Quand le routeur reçoit un paquet sur une interface, il recherche dans sa table de routage l’adresse du réseau destination pour sélectionner l’interface de sortie.
Par défaut le routeur connaît les adresses IP des réseaux directement connectés à ses interfaces.
La commande : sh ip route permet de vérifier les protocoles de routage actifs.
1. Se connecter au routeur 1 en mode Telnet.
2. Utiliser la commande PING @ip depuis les routeurs pour vérifier les accès aux différents réseaux.
3. Depuis les postes de travail utiliser la commande PING (MS-DOS) pour vérifier les accès aux différents réseaux.
Si la route pour atteindre le brin 3 n'est pas déclarée sur le routeur 1, les PC du brin1 n'auront pas accès à ceux du brin 3.
1. Le routage statique
Si le réseau destination est directement connecté au routeur le transfert des paquets à destination de ce réseau sera implicitement assuré.
Si le réseau destination n’est pas directement connecté au routeur il faut alors définir la route à suivre ( prochain routeur ) pour joindre ce réseau.
Cette information ( @réseau destination - @ du prochain routeur ) est mémorisée dans la table de routage.
Cette table de routage peut être renseignée par un opérateur (Routage statique ) ou par un autre routeur grâce à un protocole de routage (RIP -IGRP-...) qui assure les échanges des tables de routage entre routeurs voisins.
Exemple :
ip route @Ip réseau-destination masque* @Ip-prochain-routeur
ip route 193.55.56.0 255.255.255.0 194.144.120.12
Dans notre exemple :
ip route @IPb3 255.255.255.0 @IPr2b2
masque* : les valeurs positionnées à 0 dans le masque ne sont pas prises en compte dans l’adresse réseau destination pour le choix de la route.
Conséquence :
Définition d’une route par défaut
ip route 0.0.0.0 0.0.0.0 194.144.120.12
Tous le paquets à destination de réseaux non connectés directement au routeur seront transmis à l’interface d’adresse 194.144.120.12
Ajouter les routes statiques pour permettre les échanges entre tous les postes de travail connectés aux différents segments du réseau.
Pour vérifier le routage utiliser les commandes : ping, tftp ou ftp (ms-dos)
Remarque :
N’oublier pas de configurer les ‘’default gateway’’ sur chaque poste de travail).
2. Le protocole RIP
Les routeurs peuvent aussi utiliser des protocoles de routage pour mettre à jour régulièrement leur table de routage.
Le protocole RIP ’’Routing Information Protocol ’’ : chaque routeur transmet à son voisin par BROADCAST sa table de routage toutes les 30’’.
Réaliser la mise jour des tables de routage avec le protocole RIP
1 - Vérifier le routage actif : sh ip route 2 - Supprimer les routes statiques : no ip route @ IP_réseau masque 3 - Activer sur chaque routeur le protocole RIP : router RIP 4 - Préciser les adresses IP des réseaux connectés au routeur et à diffuser : network @IP_réseau 5 - Vérifier les routes connues par le routeur : sh ip route 6 - Pour désactiver le protocole RIP : no router RIP 7 - Tester les échanges entre les postes de travail.
II. Le contrôle des accès (Filtres) : access-list
Les routeurs CISCO possèdent une fonction de filtrage des paquets. Ces filtres sont définis pour chaque interface en entrée et/ou en sortie. Pour définir un filtre en entrée sur l’interface ethernet 1 :
1.
Ajouter la commande : ip access-group 101 in dans la définition des caractéristiques de l’interface.
Exemple :
!
interface Ethernet1
description reseau eleve
ip address 194.50.149.50 255.255.255.0
ip access-group 101 in
no mop enabled
!
2.
Définir le filtre associé à l’interface par son N°:
access-list 101 permit ip host 198.54.153.164 host 195.51.150.125
Les ‘’acces-list’’ standards sont numérotés de 0 à 99 (filtre sur les adresses Ip).
Les ‘’access-list’’ étendus sont numérotés de 100 à 199 (filtre sur les applications).
Par défaut les paquets sont bloqués, sauf si une commande (acces-list) autorise le passage du paquet.
Les ‘’access-list ‘’ sont mémorisés et scrutés par ordre d’écriture ; le routeur arrête la lecture des ’’access-list’’ dès qu’une condition est vérifiée.
Conséquence :
Dans un fichier de programmation (Conf net), il est souhaitable de supprimer tous les « access-list » précédemment définis pour une interface avant de définir les nouveaux.
Exemple :
!
no access-list 101
access-list 101 deny ip any 195.51.150.0 0.0.0.255
access-list 101 deny ip any 196.52.151.0 0.0.0.255
access-list 101 deny ip any 197.53.152.0 0.0.0.255
access-list 101 deny ip any 198.54.153.0 0.0.0.255
access-list 101 permit ip any any
!
III. La fonction NAT « Network Address Translation »
Cette fonction permet de translater les adresses IP lors du passage des paquets à travers le routeur. Elle est utilisée pour étendre l’adressage IP d’un réseau interne, sans tenir compte des adresses officielles d’accès à Internet.
La notion de domaine interne et externe est importante, comme pour les access-lists, puisqu'elle définit la translation pour tout paquet "sortant" du réseau, mais également pour tout paquet "entrant".
Pour contrôler les translations les routeurs CISCO utilisent :
- « Inside local address » : adresse IP d’un système du réseau interne.
- « Inside global Address » : Adresse IP ( allouée par le NIC – ou le fournisseur d’accès ) qui représente une adresse IP du réseau interne vue du monde extérieur. (Outside).
- « Outside local address » : Adresse IP d’un système du monde extérieur utilisée par les systèmes du réseau interne.
- « Outside global address » : Adresse IP d’un système du monde extérieur ( routable) définie par son propriétaire.
Définition des interfaces « Inside » et « Outside » :
interface Ethernet 0
description acces internet
ip address 193.49.148.160 255.255.255.0
ip access-group 150 in
ip nat outside
!
interface Ethernet 1
description reseau interne
ip address 192.168.10.10 255.255.255.0
ip access-group 160 in
ip nat inside
Translation statique utilisée pour permettre les accès aux serveurs :
ip nat translation timeout 43200
ip nat inside source static @IPInterne @IP-Translatée
ip nat inside source static 192.168.10.100 193.49.148.60
Translation dynamique :
ip nat translation timeout 43200
!défition de la zone d’adresses IP utilisables
ip nat pool SALLE-1 193.49.148.70 193.49.148.80 netmask 255.255.255.0
ip nat inside source list 1 pool SALLE-1
!
!Définition des stations autorisées à effectuer du NAT
!
no access-list 1
access-list 1 permit 192.168.10.0 0.0.0.255
Pour configurer les réponses au requêtes ARP pour les adresses IP translatées :
arp 193.49.148.60 00e0.1466.1112 ARPA alias
arp 193.49.148.70 00e0.1466.1112 ARPA alias
arp 193.49.148.71 00e0.1466.1112 ARPA alias
arp 193.49.148.72 00e0.1466.1112 ARPA alias