configuration particulire (si ce nest de
mettre un nom significatif) raliser. Ce sera
la simulation de notrs DSLAM.

Choisissons maintenant un cable de type RJ45
droit. Vous aller raccorder le port Fa0/1 du
routeur de linternaute, vers le Port 1 du
modem. Rpter lopration pour le deuxime
internaute.
A laide maintenant dun cable de type Phone,

raccorder le Port 0 du modem du premier
internaute, vers le Modem 4 de notre nuage
reprsentant le DSLAM. Pour le deuxime
internaute, raccorder le Port 0 du modem du
deuxime internaute vers le Modem 5 du
DSLAM.
Nous raccordons maintenant, laide dun

cable RJ45 droit, linterface Ethernet 6 de
notre nuage, vers linterface Fa0/0 de notre
routeur frontal vers lInternet.
Nous allons maintenant revenir sur notre

nuage, pour configurer la commutation entre
les arrives des modems des internautes, sur
les Modem 4 et 5, et larrive du routeur de
linternet sur linterface Ethernet 6.
Commencez par vous assurez, dans longlet

Config , que linterface Ethernet 6 est bien
configure pour etre rattache un rseau de
type DSL.
Allez maintenant dans la partie DSL de longlet

Config , et laide des listes droulantes,
vous choisirez deffectuer une commutation
entre le Modem 4 et linterface Ethernet 6.
Rpeter lopration de commutation entre le

Modem 5 et linterface Ethernet 6.
Ainsi configure, nos liaisons devraient

maintenant fonctionner, et pour sen assurer,
nous ferons un Ping, partir des routeurs des
internautes, vers linterface du routeur de
raccordement Internet (205.25.36.254).
La confirmation dune bonne communication

IP (couche 3) valide par l mme, la bonne
configuration des couches infrieures (1 et 2).

Lans Internautes
Nous allons ajouter maintenant un noeud de

type commutateur 2950-24 pour chaque
internaute. A part, bien sur, la saisie dun nom
significatif, nous neffectuerons aucune
configuration sur ces commutateurs.
Par contre, nous allons leur raccorder, laide

de cbles droits de typeRJ45 :
Sur linterface Fa0/1, linterface Fa0/0 du

routeur de linternaute 1. Rpeter
lopration pour linternaute 2.
Sur linterface Fa0/4, un nud de type
serveur Generic, qui va nous servir
configurer le Dhcp. . Rpeter lopration
pour linternaute 2.
Sur les interfaces Fa0/3 et Fa0/2, deux
postes de travail, qui seront configurs de
manire rcuprer une adresse
dynamique (Dhcp, donc). . Rpeter
lopration pour linternaute 2.
Classiquement maintenant, nous allons

configurer nos serveurs dhcp pour offrir des
baux dans le rseau de type priv
192.168.0.0/24, comme indiqu ci-contre.
Remarquez la valeur du serveur Dns
(45.19.20.125). Elle reprsente le Dns
Publique du fournisseur daccs que nous
avons prcdemment configur.
En ce qui concerne le Dhcp, nous avons choisi dutiliser les fonctionnalits dun serveur et non pas de
paramter nos routeurs pour quils effectuent cette tache (ce qui est tout fait, moyennant paramtrage,
dans leurs cordes) Nous gardons, dans cet exemple, notre ide de faire Une fonction, Une boite .
Voila, la simulation de nos Internautes est prete.
Nous allons maintenant tester son bon fonctionnement

G Test de Fonctionnement Internet et Backbone
Test de connexion de l Internaute vers www.resa.alpha.com
Rsolution www.resa.alpha.com et Flux Http
Pour tester le bon fonctionnement de la simulation notre Internaute, nous allons essayer de nous connecter
vers un serveur Web, et observer le comportement des diffrents nuds traverss.
Nous avons mis en place une architecture Dns (qui sera enrichie en phase V), ce qui devrait nous permettre de
joindre un serveur http, non pas sur la base dune adresse IP, mais sur son FQDN Nous allons donc, partir
dun poste dun internaute, essayer de joindre le site www.resa.alpha.com.
Vrifions dans un premier temps, que nos postes

de travail ont bien obtenu une adresse IP. Cette
adresse devra appartenir un rseau priv, notre
rseau 192.168.0.0/24
Notez galement ladresse Dns (45.19.20.125)

fournie par votre fournisseur daccs au rseau
(Alpha) et que nous renseignons via le serveur
Dhcp local..

Puis, lanons le navigateur. Au niveau de lUrl,
tapons http://www.resa.alpha.com puis tapons
sur la touche Entre.
http:// prcise le protocole qui va tre utilis, et

www.resa.alpha.com est le FQDN du serveur que
nous dsirons joindre
Aprs avoir fait Go, La page daccueil du site de

www.resa.alpha.com devrait safficher comme
dans lexemple ci-contre
Nous pouvons rpter cette opration pour le deuxime poste de travail du rseau local de notre Internaute,
ou un poste du rseau local de notre deuxime internaute... La mme page doit safficher sur lcran.
Commentaires sur lopration
Commentons dj la cinmatique des flux Dns et http, illustre sur le schma ci-dessus :
Repre sur le schma Actions effectues

Le poste de travail de linternaute met une requte
A
Dns vers son serveur de noms (45.19.20.125).
Le serveur de noms est SOA pour alpha.com, et
possde la rsolution du nom pour le serveur
B demand, soit 45.19.20.120. La rponse la requte
Dns est directement adresse au poste de
linternaute.
Ladresse IP du serveur destination tant connue, il
C est possible de rentrer en session Tcp http (Flux
Web).
Nous allons maintenant nous connecter sur le routeur de notre Internaute et taper la commande de
visualisation suivante, en mode Enable :
MyBox#1#sh ip access-lists
Standard IP access list SOURCE
permit 192.168.0.0 0.0.0.255 (8 match(es)
MyBox#1#
On constate que laccess-list qui gre lelection la translation bien t sollicite. Nous allons maintenant
vrifier que la translation elle-mme a bien fonctionne, en tapant la commande :
MyBox#1 #Show ip nat trans

Pro Inside global Inside local Outside local Outside global
udp 35.36.37.19:1025 192.168.0.1:1025 45.19.20.125:53 45.19.20.125:53
udp 35.36.37.19:1027 192.168.0.2:1027 45.19.20.125:53 45.19.20.125:53
tcp 35.36.37.19:1025 192.168.0.1:1025 45.19.20.120:80 45.19.20.120:80
tcp 35.36.37.19:1027 192.168.0.2:1027 45.19.20.120:80 45.19.20.120:80
MyBox#1 #

On constate que les trames (Inside Local 192.168.0.1 et 192.168.0.2, port source Tcp 1025 et 1027) ont bien
t translates avec la mme adresse IP publique (Inside Global 35.36.37.19), mais avec des ports Tcp source
diffrents pour celle-ci, ce qui va permettre au routeur de multiplexer sur cette adresse publique, plusieurs
adresses prives de machines. Il y a donc bien eu translation dadresses (NAT), et translation de ports (PAT)
Les adresses de destination, elles, nont subies aucun changement, puisque ce sont des adresses publiques qui
sont directement utilises lors de lappel de requtes UDP port 53 (pour le Dns) ou TCP port 80 (pour le
serveur www.resa.alpha.com).
Lacheminement des paquets, la sortie des routeurs de nos Internautes, seffectue ensuite par simple routage
sur les adresses publiques, comme on peut lobserver en tapant sur le routeur de loprateur la commande
suivante :
AlphaInternaute#deb ip packet
Packet debugging is on
AlphaInternaute#
IP: tableid=0, s=35.36.37.19 (FastEthernet0/0), d=45.19.20.125 (Serial0/0/0), routed
via RIB
IP: s=35.36.37.19 (FastEthernet0/0), d=45.19.20.125 (Serial0/0/0), g=192.168.0.13, len

29, forward
IP: tableid=0, s=45.19.20.125 (Serial0/0/0), d=35.36.37.19 (FastEthernet0/0), routed

via RIB
IP: s=45.19.20.125 (Serial0/0/0), d=35.36.37.19 (FastEthernet0/0), g=205.25.36.5, len

29, forward
IP: tableid=0, s=35.36.37.19 (FastEthernet0/0), d=45.19.20.120 (Serial0/0/0), routed

via RIB
IP: s=35.36.37.19 (FastEthernet0/0), d=45.19.20.120 (Serial0/0/0), g=192.168.0.13, len

44, forward
IP: tableid=0, s=45.19.20.120 (Serial0/0/0), d=35.36.37.19 (FastEthernet0/0), routed

via RIB
IP: s=45.19.20.120 (Serial0/0/0), d=35.36.37.19 (FastEthernet0/0), g=205.25.36.5, len

44, forward
Etc
Notre plate-forme fonctionne
-ooOoo-

Dns Intranet/Internet Ftp Server
SOA ciscogum.fr, SOA ciscogum.com Wifi : SSID Marseille
ftp.ciscogum.fr
LI 10.200.0.222 Wep Authentification
LI 10.200.0.202 Marseille Networks
LO 199.118.22.222 Key : abcdef0123
LO 199.118.22.102 Desktops
Web Server Montpellier 10.13.1.0/24 (vlan10)
Gateway: .254
www.ciscogum.fr
Labtops
Vlan 20 LI 10.200.0.200 10.113.1.0/24 (vlan20)
DMZ
LO 199.118.22.100 Gateway: .254
Web Server Reservation
Montpellier DHCP
www.resa.ciscogum.fr Marseille
1st Floor OspfArea200
LI 10.200.0.201
LO 199.118.22.101
Vlan 10
Dns Root Level

Dlci 113, GO 45.19.20.100
OspfArea34
Dlci 175, ns1.alpha.com
Dlci 100 OspfArea13 GO 45.19.20.125
Marseille
www.resa.alpha.com
Switch Vtp Server
Domain montpellier GO 45.19.20.120
MontpellierNetworks OspfArea0 IP over Frame Relay

10.34.1.0/24 (vlan10)
10.34.2.0/24 (vlan20) CV Montpellier(.17)/Marseille(.18) 10.100.100.16/30
10.34.3.0/24 (vlan30)
Gateway : .254 CV Montpellier(.10)/Paris(.9) 10.100.100.8/30
Vlan 30 OspfArea0
Port Channel CV Paris(.5)/Marseille(.6) 10.100.100.4/30
Simulation de Rseau Informatique d Entreprise

802.1q CV Montpellier(.5)/Internet 98.12.12.4/30
Montpellier Dlci 175, 45.19.20.0/24
2nd Floor Dlci 134 AS 65400
BGP
Vlan 10
98.12.12.4/30 ASBR
Frame OSPF Provider
OSPF
Relay BGP 75.19.19.4/30
Switch Alpha
Dlci 113, Dlci 134
Dlci 134 ASBR
Dhcp for Montpellier & Paris
Architecture Phase V
Dns for entire Company 192.168.0.16/30 192.168.0.4/30 Provider

Private Networks
192.168.0.4/30
.6
AS 63000 .5 192.168.0.8/30
OSPF 192.168.0.12/30
192.168.0.16/30
Paris Network Local 192.168.0.12/30 192.168.0.8/30
10.75.1.0/24 Dhcp
Phase V Mise en place des Services Internet et de la Vente en Ligne
Internaute Provider
205.25.26.4/30
OspfArea0 #2 Alpha ASBR
OSPF
OSPF
205.25.36.0/24 BGP
35.36.37.20/32 BGP
ASBR
Adresse public
OspfArea75
Internaute 2
AS 65000 23.12.12.0/24
Internaute 2 Local
Private Network Dhcp
192.168.0.0/24 Provider
Switch Vtp Server 35.36.37.19/32
Domain Paris Adresse public Beta
Internaute 1
Paris Internaute
Internaute 1 Dns Top Level
Private Network #1
GO 23.12.12.65
192.168.0.0/24
Web Server Los Angeles
(www.ciscogum.com)
GO 23.12.12.23
Page 127
Nul doute que jusquici, votre maitrise du rseau de lentreprise aura permis celle-ci de croitre, tout au moins en
partie
Cette dernire phase va consister mettre en uvre une plate-forme de vente en ligne. Pour lillustrer, nous allons
imaginer que nous ouvrons le rseau de notre entreprise vers Internet, en offrant des services de type Ftp (File Transfer
Protocol), pour tlcharger des catalogues, puis de type Web vers des services de ventes directes ou de rservations de
produits.
Nous utiliserons galement le serveur de Los Angeles, dj en place, comme un site Web vitrine dlocalis
(www.ciscogum.com).
Lobjet ne sera pas, bien entendu, dcrire une application, mais bien darriver sur des processus de niveau 5, simulant
laccs nos ressources applicatives.
Nos serveurs de type Web et Ftp (sauf celui de Los Angeles), seront hbergs au sein de notre entreprise, mais pas
lintrieur de notre rseau local, ce qui serait une incongruit grave en terme de scurit Ils seront mis en place sur une
Dmz (Demilitarized Zone), qui sera un segment isole du rseau de lentreprise, et qui ne pourra etre accessible que via
des nuds de scurit (Firewall ou Pare-feu).
Ce sera le routeur de Montpellier qui jouera ce role. Des rgles de scurit, autorisant ou non certains types de flux
seront ainsi mises en place, vers un nouveau segment Lan (notre Dmz), qui sera directement rattch une interface
FastEthernet du routeur. Bien entendu, laccs ces ressources devra tre possible en interne de notre rseau
dentreprise, et ceci sans restriction, pour effectuer par exemple, des publications sur nos diffrents sites.
Dans cette simulation, nous allons dissocier physiquement, notre serveur Dns Intranet/Internet, nos deux serveurs
Web, et notre serveur Ftp.
La validation dfinitive de cette phase (et de notre simulation dans sa globalit), se fera par des appels http ou Ftp vers
nos serveurs :
Par leur FQDN ou adresse IP publique partir du Lan de notre Internaute.

Par un nom local ou adresse IP prive partir de notre Lan.
Par leur FQDN ou adresse IP publique partir de notre Lan
Ce dernier point ncessitera la mise en place de la navigation vers Internet des utilisateurs de notre entreprise

Une fois la mise en place de cette dernire phase sur Packet Tracer, et quelques champs texte rajouts pour le
commentaire, vous devriez avoir un schma quivalent la copie dcran ci-dessous :
Packet Tracer - Phase V

A Planification de la mise en oeuvre
La ralisation de cette phase se doit detre mthodique nous allons donc respecter le droulement suivant :
Mise jour de la documentation de notre rseau.

Mise en place dun commutateur DMZ
Raccordement des serveurs et paramtrage IP
Mise en place des Fonctionnalits Web, Ftp et Dns.
Raccordement du routeur sur le Lan Dmz et vers Internet via un CVP Frame Relay
Configuration IP (Nat et Pat) sur le routeur de Montpellier pour les accs Internet vers notre Dmz.
Configuration IP (Nat et Pat) sur le routeur de Montpellier la navigation de nos utilisateurs vers Internet.
Mise en place des rgles de scurit
Tests de fonctionnement
Quelques remarques sur les Dmz, la scurit, et ladressage IP
Offrir des services sur Internet, cela veut dire avant tout que nos ressources sont joignables via des adresses IP
publiques Il est donc ncessaire de se procurer ces adresses auprs dune autorit comptente (un oprateur, par
17
exemple). Dans notre simulation, nous utiliserons le rseau 199.118.22.0/24 .
Dans un souci disoler les flux provenant de lextrieur, par rapport notre rseau local, nous allons mettre nos machines
sur un segment ddi la communication avec Internet, nomm Zone Dmilitarise (Demilitarized Zone ou DMZ)
Ainsi, assez basiquement, une architecture de scurit peut tre dploye de la manire suivante :
Architecture de Scurit de base
Pour isoler un flux, nous allons utiliser des nuds particuliers : Les Pare-feu, ou Firewall. Le Pare-Feu est avant tout un
routeur, puisque, en fonction de rgles qui vont sappliquer sur les les trames aux niveaux 3 (IP) et 4 (TCP/UDP), il va
17
254 adresses publiques disponibles, il est clair que cela a fort peu de chance de survenir dans une entreprise relle profitons donc
des joies de la simulation

envoyer les paquets vers les bons segments, ou les liminer purement et simplement, si aucune rgle ne sapplique aux
flux analyss.
Le Pare-Feu prend gnralement en compte le sens du flux, les sources et destination IP, les sources et destination
TCP/UDP.
Sa politique de filtrage est base sur une liste de rgles exhaustive En effet, sans rgle, par dfaut, un Pare-Feu va
liminer tous les paquets qui transiteront par ses interfaces Cette rgle ultime (deny any any, c'est--dire rejet du
paquet, quelle que soit la source, quelle que soit la destination), mme aprs personnalisation, restera donc en fin de
liste.
Le balayge de la liste des rgles dun Pare-Feu, seffectue de manire squentielle. Il est donc impratif de bien maitriser
les flux de transit, de manire ce que les paquets restent le moins longtemps dans le nud, et que limpact sur la
latence soit optimal.
Lintrospection seffectue dans les deux sens, mais lorsquune rgle est vrifie et que le paquet est commut, la rgle
inverse (pour les paquets retour) sera implicate grace une table de correspondance interne au Pare-Feu. Une rgle est
donc lie linitiateur de la communication.
De par sa situation sur le rseau (en frontire dInternet et dun Intranet), un Pare-Feu se devra de manipuler aussi bien
des adresses IP publiques que des adresses IP prives. Une de ses fonction, couramment mise en uvre, sera donc
deffectuer de la transaltion dadresses et/ou de ports (NAT/PAT).
Le Pare-Feu se doit galement dtre discret et renvoyer le moins dinformations utiles possible sur sa prsence dans
le rseau (des messages Icmp en cas de non routage dun paquet, par exemple).
Enfin, certains Pare-Feu introspectent les trames au niveau 5 (Application), pour effectuer des filtrages sur des Url, par
exemple (White List : Url autorise, Black List : Url rejete). Ils peuvent galement filtrer des mails, grer des VPN, servir
de Proxys Il reste cependant important de rester sur notre logique de Une fonction, une boite , et de ne pas hsiter
18
rajouter des nuds ddis ces fonctions .
Un Pare-Feu tant un nud sensible du rseau de lentreprise, il peut souvent etre mis en place sous la forme de clusters
(au moins deux machines physiques, synchronises entre elles, et qui peuvent fonctionner soit en partage de charge,
soit en mode actif/passif) ce qui assure une continuit du service en cas de perte dun des boitiers physiques.
Une dernire remarque.Un Pare-Feu a souvent, minima, trois pattes de rattachement Une vers votre Intranet, une
vers Internet, une vers votre Dmz. Il est fort possible de rajouter dautres Dmz, ddies des fonctions particulires
(navigation, accueil web, accueil ftp.) Ces pattes de rattachement seront gnralement nommes de manire
significative, et ces noms seront repris sur les managers de configurations des Pare-Feu pour le passage de rgles.
18
Noubliez cependant pas la pseudo-couche 8 du modle OSI, qui correspond lapproche politique et financire de linfrastructure
de votre rseau Ainsi, le budget allou la scurit rseau de lentreprise a un impact direct sur la possibilit ou non dclater les
fonctions dun Pare-Feu ; Ce budget peut etre li la taille de lentreprise, son pole dacivit Bref, la mise en uvre dune architecture
de scurit sera donc issue dun cahier des charges ddi cette fonction.

Architecture de Scurit avance
Ainsi, sur le schma ci-dessus, nous avons dcid de ddier
une DMZ la navigation, en utilisant un serveur proxy, ainsi qu un nud qui scrutera les Url de navigation, et
effectuera un balayage anti-viral.
Une DMZ au transfert de fichiers et la messagerie, avec galement un nud dintrospection des mails, associ
un balayage anti-viral.
Une DMZ Web ou seront hebergs nos serveurs Web dentreprise destination dInternet, ainsi quun Reverse
Proxy qui effectuera une redistribution vers les sites demands.
Une variante de la mise en place du nud Pare-Feu consistera mettre en place un Cluster de deux boitiers,
utilisant une liaison directe pour la gestion du boitier maitre (Actif/passif) et lchange des tables de sessions
(ncessaire la continuit du service en cas de bascule du mode passif au mode actif, du boitier de secours).
Rappellez vous nos notions de niveaux de visibilit.La vision du schma prcedent reste Logique . En effet, Le
LAN de lentreprise, comme les diffrentes DMZ peuvent tout fait tre mis en place sur un mme nud physique,
qui possde diffrents Vlans, ou sur plusieurs commutateurs dports (entre plusieurs batiments, par exemple),
utilisant le 802.1q.

Quelques remarques sur le File Transfer Protocol (Ftp) et les Pare-Feu
Les soucis Ftp associs au Pare-Feu sont Classique . Souvent, on va vous recommander de passer du mode Ftp Actif au
mode Ftp Passif pour rsoudre vos problmes de connexionmais pourquoi ? Et surtout, qui est la source des
problmes ? Dans bien des cas, il faut savoir que ce nest pas le Ftp distant (celui sur lequel vousvoulez vous connecter)
qui pose problmemais le votre !
Un bon croquis valant mieux quun long discours, imaginons larchitecture suivante
Exemple Ftp : Architecture
et imaginons que les rgles suivantes aient t charges dans nos deux Pare-Feux :
Exemple Ftp : Rgles des Pare-Feux
Rgles sur le FireWall Fournisseur

Segment
N Segment Source IP Source IP Dest Port Source Port Dest Action
Destination
1 Outside Inside Any 10.10.10.25 Any ou 1024-65535 21 Permit
2 Inside Outside Any Any Any Any Permit
3 Outside Inside Any 10.10.10.25 Any ou 1024-65535 1024-65535 Permit
Defaut Any Any Any Any Any Any Deny
Rgles sur le FireWall mon Entreprise

Segment
N Segment Source IP Source IP Dest Port Source Port Dest Action
Destination
1 Inside Outside Any Any Any Any Permit
Default Any Any Any Any Any Any Deny
Pour rsumer :
le Fournisseur accepte uniquement les entres en sessions destination de son serveur Ftp (10.10.10.25), sur le
Port 21 (rgle 1 Fournisseur)
Le Fournisseur sautorise toutes entres en session en provenance de son rseau interne vers le rseau externe
(rgle 2 Fournisseur)
Le Fournisseur accepte les entres en sessions destination de son serveur Ftp (10.10.10.25), sur les Ports
Dynamiques (En cas d utilisation du mode passif) (rgle 3 Fournisseur)
Le Fournisseur refuse toute autre demande dentre en session provenant de lextrieur, autre que la rgle 1
(rgle Defaut Fournisseur).
Mon Entreprise sautorise toutes connexions vers lextrieur (rgle 1 Entreprise)
Mon Entreprise refuse toute demande dentre en session provenant de lextrieur (rgle Defaut Entreprise).

Voyons maintenant le comportement dune demande douverture de sessions en mode Actif :
Ftp utilise deux ports bien connus : les Ports TCP 20 (pour lchange de donnes) et le Port TCP 21 (pour le passage
de commandes Ftp). La tendance est de faire voluer Ftp vers lutilisation du seul Port TCP 21 (cest dailleurs ainsi
que, plus tard, dans cette simulation, nous aurons grer des rgles de scurit pour du Ftp, associes ce seul
port 21)
Cinmatique Ftp Actif
Ftp Mode Actif

Action Commentaire
Le flux passe au travers de mon pare-feu (rgle 1)

Le flux passe au travers du pare-feu du Fournisseur (rgle 1)
Ouverture de session accepte
Port Source : Dynamique (1024-35635). Ex :1060
Port Destination : 21

Port Source : 1060 Echange de commandes ou dInformations
Envoi au serveur le port dynamique vers lequel il peut se connecter
ex :1063. Commande associe : PORT 1063

Le flux est rejet par mon pare-feu (rgle dfault)
Louverture de session Ftp est refuse.
Port Source : 20
Port Destination Dynamique reu du client : 1063

Puis, sans changer nos rgles, mais simplement en paramtrant la couche applicative de notre serveur Ftp de manire
ce quil accepte les connexions en mode Passif (faites par le client Ftp), observons la cinmatique des flux :
Cinmatique Ftp Passif
Ftp Mode Passif

Action Commentaire

Ouverture de session accepte
Port Source : Dynamique (1024-35635). Ex :1060

Echange de commandes ou dInformations
Port Source : 1060
Envoi au serveur la commande PASV pour basculer en mode passif.

Le flux passe au travers du pare-feu du Fournisseur (implicite rgle 1)
Port Source : 21 Echange de commandes ou dInformations
Le serveur renvoie au client le port dynamique utiliser pour tablir la
connexion data. Ex : 1666

Ouverture de session L4 accepte
Port Source : Dynamique (1024-35635). Ex : 1090

Port Destination Dynamique reu du client : 1066
Cet exemple est avant tout fait pour illustrer les subtilits des modes Actif et Passif, et les rgles, un peu larges,
ncessitent une maitrise des Ports lcoute sur le serveur Ftp Dans la ralit, souvent, le Pare-Feu va grer les ports
dynamiques en montant des sessions relais (1 session client/Pare-Feu, 1 session Pare-Feu/Serveur Ftp) et/ou, en
introspectant la partie donnes des trames pour ce protocole

Il est temps de revenir notre simulation. Dans notre cas, nous avons vu que nous nutiliserons pas de Proxy. Les
adresses destination dInternet en provenance de notre Intranet seront les vraies adresses publiques.
Nous allons profiter de la mise en place de notre plate-forme de services en ligne, pour donner laccs Internet aux
utilisateurs de notre entreprise. Dans un souci de scurit et de maitrise du rseau, il ny aura quun point daccs
(entrant ou sortant) vers Internet : Montpellier. Nous devrons donc :
Router les paquets de Montpellier, mais aussi Paris et Marseille, vers laccs de Internet de Montpellier pour la
navigation des utilisateurs de mon entreprise. La scurit sera gre sur le routeur (et maintenant Pare-feu) de
Montpellier.
Router les paquets en provenance d Internet destination de nos plate-formes de service situes en Dmz. L
encore, cest le routeur de Montpellier qui fera office de Pare-Feu.
Nous Mettrons deux serveurs Web et un serveur Ftp dans notre Dmz. Ces derniers seront joints via des adresses prives
depuis notre Intranet, et des adresses publiques (avec un port protocolaire cibl) depuis Internet.
Nous mettrons galement en place un serveur de noms, qui sera accessible depuis Internet et pour lequel nous seront
SOA (Start of Authority) de ciscogum.fr et ciscogum.com. Il sera galement utilis pour nos rsolutions locales. Au
travail !
Architecture de scurit de la Simulation

B Mise jour de la documentation
Nous allons dabord devoir choisir dans notre plan dadressage IP priv, un rseau disponible. Ce dernier sera le rseau de
notre Dmz. Nous allons galement utiliser des adresses publiques, parmi celles que nous fournit notre oprateur
tlcom (199.118.22.0/24 ce qui nous fera donc 254 adresses disponibles).
Qui dit modification de notre rseau dentreprise, dit modification de notre documentation Nous allons donc
immdiatement mettre jour nos choix dans le tableau de recensement des rseaux et adresses IP, ainsi que dans celui
des laisons (Tableau de brassage).
Plan dadressage et tableau de recensement des IP, Phase V

Hrault 10.34.0.0/16
Routeur 10.34.1.254
Routeur 10.34.2.254
Routeur 10.34.3.254
Montpellier Dmz (vue Intranet) 10.200.0.0/24
Montpellier Dmz (vue Internet) 199.118.22.0/24
Routeur 10.200.0.254
Web Server Montpellier IL : 10.200.0.200
IG : 199.118.22.100
Web Server Montpellier rsa IL : 10.200.0.201
IG : 199.118.22.101
Ftp Server IL : 10.200.0.202
IG : 199.118.22.102
Dns Server Intranet/Internet IL : 10.200.0.222
IG : 199.118.22.222
Paris 10.75.0.0/16
Paris Vlan10 10.75.1.0/24
Plage Dhcp Paris 10.75.1.1 10.75.1.100/24
Routeur 10.75.1.254/24
Marseille 10.13.0.0/16 Wired Lan

Dns/Dhcp Marseille 10.13.1.200
Routeur 10.13.1.254
10.113.0.0/16 Wireless Lan
Routeur 10.113.1.254
Lien Wan 10.100.100.0/24
Paris 10.100.100.10
Montpellier Marseille 10.100.100.16/30
Marseille 10.100.100.18
Paris Marseille 10.100.100.4/30
Paris 10.100.100.5
Marseille 10.100.100.6
Montpellier - Internet 199.118.22.0/24 199.118.22.250

Tableau des noms dhtes, Phase V (hostnames)
Noeud Nom dhote

st
st
st
nd
nd
nd
nd
Commutateur Frontal Marseille SwitchFrontalMarseille
Routeur de Marseille Marseille
Commutateur DMZ Montpellier DMZ
Tableau des liaisons Phase V brassage

Fa0/11 Fa0/11
Fa0/11 Fa0/11

Fa0/1 Fa0/1 DMZ Pare-Feu
Marseille Fa0/0 Fa0/24 SwitchFrontalMarseille Routeur 802.1q
S0/0/0 Paris FR Dlci 175
SwitchFrontalMarseille Fa0/1 Fa0/1 SwitchMarseille1 802.1q
Fa0/24 Fa0/0 Marseille Routeur
Fa0/4 FastEthernet Serveur Marseille Dns Dhcp
SwitchMarseille1 Fa0/24 Fa0/24 SwitchMarseille2 802.1q
Fa0/1 Fa0/1 SwitchFrontalMarseille 802.1q
SwitchMarseille2 Fa0/1 Fa0/2 SwitchFrontalMarseille 802.1q
Fa0/2 Vlan 113 FastEthernet AccessPoint Marseille AccessPoint
SwitchMarseille3 Fa0/23 Fa0/22 SwitchParis2 802.1q
DMZ Fa0/1 Fa0/1 Montpellier Routeur
Fa0/2 FastEthernet www.ciscogum.fr Serveur Web
Fa0/3 FastEthernet www.resa.ciscogum.fr Serveur Web
Fa0/4 FastEthernet ftp.ciscogum.fr Serveur Ftp
Fa0/5 FastEthernet NameServer Serveur Dns

C Raccordement des serveurs et paramtrage IP
Notre Dmz sera physiquement hberge sur un commutateur physique, de type 2950-24. Comme nous lavons dj fait
quelques fois, rajoutez ce type de commutateur sur votre map Packet Tracer.
Nous donnerons ce commutateur un nom significatif (Dmz, Dmz Montpellier.) et cest la seule chose que nous
configurerons En effet, notre Dmz appartiendra un seul domaine de diffusion. Nous garderons donc le Vlan 1 (Vlan
par dfaut)
Nous nactiverons galement pas de protocole Vtp sur ce commutateur Sur un nud de type Dmz, il serait mme
souhaitable dinactiver tout ce qui peut rendre notre plate-forme sensible une intrusion ou une collecte dinformation
illgale (Cdp, Snmp)
Raccordements Serveurs en DMZ
DnsSever (ns1.ciscogum.fr, ns1.ciscogum.com)

Eth-Fa0/5 (10.200.0.222/24)
ftp.ciscogum.fr
Eth-Fa0/4 (10.200.0.202/24)
www.ciscogum.fr
Eth-Fa0/2 (10.200.0.200/24)
www.resa.ciscogum.fr
Eth-Fa0/3 (10.200.0.201/24)
Segment DMZ
(Vlan par dfaut 1)
Serveur Web ventes en ligne
Ajouter un composant de type End Device ,

Generic , Server-PT . Vous allez ensuite raccorder
linterface Ethernet de ce serveur au commutateur
DMZ, sur le port FastEthernet 0/2
Ouvrez le serveur, et choisissez IP Configuration

dans longlet Desktop . tapez la configuration de la
pile IP suivante :
IP Address : 10.200.0.200
Subnet Mask : 255.255.255.0
Default Gateway : 10.200.0.254
Dans lOnglet Config , mettez tous les services sur

Off, sauf le Service http (On), pour les deux protocoles
http et https Vous pouvez au besoin personnaliser le
contenu les balises Html.

Notez que le paramtrage IP correspond au seul
passage dune adresse dans le rseau priv que nous
utilisons pour la DMZ. Toutes les parties rgles de
scurit, translation. seront configures dans notre
routeur Montpellier.
Serveur Web Rservation


pile IP suivante :
IP Address : 10.200.0.201
Subnet Mask : 255.255.255.0

Off, sauf le Service http (On), pour les deux protocoles
http et https Vous pouvez au besoin personnaliser le
contenu les balises Html.

Serveur Ftp


pile IP suivante :
IP Address : 10.200.0.202
Subnet Mask : 255.255.255.0

Off, sauf le Service ftp
Si lutilisateur par dfaut cisco , mot de passe

cisco , nexiste pas, vous pouvez le crer, en lui
donnant un accs total (RWDNL).
Serveur Dns Intranet/Internet


pile IP suivante :
IP Address : 10.200.0.222
Subnet Mask : 255.255.255.0

Off, sauf le Service Dns. Ce serveur sera utilis :
Pour effectuer de la rsolution interne

(localweb, localresa)
Sera SOA Internet pour ciscogum.fr et
ciscogum.com
Pour permettre la rsolution de noms de fonctionner

correctement dans notre simulation, saisissez tous les
enregistrements indiqus ci-contre, de manire
enrichir votre base Dns.
Renseignons maintenant les diffrents types denregistrement qui configureront la partie Dns de notre serveur, laide
du tableau ci-dessous :
N Name Type Details

5 ciscogum.com SOA ServerName:ns1ciscogum.com
Expiry:2419200
Refresh:604800
Retry:86400
MinTTTl:604800
2 ciscogum.fr SOA ServerName:ns1ciscogum.fr
DNS ciscogum.com & .fr
Expiry:2419200
Refresh:604800
Retry:86400
MinTTTl:604800
1 . NS rootserver
9 resa.ciscogum.fr A Record 199.118.22.101
8 ns1.ciscogum.fr A Record 199.118.22.222
7 ns1.ciscogum.com A Record 199.118.22.222
6 ftp.ciscogum.fr A Record 199.118.22.102
4 ciscogum.fr A Record 199.118.22.100
3 ciscogum.com A Record 23.12.12.23
13 www.resa.ciscogum.fr A Record 199.118.22.101
12 www.ciscogum.fr A Record 199.118.22.100
11 www.ciscogum.com A Record 23.12.12.23

D Raccordement du routeur sur le Lan Dmz et vers Internet via un CVP Frame Relay
Les actions faites sur le routeur de Montpellier sont la partie la plus complexe de cette phase. Nous avons en effet un
cahier des charges assez dense :
Rsolution de noms : Situ en DMZ, notre serveur Dns devra faire de la rsolution de noms aussi bien pour les
demandes provenant de lextrieur (Internet), que pour les demandes en provenance de notre Intranet.
Le raccordement vers Internet devra se faire, non pas par lajout dun lien physique, mais par lajout dun Cvp
Frame-Relay (dlci 100) vers loprateur. Cette patte de rattachement devra donc possder une adresse publique.
Les accs en provenance de notre Intranet vers les ressources en Dmz devront se faire via les adresses prives
(10.200.0.0/24).
Les accs en provenance de notre Intranet vers Internet utiliseront une et une seule adresse publique de sortie
nous devrons donc configurer le NAT et le PAT (199.118.22.200).
Nous configurerons galement le NAT et le PAT pour les accs en provenance d Internet, destination des
ressources hberges sur notre Dmz.
Le routage devra faire lobjet de toutes les attentions ; en effet, il est hors de question de diffuser aux autres
routeurs de notre rseau, le rseau publique (199.118.22.0/24). Par contre, nous diffuserons le rseau priv
(10.200.0.0/24) vers notre Intranet.
Nous finirons enfin par mettre en oeuvre les access-lists de scurit, qui permettront notre routeur de jouer le
role dun pare-feu.
Raccordement du routeur vers laDmz
Raccordements du routeur Montpellier en DMZ
DnsSever (ns1.ciscogum.fr, ns1.ciscogum.com)

Eth-Fa0/5 (10.200.0.222/24)
ftp.ciscogum.fr
Eth-Fa0/4 (10.200.0.202/24)
www.ciscogum.fr
Eth-Fa0/2 (10.200.0.200/24)
www.resa.ciscogum.fr
Eth-Fa0/3 (10.200.0.201/24)
Segment DMZ
(Vlan par dfaut 1)
Routeur Montpellier
Fa0/1-Fa0/1 (10.200.0.254/24)
A laide dun cble droit, nous allons raccorder le port Fa0/1 de notre routeur de Montpellier, vers le port Fa0/1 du
commutateur Dmz ; puis nous paramtrerons la partie IP en avec ladresse 10.200.0.254.
Ce sera la passerelle par dfaut de notre segment Dmz..

Attention, ne pas oublier de faire un no shutdown sur linterface Fa0/1 du routeur.
Montpellier#sh run
()
description *** Interface Dmz ***
ip address 10.200.0.254 255.255.255.0
.duplex auto
speed auto
()
Cration du Cvp Internet chez loprateur et paramtrage de son routeur.
Raccordements du routeur Montpellier au rseau Frame-Relay
Nous allons configurer une liaison virtuelle entre le routeur de Montpellier et le rseau Internet Pour nous, comme
pour loprateur, il ny aura pas de diffrence dans cette mise en uvre avec ce que nous avons fait prcdemment, si ce
nest que la commutation ne sera pas configure entre deux routeurs privs, mais un routeur priv et le routeur de
loprateur, reli au rseau Internet
Le cot amusant de la solution est que, sur une mme interface physique, nous acheminerons donc la fois des paquets
de notre interconnexion prive entre nos trois sites, et des paquets entre Montpellier et Internet, en utilisant un
adressage publique (199.188.22.0/24).
Si le partage de ressources existe donc bien au niveau de la couche 1, ds que nos units dinformations atteindrons la
couche 2 (et au dessus), ltanchit sera parfaite.

Notons enfin que le raccordement vers Internet se fera seulement partir du routeur de Montpellier, mais ni de Paris, ni
de Marseille Les paquets destination dinternet devront donc etre achemins jusqu' Montpellier avant detre
commuts vers Internet Un seul point dentre dans notre rseau, cest aussi une bonne pratique en termes de
scurit
Mais nallons pas trop vite, et commenons par crer chez loprateur, le circuit virtuel
Cration du circuit commut Frame Relay chez loprateur
Sur le commutateur Frame-Relay existant, dans longlet

Config , sur la Serial1 (celle qui est physiquement
raccorde la S0/0/0 de Montpellier), nous allons crer
un Dlci 100, que nous nommerons Internet .
Sur la Serial2 maintenant, que nous allons raccorder

un peu plus loin sur la S0/0/0 du Routeur Internet de
loperateur, nous allons crer un Dlci 134 que nous
nommerons Montpellier.

Toujours dans longlet Config , mais maintenant dans
la configuration Frame Relay , nous allons mettre en
uvre la commutation de trames entre la Serial1
sublink Internet et la Serial2 sublink
Montpellier .
Le travail sur le commutateur Frame Relay est termin
Configuration du routeur de loprateur
Lors de la cration de ce routeur, nous lui avions mis en place deux interfaces physiques de type WIC-2T, la S0/2/0, qui allait
vers le routeur de Los Angeles, et la S0/0/0, inutilise. Jusqua maintenant, puisque cest cette interface que nous allons
raccorder linterface Serial2 du commutateur Frame Relay, laide dun cable de type DCE.
Le dpart du cble DCE sera la Srial2 du commutateur Frame Relay, qui fournira ainsi lhorloge (sur ce nud de simulation,
il nest pas ncessaire de rajouter de commande clockrate ).
Une fois le cble raccord vous allez crer une sous-interface logique de raccordement vers Montpellier sur le Dlci 134.
Vous remarquerez que nous allons nouveau, comme nous lavons fait lorsque nous avons crer nos internautes, utiliser un
sous-rseau de liaison L3 qui sera totalement dissoci des rseaux de Montpellier (publiques ou privs) : le 98.12.12.4/30.
Laccs vers les ressources publiques de Ciscogum, se fera au travers dune static route, configure cot oprateur Cette
static route sera diffuse par lIGP de loprateur, puis redistribue dans BGP, de manire tre annonce vers le rseau
Internet.
RouteurInternetOperateur#show run
()
! Activation de lencapsulation Frame-Relay sur la Serial physique S0/0/1 du routeur. Nous crons ensuite une sous-interface
logique (sur cette interface physique), que nous allons suffixer avec le n de dlci (que ce le suffixe soit gal au n de dlci na rien
dobligatoire.)
no ip address
!
bandwidth 1024
ip address 98.12.12.6 255.255.255.252
!
!
! Activation du processus Ospf (identifi 30). => Rappel : ce numro de processus, dans un souci de facilit la lecture des
configurations, est le mme sur chacun des routeurs mais cela nest en rien obligatoire ! Cest une information locale.
router ospf 30
! La ligne de redistribution suivante va permettre de router, via Ospf, les routes statiques qui se trouvent sur ce routeur.
redistribute static subnets
! La ligne suivante inactive Ospf sur l'interface raccorde Ciscogum (cf Phase V)... Ciscogum tant adressable via du routage
statique, ne prenons pas le risque (la mise en oeuvre dans ce cas est affaire de scurit) de lui envoyer des Lsa de notre rseau
interne...
passive-interface Serial0/0/1.134

! La ligne suivante prcise les prfixes qui vont participer au processus de routage...dans notre cas, tous les rseaux commenant
par 192.168.0.
network 192.168.0.0 0.0.0.255 area 0
!
!
!Route par statique vers 199.118.22.0/24 (les ressources publiques de Ciscogum), qui sera annonce via Ospf
ip route 199.118.22.0 255.255.255.0 98.12.12.5
!
!
()
Vous pouvez maintenant taper la commande suivante (aprs avoir fait un no shutdown sur la S0/0/1 du routeur
oprateur), pour vrifier la disponibilit de ce nouveau lien
RouteurInternetOperateur#show frame-relay pvc


RouteurInternetOperateur#
Notez ladresse IP de la sous-interface S0/0/0.134 elle appartient (forcment!) au mme rseau que celui qui nous a t
allou (199.118.22.0/24).
Configuration du Frame-Relay sur le routeur de Montpellier
Le routeur de Montpellier possde une interface de type WIC-2T Seule la S0/0/0 est actuellement utilise, cest linterface
de raccordement physique vers le commutateur Frame Relay, sur lequel nous possdons dj un circuit logique vers Paris
(Dlci 175), et un autre vers Marseille (Dlci 113)Linterface S0/0/1 est donc inutilise, et si vous avez bien compris le
principe, elle le restera !
En effet, nous allons simplement rajouter une sous-interface logique sur la S0/0/0, vers le Dlci que nous propose loprateur,
savoir le Dlci 100.
Linterface S0/0/0 devra donc tre configure ainsi :
Montpellier#show run
()
no ip address
!
description *** Interface Outside ***
bandwidth 1024
ip address 98.12.12.5 255.255.255.252
!
bandwidth 128
ip address 10.100.100.17 255.255.255.252
!
bandwidth 128
ip address 10.100.100.10 255.255.255.252
!

()
Montpellier#
La vrification de la prise en compte de cette nouvelle liaison seffectuera en passant la commande suivante :




Montpellier#

Modification du routage
Lajout de nouveaux rseaux va ncessiter une petite modification des protocoles de routage de nos routeurs.
Dans un premier temps, comme une des contraintes est de pouvoir accder nos ressources en Dmz via les rseaux privs
de notre entreprise (sans translation), le rseau 10.200.0.0/24 devra etre connu de tous nos sites (Montpellier, mais aussi
Paris et Marseille). Nous allons donc rajouter une aire Ospf supplmentaire, l aire 200.
Organisation des aires Ospf de notre simulation en Phase V
Dans un deuxime temps, il faudra etre en mesure de router les paquets vers Internet Nous allons pour cela crer des
routes par dfaut sur nos trois sites. Le fonctionnement est simple : Quand un routeur ne trouve pas de route pour
commuter un paquet, il le supprime, sauf si nous lui avons prcis quil existait une route par dfaut Pour simplifier,
quand on ne connat pas une route, on commute directement vers un nud dfini par avance
Il est important de retenir que, sans configuration pralable, une route par dfaut saisie sur un routeur nest pas exporte, et
ceci la suite de quelques douloureuses expriences de perte totale dun routeur, par saturation du rseau ; En effet, ce
dernier, en cas dexportation, prenait alors le risque de se retrouve en situation de point focal pour tous les paquets non
commutables, de tous les routeurs raccords (directement ou derrire plusieurs sauts).
Ces routes par dfaut permettront :
De retourner des paquets vers iInternet dans le cas de la navigation de nos utilisateurs (pas de proxy, donc des
adresses publiques circuleront sur notre rseau dentreprise). Les rseaux cibles ne pourront pas etre connus
lavance et leur routage exhaustif est donc impossible sans route par dfaut. A partir des routeurs de Marseille et de
Paris, ces routes enverront les paquets vers le routeur de Montpellier (le seul point daccs vers Internet).
Sur Montpellier, la route par dfaut renverra les paquets vers le routeur de loprateur, car, potentiellement, un
rseau inconnu est suppos tre un rseau en provenance dInternet.
Un dernier point de configuration. Il est hors de question de router des rseaux publics dans notre Intranet. La sous interface
Frame Relay qui part vers Internet, ne devra donc pas participer au processus Ospf. Nous configurerons donc la partie Ospf
du routeur de Montpellier en consquence en utilisant la commande passive-interface
Configuration du routage sur Marseille
()
! Nous neffectuons pas de modification sur cette interface, mais elle est cite pour information sur le rseau IP de raccordement.
Ladresse locale tant 10.100.100.18/30, ladresse du routeur den face (celui de Montpellier), sera 10.100.100.17, le next-hop de
nos paquets en cas dutilisation de la route par dfaut.
bandwidth 128

ip address 10.100.100.18 255.255.255.252
()
!
router ospf 10
! L encore, aucune modification ne sera effectue, puisque cest seulement une route par dfaut que nous allons rajouter.
log-adjacency-changes
network 10.13.0.0 0.0.255.255 area 13
network 10.113.0.0 0.0.255.255 area 13
network 10.100.100.0 0.0.0.255 area 0
()
! Voici la commande de la route par dfaut. Elle est reprsente avec une partie rseau en 0.0.0.0, et une partie masque en
0.0.0.0. Ladresse suivante est le Next-Hop, c'est--dire ladresse distante dun rseau sur lequel notre routeur est directement
rattach (le 10.100.100.16/30 dans notre cas). Dans notre cas, le 10.100.100.17 sera donc ladresse IP de linterface logique du
routeur de Montpellier, rattache au Dlci 113 (identifiant local Montpellier).
ip route 0.0.0.0 0.0.0.0 10.100.100.17
!
()
Configuration du routage sur Paris
()
Ladresse locale tant 10.100.100.8/30, ladresse du routeur den face (celui de Montpellier), sera 10.100.100.10, le next-hop de
nos paquets en cas dutilisation de la route par dfaut.
bandwidth 128
ip address 10.100.100.9 255.255.255.252
()
router ospf 20
! L encore, aucune modification ne sera effectue, puisque cest seulement une route par dfaut que nous allons rajouter.
network 10.75.0.0 0.0.255.255 area 75
network 10.100.100.0 0.0.0.255 area 0
()
rattach (le 10.100.100.8/30 dans notre cas). Dans notre cas, le 10.100.100.10 sera donc ladresse IP de linterface logique du
routeur de Montpellier, rattache au Dlci 175 (identifiant local Montpellier).
ip route 0.0.0.0 0.0.0.0 10.100.100.10
()
Configuration du routage sur Montpellier
()
Le next-hop de nos paquets en cas dutilisation de la route par dfaut sera ladresse du routeur de loprateur, dans le rseau
199.118.22.0/24, c'est--dire 199.118.22.254.
bandwidth 1024
ip address 199.118.22.250 255.255.255.0
()
router ospf 10
! Comme convenu, dans la partie concernant la configuration du processus Ospf sur ce routeur, nous allons rajouter le rseau IP
de notre Dmz (10.200.0.0/16), et le rattacher laire Ospf 200. Nous allons galement empcher linterface S0/0/0.100 de
participer au processus de routage
network 10.34.0.0 0.0.255.255 area 34
network 10.100.100.0 0.0.0.255 area 0
network 10.200.0.0 0.0.0.255 area 200
()

rattach. Dans notre cas, nous allons commuter non pas sur ladresse IP du routeur contigu, mais directement sur la sous-
interface frame relay, rattache au Dlci 100 (identifiant local Montpellier). A noter quen terme de Distance Administrative, si
une route statique vers une IP vaut 1, une route statique vers une interface vaut 0, et est donc prioritaire par rapport la
premire)
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.100
()
Une fois la convergence Ospf termine, vous devriez pouvoir consulter les tables de routage suivantes :
Table de routage du routeur de Paris
Paris#show ip route
Gateway of last resort is 10.100.100.10 to network 0.0.0.0

O IA 10.13.1.0/24 [110/782] via 10.100.100.6, 00:33:47, Serial0/0/0.113
O IA 10.34.1.0/24 [110/782] via 10.100.100.10, 00:33:47, Serial0/0/0.134
O IA 10.34.2.0/24 [110/782] via 10.100.100.10, 00:33:47, Serial0/0/0.134
O IA 10.34.3.0/24 [110/782] via 10.100.100.10, 00:33:47, Serial0/0/0.134
O 10.100.100.16/30 [110/1562] via 10.100.100.6, 00:33:47, Serial0/0/0.113
[110/1562] via 10.100.100.10, 00:33:47, Serial0/0/0.134
O IA 10.113.1.0/24 [110/782] via 10.100.100.6, 00:33:47, Serial0/0/0.113
O IA 10.200.0.0/24 [110/782] via 10.100.100.10, 00:33:47, Serial0/0/0.134
S* 0.0.0.0/0 [1/0] via 10.100.100.10
Paris#
Table de routage du routeur de Marseille
Marseille#show ip route

O IA 10.34.1.0/24 [110/782] via 10.100.100.17, 00:35:35, Serial0/0/0.134
O IA 10.34.2.0/24 [110/782] via 10.100.100.17, 00:35:35, Serial0/0/0.134
O IA 10.34.3.0/24 [110/782] via 10.100.100.17, 00:35:35, Serial0/0/0.134
O IA 10.75.1.0/24 [110/782] via 10.100.100.5, 00:35:25, Serial0/0/0.175
O 10.100.100.8/30 [110/1562] via 10.100.100.17, 00:35:25, Serial0/0/0.134
[110/1562] via 10.100.100.5, 00:35:25, Serial0/0/0.175
O IA 10.200.0.0/24 [110/782] via 10.100.100.17, 00:35:35, Serial0/0/0.134
S* 0.0.0.0/0 [1/0] via 10.100.100.17
Marseille#

Table de routage du routeur de Montpellier

O IA 10.13.1.0/24 [110/782] via 10.100.100.18, 00:01:41, Serial0/0/0.113
O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 00:01:41, Serial0/0/0.175
O 10.100.100.4/30 [110/1562] via 10.100.100.18, 00:01:41, Serial0/0/0.113
[110/1562] via 10.100.100.9, 00:01:41, Serial0/0/0.175
O IA 10.113.1.0/24 [110/782] via 10.100.100.18, 00:01:41, Serial0/0/0.113
98.0.0.0/30 is subnetted, 1 subnets
C 98.12.12.4 is directly connected, Serial0/0/0.100
S* 0.0.0.0/0 is directly connected, Serial0/0/0.100
Montpellier#

E Configuration des Translations dadresses (NAT) et de ports (PAT)
Synthse des adresses Inside et Outside
Ds lors quun routeur manipule des adresses dun rseau priv vers un rseau publique, et rciproquement, il sera
ncessaire de mettre en place de la translation dadresses et/ou de ports.
Il est important dans un premier temps, didentifier les interfaces qui seront rattaches un segment interne de notre rseau
(le cot Inside, cest dire, les Vlans de Montpellier, Lan DMZ, Liens Wan en provenance de Marseille et de Paris) et les
interfaces qui seront rattaches un segment externe de notre rseau (le cot Outside, c'est--dire le lien Wan vers le
routeur de loprateur via la liaison Frame Relay sur le Dlci 100).
Une fois que cette identification aura t ffectue, le routeur pourra, en fonction de la, ou des rgles dlgibilit,
construire une table de translation, pour un paquet, qui pourra contenir (ce nest pas obligatoire) jusqu' quatre valeurs
diffrentes :
Deux pour le cot Inside, o une adresse sera connue via son Inside Local (son adresse IP vu en interne du rseau
dentreprise, gnralement ladresse relle de la pile paramtre sur une machine) ou son Inside Global (ladresse IP

translate dune machine de notre rseau dentreprise, adresse par laquelle les clients internet connaissent notre
machineson adresse IP publique)
Deux pour le cot Outside, o une adresse sera connue via son Outside Local (Adresse IP dune ressource exterieure
mon rseau dentreprise, mais vue par le biais dune adresse issue de mon rseau priv) ou son Outside Global
(Adresse IP publique relle de la ressource exterieure)
Avec lexemple de la simulation, vous allez vite comprendre Nous allons mme nous amuser un peu en modifiant un aspect
du cahier des charges et en rajoutant la contrainte : Toutes requtes issues dune ressource extrieure (publique) ne
devront vhiculer sur notre Dmz quavec le rseau source 10.250.100.0/24 .nous allons donc faire de la translation
dadresses en sur la patte Outside Un peu comme le ferait un reverse proxy au niveau de la couche 3Lavantage est que,
sur un sous rseau identifi, il sera possible de prvoir des rgles de scurit, ce qui aurait t difficile avec des adresses
publiques non connues par avance
Identifions dj nos interfaces, c'est--dire celles qui feront de la translation, en prcisant leur cot de rattachement, sur
lextrait de la configuration du routeur de Montpellier ci-dessous.
()
! Cest une interface physique du routeur de Montpellier sur laquelle nous utilisons lencapsulation dot1q, donc cette interface
nest pas concerne
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
! Cest linterface logique qui correspond au Vlan 10 de Montpellier. Nous allons prciser quil y aura de la translation sur cette
patte, et quelle est rattache un segment Inside de notre entreprise
encapsulation dot1Q 10
ip address 10.34.1.254 255.255.255.0
ip nat inside
!
ip address 10.34.2.254 255.255.255.0
ip helper-address 10.34.1.200
ip nat inside
!
ip address 10.34.3.254 255.255.255.0
ip helper-address 10.34.1.200
ip nat inside
!
! Cest linterface logique qui correspond la Dmz de Montpellier. Nous allons prciser quil y aura de la translation sur cette
ip address 10.200.0.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
! Cest une interface physique du routeur de Montpellier sur laquelle nous utilisons lencapsulation Frame-Relay, donc cette
interface nest pas concerne
no ip address
!

! Cest linterface logique qui correspond la liaison Frame Relay de Montpellier qui part vers Internet. Nous allons prciser quil
y aura de la translation sur cette patte, et quelle est rattache un segment Outside de notre entreprise
bandwidth 1024
ip address 98.12.12.5 255.255.255.252
ip nat outside
!
! Cest linterface logique qui correspond la liaison Frame Relay de Montpellier qui part vers Marseille. Nous allons prciser
quil y aura de la translation sur cette patte, et quelle est rattache un segment Inside de notre entreprise. En effet, ce lien
logique est le point de raccordement vers Marseille
bandwidth 128
ip address 10.100.100.17 255.255.255.252
ip nat inside
!
! Cest linterface logique qui correspond la liaison Frame Relay de Montpellier qui part vers Paris. Nous allons prciser quil y
aura de la translation sur cette patte, et quelle est rattache un segment Inside de notre entreprise. En effet, ce lien logique est
le point de raccordement vers Paris
bandwidth 128
ip address 10.100.100.10 255.255.255.252
ip nat inside
Nous allons maintenant numrer les rgles dlgibilit la translation, et les actions de translation elle-mmes :
! Cration dun pool dadresses nomm PoolEntree qui couvre les addresses du rseau 10.250.100.0/24 (le rseau que nous
avons choisi pour transformer des Global Outside et Global Inside sur notre Intranet), de la valeur 10.251.100.1 la valeur
10.250.100.254.
ip nat pool PoolEntree 10.250.100.1 10.250.100.254 netmask 255.255.255.0
!
! Cration dun pool dadresses nomm PoolSortie qui ne contient quune adresse. Cette adresse sera ladresse Local Outside
de nos utilisateurs de lentreprise dsirant aller sur Internet (ladresse publique, donc). Comme elle est unique, nous devrons
configurer la rgle qui utilisera ce pool pour faire de la translation de ports.
ip nat pool PoolSortie 199.118.22.200 199.118.22.200 netmask 255.255.255.0
!
! Voici la premire rgle de translation. Elle va effectuer une action cot Inside, en utilisant comme source dlgibilit laccess-
list TransInsideOutside , et comme valeur substituer, le pool dadresses PoolSortie . Le paramtre overload signifie
que nous allons faire de la translation de ports (PAT). Cest elle qui permet nos utilisateurs de naviguer sur Internet
ip nat inside source list TransInsideOutside pool PoolSortie overload
!
! Contrairement la rgle prcdente, les quatre rgles suivantes effectueront non pas des translations dynamiques, mais des
translations statiques, entre les adresses prives de nos serveurs hbergs sur la DMZ (10.200.0.0/24) et leurs adresses
publiques (199.118.22.0/24), c'est--dire entre leurs Inside Local et leurs Inside Global.
ip nat inside source static 10.200.0.200 199.118.22.100
!
! Cette rgle de translation est utilise pour translater cot Outside, en utilisant comme source dlgibilit laccess-list
TransOutsideInside et comme valeur substituer, le pool PoolEntree . Cette rgle transforme donc ladresse IP source
des requtes externes, en adresses du rseau 10.250.100.0/24.
ip nat outside source list TransOutsideInside pool PoolEntree
!
! Premire rgle dligibilit la translation. Elle slectionne les rseaux IP de mon entreprise que je vais autoriser aller sur
Internet. Je les autorise modifier leur Local Inside en Local Outside, qui sera une adresse publique du rseau 199.118.22.0/24,
routable sur Internet
ip access-list extended TransInsideOutside
permit ip 10.75.0.0 0.0.255.255 any
permit ip 10.34.0.0 0.0.255.255 any
permit ip 10.13.0.0 0.0.255.255 any
permit ip 10.113.0.0 0.0.255.255 any
deny ip any any
!
! Deuxime rgle dlgibilit. Elle sappliquera cot Outside (en provenance d Internet, donc), sur toutes les addresses entrants.
Nous transformerons ici toutes les adresses Global Outside en adresses Globales Inside.
ip access-list extended TransOutsideInside
permit ip any any

Le mode simulation de Packet Tracer
Avec ce que nous avons russi raliser jusque ici, et ceci sans investir le moindre argent dans lachat de matriel, je suis
persuad que vous etes raisonnablement bluff par Packet Tracer Et bien ce logiciel va nous permettre daller
encore plus loin grace son mode simulation.
Non, vous nallez pas visualiser une trame dans un format hexadcimal, comme vous le pourriez avec des outils de capture de
type sniffer , mais vous allez avoir une vision dcode (donc dans une optique plus pdagogique) dun packet, au
niveau dun nud donn, avec le dtail des couches protocolaires en entre du nud, avant traitement, et le dtail des
couches protocolaires en sortie du nud, aprs traitement.et tout cela, pour un flux donn, que vous pourrez voir
progresser sur votre map !
Mode simulation de Packet Tracer

Zoom sur un traffic
Nous utiliserons le mode simulation avant tout pour visualiser le bon fonctionnement de notre maquette, en particulier au
niveau du routage (nous nous interesserons uniquement aux postes de travail /serveurs, et aux nuds de routage).
Le lancement de la fonction de simulation est ts simple. Par dfaut, une map Packet Tracer est en mode RealTime. Il vous
suffit de cliquer sur longlet Simulation, en bas droite de lcran (voir les deux copies dcran prcdentes). Le passage dans
ce mode est symbolis par un scindage de lcran en deux, o apparait, dans la partie droite, une Event list.
Par dfaut, tous les types de protocoles seront visualiss Il est cependant possible de selectionner ceux-ci, en ditant les
filtres et en slctionnant les protocoles dsirs (Edit Filters). Dans notre simulation, nous activerons, par exemple, la
visibilit sur les protocoles Dns et http.
Il vous suffit ensuite de lancer, partir dun poste de travail situ sur la map (partie gauche de lcran), le navigateur web (ou
un ping dans une fenetre de commandes, ou un telnet), comme nous lavons fait prcdemment. Taper une Url valide
(www.ciscogum.com dans le cas de notre simulation, par exemple) et faites Go rien ne saffichera dans un premier
temps sur le navigateur
Sans fermer le navigateur du poste de travail, allez maintenant vous positionner dans la fentre de droite ; vous pouvez
cliquer soit sur Capture/Forward pour faire progresser les paquets par vous-mme, nud par nud (ces derniers

apparaitront petit--petit dans votre event list), soit sur Auto Capture/Play. Dans ce dernier cas la progression sera
automatique, sur un laps de temps que vous pouvez ajuster laide du curseur plac sous le bouton Auto Capture/Play
Ainsi, en fin de capture, ou quand vous le jugez ncessaire, vous pouvez cliquer sur un venement dans la partie Event List.
Lapparition dun il cot de lvenement dsir, vous reporte une enveloppe qui apparait sur la map, dans la partie
gauche, sur le nud concern.
Si vous cliquez sur cette enveloppe, le dtail des couches protocolaires des paquets entrants et sortants du nud sera
visualis.
Cest cette visualisation que nous utiliserons plus loin, pour illustrer nos translations dadresses.
Si le principe vous plait et vous aide comprendre de manire plus illustre les points que nous avons dj abords depuis le
dbut de cet ouvrage, nhsitez surtout pas utiliser ce mode, que ce soit pour une navigation vers un serveur web, un
simple ping, ou tudier le fonctionnement des baux Dhcp
Revenons notre simulation. Nous allons observer plusieurs flux sur notre rseau, ce qui devrait nous permettre de bien
illustrer nos translations dadresses et/ou de ports. Ainsi, nous allons dtailler :
La navigation dun Utilisateur de ciscogum vers le serveur www.ciscogum.com (requte Dns et http).
La navigation dun Utilisateur de ciscogum vers www.ciscogum.fr (requtes Dns et http)
La navigation dun Internaute vers le serveur www.ciscogum.com et www.ciscogum.fr (requtes Dns et http)
La cinmatique sera identique pour accder au serveur www.resa.ciscogum.fr. Nous ne reviendrons pas dessus.
En ce qui concerne le serveur ftp, nous ltudierons dans la dernire partie, qui consistera mettre en uvre laide d
Access-Lists (Acl), les rgles de scurit.

F Configuration de la fonction de Pare-Feu (Firewall)
Il va sagir maintenant de paramtrer notre routeur de Montpellier, pour lui faire effectuer des taches propres un pare-feu.
Dans le cadre de notre simulation, vous allez voir que nous utilisons des facilits de type Access-Lists .
Si gnralement, comme nous lvoquions prcdemment dans cet ouvrage, les Gui (Graphic User Interface) habillent
nos rgles de scurit, le code actif sur les boitiers pare-feu ressemblent probablement plus aux Acl que nous allons
configurer, qua leur prsentation sur un cran d administration.
Nous allons reprendre dans un tableau de synthse, les diffrentes rgles que nous souhaitons mettre en place. Nous allons
travailler sur les trois Interfaces concernes de notre routeur de Montpellier, en les nommant :
DMZ pour linterface rattache la Dmz

INTERNET pour la sous-interface (le dlci 100) rattache Internet.
LAN pour linterface rattache notre rseau Interne dEntrprise.
Rcapitulatif des rgles du Pare-Feu
Rgles sur le FireWall Montpellier

N Segment Source Segment Destination IP Source IP Dest Port Source Port Dest Action
1
LAN DMZ Any Any Any Any Permit
(Intranet)
10.34.0.0
INTERNET
2 10.75.0.0
LAN (Translation Inside en Any Any Any Permit
(Navigation) 10.13.0.0
199.118.22.200)
10.113.0.0
DMZ
3
INTERNET (Translation Outside en Any 199.118.22.100 Any Tcp 80 Permit
(web)
10.250.100.0/24)
DMZ
4
INTERNET (Translation Outside en Any 199.118.22.101 Any Tcp 80 Perrmit
(web)
10.250.100.0/24)
DMZ
5
(ftp)
10.250.100.0/24)
DMZ
6
(ftp passif)
10.250.100.0/24)
INTERNET
(Translation Outside en
7
DMZ 10.250.100.0/24) 10.200.0.102 Any 20 Tcp 1024 Permit
(ftp actif)
(Translation Inside en
199.118.22.102)
DMZ
8
INTERNET (Translation Outside en Any 199.118.22.222 Any Udp 53 Permit
(Dns)
10.250.100.0/24)
Defaut Any Any Any Any Any Any Deny
Pour simplifier la configuration de nos rgles, nous allons activer nos Access-Lists :
Sur linterface DMZ, en entre,

Sur linterface INTERNET, en entre galement.
Aucune Acl sur linterface LAN.

Affectation des Access-Lists sur les Interfaces
Nous allons crer deux Access-Lists :
ip access-list extended OutsideIn

permit tcp any host 199.118.22.100 eq www => rgle 3
permit tcp any host 199.118.22.101 eq www => rgle 4
permit tcp any host 199.118.22.200 established => rgle 2
permit tcp any host 199.118.22.102 eq ftp => rgle 5
permit tcp any host 199.118.22.102 gt 1024 => rgle 6
permit udp any host 199.118.22.222 eq domain => rgle 8
deny ip any any
ip access-list extended DmzIn

permit tcp 10.200.0.0 0.0.255.255 10.34.0.0 0.0.255.255 established => rgle 2
permit tcp 10.200.0.0 0.0.255.255 10.250.100.0 0.0.0.255 established
permit udp host 10.200.0.222 eq domain 10.0.0.0 0.255.255.255 gt 1024 => rgle 1
deny ip any any
!
La rgle 1 est implicite puisqu'il n'y a pas d' affectation d'ACL sur l'interface LAN.
Leur affectation se fera trs simplement comme indiqu dans lextrait de configuration ci-dessous (le in en fin de ligne de
commandes signifie quelles seront appliques sur linterface dans le sens Segment vers Routeur.)
()
!
ip address 10.200.0.254 255.255.255.0
ip access-group DmzIn in
ip nat inside
duplex auto
speed auto
!
no ip address
!
bandwidth 1024
ip address 199.118.22.250 255.255.255.0
ip access-group OutsideIn in
ip nat outside
!
()
Il est trs important de garder en tte que, pour une rgle touchant Tcp, quand elle correspond au niveau des paquets, il ny
a pas besoin de crer la rgle retour. La rgle sera donc active dans ce cas par linitiateur de la connexion. Cest pourquoi
19
vous verrez des rgles daccs sur linterface Outside INTERNET, qui nont pas leur pendant sur linterface Inside DMZ .
Bien videmment, pour un protocole sans connexion (comme udp) il faudra saisir la rgle retour.
19
Attention, comme nous ne mettons pas de rgles sur les interfaces LAN du routeur, la rgle implicite nexistera pas quand un utilisateur
de notre entreprise accdera nos ressources via INTERNET Elles doivent donc tre saisies manuellement (cest lobjet du paramtre
established sur lACL DmzIn).

G Tests de fonctionnement de notre simulation
Navigation dun utilisateur de notre entreprise vers www.ciscogum.com
Nous allons commencez par choisir un poste de travail

de Ciscogum Montpellier et taper lUrl :
http://www.ciscogum.com
(pour vrifier le bon fonctionnement de lensemble, nous

effectuerons la mme opration sur Paris, et un portable
de Marseille)
La page ci-contre devrait safficher.
Observons quel a t le cheminement du flux de notre

requte, au niveau Dns et au niveau http
Rsolution www.ciscogum.com et flux http

Cinmatique du flux
Repre sur
Actions effectues Dtail des trames
le schma
Emission de la requte Dns par lutilisateur
Le poste de travail de mon utilisateur ciscogum
met une requte Dns vers son serveur de
A noms local : (10.34.1.200).
Requete Dns rcursive vers le Dns root local

Le serveur de noms local ne sais pas rsoudre,
www.ciscogum.com, alors il effectue un
requte vers le Dns root paramtr dans sa
configuration (10.200.0.222), notre Dns
publique, via son adresse priv en Dmz. Il ny a
pas de translation dadresses.
B
Rponse Dns Root local au Dns Local

Le Dns root ayant pu rsoudre la requte, il
renvoit la rponse au le Dns Local.
Rponse du Dns local lutilisateur

Le Dns local reoit la rponse, et met celle-ci en
cache pour une utilisation future
Il emet ensuite une requte Dns qui contient la

rponse la rsolution www.ciscogum.com,
vers le poste lorigine de la demande
D (10.34.1.1).

Rponse Dns arrive chez lutilisateur
La rponse la requte Dns parvient au client
(10.34.1.1)
Emission du paquet http

Il est alors prt mettre une requte http vers
le serveur www.ciscogum.com (23.12.12.23)
Sortie du routeur de Montpellier

E
Le paquet arrive dans le routeur de Montpellier
avec une adresse IP de destination publique
(23.12.12.23) car nous navons pas de
mcanismes de type proxy En sortie du
routeur, on remarque que lIP source est
199.118.22.150 Cest ladresse publique de
Montpellier servant la navigation des
utilisateurs (Dynamique PAT).
Entre dans le routeur de Montpellier
Lors du retour dun paquet, le routeur
effectuera bien la translation inverse (publique
vers priv).
Translations
Pour visualiser le PAT dynamique, nous pouvons effectuer un accs vers www.ciscogum.com, partir de Paris et de
Marseille, en plus du poste de travail de notre utilisateur de Montpellier, puis vrifier la table de translation du routeur de
Montpellier :
Table de translation de Montpellier
Montpellier#sh ip nat trans

--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
On observe trois lignes de translation ci-dessous : Si chaque fois, ladresse Inside Local est bien diffrente, puisque provenant
de sous rseaux IP distincts, ladresse Inside Global sera la mme ; seul le numro de port tant modifi cest le principe du
Dynamique PAT.
tcp 199.118.22.150:1024 10.113.1.1:1025 23.12.12.23:80 23.12.12.23:80
tcp 199.118.22.150:1028 10.34.1.1:1028 23.12.12.23:80 23.12.12.23:80
tcp 199.118.22.150:1025 10.75.1.2:1025 23.12.12.23:80 23.12.12.23:80

Routage
Table de routage du routeur Montpellier (ciscogum)

O IA 10.13.1.0/24 [110/782] via 10.100.100.18, 00:03:18, Serial0/0/0.113
La route suivante nous permet de joindre le serveur Dns local de Ciscogum.
O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 00:03:18, Serial0/0/0.175
O 10.100.100.4/30 [110/1562] via 10.100.100.18, 00:03:18, Serial0/0/0.113
[110/1562] via 10.100.100.9, 00:03:18, Serial0/0/0.175
O IA 10.113.1.0/24 [110/782] via 10.100.100.18, 00:03:18, Serial0/0/0.113
La route suivante nous permet de joindre directement notre Dns root local via son IP Prive.
Cette route par dfaut nous permet denvoyer les paquets vers Internet (flux http).
Montpellier#
Utilisation des ACL de translation ou de Scurit
Montpellier#sh ip access-lists
Extended IP access list TransInsideOutside
Les trois match .ci dessous corresspondent lelection la translation (PAT Dynamique) des adresses IP source des postes de
travail sur Paris, Marseille et Montpellier.
permit ip 10.75.0.0 0.0.255.255 any (2 match(es))
permit ip 10.13.0.0 0.0.255.255 any
deny ip any any
Extended IP access list TransOutsideInside
permit ip any any
Extended IP access list DmzIn
permit udp host 10.200.0.222 any eq domain
Access-list de scurit : autorise les rponses du serveur Dns Root local vers Le Dns local de Montpellier.
permit udp host 10.200.0.222 eq domain any (1 match(es))
deny ip any any
Extended IP access list OutsideIn
permit tcp any host 199.118.22.100 eq www
permit tcp any host 199.118.22.200 established
permit tcp any host 199.118.22.102 eq ftp
permit tcp any host 199.118.22.102 gt 1024
Access-list de scurit : autorise les rponses http initialises par un utilisateur de Ciscogum.
permit tcp any host 199.118.22.150 established (9 match(es))
permit udp any host 199.118.22.222 eq domain
permit udp any eq domain host 199.118.22.222
deny ip any any
Montpellier#

Navigation dun utilisateur de notre entreprise vers www.ciscogum.fr

de Ciscogum Montpellier et taper lUrl :
http://www.ciscogum.fr.
(pour vrifier le bon fonctionnement de lensemble, nous

effectuerons la mme opration sur Paris, et un portable
de Marseille)

Rsolution Ciscogum.fr et Flux Http

Cinmatique du flux
Repre sur
le schma
A noms local : (10.34.1.200).
Requete Dns rcursive vers le Dns root local

Le serveur de noms local ne sais pas rsoudre,
www.ciscogum.com, alors il effectue un
requte vers le Dns root paramtr dans sa
configuration (10.200.0.222), notre Dns
publique, via son adresse priv en Dmz. Il ny a
pas de translation dadresses.
B
Rponse Dns Root local au Dns Local

Le Dns root ayant pu rsoudre la requte, il
renvoit la rponse au le Dns Local.
Rponse du Dns local lutilisateur

Le Dns local reoit la rponse, et met celle-ci en
cache pour une utilisation future
Il emet ensuite une requte Dns qui contient la

rponse la rsolution www.ciscogum.fr, vers
le poste lorigine de la demande (10.34.1.1).
D

Rponse Dns arrive chez lutilisateur
La rponse la requte Dns parvient au client
(10.34.1.1)

Il est alors prt mettre une requte http vers
le serveur www.ciscogum.fr (199.118.22.100)
E
Sortie du routeur de Montpellier
Le paquet arrive dans le routeur de Montpellier
avec une adresse IP de destination publique
(199.118.22.100) car nous navons pas de
mcanismes de type proxy En sortie du
routeur, on remarque que lIP source est
199.118.22.150 Cest ladresse publique de
Montpellier servant la navigation des
utilisateurs (Dynamique PAT).
Le paquet est alors envoy via le Frame-Relay,
vers le routeur de loprateur (via la route par
dfaut S* 0.0.0.0/0 is directly connected,
Serial0/0/0.100 )
Le paquet effectue alors un rebond sur le Rebond sur le routeur de loprateur

routeur de loprateur cause de la route
statique S 199.118.22.0/24 [1/0] via
98.12.12.5 qui renvoie le paquet vers le pool
dadresses publiques de nos ressources situes
sur notre DMZ.
Rentre sur le routeur de Montpellier

De retour sur le routeur de Montpellier,
ladresse de destination publique
(199.118.22.100) sera translate par ladresse
IP prive de www.ciscogum.fr (10.200.0.200).
F De mme, ladresse source (notre utilisateur
ciscogum, en 199.118.22.150) sera translate
en 10.250.100.1.
Le paquet sera ainsi achemin jusquau serveur Remise du Paquet http/Envoi de la rponse
http.
Les paquets retour vers notre utilisateur

ciscogum, prendront le mme chemin inverse
que les paquets aller , c'est--dire via un
rebond sur le routeur de loprateur

Translations
Table de translations de Montpellier

--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
Accs de mon utilisateur Ciscogum 10.113.1.2, via internet (translat en source en 199.118.22.150 :1026), vers www.ciscogum.fr
(adresse publique).
tcp 199.118.22.150:1026 10.113.1.2:1026 199.118.22.100:80 199.118.22.100:80
Les trios lignes suivantes : accs de mes trios utilisateurs ciscogum, via leur adresse publique (199.118.22.150 :xxxx), translate
en 10.250.100.1 :xxx, vers mon serveur www.ciscogum.fr (translat statiquement de 10.200.0.200 :80 en 199.118.22.150 :80).
tcp 199.118.22.100:80 10.200.0.200:80 10.250.100.1:1024 199.118.22.150:1024
tcp 199.118.22.100:80 10.200.0.200:80 10.250.100.1:1026 199.118.22.150:1026
tcp 199.118.22.100:80 10.200.0.200:80 10.250.100.1:1027 199.118.22.150:1027
Accs de mon utilisateur Ciscogum 10.34.1.1 :1027, via internet (translat en source en 199.118.22.150 :1026), vers
www.ciscogum.fr (adresse publique).
tcp 199.118.22.150:1027 10.34.1.1:1027 199.118.22.100:80 199.118.22.100:80
Accs de mon utilisateur Ciscogum 10.75.1.2 :1026, via internet (translat en source en 199.118.22.150 :1026), vers
www.ciscogum.fr (adresse publique).
tcp 199.118.22.150:1024 10.75.1.2:1026 199.118.22.100:80 199.118.22.100:80
Montpellier#
Routage
Table de routage du routeur Montpellier (ciscogum)

O IA 10.13.1.0/24 [110/782] via 10.100.100.18, 00:27:43, Serial0/0/0.113
O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 00:27:43, Serial0/0/0.175
O 10.100.100.4/30 [110/1562] via 10.100.100.18, 00:27:43, Serial0/0/0.113
[110/1562] via 10.100.100.9, 00:27:43, Serial0/0/0.175
O IA 10.113.1.0/24 [110/782] via 10.100.100.18, 00:27:43, Serial0/0/0.113
Route par dfaut utilise pour sortir vers loprateur (accs la navigation Internet).
Montpellier#
Table de routage du routeur AlphaMontpellier

AlphaMontpellier#sh ip route


O E2 23.12.12.0 [110/20] via 192.168.0.17, 00:16:30, Serial0/0/0
O E2 35.36.37.19 [110/20] via 192.168.0.17, 00:17:11, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.17, 00:17:11, Serial0/0/0
O E2 45.19.20.0 [110/20] via 192.168.0.17, 00:16:30, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.17, 00:17:11, Serial0/0/0
O 192.168.0.8/30 [110/128] via 192.168.0.17, 00:17:11, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.17, 00:17:11, Serial0/0/0
C 192.168.0.16/30 is directly connected, Serial0/0/0
Cette route statique, sur le routeur de loprateur, permet le rebond vers Montpellier.
S 199.118.22.0/24 [1/0] via 98.12.12.5
AlphaMontpellier#
Les trois match .ci dessous corresspondent lelection la translation (PAT Dynamique) des adresses IP source des postes de
travail sur Paris, Marseille et Montpellier.
permit ip 10.13.0.0 0.0.255.255 any
deny ip any any
permit ip any any (6 match(es))
Access-list de scurit : autorise les accs des internautes translats en 10.250.100.x vers nos serveurs en DMZ (non translats
en raison de la position de laccess-list)
permit tcp 10.200.0.0 0.0.255.255 10.250.100.0 0.0.0.255 established (9 match(es))
Access-list de scurit : autorise les rponses du serveur Dns Root local vers Le Dns local de Montpellier.
deny ip any any
Access-list de scurit : autorise les accs http vers www.ciscogum.fr (translation statique 199.118.22.100).
permit tcp any host 199.118.22.100 eq www (15 match(es))
Access-list de scurit : autorise les rponses des serveurs de ma DMZ, accds via Internet, vers les utilisateurs linitiative de la
connexion, de mon entreprise Ciscogum.
deny ip any any
Montpellier#

Navigation dun utilisateur de notre entreprise vers localweb

de notre entreprise, et taper lUrl :
http://localweb.

Rsolution Localweb et Flux http

Cinmatique du flux
Repre sur
le schma
A noms local : (10.34.1.200).
Rsolution Directe de localweb

Le serveur de noms local sait rsoudre,
localweb ; Il renvoie directement la rponse
mon poste de travail.
B

Le poste client est prt envoyer le paquet
http. Lacheminement ne se fait que via du
routage utilisant des adresses prives Il ny
aura donc pas de translation.
Les paquets retour prennent le mme

chemin inverse
C Reception du paquet http par le serveur.
Translations
Table de translation de Montpellier

Il ny a aucune translation dynamique. Seules les translations statiques sont charges dans la table.
--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
Montpellier#
Routage
Table de routage du routeur de Montpellier (ciscogum)


O IA 10.13.1.0/24 [110/782] via 10.100.100.18, 00:18:24, Serial0/0/0.113
O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 00:18:14, Serial0/0/0.175
O 10.100.100.4/30 [110/1562] via 10.100.100.18, 00:18:14, Serial0/0/0.113
[110/1562] via 10.100.100.9, 00:18:14, Serial0/0/0.175
O IA 10.113.1.0/24 [110/782] via 10.100.100.18, 00:18:24, Serial0/0/0.113
Routage direct.
Montpellier#
permit ip 10.75.0.0 0.0.255.255 any
permit ip 10.34.0.0 0.0.255.255 any
permit ip 10.13.0.0 0.0.255.255 any
permit ip 10.113.0.0 0.0.255.255 any
deny ip any any
permit ip any any
Access-list de scurit : En raison de la poisiton de laccess-list, il est ncessaire de valider les paquets retour dune session tablie
par le poste de travail de lutilisateur.
permit udp host 10.200.0.222 eq domain any
deny ip any any
deny ip any any
Montpellier#

Navigation dun Internaute vers www.ciscogum.com

dun internaute, et taper lUrl :
http://www.ciscogum.com.

Rsolution Ciscogum.com et Flux Http

Cinmatique du flux
Repre sur
le schma
Le poste de travail dun internaute met une
requte Dns vers son serveur de noms, fourni
par son fournisseur daccs : (45.19.20.125).
A Sortie de la Box de linternaute

Ladresse IP source prive (192.168.0.1) est
remplace par ladresse IP Publique affecte
par le fournisseur daccs linternaute.
(35.36.37.20).
Serveur de noms fournisseur daccs ns1.alpha.com

La demande arrive au serveur de noms, mais
celui-ci (45.19.20.125) ne sais pas rsoudre
www.ciscogum.com...
B Emission dune requte rcursive vers le dns root

Le serveur Dns emet alors une requte
rcursive destination du serveur de noms
root level (pointeur sur . ) de sa
configuration DNS (45.19.20.100).
Serveur de noms root Level

La demande arrive au serveur root level
(45.19.20.100).
C
Emission dune requte rcursive vers le dns top level
Le serveur root ne connait pas la rponse, mais
effectue une requte rcursive vers le serveur
dns top level SOA de .com (23.12.12.65).

Serveur de noms top Level
La demande arrive au serveur dns top level
(23.12.12.65).
Le serveur top level ne connait pas la rponse, Emission dune requte rcursive vers le dns sub level
mais effectue une requte rcursive vers le
serveur dns sub level SOA de
ciscogum.com (199.118.22.222).
D Passage dans le routeur/pare-feu de Montpellier

Le routeur de Montpellier applique ses rgles
de scurit, qui autorise le passage de ce type
de flux. Il effectuer galement une translation
sur ladresse IP publique source (23.12.12.65
en 10.250.100.1 Nat Dynamique) et ladresse
IP publique destination (199.118.22.222 en
10.200.0.200 Nat Statique).
Reception de la requte Dns et envoi de la rponse
La requte arrive au serveur Dns (10.200.0.222)
qui sait rsoudre, et qui renvoie une rponse
lmetteur.
Passage retour dans le routeur/pare-feu de Montpellier

Lors du passage retour dans le routeur de
Montpellier, les translations et rgles de
scurit inverses sont appliques
E
et la rponse arrive au serveur top level.
Emission de la rponse vers le dns root Level

Le serveur top level renvoie la rponse au
serveur root level
F
Reception de la rponse par le dns root Level
qui rceptionne linformation.

Emission de la rponse vers le dns ns1.alpha.com
Le serveur root level renvoie la rponse vers le
serveur du fournisseur daccs de linternaute
G
Reception de la rponse par le dns ns1.alpha.com
Emission de la rponse vers linternaute

Le serveur dns du fournisseur daccs de
linternaute renvoie linformation vers ce
dernier.
Passage dans la box de linternaute

La box de linternaute translate ladresse IP
publique destination (35.36.37.20 en
H 192.168.0.1).
Reception de la rponse par linternaute

Linternaute reoit la rponse sa demande de
rsolution de noms de www.ciscogum.com.
Emission de la requte http vers www.ciscogum.com

Linternaute est dsormais prt mettre sa
requte http vers le serveur
www.ciscogum.com.

La box de linternaute effectue nouveau une
translation de ladresse IP source prive en
adresse IP source publique (192.168.0.1 en
I
35.36.37.20)
Reception par le serveur http et envoi de la rponse

Le serveur www.ciscogum.com reoit la
requte http et met une rponse.

Passage retour dans la box de linternaute
Le paquet retour, dans la box de linternaute,
est inversement translat.

La requte http a reu sa rponse !
Translations
Quelques translations sont effectues tout au long de nos changes. Une translation sur la box de notre internaute, dautres
sur le routeur pare-feu de Montpellier
Table de translation de la box de linternaute

MyBox#2#sh ip nat trans
Les quatre translations suivantes sont de lUDP port 53. Ce sont les requtes dns destination du serveur dns du fournisseur
daccs,pour rsoudre www.ciscogum.com. On remarque la translation de ladresse IP prive du poste de travail (192.168.0.1)
par son adresse IP publique (35.36.36.20).
udp 35.36.37.20:1025 192.168.0.1:1025 45.19.20.125:53 45.19.20.125:53
udp 35.36.37.20:1026 192.168.0.1:1026 45.19.20.125:53 45.19.20.125:53
udp 35.36.37.20:1027 192.168.0.1:1027 45.19.20.125:53 45.19.20.125:53
udp 35.36.37.20:1028 192.168.0.1:1028 45.19.20.125:53 45.19.20.125:53
Une fois la rponse la requte dns obtenue, il faut accder au serveur (23.12.12.23) sur son port 80. On observe nouveau la
translation de la source de linternaute, prive vers publique.
tcp 35.36.37.20:1025 192.168.0.1:1025 23.12.12.23:80 23.12.12.23:80
tcp 35.36.37.20:1026 192.168.0.1:1026 23.12.12.23:80 23.12.12.23:80
tcp 35.36.37.20:1027 192.168.0.1:1027 23.12.12.23:80 23.12.12.23:80
Table de translation du routeur/pare-feu de Montpellier

Les quatre lignes suivantes sont des translations statiques. Cest la translation vers le serveur Dns (10.200.0.22) qui va
fonctionner.
--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
Les deux translations suivantes remplace la valeur publique du Dns de Ciscogum, par sa valeur prive, pour acceder, via routage
la Dmz. Il y a galement une translation sur les adresses Outside, puisque lon remplace ladresse IP publique du serveur Dns Top
Level, par une adresse dynamique prive, seule habilit circuler dans notre rseau Interne..
udp 199.118.22.222:53 10.200.0.222:53 10.250.100.1:1025 23.12.12.65:1025
udp 199.118.22.222:53 10.200.0.222:53 10.250.100.1:1026 23.12.12.65:1026

Routage
Table de routage de la box de linternaute

MyBox#2#sh ip route

S* 0.0.0.0/0 [1/0] via 205.25.36.254
MyBox#2#
Table de routage du routeur AlphaInternaute

AlphaInternaute#sh ip route

O E2 23.12.12.0 [110/20] via 192.168.0.13, 00:16:39, Serial0/0/0
S 35.36.37.19 [1/0] via 205.25.36.5
S 35.36.37.20 [1/0] via 205.25.36.6
O E2 45.19.20.0 [110/20] via 192.168.0.13, 00:16:39, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.13, 00:17:19, Serial0/0/0
O 192.168.0.8/30 [110/128] via 192.168.0.13, 00:17:19, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.13, 00:17:19, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.13, 00:17:19, Serial0/0/0
AlphaInternaute#
Table de routage du routeur AlphaBackbone

AlphaBackbone#sh ip route

O E2 23.12.12.0 [110/20] via 192.168.0.10, 00:17:17, Serial0/0/1
O E2 35.36.37.19 [110/20] via 192.168.0.14, 00:18:00, Serial0/2/0
O E2 35.36.37.20 [110/20] via 192.168.0.14, 00:18:00, Serial0/2/0
O E2 45.19.20.0 [110/20] via 192.168.0.6, 00:17:17, Serial0/0/0

O E2 199.118.22.0/24 [110/20] via 192.168.0.18, 00:18:00, Serial0/2/1
AlphaBackbone#
Table de routage du routeur Alpha63000Alpha65400

Alpha63000Alpha65400>sh ip route

O E2 23.12.12.0 [110/20] via 192.168.0.5, 00:17:50, Serial0/0/0
O E2 35.36.37.19 [110/20] via 192.168.0.5, 00:18:34, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.5, 00:18:34, Serial0/0/0
B 45.19.20.0 [20/0] via 75.19.19.6, 00:18:55
O 192.168.0.8/30 [110/128] via 192.168.0.5, 00:18:34, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.5, 00:18:34, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.5, 00:18:34, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.5, 00:18:24, Serial0/0/0
Alpha63000Alpha65400>
Table de routage du routeur Alpha65400

AlphaAS65400>sh ip route

B 23.12.12.0 [20/20] via 75.19.19.5, 00:19:30
B 35.36.37.19 [20/20] via 75.19.19.5, 00:19:30
B 35.36.37.20 [20/20] via 75.19.19.5, 00:19:30
C 45.19.20.0 is directly connected, FastEthernet0/1
B 192.168.0.4 [20/20] via 75.19.19.5, 00:19:30
B 199.118.22.0/24 [20/20] via 75.19.19.5, 00:19:30
AlphaAS65400>

Table de routage du routeur Alpha63000Beta65000
Alpha63000Beta65000>sh ip route

B 23.12.12.0 [20/0] via 205.26.26.6, 00:20:06
O E2 35.36.37.19 [110/20] via 192.168.0.9, 00:19:44, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.9, 00:19:44, Serial0/0/0
O E2 45.19.20.0 [110/20] via 192.168.0.9, 00:19:00, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.9, 00:19:44, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.9, 00:19:44, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.9, 00:19:44, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.9, 00:19:34, Serial0/0/0
Alpha63000Beta65000>
Table de routage du routeur BetaAS65000

BetaAS65000#sh ip route

B 35.36.37.19 [20/20] via 205.26.26.5, 00:20:45
B 35.36.37.20 [20/20] via 205.26.26.5, 00:20:45
B 45.19.20.0 [20/20] via 205.26.26.5, 00:20:45
B 192.168.0.8 [20/20] via 205.26.26.5, 00:20:45
B 199.118.22.0/24 [20/20] via 205.26.26.5, 00:20:45
BetaAS65000#
permit ip 10.75.0.0 0.0.255.255 any
permit ip 10.34.0.0 0.0.255.255 any
permit ip 10.13.0.0 0.0.255.255 any
permit ip 10.113.0.0 0.0.255.255 any
deny ip any any

deny ip any any
permit udp any host 199.118.22.222 eq domain (3 match(es))
deny ip any any
Montpellier#

Navigation dun Internaute vers www.ciscogum.fr

dun internaute, et taper lUrl :
http://www.ciscogum.fr.

Rsolution Ciscogum.fr et Flux Http

Cinmatique du flux
Repre sur
le schma
Le poste de travail dun internaute met une
requte Dns vers son serveur de noms, fourni
par son fournisseur daccs : (45.19.20.125).
A Sortie de la Box de linternaute

Ladresse IP source prive (192.168.0.1) est
remplace par ladresse IP Publique affecte
par le fournisseur daccs linternaute.
(35.36.37.20).
Serveur de noms fournisseur daccs ns1.alpha.com

La demande arrive au serveur de noms, mais
celui-ci (45.19.20.125) ne sais pas rsoudre
www.ciscogum.fr...
B Emission dune requte rcursive vers le dns root

Il emet alors une requte rcursive
destination du serveur de noms root level
(pointeur sur . ) de sa configuration DNS
(45.19.20.100).
Serveur de noms root Level

La demande arrive au serveur root level
(45.19.20.100).
C
Emission dune requte rcursive vers le dns top level
Le serveur root ne connait pas la rponse, mais
effectue une requte rcursive vers le serveur
dns top level SOA de .fr (23.12.12.65).

La demande arrive au serveur dns top level
(23.12.12.65).
Le serveur top level ne connait pas la rponse, Emission dune requte rcursive vers le dns sub level
mais effectue une requte rcursive vers le
serveur dns sub level SOA de ciscogum.fr
(199.118.22.222).
D Passage dans le routeur/pare-feu de Montpellier

Le routeur de Montpellier applique ses rgles
de scurit, qui autorise le passage de ce type
de flux. Il effectuer galement une translation
sur ladresse IP publique source (23.12.12.65
en 10.250.100.1 Nat Dynamique) et ladresse
IP publique destination (199.118.22.222 en
10.200.0.200 Nat Statique).
Reception de la requte Dns et envoi de la rponse
La requte arrive au serveur Dns (10.200.0.222)
qui sait rsoudre, et qui renvoie une rponse
lmetteur.
Passage retour dans le routeur/pare-feu de Montpellier

Lors du passage retour dans le routeur de
Montpellier, les translations et rgles de
scurit inverses sont appliques
E
et la rponse arrive au serveur top level.
Emission de la rponse vers le dns root Level

Le serveur top level renvoie la rponse au
serveur root level
F
Reception de la rponse par le dns root Level

Emission de la rponse vers le dns ns1.alpha.com
Le serveur root level renvoie la rponse vers le
serveur du fournisseur daccs de linternaute
G
Reception de la rponse par le dns ns1.alpha.com
Emission de la rponse vers linternaute

Le serveur dns du fournisseur daccs de
linternaute renvoie linformation vers ce
dernier.

La box de linternaute translate ladresse IP
publique destination (35.36.37.20 en
H 192.168.0.1).

Linternaute reoit la rponse sa demande de
rsolution de noms de www.ciscogum.fr.
Emission de la requte Http

La requte http peut maintenant etre mise
par linternaute, partir de son adresse IP
(192.168.0.1) prive, vers ladresse publique du
serveur http (199.118.22.100).
Passage dans le routeur de linternaute

La fonction routeur de la box de linternaute
translate ladresse IP source par son adresse IP
I publique (35.36.37.19) via une translation de
type dynamique PAT (car il peut y avoir
plusieurs internautes sur ce segment priv).
Passage dans le routeur de Ciscogum Montpellier

Nous avons une double translation. Une sur la
source (35.36.37.19 en 10.250.100.2) et sur la
destination (199.118.22.100 en 10.200.0.200).
Le paquet est commut vers le serveur cible,
aprs introspection par les rgles de scurit

Reception et rponse par le serveur Http
Le paquet arrive destination, est trait, et la
rponse envoye.
Rponse dans le routeur de Montpellier

et le le paquet prend le chemin inverse la
requte
Rponse dans le routeur AlphaInternaute
Rponse dans le routeur MyBox#1
Rponse sur le poste de lInternaute

jusqu' tre dlivre au client initial,
lInternaute.
Translations
Quelques translations sont effectues tout au long de nos changes.
Table de translation de la box de linternaute

MyBox#1#sh ip nat trans

Les deux translations suivantes sont de lUDP port 53 destination du serveur dns du fournisseur daccs,pour rsoudre
www.ciscogum.fr. et la translation de ladresse IP prive du poste de travail (192.168.0.1) par son adresse IP publique
(35.36.36.19).
udp 35.36.37.19:1030 192.168.0.1:1030 45.19.20.125:53 45.19.20.125:53
tcp 35.36.37.19:1029 192.168.0.1:1029 199.118.22.100:80 199.118.22.100:80

Table de translation de la box de ciscogum Montpellier
Montpellier#sh ip nat translations
Les quatre lignes suivantes sont des translations statiques. Cest la translation vers le serveur Dns (10.200.0.22) qui va
fonctionner.
--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
Les deux translations suivantes concernent une requte Udp 53 pour la rsolution Dns de www.ciscogum.fr, et une Tcp pour
joindre le serveur http via son adresse prive sur la Dmz.
udp 199.118.22.222:53 10.200.0.222:53 10.250.100.3:1027 23.12.12.65:1027
tcp 199.118.22.100:80 10.200.0.200:80 10.250.100.4:1029 35.36.37.19:1029
Routage
Table de routage de la box de linternaute

MyBox#1>sh ip route

S* 0.0.0.0/0 [1/0] via 205.25.36.254
MyBox#1>
Table de routage de la box de AlphaInternaute

AlphaInternaute>sh ip route

O E2 23.12.12.0 [110/20] via 192.168.0.13, 00:51:46, Serial0/0/0
S 35.36.37.19 [1/0] via 205.25.36.5
S 35.36.37.20 [1/0] via 205.25.36.6
O E2 45.19.20.0 [110/20] via 192.168.0.13, 00:51:46, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.13, 00:52:25, Serial0/0/0
O 192.168.0.8/30 [110/128] via 192.168.0.13, 00:52:25, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.13, 00:52:25, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.13, 00:52:25, Serial0/0/0
AlphaInternaute>

Table de routage de la box de AlphaBackbone
AlphaBackbone>sh ip route

O E2 23.12.12.0 [110/20] via 192.168.0.10, 00:52:15, Serial0/0/1
O E2 35.36.37.19 [110/20] via 192.168.0.14, 00:52:58, Serial0/2/0
O E2 35.36.37.20 [110/20] via 192.168.0.14, 00:52:58, Serial0/2/0
O E2 45.19.20.0 [110/20] via 192.168.0.6, 00:52:15, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.18, 00:52:58, Serial0/2/1
AlphaBackbone>
Table de routage de la box de AlphaMontpellier

AlphaMontpellier>sh ip route

O E2 23.12.12.0 [110/20] via 192.168.0.17, 00:52:40, Serial0/0/0
O E2 35.36.37.19 [110/20] via 192.168.0.17, 00:53:20, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.17, 00:53:20, Serial0/0/0
O E2 45.19.20.0 [110/20] via 192.168.0.17, 00:52:40, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.17, 00:53:20, Serial0/0/0
O 192.168.0.8/30 [110/128] via 192.168.0.17, 00:53:20, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.17, 00:53:20, Serial0/0/0
S 199.118.22.0/24 [1/0] via 98.12.12.5
AlphaMontpellier>

Table de routage de la box de Montpellier (Ciscogum)
Montpellier>sh ip route

O IA 10.13.1.0/24 [110/782] via 10.100.100.18, 00:53:43, Serial0/0/0.113
O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 00:53:43, Serial0/0/0.175
O 10.100.100.4/30 [110/1562] via 10.100.100.18, 00:53:43, Serial0/0/0.113
[110/1562] via 10.100.100.9, 00:53:43, Serial0/0/0.175
O IA 10.113.1.0/24 [110/782] via 10.100.100.18, 00:53:43, Serial0/0/0.113
Montpellier>
MyBox#1#sh ip access-lists
Standard IP access list SOURCE
permit 192.168.0.0 0.0.0.255 (4 match(es))
MyBox#1#
Montpellier#sh ip acc
permit ip 10.75.0.0 0.0.255.255 any
permit ip 10.34.0.0 0.0.255.255 any
permit ip 10.13.0.0 0.0.255.255 any
permit ip 10.113.0.0 0.0.255.255 any
deny ip any any
deny ip any any
permit tcp any host 199.118.22.100 eq www (5 match(es))
deny ip any any
Montpellier#

Tests sur ftp.ciscogum.fr partir d'un internaute
Nous allons maintenant vrifier la partie Ftp, en

zoomant sur la partie scurit (nous ne reprendrons pas
la partie Dns, ni la partie routage). Lancez une fenetre
"commande prompt" (invite de commandes), partir
du poste dun Internaute.
taper la commande : ftp ftp.ciscogum.fr.
Le serveur va vous demander de vous signer. Le code
utilisateur et le mot de passe sont cisco (attention la
casse).
Une fois connect, vous pouvez tester votre accs en
tapant la commande dir, pour afficher la liste des
fichiers disponibles sur le serveur....
La commande suivante, tape sur le routeur de Montpellier, permet de confirmer que le flux en est bien vrifi sur
linterface en provenance d' INTERNET:
Montpellier#show ip access-lists
()
permit tcp any host 199.118.22.102 eq ftp (12 match(es))
permit tcp any host 199.118.22.102 gt 1024 (4 match(es))
permit tcp any host 199.118.22.102 eq 20 established
deny ip any any

permit udp host 10.200.0.222 eq domain 10.0.0.0 0.255.255.255 gt 1024 (1 match(es))
deny ip any any
Montpellier#
A nouveau, ditons la table de translation du routeur

--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
udp 199.118.22.222:53 10.200.0.222:53 10.250.100.6:1033 45.19.20.100:1033
tcp 199.118.22.102:1028 10.200.0.202:1028 10.250.100.7:1034 205.25.36.89:1034
tcp 199.118.22.102:21 10.200.0.202:21 10.250.100.7:1033 205.25.36.89:1033
En plus de la requte Dns pour la rsolution du nom ftp.ciscogum.fr ( destination de notre Dns sur sa Local Outside, en
provenance du serveur Dns de l'internaute : 45.19.20.100, dont la Global Inside est 10.250.100.6), on observe bien la
connexion en mode passif du client, (GO : 205.25.36.89, GI : 10.250.100.7) a destination du port 1028, valeur renvoye
par le serveur Ftp lors du passage de la commande PASV par le client.

Tests sur ftp.ciscogum. partir d'un utilisateur de mon entreprise
Lancez une fenetre "commande prompt" (invite de

commandes), partir du poste dun Utilisateur (sur un
portable de Marseille, par exemple).
taper la commande : ftp ftp.ciscogum.fr.
Le serveur va vous demander de vous signer. Le code

utilisateur et le mot de passe sont cisco (attention la
casse).
Une fois connect, vous pouvez tester votre accs en

tapant la commande dir, pour afficher la liste des
fichiers disponibles sur le serveur....
La commande suivante, tape sur le routeur de Montpellier, permet de confirmer que le flux en est bien vrifi sur
linterface en provenance d' INTERNET:
()
permit tcp any host 199.118.22.102 eq ftp (13 match(es))
permit tcp any host 199.118.22.102 gt 1024 (4 match(es))
permit tcp any host 199.118.22.102 eq 20 established
deny ip any any

permit udp host 10.200.0.222 eq domain 10.0.0.0 0.255.255.255 gt 1024 (1 match(es))
deny ip any any
A nouveau, ditons la table de translation du routeur

--- 199.118.22.100 10.200.0.200 --- ---
--- 199.118.22.101 10.200.0.201 --- ---
--- 199.118.22.102 10.200.0.202 --- ---
--- 199.118.22.222 10.200.0.222 --- ---
tcp 199.118.22.200:1025 10.113.1.1:1025 199.118.22.102:21 199.118.22.102:21
tcp 199.118.22.200:1026 10.113.1.1:1026 199.118.22.102:1030199.118.22.102:1030
tcp 199.118.22.102:1030 10.200.0.202:1030 10.250.100.8:1026 199.118.22.200:1026
tcp 199.118.22.102:21 10.200.0.202:21 10.250.100.8:1025 199.118.22.200:1025
On observe, comme prcdemment, une connexion ftp en mode passif (sur le port 1030 du serveur, cette fois...). On
retrouve nouveau la particularit de nos rponse entrantes, vers l'adresse IP 199.118.22.200...
Ici, toujours pas de Translation pour effectuer la rsolution Dns., l'adresse 10.200.0.222 tant directement joignable via
routage Intranet.

Epilogue
Et bien voila Il semble que nous soyons arrivs au bout de la mise en place de linfrastructure rseau de notre entreprise
CiscoGum. Pour linstant en tout cas, car le systme dinformation dune entreprise est limage de son
activittoujours en mouvement.
De plus, parce que lactivit dune entreprise peut tre cyclique, c'est--dire renconter des paliers dans sa croissance, ou
mme des regressions (ce qui nest pas synonyme, loin sen faut, dun arret de lactivit, mais dune adaptation de
lentreprise un contexte), le systme dinformation et linfrastructure sur laquelle il repose ne va pas suivre un
dveloppement gomtrique, comme notre simulation semble lillustrer
Comme tout outil utilis au sein de l entreprise , le rseau de transport de linformation se doit doffrir une
rentabilit optimale et ses couts doivent donc etre surveills
Cette recherche doptimisation ne se fait dailleurs pas forcement par des coupes sauvages dans les budgets
informatiques ; elle peut se faire, par exemple, par labandon de technologies vieillissantes et couteuses entretenir,
pour voluer vers des offres plus rcentes ou plus simple grer et dont les couts globaux, en fin de compte, peuvent
vous permettre de gagner quelques points sur votre budget informatique, et passer ainsi en dea dun seuil de rentabilit
recherch
Les techniques de gestion dun systme dinformation ne sont pas lobjet de cet ouvrage, mais tout ingnieur ou
technicien se doit de garder lesprit quune volution technique ne se fait pas sur la base dune seule fuite en avant vers
de nouvelles technologies Cela amoindira vos frustrations de ne pas suivre certains effets de mode
Bien sur, cet ouvrage, parce quil est technique, nest pas exhaustif en ce qui concerne la mise en uvre de toutes les
possibilits dinterconnexion de rseau existantes.
Si lon revient un aspect purement technique de notre simulation, gardez lesprit que le choix que nous avons fait pour
mettre en place cette infrastructure est une solution pleinement oprationnelle et que vous pouvez rellement la
rencontrer dans votre vie professionnelle
Nous navons pas abord, ou trs peu, ce qui se passe chez un oprateur de rseau si vous prolongez votre
apprentissage, vous y dcouvrirez dautres technologies, comme la commutation dtiquettes (le Mpls) qui va vous
permettre de faire de la Qos dans des rseaux IP (chose par dfinition impossible puisque IP est un protocole qui
fonctionne en mode non connect), des protocoles de routage comme BGP
Souvent, un oprateur sera reprsent dans nos schmas par un nuageet pour cause ! Si vous avez bien retenu le
principe des couches dabstraction du modle OSI, sachez quun oprateur jongle en permanence avec celles-ci (vous y
trouverez du Frame-Relay qui achemine des donnes vers des curs Atm, ou GigaEthernet, des tronons cuivre ddis,
des tronons cuivre du rseau tlphonique commut, des tronons fibre optique. Et tout cela, soit nativement, soit
encapsul dans dautres couches protocolaires).
Au niveau de votre entreprise, il y a galement bien dautres technologies qui existent, certaines naissantes comme la
virtualisation, dautres trs prsentes, comme linterconnexion de sites via Internet, en utilisant des Vpn (Virtual Private
Network), dautres en fin de vie comme de lEthernet 10Mbps..(bref, tour ce qui reste rentable, tant que le service
attendu est rendunon, nous ne sommes pas encore un niveau ou toutes les interfaces rseau doivent etre
ncessairement TenGiga Bps))

Une dernire remarque : Vous venez en fait de mettre le pied dans un monde trs vaste, en volution constante, qui
repose sur lapprentissage permanent de nouvelles technologies, mais aussi sur la consolidation de votre exprience
Cette exprience, cest la pierre angulaire de votre propre efficacit face aux volutions dun rseau ; et si lactivit dune
entreprise, come nous lvoquions prcdemment, est cyclique, la progression de votre savoir faire, elle, devrait sans
aucun doute suivre une croissance linaire.
Je vous souhaitais un bon amusement en prface de cet ouvrage jespre que cela aura t le cas, car au-dela de la
comprhension dun rseau informatique dentreprise, cest un des objectifs qui ont motivs sa rdaction.

Annexes et Glossaire
Dfinitions de notions ou concepts voqus dans la simulation
Modle de rfrence des applications communicantes :
LOSI a normalis le modle de communication des applications en sept couches ; le modle TCP/IP normalise
cette mme communication en quatre couches ; dans leurs utilisations quotidiennes qui concernent des
applications de linternet, on prfrera un modle dit Hybride . Cest ce modle auquel nous ferons
rfrence lorsque que nous parlerons des niveaux de 1 5.
Modles en couches des applications Communicantes
Modle Modle Modle Hybride de

OSI Tcp/Ip Rfrence
Application
Couche Application Couche Application

Application
Prsentation Dns, Dhcp, Https, Xml... Dns, Dhcp, Https, Xml... Donnes
Lien
Clients Rseau
Virtuel
Session
Service Inter-Couches Service Inter-Couches
Couche Transport Couche Transport

Transport Transport Segments
TCP, UDP... Lien TCP, UDP...
Virtuel
Couche Rseau Couche Rseau Paquets

Rseau Rseau
Fournisseurs Rseau
IP, Arp, Icmp... Lien IP, Arp, Icmp... Datagrammes
Virtuel
Couche Liaison Couche Liaison

Liaison Trames
Crc, Speed, Vlan...... Lien Crc, Speed, Vlan......
Virtuel
Hote Service Inter-Couches

Service Inter-Couches
CouchePhysique CouchePhysique Bits

Physique
Cable, Hub, Dce/Dte... Lien Cable, Hub, Dce/Dte...
Virtuel
Signaux lctriques, Optiques...
Domaine de collision :
Cest lespace dun rseau informatique dans lequel les trames peuvent physiquement entrer en collision
(Principe dEthernet et du CSMA/CD). Cette notion est une notion de niveau 1 (Hub, cble, rpteur). Ce
mode de fonctionnement du CSMA/CD rend le rseau inoprant pass un certain nombre de machines. On va
alors fractionner notre rseau laide dun nud de niveau 2 : Un pont. Chaque segment devient un domaine
de collision indpendant.

Domaine de diffusion (broadcast) :
Cest lespace dun rseau informatique dans lequel les trames pourront circuler, sans modification dentte,
passant de segment segment en utilisant des ponts. Cette notion est une notion de niveau 2. Les diffrentes
trames circulant pourront tre de type Unicast, Broadcast ou Multicast. Linterconnexion de deux ou plusieurs
domaines de diffusion devra tre effectu par un nud de niveau 3 : Un routeur. Le routeur permet donc de
fractionner un domaine de diffusion, et dassurer la communication entre ceux-ci.
Un commutateur de niveau 2 :
Ou un switch, est un nud de niveau 2. Cest un pont multi-segments, dont on a transform les attributs
physiques en circuit lectroniques (ASIC). Chaque port dun switch est donc un segment, avec un domaine de
collision indpendant et une bande passante ddie, sur lequel on pourra connecter une station de travail ou
un hub. Par dfaut, chaque port dun mme switch appartient un mme domaine de diffusion. Une autre
particularit dun switch est de pouvoir grer diffrents domaines de diffusion, auxquels on pourra rattacher,
par ligne de commande, un ou plusieurs ports. On parlera alors de VLAN. Un VLAN possde donc un seul
domaine de diffusion (lensemble de ses ports affects) et plusieurs domaines de collision (un pour chaque
port). Le VLAN tant une notion de niveau 2, la communication inter-VLAN sera donc impossible au sein dun
mme switch. Il faudra nouveau utiliser un nud de niveau suprieur pour effectuer cette interconnexion,
c'est--dire un routeur, qui aura une interface rattache chaque VLAN.
Graphique illustrant les notions de domaines de collision, domaines de diffusion, et la justification

de la conception dun commutateur N2.
Spanning-Tree Protocol (STP) :
Sur les rseaux Ethernet, les boucles (2 segments relis, non pas par un, mais deux ponts) sont interdites car
elles provoquent des dysfonctionnements du rseau au travers de linstabilit quelles gnrent dans leur table
dadresses mac. Interconnecter deux segments via deux ponts est pourtant une bonne option en termes de
continuit de fonctionnement du rseau dans le cas dune panne dun pont. Le STP est un protocole que vont
utiliser les ponts pour sassurer qua lintrieur dun mme domaine de diffusion, il ny a pas de boucle, et ceci

en bloquant certains de leur ports. Une interconnexion de commutateurs redondante (deux liens entre deux
mmes switch pour un mme VLAN, par exemple) se doit donc de mettre en uvre ce protocole.
Unicast, Broadcast et Multicast :
Lunicast est une trame dont ladresse mac source et ladresse mac cible sont des adresses relles de cartes
rseaux de nuds. Quand une trame de ce type est envoye sur un segment Ethernet, tous les postes de
travail la recevront. Le processus de niveau 2 de la carte qui correspond ladresse mac cible la recevra, la
traitera, et la transmettre son niveau 3. Pour les autres postes de travail, dont ladresse mac de leur cartes
sera diffrente de ladresse cible de la trame, leur processus de niveau 2 droppera la trame.
Sur un commutateur, le mcanisme reste identique, mais est gr au niveau du circuit ASIC. Seul le poste de
travail rellement cible recevra donc la trame.
Le broadcast est une trame dont ladresse mac source est un poste de travail, et ladresse mac cible une
adresse ou tous les bits sont 1. Quand une trame de ce type est envoye sur un segment Ethernet, tous les
postes de travail la recevront. Le processus de niveau 2 de toutes les cartes de tous les postes de travail traitera
la trame et la transmettra au niveau 3 ; le niveau 3 la traitera et transmettra au niveau 4 ; ce nest qua partir
de cette couche quil est envisageable ou non, soit de dropper la trame, soit de la transmettre au niveau 5.
Sur un commutateur, le mcanisme est inchang, et le broadcast sera transmis sur tous les ports du
commutateur appartenant au mme domaine de diffusion do est issu le broadcast.
Un broadcast sur un segment Ethernet (niveau 1) est naturellement transmis vers tous les postes de
travail, lectriquement (un hub reste plus ou moins un fil lectrique). Il ne serait rpliqu que dans le cas
du transit via un pont, vers un autre segment. Sur un commutateur, la rplication des broadcast sera
systmatique pour tous les ports du mme domaine de diffusion.
On peut donc dire quen terme de charge rseau, un broadcast et un unicast ont le mme poids sur un
segment unitaire ; quun broadcast peut devenir plus couteux quun unicast sur une architecture multi-
segment ; quun broadcast est systmatiquement plus couteux sur un commutateur.
Mais le problme gnr par le broadcast est avant tout une charge machine, car ce nest plus la niveau 2 qui
transmet ou droppe la trame (il transmet systmatiquement), mais les couches de niveau 4 ou 5.
Le Multicast, vu au niveau 2, utilise des plages dadresses mac rserves cet usage (comme le fait IP au
niveau 3). Il est gr exactement de la mme manire quun broadcast sur les segments ou par les
commutateurs. Cependant, parce que certaines cartes rseaux des postes de travail coutent sur leur
adresse physique ET sur une adresse mac multicast particulire (elles ont t paramtres pour lors de
linstallation dune application, par exemple), cest un processus de niveau 2 qui transmettra ou droppera la
trame
Ainsi, en terme de charge rseau, il ny a pas de gain par rapport un broadcast, que ce soit sur des segments
ou des commutateurs ; par contre, en terme de charge machines, on retrouve le type de fonctionnement dun
unicast sur un segment Ethernet.

Schmas L3 L1/L2 de la simulation
Maquette Schma de vision L3
Maquette Schma de Vision L1/L2

Transformation Dcimale, Binaire, Hexadcimale (exemples) :
Il est plus quutile de bien maitriser la correspondance entre des valeurs dcimales, binaires et
hxadcimales Un exemple concret : dans la table de routage dun routeur, il y a uniquement des
adresses de rseaux, au format dcimal. Lors de linvestigation sur un problme de routage, comment
savoir si une adresse de host, inacessible, appartient un rseau connu de cette table ?
Les quelques exemples qui suivent devraient vous aider jongler facilement entre ces diffrentes
formes de codification
Rappel sur la codification
8
1 Octet = 8 Bits, pour une codification possible de 2 = 256.
Dtails des bits dun octet et poids
n = numro (position de droite gauche) du bit

(n-1)
Poids = 2
Octet
n 8 7 6 5 4 3 2 1
Poids 128 64 32 16 8 4 2 1
Codification dcimale d1 octet en fonction du poids binaire (en allant du bit de poids fort au bit de
poids faible)
Codification Binaire Calcul intermdiaire Valeur dcimale

10000000 128 128
11000000 128+64 192
11100000 192+32 224
11110000 224+16 240
11111000 240+8 248
11111100 248+4 252
11111110 252+2 254
11111111 254+1 255
Mthode pour passage dune valeur dcimale une valeur en binaire. Exemple : donner la valeur
binaire de la valeur dcimale 111.
Bit Poids Condition Valeur Binaire Calcul

Sens de lecture pour un
8 128 128 > 111 0 128

7 64 64 < = 111 1 111-64=47
6 32 32 <= 47 1 47-32=15
octet.
5 16 16 > 15 0 15
4 8 8 <= 15 1 15-8=7
3 4 4 <= 7 1 7-4=3
2 2 2 <= 3 1 3-2=1
1 1 1 <= 1 1 0
soit : 111 en dcimale scrit 1101111 en binaire.

Mthode pour la passage dune valeur binaire une valeur dcimale. Exemple : donner la valeur
dcimale de la valeur binaire 101101.
Bit Valeur Binaire Poids Valeur Dcimaler
Sens de lecture pour un

8 0 128 0
7 0 64 +0
6 1 32 +32
octet.
5 0 16 +0
4 1 8 +8
3 1 4 +4
2 0 2 +0
1 1 1 +1
soit : en additionnant toutes les valeurs de la colonne valeur dcimale , un total de 45. 101101 en
binaire scrit donc 45 en dcimale.
Cinmatique de lenvoi dun paquet (exemples) :
une machine possde ladresse 10.208.10.2/24 (en italique, partie host)
adresse 10.208.10.2 en binaire 00001010.11010000.00001010.00001110

masque de sous-rseau 255.255.255.0 en binaire 11111111.11111111.11111111.00000000
Rsultat opration logique en binaire 00001010.11010000.00001010.00000000
elle veut mettre vers la machine 10.208.10.10

Les deux rsultats sont identiques, donc une trame destination de la machine cible sera directement mise.
elle veut maintenant mettre vers la machine 10.208.208.10

Les deux rsultats sont diffrents, donc une trame destination de la gateway du poste metteur est
directement mise.

Mthode pour retrouver un rseau partir dune adresse (exemples) :
Il faut repasser par une la valeur binaire. Par exemple, on veut retrouver les rseaux, pour les adresses
suivantes :
10.208.10.14/24
10.208.10.14/16
10.208.10.14/20
en /24 :
adresse 10.208.208.14 en binaire 00001010.11010000.11010000.00001110 soit .14

adresse du rseau 00001010.11010000.11010000.00000000 soit .0
premire adresse disponible 00001010.11010000.11010000.00000001 soit .1
dernire adresse disponible 00001010.11010000.11010000.11111110 soit .254
adresse de broadcast 00001010.11010000.11010000.11111111 soit .255
en /16 :
adresse 10.208.208.14 en binaire 00001010.11010000.11010000.00001110 soit .208.14

adresse du rseau 00001010.11010000.00000000.00000000 soit .0.0
premire adresse disponible 00001010.11010000.00000000.00000001 soit .0.1
dernire adresse disponible 00001010.11010000.11111111.11111110 soit .255.254
adresse de broadcast 00001010.11010000.11111111.11111111 soit .255.255
en /20 :
adresse 10.208.208.14 en binaire 00001010.11010000.11010000.00001110 soit .208.14

adresse du rseau 00001010.11010000.11010000.00000000 soit .208.0
premire adresse disponible 00001010.11010000.11010000.00000001 soit .208.1
dernire adresse disponible 00001010.11010000.11011111.11111110 soit .223.254
adresse de broadcast 00001010.11010000.11011111.11111111 soit .223.255
La codification hexadcimale (exemple) :
La reprsentation dcimale dune adresse IP sur 32 bits, est une normalisation pratique , car lisible pour un
utilisateur. Une codification diffrente (comme Ipv6 sur 128 bits, ou comme le contenu dun composant
mmoire) utilise une autre reprsentation.
Ainsi, un octet tant compos de 8 bits, on peut dcider de le scinder en deux demi-octets de 4 bits.
4
les combinaisons sur 4 bits (2 ) seront gales 16 valeurs (de 0 15), do une codification hexadcimale (de 0
F).
On pourra donc reprsenter un octet par deux valeurs hexadcimales contigues, reprsentant deux demis
octets.Voici un exemple :
Valeur dcimale 239

Valeur binaire 1 1 1 0 1 1 1 1
poids octet 8 4 2 1 8 4 2 1
poids total dcimal 8+4+2=14 8+4+2+1=15
valeur hexadcimale E F

Rseaux sans fils Canaux et Frquences :
Trois tendues de frquences sont dfinies par lIEEE : 2,4GHz, 3,6GHz, 5GHz. Les deux tendues les plus
communement utilises sont ltendue 2,4GHz et 5GHz. Les schmas et tableaux ci-dessous reprennnent la
dcoupe des canaux en frquence. Ils restent cependant indicatifs, car soumis la lgislation de chaque tat.
Dcoupage de ltendue 2,4GHz
Frquence Amrique du Reste du

Canal Japon
(MHz) Nord Monde
1 2412 Utilis Utilis Utilis

12 2467 Non utilis Utilis Utilis
13 2472 Non utilis Utilis Utilis
14 2484 Non utilis 802.11b Non utilis

Dcoupage de ltendue 5GHz
Etats-Unis
Frquence Europe Japon Singapour Chine Israel Core Turquie
channel d'Amrique
(MHz)
40/20 MHz 40/20 MHz 40/20 MHz 10 MHz 20 MHz 20 MHz 20 MHz 20 MHz 20 MHz
183 4915 Non utilis Non utilis Non utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis
184 4920 Non utilis Non utilis Utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis
188 4940 Non utilis Non utilis Utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis
192 4960 Non utilis Non utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
196 4980 Non utilis Non utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
12 5060 Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
16 5080 Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
34 5170 Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis Utilis Utilis Utilis
36 5180 Utilis Utilis Utilis Non utilis Utilis Non utilis Utilis Utilis Utilis
48 5240 Utilis Utilis Utilis Non utilis Non utilis Non utilis Utilis Utilis Utilis
100 5500 Utilis Utilis Utilis Non utilis Non utilis Non utilis Non utilis Utilis Non utilis
120 5600 Non utilis Utilis Utilis Non utilis Non utilis Non utilis Non utilis Utilis Non utilis
132 5660 Non utilis Utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
136 5680 Utilis Utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
140 5700 Utilis Non utilis Utilis Non utilis Non utilis Non utilis Non utilis Non utilis Non utilis
149 5745 Utilis Non utilis Non utilis Non utilis Utilis Utilis Non utilis Utilis Utilis

Access-List Types et fonctionnement
Les Access-List sont copieusement utilises pour la mise en uvre de fonctionnalits diverses, dans la monde Cisco.
L encore, lobjet de ce document nest pas de faire un copier-coller dune recherche Google sur Acces-Lists
Cisco , recherche qui vous donnera toutes les subtilits de la mise en uvre des Acl
Il est cependant important de faire la distinction entre les Acl standard (qui agissent sur des rseaux IP) et les Acl
tendues (qui agissent sur les couches protocolaires 3 et 4). Ci-dessous, vous trouverez la syntaxe de ces deux types
dAcl
Acl Standard
access-list access-list-number {permit|deny}

{host|source source-wildcard|any}
Acl Etendue (Extended)
IP
access-list access-list-number
[dynamic dynamic-name [timeout minutes]]
{deny|permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log|log-input] [time-range time-range-name]
ICMP
{deny|permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type [icmp-code] |icmp-message]
[precedence precedence] [tos tos] [log|log-input]
[time-range time-range-name]
TCP
{deny|permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[established] [precedence precedence] [tos tos]
[log|log-input] [time-range time-range-name]
UDP
{deny|permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log|log-input]
[time-range time-range-name]

Masques de sous-rseau et Wildcard Mask
L encore, il est ncessaire de bien distinguer les deux :
Un masque de sous rseau permet, dans une adresse IP, de distinguer la partie Rseau et la partie Host. Ainsi, les bits
du masque de sous-rseau positions 1 permettent de dfinir le bit dune adresse, la mme position, comme un bit
Reseau .
Les bits du masque de sous-rseau positions 0 permettent de dfinir le bit dune adresse, la mme position,
comme un bit Host .
Exemple pour une adresse 192.168.1.1/24
192.168.1.1 11000000.10101000.00000001.00000001
/24 => 255.255.255.0 11111111.11111111.11111111.00000000
Partie rseau de ladresse 11000000.10101000.00000001.00000001
Partie host de ladresse 11000000.10101000.00000001.00000001
Un Wildcard mask, ou masque inverse va etre utilis lors de la vrification dune condition, une selection, un filtrage...
Les bits positionns 0 sont significatifs, alors que les bits positionns 1 ne sont pas significatifs.
Exemple pour une Acl permit 192.168.0.0 0.0.0.255
Adresse donne (192.168.0.0) 11000000.10101000.00000000.00000000

Wilcard mask 00000000.00000000.00000000.11111111
Valeur ralisant la condition 11000000.10101000.00000000.XXXXXXXX

Topologie Frame Relay et IP
Rseaux de type Point-to-Point cf Cisco :
On peut comparer une liaison Frame Relay point-to-point, via des Cvp configurs sur des sous-interfaces logiques,
une liaison de type point point physique, utilisant gnralement une encapsulation Hdlc ou PPP .
La topologie est de type maillage partiel ou en toile (Partial Mesh or Star). Dans le cas de liaisons utilisant des circuits
virtuels, il y aura un sous rseau IP par sous interfaces (par CVP)
Point-to-Point Physique networks Point-to-Point Virutel networks
NBMA (Non Broadcast Multi Access). cf RFC :

Ce type de liaison repose sur une architecture Multi Access, mais qui ne possde pas la capacit d mettre des
Broadcast (typiquement, des technologies de type X25, ATM, Frame Relay).
La topologie est de type maillage total (Full Mesh)
Non Broadcast Multi Access networks

Rseaux de type Point-to-Multipoint. cf RFC
Ce type de liaison est adapt, contrario d un type NBMA, des topologies partiellement mailles ou en toile
(Partial Mesh or Star lactivation dun type Point-to-Multipoint est cependant permise pour des rseaux NBMA).
Point-to-Multipoint network

Proxy et Proxy Reverse
Le Serveur Proxy est un lment du rseau qui intervient jusqu' la couche 5 de notre modle hybride. Cest donc
une application. La plupart du temps, il est utilis pour la navigation de type web, mais peut galement letre pour
dautres protocoles, comme le Smtp, le Ftp
Il est positionn entre un Intranet et Internet, et va offrir un certain nombre de services, indispensables une
maitrise de la communication entrante ou sortante dune entit prive. Il permet ainsi :
De prendre en charge les requtes des clients vers Internet. Cest en effet lui qui, sur sollicitation, va
effectuer les requtes et ainsi, garantir lanonymat du client interne.
Le client demandeur doit au pralable (optionnel et/ou automatisable) se connecter au serveur proxy, ce
qui va permettre de maitriser la navigation vers lextrieur, en associant une politique de navigation pour
chaque utilisateur ou groupe dutilisateurs.
Le filtrage peut etre effectu au niveau IP, mais galement des niveaux protocolaires qui couvrent la
couche applicative, et ainsi permettre ou non daccder certaines Url. On parlera de Black lists pour
les Url politiquement exclues, et de White lists pour les Url autorises.
Lactivit du proxy va pouvoir etre conserve dans un fichier historique (log) pour permettre des analyses
postriori.
Le serveur proxy va galement pouvoir mettre en cache un certain nombre de pages, issues de requtes
antrieures, et ainsi, acclrer la navigation entre le client et Internet.
Par bien des aspects, le proxy agit comme un pare-feu, et si les fournisseurs de logiciels intgrent des fonctions
proxy dans les pare-feu, ou des fonctions pare-feu dans les proxys, il ne faut jamais oublier la fonction initiale du
matriel mis en placeUn pare-feu reste avant tout un routeur qui joue sur des sockets (association IP/Ports), alors
quun Proxy est une application
Bien entendu, en fonction de la taille de lentreprise, et de la couche budgtaire du modle OSI, on peut trs
bien substituer lun lautre cependa nt, le rseau tant aussi affaire dinfrastructure, plus les fonctions sont
clates au travers de matriels ddis, plus lacquisition et la maitrise de celui-ci est simplifie pour les exploitants
ou les mainteneurs
Le Serveur Reverse Proxy, quand lui, les mmes fonctions quun proxy, mais va se situer en frontal dInternet,
dans le but de protger les ressources Web mis disposition de lInternet par lentreprise.
En plus des fonctions dauthentification, de cache, de dcodage (de type SSL, par exemple), Il pourra galement
offrir des fonctionnalits comme la rpartition de charge.
Les deux schmas suivants, sont des implantations possibles de solutions bases sur un Proxy et un Reverse Proxy.
Comme toujours en architecture, ils restent compltement ouverts modifications ou simplifications, lies aux
besoins de lentreprise, le budget disponible, et la crativit de larchitecte

Un exemple dimplantation dun serveur Proxy

Un exemple dimplantation dun serveur Proxy Reverse

Inventaire des Configurations des nuds de la simulation
Commutateur Frontal Montpellier, 1st Floor Commutateur 1 Montpellier, 1st Floor
Current configuration : 1232 bytes Current configuration : 1020 bytes

! !
version 12.1 version 12.1
no service timestamps log datetime msec no service timestamps log datetime msec
no service timestamps debug datetime msec no service timestamps debug datetime msec
no service password-encryption no service password-encryption
! !
hostname MtpSwitchFrontal hostname MtpSwitch1
! !
ip name-server 0.0.0.0 ip name-server 0.0.0.0
! !
switchport mode trunk switchport mode trunk
! !
switchport mode trunk !
! ()
interface FastEthernet0/3 !
switchport mode trunk interface FastEthernet0/23
! !
! switchport mode trunk
() !
! interface Vlan1
interface FastEthernet0/9 no ip address
! shutdown
channel-group 1 mode desirable line con 0
! line vty 0 4
interface FastEthernet0/11 login
channel-group 1 mode desirable line vty 5 15
switchport mode trunk login
! !
interface FastEthernet0/12 End
!
()
!
!
!
!
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
End

Commutateur 2 Montpellier, 1st Floor Commutateur 3 Montpellier, 1st Floor

! !
! !
hostname MtpSwitch2 hostname MtpSwitch3
! !
! !
! !
switchport access vlan 10 switchport access vlan 20
switchport mode access switchport mode access
! !
! !
() ()
! !
! !
! !
! !
interface FastEthernet0/24 interface Vlan1
switchport mode trunk no ip address
! shutdown
interface Vlan1 !
no ip address line con 0
shutdown !
! line vty 0 4
line con 0 login
! line vty 5 15
line vty 0 4 login
login !
line vty 5 15 End
login
!
End

Commutateur Frontal Montpellier, 2nd Floor Commutateur 1 Montpellier, 2nd Floor

! !
! !
hostname MtpSwitchFrontal2E hostname MtpSwitch12E
! !
! !
() !
! interface FastEthernet0/2
interface FastEthernet0/3 switchport access vlan 30
! switchport mode access
switchport access vlan 10 interface FastEthernet0/3
switchport mode access !
! ()
() !
interface FastEthernet0/9 switchport mode trunk
! !
interface FastEthernet0/10 interface Vlan1
channel-group 1 mode desirable no ip address
switchport mode trunk shutdown
! !
interface FastEthernet0/11 line con 0
channel-group 1 mode desirable !
switchport mode trunk line vty 0 4
! login
interface FastEthernet0/12 line vty 5 15
! login
() !
! End
!
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
End

Commutateur 2 Montpellier, 2nd Floor Commutateur 3 Montpellier, 2nd Floor

! !
! !
hostname MtpSwitch22E hostname MtpSwitch32E
! !
! !
! !
! !
() ()
! !
! !
! !
! !
! interface Vlan1
interface Vlan1 no ip address
no ip address shutdown
shutdown !
! line con 0
line con 0 !
! line vty 0 4
line vty 0 4 login
login line vty 5 15
line vty 5 15 login
login !
! End
End

Commutateur DMZ Montpellier Commutateur Frontal Paris

! !
! !
hostname DMZ hostname SwitchFrontalParis
! !
! !
! !
! switchport access vlan 10
() switchport mode trunk
! !
interface Vlan1 switchport mode trunk
no ip address !
shutdown interface FastEthernet0/3
line con 0 switchport mode trunk
! !
line vty 0 4 interface FastEthernet0/4
login switchport access vlan 10
line vty 5 15 switchport mode access
login !
! ()
End !
switchport access vlan 10
switchport mode access
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
End

Commutateur 1 Paris Commutateur 2 Paris

! !
! !
hostname SwitchParis1 hostname SwitchParis2
! !
! !
! !
! !
() ()
! !
! !
switchport access vlan 10 switchport mode trunk
interface Vlan1 switchport access vlan 10
no ip address switchport mode access
shutdown !
line con 0 !
! interface Vlan1
line vty 0 4 no ip address
login shutdown
line vty 5 15 !
login line con 0
! !
! line vty 0 4
End login
line vty 5 15
login
!
End

Commutateur 3 Paris Commutateur frontal Marseille

! !
! !
hostname SwitchParis3 hostname SwitchFrontalMarseille
! !
! !
switchport access vlan 10 !
switchport mode access interface FastEthernet0/3
() !
switchport access vlan 10 switchport mode access
! ()
switchport mode trunk interface FastEthernet0/23
interface FastEthernet0/24 switchport mode access
switchport access vlan 10 !
switchport mode access interface FastEthernet0/24
interface Vlan1 !
no ip address interface Vlan1
shutdown no ip address
! shutdown
line con 0 !
! line con 0
line vty 0 4 !
login line vty 0 4
line vty 5 15 login
login line vty 5 15
! login
End !
End

Commutateur 1 Marseille Commutateur 2 Marseille

! !
! !
hostname SwitchMarseille1 hostname SwitchMarseille2
! !
! !
switchport access vlan 13 switchport mode trunk
switchport mode access duplex full
! speed 100
() !
! ()
switchport access vlan 13 interface FastEthernet0/21
switchport mode trunk switchport access vlan 13
! switchport mode access
interface Vlan1 !
no ip address interface FastEthernet0/22
shutdown switchport access vlan 13
! !
line con 0 interface FastEthernet0/23
line vty 0 4 switchport mode access
login !
line vty 5 15 interface FastEthernet0/24
login switchport access vlan 13
! !
End interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
End

Commutateur 3 Marseille
Current configuration : 2202 bytes

!
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SwitchMarseille3
!
ip name-server 0.0.0.0
!
!
!
!
()
!
!
!
!
interface Vlan1
no ip address
shutdown
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
end

Routeur Montpellier, 1st Floor !
router ospf 10
Current configuration : 3499 bytes network 10.34.0.0 0.0.255.255 area 34
! network 10.100.100.0 0.0.0.255 area 0
version 12.4 network 10.200.0.0 0.0.0.255 area 200
no service timestamps log datetime msec !
no service timestamps debug datetime msec ip nat pool PoolEntree 10.250.100.1 10.250.100.254
no service password-encryption netmask 255.255.255.0
! ip nat pool PoolSortiePAT 199.118.22.150
hostname Montpellier 199.118.22.150 netmask 255.255.255.0
! ip nat inside source list TransInsideOutside pool
ip name-server 0.0.0.0 PoolSortiePAT overload
! ip nat inside source static 10.200.0.200
! 199.118.22.100
interface FastEthernet0/0 ip nat inside source static 10.200.0.201
no ip address 199.118.22.101
duplex auto ip nat inside source static 10.200.0.202
speed auto 199.118.22.102
! ip nat inside source static 10.200.0.222
interface FastEthernet0/0.10 199.118.22.222
encapsulation dot1Q 10 ip nat outside source list TransOutsideInside pool
ip address 10.34.1.254 255.255.255.0 PoolEntree
ip nat inside ip classless
! ip route 0.0.0.0 0.0.0.0 Serial0/0/0.100
interface FastEthernet0/0.20 !
encapsulation dot1Q 20 !
ip address 10.34.2.254 255.255.255.0 ip access-list extended TransInsideOutside
ip helper-address 10.34.1.200 permit ip 10.75.0.0 0.0.255.255 any
ip nat inside permit ip 10.34.0.0 0.0.255.255 any
! permit ip 10.13.0.0 0.0.255.255 any
interface FastEthernet0/0.30 permit ip 10.113.0.0 0.0.255.255 any
encapsulation dot1Q 30 deny ip any any
ip address 10.34.3.254 255.255.255.0 ip access-list extended TransOutsideInside
ip helper-address 10.34.1.200 permit ip any any
ip nat inside ip access-list extended DmzIn
! permit tcp 10.200.0.0 0.0.255.255 10.34.0.0
interface FastEthernet0/1 0.0.255.255 established
description *** Interface Dmz *** permit tcp 10.200.0.0 0.0.255.255 10.13.0.0
ip address 10.200.0.254 255.255.255.0 0.0.255.255 established
ip access-group DmzIn in permit tcp 10.200.0.0 0.0.255.255 10.75.0.0
ip nat inside 0.0.255.255 established
duplex auto permit tcp 10.200.0.0 0.0.255.255 10.113.0.0
speed auto 0.0.255.255 established
! permit tcp 10.200.0.0 0.0.255.255 10.250.100.0
interface Serial0/0/0 0.0.0.255 established
no ip address permit udp host 10.200.0.222 any eq domain
encapsulation frame-relay ietf permit udp host 10.200.0.222 eq domain any
! deny ip any any
interface Serial0/0/0.100 point-to-point ip access-list extended OutsideIn
description *** Interface Outside *** permit tcp any host 199.118.22.100 eq www
bandwidth 1024 permit tcp any host 199.118.22.101 eq www
ip address 98.12.12.5 255.255.255.252 permit tcp any host 199.118.22.200 established
frame-relay interface-dlci 100 permit tcp any host 199.118.22.102 eq ftp
ip access-group OutsideIn in permit tcp any host 199.118.22.102 gt 1024
ip nat outside permit tcp any host 199.118.22.150 established
! permit udp any host 199.118.22.222 eq domain
interface Serial0/0/0.113 point-to-point permit udp any eq domain host 199.118.22.222
bandwidth 128 deny ip any any
ip address 10.100.100.17 255.255.255.252 !
frame-relay interface-dlci 113 no cdp run
ip nat inside !
! !
interface Serial0/0/0.175 point-to-point !
bandwidth 128 !
ip address 10.100.100.10 255.255.255.252 !
frame-relay interface-dlci 175 line con 0
ip nat inside line vty 0 4
! login
interface Serial0/0/1 !
no ip address !
shutdown !
! end
interface Vlan1
no ip address
shutdown

Routeur Paris Routeur Marseille

! !
! !
hostname Paris hostname Marseille
! !
! !
ip address 10.75.1.254 255.255.255.0 no ip address
ip helper-address 10.34.1.200 duplex auto
duplex auto speed auto
speed auto !
! interface FastEthernet0/0.13
interface FastEthernet0/1 encapsulation dot1Q 13
no ip address ip address 10.13.1.254 255.255.255.0
duplex auto !
speed auto interface FastEthernet0/0.113
shutdown encapsulation dot1Q 113
! ip address 10.113.1.254 255.255.255.0
interface Serial0/0/0 ip helper-address 10.13.1.200
no ip address !
encapsulation frame-relay ietf interface FastEthernet0/1
! no ip address
interface Serial0/0/0.113 point-to-point duplex auto
bandwidth 128 speed auto
ip address 10.100.100.5 255.255.255.252 shutdown
frame-relay interface-dlci 113 !
! interface Serial0/0/0
interface Serial0/0/0.134 point-to-point no ip address
bandwidth 128 encapsulation frame-relay ietf
ip address 10.100.100.9 255.255.255.252 !
frame-relay interface-dlci 134 interface Serial0/0/0.134 point-to-point
! bandwidth 128
interface Serial0/0/1 ip address 10.100.100.18 255.255.255.252
no ip address frame-relay interface-dlci 134
shutdown !
! interface Serial0/0/0.175 point-to-point
interface Vlan1 bandwidth 128
shutdown frame-relay interface-dlci 175
! !
router ospf 20 interface Serial0/0/1
log-adjacency-changes no ip address
network 10.75.0.0 0.0.255.255 area 75 shutdown
network 10.100.100.0 0.0.0.255 area 0 !
! interface Vlan1
ip classless no ip address
ip route 0.0.0.0 0.0.0.0 10.100.100.10 shutdown
! !
no cdp run router ospf 10
! log-adjacency-changes
line con 0 network 10.13.0.0 0.0.255.255 area 13
line vty 0 4 network 10.113.0.0 0.0.255.255 area 13
login network 10.100.100.0 0.0.0.255 area 0
! !
end ip classless
ip route 0.0.0.0 0.0.0.0 10.100.100.17
!
no cdp run
!
line con 0
line vty 0 4
login
!
end

Routeur Frontal Alpha-Montpellier Routeur Alpha Backbone

! !
! !
hostname AlphaMontpellier hostname AlphaBackbone
!
duplex auto no ip address
speed auto duplex auto
shutdown speed auto
! shutdown
duplex auto no ip address
shutdown speed auto
! shutdown
ip address 192.168.0.18 255.255.255.252 interface Serial0/0/0
encapsulation ppp ip address 192.168.0.5 255.255.255.252
! encapsulation ppp
interface Serial0/0/1 clock rate 1200
no ip address !
encapsulation frame-relay ietf interface Serial0/0/1
! ip address 192.168.0.9 255.255.255.252
interface Serial0/0/1.134 point-to-point encapsulation ppp
ip address 98.12.12.6 255.255.255.252 clock rate 1200
frame-relay interface-dlci 134 !
no ip address encapsulation ppp
shutdown clock rate 1200
! !
shutdown encapsulation ppp
! clock rate 1200
interface Vlan1 !
no ip address interface Vlan1
shutdown no ip address
! shutdown
router ospf 30 !
log-adjacency-changes router ospf 30
redistribute static subnets log-adjacency-changes
passive-interface Serial0/0/1.134 network 192.168.0.0 0.0.0.255 area 0
network 192.168.0.0 0.0.0.255 area 0 !
! ip classless
ip classless !
ip route 199.118.22.0 255.255.255.0 98.12.12.5 no cdp run
! !
no cdp run line con 0
! line vty 0 4
line con 0 login
line vty 0 4 !
login end
!
end

Routeur Frontal Alpha Internaute Routeur Alpha AS6300-Beta 65000

! !
version 12.4
version 12.4
no service timestamps debug datetime msec no service timestamps log datetime msec
no service password-encryption no service timestamps debug datetime msec
! no service password-encryption
hostname AlphaInternaute !
! hostname Alpha63000Beta65000
ip address 205.25.36.254 255.255.255.0
duplex auto
speed auto no ip address
ipv6 ospf cost 1 duplex auto
! speed auto
interface FastEthernet0/1 shutdown
no ip address !
duplex auto interface FastEthernet0/1
speed auto
no ip address
shutdown
! duplex auto
interface Serial0/0/0 speed auto
ip address 192.168.0.14 255.255.255.252 shutdown
encapsulation ppp !
ip address 192.168.0.10 255.255.255.252
no ip address
! !
! clock rate 1200
!
no ip address
shutdown interface Serial0/2/0
! no ip address
interface Vlan1 shutdown
no ip address !
shutdown interface Serial0/2/1
! no ip address
router ospf 30
shutdown
redistribute static subnets !
passive-interface FastEthernet0/0 interface Vlan1
network 192.168.0.0 0.0.0.255 area 0 no ip address
! shutdown
ip classless !
ip route 35.36.37.19 255.255.255.255 205.25.36.5
router ospf 30
ip route 35.36.37.20 255.255.255.255 205.25.36.6
! log-adjacency-changes
no cdp run redistribute bgp 63000 subnets
! network 192.168.0.0 0.0.0.255 area 0
line con 0 !
line vty 0 4 router bgp 63000
login bgp log-neighbor-changes
!
no synchronization
end
!
ip classless
!
no cdp run
!
line con 0
line vty 0 4
login
!
end

Routeur AlphaAS 63000 Alpha AS65400 Routeur Alpha AS65400

! !
! !
hostname Alpha63000Alpha65400 hostname AlphaAS65400
! !
no ip address no ip address
shutdown shutdown
! !
shutdown !
ip address 192.168.0.6 255.255.255.252 encapsulation ppp
encapsulation ppp ipv6 ospf cost 781
! !
ip address 75.19.19.5 255.255.255.252 no ip address
encapsulation ppp ipv6 ospf cost 781
clock rate 1200 shutdown
! !
interface Serial0/2/0 interface Vlan1
shutdown shutdown
! !
interface Serial0/2/1 router bgp 65400
no ip address bgp log-neighbor-changes
shutdown no synchronization
! neighbor 75.19.19.5 remote-as 63000
interface Vlan1 network 45.19.20.0 mask 255.255.255.0
no ip address !
shutdown ip classless
! !
router ospf 30 line con 0
log-adjacency-changes line vty 0 4
redistribute bgp 63000 subnets login
network 192.168.0.0 0.0.0.255 area 0 !
! end
router bgp 63000
bgp log-neighbor-changes
no synchronization
!
ip classless
!
no cdp run
!
line con 0
line vty 0 4
login
!
end

Routeur Beta AS65000 Routeur MyBox #1

! !
! !
hostname BetaAS65000 hostname MyBox#1
! !
! !
duplex auto ip nat inside
! speed auto
duplex auto ip address 205.25.36.5 255.255.255.0
speed auto ip nat outside
shutdown duplex auto
! speed auto
ip address 205.26.26.6 255.255.255.252 interface Serial0/0/0
encapsulation ppp no ip address
ipv6 ospf cost 781 shutdown
! !
interface Vlan1 interface Serial0/0/1
shutdown shutdown
! !
router bgp 65000 interface Vlan1
bgp log-neighbor-changes no ip address
no synchronization shutdown
neighbor 205.26.26.5 remote-as 63000 !
network 23.12.12.0 mask 255.255.255.0 ip nat pool PUBLIC 35.36.37.19 35.36.37.19 netmask
! 255.255.255.255
ip classless ip nat inside source list SOURCE pool PUBLIC
! overload
line con 0 ip classless
line vty 0 4 ip route 0.0.0.0 0.0.0.0 205.25.36.254
login !
! ip access-list standard SOURCE
end permit 192.168.0.0 0.0.0.255
!
no cdp run
!
line con 0
line vty 0 4
login
!
end

Routeur MyBox #2
Current configuration : 866 bytes

!
version 12.4
no service timestamps debug datetime msec
no service password-encryption
!
hostname MyBox#2
!
ip name-server 0.0.0.0
!
ip address 192.168.0.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip address 205.25.36.6 255.255.255.0
ip nat outside
duplex auto
speed auto
!
no ip address
shutdown
!
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip nat pool PUBLIC 35.36.37.20 35.36.37.20 netmask
255.255.255.255
ip nat inside source list SOURCE pool PUBLIC
overload
ip classless
ip route 0.0.0.0 0.0.0.0 205.25.36.254
!
permit 192.168.0.0 0.0.0.255
!
no cdp run
!
line con 0
line vty 0 4
login
!
End

Commandes utiles commutateur frontal - Montpellier 1st Floor
MtpSwitchFrontal#show cdp neighbors

MtpSwitchFrontal2E
Por 1 129 S 2950 Fas 0/11
MtpSwitchFrontal2E
Por 1 129 S 2950 Fas 0/10
MtpSwitchFrontal2E
Por 1 129 S 2950 Por 1
MtpSwitchFrontal#show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/8, Fa0/9, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/24
10 Direction active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
MtpSwitchFrontal#sh spanning-tree summary

Switch is in pvst mode
Root bridge for:
Extended system ID is enabled
Portfast Default is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is disabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active

---------------------- -------- --------- -------- ---------- ----------
VLAN0001 0 0 0 7 7
VLAN0010 0 0 0 7 7
VLAN0020 0 0 0 7 7
VLAN0030 0 0 0 7 7
---------------------- -------- --------- -------- ---------- ----------

4 vlans 0 0 0 28 28
MtpSwitchFrontal#show vtp status

VTP Version : 2
MD5 digest : 0x6C 0x41 0xD4 0xB3 0xA2 0x6F 0x44 0xFF

MtpSwitchFrontal#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Po1 on 802.1q trunking 1
Port Vlans allowed on trunk

Fa0/1 1-1005
Fa0/2 1-1005
Fa0/3 1-1005
Fa0/10 1-1005
Fa0/11 1-1005
Fa0/23 1-1005
Po1 1-1005
Port Vlans allowed and active in management domain

Fa0/1 1,10,20,30
Fa0/2 1,10,20,30
Fa0/3 1,10,20,30
Fa0/10 1,10,20,30
Fa0/11 1,10,20,30
Fa0/23 1,10,20,30
Po1 1,10,20,30
Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1,10,20,30
Fa0/2 1,10,20,30
Fa0/3 1,10,20,30
Fa0/10 1,10,20,30
Fa0/11 1,10,20,30
Fa0/23 1,10,20,30
Po1 1,10,20,30

Commandes utiles commutateur 1 - Montpellier 1st Floor
MtpSwitch1#show cdp neighbors

MtpSwitchFrontal
Fas 0/1 165 S 2950 Fas 0/1
MtpSwitch1#show vtp status

VTP Version : 2
MD5 digest : 0xF2 0x00 0x43 0x19 0xBB 0x26 0x31 0x3D
MtpSwitch1#show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23
10 Direction active
MtpSwitch1#sh interfaces trunk


Fa0/1 1-1005
Fa0/24 1-1005

Fa0/1 1,10,20,30
Fa0/24 1,10,20,30

Fa0/1 1,10,20,30
Fa0/24 1,10,20,30

MtpSwitch2>show cdp neighbors

MtpSwitchFrontal
Fas 0/1 154 S 2950 Fas 0/2
MtpSwitch2>show vtp status

VTP Version : 2
MtpSwitch2>show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/23
10 Direction active Fa0/2
MtpSwitch2>show interface trunk


Fa0/1 1-1005
Fa0/22 1-1005
Fa0/24 1-1005

Fa0/1 1,10,20,30
Fa0/22 1,10,20,30
Fa0/24 1,10,20,30

Fa0/1 none
Fa0/22 1,10,20,30
Fa0/24 1,10,20,30

MtpSwitch3>show cdp neighbors

MtpSwitchFrontal
Fas 0/1 154 S 2950 Fas 0/3
MtpSwitch3>show vtp status

VTP Version : 2
MtpSwitch3>show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/24
10 Direction active
20 Comptabilite active Fa0/2
MtpSwitch3>show interface trunk


Fa0/1 1-1005
Fa0/23 1-1005

Fa0/1 1,10,20,30
Fa0/23 1,10,20,30

Fa0/1 1,10,20,30
Fa0/23 none

Commandes utiles commutateur frontal - Montpellier 2nd Floor
MtpSwitchFrontal2E>show cdp neighbors

MtpSwitch32E
Fas 0/3 148 S 2950 Fas 0/1
MtpSwitch22E
Fas 0/2 148 S 2950 Fas 0/1
MtpSwitch12E
Fas 0/1 148 S 2950 Fas 0/1
MtpSwitchFrontal
Por 1 148 S 2950 Fas 0/10
MtpSwitchFrontal
Por 1 148 S 2950 Fas 0/11
MtpSwitchFrontal
Por 1 148 S 2950 Por 1
MtpSwitchFrontal2E>show vtp status

VTP Version : 2
MtpSwitchFrontal2E>show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/9, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
10 Direction active Fa0/4
MtpSwitchFrontal2E>show interface trunk

Fa0/1 auto n-802.1q trunking 1
Po1 on 802.1q trunking 1

Fa0/1 1-1005
Fa0/2 1-1005
Fa0/3 1-1005
Fa0/10 1-1005
Fa0/11 1-1005
Po1 1-1005

Fa0/1 1,10,20,30
Fa0/2 1,10,20,30
Fa0/3 1,10,20,30
Fa0/10 1,10,20,30
Fa0/11 1,10,20,30
Po1 1,10,20,30

Fa0/1 1,10,20,30
Fa0/2 1,10,20,30
Fa0/3 1,10,20,30
Fa0/10 1,10,20,30
Fa0/11 1,10,20,30
Po1 1,10,20,30

Commandes utiles commutateur 1 - Montpellier 2nd Floor
MtpSwitch12E>show cdp neighbors

MtpSwitchFrontal2E
Fas 0/1 166 S 2950 Fas 0/1
MtpSwitch22E
Fas 0/24 165 S 2950 Fas 0/24

VTP Version : 2
MtpSwitch12E>show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23
10 Direction active
30 Commercial active Fa0/2
MtpSwitch12E>show interface trunk


Fa0/1 1-1005
Fa0/24 1-1005

Fa0/1 1,10,20,30
Fa0/24 1,10,20,30

Fa0/1 1,10,20,30
Fa0/24 none


MtpSwitch32E
Fas 0/22 130 S 2950 Fas 0/23
MtpSwitch12E
Fas 0/24 129 S 2950 Fas 0/24
MtpSwitchFrontal2E
Fas 0/1 131 S 2950 Fas 0/2

VTP Version : 2

---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/23
10 Direction active


Fa0/1 1-1005
Fa0/22 1-1005
Fa0/24 1-1005

Fa0/1 1,10,20,30
Fa0/22 1,10,20,30
Fa0/24 1,10,20,30

Fa0/1 1,10,20,30
Fa0/22 1,10,20,30
Fa0/24 1,10,20,30


MtpSwitch22E
Fas 0/23 163 S 2950 Fas 0/22
MtpSwitchFrontal2E
Fas 0/1 164 S 2950 Fas 0/3

VTP Version : 2

---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/24
10 Direction active


Fa0/1 1-1005
Fa0/23 1-1005

Fa0/1 1,10,20,30
Fa0/23 1,10,20,30

Fa0/1 1,10,20,30
Fa0/23 none

Commandes utiles commutateur DMZ - Montpellier
DMZ>show cdp neighbors

DMZ>show vtp status

VTP Version : 2
VTP Domain Name :
MD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72 0xA0 0x3A
DMZ>show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
DMZ>show interface trunk

DMZ>

Commandes utiles routeur/firewall - Montpellier 1st Floor
Montpellier#show ip protocols
Routing Protocol is "ospf 10"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 199.118.22.250
Number of areas in this router is 3. 3 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
10.34.0.0 0.0.255.255 area 34
10.100.100.0 0.0.0.255 area 0
10.200.0.0 0.0.0.255 area 200
Passive Interface(s):
Serial0/0/0.100
Routing Information Sources:
Gateway Distance Last Update
10.100.100.18 110 00:25:49
10.100.100.9 110 00:25:49
Distance: (default is 110)
Montpellier#show ip route

O IA 10.13.1.0/24 [110/782] via 10.100.100.18, 01:32:39, Serial0/0/0.113
O IA 10.75.1.0/24 [110/782] via 10.100.100.9, 01:32:39, Serial0/0/0.175
O 10.100.100.4/30 [110/1562] via 10.100.100.18, 01:32:39, Serial0/0/0.113
[110/1562] via 10.100.100.9, 01:32:39, Serial0/0/0.175
O IA 10.113.1.0/24 [110/782] via 10.100.100.18, 01:32:39, Serial0/0/0.113





permit ip 10.75.0.0 0.0.255.255 any
permit ip 10.34.0.0 0.0.255.255 any
permit ip 10.13.0.0 0.0.255.255 any
permit ip 10.113.0.0 0.0.255.255 any
deny ip any any
permit ip any any
permit udp host 10.200.0.222 eq domain any
deny ip any any
deny ip any any

Commandes utiles routeur -Paris
Paris#show ip protocols
Router ID 10.100.100.9
Maximum path: 4
10.75.0.0 0.0.255.255 area 75
10.100.100.0 0.0.0.255 area 0
10.100.100.10 110 00:03:48
10.100.100.6 110 00:03:48
Paris#sh ip route

O IA 10.13.1.0/24 [110/782] via 10.100.100.6, 01:05:31, Serial0/0/0.113
O IA 10.34.1.0/24 [110/782] via 10.100.100.10, 01:05:31, Serial0/0/0.134
O IA 10.34.2.0/24 [110/782] via 10.100.100.10, 01:05:31, Serial0/0/0.134
O IA 10.34.3.0/24 [110/782] via 10.100.100.10, 01:05:31, Serial0/0/0.134
O 10.100.100.16/30 [110/1562] via 10.100.100.6, 01:05:31, Serial0/0/0.113
[110/1562] via 10.100.100.10, 01:05:31, Serial0/0/0.134
O IA 10.113.1.0/24 [110/782] via 10.100.100.6, 01:05:31, Serial0/0/0.113
O IA 10.200.0.0/24 [110/782] via 10.100.100.10, 01:05:31, Serial0/0/0.134
S* 0.0.0.0/0 [1/0] via 10.100.100.10

Commandes utiles routeur -Marseille
Marseille#show ip protocols
Router ID 10.113.1.254
Maximum path: 4
10.13.0.0 0.0.255.255 area 13
10.113.0.0 0.0.255.255 area 13
10.100.100.0 0.0.0.255 area 0
10.100.100.17 110 00:03:14
10.100.100.5 110 00:03:14
Marseille#show ip route

O IA 10.34.1.0/24 [110/782] via 10.100.100.17, 01:07:36, Serial0/0/0.134
O IA 10.34.2.0/24 [110/782] via 10.100.100.17, 01:07:36, Serial0/0/0.134
O IA 10.34.3.0/24 [110/782] via 10.100.100.17, 01:07:36, Serial0/0/0.134
O IA 10.75.1.0/24 [110/782] via 10.100.100.5, 01:07:46, Serial0/0/0.175
O 10.100.100.8/30 [110/1562] via 10.100.100.5, 01:07:46, Serial0/0/0.175
[110/1562] via 10.100.100.17, 01:07:36, Serial0/0/0.134
O IA 10.200.0.0/24 [110/782] via 10.100.100.17, 01:07:36, Serial0/0/0.134
S* 0.0.0.0/0 [1/0] via 10.100.100.17

Tables de routage des routeurs du Backbone Internet et des Internautes
MyBox#2>sh ip route

S* 0.0.0.0/0 [1/0] via 205.25.36.254
MyBox#2>
MyBox#1>sh ip route

S* 0.0.0.0/0 [1/0] via 205.25.36.254
MyBox#1>
AlphaInternaute>sh ip route


O E2 23.12.12.0 [110/20] via 192.168.0.13, 01:37:25, Serial0/0/0
S 35.36.37.19 [1/0] via 205.25.36.5
S 35.36.37.20 [1/0] via 205.25.36.6
O E2 45.19.20.0 [110/20] via 192.168.0.13, 01:37:25, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.13, 01:38:04, Serial0/0/0
O 192.168.0.8/30 [110/128] via 192.168.0.13, 01:38:04, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.13, 01:38:04, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.13, 01:38:04, Serial0/0/0
AlphaInternaute>

AlphaMontpellier>sh ip route


O E2 23.12.12.0 [110/20] via 192.168.0.17, 01:37:53, Serial0/0/0
O E2 35.36.37.19 [110/20] via 192.168.0.17, 01:38:33, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.17, 01:38:33, Serial0/0/0
O E2 45.19.20.0 [110/20] via 192.168.0.17, 01:37:53, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.17, 01:38:33, Serial0/0/0
O 192.168.0.8/30 [110/128] via 192.168.0.17, 01:38:33, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.17, 01:38:33, Serial0/0/0
S 199.118.22.0/24 [1/0] via 98.12.12.5
AlphaMontpellier>
Alpha63000Beta65000>sh ip route


B 23.12.12.0 [20/0] via 205.26.26.6, 01:39:27
O E2 35.36.37.19 [110/20] via 192.168.0.9, 01:39:01, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.9, 01:39:01, Serial0/0/0
O E2 45.19.20.0 [110/20] via 192.168.0.9, 01:38:21, Serial0/0/0
O 192.168.0.4/30 [110/128] via 192.168.0.9, 01:39:01, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.9, 01:39:01, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.9, 01:39:01, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.9, 01:39:01, Serial0/0/0
Alpha63000Beta65000>

AlphaBackbone>sh ip route


O E2 23.12.12.0 [110/20] via 192.168.0.10, 01:38:46, Serial0/0/1
O E2 35.36.37.19 [110/20] via 192.168.0.14, 01:39:28, Serial0/2/0
O E2 35.36.37.20 [110/20] via 192.168.0.14, 01:39:28, Serial0/2/0
O E2 45.19.20.0 [110/20] via 192.168.0.6, 01:38:46, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.18, 01:39:28, Serial0/2/1
AlphaBackbone>
Alpha63000Alpha65400>sh ip route


O E2 23.12.12.0 [110/20] via 192.168.0.5, 01:39:12, Serial0/0/0
O E2 35.36.37.19 [110/20] via 192.168.0.5, 01:39:51, Serial0/0/0
O E2 35.36.37.20 [110/20] via 192.168.0.5, 01:39:51, Serial0/0/0
B 45.19.20.0 [20/0] via 75.19.19.6, 01:40:17
O 192.168.0.8/30 [110/128] via 192.168.0.5, 01:39:51, Serial0/0/0
O 192.168.0.12/30 [110/128] via 192.168.0.5, 01:39:51, Serial0/0/0
O 192.168.0.16/30 [110/128] via 192.168.0.5, 01:39:51, Serial0/0/0
O E2 199.118.22.0/24 [110/20] via 192.168.0.5, 01:39:51, Serial0/0/0
Alpha63000Alpha65400>

AlphaAS65400>sh ip route


B 23.12.12.0 [20/20] via 75.19.19.5, 01:42:04
B 35.36.37.19 [20/20] via 75.19.19.5, 01:42:04
B 35.36.37.20 [20/20] via 75.19.19.5, 01:42:04
B 192.168.0.4 [20/20] via 75.19.19.5, 01:42:04
B 199.118.22.0/24 [20/20] via 75.19.19.5, 01:42:04
AlphaAS65400>
BetaAS65000>sh ip route


B 35.36.37.19 [20/20] via 205.26.26.5, 01:42:35
B 35.36.37.20 [20/20] via 205.26.26.5, 01:42:35
B 45.19.20.0 [20/20] via 205.26.26.5, 01:42:35
B 192.168.0.8 [20/20] via 205.26.26.5, 01:42:35
B 199.118.22.0/24 [20/20] via 205.26.26.5, 01:42:35
BetaAS65000>

Simulation Entreprise

Transféré par

Informations du documentcliquez pour développer les informations du document

Droits d'auteur :

Formats disponibles

Simulation Entreprise

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Simulation Entreprise

Transféré par

Droits d'auteur :

Formats disponibles

Simulation de Rseau

Notre entreprise, CiscoGum, ngociant en boules de gomme, va se dvelopper en plusieurs tapes.

Ces tapes saccompagneront dun accroissement de lutilisation de loutil informatique, et de la mise en

La plan du dploiement dune phase sera toujours le mme :

Simulation de Rseau Informatique d Entreprise Page 3

PHASE I MISE EN PLACE DE LARCHITECTURE RESEAU LOCAL DE MONTPELLIER .......................................... 14

Prsentation de la Phase .............................................................................................................................. 14

PHASE II MISE EN PLACE DE LINTERCONNEXION AVEC PARIS ..................................................................... 44

Prsentation de la Phase .............................................................................................................................. 44

Simulation de Rseau Informatique d Entreprise Page 5

PHASE III MISE EN PLACE DE LINTERCONNEXION AVEC MARSEILLE ............................................................ 64

Prsentation de la phase .............................................................................................................................. 65

PHASE IV SIMULATION D INTERNAUTES ..................................................................................................... 87

Prsentation de la phase .............................................................................................................................. 87

Simulation de Rseau Informatique d Entreprise Page 6

Prsentation de la Phase ............................................................................................................................ 128

Simulation de Rseau Informatique d Entreprise Page 7

EPILOGUE ..................................................................................................................................................... 193

ANNEXES ET GLOSSAIRE ............................................................................................................................... 195

DEFINITIONS DE NOTIONS OU CONCEPTS EVOQUES DANS LA SIMULATION ........................................................................ 195

Simulation de Rseau Informatique d Entreprise Page 8

Simulation de Rseau Informatique d Entreprise Page 9

Simulation de Rseau Informatique d Entreprise Page 10

Simulation de Rseau Informatique d Entreprise Page 11

Alors pourquoi ce manuel ?

Jespre que vous allez bien vous amuser quand mme .

Simulation de Rseau Informatique d Entreprise Page 12

Son sige social est situ Montpellier, France.

Quatre personnes travaillent dans ce local :

Deux commerciaux en charge de la prospection de distributeurs pour la commercialisation de nos

La secrtaire possde galement un logiciel de comptabilit.

La cration de services spcialiss (service comptable, service commerciale, service informatique)

Simulation de Rseau Informatique d Entreprise Page 13

La mise en place de linfrastructure doit rpondre aux besoins suivants :

Infrastructure du rseau local redondante

Simulation de Rseau Informatique d Entreprise Page 14

Les besoins en nombre de commutateurs sont estims 4 par tage, soit :

A - Connexion des commutateurs

Quelques remarques sur les types de cbles

Schma de cblage Ethernet 4 paires cuivre, Connecteurs RJ45 (8 broches)

Simulation de Rseau Informatique d Entreprise Page 15

Quelques remarques sur la documentation

Simulation de Rseau Informatique d Entreprise Page 16

Noeud Nom dhote

Tableau des liaisons - Phase I tape 1 - brassage

Nud source Port local Port distant Nud distant Fonction

Simulation de Rseau Informatique d Entreprise Page 17

Lancer Packet Tracer. Un projet vierge saffiche.

Selectionner le type de liaison Connections et relier lensemble de vos commutateurs en fonction

Packet Tracer Phase I tape 1

Simulation de Rseau Informatique d Entreprise Page 18

Configuration des liens trunk (lien 802.1q chez Cisco)

Simulation de Rseau Informatique d Entreprise Page 19

La vrification se fait laide de la commande suivante (exemple pour une interface) :

MtpSwitch2#sh interfaces fa0/24 switchport

MtpSwitchFrontal>sh cdp neighbors

Simulation de Rseau Informatique d Entreprise Page 20

Simulation de Rseau Informatique d Entreprise Page 21