Tnhitech Cisco

CISCO
Protocoles, concepts de routage et scurit - CCNA 640-802
AndrVAUCAMPS
Rsum
Ce livre sur la prparation la certification CCNA couvre le second module du cursus CCNA Exploration "Protocoles et concepts de routage" et la partie du module 4 traitant de la scurit. Le cursus complet comporte 4 modules et aboutit la certification CISCO CCNA 640-802. Ce livre sera galement utile aux candidats ayant opt pour le cursus CCNA Discovery et une certification en deux tapes avec les examens ICND1 (640-822) et ICND2 (640-816). Le premier module du cursus est couvert par le livre CISCO : Notions de base sur les rseaux - 1er module de prparation la certification CCNA 640-802 dans la mme collection aux Editions ENI. Pour vous aider vous prparer efficacement, le livre couvre le programme officiel, tant dun point de vue thorique que dun point de vue pratique. Il a t rdig en franais (il ne sagit pas dune traduction) par un formateur professionnel reconnu. Ainsi, les savoir-faire pdagogique et technique de lauteur conduisent une approche claire et visuelle, dun excellent niveau technique. Chapitre aprs chapitre, vous pourrez valider vos acquis thoriques, laide de questions-rponses (159 au total) mettant en exergue aussi bien les lments fondamentaux que les caractristiques spcifiques aux concepts abords. Certains chapitres sachvent par des travaux pratiques ou ateliers (19 au total) avec lesquels vous aurez les moyens de mesurer votre autonomie. la matrise des concepts, sajoute une prparation spcifique la certification : vous pourrez accder gratuitement 1 examen blanc en ligne, destin vous entraner dans des conditions proches de celles de lpreuve. L'auteur met galement disposition du lecteur un certain nombre de ressources en tlchargement sur le site www.editions-eni.fr (captures ralises avec l'analyseur de protocole Wireshark, fichiers de configuration, machine virtuelle de test). Les chapitres du livre : Introduction - Protocoles et concepts de routage Les routeurs Tches de configuration des routeurs Gestion de la plate-forme logicielle CISCO IOS Le routage statique Protocoles de routage type vecteur de distance RIPv1 Abandon des classes dadresses - Protocoles de routage type vecteur de distance RIPv2 Protocole de routage propritaire EIGRP Protocole de routage type tats de liens OSPF Gestion de trafic par liste daccs (ACL) Administration et scurit Ateliers et exercices corrigs Annexes
L'auteur
Ancien Responsable de Formation en Centre AFPA, Andr VAUCAMPS enseigne aujourd'hui dans les sections de Techniciens Suprieurs en Rseaux Informatiques et Tlcommunications d'Entreprise. Depuis de nombreuses annes il prpare des candidats aux examens CISCO avec toujours, au-del de l'obtention de la certification, le souci de leur employabilit.
Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars 1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI Ce livre numrique intgre plusieurs mesures de protection dont un marquage li votre identifiant visible sur les principales images.
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
LejourdemonexamenCCNA
SelonM.PhamHuuduc,leconsultantformateurquinousaprpars,lexamendevraitcomprendre6080questions, moins si lexamen comporte plusieurs simulateurs (galement dnomms labs dans ce document). Lexamen comporteauminimumunsimulateur,maiscelapeutallerjusququatreoucinq.Onnepeutplusrevenirenarriresur lesquestions. Noussommesquatreformateursnousprsentercematindu9juillet2004aucentredetestPEARSONParis.La personnequinousreoitnousmetengardeCestlexamenleplusdurquejeconnaissecarilestenanglaisetvous tes en temps limit, sans la possibilit de revenir en arrire, sans documents, avec des labs... et il faut obtenir au minimum849pointssur1000 .Nousvoilprvenus!Ilfautdisposerdune pice didentit.Onnousfaitsignerun certain nombre de documents. Le papier brouillon est prohib et on remet chaque participant une ardoise type Velldaetunfeutre.Enfin,onnousamneensalledexamen.Nouschoisissonsnosplaces. Lorganisateurintervientnouveau:Lexamendurenormalement90minutesmaisvousdisposezdunbonusde30 minutesparcequilestenanglaisplus5minutespourrpondreauquestionnairededpart.Puisilnousassistepour rpondre ce questionnaire ainsi quaux quelques questions dessai qui prcdent le vritable examen. Le questionnaire est tonnant car Cisco nous demande de nous situer dans lchelle dbutant expert sur diffrents aspectsdumtier.Querpondre?Sinoustionsdesdbutants,nousneserionspasl!Maisquellespourraienttre lesquestionsposesunexpert!QueferaCiscodecesrponses? Vientensuitelexamenproprementdit.Lorganisateurdisparatetnousnelereverronsplus,noussommesseulsdans lasallemaispeuttredisposaitelledunecamracache.Detoutemanire,cestchacunpoursoi.Dansnotrecas, lexamencomportait48questionsdontdeuxsimulateurs.Jamaispendantlecoursdelexamen,jenaieulesentiment derussircoupsr.Contrairementcequemesstagiairesquilavaientpassmavaientaffirm,letempsnapas constitu un problme et au fur et mesure que javanais, je recalculais mentalement le temps qui me restait par question, tant et si bien qu un moment, je dcidais de ralentir et de consacrer plus de rflexion aux questions. Et mme ainsi, jai encore termin avec 10 minutes davance. Quand enfin on clique pour valider la dernire rponse, immdiatementuneimprimantesemetcrpiterdanslefonddelasalle:cestlersultat!JemeprcipiteOUF,jai obtenu947sur1000maiscetteexprienceatloccasionpourmoideredcouvrirlestressdunexamen,unecure dejouvenceenquelquesorte!Surlestroispersonnesquimaccompagnaient,seuleunelobtientgalement!Fichtre!
- 1-
Lemploidanslesecteurinformatique
SelonlacommissionSocialeemploiformationduSyntecInformatique,ChambreprofessionnelledesSSII,desditeurs de logiciel et des socits de conseil en technologie, le secteur de linformatique est, depuis 2005, en croissance continue de 6 7 % par an. Ce taux, suprieur la croissance nationale, se traduit par un nombre important de recrutementstoutesexpriencesconfondues.Lacommissioncomptabiliseenviron50000recrutementsparanetprs de 55 000, en 2007, pour une cration nette de 20 000 emplois. Le tiers de ces recrutements concernent les dbutants. Les jeunes diplms nont pas trop de souci se faire dautant plus que le chmage de la population informaticiensapprocheles2%(cechiffrefaitpolmique,dautressourcesannoncentdeschiffrespluslevs,par exemple, 3,8 % selon lAPEC) et ne cesse de diminuer depuis plus de deux ans. Invitablement, 2008 marque un tassement,lacrisefinancireestpasseparl,avecunecrationnettedemploisquiselimiterait17000ou18000, maiscombiendesecteurspeuventseprvaloirdecrationnettedemplois?Desonct,CISCOprvoit3millionsde postes pourvoir dici 2012 dans le domaine Rseau et pour lensemble de la plante. Le contexte social de la brancherestedoncparticulirementdynamiqueetattractif:91%dessalarissontrecrutsenCDI,plusde90%des salaris sont employs temps plein. La branche emploie une proportion trs leve de cadres (62 %) contre 8 % pourlensembledelapopulationactive.
- 1-
LacadmieCISCO,lescertificationsCISCO
1.Vuedensemble
Laformationresteleplussrmoyendaccderlemploietladtentiondundiplmeouduntitreprofessionnelest indispensable. Toujours selon le SYNTEC, plus de 90 % des personnes travaillant dans le secteur informatique disposent dun niveau suprieur ou gal au BAC+2. Ces dernires annes ont vu merger des certifications professionnellesproposespardegrandsditeursoudegrandsconstructeurs,lesplusconnuessontcertainement cellesproposesparCISCOdanslemondedesrseauxetparMicrosoft(MCP: MicrosoftCertifiedProfessional)dansle mondedessystmes. AjoutersursonCVunecertificationprofessionnelleassurelefuturemployeurdunevritableexpertisetechniqueet augmentelacrdibilitprofessionnelledesondtenteur. CISCO,leaderdansledomainedesrseauxetdelInternet,avaitprofondmentrvissonoffredecertificationen 2007 en ajoutant un niveau dentre supplmentaire CCENT, ce qui portait quatre le nombre de niveaux de sa nouvelle hirarchie de certification. Lanne 2009 a vu se complexifier encore davantage loffre de certification en ajoutantausommetdelapyramideleniveauCCA(CiscoCertifiedArchitect)ouenaccolantauxcertificationsexistantes des certifications de designers (la lettre D des acronymes CCDA au niveau Associate, CCDP au niveau Professionnel). Ne nous laissons pas dconcentrer par lactivit (ou lagitation ?) de CISCO dans le domaine de lingnieriedeformation.LepinacleCCAdelacertification(cestlemotemployparCISCO)tientprobablementplus deloprationdeprestigequedunerellencessitpratique:
La certification CCENT peut constituer un objectif elle seule en offrant la possibilit doccuper le premier niveau demploidanslesecteurinformatique,oupermetdecrerunjalonnementintermdiairedanslecursusquimnela certificationCCNA.Siltudiantviselemploi,lacertificationCCENTattestequesontitulairematriselescomptenceset connaissancesattenduespourconfigurer,exploiteretmaintenirlerseaudunepetiteentrepriseoulerseaudune agence dentreprise. Il sagit du premier niveau de qualification permettant la tenue demplois de type support en informatique et rseau, tel lemploi de Technicien dassistance. Ltudiant accde la certification CCENT en russissantlexamenICND1640822.SiltudiantviselacertificationCCNA,ltapedelacertificationCCENTnestque facultative.Ilestpossiblederactualisercesinformationssurlesitewww.cisco.com/go/ccent. La certification CCNA (Cisco Certified Network Associate) est videmment un peu plus ambitieuse et atteste que son titulaire matrise les comptences et connaissances attendues pour installer, configurer, exploiter et dpanner des
ENI Editions - All rigths reserved - Noba Mafiza - 1-
rseaux de taille intermdiaire mixant routeurs et commutateurs et incluant des portions sans fil. Le spectre du nouveau contenu CCNA est plus large, insiste davantage sur des notions qui ont pris de limportance ces dernires annes (la scurit) et intgre de nouvelles technologies (sans fil). Des comptences associes la notion de performancedurseauontgalementtajoutes.Lesprotocolessuivantssonttudis(listenonexhaustive):IP, EIGRP (Enhanced Interior Gateway Routing Protocol), SLIP (Serial Line Interface Protocol), Frame Relay, RIP V2 (Routing Information Protocol Version 2), VLANs (Virtual LANs), Ethernet, ACLs (Access Control List). Ltudiant accde la certification CCNA soit en russissant les deux examens ICND1 640822 puis ICND2 640816, soit en russissant lexamencompositeCCNA640802.Ilestpossiblederactualisercesinformationssurlesitewww.cisco.com/go/ccna.
2.LesparcoursmenantlacertificationCCNA
Selonsesacquis,sonpassscolaireouprofessionnel,ltudiantquisouhaiteobtenirlacertificationCCNApeutchoisir sonparcoursparmitroiscursuspossiblescomposspartirdesdeuxcontenusCCNADiscoveryetCCNAExploration:
Le cursus Discovery est moins exigeant que le cursus Exploration, ltudiant doit disposer de la comptence Utilisation de base dun PC .Ce cursus peut tre suivi de faon indpendante ou incorpor un cours ou des tudespluslarges. Le cursus Exploration exige de ltudiant de bonnes comptences danalyse et de rsolution de problmes. Typiquement, il sadresse des personnes disposant dun niveau BAC. Ce peut tre de jeunes tudiants dans le domaine informatique ou hors domaine puisque, selon le SYNTEC, la branche professionnelle est galement la recherchedeprofilsquinesontpastechniquespriori.Cepeuttredespersonnesenreconversion,parexemplede jeunesdiplmsdanslimpasse parce que leur diplme concerne un secteur non pourvoyeur demploi.Cepeuttre des techniciens en reconversion, on pense notamment toutes les personnes qualifies dans le domaine des tlcommunicationsmaisdontlescomptencestypestlphoniesontenvoiedobsolescence.LecursusExploration peut tre intgr un programme de formation plus large menant un titre professionnel du ministre charg de lemploi TSSI (Technicien Suprieur de Support en Informatique), TSGRI (Technicien Suprieur Gestionnaire Exploitant de Ressources Informatiques) ou TSRIT (Technicien Suprieur en Rseaux Informatiques et Tlcommunications). Il peut galementfairelobjetdunprogrammedeformationcontinue,parexempledestindespublicsCIFouencontrats deprofessionnalisation. Sontconcerns:touslestudiantsengagsdansuncursusuniversitaireoudansunBTSdudomaineinformatique, tous les stagiaires de la formation professionnelle dans les titres TAI (TechniciendAssistance en Informatique),TRTE (Technicien Rseaux et Tlcommunications dEntreprise) (Niveau IV, privilgier le parcours Discovery), TSSI, TSGRI, TSRIT, enfin tous les stagiaires de la formation professionnelle engags dans les CQP (certificats de qualification professionnelle)ARE(AdministrateurdeRseauxdEntreprises)etASY(AdministrateurSystmesInformatiques)(Niveau II,doncsanshsitation,ilfautconseillerleparcoursExploration).Enfin,lesprofessionnelsdusecteur,djenposte, maisquiontbesoinderemettrejourleurscomptences,parexempleaveclarriveinluctabledIPv6.
3.Lescertificationsetlesemplois
Pourlemployeurlarecherchedunprofilrseauxinformatiques,laformationetlacertificationCISCOprsententde nombreuxavantages:
- 2-
Lescandidatscertifissontprqualifisetdisposentdecomptencesavancesdanslestechnologiesles plusrcentes. LoffredecertificationCISCOfournituncadresupportdudveloppementdecarriredesemploys. Lentreprisesecrdibilisevisvisdesesclients,cestuncritrelorsquilfautrpondredesappelsdoffres.
CertificationCCENT Comptencescertifies Installer,exploiteretdpanner lesrseauxcommutsetroutsde moinsde100postes. Tchesdelemploi Intitulsdelemploi Techniciendassistance dbutant. Techniciensupportdbutant.
Techniciencoordonnateurdu Support:Assistancetechnique, systmedinformation. traitementdesappelset Technicieninformatique diagnosticdesincidents. Installerunpetitrseausansfil. dbutant. Exploitation:utilisationdoutils Identifierlesmenacesdebase desurveillancerseau. surlascuritetlesmthodesde dfense. Interconnecterlerseau dautresrseaux(LANetWAN).
Configurer,installeret maintenirdesPC,desserveurset desbaiesdecblage. Optimisationdebasedurseau. Formerlesutilisateurs.
CertificationCCNA Comptencescertifies Installer,exploiteretdpanner lesrseauxcommutsdetaille moyenne. Tchesdelemploi Contribuerlaconception, installer,configureretmaintenir desrseauxcommutsetrouts detaillemoyenne(100500 postes). Intitulsdelemploi
Techniciendassistance spcialis. Technicienrseau. Mettreen uvreetdpanner Spcialisterseau. desprotocolesdiverspourgrer ladressage,raliserlquilibragede Identifierlesproblmesrseau. Administrateurrseau. chargesetlauthentification. Assisterlesutilisateurs(Help Techniciensupportspcialis. Mettreenplaceetdpannerla Desk)pourlesquestionsdetype connexionWANauFAI(Fournisseur matriel,logicieletrseau. Technicieneningnierie daccsInternet). rseau. Assurerlexploitationdurseau enlesurveillantlaidedoutilsde contrle.
- 3-
4.Optionsdexamendecertification
a.ExamenICND1
LexamenICND1(640822)estlundesdeuxexamensdequalificationpropossauxcandidatsquiontoptpourune certificationCCNAendeuxtapes.Cetexamenvaluelapprentissagecorrespondantauxdeuxpremiersmodulesde CCNADiscovery:
G
typesderseau,mdiasrseau principesdebaseduroutageetdelacommutation TCP/IPetOSI adressageIP technologieWANdebase configurationetexploitationdelIOSdesquipementsCISCO wirelessdebaseetconceptslislascurit configurationderseauxsimples.
Lescomptencessuivantessonttestespendantlexamen:
G
descriptiondufonctionnementdesrseauxdedonnes miseen uvredunpetitrseaucommut miseen uvreduplandadressageIPetdesservicesIPadaptsaubesoindurseaudunepetiteagence miseen uvredunpetitrseaurout

- 4-
argumentationetchoixdestchesadministrativesappropriesrequisespourunWLAN identification des menaces sur la scurit dun rseau et description des remdes prconiss les plus courants testdesliensWAN.
b.ExamenICND2
Lexamen ICND2 (640816) est le second examen de qualification propos aux candidats qui ont opt pour une certificationCCNAendeuxtapes.Cetexamenvaluelesapprentissagessuivants:
G
choix,interconnexion,configurationetdpannagedesquipementsrseauCisco extensionVLANderseauxcommuts dterminationderoutesIP gestiondutraficIPlaidedelistesdecontrledaccs liaisonspointpoint liaisonsFrameRelay configuration,testetdpannageOSPFetEIGRP configurationNATetDHCP configuration,testetdpannageRSTP,VTP,routageentreVLANdunpetitenvironnementcommut.
Lescomptencessuivantessonttestespendantlexamen:
G
configuration, test et dpannage dun commutateur dot de VLAN et assurant des communications inter commutateurs miseen uvreduplandadressageIPetdesservicesIPdanslecadredunrseaudetaillemoyenne configurationcouranteetdpannagedesquipementsCISCOetduroutage configuration,testetdpannageNATetACLdunrseaudetaillemoyenne testdesliensWAN.
c.ExamenCCNA
LexamenCCNA640802qualifielecandidatayantoptpourlacertificationCCNAenuneseuletape.Cetexamen value les apprentissages correspondant indiffremment lensemble du parcours Discovery ou du parcours Exploration. Lescomptencessuivantessonttestespendantlexamen:
G
descriptiondufonctionnementdunrseau configuration, test et dpannage dun commutateur dot de VLAN et assurant des communications inter commutateurs
- 5-
miseen uvreduplandadressageIPetdesservicesIPdanslecadredunrseaudetaillemoyenne configurationcouranteetdpannagedesquipementsCISCOetduroutage argumentationetchoixdestchesadministrativesappropriesrequisespourunWLAN identification des menaces sur la scurit dun rseau et description des remdes prconiss les plus courants configuration,testetdpannageNATetACLdunrseaudetaillemoyenne testdesliensWAN.
5.Procduresdobtentiondesremises(vouchers)
Cestlunedesrarescontraintes,hormisletravailfournir,quisimposechaquetudiant:lepassagedunexamen seffectue dans un centre indpendant quil faut bien rmunrer, et nest donc pas gratuit. CISCO attnue la contrainte en attribuant des remises sous certaines conditions. Une seule remise est attribue par examen, pour chaqueexamendiffrent.Parexemple,ltudiantquichoisitdetenterlacertificationendeuxtapespeutobtenirdeux remises.Lesremisesnesontattribuesquelorsquelescoreobtenuaupassagedelexamenfinalduderniermodule atteint ou dpasse 75 %. Un voucher ne peut sutiliserquune seule fois et doit tre utilis dans les trois mois qui suiventsadatedobtention.
a.CCENT
G
LtudiantachvelesdeuxpremiersmodulesduparcoursDiscoveryetobtientunenotesuprieure75% lorsdesapremiretentativelexamenfinaldumodule2. LeformateursaisitPdanslegradebook(feuilledersultatsdelaclasse,enligne). UnlienDemandeVoucherICND1apparatsurlapagedaccueildeltudiant. LtudiantcliquesurcelienafindobtenirlevoucherVUE,lenumroduvoucherapparatdansleprofilde ltudiant. Ltudiantdoitutilisersonidentifiantetmotdepasse(ceuxquiluipermettentlaccsausitedelacadmie, quandparexemple,ilpasselestestsenligne)poursenregistrerchezVUE.
b.CCNA
G
Ltudiantachvelesquatremodules,peuimporteleparcourschoisi,etobtientunenotesuprieure75% lorsdesapremiretentativelexamenfinaldumodule4. LeformateursaisitPdanslegradebook(feuilledersultatsdelaclasse,enligne). LesliensDemandeVoucherICND1,ICND2etDemandeVoucherCCNAcompositeapparaissentsurla pagedaccueildeltudiant.partirdici,deuxchoixpossibles:

G
LtudiantcliquesurlelienDemandeVoucherICND1,ICND2afindobtenirlevoucherVUE. LtudiantcliquesurlelienDemandeVoucherCCNAcompositeafindobtenirlevoucherVUE.
Danslesdeuxcas,lenumroduvoucherapparatdansleprofildeltudiant. Ltudiantdoitutilisersonidentifiantetmotdepasse(ceuxquiluipermettentlaccsausitedelacadmie, quandparexemple,ilpasselestestsenligne)poursenregistrerchezVUE.
- 6-
c.Oetcommentsinscrire?
LesexamensCISCOsontassursparlescentresdetestParsonVUE(www.pearsonvue.com).Poursinscrire,trois mthodespossibles:
G
ContacterdirectementunagentPearsonVUE(http://www.pearsonvue.com/contact/vuephone/). SinscrirevialesiteWebPearsonVUE(www.pearsonvue.com). Appelerdirectementouserendredansuncentredetest.Pourlocaliseruncentredetest,consultezlesite dePearsonVUEetutilisezloptionLocateaTestCenter.
d.Ordresdegrandeurdeprix
Lesprixsontfixslocalementparlescentresdetest. Examen ICND1640822 ICND2640816 CCNA640802composite Misejour:Avril2010. Dure 90mn 75mn 90mn Prix $125USD $125USD $250USD
- 7-
Modalitsdapprentissage
LaplateformelectroniquedeformationCISCOpermetlindividualisationdesparcourspuisqueltudiantprogresse son rythme. Cette individualisation est partielle car pour quelle soit totale, il faudrait mesurer les connaissances de ltudiant sur les thmes considrs, comparer avec les objectifs du CCNA puis raliser une prescription qui comprendrait les thmes devant tre approfondis et escamoterait ceux dj matriss. Si une telle dmarche est possible,ellerestelinitiativeduformateur.Classiquement,leformateurcertifiCISCOquireoitunnouveltudiant ouunnouveaugroupedtudiantsvacrerunenouvelleclassepuisyinscrirelaoulespersonnesetenfinlesenrler dansunparcours.AdmettonsquilsagisseduCCNA1puisquecestlethmedecetouvrage. Ltudiantestalorsengagdansunealternanceapprentissagesthoriquesvalidationsenlignetravauxpratiques. Les phases dapprentissage thorique peuvent tre abordes individuellement, la plateforme de formation a t conuepourcela.Rapidementltudiantressentlebesoindemesurersesacquis.Fortheureusement,laplateforme prvoit un jalonnement trs fort, cest pourquoi chaque squence du CCNA fait lobjet dun test en ligne. Ltudiant lorsquilestprtsurunesquencelefaitsavoirauformateurquicreunesessiondexamen(datededbut,datede fin, inscrits, langue utilise...). Ltudiant ouvre une session sur le site de elearning CISCO et passe le test qui est toujoursunQCM(QuestionnaireChoixMultiples).Pourchaquequestion,sixrponsessontproposes.Lescases cocher obissent aux rgles bien acceptes aujourdhui. Sil y a une seule bonne rponse, alors les diffrentes rponsessontassociesdesboutonsradio.Quandlabonnerponsedemandecocherplusieurslments,alors ces lments sont associs des cases cocher. De plus, lnonc stipule le nombre dlments qui doivent tre cochs.Pasdepigedonc.Ilestpossibledepasserletestenfranaismaisvoyezsilnestpasprfrabledelepasser enanglais.Eneffet,souvenezvousquelorsdelacertification,lechoixnestpasproposetlanglaisestimpos. Il faut considrer un rsultat infrieur 80 % comme insuffisant et un rsultat 90 % normal pour esprer se prsenterdansdebonnesconditionslacertification.Pourmapart,jenelaissaisprogressermestudiantsdansle cursusquesichaquetestdemoduletaitrussiaudelde80%. Quandilsagissaitderouteurs,louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsaux EditionsENIsentenaitdessimulationsraliseslaidedelexcellentPacketTracerdeCisco.Cetouvragefranchit unpalierlaidedunensemblelogicielnommGNS3/Dynamips/Dynagen.Lestravauxpratiquesouateliersproposs dans cet ouvrage ont t intgralement tests dans un environnement virtualis laide de cet ensemble, ce afin dtre certain que le lecteur pourra les reproduire sur son PC. Ceci ne retire rien lintrtdune plateformerelle. Entendonsnousbien,siltudiantdoitraliserunatelierquimeten uvretroisrouteursetsilalachancededisposer decesrouteurs,alorspasdhsitation,quillesutilise.Danslecascontraire,trsprobablementleplusfrquent,cet environnement virtualis permet des miracles (avec beaucoup de patience et de pugnacit car les plantages sont frquents). Cest bien pourquoi CISCO impose chaque organisme de formation candidat pour adhrer lacadmie, outre la certificationdunouplusieursdesesformateurs,lachatdunbundlematriel,packagedelensembledesmatriels ncessaires la bonne ralisation des travaux pratiques prvus dans le cursus. chaque cursus, son bundle. Un organismedeformationdjmembredelacadmieetquisouhaitedlivrerlecursusWirelessdoitpermettrelun desesformateursdacqurirlacertificationcorrespondantepuisacqurirlebundleWireless. LorsquuntudiantaachevlensembledestestsdemodulesetdoncvalidsoncursusdanslundessemestresCCNA (quatresemestresquicorrespondentauxquatrechapitresdecettesriedouvrages),illuifautraliserunepreuve pratiqueappele skilltest (skill=habilet).Cestunevritablemiseensituation,leformateurdoitreproduirele contexte prvu pour lpreuve puis observer ltudiant pendant lpreuve. Si lessai est satisfaisant, le formateur dlivrelanotecorrespondantesurlaplateformeetvalidelesemestre.Ilresteltudiantremplirunquestionnaire desatisfactionenligne.Cestseulementalorsquildevientligibleetqueleformateurpeutlenrlerpourlesemestre suivant.CeprocessusserenouvellequatrefoispourlensembleduparcoursCCNA. Une fois les quatre semestres valids, il reste sinscrire dans un centre dpreuves Vue. En esprant que cette possibilit existe toujours au moment o vous lirez ces lignes, le bon achvement du parcours CCNA permettait dobteniruneremisede50%surletarifdelinscriptionquirestaitainsisouslabarredes100(cherchezVoucher, littralementchquesurlesiteeLearning). Pour les personnes qui le souhaitent, il existe galement des tests QCM dentranement sur PC et sur PDA ! Pour y avoirgotavantlepassageduCCNA,lauteurpeutvousdirequeleurusagetournerapidementladpendanceau dtrimentdunvritableapprentissage.Lintrtestpeuttredeserassureravantlpreuve.
- 1-
Portedecetouvragedanslecursus
Cet ouvrage est conu pour aider les tudiants dans leur progression vers lobtention de la certification CCNA. LouvrageserautiletantauxtudiantsayantfaitlechoixducursusDiscoveryquceuxayantprfrlecursus Exploration . Mais il est probable que ce dernier rassemble davantage de suffrages et il pourrait tre utile de comparerlaprogressionquiyestproposecelleadoptedanscetouvrage. Le cursus Exploration comporte quatre parties que nous appellerons semestres pour viter la confusion avec les termesdjtrssollicitsdechapitresouparagraphes:
G
Semestre1:Notionsdebasesurlesrseaux Semestre2:Protocolesetconceptsderoutage Semestre3:Commutationderseaulocaletrseaulocalsansfil Semestre4:Accsaurseautendu
Lecontenudusemestre1estunprrequispouraborderlestroisautressemestres.Lessemestres2et3sontdes prrequispouraborderlesemestre4.Enrevanche,lessemestres2et3sontindpendants,cequientranequilest possibledelesaborderensquence2puis3,ouensquence3puis2voiremmeenparallle.MaispourCISCO,le parcoursprivilgierrestequandmmeleparcours1,2,3et4danscetordre.Lesautrespossibilitspeuventaider lorganismedeformationdanssagestiondesressourcesmatrielles. Le tableau suivant place en visvis les thmes abords dans cet ouvrage et le programme du cursus CCNA Exploration:
Vouloirtraiterlatotalitdessujetsabordsparlecursusdansunseulouvragetaitunegageureetauraitcontraint lauteurtropdesuperficialit.Lesthmesabordslesontdemaniresuffisammentapprofondie,souventtrsau del de ce qui serait immdiatement utile pour la certification, de faon ce que le lecteur puisse se construire une solidereprsentationdesprotocolesettechnologieslisauxrseaux.Lapyramidenepeutmonterhautquesielleest construitesurunelargebase. Dans louvrage, les rfrences au cursus sont nombreuses mais pourtant, le dcoupage propos par CISCO na eu quuneinfluencemarginale.Aprstout,ledcoupagedelaversion3aujourdhuiobsoltetaittrsdiffrentetpeut tre que le dcoupage propos dans une future version du cursus dmodera nouveau le dcoupage actuel. Le
- 1-
premierouvragedecettesriesentenaitlapprocheclassiquequiconsisteaborderlesrseauxensappuyantsur lemodleOSIdestructurationencouches.Ledcoupageduprsentouvrageestplusconformeceluipropospar CISCO parce quil ny a rien inventer en la matire. Il est naturel de commencer par le routage statique puis de prsenter les protocoles de routage dynamique. De la mme faon, il est naturel et mme conforme lhistoire de prsenterdabordleroutagevecteurdedistancepuisceluitatsdeliens. Il reste souhaiter que cet ouvrage remplisse son office en aidant le lecteur passer les points durs . Soyez courageux,ilfautdutempsetdelapatience.Soyezcurieux,refusezdenepascomprendre.Soyezopinitres,testez, tentez, recommencez. Ne ngligez pas la langue anglaise, car il faut bien admettre que sa matrise permet de progresser beaucoup plus vite parmi les nombreux documents disponibles (dont les RFC). Le projet nest pas inventer,ilexiste:ilsagitdexercerunmtier,certesexigeantpuisquilnousplacedansuntatdapprentipermanent maiscombienpassionnant!
- 2-
Lerouteurdanssonenvironnement
Le vocable routeur peut recouvrir des ralits bien diffrentes selon que lon a affaire un routeur dagence ou de succursale,unrouteurdentrepriseoudecampusouenfinunrouteurdefournisseurdeservices.Pourrpondreces diffrentsbesoins,CISCOasegmentsonoffreentroisfamillesdquipements:
G
Branch traduisible par agence, succursale, site distant. Les routeurs proposs par le constructeur pour rpondre aux problmes spcifiques de lagence sont dits services intgrs, ou routeurs ISR (Integrated ServicesRouters). WAN : les routeurs de cette gamme affichent videmment de grandes ambitions en matire de performances, dintgration de la scurit, de communications temps rel. Le routeur WAN propose bien davantage que le simple transport de donnes fiable et peut devenir une plateforme de convergence de la communicationdentreprise. Service Provider (Fournisseur de services) : les routeurs de cette gamme, outre des performances exceptionnelles, doivent galement offrir un degr de disponibilit trs lev, une trs grande longvit ainsi quelapossibilitdefairevoluerentaillelesdispositifssansremiseenquestiondelexistant.
1.Lerouteurdagenceoudesuccursale
UnrouteurquisecontenteraitdassurersafonctionpremirecestdirelacheminementdesdatagrammesIP,aurait peu de chances de pouvoir satisfaire les attentes des clients. Le contexte des communications est en mouvance rapide, acclre encore par des accs toujours plus fluides vers lInternet ainsi que par les possibilits toujours accruesoffertesparllectronique.Ainsiparexemple,untlphoneportableauraitpeudechancesdesevendreavec lunique fonction tlphone. Il est galement devenu lecteur MP3, appareil photo, camscope, navigateur Web, supportdestockage,dispositifdauthentificationetsansdoutedemain,seratilmmedesatisfairedautresbesoins quenousnavonspasencoreimagins. De mme, un ordinateur nest plus la machine de calcul des temps hroques mais une machine World Gate ouvertesurlemonde,multimdia,capableautantdelireoudenregistrerunDVDquedeservirdetlphoneVoIP,de TVetpresqueaccessoirementdeparticiperquelquetravailencours. De 2006 2009, CISCO a coul plus de 5 millions de routeurs ISR et doit ce succs son analyse de ce quest devenuelactivitconomique.Uneentreprise,cenestplusunsigeoseconcentrelexcutifetquipilotedefaon autocratique des sites de production. Lentreprise moderne rsulte du maillage de nombreux sites (CorporateBranch quelonpeuttraduireparsuccursale)etdetellesinfrastructuressontefficaceslaconditionquelaprisededcision puisse tre galement dcentralise sans perdre la cohrence avec le reste du groupe, ce qui suppose une architecturerseaudisponibleetfiable.Aprsdiffrentesenqutesmenesauprsdesesclients,CISCOrecenseles besoinssuivants:
G
Routage. Commutation(switching). ConnexionscuriseviaVPNs. Fonctionsdescurittoujoursplusimportantes:

G
Parefeu. Dtection/Prventiondintrusions. Attnuationdelagravitdesattaquespardnideservicedistribues(cestdiredesattaquespar dni de service dans lesquelles le serveur cible est attaqu de faon simultane par plusieurs ordinateurs). Protectioncontrelesvirus. Translationdadresses. Mcanismespermettantdevrifierlerespectparlespostesclients,desrglesdescuritimposes
parlentreprise(tatdelaprotectionantivirus,misesjourdescurit,prsenceduncertificat)et regroupsdanslanotiondecontrledaccsaurseau(NAC:NetworkAdmissionControl).
G
FiltragedURL...
Applicationsditescollaboratives:tlphoniesurIP,intgrationvoixvido,vidoconfrence. OptimisationdelabandepassanteconsommesurleWAN(techniquesdecompressiondelachargeutiledes paquets,demultiplexagedessessionsTCP,dliminationdelaredondancedesenttes). Priseencomptedelamobilitaveclesapplicationssansfil.
UnrouteurISRintgreoutreleroutage,toutoupartiedesfonctionscites.LagammederouteursISRcomprendles sries800,1800,2800,3200et3800.Cequiestbonpourunrouteurdagencenelestpasncessairementdansle cadre dun apprentissage des fondements des rseaux. Cest pourquoi pour le CCNA, CISCO maintient lusage de routeursetcommutateursspars.
2.LesrouteursWAN
CISCOrangedanscettecatgorielesrouteursdessries7200,7300,ASR1000,6500et7600.
3.LesrouteursServiceProvider
CISCO classe dans cette catgorie les sries ASR1000, ASR9000, 7600, 10000 et XR12000 ainsi que la plateforme CRS1(CarrierRoutingSystem).
- 2-
Lerouteur:unordinateurspcialis
1.Architecture
Dcouvronslesprincipauxblocsfonctionnelsquiconstituentunrouteuretdistribuonslesrles:
Sisurunrouteurdentredegammelaplupartdescomposantssontsoudssurlacartemre,aufuretmesureque lonmonteengamme,laconceptionestdeplusenplusmodulaire. Lesinterfacesrseauconnectentlerouteurdiffrentsrseaux.Untraficentrantparuneinterfaceestcommutpar lerouteurverslinterfacesortante.CISCOproposevidemmentunevastegammedetypesdinterfacesetilestpeu probablequuncahierdeschargesnepuissetretenu.Lerouteurdisposetoujoursdunoudeuxports,Ethernetou FastEthernet, intgrs mais les autres interfaces, WAN notamment, sont ajoutes par lintermdiaire de cartes qui viennentprendreplacedansdesemplacementsappelsslots. Lunit centrale est base sur une architecture RISC (Reduced InstructionSet Computer ou microprocesseur jeu dinstructions rduit). Classiquement on oppose ce type darchitecture larchitecture CISC (Complex InstructionSet Computer)dontlesreprsentantslesplusfameuxsontlesprocesseursx86quiontquipnosPCaumoinsjusqula gnration 486. Un processeur CISC dispose dun jeu dinstructions que lon a peuttre enrichi lexcs. En effet, chacunedesinstructionscomplexesdecejeudinstructionsdemandeplusieurscyclesdelecturedelammoireROM qui contient le microcode (mmoire intgre sur la puce du processeur). Cest la firme IBM qui en 1975, inventa le processeur RISC dont le jeu dinstructions tait rduit de faon permettre lexcution dune instruction par cycle dhorloge.Outrecetavantage,ledcodagedesinstructionstantplussimple,ilpeuttrecblpluttquemicrocod et ainsi occuper moins despace sur la puce. Il semble que la polmique qui oppose les tenants de chacune de ces architectures soit en passe de steindre, faute de combattants. En effet, partir du Pentium, INTEL a adopt une architecturehybridedanslaquelleestenfouiunprocesseurRISC,lefonctionnementCISCtantconservmaismul. CISCOtantpeudisertsurlesujet,difficiledesavoirquelssontlesprocesseursadoptsparlafirmepourquiperses routeurs. Par exemple, sauf erreur, il nexiste aucune commande show qui permettrait dafficher le type de processeur.Pourlespluscurieux,ilfautdoncsersoudreouvrirlesbotierspuisreleverlesrfrencesdescircuits etentamerunerecherchepatientesurlenet.AinsiondcouvrequelerouteurISR(IntegratedServicesRouter)2801 embarque un processeur RM5261A250H, processeur RISC 64 bits conforme larchitecture MIPS (cestdire architecture RISC dveloppe par la compagnie MIPS). Pour lanecdote, outre les routeurs CISCO, des processeurs conformes cette architecture quipent galement des consoles de jeux type PlayStation. Les lecteurs insatiables pourronttrouverdautresdtailssurlesite: http://www.pmcsierra.com/products/details/rm5261a/#Features Enfait,lemicroprocesseureffectuesansdoutelestchesgnriquescar,toujourssurlacartemredurouteur2801, onremarquelaprsenceduncontrleurdecommunicationsdetypeGT96103Aetpourlequelquelquesdtailssont fournissurlesite:
- 1-
http://www.marvell.com/products/communication/horizon/index.jsp SelonlafirmeMARVELLquilaconu,cecontrleurrassemblelesfonctionnalitssuivantes:
G
RoutageentreLANetWAN PasserelleVoixsurIP Scurit Qualitdeservice
Que le lecteur se rassure, le passage de lexamen CCNA ne requiert aucune connaissance en la matire. Ceci se justifieparfaitement,carquelquesoitleprocesseurembarqu,lesystmedexploitationresteCISCOIOSetcestlui queladministrateurdoitmatriser. Danciens routeurs taient quips dans le pass de microcommutateurs qui participaient la configuration de lquipement.CISCOaprennislespratiquesacquisesalorsenremplaantcesmicrocommutateursparunregistre de16bitsappelconfigregister.Lavaleurstockedansceregistreestmaintenueenlabsencedalimentation. De plus, la commande qui permet dcrire dans ce registre na pas besoin dtre suivie dune commande de sauvegarde. Ce registre intervient notamment dans la squence de dmarrage, son utilit est dtaille dans la sectionGestiondelaplateformelogicielleCISCOIOSLasquencededmarrage.
2.Lesportsdadministration
Le lecteur peu au fait du standard RS232 ou du mode de fonctionnement asynchrone gagnera lire la section Liaisonssriesynchrone/asynchroneduchapitreAnnexesdecetouvrage. Endehorsdesinterfacesrseau,lerouteurestpourvudedeuxinterfacesdetypesrieasynchrone,nommesport console et port auxiliaire et ddies ladministration du systme. Le port console autorise un accs local et ladministrateur lutilisera plutt pour raliser la configuration initiale du routeur. En effet, une fois configur et en exploitation, le routeur est accessible par le rseau et ladministrateur peut en assurer la gestion laide dune session TELNET ou SSH (Secure Shell, version scurise destine remplacer TELNET). La seconde interface srie, nommeportauxiliairepermetunaccsdeladministrateurdistance.Unscnariopossibleestdereprendrelamain surlquipementdistantquandladministrateurnyparvientplusparlerseau.Pourprofiterdecettepossibilit,ilfaut avoirtprvoyant,cestdireavoirinstallunmodemauvoisinagedurouteuretavoiramenunelignedurseau tlphoniquecommutsurcemodem,cequirevientattribuerunnumrodetlphoneaurouteur.Uneexception cependant : les routeurs de la gamme 800 ne disposent que dun seul port srie asynchrone destin ladministration. Appel console aux port, ce port est, selon le choix de ladministrateur, tantt un port console, tanttunportauxiliaire. Enfait,ilnyapasdediffrencedenatureentreleportconsoleetleportaux,lesdeuxportssontdesportssrie
- 2 ENI Editions - All rigths reserved - Noba Mafiza
asynchrones. La diffrence vient du cblage quen fait CISCO sur la face avant de ses routeurs. Sil avait fallu se conformerstrictementlanormeRS232,leportconsoleauraitdseprsentersouslaformedunportDB25femelle etlextrmittredetypeETCD(enanglaisDCE)afindefairefaceauterminalncessairementETTD(DTE).Leport auxiliairelui,auraitdadopterunportDB25mleetadopterletypeETTDpourfairefaceaumodemncessairement ETCD.CestcequeCISCOafaitsurcertainsdesesrouteurs,parexemplequelquesrouteursdelasrie7200(7200 I/OFE,7200I/O,7200I/OFEMII). MaisCISCO,surlaplupartdesesrouteurs,aprfrprivilgierlarecherchedecompacitetlesdeuxportsontt cbls sur des sockets RJ45. Sur toute la gamme, il est facile de distinguer les deux sockets grce un code de couleurs:lesocketattribuauportconsoleestreprablesacouleurbleuciel,lesocketattribuauportauxiliaire estreprablesacouleurnoire. Endehorsdelacouleur,lesportsconsoleetauxiliairesedistinguentgalementparleschoixquafaitleconstructeur quantauxcircuitsdelanormeRS232prsentssurles8filsdessocketsetquantltatdecescircuits,oprationnel ouforc.Eneffet,lescontraintesimposesparlaliaisonavecunterminalnesontpaslesmmesquecellesimposes par une liaison via modems. moins davoir affaire un administrateur fou, aucun risque pour que les caractres frappsauclavierduterminaletdoncreusparleportconsolenesaturentlacapacitderceptiondurouteursurce port. De la mme faon, il est peu probable que les caractres gnrs par le routeur ne dpassent les capacits daffichagelcranduterminal(quidpassentlargementlescapacitsdelecturedeladministrateuretplusencore sescapacitsinterprterlesmessages).LecontrledefluxestdoncinutilesurceportetCISCOnenprvoitaucun, ni logiciel ( laide des caractres XON/XOFF), ni matriel (fond sur ltat de lun des circuits de la jonction). En revanche,leportauxiliairedisposedescircuitsncessaireslaralisationduncontrledefluxmatriel. CISCOfournitgalementlescordonsetadaptateursncessaireslamiseen uvredecesports.Enparcourantles guidesdinstallationdesdiffrentsmodlesdelagamme(toustlchargeablessurlesiteCISCO),onpeutdgager troistypesdepackagings:
G
Packaging1>Concernelessries800,1800etlerouteur2801.Lerouteurestfourniavec:
G
Uncbleconsole(RJ45toDE9,couleurbleuciel)galementappelmanagementcable. UnadaptateurDE9toDB25.
Packaging2>Concernelessries2800lexceptiondurouteur2801,3800,7200,etc.Lerouteurestfourni avec:
G
Un cble console (RJ45toDE9, couleur bleu ciel) galement appel management cable ou consoleadaptercble. Uncblemodem(RJ45toDB25,couleurnoir)galementappelmodemadaptercable.
Packaging3>Concernelessries2600,3600,3700et3800.Lerouteurestfourniavecunkitcomprenant:
G
Uncbleinvers(RJ45toRJ45)appelrollovercabledansladocumentationCISCO. Un adaptateur RJ45toDE9 femelle permettant la connexion du port console au port srie dun PC mulantleterminal.CetadaptateurportelamentionTERMINAL. Un adaptateur RJ45toDB25 femelle permettant la connexion du port console au port srie dun terminal.CetadaptateurportegalementlamentionTERMINAL. Un adaptateur RJ45toDB25 mle permettant la connexion du port auxiliaire au port srie dun modem.CetadaptateurportelamentionMODEM.
Laphotocidessousrassembleleslmentsdukitfourniaveclessries2600,3600,3700et3800lexceptionde ladaptateurmodem:
- 3-
Rglonslecasducbleinversrolloverquifaitdcidmentcoulerbeaucoupdencre.Cecblersultesimplement du fait que CISCO utilise du cble en nappe pour raliser ses cordons destins aux ports dadministration. Dans ce cbleennappe,les8filscheminentdefaonparallleetnesontpasorganissenpaires.Lescordonsralissavec une telle nappe ne pourraient supporter les dbits des rseaux locaux. Fort heureusement, les dbits supporter sontceuxduneliaisonsrieasynchroneRS232etnedevraientdoncjamaisdpasser19200bits/s(ilestpossiblede rglerlajonction115200bits/smaiscesthorsstandard).IlfautobserverquelesertissagedunconnecteurRJ45 chaque extrmit dune nappe 8 fils produit naturellement un cble invers. Il ne faut pas y voir une volont quelconqueduconstructeurmaissimplementuneconsquenceduchoixdelanappeenlieuetplacedunclassique cblepairestorsades.Silelecteurdisposeduncbleinversproximit,cestlemomentdelevrifierenplaant lesdeuxconnecteursRJ45envisvis:
LesfilsrelisPin1dunconnecteuretPin8delautreconnecteurontmmecouleur,puispin2etpin7etainside suite.MmesilnesagitquedunavatardecordonRJ45toRJ45,ltudiantajouteralecbleinvers(rollover)la panopliedetypesquildoitconnatre,quicomprenaitdjlecbledroit(straightthrough)etlecblecrois(crossover) caronimaginebienquecesujetpeutfairelobjetdenombreusesquestionsdansunQCMduCCNA. LertablissementdesconnexionsattenduesdefaonrelierconvenablementdeuxETTD(PortconsoleTerminal)ou un ETTD et un ETCD (Port auxiliaire Modem) incombe ladaptateur RJ45toDBxx. Ainsi, lillustration suivante inventorielescircuitsutilissdanslecasduneliaisonportconsoleterminal:
- 4-
ObservezquelescircuitsDTR(DataTerminalReady)etRTS(RequestToSend)duportconsolerestentenpermanence monts.Onestainsiassurqueleterminal,quireoitcestatssursescircuitsDSR(DataSetReady)etCTS(ClearTo Send) est satisfait et consentira afficher les caractres reus du routeur ainsi qu envoyer au routeur les caractresfrappsauclavier. Enfinal,ilnedevraitsubsisteraucuneambigitquandilfautrelierlePCmulantunterminalauportconsole,cestle cbleconsoleRJ45toDE9quilfaututiliser(ousonquivalentreconstitulaideducbleinversbleucielassoci ladaptateurRJ45toDE9),cecbleestdecouleurbleuciel,lesocketduportconsoleestgalementdecouleurbleu ciel(lefilbleusurleboutonbleu...).LextrmitDE9ducbleconsoleestfemelle,leconnecteurDE9duportsriedu PCestmle. Le placement dune jonction clate lextrmitdun cble console confirme que cette extrmit est bien de type ETCD.Eneffet,levoyantassociaucircuitRDestallumetconfirmequececircuitestgnrateur(ausenslectrique), cequiestbienlefaitdunejonctionETCD.
Leschosessecompliquentpeinequandilfautrelierleportauxiliaireunmodemetquonalachancededisposer ducblemodemdecouleurnoire.Quandcenestpaslecas,ilfautsersoudreutilisersoitlecbleconsoleassoci son extrmit DE9 ladaptateur DE9toDB25 fourni, soit le cble rollover associ lune de ses extrmits ladaptateur RJ45toDB25 mle marqu modem. La figure suivante recense les diffrents cas et inventorie des circuitsmisen uvre:
Il reste ajuster les paramtres de la transmission srie. Par dfaut, le port console est rgl 9600S81 ce qui signifie9600bitsparseconde,sansparit,caractresexprimssur8bits,1bitdestop.Cerglage,not9600N81 dansladocumentationCISCO(Noparity)estmodifiablemaisilnyapasdintrtlefaire.Ilfautajustergalitles paramtresdelajonctionduterminalouduPCmulantleterminal.Inutiledactiveruncontrledeflux.Dansderares cas,leconstructeurprconise9600N82,quisignifiedeuxbitsdestop,ceciincombantsansdouteuncircuitUARTun peuplusancienetayantbesoinduntempsdercuprationplusimportantentredeuxcaractres.Quantauport auxiliaire,ilnyapasdautrecontraintequecellequiconsistelerglergalitaveclajonctiondumodem(vitesse maximale115200bitsparseconde).
3.Lepartitionnementdelammoire
Le droulement normal du dmarrage dun routeur doit aboutir au chargement dun systme dexploitation appel CISCO IOS (Internetworking Operating System). Muni de ce systme, le routeur est alors capable daccomplir les tches pour lesquelles il a t conu dont le routage des datagrammes IP. En dehors de ce systme dexploitation complet,lerouteurestgalementcapabledechargerdautressystmesdexploitationpartielsoudontlafinalitnest pasdassurerleroutage. Ainsi, le systme dexploitation nomm RxBOOT offre un sousensemble des fonctionnalits de lIOS, suffisant pour monterlesinterfacesrseauetpermettrelamisejourdesimagesIOScontenuesenmmoireFlash.Ilneconcerne quelesrouteurs(srie2500)quiexcutentlIOSdirectementenmmoireFlashcarcommentmettrejourunfichier en cours dutilisation ? RxBOOT intervient galement en cas de sinistre sur la mmoire Flash : si pendant son initialisation,lerouteurnestpasparvenutrouveruneimageIOSvalideetsiildisposeduneimageRxBOOT,alorsil tentedechargerRxBOOT. Enfin, le systme ROMMON (ROM Monitor) intresse particulirement lexpert rseau puisquil permet un premier niveaudedbogage,larcuprationdemotsdepasseperdusoulacopiedunfichierIOSvalideenmmoireFlash quandcelleciatcorrompueoueffaceparmaladresse.ROMMONquipetouslesrouteursCISCO.Lechargement deROMMONintervient:
G
Quandladministrateurinterromptlasquencedamoragenormale. Quand ladministrateur a modifi le contenu du registre de configuration afin dinfluer sur cette squence damorage. EnultimerecoursquandlerouteurachoudanssestentativesdechargementdunIOScompletpuischou galementdanslechargementdeRxBOOTsilendispose.
Cest la mmoire ROM (Read Only Memory) qui contient, outre le programme damorage, ce ou ces systmes dexploitationalternatifs. La mmoire RAM (Random Access Memory que lon traduit par Mmoire accs direct) est une mmoire volatile
- 6-
accessiblelafoisenlectureetencriture.Commepourtoutordinateur,lammoireRAMdunrouteurcontientla foislecodedesapplicationsetlesdonnesobjetdutraitementralisparlecode.Danslecasdurouteur,lecodeest constituparlesystmedexploitationCISCOIOSchargpendantledmarragedepuislammoireFlashouparun systmedexploitationalternatif,RxBOOTouROMMON,chargdepuislammoireROM.Lesdonnescomprennentla configuration courante du routeur, les structures de donnes lies aux protocoles de routage telles les tables de routage, les tables ARP (Address Resolution Protocol, voir ouvrage Cisco Notions de base sur les rseaux dans la collectionCertificationsauxEditionsENI),lestamponsdepaquetsassocisauxinterfaces. Avantsonchargementenmmoirevive,lefichierIOSoccupeplusieursMgaoctetseteststockdansunezonede mmoire semipermanente nomme Flash. Il sagit dune zone de mmoire ralise laide de dispositifs EEPROM (ElectricallyErasableProgrammableReadOnlyMemory).UnemmoirePROMpeuttrelueindfinimentmaisnepeuttre crite quune seule fois. Une mmoire EPROM peut tre efface mais ncessite pour ce faire dtre soumise un rayonnement ultraviolet. La mmoire EEPROM est effaable laide dun banal courant lectrique. Il devient alors possibledereproduirelefonctionnementdundisquedur(maintiendesdonneshorsalimentation,lecturevolont, criturequasivolont)sanslinconvnientmajeurdudisquedur,cestdiresanspicemobile. AinsistockenmmoireFlash,lIOSpeuttremisniveau(unenouvelleversionremplaceuneversionplusancienne) ou modifi (une version aux capacits largies remplace la version existante). Cela a t dit, certains routeurs permettentlexcutiondirectedelIOSdepuislammoireFlash,lespacedemmoireFlashappartientalorslespace adressable par le processeur. Mais le plus ordinairement, lIOS est charg en mmoire vive pendant le boot de lquipement. Lammoire NVRAM est une mmoire RAM non volatile, cestdireunemmoiredontlecontenuestconservhors alimentation.CISCOplaceenNVRAMlefichierdeconfigurationinitialedurouteurnommstartupconfig.Linitialisation normaledunrouteursachveaveclechargementdecefichierenmmoirevive.Unefoischarg,lacopieestnomme runningconfig. La mmoire Flash offre un emplacement de stockage pour lIOS. Ladministrateur dispose de mcanismes permettantlesmisesjour(tlchargementdenouvellesversionsviaTFTP).Parmilesquatrepartitionsdela mmoire, ROM, RAM, FLASH et NVRAM, trois sont permanentes, cestdire conserves hors alimentation. Seul le contenu de la RAM est perdu lors dun arrt ou dun redmarrage du routeur. CISCO nutilise aucun dispositif de mmoire type disque ou disquette sur ses routeurs. La russite au CCNA suppose de bien connatre laffectation desquatrepartitionsdemmoire.
4.Dcouvertephysique
Chaque modle de routeur CISCO fait lobjetdun guide dinstallationtrscompletetquil est vivement conseill de sapproprier avant de sortir le nouveau routeur de son carton. Si les mandres du site CISCO rebutent le lecteur, il suffit de laisser faire un quelconque moteur de recherche. Ainsi, la requte Cisco 2800 Series Routers Hardware InstallationdansGooglefournitenpremirerponseunlienversladocumentationdemande(186pages!)quilest possibleauchoixdeconsulterenligneoudetlchargerauformatpdf.Nousappuieronsnotrepropossurlerouteur 2801maisunebonnepartdeslmentsquisuiventesttransposableaurestedelagamme:
Ce routeur appartient la nouvelle gnration de routeurs dits services intgrs, ou routeurs ISR ( Integrated ServicesRouters).
a.Localisationdunumrodesrie
Cetidentifiantde11caractresestsitularrireduchssisdanslecasdu2801,surlafacedesinterfacesdansle casdesautresrouteursdecettesrie:
- 7-
IlexisteunsiteCISCOquirpertoriepourlensembledesproduitsCISCO,localisationetformatdunumrodesrie: http://tools.cisco.com/Support/CPI/index.do. LaccscetoutildemanderaaulecteurdesenregistrersilnedisposepasencoredecomptesurCisco.com.
b.Lesinterfacesintgres
Le tableau suivant inventorie lensemble des interfaces disponibles sans quil ait fallu ajouter de modules supplmentaires: Modle Ports100BaseT Ports FastEthernet 1000BaseT (FE)RJ45 GigabitEthernet (GE)RJ45 2 2 2 2 PortsUSB ( Universal SerialBus) PortConsole (RJ45) PortAuxiliaire (RJ45)
CISCO2801 CISCO2811 CISCO2821 CISCO2851
1 2 2 2
1 1 1 1
1 1 1 1
c.Lammoire
Lesplatesformes2800disposentdesmmoiresphysiquessuivantes:
G
DRAM:contientlapartitionRAMdurouteur.LammoireDRAMestuntypedemmoireRAMdontlasimplicit structurellepermetdobtenirdesdensitsparticulirementleves.Lacontrepartieestquecettemmoire ncessite dtre rafrachie de faon rgulire (priode de quelques millisecondes). La mmoire SRAM (StaticRAM)neprsentepascetinconvnient,estplusrapideetconsommemoinsdnergie.Maissonprixla cantonneauxmmoirescaches.LechoixderaliserlammoireRAMdunordinateurlaidedeDRAMestle choixleplusfrquent. Boot/NVRAM:raliselaidedunemmoireFlashinternecestdiresoudelacartemredurouteur. ContientlafoislespartitionsROMetNVRAMainsiqueleregistredeconfiguration. Flashmemory:encoreunemmoireFlashmaisexternecettefoisetraliselaidedunecarteauformat CompactFlash.Ceformatdecartemmoire,crparlafirmeSanDisken1994,estprogressivementdevenu le support privilgi des professionnels de la photographie. Son seul dfaut rsulte de lusage de broches pntrantes qui induisent une certaine fragilit. Mais son utilisation dans un routeur ne devrait pas en souffrircarlafrquencedesconnexions/dconnexionsrestelimite.Attentionaurisquedeconfusioncarla plateforme CCNA voque cette carte comme tant une carte PCMCIA (Personal Computer Memory Card InternationalAssociation).CequisexpliqueparlefaitquelanormeCompactFlashestconformelanorme PCMCIA, en dehors du connecteur qui ne comporte que 50 broches contre 68 pour le format PCMCIA. Lauteur confirme donc quil sagit bien dune carte CompactFlash de type CFI (les CFI font 3,3 mm dpaisseur,lesCFIIfont5mmdpaisseur).CettecarteportelapartitionnommeFlashdurouteur.
- 8-
Letableausuivantrecenselesquantitsdemmoireembarqueainsiquelesextensionspossiblesselonlesplates formes: Plateforme CISCO2801 DRAM MmoiretypeSDRAM(SynchronousDRAM). 128Mosurlacartemre. Extensionpossiblejusque384Molaidedun slotdextensionDIMM(DualInlineMemory Module). CISCO2811 MmoiretypeDDRECC(DoubleDataRate errorcorrectingcode)SDRAM. 2slotsDIMM,aucunemmoiresurlacarte mre. Barrettesde256ou512Mo. Mmoirepardfaut256Mo. Mmoiremax768Mo. CISCO2821et Idem2811saufmmoiremax1024Mo. 2851 2Modemmoire Flashsurlacarte mre. Boot/NVRAM 4Modemmoire Flashsurlacarte mre. FlashMemory CarteCompactFlash. 64Mopardfaut. 128Mopossible.
CarteCompactFlash. 64Mopardfaut. 128ou256Mo possible.
d.Alimentations
Pourchacundesrouteursdelasrie2800,deuxoutroischoixdalimentationsontpossibles: Alimentation Secteursanspossibilitdalimenterdes tlphonesIP Secteursanspossibilitdalimenterdes tlphonesIP Entre 100240VAC2A Routeursconcerns 2801,2811
100240VAC3A
2821,2851
Secteuravecalimentation48VDC120W 100240VAC5A pourlestlphonesIP
2801(lalim.48Vpeutfournir120 W) 2811(lalim.48Vpeutfournir160 W) 2821,2851(lalim.48Vpeutfournir 240 W)
DCsanspossibilitdalimenterdes tlphonesIP DCsanspossibilitdalimenterdes tlphonesIP
2460VDC8A
2811
2460VDC12A
2821,2851
- 9-
Signalons galement la possibilit dquiper le chssis dune alimentation redondante RPS675 (Redundant Power System).
e.LesvoyantsLED
Touslesvoyantsdurouteur2801sontplacsenfaceavant: LED SYSPWR Couleur Vert Description LerouteuraterminsasquencedinitialisationetlIOSestfonctionnel. Cevoyantclignotependantlebootousilesystmedexploitation chargestROMMON. Clignotechaquefoisquedespaquetssontmisoureusouencoursde traitementparlesystme. AllumquandlammoireFlashestoccupe.Danscecas,ilnefautpas terlacarteCompactFlashdesonlogement. Allum,indiquelaprsencedudispositifdalimentation.Vert,indiquele fonctionnementconvenabledecettealimentation.Ambre,indiqueun dfautdelalimentation. AllumindiquequelerouterestconnectunLANEthernetvialeport Ethernetx. Allumindiqueunlienfonctionnantaudbitde100Mbps. teintindiqueunlienfonctionnantaudbitde10Mbps. FexFDX Vert AllumindiqueunmodedefonctionnementFullduplex. teintindiqueunmodedefonctionnementHalfduplex. AIM0 Vert AllumindiquelaprsencedunmoduleAIM(AdvancedIntegration Module)dansleslotAIM0. AllumindiquelaprsencedunmoduleAIMdansleslotAIM1. AllumindiquelaprsencedundispositifPVDM(PacketVoiceData Module)dansleslotPVDM0. AllumindiquelaprsencedundispositifPVDM(PacketVoiceData Module)dansleslotPVDM1.
SYSACT
Vert
CF
Vert
AUX/PWR
Vert/Ambre
FExLink
Vert
Fex100
Vert
AIM1 PVDM0
Vert Vert
PVDM1
Vert
Pourlesautreschssisdelasrie,lesvoyantssontrpartissurlafaceavantetsurlafacearrire: LED SYSPWR Couleur Vertfixe Vertclignotant Description Lesystmeestfonctionnel. Bootencoursoulesystmedexploitationcharg estROMMON. Dfautsystme. Pasdalimentationoucartemredfectueuse. Sielleestinstalle,lalimentationdestlphones IPestfonctionnelle. Ou Sielleestinstalle,lalimentationredondanteest fonctionnelle.
Localisation Faceavant
Ambre teint AUX/PWR Vert
Ambre
Sielleestinstalle,lalimentationdestlphones IPestendfaut. Ou Sielleestinstalle,lalimentationredondanteest endfaut.
teint
LalimentationdestlphonesIPetlalimentation redondantenesontpasinstalles. Destransfertsdepaquetssontencours.
SYSACT
Vertclignotantou fixe Vert
CF
AllumquandlammoireFlashestoccupe.Dans cecas,ilnefautpasterlacarteCompactFlash desonlogement. ActivitsurlesportsFEouGE. Facearrire
A(=ACT)
Vertclignotantou fixe Vert teint
F(=FDX)
IndiqueunfonctionnementenFullduplex. IndiqueunfonctionnementenHalfduplex. DbitdesinterfacesFEetGE10Mbps.
S(=Speed)
1flashsuividune pause 2flashssuivis dunepause 3flashssuivis dunepause
DbitdesinterfacesFEetGE100Mbps.
DbitdesinterfacesGE1000Mbps(ne concernequelesplatesformes2821et2851). LelienFEouGEesttabli. UnmodulePVDMestprsentdansleslotxet initialis.
L(=Link) PVDMx x=0,1(ou2si 2821ou2851)
Vert Vert
Ambre
UnmodulePVDMestdtectdansleslotxmais noninitialis. Pasdemoduleinstalldansleslotx. LemoduleAIMdansleslotxestinitialis.
teint AIMx x=0,1 Ambre Vert
LinitialisationdumoduleAIMprsentdansleslot xsestsoldeparuneerreur. PasdemoduleinstalldansleslotAIMx.
teint
f.HorlogeTempsrel
Commetoutordinateur,unrouteurestquipduncircuitassurantlafournituredeladateetdelheureausystme. Limportant est que ce circuit ncessite toujours une batterie pour assurer son office. Ceci constitue un point de fragilit et ncessite de la vigilance. Dans le cas des chssis 2811, 2821 et 2851, CISCO a prvu une batterie monte vie , cestdire dont lesprance de vie est identique celle du routeur. Seul le chssis 2801 est pourvudunebatterielithiumionremplaable.
- 11 -
g.Explorationduchssis
Observezlafaceavantdurouteur2801cidessous:
Reprezleslmentssuivants:
G
4emplacementsprvuspourrecevoirlescartesdinterface,notsslot0slot3.Slot0estsitudroite:
G
Slot0peutrecevoirexclusivementunecartedinterfaceprvuepourlavoixVIC(VoiceInterfaceCard) ouVWIC(VoiceWanInterfaceCard). Slot 1 et Slot 3 reoivent indiffremment tout type de carte dinterface parmi les types WIC (Wan InterfaceCard),VIC,VWICetHWIC(HighSpeedWANInterfaceCard). Slot2reoitunecartedinterfaceparmilestypesWIC,VICetVWIC. Entreslot0etslot1(repre5)ainsiquentreslot2etslot3,unguidedecarteamoviblequilfaut terpourinstallerunecarteHWICDdelargeurdouble(Doublewide).Ilestpossibledinstallerdeux decescartes. Slot1estdanslecasprsentoccupparunecartedetypeWIC2A/SquioffredeuxinterfacesWAN Serial(voirplusavantlasectionconsacreauxinterfacesetleurnommage).
Leportconsole. LesportsFastEthernetainsiqueleursvoyantsassocisLINK,100etFDX. LesvoyantssystmeSYSPWR,SYSACT. LevoyantAUX/PWR. LeportUSB,repre7. LesvoyantsAIMetPVDM. Leportauxiliaire.
- 12 -
LemplacementCompactFlashetsonvoyantCFassoci,repre6.
Lafacearriredu2801estassezdpouillepuisquellenecomportequeleconnecteurdalimentation secteur, un commutateurdemisesoustension,lenumrodesrieetunebornedestinelaconnexionlectriqueduchssis mtalliquelaterre. Surleschssis2811,2821et2851,lespossibilitsdimplantationdecartesdinterfacetantplustendues,CISCOa d se rsoudre distribuer slots, connecteurs et voyants sur les deux faces avant et arrire des routeurs. Pour exemple,voicilafacearrireduchssis2821:
LesportsEthernet,Gigabitdanscetteversiondurouteur,(repres1et2)ainsiquelesslots03descartesHWIC (repres36)onttreportssurcetteface.CISCOyaajoutunslotpourmoduleEVM(ExtensionVoiceModule) ainsiquunslotpourmoduleNME(NetworkModuleEnhanced,repre8).Enfait,ceslotestcapableautantderecevoir unmoduleNM(NetworkModule)quunmoduleNME. IlesttempsdesefaireuneidedeltenduedelagammedecartesdinterfacesetdemodulesEVM,NMouNME propossparleconstructeurpourlasrie2800:

I
En remplaant xxxx par la srie objet de la recherche, 2800 dans le cas prsent, tapez dans un moteur de recherche:CISCOxxxxRelevantInterfacesandModules
LunedestoutespremiresrponsesdevraittrelURLdusite: https://www.cisco.com/en/US/products/ps5854/products_relevant_interfaces_and_modules.html Lalongueurdulienexpliquelintrtdupassageparlemoteurderecherche.Impossiblederetranscrireladiversit deloffreCISCOici(190rfrencesaumomentoceslignessontcrites).Ondcouvreainsiqueparmilesoffresde modules NME figurent des modules de commutation jusqu 48 ports ( Ethernet Switch Modules) ou des modules permettantlecontrledeplusieurspointsdaccsWiFi.Pourchaquerfrence,lesiteproposedesliensversune documentation,desquestions/rponses,plusdinformation.
h.Repragedesmoduleslintrieurduchssis
Lafigureciaprsdtaillelorganisationinterne:
- 13 -
Cemmerouteurmaiscettefoisphotographi:
Reprezleslmentssuivants:
G
leprocesseur,lecontrleurdecommunications lammoireRAMsoudelacartemresurcerouteur leconnecteurdextensionDIMMrepre12 lalimentationrepre13
- 14 -
deuxslotsdextensionprvuspourrecevoirdesmodulesPVDM.
5.Connecterlerouteursonenvironnement
Certainsouvragesdistinguentdeuxfamillesdinterfaces:lesinterfacesEthernetetlesinterfacessrie.Mmesicette faon de classer trouve une explication dans le mode de nommage des interfaces adopt par CISCO, cest assez gnant.Eneffet,lemodedetransmissionparallledesinformationsnexisteplusgurequentreleprocesseuretses voisinsimmdiatsdontlammoire.Endehorsdecepetitmonde,touteslestransmissionssefontsousformesrie cestdire sous forme dune succession de bits, cela concerne galement Ethernet. Par ailleurs, mme si Ethernet rgnesanspartagesurlemondedesrseauxlocauxetatendusonhgmonieauxrseauxmtropolitains,ilnest pasdhgmoniequinefinisseparscrouler. Restonsprudentsdoncendistinguantdeuxfamillesdinterfaces,lesinterfacesLANetlesinterfacesWAN.
a.ConnecterlinterfaceLANdunrouteur
CasdesinterfacesEthernetetFastEthernet CesujetadjttraitdanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsaux Editions ENI. En forme de rappel donc, chaque dispositif reli un segment Ethernet est constitu dune partie missionetdunepartierception.Laliaisonralisedoitncessairementrelierlapartiemissiondundispositifla partie rception de lautre dispositif. On parle de croisement et les possibilits pour raliser ce croisement sont nombreuses.UnportEthernetderouteurquinedisposepasdelafonctionAutoMDI/MDIX(dtailleplusavant) estdetypeMDI(pasdecroisementralisparlquipement).RelieruntelportunquipementdetypeMDIX(qui croise)permetdutiliseruncordonditdroit(Straighttrough),casnormalillustrparlafigurecidessous:
Le cas suivant est plus un cas dcole puisquil est question de relier directement un PC un port Ethernet de routeur,detypeMDI.IlpeutgalementsagirderaliseruneliaisonEthernetentredeuxportsMDIderouteurs.Le cordondoitalorstrecrois(Crossovercable),cequillustrelafiguresuivante:
Ilnestpasconseillderaliseruntelcordonlamain.Eneffet,quandlesennuissurviennent,ledoutequant aucordoncroisquevousavezpniblementrussiconfectionnerrevientdefaonobsdante. Croisementdulienen1000BaseT Laspcificitdecestandardestdutiliserlesquatrepairesducblerseau:
- 15 -
Lecroisementraliserestdouble.Quandilnestpasralisparlundesdeuxquipements,lecordoncroisest plus difficile confectionner. Dans le but dliminer le besoin de cbles croiss entre deux quipements similaires, lIEEE propose une configuration MDI/MDIX automatique (section 40.4.4 de la norme 802.32008_section3 disponibleentlchargementsurlesitedelIEEE).Lemcanismemisen uvreintervientenamontdetoutautre mcanisme,dontparexempleceluidelautongociation,afindefaciliterlacommutationde[DA+,DA]sur[DB+,DB ] ainsi que de [DC+, DC] sur [DD+, DD]. Une extrmit Auto MDI/MDIX ou Autocrossover dtermine de faonalatoireunepremireconfigurationMDIouMDIX,adoptecetteconfigurationpuisattenduntempssuffisant pour assurer une dtection normale des impulsions NLP ou FLP mises par lautre extrmit. Le temporisateur correspondantestappelSample_timeretstablit62ms.Silen udreoitlesimpulsionsmisesparlen ud distant, il reste dans la configuration adopte. Si la partie rception na pas dtect les impulsions, lalgorithme prendunenouvelledcisionMDIouMDIXfondesurlebitsuivantduregistrersultatdutiragealatoire(quien comprend 11) puis rarme le temporisateur dcoute des impulsions. On comprend que lautomatisme fonctionne autantquilyaituneparmideuxoulesdeuxextrmitscapablesdautoconfigurationMDI/MDIX. Limplmentationdecettepossibilitestfacultativepourle1000BaseTmaissemblelargementadopte.Enfait,cest ce point pratique que certains constructeurs dotent dornavant les ports Fast Ethernet de cette facult. Il est probablequterme,lebesoindecordonscroissdisparaisseetavecluilacomptencequiconsistedterminerle cordon convenable. Dans le cas du constructeur CISCO, ladoption de cet automatisme est sans doute appel stendre mais ne concerne, au moment o ces lignes sont crites, quune partie des quipements. Ainsi, en explorantnouveauledocumentRelevantinterfacesandmodulesdelasrie2800,ondcouvrequelesports suivantsensontdots:
G
LesportsembarqusFastEthernetdesrouteurs2801et2811. LesportsembarqusGigabitdesrouteurs2821et2851. LesportsEthernetroutsdesmodulesHWIC1FEetHWIC2FE. LesportsEthernetdesmodulesdecommutationHWIC4ESWetHWICD9ESW.
MaisontrouvegalementdesportsnonencoredotstelslesportsdesmodulesdecommutationNME16S,NMEX 23ES,NMEXD24ES(listenonexhaustive).
b.ConnecterlinterfaceWANdunrouteur
Lentreprise monosite a vcu. Lentreprise moderne rsulte du maillage de plusieurs sites dont le sige. Raccordercessitesentreeuxesthorsdeportedurseaulocal.Voillentreprisecontraintedenpasserpardes servicesderseautendu,servicesfournisparunoprateurdetlcommunications.Loprateurdecommunications lectroniquesestuneentreprisequifournitouestautorisefournirlaccsunrseaudecommunicationspublic. Dtailler la diversit des services proposs par les oprateurs sort du cadre de ce chapitre mais quoiquil en soit, laccs au service se fait systmatiquement par lintermdiaire dun dispositif nomm selon les cas botier , modemouDSU/CSU(DataServiceUnit/ChannelServiceUnit).Ilnyapashlasdetermegnriquequipermette dedsignersansambigitceboitierdinterfaceavecleWAN.Cestqueleservicederseautendupeutrecouvrir desralitstrsdiffrentes.Defaonglobale,lebotierconvertitlesnormesdecouche1et2delinterfaceWAN durouteurennormesdecouches1et2ducircuitWANdeloprateur.Appuyonsnotreraisonnementsurlafigureci
- 16 -
dessous:
Ladministrateursouhaiterelierlesitenantaisetlesitelillois.Ilpeutignorerlesdtailsdimplmentationducircuit WAN,cestlatambouilledeloprateur.Pourcetadministrateur,lelientablirlestentrelerouteurdeNantes et le routeur de Lille. Pour ce faire, il faut rgler les problmes de couche physique puis les problmes de couche Liaison.Encouchephysique,lerouteurdeNantesestraccordunbotierviauneliaisonsrie.Demme,lerouteur de Lille est raccord son botier via une liaison srie. Dans chaque cas, il faut raliser la jonction entre un ETTD (linterfaceWANdurouteur)etunETCD(linterfacectclientdubotier).Quellenormedeliaisonsriesupportele botier?CettenormeestellegalementsupporteparlinterfaceWANdurouteur? Lhistoire des tlcommunications, videmment lie lvolution des technologies, a engendr nombre de normes diffrentes dont EIA232, EIA449, EIA530, EIA612/613, V35 ou X21. Chacune de ces normes fait lobjet dun paragraphedanslechapitreAnnexesdecetouvrage.Lebesoindecrerunenouvellenormedeliaisonsrienenat pas suite la fantaisie ou une crativit dbride des concepteurs mais peut tre dict par des besoins non couvertsparlesnormesexistantes.cetgard,lhistoiredelanormeV35estdifiante.En1968,leCCITT(Comit Consultatif International Tlphonique et Tlgraphique, devenu UIT (Union Internationale des Tlcommunications) en 1992) sapprte publier lavis V35. Cette norme correspond en fait au premier modem standardis pour la transmission trs haut dbit (48000 bits/s, dbit important pour lpoque) sur un canal qui, dans la hirarchie analogiquedalors,taitappelgroupeprimaireetdontlacaractristiqueessentielletaitdeprsenterunebande passantestendantde60108KHz.LinterfacenumriqueEIA232neconvenantpasunteldbit(sic),leCCITT normalisalafoislemodem(Modulationdamplitude BandelatraleuniqueinfrieurePorteuse100KHz)etson interface numrique. Naturellement le modem est tomb en dsutude, mais pas son interface que lon rencontre encorefrquemment. CISCOsadaptecettediversitdenormesenquipantsescartesdinterfacesWANdeportsgnriques,cest direcapablesdesupporterplusieursnormesdeliaisonsrie.Ainsisurlesplatesformes2500,2600,3600,leport gnriqueestappelport5en1parCISCOcariladmetlescinqnormesEIA232,EIA449,V35,X21etEIA530. Cettefacultaunprix:ilfautqueleportphysiquedelacarteWICcomportesuffisammentdebrochespourcouvrir lesbesoinsdechacunedescinqnormes,cequiexpliquequilenfaillesoixante.Ceportquipeparexemplelacarte WIC1Tdisponiblepourlesplatesformesprcites:
LesexplicationsquisuiventsappuientpourpartiesurundocumenttrscompletmisdispositionparCISCOetqui sintitule CISCO Modular Access Router Cable Specifications ,document de cinquante pages au moment o ces
ENI Editions - All rigths reserved - Noba Mafiza - 17 -
lignessontcrites.Ilestpossibledetlchargerledocument: http://www.cisco.com/en/US/docs/routers/access/hardware/notes/marcabl.pdf Puisque le port WAN est gnrique, raliser la jonction avec le botier suppose de choisir le cordon convenable. HormispourlanormeEIA530,CISCOprvoitsystmatiquementdeuxtypesdecordons,lunfournituneextrmit ETTD (DTE), lautre fournit une extrmit ETCD (DCE). Pour EIA530, CISCO ne prvoit que le seul cordon de type ETTD (DTE). Le point commun de ces neuf cordons est davoir une extrmit WIC ( WIC end ) destine tre connecteauportWANctrouteur,dsignDB60.Lautreextrmit(networkend)dechacundecescordons utilise le connecteur physique le plus communment rencontr pour la norme considre. Ainsi, dans le cas dEIA 232,lextrmitrseauducordonutiliseunportDB25M(Mpourmle)quandlecordonestdetypeETTD,DB25F(F pourfemelle)quandlecordonestdetypeETCD. Pour chacune des cinq normes, CISCO fournit le plan de cblage du cordon. Observez par exemple le circuit Emissiondedonnes delajonction,dsignleplussouventparTxD(TransmitData).EnEIA232(page22 dudocument)ilcorrespondlabrocheJ141duportDB60.EnEIA449,X21etEIA530,ilestvhiculparunepaire depuislesbrochesJ111etJ112duconnecteurDB60.EnV35enfin,ilestvhiculparunepairedepuislesbroches J118 et J117duconnecteurDB60.Enfait,ilyaautantdesolutionsdiffrentesquedenormeslectriques.EIA 449, X21 et EIA530 utilisent les normes lectriques EIA422 et EIA423 (respectivement V11 et V10 lUIT) mais EIA232 tout comme V35, couvrent la fois les aspects fonctionnels et lectriques de la liaison. Estil possible de concevoirunportWANpluscompact?Ouilaconditionderduirelenombredebroches.Etpourcefaire,chaque broche, ou chaque paire de broches dans le cas dun signal vhicul par une paire, doit pouvoir commuter dune normelectriqueuneautreenfonctiondelanormedeliaisonsriechoisie.Leconnecteurendevientintelligent etcest pourquoi CISCO a baptis son nouveau connecteur SmartSerial. Ceconnecteurcomporte26broches, conserve la forme en D, et quipe par exemple la carte WIC2A/S (deux ports WAN Asynchrones ou Synchrones) objetdelillustrationciaprs:
La carte de type WIC2A/S est dencombrement identique la carte WIC1T prcdente mais la compacit du connecteurSmartSerialapermisdylogerdeuxports.EnpuisantnouveaudansladocumentationCISCOModular AccessRouterCableSpecifications,observezlemmecircuitEmissiondedonnespourchacunedescinqnormesde liaisonsrie.PourtouteslesnormeshormisEIA232,letransportseffectueenmodesymtrique(balanced,ncessite unepaireparcircuit),lesignalestvhiculparunepairedepuislesbrochesJ101etJ114.EIA232utiliseunmode asymtrique (unbalanced, signal entre un fil et la masse), le signal est vhicul par un circuit correspondant la brocheJ101duconnecteurSS(SmartSerial).ObservezgalementquelesbrochesJ101etJ114setrouventtre envisvissurlesdeuxrangesdebrochesduconnecteur,ceciafindviteraumieuxlescouplagesentrepaireset doncladiaphonie.LafigurecidessousfournitlesrfrencesdescblesCISCOdanslecasleplusnormal,cest direlorsquelonsouhaiteuneextrmitrseaudetypeETTD(DTE):
- 18 -
IlexisteunevariantedelanormeEIA530nommeEIA530A.Laprincipalediffrenceconcernelescircuitsdegestion dumodem.EnEIA530,touslescircuitsdelajonctionsontenmodesymtrique(balanced).EnEIA530A,lescircuits DTR (Data Terminal Ready), DSR (Data Set Ready) et DCD (Data Carrier Detect)sontasymtriques(unbalanced). Ceci portesixlenombredecblesprvusparCISCOpourfourniruneextrmitETTD.Ilfautencoreyajouterquatre cblesprvuslorsquelonsouhaiteuneextrmitrseaudetypeETCD(DCE).PourEIA232, V35, EIA449etEIA X21,remplacezleslettresMTdelarfrenceparleslettresFCpourobtenirlecordonextrmitETCD(DCE) correspondant.Leconnecteurdelextrmitrseauestunconnecteurfemelle.IlnexistepasdecordonEIA530 extrmitETCD. IlrestetraiteruncaspeuutiledanslemondeprofessionnelmaistrsutileensituationdeTPoudetestpratique lorsdpreuvesvisantunecertification,cequilfautappeleruncasdcole,celuidelasimulationdunlienWANsans faireappelauxservicesdunoprateur.ParvenirsimulerunlienWANncessitedersoudreunproblmedhorloge que lon pouvait ignorer (mais mieux vaut le connatre) dans le monde rel. Resituonsdabord le contexte dune transmissionnumriquesynchronerellesurunlienWAN:
Parmi tous les circuits de jonction, la figure prcdente ne reprsente que les circuits de donnes ainsi que les circuits dhorloge. Pour tre concret, on a imagin que les ETCD de cet exemple taient dots dun port srie conforme la norme EIA232. Les cordons utiliss pour relier chaque ETTD lETCD correspondant sont donc de rfrence CABSS232MT. Mais le raisonnement qui suit ne dpend pas de la norme de liaison srie choisie.
AppuyonsnotrepropossurlefluxdedonnesmisparlETTD11etdestinlETTD21.Chaqueoctetmettreest prsentsurlesentresparalllesduregistredcalage.Rythmparunehorloge,ceregistreprsentelesbitsde loctetununsursasortie.LETCD12reoitcesbitsmaisabesoindelhorlogequilescadencepourlesexploiter. Quifournitcettehorloge?Deuxsolutionssoffrentgnralement: 1)OnconfielafournituredelhorlogeETTD11.Lquipementestdoncplacsursonrglage Horlogeinterne. Lhorloge H11 dont il est quip lui sert cadencer le registre de srialisation. De plus, cette horloge est mise disposition de ETCD12 via le circuit HET (Horloge Emission Terminal). ETCD12 est plac sur son rglage Horloge externe et met profit cette horloge pour exploiter les bits reus. Le flux de donnes cod, et ventuellement modul,estplacsurlaligne(lerseautendu).IlportelhorlogeH11ensonsein.ETCD22nepeutdmoduleret dcoderquesildisposedelhorloge.Sapremiretcheconsisteextrairelhorlogedufluxreu,horlogequilmet disposition de la circuiterie de dmodulation/dcodage mais galement disposition de ETTD21 via le circuit HRM (HorlogeRceptionModem),ceafinqueETTD21puissecomprendreetexploiterlesbitsreussurlecircuitRD. 2)OnprfreconfierlafournituredelhorlogeETCD12,dontlerglagedhorlogeestplaccettefoissurHorloge interne.CettehorlogeH12estgalementmisedispositiondeETTD11vialecircuitHEM(HorlogeEmissionModem). Pourlereste,riennechange. Il est vraiment important de comprendre que ce choix dhorloge ne concerne que la partie mission. En effet, en rception, il ny a aucun choix possible. Le flux de donnes arrive porteur de lhorloge. Le second point important consiste observer que si lETTD est rgl en Horloge interne , lETCD est obligatoirement rgl en horloge externeetdesdeuxcircuitsHETetHEM,seullecircuitHETestutile.SilonprfrerglerlETCDenhorlogeinterne, alorslETTDestrglsurHorlogeexterneetseullecircuitHEMestutile.IlsetrouvequeCISCOsurlesinterfaces WAN de ses routeurs, ne donne pas le choix et prfre laisser la responsabilit de la fourniture de lhorloge aux ETCD.LinterfaceWANdunrouteurestparconsquenttoujoursenhorlogeexterne,lhorlogeestrcupresurle circuitHEM. LapartiemissiondunETTDdoitncessairementtrerelielapartierceptiondelautreETTD,cestlanotionde croisementdjexplicitelorsquilafalluconnecterlinterfaceLANdurouteur.Observezquedanscetteconfiguration detransmissionnumriquesurunlienWAN,cestprcismentlapartierseautendu(lapartieligne)quiassurele croisement:lmetteurctWANdeETCD12estreliaurcepteurdeETCD22etviceversa. EnsituationdeTP,moinsdtretrsrichementdot,ilfautsimulerlelienWANsansavoirrecoursdesbotiers, modemsouDSU/CSU.Fortheureusement,CISCOmetdispositiondescordonsextrmitETCD(DCE).Simulerun lien WAN ncessite de relier les deux interfaces WAN des deux routeurs via deux cordons, lun extrmit ETTD, lautreextrmitETCD.CequillustrelafigurecidessousenconservantlanormedeliaisonsrieEIA232:
nouveau,seulslescircuitsdedonnesetdhorlogesontreprsents.LefluxdeETTD11versET_D21transitepar [ETTD11J101 ED DB25broche2 RD J105ET_D21]grceaucroisementintroduitparlecordonCABSS 232FC.Cefluxestcadencparunehorlogequitransitevialecircuit[ETTD11J102 HETDB25broche24HRM J104ET_D21].LefluxdeET_D21versETTD11transitepardescircuitssymtriques. Il subsiste cependant un problme : ETTD11 est toujours en horloge externe et attend le cadencement sur son circuitHEM.CISCOrsoutceproblmedefaonassezparticulireenplaantET_D21suruneconfiguration Horloge interne puis en connectant cette horloge au circuit HEM qui devient par consquent une sortie (un gnrateur lectrique).CecircuitnestpascroisparlecordonCABSS232FCetparvientdirectementlentreHEMdeETTD11.
- 20 -
Ainsi,linterfaceWANdurouteurdedroitenestniETTD(lecircuitHEMquisortcaractriseunETCD)niETCD(le circuitHETquisortcaractriseunETTD),cestpourquoilauteurladsignET_D21. Sur ET_D21, le passage en horloge interne ainsi que la fourniture de lhorloge sur le circuit HEM est provoqu par linstruction clockrate enconfigurationdinterfaceWAN,ceciserarexpliqudanslesparagraphesquisuivent. LimportantestqueET_D21associsoncordondetypeETCDetconvenablementconfigursimuleuneinterface WANdetypeETCDenhorlogeinterne.OndsignesouventlassociationdedeuxcordonsETTDetETCDparcbles backtoback(littralementdosdos). HorscadreCCNAetpourtrecomplet,citonslanormedeliaisonsrieHSSI(HighSpeedSerialInterface)dveloppe conjointement par les firmes CISCO et T3+ networking et depuis intgre dans les standards de lEIA. Cette technologie rpond un besoin de bande passante qui couvre les dbits atteints par les liens WAN T3 (44,736 Mbps)etE3(34,368Mbps).
HSSI est une spcification ouverte et opre sur la couche physique du modle OSI. HSSI dfinit la fois les caractristiquesphysiques(EIA613)etlectriques(EIA612)delinterface.Pouratteindredetelsdbits,lemodede transmission est bien sr diffrentiel mais HSSI soctroielerenfortdunetechnologieparticulire,diteECL(Emitter Coupled Logic), pour laquelle ltat satur des transistors est remplac par un tat intermdiaire non satur. La vitesseygagneaudtrimentdelaconsommation.Leconnecteurutilisestlemmequeceluiutilisparlanorme SCSI2. Le cble enfin doit utiliser des paires torsades dimpdance caractristique 110 . Saluons le souci des concepteurs dviter le besoin en adaptateurs mlefemelle en imposant que les cordons HSSI soient systmatiquementpourvusdeconnecteursmles.
c.ConnecterunPCenmulateurdeterminalauportconsole
Pour les ateliers de cet ouvrage, on se propose dutiliser lmulateur de terminal PuTTY bien connu des professionnels. Lavantage de cet outil est quil permet autant lmulation dun terminal que ltablissement dune connexionTelnetouSSHvialerseau.Aumomentoceslignessontcrites,lelogicielenestlaversion0.6.Le fichier dinstallation putty0.60installer.exe pse 1719 Ko. Le logiciel, une fois install, occupe 3,23 Mo sur le disquedur. LienverslesitedetlchargementdePuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/ Unefoisinstalletexcut,ilresteconfigurerPuTTYpourunaccsviaunportsrie,leplusprobablementCOM1:
- 21 -
Biensr,encorefautilavoirlachancededisposerdunPCquipdunportsrieEIA232.Quandcestlecas,ilreste connecterleportconsoledurouteurauportsrieduPClaideducbleconsole:
Quand PuTTY est prt, quand le port console du routeur est reli au port srie du PC, il reste lancer le terminal mulencliquantsurleboutonOpenpuis,sicenestdjfait,mettrelerouteursoustension.Ensupposantque lerouteurtaiteffectivementhorstension,sondmarragesaccompagnedelmissiondediffrentsmessagesvers leportconsole.Onpeutainsisuivrelensembledelasquencededmarragesurlcranduterminal:
- 22 -
La squence de dmarrage fait lobjet dune description complte au chapitre Gestion de la plateforme logicielle CISCOIOS,lacapturecidessuscorrespondaudmarragedunrouteurdontlefichierdeconfigurationstartupconfig nestpasvide.Autrementdit,unadministrateuradjconfigur,peuttrepartiellement,cerouteur.Lasquence sachve alors par le message Press RETURN to get started! . Si ladministrateur frappe la touche [Entre] du terminalcemoment,etsaufconfigurationparticulire,linterfaceILCpassedanslemodeutilisateur.
QuefairequandlePCquelonalintentiondutiliserpourmulerunterminalnestpasquipdunportsrie?La solutionlaplusvidenteestdacqurirunconvertisseurUSBEIA232. UnefoisleprcieuxconvertisseurconnectsursonportUSBetlepiloteconvenableinstall,encorefautilidentifier leportsrieassociauconvertisseur.Attention,dbrancherleconvertisseurdunportUSBpourlerebranchersurun autreportUSBdelammemachineetvoilquelenumrodeportCOMassocichange.Leplussimplequandon utilisergulirementcesuccdandeportsrieestencoredeleconnecterdefaonsystmatiquesurlemmeport USB.SurunpostedetravailWindowsXPou7:

I
EffectuezunclicdroitsurPostedetravaildanslecasdeWindowsXP(sur OrdinateurdanslecasdeWindows7) puisdanslemenucontextuelquisaffiche,choisissezGrer. Ceci provoque louverture dune console MMC (Microsoft Management Console) quipe du composant logiciel enfichableGestiondelordinateur.Danslevoletgauche,dployezlen udGestionnairedepriphriques.Dans
- 23 -
le volet central, dployez Ports (COM et LPT). Le port COM affect par Windows au convertisseur apparat ici, COM3danslecasprsent:
De retour dans la fentre de configuration de PuTTY, slectionnez le n ud Serial dans le volet Category puis remplacezCOM1parCOM3danslechampSeriallinetoconnectto.
Ces convertisseurs ne grent gnralement que les circuits Emission de donnes et Rception de donnes, les circuitsquipermettraientdegrerunmodemparexemplesontabsents.Maiscenestgnantenriendanslecas prsent.
6.LIOS
Commetoutordinateur,unrouteurouuncommutateurnepeuventfonctionnersanssystmedexploitation.Dansle casdesquipementsCISCO,leconstructeurledsigneparIOS(InternetworkingOperatingSystem)etilestembarqu surlaplupartdesmatrielsduconstructeurindpendammentdeleurtailleoudeleurtype. LIOSCISCOestunsystmedexploitationtrspuissantettrscomplexeassociunlangagedeconfigurationtout aussicomplexe.Beaucoupdecommandes,beaucoupdoptionsetchaquenouvellecommandeentre,lerisquede compromettrelebonfonctionnementdurseau,celapeutallerjusquisolervotreentreprisedurestedumonde.Ce nestvidemmentpaslobjetdecetouvrage,maismmeconcevoirunouvragedemillecinqcentpages,ilestpeu probablequilparviennecouvrirlensembledesfonctionnalitsdelIOS.Ilfautdoncaccepterdenepaspouvoirtre exhaustifetsentenirdelamthode. Pourleconfigurer,lexploiterouenassurersamaintenance,ladministrateuraccdelIOSviauneinterfaceenligne decommande(ILCouCLI: CommandLineInterface).Lescommandesaccessiblesvarientvidemmentselonlaversion dIOSainsiqueselonlafonctiondelquipementconsidr,routeur,commutateurouencorepointdaccssansfil. LIOSeststockdanslapartitionmmoireFlash.Pendantledmarragedurouteur,lIOSestchargenmmoirevive. CepointfaitlobjetdundveloppementcompletdanslechapitreGestiondelaplateformelogicielleCISCOIOS.
7.Lesinterfacesetleurnommage
Premierpointagrable:CISCOIOSemploiedefaonsystmatiqueletermeinterface,cequirendlescommandesde configurationconnatretransposablesduneplateformeuneautre.Lenommageduneinterfacerespectelaforme gnralesuivante:
- 24 -
interface
type-interface
numro matrialiselespaceafindesupprimertouteambigut).
(Attention,lecaractre
ParmilesinterfacesLANnesubsistentgureactuellementquelesinterfacesEthernetmaislvolutiontechnologique sepoursuitetlenomattribuparCISCOIOSrappelletoujoursleplushautdbitpossible: QuandilsagitdelEthernethistorique10Mbps.
interface
ethernet
numro
interface
fastethernet
numro
Interfacecapabledesdbits10et100Mbps,dbitauto ngoci. Interfacecapabledesdbits10,100et1000Mbps,dbit autongoci.
interface
gigabitethernet
numro
Le nommage dune interface WAN fait abstraction de la technologie employe en couche physique et de lencapsulationmiseen uvreparlacoucheliaison: interface serial numro
Hlas, cette belle recherche de systmaticit se brise un peu quand on passe au numro. En effet, la faon de numroterlesinterfacesdunrouteurdpenddelasrieetdumodledanslasrie.Ilfautdoncserfrerauguide dinstallation cit un peu plus haut. Le numro peut tre compos de un, deux ou trois chiffres spars par des caractres/:
G
Pourlespetitsrouteurs,linterfacepeuttredsigneparunnumrocomposdunseulchiffre. Quand le numro dinterface est compos de deux chiffres, le chiffre de poids fort dsigne par exemple le numro de connecteur ( slot ) qui reoit la carte dinterface sur la carte mre, le chiffre de poids faible dsignelenumrodeportsurcettecartedinterface. Enfin, les configurations les plus importantes ncessitent une profondeur darborescence 3 niveaux. Le chiffre de poids fort peut dsigner un module, le chiffre intermdiaire peut dsigner une carte fille, un adaptateurdeports,unsousmodule,unslot.Lelecteurnoteraavecsoulagementquelonpeutparfaitement ignorerlesdtailsphysiquesquijustifientcettearborescencedeuxoutroisniveaux.
Selonquelinterfaceestembarquesurlacartemredurouteurousurunmoduleinsrdanslerouteur,ellepeut tredsigneparunnumrodeuxoutroischiffres.Quelquesoitlechiffreconsidr,lanumrotationdbute zro.Letableausuivantfournitquelquesexemplesdenommage,correctssuraumoinsunmodlederouteurCISCO, ainsique,enrfrenceavantpuisquelinterfaceenlignedecommandefaitlobjetduparagraphesuivant,lanotation abrgedecesmmesnomsdinterface:
interface
ethernet
int
e0
interface
fastethernet
0/1
int
fa0/1
interface
gigabitethernet
0/0
int
gi0/0
Reprenons en exemple le cas de la srie 2800. CISCO nous explique que le format du numro est chssis/slot/port. Pourlerouteur2801, chssisprendtoujourslavaleur0cartouslesslotssontconstruitsdanslechssis.Quantaux routeurs2811,2821et2851,certainsslotsappartiennentauchssisetdanscecas,lechiffre chssisprendlavaleur 0.DautresappartiennentaumoduleNM(E)ouaumoduleEVMetdanscecas,lechiffre chssisprendrespectivement lavaleur1oulavaleur2. Pourancrercesnotionsdansleconcret,lelecteurpourrasereporterauchapitreAnnexessectionNumrotationdes interfacesdesrouteursdelasrie2800quifournitunelisteexhaustivedesnumrosdinterfacedecerouteur.
- 25 -
Laconfigurationdurouteur
1.Sourcesdeconfiguration,fichiersdeconfiguration
Pour rsumer de faon lapidaire, lIOS CISCO peut faire, mais sans fichier de configuration ne saurait quoi faire. Ladministrateurluidictesestcheslaidedecommandesregroupesdansdesfichiersdeconfigurationtoujoursau nombrededeux:
G
Lefichier runningconfig(fichier rundefaonabrge)estlefichierdeconfigurationcourantequelerouteur utilisependantsonfonctionnement. Le fichier startupconfig (fichier start de faon abrge), plac en NVRAM, sauvegarde la configuration du routeurenlabsencedalimentation.
Lefichierrunningconfigestobtenuparcopie(clonage)dufichierstartupconfig,copieralisependantledmarrage du routeur. Lorsque ladministrateur modifie la configuration du routeur par ajout ou suppression de lignes de commande, cest le fichier de configuration courante qui est modifi. Les modifications apportes prennent effet immdiatement,onparledeconfigurationincrmentale. Entredeuxdmarragesderouteur,lesmodificationsapportesaufichierdeconfigurationcourantesontperduescar celuici nexistequen mmoire vive. Si ladministrateur souhaite sauvegarder les modifications apportes et donc le nouveltatdufichierdeconfiguration,ildoitcopierlefichierdeconfigurationcouranteverslefichierdesauvegarde laidedunecommande: Router# copy running-config startup-config Oudefaonabrge: Router# copy run start Ladministrateur peut visualiser indiffremment le contenu de chacun de ces fichiers laide de commandes show. Ainsi,pourvisualiserlefichierdeconfigurationcourante: Router#show running-config Quilestpossibledabrgeren: Router#sh run Pourvisualiserlefichierdeconfigurationdesauvegarde:
- 1-
Router#show startup-config Quilestpossibledabrgeren: Router#sh start
2.LinterfaceenlignedecommandeILC
Linterfaceenlignedecommande(ILCenfranais,CLIenanglais)estlacabinedepilotagedurouteur.laidedILC, ladministrateurpeutajouterousupprimerdeslignesdecommandeauxfichiersdeconfiguration.Ilpeutaussivrifier lefonctionnementattendudurouteuroudurseau.partirdelILCdunrouteur,ilpeutouvrirdautressessionsILC surdautresrouteursviaTelnetouSSH.
CelaatditdanslasectionLerouteur:unordinateurspcialisLesportsdadministration,ladministrateuraccde linterfaceILCsoitdefaonlocalevialeportconsole,soitparlerseauviaunesessionTelnetouSSH.Aupremier abord, une telle interface peut sembler dsute. La plupart des configurations actuelles sacrifient la mode des cliquodromes : des fentres, des onglets, des cases cocher, des boutons radio... Ces environnements, videmmentattrayantsdansunpremiertemps,neprsententpasquedesavantages.Demandezunadministrateur systmerompulusagedelinterfaceWindowsXPcequilapensdelanouvelleinterfacedeWindowsVista.Une bonne part des savoirfaire perdus de faon instantane alors quils navaient t acquis quau prix dune longue pratique. Ladministrateuravis,pluttquedeprivilgierlectattrayantduneinterface,doitsinterrogersurlaprennitdes savoirfairequildoitacqurir.Etdecepointdevue,lILCsortgagnante.Carlesmcanismesmisen uvresontpeu ouproulesmmespourtouteslesgammesderouteursmaisaussipourtouteslesgammesdecommutateursCISCO. Mieux, lusage de cette interface sest tellement rpandu quil arrive des constructeurs tiers de proposer leurs matrielsdotsdinterfacesCISCOlike.
- 2-
LinterfaceILCdelexemplecidessusatouvertevialeportconsole.
3.Lesmodesdurouteur
Cestunefaondeprotgerlquipement,maisaussiderassurerlapersonnequiestenfacedelaconsoleILC,toutes lescommandesdeconfigurationnesontpasimmdiatementaccessibles.LIOSprvoittroiscontextes,appelsmodes parCISCO,etquilaissentplusoumoinsdelatitudesladministrateur: Modeutilisateur (Usermode) : ladministrateur accde au routeur sans risque de corrompre son fonctionnement ou celui du rseau. En effet, ce mode nautorise aucun changement dans la configuration et permet essentiellement laffichage dinformations lmentaires. Au dmarrage de la connexion et sauf configuration particulire, lensemble des moyens daccs linterface ILC, Console, Aux et Telnet/SSH placent linterface ILC dans ce mode. Linvite de commanderappellequelinterfaceILCestdanslemodeutilisateurdelafaonsuivante:
Modeprivilgi(Privilegedmode):galementappelmodeenabledunomdelacommandequipermetdyentrer,ce mode offre laccsdescommandesquipeuventremettreenquestionlefonctionnementdurouteuroudurseau. Quelques exemples de commandes critiques : la commande reload qui provoque un redmarrage du routeur la commande debugutileaudpannageoulacomprhensiondephnomnescomplexesmaisquimalutilise,peut consommer de la ressource processeur au point dempcher lquipement dassurer ses tches normales. Si ladministrateur peut sinterroger sur lutilit dun mot de passe qui protgerait laccsaumodeutilisateur,ledoute nest plus permis dans le cas du mode privilgi. Linvite de commande reflte le passage au mode privilgi de la faonsuivante:
- 3-
Les deux modes utilisateur et privilgi sont parfois appels mode EXEC utilisateur et mode EXEC privilgi (mal traduitsparmodedexcution),cequirappellesimplementquelIOS excutelescommandessaisiesdanslinterface ILCpuisyaffichedesmessagesquirendentcomptedesrsultats. Mode de configuration globale (Global config mode) : aucun des deux modes utilisateur et privilgi ne permet de modifierlaconfigurationdelquipement.Ilfautenpasserparlemodedeconfigurationglobaleoulundesessous modes.Commesonnomlindique,cemodeacceptedescommandesdeconfigurationetcescommandesaffectentle fonctionnementdurouteurdanssonentier.Laconfigurationfinaledunrouteurncessiteralasaisiedenombreuses commandes de configuration, chaque commande saisie prend immdiatement effet ds la validation par la touche [Entre]. On dsigne par configuration incrmentale cette faon de progresser vers la configuration dfinitive. Lensembledescommandessaisiesdanslemodedeconfigurationglobaleoudanslundesessousmodesmodifiele fichierdeconfigurationcouranterunningconfig. Chaquecommandeetdoncgalementchaquecommandedeconfigurationprendeffetdslavalidationparla touche[Entre],voildequoiinciterladministrateurlaprudence! nouveau,linvitedecommanderefltelepassageaumodedeconfigurationglobale:
Observez au passage la possibilit offerte ladministrateurdutiliser des commandes abrges. Dans lexemple ci dessus,ladministrateurprovoquedeuxfoislepassageenmodedeconfigurationglobale.Lapremirefois,illefaiten utilisant la commande complte. La seconde fois, il obtient le mme effet en utilisant la commande abrge. Une commande abrge comporte suffisamment de caractres pour permettre lIOS de reconnatre la commande sans ambigit. Par exemple, la squence de caractres con ne peut pas abrger la commande configure car 44 commandes dIOS (version de lIOS 12.4T) dbutent par cette squence (configure, connect, controller). De la mmefaon,ilexiste14commandesquidbutentparlasquence confavec7motsclsdiffrents: conferencejoin, conference-leave, config-cli, config-register, configuration, configure et confreg. En revanche, une seule commandedbuteparlemotclconfiguresuividumotclterminalquildevientpossibledabrgerenconf t. Sousmodesdeconfiguration:partirdumodedeconfigurationglobale,ildevientpossibledaccderdemultiples sousmodes,chacundecessousmodeslimiteleprimtredeconfigurationunchampparticulier,cepeuttrepar exempleuneinterface,unprotocolederoutageouunemthodedaccsaurouteur.Lessousmodescorrespondants sontrespectivementlessousmodes interface,routeretline.Ensegmentantainsilaconfiguration,linterfaceILCse veutstructurante,lobjectiftantbienvidemmentdaiderladministrateurdanssatche.cesujet,lecomportement delaidefournieparlinterfaceILCestdifiant.toutmoment,ladministrateurpeutsolliciterdelaidedelafaonla plussimplequisoit,entapantunpointdinterrogation.LarponsedelinterfaceILClimitetoujourslaidefournieau contexteencours. Commentons la squence de commandes ciaprs, ligne par ligne, afin de synthtiser ces notions de mode. nouveau,ilsagitdunrouteursortiducartonetladministrateuraconnectunterminalauportconsole:
- 4-
1.Unappuisurlatouche[Entre]immdiatementaprslaconnexionphysiqueduterminalauportconsoleprovoque lepassageenmodeutilisateur,cequerappellelinvitedecommandeRouter>. 2.LacommandeenablefaitpasserlinterfaceILCdanslemodeprivilgi,linvitedecommandedevientRouter#. 3. La commande abrge conf t fait passer linterface ILC dans le mode de configuration globale, linvite de commandedevientRouter(config)#. 4.LinterfaceILCgnreunmessageinvitantentrerlescommandesdeconfigurationraisondunecommandepar ligneetrappelantquelasquencedetouches[Ctrl]Zfaitsortirdumodedeconfiguration. 5. La commande de configuration hostname est utilise pour attribuer le nom Nantes au routeur en cours de configuration. Il nyapasdobligation en la matire, mais cela va sans dire, organiser le rseau, cela commence en nommantchaquerouteurdecerseaulaidedunnomuniqueetquiobisseuneloidenommageuniversellement acceptedanslentreprise.LelecteurenrecherchedanscedomainepourrautilementsereporterauRFC1178intitul Choosing a name for your computer . Observez leffet immdiat de la commande, linvite de commande devient Nantes(config)#. 6. La commande line console 0faitentrerdansunsousmodedeconfigurationdontlobjetestlaconfigurationde laccslinterfaceILCvialeportconsole,linvitedecommandedevientNantes(config-line)#. 7.Lacommandepassword eniprotgelaccslinterfaceILCetpuisquelesousmodedeconfigurationestceluiqui rglelaccsvialeportconsole,cestcetaccsquidornavantneserapossiblequenfournissantlemotdepasseeni. 8.Lacommandeexitfaitremonteraumodedeconfigurationglobale. 9. La commande interface fastethernet 0/0 fait passer linterface ILC dans un sousmode de configuration dont lobjet est le rglage de tout ce qui trait lunique interface LAN fastethernet 0/0. Linvite de commande devient Nantes(config-if)#. 10. La commande ip address affecte linterface ladresse IPv4 172.32.1.1/24. La commande no shutdown active linterface. 11.Ensupposantquelaconfigurationsoitmomentanmentsuspendue,ladministrateurrevientdirectementaumode privilgilaidedelacombinaisondetouches[Ctrl]Z. 12. Observez une premire manifestation de SYSLOG dont lobjet est de gnrer des messages dinformation ou davertissement.Unparagraphedecechapitrefournitquelquesdtailscomplmentaires.Bornonsnouslessentiel,il sagitdunmessagedeniveau5(%SYS5,normalmaisimportant)quipeutparatreambigupuisqueletermeconsole revient deux fois. En fait, la premire occurrence from console fait rfrence linterface ILC, la seconde occurrenceby consolefaitrfrencelamthodeouauportutilispourseconnecterlinterfaceILC,danslecas prsent,leportconsole. 13. Ladministrateur, consciencieux, sauvegarde ensuite son travail de configuration en copiant le fichier de configurationcouranteverslefichierdesauvegardestartupconfigplacenNVRAM. 14.Finprovisoire. LelecteurdsireuxdedpasserlesattendusdelacertificationCCNAdanscedomainetrouveraavantage lirelasectionIdentificationdesutilisateursLesniveauxdeprivilgeduchapitreAdministrationetscurit.
4.Limitationdelaccsauxrouteurs,lesmotsdepasse
Au sortir du carton, le routeur nest protg par aucun mot de passe ce qui ne signifie pas quil ne soit pas dj protg.Eneffet,pardfaut,seulleportconsolepermetlaccslinterfaceILCetsesdiffrentsmodesutilisateur puis privilgi et enfin de configuration. Les autres accs Aux et Telnet ne deviennent possibles quaprs leur avoir associ un mot de passe, ce qui ncessite de la configuration. Ceci est cohrent avec lide que, puisquun accs physique est ncessaire, la personne qui a obtenu cet accs (il a fallu entrer dans un local technique protg puis connecter le terminal au port console) est galement qualifie et responsable et que par consquent, tout lui est permissurlerouteur. Chargecetadministrateur,cedevraittresapremiretche,deconfigurerlestroismotsdepassequiprotgeront lestroisaccsConsole,AuxetTelnetpuisdeconfigurerlemotdepassequiprotgeralepassageaumodeprivilgi. Ce mot de passe est particulier puisquil en existe deux dclinaisons, lune qui apparat en clair dans le fichier de configuration,lautrequiestchiffreparlIOS.EnexcluantSSHquimriteunparagrapheluiseul,ceciportecinqle nombredemotsdepassequilestpossibledeconfigurersurlerouteurdontquatreserventuninstantdonn.
a.Protectiondelaccsvialeportconsole
- 5-
Dans le sousmode de configuration de ligne, la commande login permet dactiver le test du mot de passe lors de louverturedesessionvialeportconsole.Quandcettecommandeloginesttapedansparamtresupplmentaire commecestlecasici,lemotdepasseestspcifilaidedelacommandepassworddanslemmesousmode.
Mettons profit la capture dcran cidessus pour observer une facult intressante de linterface ILC que lon pourraitnommerautocompltion:siaucoursdelafrappedunecommande,lenombredecaractresentrsest suffisantpourquelIOSreconnaisselemotclencoursdefrappesansambigit,alorslafrappedelatouche[Tab] provoquelaffichagedecemotcldanssonentier.Lemotclpeuttrelacommandeproprementditeouseulement unparamtreassocilacommande.Danslecasprsent,ladministrateuraentrlescaractrespasspuisfrappla touche [Tab], lIOS a reconnu la commande password et la affich. Il a rest ladministrateur entrer le mot de passedsir.Voilunprocdtrscommode,nonpaspourallervitecequiestlobjetdescommandesabrges, maispourserassurerpendantlapprentissagedecertainescommandes.
b.ProtectiondelaccsvialeportAUX
Rappelonsdabord que si aucun mot de passe nestassociauportaux,louverturedunesessionviaceportest impossible.Siladministrateurnapaslintentiondemettreleportauxenservice,alorsautantnepasallerplusloin, cet accs est demble protg. Lorsquon configure un mot de passe sur ce port, lobjectif rel est de permettre laccstoutenleprotgeant.
c.ProtectiondelaccsviaTelnet
Un accs via Telnet implique de disposer dune interface LAN ou WAN active. La configuration suivante provoque lactivationdelinterfaceLANFa1/0etluiaffecteladresse172.31.1.1/24:
ce stade, imaginons tenter un accs Telnet via linterface LAN 172.31.1.1 depuis la station dadresse
172.31.1.104/24directementconnecteaurseau172.31.1.0/24:
Ainsi,commedanslecasduportaux,louverturedesessionestimpossiblepardfaut.Ladministrateur,deretour surlasessionILCouvertevialeportconsole,ajouteleslignessuivantes:
Lacommandeline vty 0 4provoquelepassagedanslesousmodedeconfigurationdeligne:

G
LemotclvtyrappellequilsagitdelaccsTelnet(VirtualTeletype). Les deux arguments 0 4 indiquent que les ports 0 4 (soit cinq ouvertures de session simultanes possibles)sontlobjetdecetteconfiguration.
Dans un but didactique et afin de dmontrer quil ne suffit pas dactiver ces ports pour rendre laccs possible, ladministrateuradabordentrlacommande login.LIOSsemanifesteenprvenantque,fautedemotdepasse, laccsrestaitimpossiblesurleslignes26(laligne0estoccupeparleportconsole,laligne1estoccupeparle port aux, les ports virtuels vty dmarrent par consquent au numro de ligne 2). Si la commande password tait intervenueavantlacommandelogin,ilnyauraitpaseudemessagesdavertissement. TentonsnouveauunaccsviaTelnetdepuislastation172.31.1.104/24:
Cette fois, la tentative aboutit. Observez que, une fois le mot de passe accept, la session ouverte lest dans le modeutilisateur.Maisunetentativepourpasserdanslemodeprivilgichoue:
Ceciconfirmequelemodeprivilginestaccessiblepardfautquedepuisunesessionouvertevialeportconsole. PourrendrepossiblelepassageaumodeprivilgiquelquesoitlecanaldaccslinterfaceILC,portconsole,port auxouportvty,ilfautcrerlemotdepasseenabledontlobjetestdeprotgercepassage.
- 7-
d.Protectiondupassageaumodeprivilgi
Unepremiremthodeconsistecrercemotdepasseenclairlaidedelacommandeenable password:
Maispuisquecemotdepasseestcritique,ilestsansdouteprfrablequilnapparaissepasenclairdanslesfichiers deconfiguration.Lacommandeenable secretapportelasolutionenpermettantlasaisieenclairdunmotdepasse quiapparatraensuitechiffrdanslefichierdeconfigurationcourante.Attentioncarunefoislacommandevalide,ce mot de passe vient se substituer au mot de passe entr laide de la commande enable password. Au prochain passageaumodeprivilgi,cestcemotdepassequilfaudraentrer:
ce stade, tentons nouveau un accs Telnet via linterface LAN 172.31.1.1 depuis la station dadresse 172.31.1.104/24directementconnecteaurseau172.31.1.0/24:
Le premier mot de passe saisi est eni ,qui autorise laccs linterface ILC via le port VTY. Le second mot de passe saisi est cisco. Il choue puisque la commande enable secret sest substitue la commande enable password. Le troisime mot de passe saisi est ccna , il provoque le passage de linterface ILC dans le mode privilgi. Ladministrateurenprofitepourlancerunecommande show running-configdontlobjetestdafficherlecontenudu fichier de configuration courante. Cette commande pourrait tre abrge en sh run. Quand laffichage dpasse la capacitdelcran,lIOSemplitlcranpuissuspendetaffichelemessage --More--.Ladministrateurpeutalorsau choix, frapper la touche [Entre] pour obtenir laffichage de la ligne suivante ou frapper la touche [Espace] pour obtenir laffichage de lcran suivant, ce tant quil reste des commandes du fichier de configuration non encore affiches.
Observezlesdeuxlignesenable passwordet enable secretprsentesdanscefichierdeconfiguration.Ainsi,quand elles sont prsentes ensemble, le seul mot de passe enable actif est celui saisi laide de la commande enable secretetquilestdsormaisimpossiblededchiffrer.LalgorithmeutilisparlIOSpourcrypterlemotdepasseest MD5(MessageDigest5),cequerappellelechiffre5placimmdiatementavantlasquencechiffredanslefichierde configuration.MD5estutilisencryptographiepourobtenirunesignaturenumriquepartirdunfichier. Lorsquil est utilis pour protger les fichiers, on sait aujourdhui que MD5 prsente des failles. Mais dans le cas prsent,ilsagitdenepaspouvoirretrouverlemotdepassepartirdelasquencecrypte.AlorsMD5prsentetil unefiabilitsuffisante? Lauteur a tlcharg sur le site http://www.oxid.it/cain.html Can & Abel, lun des nombreux logiciels destins casser les mots de passe puis y a entr la squence chiffre contenue dans le fichier de configuration du routeur Nantes:
Ilnaurafalluquequelquessecondesaulogicielpourtrouverlemotdepasseccnacorrespondantlasquence chiffreenMD5.Maisquelelecteurnecdepaslapaniqueetneseprcipitepassurletlphonepourexigerdes explications du constructeur. Lalgorithme utilis par le logiciel Can & Abel est confondant de simplicit. Il explore toutes les combinaisons de caractres et pour chacune delles, calcule la squence MD5 correspondante jusqu trouverlasquenceobjetdelarecherche.Cetalgorithmeestentamavecunelongueursupposede1caractre (a,b,c...)puissepoursuitavecdeuxcaractres(aa,ab,ac...ba,bb,bc...)etainsidesuite.Cetypedattaqueest appelattaqueparforcebruteetnadechancesdaboutirquesilemotdepasseestsimpleetcourt. Imaginonsunmotdepassesur4caractresentrsenminusculeparmilescaractresdelalphabet.Lattaquepar forcebrutedoitaupireexplorer264 =456976combinaisons.raisonde4000parseconde,performanceobserve surlamachinedelauteuraumomentoceslignessontcrites,moinsdedeuxminutessuffisentpourparvenirla solution. Maismettonsenplaceunepolitiquedescuritetimposonsunelongueurminimalede9caractreschoisisparmiles caractresaffichablesdelatableASCII.Cettetablecomporte128caractresmaislescaractres031ainsiquele caractre 127 sont dits non visualisables. Il reste 95 caractres possibles. Lattaque par force brute ignore la longueurdumotdepasseetilluifautexplorerlalongueur1puislalongueur2etainsidesuite.Calculonsletemps passer si la machine est capable de 4000 essais par seconde. Rien que pour la longueur 9, il existe 95 9 = 630249409724609375 combinaisons qui rclameront annes! Hlasparsoucidecommodit(quinapascraintunjourdoublierunmotdepasse?),denombreusespersonnes utilisent des mots du langage courant pour crer leur mot de passe. Lattaque par dictionnaire met ce constat profitettesteunesriedemotsdepassepotentielscontenuedansuneliste.Detelleslistesexistentvidemment surInternet,enrichiesaveclesmotsdepasseobservssurlaplante.Pourcontrercesattaques,ladministrateur doitcettefoisimposerdesrglesdecomplexit:lemotdepassedoitcontenirlettresetchiffres,mixerminusculeset majuscules, utiliser des caractres spciaux, viter les mots du dictionnaire, saler les mots utiliss sil y en a (cestdireconcatnerlemotutilisavecunmotquiluifaitperdresonsenspremiersanstoutefoisperdrelintrt de pouvoir tre retenu facilement), remplacer certains caractres par leur correspondance dans lalphabet Leet (exemples:lalettreMpeuttreremplaceparlasquence(V),lalettreUparlasquence(_)...). Enfinaletmoinsquedemain,lapuissancedesprocesseursnepermettedescalculsbeaucoupplusrapides,lemot depasseconstruitensimposantdetellesrglesaencoredebeauxjoursdevantlui.
e.Lisibilitdelensembledesmotsdepasse
CitonscettepossibilitofferteparlIOSpourmieuxlvacuer.Pardfautethormislemotdepasse enablesecret, lesdiffrentsmotsdepasseapparaissentenclairdanslesfichiersdeconfiguration.Ilestpossibledeprovoquerde faon globale leur chiffrement laide de la commande de configuration globale service passwordencryption. Observezlescapturesciaprsralisesavant,pendantetaprslamiseenplaceduservice:
Lemotdepasseenablepasswordaffichenclairccnaatremplacparlasquence 020507550A,lIOS nommemode7cechiffrementcequerappellelechiffre7placimmdiatementavantlasquencechiffre(lechiffre5 rappelaitluiunchiffrementMD5). Hlas, il ne sagit pas proprement parler dun chiffrement mais dune simple logique combinatoire, comme le dmontrelusagedeloutil Getpass(tlchargeableetgratuit),quiafficheleslettresdumotdepasseenclairaufur et mesure que lon tape la squence chiffre. Le seul intrt de cette commande est de protger les mots de passedesregardsindiscretspardessuslpauledeladministrateurlorsqueceluiciprovoquelaffichagedufichierde configurationlaidedunecommandeshow runoushow start. Un mot de passe, une fois chiffr par le service password-encryption ne sera plus jamais affich en clair dans le fichierdeconfiguration.Leffetdunecommandeno service password-encryptionsebornedsactiverleserviceet donclechiffrementdetoutnouveaumotdepasseentr. Entouttatdecause,ladministrateuravissegarderadestockeroudetransmettredesfichiersdeconfiguration dIOSsansprcaution.Unemesuresagepeutconsisterpurgertoutecommandedemotdepassechiffrounon,le fichier rsultant permettant malgr tout de configurer un matriel identique de faon quasi instantane, ladministrateurcompltantensuitelaconfigurationenrtablissantlesmotsdepasseappropris. LelecteurdsireuxdedpasserlesattendusdelacertificationCCNAdanscedomainetrouveraintrtlire la section Identification des utilisateurs Mthode dauthentification locale et Mthode dauthentification RADIUSduchapitreAdministrationetscurit.
f.CombiendeportsVTY?
BeaucoupdenotionserronescirculentausujetdelaconfigurationdesportsvtysurlesrouteursCISCO.Dabord, mme si les ports 0 4 sont crs par dfaut (une ligne de commande line vty 0 4 existe dans le fichier de configurationvierge),lenombredeportsnestabsolumentpaslimitcinqetdpenddelaplateforme.Poursen convaincre,ilsuffitdedemanderdelaide au moment de la saisie du second nombre reprsentant la bute haute desportsvtyencoursdeconfiguration:
Ainsi,danslecasdunrouteur2801associuneversion12.4delIOS,onapprendavecsurprisequilestpossible de configurer 808 ports VTY. Cest probablement trs audel des capacits relles de la plateforme (au sens ressourcesprocesseuretmmoire)maisaussitrsaudeldesbesoinsduneentreprisenormale.
5.Aide
- 10 -
a.Aidecontextuelle
Laide contextuelle, trs labore, fournie par linterface ILC contribue attnuer son austrit. Un peu comme la cannesoutientlevieuxmonsieur,laidecontextuelleaideladministrateuraufuretmesurequilprogressedansla configuration de lquipement. Impossible en effet de mmoriser la syntaxe de milliers de commandes, impossible galementderesterconnectenpermanencesurlesiteCISCOpourvrifierlasyntaxedetelleoutellecommande. Latouchemagiquequipermetdedemanderdelaideestsimplementlepointdinterrogation?,onpeutlefrapper toutmoment,lersultatdiffreselonlecontextecourantdelinterfaceILC.Quelquescontextespossibles: Commande Prompt#help Prompt#? Prompt#commande? Affichecommentobtenirdelaide. Affichelensembledescommandesadmisesdanslecontextecourant. Listedetouteslesoptionsadmisespourcettecommande(cepeuttredes argumentsoudesmotscls). Listedetouteslescommandesdbutantparlachanedecaractresabc. Autocompltion:compltelacommandepartielleabcsilestpossibledele faire.Exemple:linterfaceILCsubstitueshowlasquencesh[Tab]. Usage
Prompt#abc? Prompt#abc[Tab]
Prompt#commandemotcl? Listedetouteslesprochainesoptionsadmisespourcettecommande associecemotcl. Enrsum,onpeutclasserlaidecontextuelleendeuxcatgories:

G
Dune part, laide type vocabulaire, utile quand un doute subsiste sur le motcl en cours de frappe, est invoquelaidedupointdinterrogationnonprcddunespace. Dautrepart,laidetypesyntaxe,utilequandilfautconnatrelalistedesmotsclsoudesargumentsadmis danslecontexte,invoqueparlepointdinterrogationprcdcettefoisdunespace.
Quandlamention<cr>faitpartiedesrponsesfourniesparlaide(CRsignifie CarrierReturnouretourchariot,bref latouche[Entre]),celasignifiequelacommandeencoursdditionpeutdjtreconsidrecomplte(maiselle nelestpasobligatoirement)etquelunedeslatitudesdeladministrateurestdefrapperlatouche[Entre]pourque lIOS excute la commande. Mais ldition de la commande en cours reste possible, soit pour y ajouter dautres argumentsouoptions,soitpourcorrigerceuxdjentrs. Commedanslecasdunecommande show,quandlalistedesoptionsproposesparlaidedpasselacapacitde lcran, lIOS remplit lcran puis suspend laffichage de lignes supplmentaires en attente dune action de ladministrateur.LadernireligneafficheestalorsMore.Deuxactionssontpossiblesdanscecas: 1.Uneactionsurlatouche[Entre]provoquelaffichagedunelignesupplmentaire. 2.Uneactionsurlabarredespace provoque laffichagedeslignessupplmentairesjusqucequun nouvel cran soitrempli. Cefaisant,lIOSpagineenquelquesortelaffichage.
b.Historiquedecommandes
LIOS maintient un historique des dernires commandes entres. Par dfaut, les dix dernires commandes sont conserves, il est possible de modifier cette valeur laide de la commande terminal history size n, o n est le nombredecommandesmaximalquedoitconserverlIOS: R8#terminal history size ? <0-256> Size of history buffer R8#terminal history size 20 R8# Les touches [Flche en haut] et [Flche en bas] permettent de se dplacer dans lhistorique des commandes. La premireactionsur[Flcheenhaut]affichelacommandeprcdente,chaquenouvelleactionaffichelacommande immdiatementantrieure.Latouche[Flcheenbas]permetderevenirverslescommandeslesplusrcentes.Sur
- 11 -
desterminauxquinesupporteraientpaslactionsurlesflches,ilestpossibledeleursubstituerlescombinaisons [Ctrl] N (Next,laprochainecommande)et[Ctrl]P(Previous,lacommandeprcdente).Lacombinaisondetouches [Echap] < fait revenir au dbut de lhistorique tandis que la combinaison [Echap] > fait repartir la fin. Pour tre complet,mentionnonslapossibilitdafficherlensembleducontenudelhistorique: R8#show history copy run start sh start show adjacency show loopback show access-lists show aaa show aaa local show aaa local user show aaa local user lockout show aliases show cdp show clock show buffers show conf show controllers conf t terminal history size 20 show history show history all show history R8#
c.Aideenligne
Undoutesurlasyntaxedunecommandeetlaidecontextuellevousalaisssurvotrefaim,outoutsimplementle souhaitdobteniruneinformationdefondsurunecommandedelIOS,alorsrendezvoussurlesiteCLILookup deCISCO.Ilfautdisposerduncompte,sicenestpaslecas,lapagedaccueilproposedelecrer: 1.Rendezvoussurlesite:https//tools.cisco.com/support/CLILookup/ 2.Identifiezvousoucrezuncompte.
3.SlectionnezIOS. 4.SlectionnezlaversionIOSconcerne. 5.Entrezunouplusieursmotsclsdelacommanderecherche. 6.Confirmez.
- 12 -
7.Parmilesrsultatsproposs,slectionnezunrsultatquisemblepertinent. 8. Le site affiche les dtails de la commande recherche. Le bouton View/Print permet dafficher le rsultat dans unenouvellepage,laprsentationdesdiffrentesrubriquesesttoujourslamme,cequi,avecunpeudhabitude, rendlexploitationdursultatplusefficace:
- 13 -
6.LescapacitsdditiondelinterfaceILC
Puisque nous ne sommes pas dans une interface graphique, linterface ILC aide ladministrateur diter des commandesensedotantduncertainnombrederaccourcisclavier.Lespagesquiprcdentontdjoffertloccasion devrifierleffetdelacommandeexitoudelacombinaisondetouches[Ctrl]Z.Pourmmoire,quelquesoitlemode courant, utilisateur, privilgi, de configuration, sousmode de configuration, la commande exit fait remonter dun niveau, la combinaison [Ctrl] Z fait sortir directement de tout mode ou sousmode de configuration pour revenir au modeprivilgi. condition de les mmoriser, les raccourcis suivants, ddis aux dplacements dans la ligne en cours ddition, peuventgalementservlerutiles:
Combinaisondetouches
- 14 -
Actionrsultante
[Ctrl]B [Ctrl]F [Echap]B [Echap]F [Ctrl]A [Ctrl]E
Dplacelecurseurduncaractreverslagauche(B=Backward). Dplacelecurseurduncaractreversladroite(F=Forward). Amnelecurseursurlapremirelettredumotcourant. Amnelecurseurimmdiatementaprslederniercaractredumotcourant. Amnelecurseurendbutdeligne(Atfirst). Amnelecurseurimmdiatementaprslederniercaractredelaligne(End).
Lesraccourcissuivantseffacentuncaractreouunepartiedemotouunepartiedeligne:
Combinaisondetouches [Ctrl]D [Ctrl]H Actionrsultante Supprimelecaractresitusouslecurseur(Delete). Supprimelecaractrequiprcdelecurseur,mmeeffetquelatouche[Retour arrire]. Supprimetouslescaractresdumotcourantquiprcdentlecurseur. Supprimetouslescaractresdumotcourantquisuiventlecurseurainsiquele caractresitusouslecurseur. Supprimelatotalitdescaractressitusentrelecurseuretlafindeligne, caractresitusouslecurseurinclus. Supprimelatotalitdescaractressitusentrelecurseuretledbutdeligne. Lescaractressontplacsdansuntamponquilestpossiblederappelerlaide
[Ctrl]W [Echap]D
[Ctrl]K
[Ctrl]U
- 15 -
delacombinaison[Ctrl]Y.
7.Atelier:PriseenmaindelinterfaceILC
a.Dfinitionduncontextedatelier
Dslepremierouvragedecettesrie,lesoucidelauteuratdepermettreltudiantdeprogresserchezluiavec sesmoyenspropres.LesatelierspropossdanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection CertificationsauxEditionsENIfaisaientunabondantusagedeVMwareWorkstation.Pourmmoire,VMwareinstall sur une machine hte, permet dy crer autant de machines virtuelles que ncessaire et que peut en supporter lhte. Chaque machine virtuelle est un espace clos dans lequel il est possible dinstaller la plupart des systmes dexploitation que connat le PC (lditeur en revendique deux cent). Si la machine hte dispose de plusieurs processeurs(casdesmachinesdualcoreetquadcore,alorsilestpossibledeconfigurerlamachinevirtuelle pour quelle profite dun, de deux ou de quatre processeurs, cela na videmment dintrt que si le systme dexploitation install sur la machine virtuelle est conu pour tirer parti de plusieurs processeurs (Windows 2000 ProfessionnelouWindowsXPparexemplepeuventmettreprofitdeuxprocesseurs,maisilfautsetournerversdes versions Serveur pour en supporter davantage). La quantit de mmoire disponible sur la machine hte est dterminantemaissilesystmedexploitation,commecestencoreleplussouventlecasaumomentoceslignes sontcrites,estuneversion32bits,alorslePChteembarqueaumaximum232 =4GodeRAM,limitequinesera franchiequavecladoptiondessystmesdexploitation64bits. Lessentiel est encore venir : chaque machine virtuelle peut tre dote dun ou plusieurs adaptateurs rseaux virtuels.Ladministrateurdcideensuitedeconnecterchacundecesadaptateurslundesconcentrateursvirtuels, VMwareWorkstationenfournitdixnotsVMnet0VMnet9.Chacundecesconcentrateurspeuttresontourreli un adaptateur rseau virtuel install cette fois dans la machine hte (not VMware virtual ethernet adapter for VMnetx . Parmi les nombreuses autres possibilits, notons celle qui consiste tablir un lien de type pont ( bridge )entre ladaptateur rseau physique de la machine hte et lundesconcentrateursvirtuelsVMnetx.En final,touteconfigurationderseaulocalmlantmachinesvirtuellesetlamachinephysiqueestdoncfacileraliser. Quant aux routeurs, le premier ouvrage proposait des mises en situation ralises laide de cet excellent outil propos par CISCO et nomm Packet Tracer. Mais il ne sagissait que de simulations et ltudiant lecteur engag dans le cursus CISCO pouvait regretter de devoir patienter jusqu une mise en situation relle propose par lorganismedeformationpourprendrelamainsurdesrouteursphysiques.Cesecondouvrageproposedepasser delasimulationlmulationlaidedeloutilGNS3(GraphicalNetworkSimulator)quilestpossibledetlchargersur lesite:http://www.gns3.net/
GNS3sedfinitcommeunsimulateurderseaugraphique,maisenralit,ilsagitpluttduneinterfacequifacilite la mise en uvre de Dynamips, logiciel qui permet dmulerunrouteurphysique.Dynamipsestaurouteurceque VMwareestauPC.VMwarepermetdecrerunemachinevirtuelledanslaquelleladministrateurinstalleunsystme dexploitationcommeilleferaitsurunPCrel.Delammefaon,Dynamipspermetdecrerunrouteurvirtuelsur lequelladministrateurchargelimageIOSconvenablecommeilleferaitsurunrouteurrel.Etcestltoutlintrt pdagogique.ApprendresurunPCvirtuelmuldansVMwarecrelesmmessavoirfairequapprendresurunPC physique. De faon analogue, un routeur mul laide de Dynamips se comporte strictement comme le routeur physique porteur de la mme image IOS, les apprentissages sont donc les mmes mais il devient possible de les dlocaliser. Cest un peu comme si on permettait ltudiantdemmener le bundle (ensemble de matriels CISCO que doit acqurir tout organisme de formation qui adhre lacadmie CISCO) sous le bras ! Merci donc son crateurM.ChristopheFILLOTdelUniversitdeTechnologiedeCompigne. Dynamips est associ Dynagen, une interface crite dans le langage de programmation Python et qui facilite linterconnexion de plusieurs machines mules dune mme topologie. GNS3, galement crit en langage Python, fournit une interface utilisateur graphique facilitant lexploitation de Dynamips/Dynagen. Dynamips est capable dmuleractuellementlesplatesformes1700,2600,3600,3700et7200. LensembledesateliersdecetouvrageatralissurunportablequipdunprocesseurIntelT9600DualCore cadenc 2,8 GHz et qui embarquait 4 Go de RAM. Le systme dexploitation hte a t Windows 7 en version dvaluation7100.VMwareWorkstationtaitenversion6.5(uneversion7estdisponible).GNS3pourWindowstait enversion0.6.1. LerouteurmulrsultedelassociationdeDynamipsetduneimageIOSvalide.Sicelaneposeaucunedifficult pour un client CISCO, il en va en principe autrement pour ltudiant administrateur en devenir. Sans intention de
- 16 -
vouloir encourager lutilisation de licences illgitimes, lauteur rappelle quaucune des machines virtuelles, PC ou routeur, de cet ouvrage ne sera jamais une machine de production. Tout au plus une construction didactique phmre,supportdapprentissage.
b.PrparationdesmachinesvirtuellesVMware
Lesmachinesvirtuellesprparesparlauteurafindeservirdecadreauxateliersdecetouvragesontinventories dansletableaucidessous: VMSRV01 VMWKS02 VMWKS03 PC8,11,12,21,22si Windows PCL8,11,12,21,22si Linux Nombreprocesseurs Mmoirevive 1 384Mo 2 1024Mo 1 128Mo 1 64MosiW2000 48MosiLinux Disque NombreAdaptateurs rseau Systmedexploitation 8Go 1 6Go 5 6Go 1 6Go 1
W2000SRV
XPProfSP3
W2000ProfSP4
W2000ProfSP4 OuUbuntu
Logicielsnotables
Services rseau
GNS3
ServeurSYSLOG (Kiwi) ServeurRADIUS (RADL)
PuTTY Wireshark
Chacun des ateliers proposs ensuite ne ncessitera pas dactiver ensemble toutes ces machines fort heureusement. chaque instant, le souci doit tre dconomiser la quantit de mmoire affecte aux diffrentes machines. Cest ainsi que les machines PC8, PC11, PC12, PC21, PC22 qui ne servent qu tester la connectivit doiventtredesmachinesWeightWatchers.Nhsitezpasdsactiverdesservicesinutiles(danscecontexte) telsque:
G
Clientdesuivideliendistribu. Misesjourautomatiques. Planificateurdetches. AgentdestratgieIpsec.
cesujet,lauteurutilisedepuispeulesservicesdeTuneUp2010surlamachinehte.Ilaainsittrsfacilede dsactivertoutcequinesertquelapparenceauprofitdunemachinedevenuetrsfluide,ilfautsavoircequelon veut. PC11,PC12,PC21etPC22peuventtreobtenustrssimplementparclonagedelamachinePC8.Deplus,parmiles optionsproposeslorsduclonage,lunedelles permet, en conservant un lien avec la machine dorigine,dobtenir unenouvellemachineavectrspeudespacedisqueconsomm:
- 17 -
Les frus de Linux gagneront sans doute reproduire ces mises en situation sous leur systme dexploitation prfr.Poursapart,lauteuravoueunecertainerticence,toujoursgnparlemilitantisme,quelquefoisassezpeu professionnel,desporteursdelabonnenouvelledumanchot.Maislarecherchedefficacitetdecompacitprime. Cest pourquoi nous avons plac en tlchargement sur le site ENI une machine virtuelle prte lemploi (merci Gatandavoirprparcettemachine)danslarchivewm_ubuntu.zip.Unedocumentationestincluseauformatpdf. SousVMware,ouvrezcettemachineUbuntupuisclonezlaafindeproduirelesmachinesPCL8,PCL11,PCL12,PCL21 et PCL22. Pour chacune des machines, voici la squence de commandes ncessaires afin dadapter la machine au contexte: Login : ubuntu Mot de passe : sunrise $ ifconfig a Linvitedecommandes(le prompt) estmatrialisparlesymbole$.Lesystmerenvoielalistedesinterfaces rseauquilconnat,notezlenumrodordreaffectlinterfaceEthernet,parexempleeth4. $ sudo nano /etc/network/interfaces
Nanoestunditeurdetexte.Sudoinformelesystmedexploitationquildoitexcuterlacommandeavecleniveau de privilge root (administrateur). Le mot de passe root est galement sunrise. Le fichier ouvert contient la configuration courante des interfaces. Sous le label # The primary network interface, remplacez les deux occurrences ethxpar eth4puisadaptezlaconfigurationIP.Sortezpar[Ctrl]X,Ypouryesetvalidezparlatouche [Entre].Redmarrezlapartierseauafinderendreeffectivelanouvelleconfigurationlaidedelacommande: $ sudo /etc/init.d/networking restart
Lesystmerpond: * Reconfiguring network interfaces [OK]
Voil votre machine prte lemploi. Attention la commande ping qui, la diffrence des systmes Windows, gnredesrequtesdefaoncontinue(unecommande pingtprovoqueraitlemmeeffetsousWindows)etdont onsortlaidedelacombinaisondetouches[Ctrl]C.AttentiongalementaufaitquelesoutilsdeVMware( VM Tools ) ne sont pas installs sur cette machine. Par consquent, une fois que la fentre correspondante cette machine a le focus, la seule faon den sortir est la combinaison de touches [Ctrl][Alt]. La barre dtat de VMware rappellecetteparticularit. linverse des machines PC8 PC22 (ou PCL8 PCL22), la machine virtuelle nomme VMWKS02 accueille GNS3/Dynamips et a lambition de parvenir faire fonctionner des topologies comprenant jusqu 6 routeurs. Ceci justifieuneconfigurationplusmuscle:1GodeRAMetdeuxprocesseurs.LamachineVMWKS03neseraactiveque pendant les ateliers organiss autour de SYSLOG (journalisation dvnements) et RADIUS (authentification des utilisateurs).Enfin,lamachineVMSRV01hbergeunWindows2000Server,cequipeutsavrerutilesilfallaitmettre enplaceunquelconqueservicerseau(DHCP,DNS...).
- 18 -
Nous ne dtaillerons pas toutes les tapes ncessaires la prparation dun tel ensemble de machines, laide fournie par VMware est trs complte. Il peut tre agrable douvrir plusieurs instances de VMware, cest le cas quand on a la chance de disposer de plusieurs crans sur la mme machine hte. Ceci sopre laide de la commandedemenuVMware FileNewWindow.Ainsi,danslexemplecidessous,uneinstanceestouvertesur unetopologiederouteurscredansGNS3hbergparlamachinevirtuelleVMWKS02,lautreinstancedeVMware estouvertesurunequipe(team)composedesmachinesPC8,PC11,PC12,PC21etPC22:
Rassemblerplusieursmachinesvirtuellesdansunequipeprocureuncertainnombredavantages:
G
Ladministrateurpeutprovoquerledmarragedelquipeparuneseuleaction.LordrededmarragedesPC dans lquipe est prdtermin. De plus, ladministrateur peut ajuster le temps qui scoule entre le dmarragedunPCetledmarrageduPCsuivant(10secondespardfaut). LesmachinesvirtuellesdunequipepeuventtreconnectesunsegmentLANdontladministrateurpeut lafoisrglerlabandepassanteetletauxderreur! Le focus est port sur une machine de lquipe mais les autres machines apparaissant sous forme de vignettesquireprsententlactivitrelledelcran.
c.PrparationdesrseauxvirtuelsVMware
Il sagit dassurer la connectivit convenable des machines virtuelles entre elles, des machines virtuelles avec la machine hte voire des machines virtuelles avec le ou les adaptateurs rseau physique qui quipent la machine hte. Le tableau cidessous tente dinventorier les connexions tablies, il semblera probablement nbuleux au lecteur,maisilprendradusensmesuredelavancedanslatelier: Hte VMnet0 VMnet1 VMnet2 VMnet3 VMnet4 VMnet5 VMSRV01 VMWKS02 BRIDGE NIC11 NIC12 NIC21 NIC22 NIC11 NIC12 NIC21 NIC22 VMWKS03 PC8 PC11 PC12 PC21 PC22
- 19 -
VMnet6 VMnet7 VMnet8 VMnet9 Chacunedescinqmachines PC(L)xestrelielamachinequihbergeGNS3.Lesnomsdonnsauxadaptateurs rseau (NIC : Network Interface Card) le sont au sein du systme dexploitation qui quipe la machine correspondante.DanslamachineVMWKS02,ilestconseilldajouterunseuladaptateurrseaulafois.Dtaillons laprocduredajoutdunadaptateurrseaudanslamachineVMWKS02:
I
NIC8
NIC8
NIC8
LamachinevirtuelleVMWKS02estactive.Commenonsparuntatdeslieux.Effectuezunclicdroitsurlongletde lamachinevirtuellepuisslectionnezSettings:
Danslafentre VirtualMachineSettings,slectionnezllmentNetworkAdapter.Faisonslechoixdeconnecter cettecartevirtuelleaurseauphysiquedelamachinehteenslectionnantleboutonradioBridged. Surlebureaudelamachinevirtuelle,effectuezunclicdroitsurlicneFavorisrseauetslectionnezProprits:
RenommezladaptateurrseauBRIDGE(effectuezunclicdroitsurladaptateurpuisslectionnezRenommer)afin dviterdeconfondrecetadaptateurexistantaveclesadaptateursvenir. Revenez aux rglages de la machine virtuelle et cliquez sur Add. Ajoutez un adaptateur rseau virtuel et connectezleauconcentrateurVMnet1:
- 20 -
Revenez au bureau de la machine virtuelle, effectuez un clic droit sur licne Favoris rseau et slectionnez Proprits.RenommezladaptateurajoutenNIC11:
Renouvelez lensemble de la squence jusqu ce que la machine VMWKS02 dispose de ses cinq adaptateurs NIC11, NIC12, NIC21, NIC22 et NIC8, chaque adaptateur tant connect au concentrateur VMnet convenable, selonletableaudaffectationdesVMnetfourniendbutdeparagraphe:
Depuislemenu Dmarrerdelastationhte,lancezlapplication VirtualNetworkEditordeVMware.Attention,si lastationhteestsousWindowsVistaouWindows7,celancementdoitsoprerenmodeadministrateurcequi estobtenueneffectuantunclicdroitsurleraccourcidelapplication:
- 21 -
DelafentreVirtualNetworkEditor,slectionnezlongletNATetdsactiveztoutetranslationdadressesNAT:
Ilestpossibledtabliruneconnexionrseauentrelamachinehteetunouplusieursdesconcentrateursvirtuels VMnet.Parexemple,imaginonsquelonsouhaitetablirunlienavecVMnet8:
I
Delafentre VirtualNetworkEditor, slectionnez longlet HostVirtualAdapters.Cliquezsur Add.Slectionnez VMnet8danslalistedroulantepuisconfirmezetappliquez:
- 22 -
De retour la machine hte, effectuez un clic droit sur licne Rseau ou Favoris rseau et slectionnez Proprits.ConstatezlacrationdunouveladaptateuretrenommezleenNIC8afindenepasleconfondreavec dautresadaptateursvenir:
Adaptez la configuration IP de NIC8 aux tests en cours. Imaginons par exemple quil faille ouvrir une session TelnetsurunrouteurmuldansGNS3etdontleportf0/0dadresseIP10.0.8.1/24soitconnectVMnet8.Dans cecas,ilfautaffecterlunedesadressesdurseau10.0.8.0/24ladaptateurNIC8delamachinehte. Ouvrez nouveau Virtual Network Editor, slectionnez longlet Host Virtual Adapters et constatez que ladaptateur virtuel New device est devenu ladaptateur NIC8. Slectionnez longlet DHCP. Otez tout rseau virtuel,cliquezsurStoppourarrterleservicepuisconfirmezencliquantsurAppliquer:
- 23 -
FermezlapplicationVirtualNetworkEditor.
d.PrparationducontexteGNS3/Dynamips
I
Sicenestdjfait,tlchargezPuTTYsurlesite:http://www.chiark.greenend.org.uk/~sgtatham/putty/ InstallezPuTTYsurlamachinevirtuelleVMWKS02.VMwareoffredeuxpossibilitsquandilfautcopierdesfichiers depuislamachinehteversunemachinevirtuelle: 1. Partager un rpertoire de la machine hte que la machine virtuelle voit comme un lecteur rseau. Cette fonctionnalit, appele Shared folders dans VMware, sactive depuis longlet Options de la fentre Virtual MachineSettings. 2.SilesoutilsVMware( VMTools) onttinstallssurlamachinevirtuelle,alorsloprationGlisserDposer fonctionneentrelamachinehteetlesmachinesvirtuelles.
Tlchargez GNS3 sur le site : www.gns3.net (GNS30.6.1win32allinone.exe 11309 Ko au moment o ces lignessontcrites).InstallezGNS3surlamachinevirtuelleVMWKS02.Unefoislinstallationtermine,GNS3vous proposederglerimmdiatementuncertainnombredeparamtresquilestpossiblederetrouverensuiteviala commandedemenuEditerPrfrences:
- 24 -
Lacommandepourleterminal(point3)permetdesubstituerPuTTYauTelnetintgrdusystmedexploitation. Les diffrents rpertoires GNS3_Project, GNS3_IOS, GNS3_Work ont t crs au pralable. Respectez bien les nomspropossafindeconserverlacohrenceaveclasuitedelouvrage(points5,6et8).Enfinal,cliquezsurle boutonTesterpourvrifierlelancementdeDynamips.GNS3doitrpondreDynamipssuccessfullystarted. Linstallation de GNS3 propose ensuite de renseigner limage IOS utiliser pour chaque plateforme quil lui est possible dmuler. Diffrez ce paramtrage, nous y reviendrons ultrieurement car il reste accessible via la commandedemenuEditerImagesIOSethyperviseurs. Sur la machine hte, vous tes parvenu rcuprer une image CISCO IOS valide. Il est utile den vrifier les fonctionnalitslaidedeloutil CiscoFeatureNavigator(entrerdansunmoteurderecherchepourtrouverle lien):
Parmi les caractristiques fournies, lune intresse le fonctionnement de Dynamips : il sagit de la quantit de mmoire RAM ncessaire pour assurer le bon fonctionnement de lIOS en question. Dans lexemple cidessus, limage IOS est c2600ik9smz.12240a.bin destine faire fonctionner un routeur mul de type 2621. Loutil CISCOFeatureNavigatorinformequelaplateformedoitdisposerde48ModeRAM. Placez la prcieuse image dans le rpertoire GNS3_IOS de la machine virtuelle VMWKS02. Revenez GNS3 et
- 25 -
lancezlacommandedemenuEditerImagesIOSethyperviseurs.ParamtrezGNS3afinquilutilisepardfaut cetteimagepourlaplateforme2600etenluiaffectant48Modemmoirevive:
Ouvrez le gestionnaire de symboles via la commande de menu Editer Gestionnaire de symboles. Dans les symboles disponibles, slectionnez Computer et transfrez ce symbole du ct Nuds personnaliss. Double cliquez sur Computer du ct N uds personnaliss (au point 4) puis remplacez le type Nud dcoratif par le typeNuagedelalistedroulante.Appliquezetfermez:
Crez un nouveau projet via la commande de menu Fichier Nouveau ProjetdeGNS3.Nommezvotrepremier projet Atelier1a,veillezbiencocherlescases Sauverlesnvramsetautresdisques(recommand)ainsique Exporterlesfichiersdeconfigurationdesrouteurs.Confirmez.Quandleprojetestouvertetchaquefoisquela topologie ou la configuration dun routeur ont fait lobjet de modifications, il est possible de sauvegarder lensembleenunseulclicsurleboutontiquet2:
- 26 -
Glissez/dposez un routeur C2600 sur la zone centrale de GNS3, zone destine recevoir votre topologie. Le routeur est numrot automatiquement R0. Effectuez un clic droit sur R0 et slectionnez Configurer. Dans la fentre Configurateur de nuds, observez sans modifier longlet Mmoires et disques et notamment le dimensionnementdesdeuxpartitionsRAMetNVRAMdurouteur.Danslonglet Slots,observezquepardfaut,le seul slot occup lest par une carte deux ports Fast Ethernet. Nous aurons besoin galement de ports WAN. DanslasousfentreWICs,ajoutezunecarteWIC2T(deuxportsdetypeserial).Appliquezetfermez:
Glissez/dposezunPCsurlatopologie.PourGNS3,ilsagitdunnuage( Cloud)cequiexpliquequilsoitnumrot C0 . Effectuez un clic droit sur C0 et slectionnez Configurer. Dans la fentre Configurateur de nuds, slectionnez longlet NIO Ethernet. Droulez la liste des adaptateurs rseau ports par la machine virtuelle VMWKS02.Vousdevezyretrouverlesadaptateursprcdemmentcrs,cestdireNIC8,NIC11,NIC12,NIC21, NIC22.Slectionnez NIC8puiscliquezsurAjouter.Ainsi,cenuageseradsormaisconnectladaptateurvirtuel NIC8etdoncauconcentrateurVMnet8.Appliquezetfermez:
- 27 -
CliquezsurleboutondebarredoutilsAjouterunlien.Danslemenucontextuelquisaffiche,slectionnezManual. Le curseur devient une croix et le bouton de barre doutils reste rouge pour indiquer que GNS3 est en mode ddition de liens. Cliquez sur R0 et slectionnez le port Ethernet f0/0. Une connexion apparat depuis R0. EmmenezcetteconnexionjusquC0.ParvenuC0,GNS3proposeluniqueportaffectcenuage.Slectionnez leportpropos.UneconnexionEthernetestmaintenanttablieentreVMnet8etf0/0deR0.Cliqueznouveau surleboutondelabarredoutilsAjouterunlienafindesortirdumodeditiondeliens:
EffectuezunclicdroitsurR0etslectionnezChangerlenomdhte.RenommezR0enR8.Faitesdemmeafinde renommerC0enPCL8.Observezgalementquilestpossibledemodifierlapositiondestiquettesafindviterle chevauchement avec des liens. En final, vous devriez parvenir une topologie comparable celle propose au point5delafigureciaprs:
- 28 -
Mettez en service puis rduisez en barre des tches le Gestionnaire de tches de Windows afin de surveiller lactivitduprocesseurdelamachinevirtuelleVMWKS02:
Ilesttempsdeprovoquerledmarragedenotrenouveaurouteursortiducarton.EffectuezunclicdroitsurR8et slectionnez Dmarrer.Nefaitesrienpendantquelquesinstants.Ilestprobablequecedmarrageconsommela plusgrandepartiedesressourcesdevotremachine.UnebizarreriedeprogrammationfaitqueDynamipsrclame lexclusivitduprocesseurtantquaucunevaleurtempsmortnatcalcule.Effectuezunclicdroitnouveau sur R8 et slectionnez IdlePC. Dynamips se lance dans une surveillance de lactivit du processeur jusqu dtecter des boucles de programmation o le processeur est consomm vide . De cette surveillance, Dynamipsdduituncertainnombredevaleurstemporelles(point6).Lesvaleursmarquesdunetoilesontcelles qui prsentent une probabilit potentielle de relchement adquat de la ressource processeur par Dynamips. Si vous nobservez aucune toile, relancez le calcul et ce, autant de fois que ncessaire. Si cest votre jour de chance, une, voire plusieurs valeurs IdlePC avec toile apparaissent dans la liste. Slectionnez une de ces valeursetconfirmez(point8).
- 29 -
VousdevriezobserverunebaissesignificativedelactivitprocesseurlafoispourlamachinevirtuelleVMWKS02 et pour la machine hte. Lancez la commande de menu Editer Images IOS et hyperviseurs. Dans la fentre ImagesIOSethyperviseurs,doublecliquezsurlimageassocielaplateformeencoursdmulationpour R8. Observez que la valeur IDLE PC est dornavant renseigne (comparez avec cette mme fentre au dbut de latelier).Ainsi,toutenouvelleinstancederouteurissuedecetteplateformeetdposesurlatopologiedispose dembledunevaleurIdePC,ladministrateurnapasprovoquerunnouveaucalcul:
ce stade, nous avons bien mrit de pouvoir lancer la console et ainsi taper nos premires commandes. Effectuez un clic droit sur le routeur R8 et slectionnez Console. Si tout va bien, cest magique, nous voil aux commandesdunrouteur2621.Rpondez nolapropositiondesetup,ilseratoujourstempsdyrevenirensuite. Pressezlatouche[Entre]etaprsquelquesinstantsinterminables,R8consentafficherlinvitedecommandes. LinterfaceILCestenmodeutilisateur.Passezenmodeprivilgipuisenmodedeconfigurationafindeconfigurer linterfacef0/0,cestdirelinterfaceconnecteVMnet8doncPCL8:
- 30 -
Ilesttempsdesauvegardernotreprojet.CliquezsurleboutonSauverlatopologiedelabarredoutils.Saisissez un nom qui vous convienne et confirmez. Cliquez sur le bouton Extract/Import all startupconfigs de la barre doutils (point 5). Dans la fentre Configs,slectionnez Extracting to a directory et confirmez. Dans la fentre Rechercherundossier,choisissezparexempleGNS3_Worketconfirmez.Observezlepanneau Consolesituau basdelafentreGNS3:unmessageconfirmequelexportationsestbienralise.Dsormais,chaquenouvelle sauvegarde de la topologie entranera une extraction des fichiers de configuration startupconfigs vers le rpertoireGNS3_Worksansinterventiondeladministrateur:
laconditionderglerlaconfigurationIPdeladaptateurvirtuelNIC8danslamachinevirtuelleVMWKS02,ilest possibledepinguerlerouteurR8depuisVMWKS02:
- 31 -
Ilsetrouvequesurleconcentrateur VMnet8,nousavonsgalementplacunadaptateurrseauvirtuelhberg par la machine hte. Cet adaptateur a t nomm NIC8. la condition de rgler la configuration IP de ladaptateurvirtuelNIC8danslamachinehte,ilestpossibledepinguerlerouteurR8depuislamachinehte:
Nactivezladaptateur NIC8delamachinehtequaumomentdevousenservirdanslunedesmisesensituation etdsactivezleensuite.Eneffet,quandcetadaptateurestactiv,lesystmedexploitationhtedisposededeux passerelles (celle de ladaptateur rseau physique + celle de ladaptateur virtuel) ce qui nest une situation acceptable que si les passerelles sont dans le mme rseau. Dans le cas contraire, il est fort probable que la machinehtenepuisseplusparexemplesortirsurInternet. Maisleplusintressantestencorevenir.OuvrezunesecondeinstancedeVMwarelaidedelacommandede menuFileNewWindow.laidedecetteinstance,ouvrezlquipedePCdestineauxtests.Pourlemoment, seul PCL8 est utile. Rglez la configuration IP de ladaptateur rseau virtuel NIC8 qui quipe PCL8 : {@IP 10.0.8.2/24Passerelle10.0.8.1}.TentezunpingversR8:
- 32 -
Voustesparvenucestade.Sincrement,flicitationsetbravodevosefforts.Lauteuraconsciencequelamise enplacedececontextetaitlourde.Maisavouezquelesperspectivesouvertesaveccetteplateformemritent quelonsacharne!
e.Lemodesetup
Aucun administrateur chevronn nutiliserait le mode setup pour paramtrer un routeur. Ce paragraphe na donc pourseulobjetquedepouvoirrpondreauxquelquesquestionsqueltudiantestsusceptiblederencontrerdans lespreuvesdecertification.Lemodesetupinverselesrlesenposantdesquestionsladministrateurdanslebut debtiruneconfigurationminimale.LIOSproposedactiverlemodesetupquandiltrouveunfichierdeconfiguration startupconfig vide pendant la squence de dmarrage. Cest toujours le cas dun routeur sorti du carton, cest galementlecasdunrouteursurlequelladministrateurauraittaplacommandeerasestart: R8#erase ? /all /no-squeeze-reserve-space flash: nvram: pram: startup-config R8#erase startup-config ? <cr> Au cas peu probable o ladministrateur souhaiterait relancer le mode setup, cela reste possible laide de la commandeEXECsetupentrerenmodeprivilgi. nimporte quel moment du mode setup, la combinaison de touches [Ctrl] C permet de mettre fin au processus. Naturellement,lesquestionsposesdiffrentselonletypedeplateformeetlaversiondIOS.Dansnotremiseen situationsimulelaidedeGNS3(Plateforme2621,IOS12.2(40a)),lesquestionsonttlessuivantes: Connected to Dynamips VM "R8" (ID 2, type c2600) - Console port % Please answer yes or no. Would you like to enter the initial configuration dialog? [yes/no]: yes At any point you may enter a question mark ? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets []. Basic management setup configures only enough connectivity for management of the system, extended setup will ask you to configure each interface on the system
Erase all files(in NVRAM) Do not reserve space for squeeze operation Filesystem to be erased Filesystem to be erased Filesystem to be erased Erase contents of configuration memory
- 33 -
Would you like to enter basic management setup? [yes/no]: no First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value "NO" does not have a valid configuration Interface Protocol FastEthernet0/0 FastEthernet0/1 IP-Address unassigned unassigned OK? Method Status NO NO unset unset up up up up
Configuring global parameters: Enter host name [Router]: R8 The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: ccna The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: ccent The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: ccie Configure SNMP Network Management? [yes]: no Configure IP? [yes]: Configure IGRP routing? [yes]: no Configure RIP routing? [no]: Configure bridging? [no]: Async lines accept incoming modems calls. If you will have users dialing in via modems, configure these lines. Configure Async lines? [yes]: no Configuring interface parameters: Do you want to configure FastEthernet0/0 interface? [yes]: Use the 100 Base-TX (RJ-45) connector? [yes]: Operate in full-duplex mode? [no]: yes Configure IP on this interface? [yes]: IP address for this interface: 10.0.8.1 Subnet mask for this interface [255.0.0.0]: 255.255.255.0 Class A network is 10.0.0.0, 24 subnet bits; mask is /24 Do you want to configure FastEthernet0/1 interface? [yes]: no
The following configuration command script was created: hostname R8 enable secret 5 $1$cihY$rjw6EtAP7T48hLiV3kRDX0 enable password ccent line vty 0 4 password ccie no snmp-server ! ip routing no bridge 1 ! interface FastEthernet0/0 media-type 100BaseX full-duplex ip address 10.0.8.1 255.255.255.0 !
- 34 -
interface FastEthernet0/1 shutdown no ip address dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit ! End [0] Go to the IOS command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration to nvram and exit. Enter your selection [2]: Building configuration... Use the enabled mode configure command to modify this configuration. Press RETURN to get started! Observez les choix proposs la fin du processus: le choix 0 ignore les rponses fournies et renvoie linvitede commandedelinterfaceILC,lechoix1ignorelesrponsesetprovoqueunnouveauprocessussetup,enfinlechoix 2metenplacelaconfigurationbtielaidedumodesetupensauvegardantlefichierrsultantenNVRAM. Il est intressant de constater que le choix 2 est le seul cas o lIOS crit la fois dans le fichier runningconfig prsentenRAMetdanslefichierstartupconfigprsentenNVRAM. Silelecteurnedisposepouruniqueressourcequeceseulouvrage,alorsilpeuttudierlexemplefourni.Biensr,il gagnerareproduireaumoinsunefoisleprocessussurunrouteurreloumul.
f.Accderlinterfacepuispasserenmodeprivilgi
Profitonsdurouteurdontnousdisposonspournousentranerenprotgerlesaccs.
I
ReproduisezsurR8lessquencesdecommandessuivantes:
R8>en R8#conf t Enter configuration commands, one per line. End with CNTL/Z. R8(config)#line vty 0 4 R8(config-line)#logging synchronous R8(config-line)#exec-timeout 0 0 R8(config-line)#password ccna R8(config-line)#login R8(config-line)#exit R8(config)#enable secret ccna R8(config)#^Z *Mar 1 09:04:20.924: %SYS-5-CONFIG_I: Configured from console by console R8#copy run start Destination filename [startup-config]? Building configuration... [OK] SauvegardezencliquantsurleboutonSauverlatopologiedelabarredoutilsdeGNS3.
g.Miseprofitdelautocompltion,deladtectionderreursdesaisie,delaide
Vousavezsansdouteobservdiffrentsmessagessurlaconsole,messagesquirapportentdesvnements.Ces messagessontproduitsparleprocessusSYSLOG.Pardfaut,lamanifestationdeSYSLOGsurunrouteurselimite lmissiondesmessagesdvnementsversleportconsole.Queladministrateuraucoursdesontravaildepuisla console na pas t agac par larrive impromptue de ces messages qui viennent perturber la saisie en cours ? Problmefacilersoudredailleurscarilexisteunecommandedeconfigurationdeligne loggingsynchronousqui peuttreappliquelaconsoleainsiquauxlignesvtyetquimodifielecomportementdelIOSquandilenvoieun message:siunecommandeestencoursdesaisie,alorslIOSraffichelecontenudelalignesaisiedansltato ellesetrouvaitimmdiatementavantlenvoidumessage.DautresdtailssontfournisauchapitreAdministrationet scuritJournalisation,leprotocoleSYSLOG.
I
Placezlinterfaceenconfigurationdeligneconsole.Tapezles4caractres loggpuisappuyezsurlatouche[Tab]
- 35 -
et constatez que lIOS complte la commande en affichant logging. Tapez les 2 caractres sy puis appuyez nouveausurlatouche[Tab]etconstatezquelIOScompltelacommandeenaffichant loggingsynchronous.La commandeestcomplteetvoussatisfait,ilrestevaliderparlatouche[Entre].Vousvenezdemettreprofitla fonctionnalitdautocompltiondelinterfaceILC: R8#conf t Enter configuration commands, one per line. R8(config)#line con 0 R8(config-line)#logg R8(config-line)#logging sy R8(config-line)#logging synchronous R8(config-line)#
End with CNTL/Z.
Aumoindrepetittempsmortdansnotreactivit(dixminutespardfaut),voillasessionconsolefermeparlIOS. Dans un environnement de production, cette mesure de scurit se justifie pleinement. Mais dans notre environnement didactique, que de temps perdu ouvrir des sessions. Ce problme est facilement lev grce la commande de configuration de ligne exectimeout. Cette commande dfinit le dlai dattente maximal de linterprteurdecommandesEXECjusqudtectionduneentrequelconquedelutilisateur.Parvenucedlai,la sessionestinterrompue.
I
Placez linterface en configuration de ligne console. Tapez les 4 caractres exec puis appuyez sur la touche ?, laidecontextuellefournittroiscommandesquiontencommundedbuterpar exec.Compltezlacommandeen cours ddition en tapant les caractres t puis la touche [Tab]. LIOS complte la commande et affiche exec timeout suivi dunespace.Tapeznouveaulepointdinterrogation.Laide affiche largumentsuivantattendu,il sagitduntempsexprimenminutes.Tapez0suividunespaceetnouveaulepointdinterrogation.Observez quecettefois,deuxchoixsontpossibles:appuyezsurlatouche[Entre]pourvaliderlacommandetellequelle estouentrezunsecondargumentpermettantdexprimeruntempsensecondes.Validezparlatouche[Entre]. Vousvenezdemettreprofitlafonctionnalitdaidesurlemotpuislafonctionnalitdaidesurlasyntaxe:
R8 con0 is now available Press RETURN to get started. R8>en Password: R8#conf t Enter configuration commands, one per line. End with CNTL/Z. R8(config)#line con 0 R8(config-line)#? Line configuration commands: ... Extraits ... exec-timeout Set the EXEC timeout exit Exit from line configuration mode flowcontrol Set the flow control flush-at-activation Clear input stream at activation full-help Provide help to unprivileged user help Description of the interactive help system history Enable and control the command history function ...... R8(config-line)# R8(config-line)#exec? exec exec-banner exec-character-bits exec-timeout R8(config-line)#exec-t R8(config-line)#exec-timeout ? <0-35791> Timeout in minutes R8(config-line)#exec-timeout 0 ? <0-2147483> Timeout in seconds <cr> R8(config-line)#exec-timeout 0 Voustestoujoursenconfigurationdeligneconsole.Simulezuneerreurdefrappeentapantlacommandeexec tileout0puisvalidezparlatouche[Entre].ObservezquelIOSnesecontentepasderefuserlacommandemais placeuncaractre^partirdelapositionincorrectedanslalignedecommande:
R8(config-line)#exec-tileout 0 ^
- 36 -
% Invalid input detected at ^ marker. R8(config-line)# Vous tes toujours en configuration de ligne console. Simulez une entre incomplte en tapant la commande exectimeout sans arguments puis validez par la touche [Entre]. Observez la raction de lIOS. Cest typiquementuncasolhistoriquedecommandesestprcieux:unappuisurlatouche[Flcheenhaut]etrevoici la commande incomplte, un appui supplmentaire sur le point dinterrogation et ladministrateur comprend largumentattenduparlIOS:
R8(config-line)#exec-timeout % Incomplete command. R8(config-line)# R8(config-line)#exec-timeout ? <0-35791> Timeout in minutes R8(config-line)#exec-timeout 0 R8(config-line)#
h.Miseprofitdelhistoriquedescommandes
I
Voustestoujoursenconfigurationdeligneconsole. Utilisezlestouchesdedplacement[Flcheenhaut]et[Flcheenbas]pourvousdplacerdanslhistoriquedes commandesobservezqueseuleslescommandesvalidesdanslecontextesontrappeles. Changez de contexte en revenant au mode privilgi. nouveau, rappelez les commandes prcdentes et observezquecettefoislhistoriqueaffichelescommandesprcdemmententresdanscemodeprivilgi.
Cet atelier est prsent termin. Bien sr, le lecteur peut le prolonger loisir. Limportant est de disposer dun contextefonctionnelpourlesateliersvenirdeschapitressuivants.
- 37 -
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Quelleinvitedecommanderappellequelemodecourantestlemodeprivilgi? 2 Quelseraitleboncomportementaprsavoirreulemessagederreur%IncompleteCommand? 3 Quellecombinaisondetouchespermetdesortirdumodesetupdefaonimmdiate? 4 Quellecommandepermetdafficherlecontenudufichierdesauvegardedeconfiguration? 5 QuellecommandeprovoqueleffacementducontenudelammoireNVRAM? 6 Commentinterprterlesvaleursentrecrochets[valeur]danslemodesetup? 7 UnadministrateureffacelammoireNVRAMdunrouteurpuisprovoquesonredmarrage.Quelestlemode proposparlerouteurunefoisleredmarrageachev? 8 Citezlesdiffrentespartitionsmmoireutilisesparunrouteur. 9 QuellepartitionjouelerledudisquedursurunordinateurenoffrantunespacedestockagepourlIOS? 10 Quandunrouteurnestplusaccessiblevialerseau,quelportdoitsersoudreutiliserladministrateurpour effectuerlesoprationsdemaintenanceetdeconfiguration? 11 Pardfaut,lepassageaumodeprivilginestprotgparaucunmotdepasse.Pourquoiestcesans importance? 12 QuellesriedecommandesfaudraitilentrersurunrouteurpourenpermettrelaccsviaTelnetpuisdepuiscet accs,lexcutiondelacommandedebug? 13 Leservicepasswordencryptionestactivsurunrouteur.Ladministrateurentrelasquencesuivante: Router(config)#enable password ccna Router(config)#no service password-encryption Lemotdepasseccnaapparatilenclairdanslefichierdeconfigurationcourante? 14 Commentprotgerlesmotsdepassedesattaquesparforcebrute? 15 Commentprotgerlesmotsdepassedesattaquespardictionnaire? 16 CiteztroisdescinqnormesdeliaisonsriesupportesparleconnecteurgnriquedeCISCO,appelport5en 1,etquiquipelescartesdinterfaceWAN. 17 SurlescartesWIC,lancienport5en160brochesestdornavantremplacpar? 18 HorsCCNA.QuellenormedeliaisonsriefautiladoptersurunecarteWANdontlobjetseraitdaccderau dbitoffertparunlienWANT3(44,736Mbps)ouE3(34,368Mbps)? 19 QuelleindicationprcieusefournitlenomattribuuneinterfaceLANparlIOS? 20 SurunrouteurCISCO,quelmomentlesmodificationsapporteslaconfigurationsontellesprisesen compte?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun point. Nombredepoints/20 Pourcechapitre,votrescoreminimumdoittrede15sur20.
3.Rponses
1 Quelleinvitedecommanderappellequelemodecourantestlemodeprivilgi?
- 1-
Router# 2 Quelseraitleboncomportementaprsavoirreulemessagederreur%IncompleteCommand? Rappelez la commande incomplte depuis lhistorique de commandes par un appui sur la touche [Flche en haut] puis sollicitez laide contextuelle par un appui sur le point dinterrogation afin de dcouvrir largument attendu pour cette commande. 3 Quellecombinaisondetouchespermetdesortirdumodesetupdefaonimmdiate? [Ctrl]C 4 Quellecommandepermetdafficherlecontenudufichierdesauvegardedeconfiguration? Router#show start 5 QuellecommandeprovoqueleffacementducontenudelammoireNVRAM? Router#erase start Ou Router#erase nvram: 6 Commentinterprterlesvaleursentrecrochets[valeur]danslemodesetup? Ilsagitduchoixcourantoudelavaleurpardfaut. 7 UnadministrateureffacelammoireNVRAMdunrouteurpuisprovoquesonredmarrage.Quelestlemodepropos parlerouteurunefoisleredmarrageachev? Lemodesetupquipermetdebtirdefaoninteractiveuneconfigurationminimale.Ilestgalementpossiblederelancerle modesetuplaidedunecommandesetupentreenmodeprivilgi. 8 Citezlesdiffrentespartitionsmmoireutilisesparunrouteur. ROM, RAM, FLASH et NVRAM. On pourrait y ajouter le registre de configuration confregister qui intervient dans la squencededmarrage.SeullecontenudelapartitionRAMestperduenlabsencedalimentation. 9 QuellepartitionjouelerledudisquedursurunordinateurenoffrantunespacedestockagepourlIOS? LapartitionFLASH. 10 Quand un routeur nest plus accessible via le rseau, quel port doit se rsoudre utiliser ladministrateur pour effectuerlesoprationsdemaintenanceetdeconfiguration? Si lentreprise a t prvoyante, un modem a pu tre connect sur le port AUX rendant le routeur accessible distance malgr labsence de services rseau. Dans le cas contraire, il ne subsiste que le port console mais il contraint ladministrateurtravaillerauvoisinagedurouteur. 11 Pardfaut,lepassageaumodeprivilginestprotgparaucunmotdepasse.Pourquoiestcesansimportance? Enfaitlaprotectionestparfaitementassurecartantquelepassageaumodeenablenestpasprotgparunmotde passe,cemodenestenralitaccessiblequedepuisleportconsole.Hors,leportconsoleestpardfinitionutilispardes personneshabilitespuisquilsupposedaccderphysiquementaurouteur. 12 Quelle srie de commandes faudraitil entrer sur un routeur pour en permettre laccs via Telnet puis, depuis cet accs,lexcutiondelacommandedebug? Router(config)#enable secret ccna Router(config)#line vty 0 4 Router(config-line)#password eni
- 2-
Router(config-line)#login Lacommande debugnestaccessiblequedepuislemodeprivilgietcederniernestaccessibleviaunesessionTelnetque silestprotgparunmotdepasse. 13 Leservicepasswordencryptionestactivsurunrouteur.Ladministrateurentrelasquencesuivante: Router(config)#enable password ccna Router(config)#no service password-encryption Lemotdepasseccnaapparatilenclairdanslefichierdeconfigurationcourante? Non,carilatentralorsqueleservicetaitfonctionnel.Ladsactivationduserviceneconcernequelesfutursmotsde passeentrs. 14 Commentprotgerlesmotsdepassedesattaquesparforcebrute? Enimposantdesrglesdelongueurminimale,parexemple9ou10caractres. 15 Commentprotgerlesmotsdepassedesattaquespardictionnaire? Enimposantdesrglesdecomplexitdesmotsdepasse(mlerchiffresetlettres,majusculesetminuscules,caractres spciaux). 16 CiteztroisdescinqnormesdeliaisonsriesupportesparleconnecteurgnriquedeCISCO,appelport5en1,et quiquipelescartesdinterfaceWAN. EIA232,EIA449,V35,X21etEIA530. 17 SurlescartesWIC,lancienport5en160brochesestdornavantremplacpar...? LeportSSouSmartserialbeaucouppluscompactpuisquilnecomporteque26broches. 18 Hors CCNA. Quelle norme de liaison srie fautil adopter sur une carte WAN dont lobjet serait daccder au dbit offertparunlienWANT3(44,736Mbps)ouE3(34,368Mbps)? SeulelanormedeliaisonsrieHSSI(HighSpeedSerialInterface)dveloppeconjointementparlesfirmesCISCOetT3+ networkingconvient. 19 QuelleindicationprcieusefournitlenomattribuuneinterfaceLANparlIOS? Ledbitmaximalsupportparlinterface. 20 SurunrouteurCISCO,quelmomentlesmodificationsapporteslaconfigurationsontellesprisesencompte? Laconfigurationfinaledun routeur ncessitera la saisie de nombreuses commandes de configuration, chaque commande saisieprendimmdiatementeffetdslavalidationparlatouche[Entre].Ondsigneparconfigurationincrmentalecette faondeprogresserverslaconfigurationdfinitive.
- 3-
Prrequisetobjectifs
1.Prrequis
cestade,lorganisationmatrielleetlogicielledurouteur,sesportsdadministration,sesinterfaces,sonsystme dexploitation,sonpartitionnementmmoiresontsuppossconnussoitlquivalentduchapitreLesrouteursdecet ouvrage.
2.Objectifs
lafindecechapitreetduchapitresuivant,vousserezenmesurede: Installer,configureretvrifierlefonctionnementdunrouteursortiducarton. Matriser lusage de linterface en ligne de commande des routeurs et commutateurs CISCO. Cette interface est commune lensemble des produits CISCO, routeurs et commutateurs, mais ce chapitre naborde ici que les fonctionnalitsspcifiquesauxrouteurs. HorsCCNA:configurerdeuxrouteursdansunlaboratoireouavoirenchargemillerouteursdanssonentreprisene posevidemmentpaslesmmesproblmes.Lefardeauadministratifrsultantpeuttendreverslacceptablela condition de configurer de faon cohrente et systmatique. Ce chapitre se propose de poser les premiers fondementsdunetellemthodedeconfiguration.
- 1-
Miseensituation
Touteslescapturesdecechapitreonttralisessurlatopologiesuivante:
Les routeurs sont des 2600, lIOS est une version 12.4. Le serveur VMSRV01 est un serveur Windows 2000 utilis chaquefoisquilestutilededisposerdeservicesrseau.Danslecasprsent,cestleserviceDNSquiestmisprofit. Ladministrateuryacrunezoneccna.frainsiquedeuxenregistrementsR11etR12.Lelecteurgagnerareproduire cettetopologiepuistesterlensembledeslignesdecommandesproposes.
- 1-
Configurationdesparamtresglobaux
1.Configurerlinvitedecommande
Pardfaut,linvitedecommandersultedelaconcatnationdetroisinformations: 1.Lenomdurouteur,Routerquandlenomnapasencoretconfigur. 2.LecontextequandlinterfaceILCquittelemodedexcution.Exemple(config)quandlemodedelinterfaceILCest lemodedeconfigurationglobale. 3.Lecaractredeprompt>ou#quirappelleleniveaudeprivilge,>rappellelemodeutilisateur,# rappellelemodeprivilgi. Ilestpossibledecomplterlinformationfournielaidedelacommandepromptdontlasyntaxeestlasuivante:
G
promptstring
G
Modedeconfigurationglobale. String est toute chane de caractres dans laquelle il est possible dinclure un certain nombre de variables.Unevariabledepromptestprcdeducaractre%.Letableausuivantinventorieles variablesdepromptpossibles: Interprtation
Variablede prompt %h
Lehrappellehostname.LIOSremplacecettevariableparlenomdurouteur ou Router quandlenomnestpasconfigur. NumrodeligneCON(n0),TTY(lignesphysiques),AUXouVTY.Pourmmoire,il estpossibledobtenirdelinformationsurcesnumroslaidedunecommande showusersoudunecommandeshowline. Lecaractredeprompt>ou#. Caractreespace. Tabulation. Caractre%.
%n
%p %s %t %%
Linvitedecommandepardfautcorrespondparconsquentlacommande prompt%h%p.Voiciunepropositionde promptmodifipourinclurelendeligneutilis: R11(config)#prompt TTY%n@%h%s%p R11(config)#^Z TTY66@R11 #sh line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses * 0 CTY 0 65 AUX 9600/9600 0 * 66 VTY 1 67 VTY 0 68 VTY 0 69 VTY 0 70 VTY 0
Noise
Overruns Int 1 0/0 0 0/0 0 0/0 0 0/0 0 0/0 0/0 0 0/0 -
Line(s) not in async mode -or- with no hardware support:1-64 TTY66@R11 #disable TTY66@R11 > DeuxsessionssontouvertessurR11,lunevialeportconsolequiportelenumro0,lautreviaTelnetlaquellelIOS
- 1-
aattribulepremiernumroVTYdisponible,soitlenumro66.Lacapturesuivanteillustrelechangementdelinvite decommandesurlasessionconsole: *Mar 1 01:13:03.706: %SYS-5-CONFIG_I: Configured from console by vty0 (10.0.11.100) R11# TTY0@R11 #
2.Configurerunnomdhte
Lacommandeutiliserest:
G
hostnamename
G
Modedeconfigurationglobale. Attributiondunnomdhteaurouteur. LavaleurpardfautestRouter.
Le RFC1178 Name your computer peut servir de guide pour llaboration de noms valides : un nom dhte doit dbuter par une lettre, se terminer par une lettre ou un chiffre et ne devrait pas prendre la casse en compte. La longueur ne devrait pas dpasser 63 caractres. On se souvient que le nom dhte est rappel dans linvite de commandeassociaucontexte.Ilsetrouvequelensembleconcatn{nomdhte+contexte}nepeutdpasser30 caractres.Audel,linterfaceILCtronquelenomoulecontexte.Or,cesinformationssontduneimportancemajeure pour ladministrateur qui serait sans doute trs dsorient si linvite de commandes ne lui rappelait pas de faon exhaustivelevraicontextecourant: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname LeNomDeMonRouteurEstTropLong LeNomDeMonRouteurEst(config)#exit LeNomDeMonRouteurEstTropLong# Danslexemplecidessus,linterfaceatronqulenompourpermettrelaffichageducontexte.Lenomnerapparatau complet quune fois sorti du mode de configuration. CISCO conseille par consquent de limiter le nom dhte 10 caractres: LeNomDeMonRouteurEstTropLong#conf t LeNomDeMonRouteurEst(config)#hostname R11 R11(config)#exit R11# Une ultime possibilit consiste modifier la longueur admise de la chane hostname. Nous la citons pour mieux loublier,dautantque,sauferreur,ellenestpasdocumenteparlesiteCommandLookupTooldeCisco: R11(config)#prompt config hostname-length ? <0-80> maximum hostname length R11(config)#prompt config hostname-length 50 R11(config)#hostname LeNomDeMonRouteurEstTropLong LeNomDeMonRouteurEstTropLong(config)# LeNomDeMonRouteurEstTropLong(config)#hostname R11 R11(config)#^Z R11# Uneentreprisebienorganiseaprobablementdjlaboruneconventiondenommagedesquipementsrseau. Un administrateur nouvellement recrut doit senqurir de cette convention et doit en proposer une si elle nexiste pas. Une bonne convention de nommage aide mmoriser les noms de routeurs et aide deviner un nom que ladministrateurauraitoubli.Parexemple,onpeutimaginerfairedbutertouslesnomsderouteursparlasquence rtrsuividunesquencerappelantlagolocalisationdelquipement,lesinitialesdelavillepeuventconvenirsur unnombredelettreschoisiparavance,etterminerparunesquencededeuxchiffresafindeprvoirlecasoune mme localisation accueille plusieurs routeurs. Ainsi, le premier routeur plac Dunkerque serait rtrdk01 . Ce nomestfaciledevinerenneconnaissantquelaconventiondenommage.
- 2-
Le caractre underscore ( _) doit tre vit dautant quilnest pas admis par la rsolution de noms DNS. Si lenvieprenddutilisercecaractre,alorsilestprfrabledeluisubstituerlecaractre.
3.Configurerunebannire
LIOSsupportetroistypesdebanniresetlesaffichedanscetordre: 1.Labannire motd(MessageOfTheDay)sansdoutelamoinsutilise.Ladministrateurpeutlamettreprofitpour avertir toute personne qui se connecterait sur lquipement dune actualit qui concerne lquipementoulerseau. Exemple:cerouteurseraredmarrle01avril20100h00. 2. La bannire login est utilise pour afficher un message davertissementenvuedeprvenirlutilisateur des pires dconvenues au cas o il persisterait vouloir se connecter alors quil ne fait pas partie des personnels autoriss. vacuons,unebonnefoispourtoutes,lesmessagestypeBienvenuedunerareincongruitdanscescirconstances.La bannireloginestunepierredansldificationdunepolitiquedescurit. 3.Labannire execestlaplusintressantepuisquellepermetlaffichagedunmessageunefoislasessionouverte, cestdireunefoislutilisateurauthentifi.Cestdoncunadministrateurquisadresseunautreadministrateur. Cetteconfiguration... R11#conf t R11(config)#banner motd # Enter TEXT message. End with the character #. Ceci est la banniere motd # R11(config)#banner login # Enter TEXT message. End with the character #. Ceci est la banniere login # R11(config)#banner exec # Enter TEXT message. End with the character #. Ceci est la banniere exec # R11(config)#^Z R11# ...provoquelaffichagedesmessages... R11 con0 is now available Press RETURN to get started. Ceci est la banniere motd Ceci est la banniere login
User Access Verification Password: Ceci est la banniere exec R11> Puisquunmessagepeutoccuperplusieurslignes,ladministrateurdoitchoisiruncaractrequidlimiteraledbutetla findumessage,toutcaractrefaitlaffairelaconditiondenepasapparatredanslecorpsdumessage, # at choisidanslescapturesdecechapitre. Configuronsunebanniredeloginunpeupluscrdible: R11#conf t Enter configuration commands, one per line. End with CNTL/Z. R11(config)# R11(config)#banner login # Enter TEXT message. End with the character #. ********************************************************************** **** Avertissement ! Acces aux seules personnes autorisees ! **** **** Vos activites au cours de cette session sont susceptibles **** **** detre enregistrees. Toute activite illicite fera lobjet **** **** dun recours en justice ! ****
- 3-
********************************************************************** # R11(config)#^Z R11# Depuislaversion12.0(3)TdelIOS,ilestpossibledinsrerdesvariablessystmedansunmessagedebannire.Lors delaffichage,lIOSsubstituelavaleurlavariable.Appeles tokensparCISCO,cesvariablessontaunombrede quatreaumomentoceslignessontcrites: Token Informationcorrespondante
$(hostname) Nomdhtedurouteur. $(domain) $(line) Nomdedomaineconfigursurlerouteur. Numrodelaligneactive.
$(linedesc) Descriptiondelaligneactive. MettonsprofitcesvariablespourcrerunebannireexecsurR12: R12(config)#banner exec # Enter TEXT message. End with the character #. Bienvenue, vous venez de vous connecter au routeur $(hostname).$(domain) depuis la ligne $(line) situe $(line-desc). # R12(config)#^Z R12# SilaliaisonentreR11etR12estconvenablementconfigure,siaumoinsuneligne vtyestconfigure,siunnomde domaine a t configur sur R12 (objet des paragraphes suivants), une tentative de connexion Telnet depuis R11 donnelersultatsuivant: R11#telnet 10.0.8.12 Trying 10.0.8.12 ... Open User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr depuis la ligne 66 situe 44811 SAINT HERBLAIN. R12>exit [Connection to 10.0.8.12 closed by foreign host] R11#
4.Protectiondupassageaumodeprivilgi
CommandesdjcommentesdanslechapitreLesrouteurs. SurR11(reproduiresurR12): R11(config)#enable secret ccna R11(config)#^Z R11# Un cas rel ncessiterait de respecter des rgles de longueur et de complexit du mot de passe. Mais une vraie politique de scurit consisterait mettre en place une authentification fonde sur lutilisation de couples {nom dutilisateur/motdepasse}.Cetteauthentificationpeuttrelocale,lescouples{nomdutilisateur/motdepasse}sont alorsmmorisssurlerouteur,oucentralise,lesidentifiantssontdanscecasconservsparunserveurRADIUSpar exemple.DautresdveloppementssontpropossauchapitreAdministrationetscurit.
5.Rsolutiondenoms
Cettesectionestplaceiciparcequelescommandesdeconfigurationdontilestquestionsontentrerenmodede configurationglobale.Maislesdmonstrationsralisessurlatopologiedemiseensituationnepeuventfonctionner quesilaconfigurationdesinterfacesatralise.Mercidoncaulecteurquiaprislapeinedereproduirelatopologie debienvouloirsereporterlasectionConfigurationdesinterfaces,puisderevenirensuitecettesectionRsolution denoms. cestadedavancementdanslecursusCCNA,ilestinutiledinsisternouveausurlintrtdidentifierlesmachines pardesnomspluttquepardesadresses.Ilestgalementpossibledutiliserdesnomsdhtessurlesrouteurs,ce laconditiondeprvoirunersolutiondenoms,cestdirelapossibilitpourunemachinedetraduirelenomdhte enidentifiantnumrique(ladresse).Deuxpossibilitssoffrentalors:

G
UnersolutiondynamiquequiconsisteinterrogerunserveurDNS. Unersolutionstatiquequicontraintladministrateurrenseignerlescorrespondancesdanslaconfiguration durouteur.
Larsolutiondenomsestactivepardfaut,cequipeutparfoisentranerquelquesdsagrments,commelillustrela captureciaprs.LadministrateursurR11setrompeettapeR13aulieudeR12.AucunserveurDNSnestconfigur surR11,quitentedersoudreR13endiffusantunerequteDNSversladressedediffusionlimite255.255.255.255. Cette requte ne peut franchir R12, nest donc pas transmise au serveur DNS de notre topologie et reste sans rponse.R11attenddelonguessecondesunerponsequinevientpaspuisritredeuxfoislarequte. R11#R13 Translating "R13"...domain server (255.255.255.255) Translating "R13"...domain server (255.255.255.255) (255.255.255.255) Translating "R13"...domain server (255.255.255.255) % Unknown command or computer name, or unable to find computer address Ainsi,causeduneerreurdefrappe,ladministrateurestprivdeconsolependantuntempsquisembletoujours trop long. En conclusion, si ladministrateurna pas lintention dutiliser le service de rsolution de noms, alors il est prfrabledeledsactiverlaidedelacommandenoipdomainlookup: R11#conf t Enter configuration commands, one per line. R11(config)#no ip domain-lookup R11(config)#^Z R11#
End with CNTL/Z.
Lammeerreurdefrappeestsimuleaprsavoirdsactivleservicedersolutiondenoms: R11#R13 Translating "R13" Translating "R13" % Unknown command or computer name, or unable to find computer address R11# LIOSnegnreplusderequteversleserveurDNSetsecontentedeconsultersoncachelocal,ilnytrouvepasR13 etrendlamainpresqueimmdiatement. Lescommandespermettantlaconfigurationdelarsolutiondenomssontlessuivantes:
G
hostnamename
G
Djexplicite,maisenfaitoui,enattribuantunnomdhteaurouteur,cettecommandeparticipela configurationdelarsolutiondenoms.
iphost{ hostname}[tcpportnumber]{@IP1}[@IP2@IP3...]}
G
Modedeconfigurationglobale. Creuneentrestatiquedersolutiondenomdanslatabledhtes. [tcpportnumber]:portTCPutiliserpouruneconnexionTelnet,23pardfaut.
- 5-
LacommandeaccepteplusieursadressesIPassociesunseuletmmenomdhte.
[no]ipdomainlookup
G
Modedeconfigurationglobale. Active/Dsactivelarsolutiondynamiquedenoms(cestdirecellefaisantappelunserveurDNS).
ipnameserveur{@DNS1[@DNS2@DNS3...@DNS6]}
G
Modedeconfigurationglobale. SpcifieleoulesserveursDNSquelerouteurdoitinterrogerpourrsoudrelesnoms. Jusqu6serveursDNSdiffrents.
ipdomainname{ name}
G
Modedeconfigurationglobale. Quand ladministrateur cherche rsoudre un nom qui nest pas pleinement qualifi (FQDN, Fully QualifiedDomainName),lIOScompltelenomrelatiffourniaveclenomdudomainetelquilestdfini laidedecettecommande.Rappel:
G
www.jules.dechezsmith.enface . avec le point final (le point final reprsente la racine de larborescence)estunnompleinementqualifi. www.julesestunnomrelatif.
Mettonscescommandesprofitendeuxtemps.Dansunpremiertemps,enconfigurantunersolutionstatiquesur R11.Dansunsecondtemps,enconfigurantunersolutionDNSsurR11etR12.
a.Rsolutionstatique
R11(config)#no ip domain-lookup R11(config)#ip host R12 10.0.8.12 R11(config)#^Z R11# *Mar 1 01:50:14.939: %SYS-5-CONFIG_I: Configured from console by console (59140 DUNKERQUE) Dsormais,riendeplussimplequedeseconnecterR12: R11#R12 Trying R12 (10.0.8.12)... Open User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr depuis la ligne 66 situe 44811 SAINT HERBLAIN. R12>exit [Connection to R12 closed by foreign host] R11# Unecommandeshowhostpermetdeconsulterlatabledecorrespondancesnomsdhte/adressesIP: R11#sh host Default domain is not set
- 6-
Name/address lookup uses static mappings Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host R12None R11# Port Flags IP 10.0.8.12 Age Type Address(es)
(perm, OK)
Leschampsdecettetablesontexplicitsdansletableauciaprs: Information Host Port Flags Description Nomdhtedechaquecorrespondanceprsentedanslatable. PortutilislorsduneconnexionTelnetsidiffrentde23. Drapeauxdcrivantlamthodedapprentissagedecettecorrespondanceainsiqueson degrdepertinence. Permcorrespondancestatique,ajouteparladministrateur. TempcorrespondanceacquiseviaunserveurDNS. OKcorrespondancevalide. EXcorrespondanceexpire. Age Type Address Exprimenheures,tempscouldepuislinstantolacorrespondanceatapprise. Typedadresse. Adresse(s)associe(s)cenomdhte.
b.Rsolutiondynamique
UnserveurDNSatajoutsurLAN12delatopologieencours.SonadresseIPest10.0.12.100.Ilhbergelazone ccna.fretladministrateuryaajoutdeuxenregistrementsR11etR12:
SurR11(reproduiresurR12): R11(config)#no R11(config)#ip R11(config)#ip R11(config)#ip R11(config)#^Z R11# ip host R12 10.0.8.12 domain-lookup domain-name ccna.fr name-server 10.0.12.100
- 7-
*Mar 1 02:33:46.352: %SYS-5-CONFIG_I: Configured from console by console (59140 DUNKERQUE) R11# Unecommandeshowhostmontrequelatabledecorrespondancesestvide: R11#sh host Default domain is ccna.fr Name/address lookup uses domain service Name servers are 10.0.12.100 Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host R11# SollicitonslarsolutionententantuneconnexionTelnetsurR12: R11#R12 Translating "R12"...domain server (10.0.12.100) [OK] Trying R12.ccna.fr (10.0.12.1)... Open Port Flags Age Type Address(es)
User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr depuis la ligne 66 situee 44811 SAINT HERBLAIN. R12>exit [Connection to R12 closed by foreign host] Vrifionsnouveaulecontenudelatabledecorrespondances.CettefoisR12apparat: R11#sh host Default domain is ccna.fr Name/address lookup uses domain service Name servers are 10.0.12.100 Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host R12.ccna.frNone R11# Port (temp, OK) 0 Flags IP Age Type 10.0.12.1 Address(es)
6.Dateetheure
ParmilesmultiplestchesaccompliesparlIOS,lunedellesintresseparticulirementladministrateurparcequellelui permetdedcouvriroudemieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdu rseau. Il sagit de lactivit de journalisation des vnements. En la matire, CISCO comme une majorit de constructeursseconformeauprotocoleSYSLOGnormalisdansleRFC5424.Pardfaut,lamanifestationdeSYSLOG sur un routeur se limite lmission des messages dvnements vers le port console. Ces vnements sont horodats,maispourqueladateetlheureassociesunvnementprennentdusens,encorefautilquelhorloge entretenueparchaquerouteursoitellemmemiselheure.Deuxmoyenssoffrentladministrateur: 1.Configurerlheureetladatedirectementsurlerouteur.Hlas,cecicontraintladministrateurintervenirsurchacun desrouteursdontilalacharge. 2. Transformer lun des routeurs en serveur de temps et rgler les autres routeurs afin de rcuprer lheure sur le serveurdetemps. Notre topologie nous offre loccasion de tester les deux mthodes. Dans un premier temps, R12 sera mis lheure. Dansunsecondtemps,R12seraconfigurpourtreserveurdetempspuisR11seraconfigurpourobtenirlheurede
- 8-
R12.Lescommandesncessairescetteconfigurationsontlessuivantes:
G
showclock
G
Afficheladateetlheuredusystme.
clockset{ hh:mm:ss}{ day}{ month}{ year}

G
Modeprivilgi. hh exprimelheurede023. dayexprimelejourde131. monthestlenomdumois. yearexprimelannesur4chiffres.
ntpmaster[#stratum]
G
Modedeconfigurationglobale. Faitdecerouteurunserveurdetemps. #stratum : optionnelle, le serveur de temps configur sur ce systme se rclame comme tant de strate#stratum.Lavaleurdoittrecompriseentre1et15etvaut8pardfaut.
ntpserver{ hostname|@IP}
G
Modedeconfigurationglobale. Faitdecerouteurunclientduserveurdetempsidentifiparsonnom(siunersolutiondenomsest enservicesurlerouteur)ouparsonadresseIP.
Le protocole NTP (Network Time Protocol) se fonde sur une architecture arborescente. Une heure de rfrence est diffuse verticalement de proche en proche. Chaque n ud choisit parmi ses parents le n ud qui prsente les meilleuresgarantiesdefiabilitethritedunattributappel stratum.Lesmachinesplaceslaracinesontsurle stratum 1 et se synchronisent directement sur des dispositifs matriels donnant lheure. Pendant la descente, chaque traverse dunn ud incrmente de 1 la valeur stratum. Les n uds placs sur la couche 2 (strate) se synchronisentsurlesn udsdestrate1,lesn udsplacssurlacouche3sesynchronisentsurlesn udsdestrate 2etainsidesuite.Enfinal,lavaleur stratum mesureladistancedun n udauxmachinesracinesetpeuttre considrecommeunindicateurdelaqualitdesynchronisationquunemachinedonnepeutoffrirauxn udsplacs surlesniveauxinfrieurs. UnrouteurpeuttreconfigurenNTPmatre.Danscecas,etsilneparvientpasjoindreunserveurNTPdestrate infrieure (cestdire dun niveau plus lev dans la hirarchie), alors le systme se considre synchronis sur la stratedenumro#stratumetlesautressystmespeuventleurtoursesynchronisersurcesystme. MiselheuredeR12: R12#sh clock *03:09:49.089 UTC Fri Mar 1 2002 R12#clock set ? hh:mm:ss Current Time R12#clock set 10:38:00 ? <1-31> Day of the month MONTH Month of the year R12#clock set 10:38:00 21 ? MONTH Month of the year R12#clock set 10:38:00 21 february ?
- 9-
<1993-2035>
Year
R12#clock set 10:38:00 21 february 2010 R12# *Feb 21 10:38:00.004: %SYS-6-CLOCKUPDATE: System clock has been updated from 03:11:40 UTC Fri Mar 1 2002 to 10:38:00 UTC Sun Feb 21 2010, configured from console by console. R12#sh clock 10:38:13.558 UTC Sun Feb 21 2010 R12# FaisonsdeR12unserveurdetemps: R12(config)#ntp ? access-group authenticate authentication-key broadcastdelay clock-period logging master max-associations peer server source trusted-key
Control NTP access Authenticate time sources Authentication key for trusted time sources Estimated round-trip delay Length of hardware clock tick Enable NTP message logging Act as NTP master clock Set maximum number of associations Configure NTP peer Configure NTP server Configure interface for source address Key numbers for trusted time sources
R12(config)#ntp master ? <1-15> Stratum number <cr> R12(config)#ntp master R12(config)#^Z R12# FaisonsdeR11unclientduserveurdetempsR12: R11(config)#ntp ? access-group authenticate authentication-key broadcastdelay clock-period logging master max-associations peer server source trusted-key
Control NTP access Authenticate time sources Authentication key for trusted time sources Estimated round-trip delay Length of hardware clock tick Enable NTP message logging Act as NTP master clock Set maximum number of associations Configure NTP peer Configure NTP server Configure interface for source address Key numbers for trusted time sources
R11(config)#ntp server ? Hostname or A.B.C.D IP address of peer vrf VPN Routing/Forwarding Information R11(config)#ntp server R12 R11(config)#^Z R11# *Mar 1 03:21:48.521: %SYS-5-CONFIG_I: Configured from console by console (59140 DUNKERQUE) R11#sh clock 03:21:57.992 UTC Fri Mar 1 2002 R11#sh clock 03:36:10.406 UTC Fri Mar 1 2002 R11#sh clock .11:04:26.166 UTC Sun Feb 21 2010 R11# Notre propos ntant pas ltude du protocole NTP, nous nirons pas plus loin, les lecteurs insatiables trouveront la
- 10 -
capture des changes NTP entre client et serveur tlchargeable sur le site ENI sous le nom cap_22_02.pcap. Puisqueaucunevaleur #stratumnatconfigure,onpeutobserverlavaleur8danslesrponsesNTPdurouteur R12.AprsquelqueschangesNTP,R11adoptelheurercupresurR12.
- 11 -
Configurationdesaccs
1.AccsconsoleetTelnet
SurR11(reproduiresurR12),accsconsole: R11(config)#line con 0 R11(config-line)#location 59140 DUNKERQUE R11(config-line)#logging synchronous R11(config-line)#exec-timeout 0 R11(config-line)#password eni R11(config-line)#login R11(config-line)#^Z R11# SurR12(reproduiresurR11),accsTelnet: R12(config)#line vty 0 4 R12(config-line)#exec-timeout 0 R12(config-line)#logging synchronous R12(config-line)#password eni R12(config-line)#login R12(config-line)#location ? LINE One text line describing the terminals location R12(config-line)#location 44811 SAINT HERBLAIN R12(config-line)#exit CescommandesontdjtcommentesdanslechapitreLesrouteurs.Lemotdepassedelaccsconsolenest pas absolument indispensable si lon considre quil sagit dun accs physique et quil suppose donc que ladministrateuraitpntrdansunlocalscuris.Cetouvrageproposedeuxdveloppementsenrapportavecles accsconsoleetTelnet:ContrlerlouverturedesessionTelnetdanslechapitreGestiondetraficparlistedaccs, laccsviaSSHproposauchapitreAdministrationetscurit.
2.Accshttp
Pardfaut,lIOSactiveunserveurhttplaidedelacommandedeconfigurationglobale:
G
[no]iphttpserver
G
Modedeconfigurationglobale. Active/dsactiveleserveurhttpinternedurouteur. Actifpardfaut.
AccderceservicencessitededisposerdunnavigateurWebetdyentrerladresseIPduneinterfacedurouteur. Lorsdelaconnexion,leserveurdemandelutilisateurdesauthentifier.moinsquuneauthentificationplusforte nait t configure, il suffit de laisser le champ nom dutilisateur vide et de taper le mot de passe qui protge le passageaumodeprivilgi.IlestdebontondeconsidrerlaccsauserveurHTTPcommeunefaillepotentiellede scurit,cestpourquoicetaccsfaitlobjetdundveloppementpluscompletlasectionListedaccsnumrote standardScnariostypesLimiterlaccsauxsessionshttpduchapitreGestiondetraficparlistedaccs.
- 1-
Configurationdesinterfaces
Enconnectantlerouteursonenvironnement,lesinterfacesLANetWANpermettentaurouteurdassurerlatchepour laquelleilatconu,cestdirelacheminementdespaquets.Ilfautencoreyajouterlinterfacedeloopback,interface virtuellequipeutrendredenombreuxservices:ladresseIPaffectelinterfacepeutfournirunidentifiantaurouteur, linterfacepeutservirdedestinationauxpaquetsindsirables,linterfacevirtuellepeutsimuleruneinterfacerelle,liste nonexhaustive. Unecommande showinterfaces affiche une information trs complte sur chacune des interfaces embarques par le routeur.PouruneinterfaceLAN: R11#sh int FastEthernet0/0 is up, line protocol is up Hardware is AmdFE, address is c801.02cc.0000 (bia c801.02cc.0000) Description: LAN11 Internet address is 10.0.11.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:49, output 00:00:02, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 4 packets input, 526 bytes Received 4 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog 0 input packets with dribble condition detected 11 packets output, 1583 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out PouruneinterfaceWAN: Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Description: Lien loue 64K vers Nantes Internet address is 10.0.8.11/24 MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set Keepalive set (10 sec) Last input 00:00:01, output 00:00:03, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 48 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 12 packets input, 1329 bytes, 0 no buffer Received 12 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 9 packets output, 1143 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out
- 1-
0 carrier transitions DCD=up DSR=up DTR=up Onytrouvenotamment:

G
RTS=up
CTS=up
ladresseIPainsiquelemasquedesousrseau ladressedecouche2 lencapsulationutilise desstatistiquessurletraficquitransiteparlinterface etleplusimportant:ltatdelinterfacelafoisencouchephysiqueetencoucheliaison.
En effet, les fonctionnalits de la couche 3 (le routage) sappuient sur les couches 1 et 2 et ne peuvent tre oprationnellesquesilesinterfacessontactiveslafoisencouche1etencouche2.cesujet,lacommande showla pluspertinenteestcertainementlacommandeshowipinterfacesbriefquelonpeutabrgerenshipintbr: R11#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 Serial0/1 R11#
IP-Address 10.0.11.1 10.0.8.11 unassigned unassigned
OK? YES YES YES YES
Method NVRAM NVRAM NVRAM NVRAM
Status Protocol up up up up administratively down down administratively down down
Ltatactifencouche1suppose:
G
Queladministrateuraitactivlinterfacelaide dunecommande noshutdown.Danslecascontraire, linterfacerestedansltatadministrativelydown. Quilyaitbienuneconnectivitphysiqueentrecetteinterfaceetlinterfacedelquipementenvisvis. Parexemple,uneinterfaceWANestconnectesonbotierCSU/DSUluimmeactif,uneinterfaceLAN est connecte un port de commutateur actif, les cbles utiliss sont en bon tat et sont bien les cbles attendus, liste trs peu exhaustive hlas. Dans le cas contraire, linterface reste dans ltat down .
Uneinterfaceencouche1estdanslundestroistatsadministrativelydown,downou up .
Ltatactifencouche2suppose:
G
Quelacouche1soitactive. ETquilyaitcompatibilitdeprotocolesurlescouches2respectivesdesinterfacesenvisvis.Dansle casduneinterfaceLAN,pasdeproblmedepuislaprminencedEthernet.Danslecasduneinterface WAN,ladministrateurdoitavoirconfigurlemmeprotocoledecouche2auxdeuxextrmitsdulien. Pardfaut,lIOSraliseuneencapsulationHDLC(HighLevelDataLinkControl). ETquelinterfacereoivelestramesKeepalive...

G
Concrtement,uneinterfacesassure de ltatdelacouche2laide de trames Keepalive. Touteinterfaceactiveencouche1metdefaonpriodiqueunetelletrame(voirKeepaliveset 10secdanslacapturecidessus,lapriodeestconfigurable).Touteinterfacequinapasreu detrameKeepalivedepuisundlaisuffisantpassedansuntatdownencouche2.
Uneinterfaceencouche2estdanslundesdeuxtatsdownouup. DanslecasduneinterfaceLAN,chaqueinterfaceenvoiedestrames Keepaliveverssapropreadresse.Cestrames
- 2-
sontrepresLOOPdanslextraitdecapturecidessous:
Dans le cas dune interface WAN et dune encapsulation HDLC, CISCO met profit sa dclinaison de ce protocole, il sagitpourlessentieldedistinguerleprotocoleencapsulenincluantdanslatrameHDLCunchampProtocolCode. Parmi les autres extensions au protocole HDLC, CISCO a galement inclus la dfinition dun protocole appel SLARP (Serial Line ARP). SLARP permet une interface de sattribuer une adresse IP en fonction de ladresse IP affecte linterfaceplacelautreextrmitdulien.Encela,SLARPestsimilaireRARP.SLARPinclutgalementunetrame Keepalivemisepardfauttoutesles10secondes.Lesdeuxextrmitsduliendoiventutiliserlemmeintervallepour assurer un fonctionnement fiable. Les trames Keepalive sont numrotes en squence partir de 0. Les deux extrmitsnumrotentdefaonindpendante.OutrelenumrodesquenceattribulatrameKeepaliveencours deprparation,lesystmeplacegalementdanslatramelederniernumroreudelautresystme:
Immdiatement avant dmettre une trame Keepalive , un systme compare le numro de squence mis et le derniernumrodesquenceacquittparlautreextrmit:
- 3-
Quandladiffrenceentrenumrodesquencemisetderniernumroacquittatteint3,lIOSconsidrequelaliaison est ltat DOWN et ne peut plus servir lacheminement de paquets. Ainsi, 30 secondes au plus scoulent entre lincidentquiaffectelabonnerceptiondestramesKeepaliveetsapriseencompteparlesprotocolesderoutage. Voicilersultatdelammecommandeshipintbrquandlinterfaces0/0deR11estlaisserglesurlencapsulation par dfaut HDLC alors que linterface s0/0 de R12 est configure pour adopter une encapsulation diffrente (en loccurrencePPP,PointtopointProtocol): R11#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 Serial0/1 R11#
IP-Address 10.0.11.1 10.0.8.11 unassigned unassigned
OK? YES YES YES YES
Method NVRAM NVRAM NVRAM NVRAM
Status Protocol up up up down up up administratively down down
1.ConfigurationdesinterfacesLAN
Lescommandesutilisersontlessuivantes:
G
interface{ ethernet|fastethernet|gigabitethernet}{numro}
G
Modedeconfigurationglobale. Lacommandeprovoquelepassageenconfigurationdinterface.
[no]shutdown
G
Modedeconfigurationdinterface. Active/dsactivelinterface. La commande no shutdown apparat explicitement dans le fichier de configuration. La commande shutdownactivelinterfacemaisnapparatpasdanslefichierdeconfiguration.
ipaddress{@IP}{masque}[secondary]
G
Modedeconfigurationdinterface. AffecteuneadresseIPlinterface.
- 4-
Il est possible daffecter plusieurs adresses IP la mme interface. On ne change rien la faon dassignerlapremireadresseIPlaidedelacommande ipaddressenconfigurationdinterface.La seconde adresse (et les suivantes si ncessaire) sont affectes laide de la mme commande laquelleonajoutelemotclsecondary.
description{string}
G
Modedeconfigurationdinterface. Permet dassocier linterface tout commentaire susceptible daider ladministrateur selon ladage Toutcequiparatclairaujourdhuisembleratrsobscurdanssixmois. Nadesignificationquelocalement.Outreunecommande showrunou showstart,ladescriptionest galementafficheparunecommandeshowinterfaces. Stringestlimite238caractres.
SurR11: R11#conf t Enter configuration commands, one per line. End with CNTL/Z. R11(config)#int f0/0 R11(config-if)#description LAN11 R11(config-if)#ip address 10.0.11.1 255.255.255.0 R11(config-if)#no shutdown R11(config-if)#^Z R11# *Mar1 04:55:33.798: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar1 04:55:34.800: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up SurR12: R12(config)#int f0/0 R12(config-if)#description LAN12 R12(config-if)#ip address 10.0.12.1 255.255.255.0 R12(config-if)#no shutdown R12(config-if)#^Z R12# *Mar1 01:04:52.060: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar1 01:04:53.061: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
2.ConfigurationdesinterfacesWAN
Aux commandes utiles la configuration des interfaces LAN, il convient dajouter les commandes clock rate et bandwidth:
G
interface{ serial|async}{numro}
G
Modedeconfigurationglobale. Lacommandeprovoquelepassageenconfigurationdinterface. Le motcl async est utilis lorsque lon a affaire une interface srie fonctionnant en mode asynchrone(marginal).
[no]shutdown
G
Djdcrit.
- 5-
G
Djdcrit.
clockrate{dbit}
G
Modedeconfigurationdinterface. EnsituationdeTP,ilfautsimulerlelienWANsansavoirrecoursdesbotiers,modemsouDSU/CSU. Fortheureusement,CISCOmetdispositiondescordonsextrmitETCD(DCE).SimulerunlienWAN ncessitederelierlesdeuxinterfacesWANdesdeuxrouteursviadeuxcordons,lunextrmitETTD, lautreextrmitETCDpuisdeconfigurerlinterfacectETCD(DCE)defaoncequellefournisse lhorloge,cestlobjetdelacommandeclockrate. Ledbitestexprimenbps(bitsparseconde).
bandwidth{bande_passante}
G
Modedeconfigurationdinterface. Hlas,seuleslesinterfacesLANdesrouteursCISCOsontautomatiquementconfiguresaveclabande passanteconvenable.LesinterfacesWANnepeuventpasltrecarledbitestenralitcadencpar lhorloge fournie par le botier ETCD ou CSU/DSU. LIOS ntablit aucune corrlation entre le dbit physique,cadencparlquipementdeterminaisondecircuitdedonnesetleparamtre bandwidth delaconfigurationdinterface.Pardfaut,lIOSconsidrequelinterface serialestconnecteun canal T1 de dbit 1,544 Mbps (Eh oui, CISCO est amricain !). Rparer cette lacune ncessite le recourslacommande bandwidth.Attention,lesdeuxcommandesclockrateetbandwidthnutilisent paslammeunit,bande_passanteestexprimenKbps(Kilobitsparseconde).
encapsulation{encapsulation_type}
G
Modedeconfigurationdinterface. La valeur par dfaut dpend du type dinterface. Linterface WAN synchrone classique utilise un protocole propritaire CISCO extrapol de HDLC et dj voqu, une interface WAN asynchrone utiliseraitpardfautuneencapsulationSLIP(SerialLineInternetProtocol),protocolerudimentairedont leseulobjetestprcismentdencapsulerIPsurdesliaisonssrie.
R11(config)#int s0/0 R11(config-if)#encapsulation ? atm-dxi ATM-DXI encapsulation frame-relay Frame Relay networks hdlc Serial HDLC synchronous lapb LAPB (X.25 Level 2) ppp Point-to-Point protocol smds Switched Megabit Data Service (SMDS) x25 X.25 R11(config-if)#encapsulation hdlc ? <cr> description{string}
G
Djdcrit.
Applicationnotremiseensituation,surR11: R11(config)#int s0/0 R11(config-if)#ip address 10.0.8.11 255.255.255.0 R11(config-if)#no shutdown R11(config-if)#description Lien loue 64K vers Nantes R11(config-if)#bandwidth 64
- 6-
R11(config-if)#^Z R11# SurR12: R12(config)#int s0/0 R12(config-if)#ip address 10.0.8.12 255.255.255.0 R12(config-if)#no shutdown R12(config-if)#clockrate 64000 R12(config-if)#bandwidth 64 R12(config-if)#description Lien loue 64K vers Dunkerque R12(config-if)#^Z R12# Noussommesdansuncasdcole,R12estlectDCEdulienWANcequiexpliquelaprsencedelacommandeclock rate64000,commandeabsentedelaconfigurationdeS0/0surR11.
3.Configurationdesinterfacesdeloopback
Lesseulescommandesutilessont:
G
interface{ loopback}{numro}
G
Modedeconfigurationglobale. Lacommandeprovoquelepassageenconfigurationdinterface.
G
Djdcrit.
Dansnotremiseensituation: R11(config)#interface loopback ? <0-2147483647> Loopback interface number R11(config)#interface loopback 0 R11(config-if)#ip address 1.0.0.11 255.255.255.255 R11(config-if)#^Z R11# Unecommandeshipintbrpermetdobserverquelinterfacedeloopbackpassedansltat upsansquilyaiteu besoindentrerlacommande noshutdown.linverse,unecommande shutdownprovoqueraitsonpassageltat administrativelydown: R11#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 Serial0/1 Loopback0
IP-Address 10.0.11.1 10.0.8.11 unassigned unassigned 1.0.0.11
OK? YES YES YES YES YES
Method NVRAM NVRAM NVRAM NVRAM manual
Status Protocol up up up up administratively down down administratively down down up up
- 7-
Configurationdesprotocolesdeniveaurseau
Pour ce chapitre, nous nous en tiendrons la configuration des adresses IP. Les chapitres suivants prsentent les diffrentsprotocolesderoutageetleurconfiguration.
- 1-
Commandesdevisualisationdtat
La multiplicit des commandes show impressionne et il est vrai que ladministrateur doit en connatre un nombre suffisantpourprtendretreautonomedanslenvironnementILC.Biensr,chaquechapitredecetouvragepropose un jeu de commandes en rapport avec lactivit du chapitre. On ne saurait trop conseiller ltudiantdenrichir un petit carnet (un pensebte mais rien nempche den faire un penseintelligent) qui rpertorie les commandes importantes, au moins pendant la phase de prparation la certification. En voici un premier aperu qui ne prtend absolumentpastreexhaustif: Commande Frquence dutilisation ***** **** ** Affiche...
showrunningconfig showstartupconfig showversion
Lefichierdeconfigurationcourante. Lefichierdesauvegardedelaconfiguration. Laconfigurationmatrielledusystme,laversiondIOS,le nometlasourcedelimageIOSquiaserviamorcerle routeur,lavaleurduregistredeconfigurationconfreg... Desinformationssurlesprocessusactifs. LaconsommationderessourcesCPUdesprocessusactifs. Laconsommationderessourcesmmoiredesprocessus actifs. Lesnombreusesoptionspossiblesdecettecommandequi globalement,fournitdesstatistiquessurlammoiredu routeur. Lutilisationdespilesparlesprocessus.
showprocesses showprocessescpu showprocessesmemory
* ** **
showmemory?
showstacks showbuffers *
Desstatistiquessurlesbuffers(mmoirestampons)du routeur. LecontenuducacheARP.Lacommandecleararpefface lesentresdynamiquescontenuesdanslatable. Latabledersolutiondenoms.Lacommandeclearhost effacelesentresdynamiquescontenuesdanslatable. DesinformationssurlammoireFlash,quantitsutilise, disponible,totale,fichiersprsents. Desinformationscouche2et3deconfigurationainsique desstatistiquesdetraficpourchaqueinterfaceconfigure surlerouteur.Lesstatistiquessontexploitablesla conditiondeconnatregalementlacommandeclear counters[typenumro]quipermetdelesremettre zro. Desinformationscouche1pourchaqueinterface configuresurlerouteur.Cettecommandeshowaffiche notammentletypedextrmitconnectlinterfaceDTE ouDCE.Elleintressedoncltudiantensituationdatelier quandlemarquagedescblesadisparu. DesinformationsIPsurlesinterfaces.
showarp
**
showhosts
**
showflash
**
showinterface[typenumro]
**
showcontrollers[type numro]
***
showipinterface[type numro][brief] showiproute
*****
*****
Latablederoutagedurouteur.Certainementla commandelaplusutilise.Ilestpossibledecomplterla commandeenajoutantdesargumentsquivontaffinerla

- 1-
demande.Cestmmencessairequandlatablede routagecomportebeaucoupdentres. showprotocols *** Lenometltatdetouslesprotocolesdecouche3 configurssurlerouteur. Desinformationssurlaconfigurationdesprotocolesde routagesurcerouteurainsiquelesinformationsde rseau:sourcesdinformation,distancesadministratives. LalistedessessionsTelnetencours. Lalistedesutilisateursactuellementconnects.En ajoutantlargumentall,onobtientgalementde linformationsurleslignesinactives.Ltoilemarquela lignequiatutilisepourentrercettecommande. Lheureetladate.Essayergalementshowclockdetail. Lhistoriquedescommandesprcdemmententres.
showipprotocols
***
showsessions showusers
** **
showclock showhistory
* **
- 2-
Sauvegardeetrestaurationdesconfigurations
1.Sauvegarde/RestaurationviaTFTP
RFCutiles:
G
RFC1350TheTFTPProtocolJuillet1992
TouteslesapplicationsnontpasbesoindelatotalitdesfonctionsoffertesparFTP.LacomplexitdeFTPestacquise au prix dune application au volume consquent. La pile de protocoles TCP/IP dispose dun second protocole de transfertdefichiersappelTFTP(TrivialFileTransferProtocol,Trivial=simple),trssimple,sanscontrledaccs,sans possibilit de lister les fichiers distants (il faut connatre le nom du fichier rcuprer). Les capacits de TFTP se bornentlireoucriredesfichiersdepuisouversunserveurdistant.IlestdoncmoinsvolumineuxqueFTP,cequi permetparexempledelembarquer en mmoire morte dunsystmeinformatiquequelconque,avecunprogramme damorcequisenservirapourrapatrierunsystmedexploitationdepuisunserveurdistant. TFTPsexcuteaudessusdUDP,leserveurTFTPoffresonservicesurleportUDP69. LepremierdatagrammeUDPtransportelademandedetransfertdefichierquisertaussidedemandedeconnexion. Sileserveurautoriselarequte,lefichierestenvoyparfragmentsdetaillefixede512octets.Lmetteurenvoieun de ces fragments puis attend un accus de rception pour ce fragment avant denvoyer le suivant. Le rcepteur acquittechaquefragmentdssarception.Unpaquetdedonnesdemoinsde512octetssignalelafindutransfert etlafindufichier. Lmetteurdun paquet N(donnesouacquittement)armeuntemporisateur.Sicetemporisateurexpireavant quelepaquetsuivantneluisoitparvenu,alorslmetteurretransmetcepaquetN.Ainsi,lmetteurneconserve en mmoire quun seul paquet dans lattente ventuelle dune retransmission. Les fragments du fichier sont numrotssquentiellementpartirde1.Chaquepaquetdedonnescontientunenttequiindiquelenumrodu fragment transport. Un message derreur peut remplacer un paquet de donnes ou un accus de rception. Il provoquelaterminaisonimmdiatedutransfert. Une fois demande la lecture ou lcriture du fichier, le serveur utilise ladresse IP et le port UDP du client pour identifierleschangesdelasessionTFTP.Ainsi,lesmessagesdedonnesoudacquittementsnontpasbesoinde prciserlenomdufichier. TFTPdevraittrerservunusagesurrseaulocal.LesquipementsrseauxembarquentTFTPafindepermettre lamisejourdeleurssystmesdexploitation. Commenons par mettre en place un serveur TFTP sur la machine virtuelle VMSRV01. LInternet fourmille de petits utilitairesgratuitspouvantremplircetoffice.DanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection CertificationsauxEditionsENI,nousavionsdjmisprofitlexcellentTftpd32capableautantderaliserunserveur DHCP quun serveur TFTP ou un serveur SYSLOG. vitons de nous disperser, il fera parfaitement laffaire. Pour mmoire,ilestpossibledeletlchargerdepuislesite:http://tftpd32.jounin.net/ La figure cidessous illustre quelques tapes de la prparation dun serveur TFTP sur la machine VMSRV01. Un rpertoireCONFIGSatcrdanslerpertoireracineduserveurTFTP.Leserveurestladresse10.0.12.100, lcoutesurleport69:
- 1-
Dans linterface ILC, la commande utiliser est la commande copy dont la fonction est de copier tout fichier dune source vers une destination. Une demande daide permet de se rendre compte de la quantit de sources et destinationsconnuesdelIOS: R11#copy ? /erase /error /noverify /verify archive: cns: flash: ftp: http: https: ips-sdf null: nvram: pram: rcp: running-config scp: startup-config system: tftp: xmodem: ymodem:
Erase destination file system. Allow to copy error file. Dont verify image signature before reload. Verify image signature before reload. Copy from archive: file system Copy from cns: file system Copy from flash: file system Copy from ftp: file system Copy from http: file system Copy from https: file system Copy from current IPS signature configuration Copy from null: file system Copy from nvram: file system Copy from pram: file system Copy from rcp: file system Copy from current system configuration Copy from scp: file system Copy from startup configuration Copy from system: file system Copy from tftp: file system Copy from xmodem: file system Copy from ymodem: file system
Lasyntaxedelacommandecopyestlasuivante:
G
Copy[/erase][/verify|/noverify]sourceurldestinationurl
G
Modeprivilgi. /erase:effacelefichierdedestinationavantdeffectuerlacopie. /verify:nesapplique quauxfichiersdimages IOS. Vrifie la signature du fichier de destination et supprimelefichiersilavrificationchoue.
- 2-
/noverify : ne sapplique quaux fichiers dimages IOS, permet de dsactiver pour cette copie la vrificationsystmatiquedescopiesdimagesIOS,vrificationentrepriseparcequeladministrateura entrlacommandedeconfigurationglobalefileverifyauto. Sourceurletdestinationurl:comprendlafoislalocalisationdufichierainsiquesonnom.Sourceet destinationpeuventtrelocalesoudistantes.
Avanttoutemiseen uvre,testonslaconnectivitavecleserveurTFTP: R11#ping 10.0.12.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.12.100, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 24/37/56 ms R11# Enversionuneseuleligne,lacommandesuivantepermetdecopierlefichierdeconfigurationcouranteverslefichier R11confg.txtsitudanslesousrpertoireCONFIGSluimmeplaclaracineduserveurTFTP,cestdiredansle rpertoireC:\TFTPdelamachineVMSRV01: R11#copy run tftp://10.0.12.100/configs/R11-confg.txt Address or name of remote host [10.0.12.100]? Destination filename [configs/R11-confg.txt]? .!! 1799 bytes copied in 7.752 secs (232 bytes/sec) R11# Le fichier de configuration courante peut indiffremment tre dsign par {run | runningconfig | system:runningconfig}. Lammecommandepeutfonctionnerdemanireinteractive: R11#copy run tftp Address or name of remote host []? 10.0.12.100 Destination filename [r11-confg]? configs/r11-confg.txt !! 1799 bytes copied in 4.399 secs (409 bytes/sec) R11# Chaquepointdexclamationcorrespondautransfertdedixpaquetsde512octetschacunetindiquequeletransfert sedroulenormalement.Unpointenlieuetplacedunpointdexclamationsignifiequeleprocessusdecopieasubi untemporisateurchu(timedout). Outrelintrtdedisposerdunesauvegardedelaconfigurationdurouteuretdepouvoircentraliserlessauvegardes detouteslesconfigurationsdesquipementsrseau,lasauvegardesurserveurTFTPpermetlditionhorsinterface ILC.Pournousenconvaincre,modifionslgrementlaconfigurationdeR11enditantlefichiertexteR11confg.txt:
- 3-
LamodificationportesurlenomdurouteurR11changenR11a.Ilresterinjecter lefichierdanslerouteur mais plutt que den faire directement le fichier runningconfiguration, proposonsnous den faire le fichier startup configuration.Ainsi,lamodificationneserapriseencomptequelorsduprochaindmarrage. LacommandesuivantepermetdercuprerunfichierdeconfigurationsurunserveurTFTPetdenfairelefichierde sauvegardedelaconfigurationdurouteur,cestdirelefichierStartupconfig: R11#copy tftp://10.0.12.100/configs/R11-confg.txt start Destination filename [startup-config]? Accessing tftp://10.0.12.100/configs/R11-confg.txt... Loading configs/R11-confg.txt from 10.0.12.100 (via Serial0/0): ! [OK - 1919 bytes] [OK] 1918 bytes copied in 11.431 secs (168 bytes/sec) R11a# *Mar 1 00:01:53.770: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://10.0.12.100/configs/R11-confg.txt by console (59140 DUNKERQUE) R11a# Lefichierdesauvegardedelaconfigurationpeutindiffremmenttredsignpar{start | startupconfig| nvram:startupconfig}. VrifionsquelamodificationestbienpriseencompteenredmarrantR11.Attention,sousGNS3biensauvegarder latopologieavantdarrterR11(cequiprovoquelasauvegardesurdisquedelaNVRAMsimule). Le redmarrage peut tre provoqu laide dune commande reload en mode privilgi. La syntaxe de cette commandeestlasuivante:
G
reload[/verify|/noverify][line|in[hhh :mm|mmm[text]]|athh :mm[text]|cancel]

G
Modeprivilgi. /verify:vrifielasignaturedufichierIOSquiserachargsuiteauredmarrage. /noverify : dsactive pour ce redmarrage la vrification systmatique de limage IOS, vrification entrepriseparcequeladministrateuraentrlacommandedeconfigurationglobalefileverifyauto. line : fournit, dans une chane limite 255 caractres, un motif qui a entran la ncessit de
- 4-
redmarrer.
G
In : le routeur redmarrera dans hhh :mm ou dans mmm minutes. On peut ainsi diffrer le redmarragejusqu24jours! at:lerouteurredmarreralheureprogrammecejour(silheure programme est postrieure lheure courante), le jour prochain (si lheure programme est antrieure lheure courante). Il est galementpossibledespcifierunedate.00:00provoqueleredmarrageminuit. cancel:annuleunredmarrageprogramm.
Sicettecommandeesttoutfaitdignedintrt,ilfautbienavouerquelleestassezmalaccepteparlaplateforme mulelaidedeGNS3.Onsentiendradoncauclicdroitsurlerouteurquilfautredmarrersuividuchoix Arrter puisduchoixDmarrer. ********************************************************************** **** Avertissement ! Acces aux seules personnes autorisees ! **** **** Vos activites au cours de cette session sont susceptibles **** **** detre enregistrees. Toute activite illicite fera lobjet **** **** dun recours en justice ! **** **********************************************************************
User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R11a.ccna.fr depuis la ligne 0 situee 59140 DUNKERQUE. R11a> CQFD.
2.Sauvegarde/Restaurationparcopiercoller
Cettesecondefaondeprocderesttoutaussiintressante,particulirementquandlditiondelaconfigurationdu routeurestlongueetfastidieuse.Ilsagit dditerlaconfigurationendehorsdelinterfaceILC,unditeurdetexte quelconquefaitlaffaire,puisdelinjecterdanslinterfaceILCparcopier/coller. Pour les ateliers de cet ouvrage, lauteur a propos dutiliser lmulateur de terminal PuTTY bien connu des professionnels. Lavantage de cet outil est quil permet autant lmulation dun terminal que ltablissement dune connexion Telnet ou SSH via le rseau. Ce chapitre dcrit une premire procdure qui consiste utiliser PUTTY associlditeurdetexteNotepadprsentdanstouteslesversionsdeWindows.LechapitreconsacrlaGestion detraficparlistedaccsproposeunesecondefaondefairequiutiliseloutilHyperTerminalfourniavecWindows, nouveauassociNotepad.
- 5-
Suivezlesnumrosdespastillessurlesillustrations: 1. Une session console via le port console ou via Telnet est ouverte sur le routeur R11a. Si elle a t ouverte linstant, la mmoire que PUTTY ddie lactivit de la console (toutes les lignes affiches sur lcran y sont enregistres)estvide.Sicentaitpaslecas,ilestpossibledevidercettemmoireeneffectuantunclicdroitsurla barredetitrepuisenslectionnant ClearScrollback.Ladministrateuraplaclinterfacedanslemodeprivilgiet provoque une commande show run. Puis, ladministrateur frappe la barre despace chaque fois quil obtient le message More,ceafindobtenirlaffichagecompletdelaconfiguration.Puisquelatotalitdelaconfigurationat affichelcran,ellesetrouvegalementdanslammoiredePUTTY. 2.Pourtransfrerlecontenudecettemmoiredanslepressepapiers,ladministrateureffectueunclicdroitdansla barredetitre... 3....etdanslemenucontextuelquisaffiche,slectionneCopyAlltoClipboard. 4.LadministrateuraouvertuneinstancedeNotepadetsempressedycollerleprcieuxcontenu. 5. Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent rellementlaconfiguration.Parexemple,endbutdecapture,effacezleslignessuivantes: R11a#sh run Building configuration... Current configuration : 1226 bytes Delammefaon,enfindecapture,effacezlalignesuivante: R11# Dans cette situation, le lecteur est en possession du fichier de configuration de ce routeur, quil est prudent de sauvegarder(R11.txtparexemple)etquilestpossibledemodifierloisiravantdelerinjecterdanslerouteur:
- 6-
6. Ladministrateur simpose dutiliser les fichiers texte de configuration en partant systmatiquement du mode privilgi.Ilajouteparconsquentlacommandeconftncessairepourpasserenmodedeconfiguration. 7.Observezenfinlacommandeend,quivalentelacombinaison[Ctrl]Z,etquipermetdereveniraumodeprivilgi aprslinjection de la configuration modifie. Non illustr : la commande no shutdownnapparaissantpasdefaon explicitelorsquuneinterfaceatactive,ilpeuttreutiledelajoutersurlesinterfacesconcernes(f0/0etS0/0 danslecasprsent).Ainsi,lefichierobtenuinjectdansunrouteursortiducartonpermettraitdereproduireunclone deR11. 8.LadministrateurslectionnelensembleducontenudufichierR11.txt... 9....etleplacedanslePressepapiers. 10.DeretourdanslasessionconsoleouvertesurlerouteurR11a,lemodeencoursestlemodeprivilgi.Unsimple clicdroitprovoquelecollageducontenuduPressepapiers. 11.R11aestredevenuR11. SilfautcomparerlesdeuxmthodesdditionhorsinterfaceILC,remarquonstoutdabordquavecletransfertTFTP, lasourceoulacibledelaconfigurationsontindiffremmentlefichier runoulefichier start.Lamthodecopier/coller prsenteunpeumoinsdesouplesse.CertesquandoncapturelaconfigurationdanslePressepapiers,puisquelle est issue dunecommandeshow,cepeuttreunecommande show runouunecommande showstart. Mais dans lautresens,quandoninjectelaconfiguration,cenepeuttrequedanslefichierdeconfigurationcourante.Ilreste nepasoublierdeconclureavecunecommandedecopiecopyrunstart.
3.Commenterlesfichiersdeconfiguration
Avouezqucetinstant,onestpluttsatisfaitlidedutempsquilestpossibledegagnerentravaillanthorsde linterface ILC. Le second avantage tient la possibilit de grer de faon rationnelle, centralise et scurise les fichiersdeconfigurationdesquipements.Encoreunepierredansldificationdunepolitiquedescurit. Un avantage non document consiste commenter les fichiers de configuration. Le lecteur aura remarqu la prsencedespointsdexclamationdanscesfichiersetlefaitquilsfontofficedecaractresdesparation.Lefichier deconfigurationresteunfichiertextemaislesdiffrentesrubriquesquilecomposentsontaresparlespoints dexclamation.Onpeutlessupprimerouenajouter,cestsansinfluencesurlinterprtationquefaitlIOSdeslignes decommande. Chose irralisable depuis linterface ILC, on peut donc galement ajouter du texte aprs lun de ces points dexclamation,ilneserapasinterprtparlIOS:
- 7-
Supposonsquelonaittransfrlefichiercidessusverslefichierdeconfigurationstart.Pendantloprationdeboot durouteur,lefichierrunatobtenuparclonagedufichierstart,ceciprsquelecommentaire,inconnudelIOSa t ignor. En final, il est possible de visualiser le commentaire laide dune commande show start. Mais ce commentaireresteabsentdursultatdunecommandeshowrun.Etuneseulecommandecopyrunstartaraisondu commentaire.IlfautdoncsurtoutleconsidrercommeuncommentairehorsinterfaceILC.
4.TP:Cration,sauvegardeetrestaurationdunfichierdeconfiguration
a.Activitguide
En premier lieu, le lecteur est invit reproduire la topologie propose en dbut de chapitre puis y reproduire lensembledesactivitsdecechapitre.
b.Activitnonguide
I
laide de lunedesdeuxmthodesproposes,TFTPoucopier/coller,extrayezlaconfigurationdurouteurR11 dansunfichierR11.txt. ModifiezcefichierafinquildeviennelaconfigurationdeR12etsauvegardezdansR12.txt. InjectezR12.txtdanslerouteurR12parTFTPoucopier/coller. VrifiezlaconnectivitdePCL11avecPCL12.
tout hasard, les deux fichiers R11.txt et R12.txt ont t placs dans larchive Atelier2a.zip disponible en tlchargement. Ces fichiers sont prvus pour tre injects dans les routeurs par la mthode copier/coller. Pour quilspuissentgalementtrechargsparTFTPentantquefichiersdeconfiguration,ilconvientaupralabledter lapremireligneconftdanschacundesdeuxfichiers. Cetatelierestprsenttermin.
- 8-
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Ladministrateuraentrlescommandesdeconfigurationcidessous: Router(config)#service password-encryption Router(config)#enable password my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? 2 Ladministrateuraentrlacommandedeconfigurationcidessous: Router(config)#enable secret my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? 3 Quellecommandepermettraitdesassurerdeltatdesinterfaceslafoissurlacouchephysiqueetsurla coucheliaison? 4 LadministrateurtentedouvriruneconnexionTelnetsurlerouteurNANTES.Ilestcertainquelacorrespondance Nom@IPexistesurleserveurDNS.LeserveurDNSestbienrenseigndanslaconfigurationdeR11laide dunecommandeipnameserver.Quelpourraittreleproblme? R11#NANTES Translating "NANTES" Translating "NANTES" % Unknown command or computer name, or unable to find computer address R11# 5 QuellecommandepermetdactiverlemodeapproprisurlerouteurpourconfigureruneinterfaceLANdetype fastethernet? 6 Observezlatopologiecidessousetlaconfigurationassocie.
R11(config)#interface serial 0/0 R11(config-if)#ip address 10.0.8.229 255.255.255.252 R11(config-if)#no shutdown R11(config-if)#exit LadministrateurconstateundfautdeconnectivitentrePCL11etPCL12.Quellespourraiententrelescausesau vudelatopologieetdelextraitdeconfigurationfournis? 7 QuellecommandepermetdeplacerlinterfaceILCdanslemodeconvenableafindtablirlemotdepassequi protgelaccslaconsole? 8 Quellecommandepermetlaffichagedunmessageunefoislasessionouverte,cestdireunefoislutilisateur authentifi?
- 1-
9 Quellecommandepermettraitderedmarrerunrouteurminuitcejour? 10 QuellecommandepermetdesauvegarderlaconfigurationprsenteenRAMdanslapartitionNVRAM? 11 QuellecommandepermetdafficherlensembledescommandesvalidesdanslemodeactueldelinterfaceILC? 12 Quelpeuttrelesouciausujetduneinterfacepourlaquelleladministrateurareulemessagesuivanten rponseunecommandeshowinterfaceserial0/0? Router#sh int s0/0 Serial0/0 is administratively down, line protocol is down 13 Quelpeuttreleproblmeausujetduneinterfacepourlaquelleladministrateurareulemessagesuivanten rponseunecommandeshowinterfaceserial0/0? Router#sh int s0/0 Serial0/0 is down, line protocol is down 14 QuelleestlencapsulationralisepardfautsuruneliaisonWANdetypesynchrone?
2.Rsultats
3.Rponses
1 Ladministrateuraentrlescommandesdeconfigurationcidessous: Router(config)#service password-encryption Router(config)#enable password my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? enable password 7 ####### Lasquence######correspondaumotdepassechiffrlaideduservicepassword encryption. 2 Ladministrateuraentrlacommandedeconfigurationcidessous: Router(config)#enable secret my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? enable secret5 ####### Lasquence######correspondaumotdepassechiffrlaidedelalgorithmeMD5. 3 Quellecommandepermettraitdesassurer de ltatdesinterfaceslafoissurlacouchephysiqueetsurlacouche liaison? Router#sh ip int br 4 LadministrateurtentedouvriruneconnexionTelnetsurlerouteurNANTES.IlestcertainquelacorrespondanceNom @IP existe sur le serveur DNS. Le serveur DNS est bien renseign dans la configuration de R11 laide dune commandeipnameserver.Quelpourraittreleproblme?
- 2-
R11#NANTES Translating "NANTES" Translating "NANTES" % Unknown command or computer name, or unable to find computer address R11# Larsolutiondenomsestdsactivelaidedelacommandenoipdomain lookup. 5 Quelle commande permet dactiver le mode appropri sur le routeur pour configurer une interface LAN de type fast ethernet? Router(config)#interface fastethernet 0/0 6 Observezlatopologiecidessousetlaconfigurationassocie.
R11(config)#interface serial 0/0 R11(config-if)#ip address 10.0.8.229 255.255.255.252 R11(config-if)#no shutdown R11(config-if)#exit LadministrateurconstateundfautdeconnectivitentrePCL11etPCL12.Quellespourraiententrelescausesau vudelatopologieetdelextraitdeconfigurationfournis? Ladresse IP de s0/0 sur R11 nappartient pas au rseau 10.0.8.224/30 mais au rseau 10.0.8.228/30. Par ailleurs, linterface s0/0 tant place ct DCE de la liaison, il manque la commande clock rate qui provoque la fourniture de lhorloge. 7 QuellecommandepermetdeplacerlinterfaceILCdanslemodeconvenableafindtablirlemotdepassequiprotge laccslaconsole? Router(config)#line console 0 8 Quelle commande permet laffichage dun message une fois la session ouverte, cestdire une fois lutilisateur authentifi? Router(config)#banner exec # 9 Quellecommandepermetderedmarrerunrouteurminuitcejour? Router#reload at 00:00 10 QuellecommandepermetdesauvegarderlaconfigurationprsenteenRAMdanslapartitionNVRAM? Router#copy run start
- 3-
11 QuellecommandepermetdafficherlensembledescommandesvalidesdanslemodeactueldelinterfaceILC? ? 12 Quelpeuttrelesouciausujetduneinterfacepourlaquelleladministrateurareulemessagesuivantenrponse unecommandeshowinterfaceserial0/0? Router#sh int s0/0Serial 0/0 is administratively down, line protocol is down Pourcetteinterface,lefichierdeconfigurationcomporteunecommandeshutdown. 13 Quel peut tre le problme au sujet dune interface pour laquelle ladministrateur a reu le message suivant en rponseunecommandeshowinterfaceserial0/0? Router#sh int s0/0 Serial0/0 is down, line protocol is down Cettefois,ilsagitdunproblmequiaffectelacouchephysique:dfautdecble,pasdquipementactifenvisvis... 14 QuelleestlencapsulationralisepardfautsuruneliaisonWANdetypesynchrone? HDLCmaisenralit,unHDLCrevisitparCISCO.
- 4-
Prrequisetobjectifs
1.Prrequis
cestade,lorganisationmatrielleetlogicielledurouteur,sesportsdadministration,sesinterfaces,sonsystme dexploitation,sonpartitionnementmmoiresontsuppossconnussoitlquivalentduchapitreLesrouteursdecet ouvrage. De mme, le maniement de linterface ILC, les changements de contexte, les commandes de configuration essentielles, les commandes de visualisation dtat les plus classiques ne sont plus dcouvrir, ceci a t fait pendantlechapitreTchesdeconfigurationdesrouteurs.
2.Objectifs
lafindecechapitre,vousserezenmesurede: Dcrirelasquencedvnementsquicomposentlamoragedunrouteur. MettreniveaulesystmedexploitationCISCOIOS.
- 1-
LIOS
1.Introduction
Commetoutordinateur,unrouteurouuncommutateurnepeuventfonctionnersanssystmedexploitation.Dansle casdesquipementsCISCO,leconstructeurledsigneparIOS(InternetworkingOperatingSystem)etilestembarqu surlaplupartdesesmatriels,routeurs,commutateurs,pointsdaccssansfil,indpendammentdeleurtailleoude leurtype. LIOSeststockdanslapartitionmmoireFlashquiestaurouteurcequeledisquedurestauPC(quoiquelarrive desdisquesSSDSolidStateDrivepourraitrapidementdavantagerenforcerlessimilitudesentrelesquipements). Avantsonchargementenmmoirevive,lensembleCISCOIOSestfournisouslaformedunseulfichierdeplusieurs Mgaoctets.Curieusement,ondsigneparimagecefichier,limagecontientlIOSentierpourunquipementdonn. LIOSestchargenmmoirevivependantledmarrage. Commetoutsystmedexploitation,lIOSdoitgrerlesressourcesmatriellesetlogiciellesdurouteur,celacomprend lallocationdemmoire,lagestionmultitchesdesdiffrentsprocessus,lagestiondusystmedefichiers.Lacronyme IOSestdevenugnriquemaisrecouvrepourtantdesralitstrsdiffrentes,cepouraumoinstroisraisons:
G
Denombreusesplatesformeslutilisent. LaconceptiondelIOSestmodulaire,uneimageintgredesfonctionnalitsplusoumoinsnombreuses,cecia une incidence directe sur la taille de la mmoire Flash qui doit accueillir limage ainsi que sur la quantit de mmoirevivequelerouteurdoitembarquerpouresprerlafairetourner. CISCOproposergulirementdenouvellesversions,ilpeutsagirdecorrectionsdeboguesoudelajoutde nouvellesfonctionnalits.
Defait,ilexistedenombreusesimagesIOSetilestpeuprobablequunrouteurterminesonexistenceaveclIOSqui lquipaitlasortieducarton.LesmotivationssubstituerunIOSunautresontdiverses,cepeuttrelesouhait dedisposerdelaversionlaplusrcenteoudedisposerdelammeversionsurlensembledesrouteursdunrseau. Lundessavoirfairedeladministrateurconsistechargerunenouvelleimagesurlerouteur.Nousenvisageronstrois mthodes, deux qui supposent une interface rseau accessible, la troisime qui se cantonne lutilisation du port console.
2.LesimagesIOS
CISCOdistinguedeuxtypesdimages: 1.LimagebootcontientunsousensembledelIOScomplet,suffisantcependantpourchargerunIOScompletdepuis lerseauoupourchargeruneimageIOSsurlerouteur.Lerouteurmetgalementprofitlimagebootquandilnest pasparvenutrouveruneimagesystmevalide.Limagebootestdsigne,selonlessystmes,image rxboot, imagebootstrapouimagebootloader. Sur certaines platesformes, limage boot est contenue en ROM, dans dautres, elle peut tre contenue en mmoire Flashetdanscecas,unecommandebootbootldrenmodedeconfigurationglobalepermetdespcifierquelleimage bootlerouteurdoitutiliser. 2.LimagesystmecontientlIOScomplet.Cetteimageestchargependantleboot.Leplusordinairement,lerouteur estsouslecontrledunIOSissuduneimagesystme. Surlaplupartdesplatesformes,limageestconservedanslapartitionFlash.Certainesplatesformesdisposentde plusieurs partitions Flash (flash, boot flash, slot 0, slot 1...) et dans ce cas, limage peut tre stocke sur chacune delles.Unecommande showfilesystemsfournitlalistedespartitionssupportesparlerouteur,untypeopaque faitrfrenceunepseudopartition: Router#show file systems File Systems: Size(b) Free(b) Type Flags Prefixes opaque rw archive: opaque rw system: 29688 29636 nvramrwnvram: opaque rw null: network rwtftp: opaque roxmodem:
- 1-
16777212 -
Router#
16777212 opaque
opaque flash opaque network network network network network network rocns:
roymodem: rw flash: wo syslog: rwrcp: rw pram: rw ftp: rw http: rwscp: rw https:
3.NommagedesimagesIOS<12.3
Laconventiondenommagedesfonctionnalitsdcriteicitaitcellequiprvalaitavantlaversion12.3delIOS.Lenom attribuaufichierimagesystmerespecteleformatsuivant:
G
Platformfeaturesettype,exemple:c2600ik9smz.12240a.bin
G
Platform : identifie la plateforme matrielle pour laquelle limage a t conue. C2600 dans lexemplecidessusidentifielaplateformeCisco2600. featureset:laconceptiondelIOSestmodulaire,limageIOSrsultedelassemblagedediffrentes briqueslogiciellesselonlesfonctionnalitsquelledoitintgrer.Ainsi,danslexemplecidessus, I identifie la brique IP , K9 identifie IPSec ainsi que des fonctionnalits de cryptographie telle 3DES (Triple DES (Data Encryption Standard)), S identifie des fonctionnalits en rapport avec SRB (SourceRouteBridging,technologiederoutageintroduiteparIBM). type:renseignesuruneouplusieurscaractristiquesdelimage:
G
f:limagesexcutedirectementenmmoireFlash. m:limagesexcuteenRAM. r:limagesexcutedepuislaROM. l : limage est relogeable. Reloger un excutable consiste modifier, sitt aprs son chargement et avant son excution, les adresses quilrfrencepourquellescorrespondent aux adresses physiques des lments, code excutable ou donnes, au moment de lexcution.Eninformatique,relogerestdoncsynonymedetranslater. z:limageestcompresseselonleformatzip. x:limageestcompresseselonleformatmzip. w:limageestcompresseselonleformatstac.
Letableaucidessousreproduitunepartiedessymboleslesplusfrquemmentrencontrs: Symbole B G AppleTalk Rseaunumriqueintgrationdeservices(RNIS(Rseau NumriqueIntgrationdeServices)ouISDN(IntegratedServices DigitalNetwork)) CaractristiquesIP,comprendSNMP(SimpleNetworkManagement Protocol),IP,Bridging,WAN,RemoteNode,TerminalServices... Interprtation
- 2-
I2 I3 J
IPpourlaplateforme3600 IPrduitsansBGP/EGP/NHRP(NextHopResolutionProtocol) CaractristiquesEnterprise(ajoutetouslesprotocolesde routage) Cryptographie,comprendIPSec,SSH(SecureShell) Cryptographiefaible,DES56bits Cryptographieforte,TripleDES,AES(AdvancedEncryptionStandard) NovellIPX(InternetworkPacketExchange) Firewall Firewall(3xx0) FirewallavecSSH(36x0,26x0) CaractristiquesPlus,comprendNAT,VPN PlussansATM(AsynchronousTransferMode) Plussanslavoix IPsurlesrouteursdelasrie1700 H323GateKeeper/Proxypour25003620,3640,MC3810
K K8 K9 N O O2 O3 S S6 S7 Y X
Quelquesexemplesdassemblagespossibles:
I
TapezdansunmoteurderechercheCiscoIOS12.3FeatureSetsforCisco2600XM. VouspouvezbiensrremplacerCisco2600XMparlaplateformequivousconcerne.
Silelienexisteencoreaumomentovouslisezceslignes,cliquezsurlelienversledocument...
Aumomentoceslignessontcrites,CISCOproposelespackagessuivantspourcetteplateforme: FeatureSet Packagesclassiques ENTERPRISE/FW/IDSPLUSIPSEC3DES ENTERPRISEPLUSIPSEC3DES ENTERPRISEPLUS c2600jk9o3smz c2600jk9smz c2600jsmz ImageFilename
- 3-
IP/FW/IDSPLUSIPSEC3DES IP/FW/IDSPLUSIPSEC56 IPPLUSIPSEC3DES IPPLUS IP/IPX/APPLETALK/FW/IDSPLUS IP/IPX/APPLETALKPLUS IP/IPX/APPLETALK IP/FW/IDS IP Packagesspciaux ENTERPRISE/SNASWPLUSIPSEC3DES ENTERPRISE/SNASWPLUS ENTERPRISEPLUS/H323MCM ENTERPRISE/SSG ENTERPRISEPLUSIPIPGATEWAYIPSEC3DES ENTERPRISEPLUSIPIPGATEWAY SS7SIGNALINGLINKTERMINATION IP/H323 TELCOFEATURESET Dtaillonsquelquesunsdecespackages:
G
c2600ik9o3smz c2600ik8o3smz c2600ik9smz c2600ismz c2600bino3smz c2600binsmz c2600binmz c2600io3mz c2600imz
c2600a3jk9smz c2600a3jsmz c2600jsxmz c2600g4jsmz c2600jk9s2mz c2600js2mz c2600ipss7mz C2600ixmz C2600telcomz
C2600ik9o3smz
G
iIP k9Cryptographieforte(3DES,AES) o3IOSParefeu,dtectiondintrusion sFonctionnalitsPlus
C2600binmz
G
bAppleTalk(protocoledecommunicationdApple) iIP nIPX(protocoledecouche3deNovell)
- 4-
C2600ik9smz
G
IdemC2600ik9o3smzsanslesfonctionnalitsdeparefeu.
Lacommande showversionpermetladministrateur de vrifier entre autres la version dIOSencoursdutilisation surlerouteur.Profitonsducontextepourdtaillerlersultatdecettecommande,prsentdelafaonsuivante: Cisco IOS Software, <platform> Software (<image-id>), Version <software-version>, <software-type> Technical Support: http://www.cisco.com/techsupport Copyright (c) <date-range> by Cisco Systems, Inc. Compiled <day><date><time> by <compiler-id> ROM: System Bootstrap, Version <software-version>, <software-type> BOOTLDR: <platform> Software (image-id), Version <software-version>, type> <router-name> uptime is <w> weeks, <d> days, <h> hours, <m> minutes System returned to ROM by reload at <time><day><date> System image file is "<filesystem-location>/<software-image-name>" Last reload reason: <reload-reason> Cisco <platform-processor-type> processor (revision <processor-revision-id>) with <free-DRAM-memory>K/<packet-memory>K bytes of memory. Processor board ID <ID-number> <CPU-type> CPU at <clock-speed>Mhz, Implementation <number>, Rev <Revision-number>, <kilobytes-Processor-Cache-Memory>KB <cache-Level> Cache Lesinformationsfourniessontdetroisordres: 1.Desinformationslogicielles:
G
<software-
versiondelIOS capacitsdelIOS(featureset) emplacementetnomdufichierdebootenROM.
2.Desinformationsspcifiqueslquipement:
G
Nomattribu. Tempscouldepuislamisesoustension( Systemuptime,cestaussiletrapSNMPuptime). Motifquiaprovoquledernierredmarrage(Systemreloadreason).Exemples:lacommande reload,lamise soustension( poweron)... Valeurcouranteduregistredeconfiguration. Sidiffrente,lavaleurquadopteraleregistredeconfigurationauprochainredmarrage.
3.Desinformationssurquelquesaspectsphysiquesdelaplateforme:
G
typedeplateforme typedeCPU versionhardwareduCPU quantitdemmoireprincipaleinstalle
- 5-
quantitdemmoireattribueauxentres/sorties quantitdemmoireFlashinstalle identifiantdecartemre.
Exempledecequepourraittrelersultatdunecommandeshowversion: R11#show version Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Mon 10-Sep-07 10:27 by prod_rel_team ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) R11 uptime is 0 minutes System returned to ROM by reload at 10:36:51 UTC Tue Mar 9 2010 System image file is "flash:c2801-ipbase-mz.124-16a.bin" Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory. Processor board ID FCZ113990F6 2 FastEthernet interfaces 2 Low-speed serial(sync/async) interfaces DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 62720K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 R11# Observeznotammentlespartiesengrasdelacapture.Lesdeuxnombresdonnsausujetdelaquantitdemmoire vive mritent quelques explications. La premire valeur reprsente selon les cas la seule partie de mmoire vive disponiblepourleprocesseurou latotalitdelammoireviveinstallesurlesystme.Lasecondevaleurreprsente la quantit de mmoire ddie aux paquets. Cette mmoire est organise de faon optimiser le traitement des paquets,concrtementenycrantdestamponsdepaquets. LesplatesformeslespluspuissantesdelagammeCISCO(Cisco4000,4500,4700et7500)bnficientdemmoire ddiecetusage,CISCOladsigneparI/Omemoryou Fastmemory.Lepremiernombrefourniindiquedans cecaslaquantittotaledemmoirevivedispositionduprocesseur. LesplatesformesCisco2500,2600,2800,3600et7200quantellespartagentlammoireviveinstalle,afinden mettreunepartiedisposition,pourconstituerlestamponsdepaquetsassocisauxinterfaces.Laconsquenceest quil est ncessaire dadditionner les deux nombres fournis pour exprimer la quantit totale de mmoire vive embarque par le routeur. Dans la capture cidessus, effectue sur une plateforme 2800, la somme des deux nombresdonne131072K/1024=128Mo.
4.volutiondupackagingdesimagesIOS
Avec larrive de la version 12.3 de lIOS, CISCO dcide de refonder loffre logicielle en la simplifiant, le nombre de packages possibles passant selon Cisco de quarantequatre huit ! Quatre de ces packages rpondent quatre besoins reprs typiques : donnes IP, convergence voixdonnes,ScuritetVPNetprotocolesdentreprise.Trois packagessupplmentairesoffrentdenouvellescombinaisonsdefonctionnalitsmmedesatisfairedesbesoinssur des rseaux dune certaine complexit. Enfin, il est possible dacqurir une version premium, appele Advanced EnterpriseServices etquiregroupelensembledesfonctionnalitsoffertesdefaonspareparlesautrespackages. Une des caractristiques de la nouvelle offre est de fonctionner selon un systme dhritage : une fonctionnalit introduite sur un niveau bas ou intermdiaire de loffre nest pas te sur un niveau suprieur, ce qui facile la migration vers des packages de niveau plus lev, ladministrateur ayant la certitude de ne pas perdre des fonctionnalitsparmicellesdontildisposaitdj.Lafiguresuivante,issuedeCISCO,illustrelanouvellehirarchiede loffrelogicielleCISCO:
- 6-
PackageIPBase Ensembledeservicesrequispouroprerdansunenvironnementdedonnes,comprendlaconnectivitDSL, lesmodulesdecommutationEthernet,leroutage802.1q,le trunking surlesinterfacesEthernet.Toutes ces fonctionnalits sont hrites et donc prsentes galement dans les sept autres packages. Limage IP BaseestlimagepardfautsurlaplupartdesrouteursCISCO.
G
PackageIPVoice CepackageajoutedesfonctionnalitstypesvoixauxfonctionnalitsdeIPBase.OutrelavoixsurIP,le supportdelavoixsurFrameRelayestgalementprvu.Touteslesinterfacesvoixexistantesetleurprotocole designalisationsontsupports(exemples:H323,MGCP: MediaGatewayControlProtocol).Enfin,IPVoice intgre des services ddis la tlphonie tels Call manager Express ou SRST (Survival Remote Site Telephony).
PackageAdvancedSecurity Ce package ajoute des fonctionnalits de scurit aux fonctionnalits de IP Base , telles les VPN, des fonctionnalitsdeparefeu,dedtectiondintrusion,lesupportdeSSHversion1,lesupportdeCiscoEasy VPNClientandServer.CepackageintgrepourcefairelescapacitsdecryptographieAESet3DES.
PackageSPServices Ce package ajoute aux fonctionnalits de IP Voice le support de la voix sur ATM, le support de MPLS (MultiprotocolLabelSwitching)etSSHversion1.
PackageEnterpriseBase CepackageajouteauxfonctionnalitsdeIPVoicelesupportdenombreuxprotocolestiers,telsAppletalk, IPXdeNovell,desprotocolesoudestechnologiesissusdIBMtelsSDLC,SNA(SystemsNetworkArchitecture) ouTokenRing.
PackageEnterpriseServices CepackageregroupelesupportdIPX,dAppletalk,deDECnetetlesservicesIBMaveclesservicesvoixet/ou lesservicesATM.IlcombinedonclesfonctionnalitsdesdeuxpackagesSPservicesetEnterpriseBase.

IlconvientauxclientsquisouhaitentintgrerlesservicesvoixetlesservicesIBM.
G
PackageAdvancedIPServices CepackageregroupedesfonctionnalitsdevoixetdonnesavecdescapacitsdescuritetVPN.Ilajoute donc aux fonctionnalits de SP services le support de VPN, la dtection dintrusion, IPv6, le parefeu, toutesfonctionnalitsissuesdupackageAdvancedSecurity.
PackageAdvancedEnterpriseServices Ce package offre le support multiprotocoles (par exemple Appletalk, Novell IPX et DECnet) avec les services voixetscurit.Cestvidemmentlasolutionlaplusriche.
LetableausuivantmontrecetteoffreIOSrduitehuitpourlammeplateforme2600XMdjutiliseenexemple dansleparagrapheprcdent: FeatureSet ImageFilename Flash ncessaire RAM ncessaire
Packagesmultiplatesformes IPBASE IPVOICE ADVANCEDSECURITY ENTERPRISEBASE SPSERVICES ENTERPRISESERVICES ADVANCEDIPSERVICES ADVANCEDENTERPRISESERVICES c2600ipbasemz c2600ipvoicemz c2600advsecurityk9mz c2600entbasemz c2600spservicesk9mz c2600entservicesk9mz c2600advipservicesk9mz c2600adventerprisek9mz 16Mo 32Mo 16Mo 16Mo 32Mo 32Mo 32Mo 32Mo 64Mo 96Mo 64Mo 64Mo 96Mo 96Mo 96Mo 96Mo
Toujours pour cette mme plateforme 2600XM, CISCO suggre des migrations pour certaines de ses images IOS retiresdelavente: EndofSalesFeatureSet ENTERPRISE/SNASWPLUSIPSEC56 c2600a3jk8smz IPPLUSIPSEC56 c2600ik8smz Migrationsuggre ENTERPRISE/SNASWPLUSIPSEC3DES c2600a3jk9smz IPPLUSIPSEC3DES c2600ik9smz ADVANCEDSECURITY c2600advsecurityk9mz ADVANCEDIPSERVICES c2600advipservicesk9mz ENTERPRISE/FW/IDSPLUSIPSEC56 c2600jk8o3smz ENTERPRISE/FW/IDSPLUSIPSEC3DES c2600jk9o3smz ADVANCEDENTERPRISESERVICES c2600adventerprisek9mz
- 8-
ENTERPRISEPLUSIPSEC56 c2600jk8smz
ENTERPRISEPLUSIPSEC3DES c2600jk9smz ADVANCEDENTERPRISESERVICES c2600adventerprisek9mz
5.Lecassettedesnumrosdeversion
Encoreunsujetdontilvafalloirrenoncerfaireletour.Unestimconfrrelafaitetlersultatestunouvragede308 pages ! Nous nous en tiendrons lindispensable. Les diffrentes versions de lIOS sont classifies en trains , chaque train contient un ensemble diffrent de fonctionnalits, chaque train suit sa voie. Parmi tous les trains maintenus par CISCO, ladministrateur doit absolument connatre lexistence des deux trains Main Line et Technology : Letrain MainLine(littralementgrandeligne)offrelesversionslesplusstablesetnvoluejamaisentermesde fonctionnalitscontenues(lastabilitestceprix),cependanttoutesavie.Lesmisesjourrguliresnontdonc paspourobjetdeproposerdenouvellesfonctionnalitsoulesupportdenouveauxmatrielsmaisbiendapporterdes correctionsdesproblmesidentifis. Exemples:
G
Laversion12.4(1)estlepremierexemplairedelIOSproposdansletrainMainLine12.4. La version 12.4(16) constitue une mise jour gnrale qui intgre tous les correctifs apports depuis la version12.4(1).Cenestpourtantpasla16 e version,carlesnumrosdeversionlintrieurduntrainsont certes croissants, mais ne se suivent pas ncessairement. Ainsi, dans le train Main Line , la version qui prcdait12.4(16)tait12.4(13f).Lesnumrosdeversion(14)et(15)nepeuventappartenirautrain Main LinecarilsonttattribusautrainTechnology.
Laversion12.4(16a)estuneversiontransitoire,destineraccourcirletempsderactiondeCISCOvisvis dunproblmeidentifi.Uneautreversiontransitoire12.4(16b)asuivilaversion12.4(16a)avantdarriverla misejourgnrale12.4(17).
Letrain Technology estidentifiparlalettreT(Pavantlaversion12).LesversionsdelIOSproposesdansce trainpeuventlafoiscomporterdescorrectionsdesproblmesidentifismaisgalementcomporterdenouvelles fonctionnalitslogiciellesoulesupportdenouveauxmatriels.Cesapportsnepeuventsefairequaudtrimentdela stabilit du systme. Cest pourquoi CISCO recommande dviter lutilisation du train T en environnement de production sauf absolue ncessit (par exemple, dans le cas o lune des nouvelles fonctionnalits se rvlerait indispensable). Exemples:
G
Laversion12.4(2)TestlepremierexemplairedelIOSproposdansletrainTechnology12.4. Laversion12.4(20)Tconstitueunemisejourgnrale. Laversion12.4(20)T2estuneversiontransitoire.
Lafiguresuivanteillustrelecheminementparallledestrainsdeversions:
- 9-
Observezsurlafigurecidessuslasuccessiondesversionsdutrain MainLinepourparvenirlaversion12.4(25c), versionlaplusrcentedecetrainaumomentoceslignessontcrites.Delammefaon,observezquelaversionla plus rcente du train Technology est la version 12.4(24)T2. Dans les deux cas, observez que les versions se succdentmaisrestentsystmatiquementaffublesdunsuffixeplacentreparenthses(ED)ou(MD)dontlobjetest dequalifierlaversion.Lessuffixespossiblessontlessuivants:
G
(DF):DeferralReleases,cemarquageannonceleretraitprochaindelimageconcerne(limageneferaplus partie de loffre CISCO). Lditeur recommande vivement ses clients de migrer vers une image de remplacement. (ED): EarlyDeploymentReleases,lobjetduneversionEDestdetraduiresansdlaileseffortsdesquipes dedveloppeurssurlemarch.LesversionsEDconnaissentdessouscatgories:
G
(CTED):ConsolidatedTechnologyEarlyDeploymentreleases,galementappelesversionsT. (STED):SpecificTechnologyEarlyDeploymentreleases. (SMED):SpecificMarketEarlyDeploymentreleases. (XED):ShortLivedEarlyDeploymentreleases,galementappelesversionsX.
(MD):MaintenanceDeploymentreleases,lobjetduneversionMDestdefournirdescorrectifslogicielsdans uncadredemaintenancelogiciellenormale. (GD) : General Deployment releases ,ltape GD est un jalon important dans le cycle de vie de la version dIOS. Une version majeure atteint le stade GD quand CISCO estime que la version convient pour un dploiement dans tous les rseaux de ses clients. CISCO se fonde sur une quation complique o interviennent entre autres le retour des commentaires clients et les rsultats des tests oprs avec cette version.
- 10 -
(LD):LimitedDeploymentreleases,tatquiprcdeltatGDdanslecycledevieduneversion.
Quelquesrelationsentrecestypesdeversions:
G
Lescorrectionsdesproblmeslogicielsidentifissontappliquesautrain MainLine.Rgulirement,ces correctionssontgalementappliquesauxversions(CTED)etparsuiteauxversions(STED)quiontunliende parentaveclesversionsCTED. Une relation parentenfantlietouteversionSTEDouSMEDsoitavecuneversiondutrain Main Line,soit avecuneversionCTED.LaversionSTEDouSMEDresteactivetantquelaversionparentedemeureactiveet hritedesmmesdveloppements. UneversionXtrouvesonoriginedansuneversionCTED.Elleoffreauxquipesdedveloppeurslemoyende fournirtrsrapidementdenouvellestechnologiesaumarch.UnemisejourdeversionXestappeletre galement applique rapidement sa racine CTED. Quand les fonctionnalits spcifiques qui ont justifi la cration de cette version X se voient finalement intgres la version CTED racine, la version X devient obsolteetpasseltatEoE( EndofEngineering). Les technologies prouves introduites dans les six premires rvisions du train Technology sont conservesafindefournirlabasedecequiconstitueraleprochaintrain MainLine(le12.5aumomento ceslignessontcrites).
6.Cycledevie
Ilestbondeconnatrelesacronymesassocisauxgrandestapesquijalonnentlavieduneversion:
G
FCS:FirstCustomerShipment,laversionestmisedispositiondelaclientlesurlesiteCisco.com. EoS:EndofSale,laversionnestplusvenduemaislesversionsdemaintenancerestentdisponiblessurle sitedetlchargement.LannoncedufuturtatEoSintervientsixmoisavantsadateeffective. EoE:EndofEngineering,CISCOneconstruitplusdenouvellesimagesIOS,lesquipesdedveloppement ne produisent plus de correctifs logiciels et nintgrent plus de nouvelles fonctionnalits. Cependant, un supportresteassurparleTAC( TechnicalAssistanceCenter). EoL : End of Life , CISCO cesse tout support de cette version et recommande la mise jour vers une versionplusrcente.
- 11 -
Lasquencededmarrage
1.Organigrammedelasquencededmarrage
Nouslavonsdit,unrouteurestavanttoutunordinateuretlessimilitudesvontjusquleurfaondedmarrer.Une diffrence cependant tient au fait quun ordinateur ne dispose ordinairement que dun seul systme dexploitation install.Unrouteuraucontrairepeutchargerunsystmedexploitationparmiplusieursissusdesourcesdiffrentes, localesaurouteuroudistantes. Lorganigrammeciaprstentederetracerlestapesdelasquencedamorage:
1. Comme tout ordinateur, le routeur effectue le test appel POST (PowerOn Self Test) et destin vrifier le bon
- 1-
fonctionnementdesdiffrentscomposantsmatrielsdurouteur. 2.LerouteurcopieenRAMetexcuteunprogrammedestincontrlerlasuitedudmarrage(bootstrap).Sagitil dun programme spcifique (un picocode ) ou dj du minisystme dexploitation ROMMON comme le laissent pensercertainesdocumentationsCISCO?(parexemple:"CiscoIOSConfigurationFundamentalsGuideRelease12.4 BootingProcess"),peuimporte. 3. Le programme damorage dtermine quelle image IOS doit tre utilise, charge cette image en RAM puis lui transfrelecontrle. 4.Cest dsormais lIOSquicontrlelerouteuretunesquencenormalededmarragesepoursuitenchargeantle fichierdeconfigurationstartupconfigquidevientalorsrunningconfig. Ladministrateur na aucun contrle sur les deux premires tapes, tout au plus peutil interrompre la squence de dmarragepourquellesachveautermedeltape2,ceengnrantunBreaksurleportconsolependantles soixantepremiressecondesdudmarrage(combinaison[Ctrl][Pause]). Cette squence de dmarrage ncessite dautres commentaires qui ne pourront tre faits quune fois expliqu le registredeconfiguration...
2.Leregistredeconfiguration
Danciens routeurs taient quips dans le pass de micro commutateurs qui participaient la configuration de lquipement.CISCOaprennislespratiquesacquisesalorsenremplaantcesmicrocommutateursparunregistre de 16 bits appel registre de configuration. La valeur stocke dans ce registre est maintenue en labsence dalimentation.Deplus,lacommandequipermetdcriredansceregistrenapasbesoindtresuiviedunecommande de sauvegarde. La figure suivante peut rejoindre directement le petit carnet de notes quun administrateur devrait constitueretconserversurlui:
PourleCCNA,ladministrateurdoitmatriser...
G
Lusage du champ damorage : ce champ occupe les 4 bits de poids faible du registre. La squence de dmarragetestecechamp,troisrsultatssontpossibles:
- 2-
Champ damorage = 0 pas de chargement dimage, invite de commande ROMMON. Rsultat identiqueceluiobtenuengnrantunBreaksurleportconsolependantlessoixantepremires secondesdudmarrage. Champdamorage=1ChargementdelimageBootouRxBoot. Champdamoragecomprisentre2etF Comportementdterminparladministrateur. Silaplac une ou plusieurs commandes boot system dans le fichier de configuration, alors le routeur tente de charger limage indique par la premire commande. Si le chargement russit, la squence de dmarrage se poursuit. Dans le cas contraire, le routeur tente de charger limage indique par la commande boot system suivante. Quand ladministrateur na plac aucune commande boot system danslefichierdeconfiguration,lerouteurchargelepremierIOSprsentdanslapartitionFlash.
Lusagedubit6cebitplac1modifielecomportementdurouteurlafindelasquencedamorage,qui ignoredanscecaslecontenudelaNVRAMetdonclefichierdesauvegardedelaconfigurationstartupconfig. Cettefacultseramiseprofitdanslaprocdurederecouvrementdemotsdepassedcritedanscechapitre.
Pour luimme,ladministrateur devrait matriser lusage des trois bits 5, 11 et 12 qui permettent de rgler le dbit numriqueduportconsole,cestutilequandparexempleonsouhaitedtournerleportconsoledesonusagepremier pourtransfreruneimageIOSenFlash,laprocdureestgalementdcritedanscechapitre.
3.Lacommande"bootsystem"
La commande boot system admet plusieurs dclinaisons selon la localisation de limage charger. Les syntaxes suivantesnousserontutiles:
G
bootsystemflash[flashfs:][partitionnumber:][filename]
G
UtilequandilfautchargeruneimagedepuisunepartitionFlash. Modedeconfigurationglobale. flashfs: optionnel, dsigne la partition Flash qui contient limage charger. Les valeurs possibles sont:
G
flash: ilsagitdelammoireflashinternesurlesplatesformes1600et3600,cestaussila partitionpardfautsurcesmmesplatesformes. bootflash:mmoireFlashinternedesplatesformes7000. slot0:premieremplacementPCMCIAsurlesplatesformes3600et7000,partitionpardfaut desplatesformes7000. slot1:secondemplacementPCMCIAdesplatesformes3600et7000.
partitionnumber: optionnel, numro attribu la partition qui contient limage systme charger. Cet argument ne concerne que les systmes dont les partitions cres par construction acceptent dtrepartitionnesparladministrateur. filename optionnel avec la commande boot system flash, nom du fichier image charger au dmarrage. Cet argument est sensible la casse. Quand il nest pas spcifi, le routeur charge le premierfichiervalidelemplacementdsignparflashfs:partitionnumber:,danslapartitionflashpar dfaut quand lemplacementestomis.Lanotiondepremierfichiervaliderenvoieaufaitquechaque fichiercritdansunepartitionflashestaffubldun numro, chaque nouvelle criture incrmente ce numro.Lepremierfichierestceluiportantlepluspetitnumro.
bootsystem{ rcp|tftp|ftp}filename[ipaddress]
G
dontlesargumentsnonencoreexplicitssont:
- 3-
{ rcp | tftp | ftp} outre la facult de charger depuis un serveur TFTP, le routeur peut galementchargerdepuisunserveurFTPouunemachineUNIX(remotecopy). [ipaddress]optionnel,adresseIPduserveurquicontientlimagesystmecharger.Quand elleestomise,lerouteurluisubstitueladressedediffusion255.255.255.255.
bootsystem{ fileurl|filename}
G
fileurllURLdelimagesystmecharger. Exemple:bootsystemtftp://10.0.12.100/IOS/c2801ipbasek9mz.12425c.bin Danscechapitre,cettetroisimeformeatprfrelaforme bootsystemtftpcarellepermetde spcifierunrpertoiresurleserveurTFTP.
4.Squencededmarrage,suiteetfin
Rien ninterdit dutiliser plusieurs commandes boot system dans le fichier de configuration. Le routeur tente la premire commande boot system puis la seconde et ainsi de suite jusqu ce quune tentative aboutisse. Les ventuellescommandesbootsystemsuivantessontalorsignores. Quand le routeur nest pas parvenu charger une image laide des commandes boot system et que toutes concernaientdestentativesverslerseau,alorslerouteurtentedechargeruneimagedepuislapartitionFlash. QuandlerouteuracherchsanssuccsuneimagevalidedanslapartitionFlash,ilpoursuitsaqutesurlerseauen diffusantdesrequteslarecherchedunserveurTFTPquidisposeraitduneimageIOS.Autantdirequilsagitdun scnarioimprobableetaursultatassezalatoire. Tous les systmes ne disposent pas ncessairement dune image boot (Rxboot) en ROM ou en Flash. La conclusion dunesquencededmarragesesimplifiedanscecaspuisquelenombredesystmesdexploitationpossiblepasse de trois (ROMMON, Rxboot, IOS) deux (ROMMON, IOS). Si le routeur na pas charg dIOS pour lun des motifs suivants:
G
LadministrateurainterrompulasquencededmarragelaidedunBreak. Ladministrateuravaitplac0x0danslechampdamorageduregistredeconfiguration. LerouteurnestpasparvenutrouveruneimageIOSvalide.
... alors le routeur reste sous le contrle de ROMMON, un terminal connect au port console affiche linvite de commandeROMMONn>. Toujours dans le cas dun systme ne disposant pas dimage boot, le test du champ damorage ralis immdiatementaprslechargementdeROMMONestlgrementmodifi: Champ damorage 0x0 0x1 Commandesboot system Ignore Ignore ROMMON LepremierIOSenFlashestcharg,sinon TFTP,sinonROMMON. Effet
0x2 0x2
Aucune Uneouplusieurs Tentechaquecommandejusquceque lunerussisse.
5.TP:Jaiperdulemotdepassedurouteur!Commentmensortir?
Contexte : une fois nest pas coutume, difficile de virtualiser cet atelier. Le lecteur est donc invit reproduire les
- 4-
manipulationsproposessurunrouteurCISCOquelconque.Noussupposonsquesilelecteuresttudiantinscritdans lacadmieCISCO,ilaaccsauxrouteursdesbundlesprvuspourlesorganismesdeformationadhrents.Ilsagira donc de 2600 ou 2800 pour lesquels la procdure dcrite ciaprs sapplique strictement. Si le lecteur devait avoir affaire au plus ancien routeur 2500, alors il conviendrait dadapter les commandes ROMMON ce modle. Pour lessentiel,lacommandeconfreg2142deviento/r0x2142etlacommandereloaddevientinitialize. Lemotdepasseperdupeuttreunmotdepasseconsole, auxouvtyoupirelemotdepasseenable.Silsagitdun mot de passe de ligne console par exemple, peuttre estil possible de tenter une connexion via Telnet ? Le plus grave est videmment de ne plus pouvoir accder au mode privilgi puisque dans ce cas, toute modification de la configurationestgalementinterdite: R12>enable Password: Password: Password: % Bad secrets R12> Le mot de passe nest pas ncessairement perdu, il peut aussi tre inconnu. Imaginez par exemple que votre entrepriseaitprofitduneopportunitallchanteenrachetantquelquesrouteurssurlemarchdeloccasion. Laprocduredcriteiciconvientquelquesoitlemotdepasseperdu.Ellesupposelaccsauportconsoleautrement ditlaccsphysiqueaurouteur.Puisque,bienentendu,lerouteurestplacdansunlocalscuris,obtenircetaccs physique ne peut tre le fait que dune personne habilite. Lide est de modifier la valeur du bit 6 du registre de configurationafinquelecontenudelapartitionNVRAM,etavecellelecontenudufichierstartupconfig,soientignors pendantledmarragedurouteur.Unefoisledmarrageachev,ladministrateuradoncaffaireunrouteursortidu cartonetpeutloisirchargerlaconfigurationetchangerleoulesmotsdepasse. 1. Ladministrateur a connect un PC quip dun logiciel dmulation de terminal au port console du routeur. La jonctionestrgle9600S81(9600bps,pasdeparit,caractresexprimssur8bits,1bitdestop). 2. Si aucun accs nest possible, cestdiresilesmotsdepasseassocisauxlignes aux, con et vty sont perdus, allezdirectementltape4etrangez2142dansleregistredeconfiguration(valeurlaplusprobable). 3.Unecommande showversion(Extrait)permetdedcouvrirlavaleuractuelleduregistredeconfiguration.Leplus ordinairement,cettevaleurstablit0x2102 : R12>show version Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE ......... Configuration register is 0x2102 R12> Fairepasserlebit61danscecasimpliquederanger0x2142dansleregistre.Maissilavaleurluedanslersultat de la commande showversionavaitt0x3922parexemple,alorsilauraitfalluranger0x3962.Limportantestde placerlebit61sansintervenirsurlesautresrglagesrangsdansleregistre. 4. ce stade, il faut redmarrer le routeur. On ne peut pas profiter de la commande reload qui ncessite le mode privilgi. Ladministrateur met hors tension le routeur, compte mentalement jusqu dix (une vieille habitude dlectronicien) et remet sous tension. partir de cet instant, il a 60 secondes pour provoquer une commande Break defaoncequelasquencededmarragesinterrompeaprslechargementdeROMMONetaffichelinvite decommandeROMMON.LeBreakestobtenulaidedelacombinaison[Ctrl][Pause]auclavier: Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0xcb80 monitor: command "boot" aborted due to user interrupt rommon 1 > 5.Ladministrateurmodifielavaleurduregistredeconfigurationpuisredmarrelerouteur.Cettefois,ilpeutlefaire laidedelacommanderesetdeROMMON: rommon 1 >confreg 2142 You must reset or power cycle for new config to take effect rommon 2 > reset 6. Le routeur achve le chargement de lIOS sans charger ensuite le fichier de configuration startupconfig, ce que confirmelaquestionposepourentrerdanslemodesetuppuislinvitedecommandeRouter>: rommon 2 > reset System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
- 5-
Technical Support: http://www.cisco.com/techsupport Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c2801 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0xcb80 program load complete, entry point: 0x8000f000, size: 0x111a9e4 Self decompressing the image : ########################################################################### ############# [OK] Smart Init is enabled smartinit is sizing iomem ID MEMORY_REQ TYPE 0X003AA110 public buffer pools 0X00211000 public particle pools 0X00020000 Crypto module pools 0X0013 0X00035000 Card in slot 1 0X000021B8 Onboard USB If any of the above Memory Requirements are "UNKNOWN", you may be using an unsupported ......... Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE SOFTWARE (fc2) ......... --- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Router> 7.Plusriennesopposecequeladministrateurpasseenmodeprivilgipuisfassedelaconfigurationsauvegarde laconfigurationcourante: Router>en Router#copy start run Destination filename [running-config]? 1303 bytes copied in 0.332 secs (3925 bytes/sec) 8.Ladministrateurvisualiselesmotsdepasse perdus(extrait): R12#sh run Building configuration... ......... logging monitor warnings enable secret 5 $1$vJGZ$oeNtoUc2zujJY9vumLnyR0 ......... line con 0 exec-timeout 60 0 password eni logging synchronous login line aux 0 linevty 0 4 exec-timeout 0 0 password eni logging synchronous login ! R12# 9.Lesmotsdepasseenclairpeuventtrerutiliss.Lesmotsdepassecryptsdoiventtreremplacs: R12#conf t Enter configuration commands, one per line.
End with CNTL/Z.
- 6-
R12(config)#enable secret cisco 10.Ladministrateurreplacelavaleurduregistredeconfigurationtellequillavaittrouveendbutdeprocdurepuis sauvegarde: R12(config)#config-register 0x2102 R12(config)#^Z R12#copy run start Destination filename [startup-config]? Building configuration... [OK] 11.Unecommandeshowversionconfirmelafuturepriseencomptedelanouvellevaleurduregistredeconfiguration (extrait): R12#sh ver Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE SOFTWARE (fc2) ......... Configuration register is 0x2142 (will be 0x2102 at next reload) R12# 12.Undernierredmarrageetlaprocduresachve: R12#reload Proceed with reload? [confirm] 13.Maiscommentvatonprocderpourviterquecegenredemsaventurenesereproduise? Si lentrepriseaprisletempsdlaborer une politique de scurit, il serait tonnant que celleci ignore les mots de passeetleursauvegarde.Ilfautdoncdplorerunmanquementparrapportauxprocduresmisesenplace.Sicette politiquedescuritestmanquanteouengestation,alorsilfautprofiterdesvnementsquiviennentdeseproduire pouralimentersoncahierdescharges. Cettesancedatelierestmaintenanttermine.
- 7-
GestiondesimagesIOS
1.Sauvegarde/restaurationdesimagesviaTFTP
Contexte:surlerouteurR12,unmodle2801,ladministrateurdcidedemettrelIOSjourpourlaversionlaplus rcente du mme train Main line. Son entreprise a souscrit un contrat de type Smartnet auprs de CISCO. LimageIOSactuelleestc2801ipbasemz.12416a.bin.Lerouteurdisposede128Modemmoireviveetde64Mode mmoireFlash:
Quelleestlapartitionactive(oupartitiondetravail)?
R12#show file systems File Systems: Size(b) Free(b) Type Flags Prefixes opaque rw archive: opaque rw system: opaque rw null: network rw tftp: 196600 194215 nvram rw nvram: 63995904 3837952 disk rw flash:# opaque rwxmodem: opaque rwymodem: network rwrcp: network rw ftp: network rw http: opaque rocns:
* -
R12#
Lapartitionactive(marquedunetoile)estlapartitionNVRAM.LadministrateursouhaitefairedelammoireFlash lapartitionactive.Pourcefaire,ilutiliselacommande cd(ChangeDirectory)suiviedunenouvellecommande show filesystemsafindeconfirmerquelechangementestbienintervenu:
R12#cd flash: R12#show file systems File Systems: Size(b) Free(b) Type Flags Prefixes opaque rw archive: opaque rw system: opaque rw null: network rw tftp: 196600 194215 nvram rw nvram: 63995904 3837952 disk rw flash:# opaque rwxmodem: opaque rwymodem:
* -
- 1-
R11#
network -
opaque
rwrcp: network network rocns:
rw rw
ftp: http:
Une commande pwd, moins bavarde, permet dapprendre directement quelle est la partition active (wd : working directory):
R12#pwd flash: R12# Unecommandedirpermetdafficherlecontenudelapartitionactive:
R12#dir Directory of flash:/ 1 2 3 4 5 6 7 8 9 -rw-rw-rw-rw-rw-rw-rw-rw-rw16810060 1821 6036480 861696 1164288 1038 113152 1697952 416354 Sep Sep Sep Sep Sep Sep Sep Sep Sep 28 28 28 28 28 28 28 28 28 2007 2007 2007 2007 2007 2007 2007 2007 2007 02:32:00 02:49:02 02:49:40 02:50:00 02:50:22 02:50:42 02:51:02 02:51:32 02:52:02 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 +00:00 c2801-ipbase-mz.124-16a.bin sdmconfig-2801.cfg sdm.tar es.tar common.tar home.shtml home.tar securedesktop-ios-3.1.1.45-k9.pkg sslclient-win-1.1.3.173.pkg
63995904 bytes total (36872192 bytes free) R12# On dcouvre ainsi que limage IOS occupe 16 810 060 octets sur le support et que la place disponible sur cette partitionatteint36872192octets.
I
LadministrateurdcidedemettrelIOSjourpourlaversionlaplusrcentedummetrain Mainlineetpource faire,seconnectesurlesiteCISCO,section Products&ServicesRouters,onglet AllproductsBranchRouters, lien Cisco2800SeriesIntegratedServicesRouters,lienSupportDownloadsoftwarepourfinalementparvenir cettefentreDownloadsoftware:
- 2-
Danslafentre DownloadSoftware,ladministrateurslectionnelelienverslemodlederouteurconvenable,ce quiprovoquelepassageltapeSelectSoftwareType:
- 3-
cette tape, ladministrateur slectionne le lien IOS Software, ce qui provoque le passage ltape 3 du processusintituleSelectSoftware:
- 4-
Linformationafficheiciesttrsriche,ondcouvreeneffetdefaonexhaustive,lensembledestrainsexistantsainsi quelesversionssursitaires( Deferred Releases).Laffichagedbuteparunrsumdesversionslesplusrcentesde quelquesunsdestrainsdontletrainMainline.

I
Ladministrateur, qui souhaite rester dans le train Main line , clique sur le lien 12.4.25c(MD) ce qui provoque laffichagedetouslespackages( FeatureSet)decetteversion:
- 5-
Hlas,lesouhaitdeclarifieretsimplifierloffreIOSenramenantlenombredepackageshuit(versionsassocies unrectangledanslillustrationcidessus)nauraprobablementpasrsistauxcontraintesmarketing.Maisenralit, les versions ne sont pas aussi nombreuses que le laisse penser le tableau. Observez par exemple les quatre premires versions toutes associes un seul et mme fichier c2801adventerprisek9mz.12425c.bin. On peut stonner galement que la version la plus volue Advanced Enterprise Services , sense agglomrer les fonctionnalitsdetouteslesversionsinfrieures,exigemoinsdemmoireRAM(128Mo)quelaplupartdesversions immdiatementinfrieures(192Mo!).
I
Ladministrateur, qui na pas de raison de changer de Feature set, dcide de tlcharger IPBASE ,soit le fichierc2801ipbasek9mz.12425c.bin.IlabiennotquecetteversionnexigepasdavantagedeRAMquecellequi quipeactuellementlerouteurcible.Deplus,lefichierdelimage noccupeque17 935 236octetsetpourradonc treplacsurlapartitionFlashsansexigeraupralablededtruirelefichierIOSencoursdusage.Cestrassurant, carsilanouvelleimagedevaitservlercorrompue,lerouteurchargeraitlancienneimage.Onestainsiassurde limiter autant que faire se peut linterruption de service. Un clic sur le bouton Download Now adquat provoque laffichageduneultimefentrersumantlepanier.
- 6-
Unenouvelleconfirmationentranelaffichagedunefentredelicence:
Unefoislesrglesdetlchargementacceptes,
- 7-
ladministrateurobtiendratilenfinlefichierconvoit?Oui,cestenbonnevoie...
LeprcieuxfichierestplacdansunrpertoireIOSlaracinedunserveurTFTP:
- 8-
La mise en uvre de ce serveur a dj t dcrite dans le chapitre Tches de configuration des routeurs de cet ouvrage.
I
Avantdesongertesterlanouvelleimage,ladministrateurdcidedesauvegarderlimageencoursdusage:
R12#copy flash:c2 R12#copy flash:c2801-ipbase-mz.124-16a.bin tftp://10.0.12.100/IOS/ Address or name of remote host [10.0.12.100]? Destination filename [IOS/c2801-ipbase-mz.124-16a.bin]? !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 16810060 bytes copiedin 46.260 secs (363382 bytes/sec) R12# ObservezquelautocompltiondelinterfaceILCfonctionneycomprispourlenomdefichierquicontientlimageIOS.
AvantdechargerlanouvelleimagedanslapartitionFlash,ladministrateurdcidedeprovoquerundmarragedu
- 9-
routeurenmettantlanouvelleimageprofitdepuissonemplacementactuel,cestdiredepuisleserveurTFTP. Pour ce faire, il ajoute une commande boot system au fichier de configuration. Observez la commande no boot system entre en premier et qui donne lassurance que la commande boot system entre ensuite sera la seule commandebootsystemprsentedanslefichierdeconfiguration: R12(config)#no boot system R12(config)#boot system tftp://10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin R12(config)#^Z R12#copy run start Destination filename [startup-config]? Building configuration... [OK] R12#reload Proceed with reload? [confirm] La nouvelle image se charge puis sexcutesansproblmeapparent,unecommande showversion confirme que cetteimageestbienenservice:
R12#sh ver Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Fri 12-Feb-10 00:29 by prod_rel_team ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) ROM: Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE SOFTWARE (fc2) R12 uptime is 1 minute System returned to ROM by reload at 13:10:08 UTC Wed Mar 10 2010 System image file is "tftp://10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin" This product ..., return this product immediately. Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory. Processor board ID FCZ113990F6 2 FastEthernet interfaces 2 Low-speed serial(sync/async) interfaces DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 62720K bytes of ATA CompactFlash (Read/Write) Configuration registeris 0x2102 LechargementdelanouvelleversiondepuisTFTPtantunsuccs,ladministrateurdcidequilesttempsdeplacer lanouvelleimagedanslapartitionFlash:
R12#copy tftp://10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin flash: Destination filename [c2801-ipbasek9-mz.124-25c.bin]? Accessing tftp://10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin... Loading IOS/c2801-ipbasek9-mz.124-25c.bin from 10.0.12.100 (via FastEthernet0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 17935236 bytes] 17935236 bytes copied in 59.096 secs (303493 bytes/sec) R12# Unevrificationdelimagesimpose:
R12#verify ? /md5 Compute an md5 signature for a file flash: File to be verified nvram: File to be verified R12#verify flash:c2801-ipbasek<<< Auto compltion
- 10 -
R12#verify flash:c2801-ipbasek9-mz.124-25c.bin Verifying file integrity of flash:c2801-ipbasek9-mz.12425c.bin......................................................................... ................................................................................ ................................................................................ ................................................................................ ................................................................................ ................................................................................ .....Done! Embedded Hash MD5 : FFBDB4755D369150A308535CF52E810F Computed Hash MD5 : FFBDB4755D369150A308535CF52E810F CCO Hash MD5 : 5D268C75DB75EA817E388CCB5072EAA7 Embedded hash verification successful. R12# Dans un second temps, ladministrateur intervient nouveau sur la configuration afin de supprimer la ligne boot system depuis TFTP et ajouter une ligne bootsystem qui provoquera le chargement de la nouvelle image. Notez bien quil aurait suffi de supprimer lancienne image de la partition Flash pour provoquer le chargement de la nouvelle image au prochain redmarrage. Mais puisque la place ne manque pas en partition Flash, pourquoi se priverdelapossibilitderevenirlimageprcdente(ceintureetbretellestoujours!)?
R12(config)#no boot system R12(config)#boot system ? WORD TFTP filename or URL flash Boot from flash memory ftp Boot from a server via ftp mop Boot from a Decnet MOP server rcp Boot from a server via rcp rom Boot from rom tftp Boot from a tftp server R12(config)#boot system flash ? WORD System image filename <cr> R12(config)#boot system flash c2801-ipbasek9-mz<<< Auto compltion R12(config)#boot system flash c2801-ipbasek9-mz.124-25c.bin R12(config)#^Z R12#copy run start Destination filename [startup-config]? Building configuration... [OK] R12#reload Proceed with reload? [confirm] Une fois le redmarrage achev, une commande show version confirme que limage IOS charge provient effectivementdelapartitionFlash(extrait):
R12#show version Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Compiled Fri 12-Feb-10 00:29 by prod_rel_team ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) R12 uptime is 0 minutes System returned to ROM by reload at 14:03:41 UTC Wed Mar 10 2010 System image file is "flash:c2801-ipbasek9-mz.124-25c.bin" ......... R12# Dansunfuturpassiloign,ladministrateursouhaiterarenouvelerlaprocdurepouruneversionplusrcentede lIOS.Mais,moinsdechangerdemmoireFlash(cestsisimpleavecleformatCompactFlash),laplacemanquera pour faire cohabiter trois fichiers dimages. Ladministrateur devra alors se rsoudre supprimer limage la plus
- 11 -
ancienne: R12#dir Directory of flash:/ 1 -rw......... 10 -rw16810060 17935236 Sep 28 2007 02:32:00 +00:00 Mar 10 2010 13:25:04 +00:00 c2801-ipbase-mz.124-16a.bin c2801-ipbasek9-mz.124-25c.bin
63995904 bytes total (18935808 bytes free) R12#delete ? /force Force delete /recursive Recursive delete flash: File to be deleted nvram: File to be deleted R12#delete flash:c2801-ipbase-<<< Auto compltion R12#delete flash:c2801-ipbase-mz.124-16a.bin Delete filename [c2801-ipbase-mz.124-16a.bin]? Delete flash:/c2801-ipbase-mz.124-16a.bin? [confirm] R12#undelete ? % Unrecognized command R12#dir /all Directory of flash:/ 1 -rw......... 9 -rw1821 17935236 Sep 28 2007 02:49:02 +00:00 Mar 10 2010 13:25:04 +00:00 sdmconfig-2801.cfg c2801-ipbasek9-mz.124-25c.bin
63995904 bytes total (35749888 bytes free) R12# SurlessystmesditsdeclasseAouB(platesformes7000et12000),unfichiereffaclaidedunecommandedelete nelestpasrellement.Lefichierestsimplementmarquetunecommandeundeletepermetdelercuprer(onpeut ainsi effacer puis rcuprer un fichier jusqu quinze fois). Une commande squeeze provoque la purge des fichiers marquseffacs.Danslecasprsent,nousavonsaffaireunsystmeditdeclasseCpourlequelleffacementest immdiatementeffectif,cequeconfirmelaffichagedelammoireFlashdisponible,passede19Moenviron35Mo environ.
a.Lacommandecopy
Lacommandecopydontnousnoussommesservisdanscescnariomritequelquesprcisions:
G
copy[/erase][/verify|/noverify]sourceurldestinationurl
G
Modeprivilgi. /erase:optionnel,effacelapartitioncibleavantdeffectuerlacopie.Cetteoptionestpratiquesur les platesformes dont lespace mmoire flash est limit et pour lesquelles la copie ncessite une partitionciblevierge. /verify : optionnel, ne sapplique quaux fichiers images IOS. Le systme qui a cr le fichier en a calculunesignatureMD5quilaplacedanslefichier.Lesystmecibleeffectuelemmecalculet compare le rsultat la signature embarque. En cas dchec, le fichier est effac de la partition cible. /noverify : optionnel, ne sappliquequaux fichiers dimages IOS, permet de dsactiver pour cette copie la vrification systmatique des copies dimages IOS, vrification entreprise parce que ladministrateuraentrlacommandedeconfigurationglobalefileverifyauto. sourceurlet destinationurl:comprendlafoislalocalisationdufichierainsiquesonnom.Sourceet destinationpeuventtrelocalesoudistantes.
LescnarioprcdentamisprofitdesURLavecunprfixetftp.NousaurionsgalementpuutiliserunserveurFTP, ce choix offre videmment davantage de fiabilit et devrait tre prfr quand le serveur qui dispose du fichier
- 12 -
convoitestdistant(surunautresite).MaislaccsunserveurFTPpeutncessiteruneauthentificationparnom dutilisateuretmotdepasse.LasyntaxedelURLestmodifiepourpermettrelentredecesinformations:
G
ftp:[[[//username[:password]@]location]/directory]/filename
LexemplesuivantcopieunfichierIOSdepuisleserveurFTPdontladresseest10.0.12.100.Lecompteutilispour accderauserveurestnetadmindontlemotdepasseestftppass: Router# copy ftp://netadmin:ftppass@10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin flash:
2.Sauvegarde/RestaurationdesimagesviaXmodem
Le logiciel dmulation de terminal PUTTY nous a rendu beaucoup de services mais hlas, il nintgre pas les fonctionnalitsdetransfertdefichiersviaunportsrie(version0.6).LauteurproposederevenirHyperTerminal,le tempsderglerleproblmeduchargementdimageslaidedesprotocolesXmodemouYmodem.nouveauhlas,il setrouvequeMicrosoftnestpaslauteurdecelogicieletquiladciddecesserdelintgrerdansWindows7,un problme de royalties sans doute. Heureusement, ce logiciel reste disponible en tlchargement sur le site de son vritablediteur:ftp://ftp.hilgraeve.com/htpe/htpe63.exe Le contexte de cette section est donc lgrement modifi par rapport celui propos pour ce chapitre : le logiciel dmulation de terminal est HyperTerminal et les manipulations sont effectues depuis le port console. Cest videmmentunpirecas,ilfautuneraisonimprieusepourenarriveraccepterdetransfrerunfichiersurlerouteur laide dun port asynchrone dont le dbit culmine 115200 bps. Mme sans IOS, le routeur sous le contrle de ROMMON sait importer un fichier via TFTP. Donc il faut imaginer un tat de catastrophe qui prive ladministrateurde touteressourcerseauetquiilnerestequelesportsdadministration:leportconsolepourunaccslocaletleport auxpourunaccsdistantsionaprislapeinedeleconnecterunmodemreliunelignetlphonique. Observezlafentredecapturecidessous.Elleretracelesvnementssuivants:
I
Unecombinaison[Ctrl][Pause]pendantlessoixantepremiressecondesdudmarrageprovoquelinterruptiondela squencededmarrageetlaffichagedelinvitedecommandeROMMON.Laidealemritedexistersansprtendre offrir les services de linterface ILC. On apprend quand mme quil existe une commande confreg permettant de modifierlavaleurduregistredeconfiguration.Inutiledentrer le prfixe0xcarlavaleurattenduepar confreg esthexadcimale. Quandleregistredeconfigurationstockelavaleurnormale0x2102 ,lestroisbitsquifixentledbitsontzro,ceci correspondundbitpardfautde 9600bpssurleportconsole.Pourobtenirledbitmaximal,soit 115200bps, ilfautquecestroisbitssoient1,ceciestobtenuenplaant0x3922 dansleregistredeconfiguration. Lepassageaunouveaudbitnedevienteffectifquaprsunredmarrageobtenulaidedelacommanderesetde ROMMON. Observezlescaractresincomprhensiblesquisaffichentpendantunbrefinstant.Ilsagitdescaractresmispar lerouteursurleportconsole115200bpsmaislus9600bpsparlelogicieldmulationdeterminal.Letemps pourladministrateurderglerlelogiciel115200bpsgalementettoutrentredanslordre. Unenouvellecombinaison[Ctrl][Pause]etvoilR12nouveauenmodeROMMON:
R12#reload Proceed with reload? [confirm] *Mar 10 15:37:23.879: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command. System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c2801 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled
Readonly ROMMON initialized
- 13 -
monitor: command "boot" aborted due to user interrupt rommon 1 > ? alias set and display aliases command bootboot up an external process break set/show/clear the breakpoint confreg configuration register utility cont continue executing a downloaded image context display the context of a loaded image cookie display contents of motherboard cookie PROM in hex dev list the device table dir list files in file system dis disassemble instruction stream dnld serial download a program module frame print out a selected stack frame gioshow show the gio version help monitor builtin command help history monitor command history iomemset set IO memory percent meminfo main memory information repeatrepeat a monitor command reset system reset rommon-pref Select ROMMON set display the monitor variables showmon display currently selected ROM monitor stack produce a stack trace sync write monitor environment to NVRAM sysret print out info from last system return tftpdnldtftp image download unalias unset an alias unsetunset a monitor variable xmodem x/ymodem image download rommon2>confreg 3922
You must reset or power cycle for new config to take effect rommon3> reset 0qz?,>Y3}VNllr&>p_v6nsl############## ############################################# [OK] ......... Readonly ROMMON initialized rommon 1 > La commande ROMMON permettant de provoquer le transfert dun fichier vers la partition Flash est la commande xmodem.Lechoixdelapartitionciblenestpasunargumentdelacommande,autrementditletransfertseffectue obligatoirementverscettepartition.Largument cpermetdopterpourunCRCsur16bits,plusfiablequeleCRC pardfautexprimsur8bits:
rommon 1 >xmodem -c c2801-ipbase-mz.124-16a.bin Do not start the sending program yet... program load complete, entry point: 0x8000f000, size: 0xcb80 File size Checksum File name 0 bytes (0x0) 0x0000 k9-mz.124-25c.bin (invalid) 0 bytes (0x0) 0x0000 01.cfg (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 p-ios-3.1.1.45-k9.pkg (invalid) 0 bytes (0x0) 0x0000 n-1.1.3.173.pkg (invalid) WARNING: All existing data in flash will be lost! Invoke this application only for disaster recovery. Do you wish to continue? y/n [n]: y Ready to receive file c2801-ipbase-mz.124-16a.bin ...
- 14 -
Lerouteurseplaceenattente.IlresteprovoquerletransfertdufichierdepuisHyperTerminal:
Arrivcestade,ladministrateurestassezdsappoint.Eneffet,letransfertneseraachevaumieuxquedansun peu moins de trois heures et encore la condition quaucun incident ne se produise pendant ce laps de temps. Xmodem utilise des paquets de 128 octets ce qui explique cette lenteur. Fort heureusement, ROMMON permet galementuntransfertselonleprotocoleYmodemquimetprofituntransfertparpaquetsde1Ko.
I
Ladministrateur interrompt le transfert Xmodem et reprend la procdure son dbut. Observez la commande xmodem qui reste la mme mais admet largument y quand on souhaite tablir le protocole Ymodem en lieu et placeduprotocoleXmodem:
Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0xcb80
monitor: command "boot" aborted due to user interrupt rommon 1 >xmodem -c -y c2801-ipbase-mz.124-16a.bin Do not start the sending program yet... program load complete, entry point: 0x8000f000, size: 0xcb80 File size Checksum File name 0 bytes (0x0) 0x0000 k9-mz.124-25c.bin (invalid) 0 bytes (0x0) 0x0000 01.cfg (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 (invalid) 0 bytes (0x0) 0x0000 p-ios-3.1.1.45-k9.pkg (invalid) 0 bytes (0x0) 0x0000 n-1.1.3.173.pkg (invalid) WARNING: All existing data in flash will be lost! Invoke this application only for disaster recovery. Do you wish to continue? y/n [n]:y Ready to receive file c2801-ipbase-mz.124-16a.bin ... Cettefois,dansHyperTerminal,ladministrateurchoisitleprotocoleYmodem:
- 15 -
Ladministrateur constate avec soulagement que le mme transfert ne demandera avec Ymodem que quarante minutesenviron.Unefoisletransfertachev,laconsoleaffiche:
program load complete, entry point: 0x8000f000, size: 0xcb80 Format: Drive communication & 1st Sector Write OK... Writing Monlib sectors. ....................................................................... ................................ Monlib write complete Format: All system sectors written. OK... Format: Operation completed successfully. Format of flash: complete program load complete, entry point: 0x8000f000, size: 0xcb80 Le routeur redmarre et charge limage IOS objet de ce transfert, ce que confirme une commande show version (extrait):
R12#sh ver Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE S OFTWARE (fc2) ......... System image file is "flash:c2801-ipbasek9-mz.124-25c.bin" ......... Configuration registeris 0x3922 Lalignedinformation Systemimagefileis"flash:c2801ipbasek9mz.12425c.bin"necorrespondpaslimageIOS effectivementchargemaislimageIOSquelerouteuratentdechargersanssuccs.Eneffet,cetteimagenest plusprsenteenFlash(suitelacommandexmodem)maisilsubsisteunecommandebootsystemdanslefichierde configurationdontlobjetestdechargerlimageversion12.4(25c).
I
Unecommande showflash:confirmequilfallaitprendreausrieuxlavertissementdeROMMONavantdelancerla commande xmodem. En effet, ne subsiste sur la partition Flash que le seul fichier image transfr laide de la commandexmodem:
R12#show flash: -#- --length-- -----date/time------ path 1 16810060 Feb 23 2010 20:15:44 +00:00 c2801-ipbase-mz.124-16a.bin 47198208 bytes available (16814080 bytes used) R12#dir
Directory of flash:/ 1 -rw16810060 Feb 23 2010 20:15:44 +00:00 64012288 bytes total (47198208 bytes free)
c2801-ipbase-mz.124-16a.bin
Observezlquivalencedelacommandeshowflash:etdelacommandedir(quandlapartitionactiveestlaFlashbien sr). Contrairement la commande copy de lIOS, la commande xmodem de ROMMON provoque le transfert de fichiersmaisaussileffacementcompletdelapartitionFlash! Observez la valeur actuelle 0x3922 du registre de configuration dans la capture de la commande show version ci dessus. Attention, cette valeur doit nous rappeler que le dbit du port console est encore rgl 115200 bps. Imaginez la surprise dun autre administrateur qui viendrait se connecter sur le port console de ce routeur en ignorantqueledbitduportconsolenestpasceluipardfaut.
I
Ilestprudentdereplacerlavaleurpardfautsoit0x2102dansleregistredeconfiguration:
R12(config)#config-register 0x2102 R12(config)#^Z R12#show version Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE SOFTWARE (fc2) ......... Configuration register is 0x3922 (will be 0x2102 at next reload) R12#reload Proceed with reload? [confirm] Attention bien rgler le dbit ct logiciel dmulation de terminal la valeur 9600 bps, une fois le routeur redmarr. Pourlanecdote: Sur un routeur 2801 qui a servi prparer ce chapitre, lauteur a eu les plus grandes difficults rtablir la valeur 0x2102duregistredeconfiguration.Cenestquaprsavoirtablilavitesseduportconsole9600bpslaidedela commande speedenconfigurationdelignequelerouteuraeffectivementconsentichangerlavaleurduregistrede configuration. Aucun message derreur mais la commande configregister restait sans effet ou ne donnait pas le rsultatescompt.Problmeapprofondirsansdoute...
3.TP:JaieffaclecontenudelaFlash,monrouteurnaplusdIOS!Commentmen sortir?
Contexte : la capture ciaprs dcrit un genre de manipulations quaucun administrateur normalement constitu noserait entreprendre sur un routeur en production. Mais pourquoi se priver sur un routeur dcole ? (certains formateursvontmemaudire!)laconditionbiensrderendrelerouteurdansltatoonlatrouv.Cequisuppose destreassurdedisposersurunemachinequelconqueduoudesfichiersimagesadquats. Notez dabordqueffacer les fichiers dimage prsents en Flash nest pas toujours si simple et quil faut se montrer persvrantetcestrassurant.Lecomportementobserviciestceluiduneplateforme2800quiutiliselesystmede fichiers de classe C, il pourrait tre diffrent sur des routeurs utilisant dautres systmes de fichiers (CISCO met en uvretroissystmesdefichiersdiffrentsditsdeclasseA,BouC,cepointfaitlobjetdunparagrapheddidansce chapitre): R12#erase flash: ^ % Invalid input detected at ^ marker. R12#erase ? /all Erase all files(in NVRAM) /no-squeeze-reserve-space Do not reserve space for squeeze operation nvram: Filesystem to be erased startup-config Erase contents of configuration memory R12#delete flash:? flash:c2801-ipbase-mz.124-16a.bin flash:common.tarflash:es.tar flash:home.shtmlflash:home.tar
flash:c2801-ipbasek9-mz.124-25c.bin
- 17 -
flash:sdm.tar flash:securedesktop-ios-3.1.1.45-k9.pkg
flash:sdmconfig-2801.cfg flash:sslclient-win-1.1.3.173.pkg
R12#delete flash: Delete filename []? Delete flash:/? [confirm] %Error deleting flash:/ (Cant delete a directory that has files in it) R12# R12#delete flash:c2801-ipbaseR12#delete flash:c2801-ipbase-mz.124-16a.bin Delete filename [c2801-ipbase-mz.124-16a.bin]? Delete flash:/c2801-ipbase-mz.124-16a.bin? [confirm] R12#delete flash:c2 R12#delete flash:c2801-ipbasek9-mz.124-25c.bin Delete filename [c2801-ipbasek9-mz.124-25c.bin]? Delete flash:/c2801-ipbasek9-mz.124-25c.bin? [confirm] R12#reload Proceed with reload? [confirm] Ainsi, sur un systme de classe C, la commande erase flash: nexiste pas (la commande erase est utilise sur les systmes de classe B, la commande correspondante en classe C est la commande format). Quant la commande delete, elle refuse de supprimer la partition tant que des fichiers y sont prsents. La seule possibilit consiste supprimer les fichiers images un un, remarquez nouveau que lautocompltion fonctionne ce qui permet de ne taper que quelques caractres du nom de fichier. Un redmarrage aboutit alors, faute dIOS charger, au mode ROMMON: boot: cannot load "flash:" System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) ......... c2801 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Readonly ROMMON initialized rommon 1 > DanslapremirepartiedecettesectionddielagestiondesimagesIOS,nousavionsutilisTFTPmaislIOStait fonctionnel.Dansunsecondtemps,nousavonsutilisXmodemetYmodemsouslecontrledeROMMONmaiscette solutiondemandeunecertainepatience.Danslecasprsent,seulROMMONestdisponiblemaisnousexploreronsune troisimepossibilitquiconsistemettreen uvreTFTPsoussoncontrle.
I
Lacommandeutiliseresttftpdnld.Aveclargumenth,ellefournitlaideindispensable:
boot: cannot load "flash:" ......... Readonly ROMMON initialized rommon 1 >tftpdnld -h usage: tftpdnld [-hr] Use this command for disaster recovery only to recover an image via TFTP. Monitor variables are used to set up parameters for the transfer. (Syntax: "VARIABLE_NAME=value" and use "set" to show current variables.) "ctrl-c" or "break" stops the transfer before flash erase begins. The following variables are REQUIRED to be set for tftpdnld: IP_ADDRESS: The IP address for this unit IP_SUBNET_MASK: The subnet mask for this unit DEFAULT_GATEWAY: The default gateway for this unit TFTP_SERVER: The IP address of the server to fetch from TFTP_FILE: The filename to fetch The following variables are OPTIONAL: TFTP_VERBOSE: Print setting. 0=quiet, 1=progress(default), 2=verbose TFTP_RETRY_COUNT: Retry count for ARP and TFTP (default=18) TFTP_TIMEOUT: Overall timeout of operation in seconds (default=7200) TFTP_CHECKSUM: Perform checksum test on image, 0=no, 1=yes (default=1) FE_PORT: 0= (default), 1 FE_SPEED_MODE: 0=10/hdx, 1=10/fdx, 2=100/hdx, 3=100/fdx, 4=Auto (default)
- 18 -
TFTP_DESTINATION: The flash destination device for the file flash:(default), usbflash0: Command line options: -h: this help screen -r: do not write flash, load to DRAM only and launch image Il faut saisir les paramtres ncessaires au transfert un par un. Attention, ROMMON nexerce aucun contrle de syntaxeetvouslaissecrercesvariablesvotreguise.Ainsi,entrer ip_address=10.0.12.1estaccept.Maisle processus tftpdnld ne reconnatra pas ladresse IP et gnrera un message ILLEGAL ADDRESS. Les variables doiventdonctrecresenrespectantlacasse: 2 3 4 5 6 > > > > > IP_ADDRESS=10.0.12.1 IP_SUBNET_MASK=255.255.255.0 DEFAULT_GATEWAY=10.0.12.254 TFTP_SERVER=10.0.12.100 TFTP_FILE=IOS/c2801-ipbasek9-mz.124-25c.bin
rommon rommon rommon rommon rommon
Unecommandesetpermetunderniercontrledesvariablescres:
rommon 8 >set PS1=rommon !> WARM_REBOOT=FALSE BOOT=flash:c2801-ipbasek9-mz.124-25c.bin,1; BSI=0 RANDOM_NUM=948452295 RET_2_RTS=10:21:13 UTC Fri Mar 12 2010 RET_2_RCALTS=1268389276 IP_ADDRESS=10.0.12.1 IP_SUBNET_MASK=255.255.255.0 DEFAULT_GATEWAY=10.0.12.254 TFTP_SERVER=10.0.12.100 TFTP_FILE=IOS/c2801-ipbasek9-mz.124-25c.bin ?=0 rommon 9 > Observez ladresse IP de la passerelle, entre uniquement pour satisfaire le processus tftpdnld. En effet, dans le contexte utilis pour ce chapitre, le serveur TFTP est directement connect R12, ce sur le port f0/0. Le processus tftpdnldpeututiliserleportf0/1maisilauraitfalludanscecascrerunevariablesupplmentaireFE_PORT=1.
I
Laphaseprparatoireesttermine,ildevientpossibledelancereffectivementlacommandetftpdnld:
rommon10>tftpdnld IP_ADDRESS: IP_SUBNET_MASK: DEFAULT_GATEWAY: TFTP_SERVER: TFTP_FILE: TFTP_MACADDR: TFTP_VERBOSE: TFTP_RETRY_COUNT: TFTP_TIMEOUT: 7200 TFTP_CHECKSUM: FE_PORT: FE_SPEED_MODE: 10.0.12.1 255.255.255.0 10.0.12.254 10.0.12.100 IOS/c2801-ipbasek9-mz.124-25c.bin 00:1c:f6:d6:74:bc Progress 18 Yes 0 Auto Detect
Invoke this command for disaster recovery only. WARNING: all existing data in all partitions on flash: will be lost! Do you wish to continue? y/n: [n]: y Receiving IOS/c2801-ipbasek9-mz.124-25c.bin from 10.0.12.100 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! File reception completed. Validating checksum. Copying file IOS/c2801-ipbasek9-mz.124-25c.bin to flash:. program load complete, entry point: 0x8000f000, size: 0xcb80 Format: Drive communication & 1st Sector Write OK... Writing Monlib sectors. ............................................................................... ........................ Monlib write complete Format: All system sectors written. OK... Format: Operation completed successfully. Format of flash: complete program load complete, entry point: 0x8000f000, size: 0xcb80 rommon11> Vousnobtenezpascersultat?
G
AvezvouspensdsactiverleparefeudelamachinequihbergeleserveurTFTP? OuaumoinscrerunergleautorisantletraficUDPversleport69? RevrifiezlesvariableslaidedelacommandesetdeROMMON. VrifiezladisponibiliteffectiveduserveurTFTP(unecommandenetstatanopourvrifierleportUDP69).
IlesttempsderevenirlIOS:
rommon 9 > reset System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) ......... Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0xcb80 program load complete, entry point: 0x8000f000, size: 0x111a9e4 Self decompressing the image : ############################################################################### ######### [OK] Smart Init is enabled smartinit is sizing iomem ID MEMORY_REQ 0X003AA110 0X00211000 0X00020000 0X0013 0X00035000 0X000021B8
TYPE public buffer pools public particle pools Crypto module pools Card in slot 1 Onboard USB
If any of the above Memory Requirements are "UNKNOWN", you may be using an unsupported ......... Press RETURN to get started! Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE SOFTWARE (fc2)
- 20 -
......... User Access Verification Password: R12>en Password: R12#sh flash: -#- --length-- -----date/time------ path 1 17935236 Feb 22 1907 17:31:44 +00:00 c2801-ipbasek9-mz.124-25c.bin 46075904 bytes available (17936384 bytes used) R12# ObservezlecontenudelapartitionFlash.Commedanslecasdelacommande xmodem,lecontenudelapartitiona ttotalementeffac,leseulfichierquisytrouveestceluirsultantdutransfertralisparleprocessustftpdnld. LacommandetftpdnlddeROMMONalemmecomportementquelacommande xmodem.Contrairementla commande copy de lIOS, ces deux commandes provoquent le transfert de fichier mais aussi leffacement completdelapartitionFlash! Cettesancedatelierestmaintenanttermine.
- 21 -
LessystmesdefichiersCISCO
Au fur et mesure de la rdaction de ce chapitre, il est apparu de plus en plus vident quil devenait difficile de totalementpassersoussilencelessystmesdefichiersutilissparCISCOsursesdiffrentesplatesformes.Alorsbien sr,unefoisdeplus,noussommesaudeldesattendusdelacertificationCCNA.
1.LesdispositifsPCMCIA
Quandilafalludciderquelseraitledispositifquitiendraitlerledudisquedur,CISCOafaitlechoixdelammoire Flash. Les platesformesplusanciennesintgraientcettemmoiredirectementsousformedemodulessurlacarte mredusystme.Lespaceadressabledelammoireralisesouscetteformeestlinaire.Lorganisationdun disque dur est trs diffrente puisque lespace est divis en secteurs, euxmmes regroups en clusters, et quun contrleurcomplexeestchargdegrerlessecteurs. LesplatesformeslesplusrcentesembarquentdelammoireFlashraliselaidedecartesauformatCompact Flash. La norme Compact Flash est conforme la norme PCCard (ou PCMCIA). La mmoire Flash dune carte CompactFlashpeuttreaccdededeuxmaniresdiffrentes: 1)Defaonclassique,cestdireenralisantunespaceadressablelinaire,CISCOparlealorsdecarteFlashoude cartedemmoireFlash. 2)laideduncontrleurinterfacausystmeviauneinterfaceATA(ATAttachment)commeunclassiquedispositif detypedisquedursurunPC,cequilafaitappelerdanscecasdisqueFlashoudisqueFlashATA. Le disque Flash offre une utilisation plus souple que la mmoire Flash linaire parce que son contrleur mule le fonctionnement dun disque dur et prend en charge la gestion des secteurs (qui nen sont plus dans le cas dune mmoireFlash)defaontransparente.Unsecteurobservdfectueuxestmarquetlecontrleurnelutiliseplus.Le contrleurgregalementleffacementdunfichieretilestcapabledcrireunfichiersurdesblocsnoncontigus.Ceci liminelancessitdelacommande squeezeutilisesurlammoireFlashlinairequandilfautrcuprerlespace mmoireoccuppardesfichiersmarquseffacs. Parmi les diffrences entre une mmoire Flash linaire intgre la carte mre et un dispositif PCMCIA, le fait dajouterdelammoireFlashlinairepermetdaugmenterlespacedisponibleetdoncdycrireunfichierplusgrand. Sur les platesformes qui peuvent recevoir plusieurs cartes Flash, ajouter une carte noffre pas cette facult. Cet inconvnientestmineurparcequelescartesoudisquesFlashoffrentdesespacesmmoireaugments,couramment de48128Mo.Ilspermettentainsilestockagedetoutfichierdontpourraitavoirbesoinlesystme,onpensebien srauximagesIOSetauxfichiersdeconfigurationmaislalistenestpasexhaustive. En gnral, mais ce nest pas systmatique, CISCO distingue les disques Flash ATA en nommant les partitions ralises disk0:ou disk1:.LesespacesralisslaidedecartesFlashsontquanteuxdsigns slot0:ou slot1:. Une commande show version permet de dcouvrir les types de mmoire Flash qui quipent le routeur et leur nommageparlesystme: 7200# show version IOS (tm) 7200 Software (C7200-JS-M), Version 12.0(22), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2002 by cisco Systems, Inc. Compiled Mon 01-Apr-02 19:44 by srani Image text-base: 0x60008900, data-base: 0x610E0000 ROM: System Bootstrap, Version 12.1(20000914:181332) [bwhatley-npe200 102], DEVELOPMENT SOFTWARE BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(5), RELEASE SOFTWARE (fc1) cisco 7206 (NPE150) processor with 43008K/6144K bytes of memory. R4700 processor, Implementation 33, Revision 1.0 (512KB Level 2 Cache) Last reset from power-on Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). TN3270 Emulation software. 1 FastEthernet/IEEE 802.3 interface(s) 125K bytes of non-volatile configuration memory. 1024K bytes of packet SRAM memory. 46976K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes). ! Ci-dessus, voici un disque Flash !
- 1-
20480K bytes of Flash PCMCIA card at slot 1 (Sector size 128K). !Ci-dessus, voici une carte linaire Flash ! 4096K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x2102
2.SystmedefichiersdeclasseA
Lesplatesformesconcernes:
G
ATMSwitch/ProcessorforLightStream1010etCatalyst5000/5500 MultiserviceSwitchRouteProcessorforLightStream1010 Catalyst5000/5500RouteSwitchModule(RSM) Catalyst8500SwitchRouteProcessor(SRP) Cisco6400UniversalAccessConcentrator Cisco7000RouteSwitchProcessor(RSP) Cisco7500SeriesRouteSwitchProcessors(RSP2,RSP4,RSP8) Cisco12000SeriesInternetRouter.
LesystmedefichiersdeclasseAsupportelescommandessuivantes:
G
delete:lesfichierseffacssontmarqusmaissanslibrerlespacequilsoccupaientenmmoireFlash.Une commandeundeleteestpossible. squeeze:supprimedefaondfinitivelensembledesfichiersmarqussupprimsouenerreurdela partitiondsigne.Lesfichiersnepourrontpastrercuprs.Cettecommandepeutncessiteruntemps dexcutionimportant(plusieursminutes). format:supprimetoutfichierdelapartitionetprpareledispositifafinquilpuissetreutilisparlaplate forme. verify:calculelasommedecontrledunfichieretlacompareavecunesommedecontrleprcdemment calcule et stocke sur le dispositif. Les disques Flash ne peuvent stocker des sommes de contrle si bien quecettecommandenestpassupporte.
QuelquesexemplesdecommandesenclasseA:
G
Unesuppressiondefichier:
C7513#delete slot0:rsp-jsv-mz.112-26.bin Delete filename [rsp-jsv-mz.112-26.bin]? Y Delete slot0:rsp-jsv-mz.112-26.bin? [confirm]y Unercuprationdefichier:
C7513#undelete 1 slot0:
- 2-
Larcuprationestpossiblelaconditiondeconnatrelindexassociaufichier.Cetindexpeuttreobtenulaide dunecommandeshow{ device:}commeindiqucidessous: C7513#show slot0: -#- ED --type-- --crc--- -seek-- nlen -length- -----date/time------ name 1 .D image 10.S5 9CAA2A55 83C50C 19 8504460 Jan 13 2000 20:03:02 rsp-pv-mz.120-
7879412 bytes available (8504588 bytes used) La commande squeeze utile quand il faut supprimer de faon dfinitive les fichiers marqus effacs sur les cartes Flash (mmoire linaire). Cette commande nest pas utilise sur les disques Flash ATA. Avec une commandesqueeze,touslesfichiersprsentssurlapartitionFlashconsidreetnonmarquseffacsouen erreur sont rcrits depuis le dbut de la partition. La commande a donc un double effet : elle efface et dfragmente:
C7513#squeeze slot0: All deleted files will be removed. Continue? [confirm]y Squeeze operation may take a while. Continue? [confirm]y Squeezing... Squeeze of slot0 complete Lacommande formatIlarrivequeladministrateurdoivemettreenserviceunenouvellecarteFlashPCMCIA afindyplacerdesimagesIOSoudysauvegarderdesfichiersdeconfiguration.Lanouvellecartenedevient disponible pour le systme quaprs avoir t formate. La prudence recommande de formater la nouvelle cartesurlaplateformemmequilutiliseraensuite.Onestainsiassurdepouvoirlancerundmarrageet unchargementdIOSdepuiscettecarte(elleestbootable):
C7513#format slot0: Format operation may take a while. Continue? [confirm]y Format operation will destroy all data in "slot0:".Continue? [confirm]y Formatting sector 160..... Format of slot0: complete
3.SystmedefichiersdeclasseB
G
Cisco1000SeriesRouters Cisco1600SeriesRouters Cisco3600SeriesRouters Cisco1800SeriesRouters Cisco2801Router.
Lesrouteursdelasrie1600necomportentquuneseulecarteFlashPCMCIA.Lesmodles1601et1604excutent lIOSdirectementenFlash.LaconsquenceestquesilacarteFlashestte,lerouteurcessedefonctionner.Les modles1601Ret1605RexcutentlIOSenRAM.UnretraitdelacarteFlashempcheleprochainredmarrage.
- 3-
Lesrouteursdelasrie3600utilisentlesystmedefichiersdeclasseBmaisunemanipulationpermetdefaireen sortequilsacceptentautantlescommandesdeclasseBquecellesdeclasseC. LescommandesutilespourgrerunsystmedefichiersdeclasseBsont:

G
delete:lesfichierseffacssontmarqusmaissanslibrerlespacequilsoccupaientenmmoireFlash. erase:supprimedefaondfinitivelensembledesfichiersprsentssurlapartition. partition:diviselespacedemmoireFlash.Laforme nodelacommandefaitrevenirunespacecompos dunepartitionunique.
QuelquesexemplesdecommandesenclasseB: Lacommande deletenefaitquemarquerlesfichiers.AvantdecopierunfichiersurunepartitionenclasseB,ilest bon de vrifier que lon dispose encore de suffisamment de place disponible laidedune commande dir{ device:}. Quandcenestpaslecas,ilfautsersoudreeffacerlammoireFlashlaidedunecommande erase.Unefoisla commande erase excute, le seul moyen de disposer nouveau dun fichier effac est de le charger nouveau danslapartition,viaTFTPouFTPparexemple: 3640#delete slot1:c3640-i-mz.113-11c.bin Delete filename [c3640-i-mz.113-11c.bin]? Y Delete slot1:c3640-i-mz.113-11c.bin? [confirm]y SurunsystmedefichiersdeclasseB,lacommande erasepermetdercuprerlespaceencoreoccuppar les fichiers marqus effacs. Mais il faut se souvenir quelle provoque galement la suppression de tout fichierprsentdanslesystmedefichiers. Unexempledecommandeeraseentresurunrouteur3640poureffacerlecontenudeslot1:... 3640#erase slot1: Erasing the slot1 filesystem will remove all files! Continue? [confirm]y Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased Erase of slot1 complete La commande partition, en mode de configuration globale, permet de diviser une mmoire Flash en partitions. Exempledepartitionnementsurlesplatesformes1600et3600: partition flash-filesystem: [number-of-partitions][partition-size] Laformenodelacommandesupprimelepartitionnementetrestaureunepartitionunique: no partition flash-filesystem: Lutilisation de la commande partition ncessite deffacer la mmoire Flash au pralable laide dune commandeerase. La syntaxe gnrale de la commande permettant de partitionner sur les platesformes de classe B en dehors des platesformes1600et3600est: partition flash partitions [size1 size2] Laformenodelacommandesupprimelepartitionnementetrestaureunepartitionunique: no partition flash Sur une plateforme 3600, lexemple suivant divise lespace de mmoire Flash Slot0: en trois partitions : deux partitionsde8Moetunepartitionde4Mo. 3640(config)# partition slot0: 3 8 8 4
- 4-
Unecommandeshowslot0:faitdcouvriroupermetdevrifierlepartitionnementtablisurunemmoireFlash.Ainsi dans lexemple suivant, ladministrateur observe que trois partitions existent, deux de 8 Mo et une de 4 Mo. La premirepartitionestchargeavecuneimageIOS.Cetteimageancessairementtplacelaprsloprationde partitionnement: 3640#show slot0: PCMCIA Slot0 flash directory, partition 1: File 1 Length 2779832 Name/status c3640-i-mz.113-11c.bin
[2779896 bytes used, 5608712 available, 8388608 total] 8192K bytes of processor board PCMCIA Slot0 flash (Read/Write) PCMCIA Slot0 flash directory, partition 2: No files in PCMCIA Slot0 flash [0 bytes used, 8388608 available, 8388608 total] 8192K bytes of processor board PCMCIA Slot0 flash (Read/Write) PCMCIA Slot0 flash directory, partition 3: No files in PCMCIA Slot0 flash [0 bytes used, 3932160 available, 3932160 total] 4096K bytes of processor board PCMCIA Slot0 flash (Read/Write) Poursupprimerlespartitions,ilfaututiliserlaformenodelacommande: 3640(config)#no partition flash 3 8 8 4
4.SystmedefichiersdeclasseC
G
AS5800DialShelfController Catalyst5000/5500SupervisorIIIModule Catalyst6000/6500SupervisorEngineI Catalyst6000/6500SupervisorEngineII Cisco7000RouteProcessor Cisco7100SeriesRouters CiscouBR7100SeriesRouters Cisco7200SeriesNetworkProcessingEngine CiscouBR7200SeriesRouters Cisco7200VXRSeriesNetworkServicesEngine1
- 5-
Cisco7600SeriesInternetRoutersv Cisco10000SeriesRouters(ESR) CiscouBR10000SeriesRouters Cisco2800SeriesRouters(lexceptiondurouteur2801) Cisco3800SeriesRouters.
LescommandesutilespourgrerunsystmedefichiersdeclasseCsont:
G
format:formatelammoireFlashetparsuite,supprimedefaondfinitivelensembledesfichiersprsents. mkdir:creunnouveaurpertoiredanslesystmedefichiersdeclasseC. rmdir : supprime un rpertoire existant dans le systme de fichiers de classe C la condition que ce rpertoireaittviddesesfichiers(ousousrpertoires)aupralable.
QuelquesexemplesdecommandesenclasseC: Quandunecommande showflash:allfournitdesinformationsdegomtrieetdeformat,alorsonestassurdavoir affaireunsystmedefichiersdeclasseC,cestlecasdanslacaptureciaprs: R12>show flash: all -#- --length-- -----date/time------ path 1 17935236 Feb 22 1907 17:31:44 +00:00 c2801-ipbasek9-mz.124-25c.bin 46075904 bytes available (17936384 bytes used) ******** ATA Flash Card Geometry/Format Info ******** ATA CARD GEOMETRY Number of Heads: 8 Number of Cylinders 490 Sectors per Cylinder 32 Sector Size 512 Total Sectors 125440 ATA CARD FORMAT Number of FAT Sectors Sectors Per Cluster Number of Clusters Number of Data Sectors Base Root Sector Base FAT Sector Base Data Sector
62 8 15628 125297 235 111 267
ATA MONLIB INFO Image Monlib size = 61144 Disk monlib size = 56832 Name = piptom-atafslib-m Monlib Start sector = 2 Monlib End sector = 104 Monlib updated by = Monlib version = 1 R12> Unecommandedirpermetdafficherlecontenudurpertoirecourant: R12#dir flash: Directory of flash:/
- 6-
1 2
-rw-rw-
17935236 1363
Feb 22 1907 17:31:44 +00:00 Mar 17 2010 13:15:44 +00:00
c2801-ipbasek9-mz.124-25c.bin R12_cfg.txt
64012288 bytes total (46071808 bytes free) R12# Lacommandemkdirflash:/configoumkdir/configcrelerpertoireconfiglaracinedelapartitionFlash.Observez lalettredparmilesattributs,seulefaondedistinguerunfichierdunrpertoire: R12#mkdir flash:/config Create directory filename [config]? Created dir flash:/config R12#dir Directory of flash:/ 1 2 3 -rw-rwdrw17935236 1363 0 Feb 22 1907 17:31:44 +00:00 Mar 17 2010 13:15:44 +00:00 Mar 17 2010 13:18:24 +00:00 c2801-ipbasek9-mz.124-25c.bin R12_cfg.txt config
64012288 bytes total (46067712 bytes free) R12# Lacommandecdpermetdechangerderpertoirecourant: R12#cd config R12#dir Directory of flash:/config/ No files in directory 64012288 bytes total (46067712 bytes free) R12# Plaonsunfichierquelconquedansnotrenouveaurpertoire: R12#copy running-config R12_cfg.txt Destination filename [/config/R12_cfg.txt]? 1363 bytes copied in 0.696 secs (1958 bytes/sec) R12#dir Directory of flash:/config/ 4 -rw1363 Mar 17 2010 13:22:00 +00:00 R12_cfg.txt
64012288 bytes total (46063616 bytes free) R12# Remontonslaracinelaidedunecommandecd..puistentonsdesupprimerlerpertoireconfig: R12#pwd flash:/config/ R12#cd .. R12#pwd flash:/ R12#rmdir config Remove directory filename [config]? Delete flash:/config? [confirm] %Error Removing dir flash:/config (Cant delete a directory that has files in it) R12# Cest un chec parce que le rpertoire config nest pas vide. Vidons le rpertoire laide dunecommande delete. Observez la quantit de mmoire disponible avant et aprs la suppression. Elle confirme que le fichier effac lest effectivement,cequicaractriseunsystmedefichiersdeclasseC: R12#cd config R12#delete R12_cfg.txt Delete filename [/config/R12_cfg.txt]? Delete flash:/config/R12_cfg.txt? [confirm]
- 7-
R12#dir Directory of flash:/config/ No files in directory 64012288 bytes total (46067712 bytes free) R12# Unenouvelletentativepoursupprimerlerpertoireconfigestcettefoiscouronnedesuccs: R12#cd .. R12#dir Directory of flash:/ 1 2 3 -rw-rwdrw17935236 1363 0 Feb 22 1907 17:31:44 +00:00 Mar 17 2010 13:15:44 +00:00 Mar 17 2010 13:18:24 +00:00 c2801-ipbasek9-mz.124-25c.bin R12_cfg.txt config
64012288 bytes total (46067712 bytes free) R12#rmdir config Remove directory filename [config]? Delete flash:/config? [confirm] Removed dir flash:/config R12#dir Directory of flash:/ 1 2 -rw-rw17935236 1363 Feb 22 1907 17:31:44 +00:00 Mar 17 2010 13:15:44 +00:00 c2801-ipbasek9-mz.124-25c.bin R12_cfg.txt
64012288 bytes total (46071808 bytes free) R12#
- 8-
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Quellecommandeshowestutilepourvrifierlespartitionsconnuesdelaplateforme? 2 Querappellek9danslenomdimagec2600ik9smz.12240a.bin? 3 Parmilesinformationsfourniesparlersultatdunecommandeshowversion,ladministrateurveutinterprter laligne: Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory Combiencetteplateformedisposetelledemmoirevive? 4 VousdisposezdesdeuxversionsdIOS12.4(23b)et12.4(24)T2.Ilvousfautfaireunchoixpourmettrejour unepartiedevotreparcderouteurs.Onvousrecommandedeprivilgierlastabilit.Quelestvotrechoix? 5 Combiendetempsscouletilentrelamisedispositionduneversionsurlemarchetlafindetout dveloppementdecetteversion? 6 Lavaleuractuelleduregistredeconfigurationest0x2122.VoussouhaitezignorerlecontenudelaNVRAMau prochaindmarrage.Quellevaleurrangezvousdansleregistredeconfiguration? 7 QuelssontlesprotocolessupportsparleminiOSROMMONetquipermettentletransfertduneimageversla partitionFlashdurouteur?
2.Rsultats
3.Rponses
1 Quellecommandeshowestutilepourvrifierlespartitionsconnuesdelaplateforme? Router#show file systems Lapartitionactiveestmarquedunetoile. 2 Querappellek9danslenomdimagec2600ik9smz.12240a.bin? CettefaondenommerlesimagesIOSaperdurjusqulaversion12.3.Chaquelettreoulettreassocieunchiffrefait rfrence lunedesbriqueslogiciellesquicomposentlimage. Ainsi,k9 faitrfrencelaprsencedanslimagedes fonctionnalitsdecryptographieforteAESet3DES. 3 Parmi les informations fournies par le rsultat dune commande show version, ladministrateur veut interprter la ligne: Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory Combiencetteplateformedisposetelledemmoirevive? La seconde quantit fait rfrence la mmoire ddie aux paquets (tampons associs aux interfaces). Sur les plates formeslespluspuissantesdelagammeCISCO,unemmoireparticulireettrsrapideestddiecetusage.Quandcest le cas, la premire quantit indique alors la quantit totale de mmoire RAM. La plateforme 2800 ne bnficie pas de mmoireddieetpartagesammoirevive.Laconsquenceestquilfautadditionnerlesdeuxnombrespourexprimerla quantitdemmoireRAMembarqueparlesystme,soit128Mo.
4 Vous disposez des deux versions dIOS 12.4(23b) et 12.4(24)T2. Il vous faut faire un choix pour mettre jour une partiedevotreparcderouteurs.Onvousrecommandedeprivilgierlastabilit.Quelestvotrechoix? LetrainTechnologyintgrergulirementdenouvellesfonctionnalitsoudenouveauxsupportsmatriels.Cesapports nepeuventsefairequaudtrimentdelastabilit.LetrainMainLineintgreauplusdescorrectifslogiciels.Cestdonc luiquilfautprivilgier,soitlaversion12.4(23b). 5 Combiendetempsscouletilentrelamisedispositionduneversionsurlemarchetlafindetoutdveloppement decetteversion? La mise disposition est le jalon FCS (First Customer Shipping). La fin du dveloppement est le jalon EoE (End of Engineering).Ilscoule48moisentreFCSetEoE. 6 La valeur actuelle du registre de configuration est 0x2122. Vous souhaitez ignorer le contenu de la NVRAM au prochaindmarrage.Quellevaleurrangezvousdansleregistredeconfiguration? Ilsagitdefairepasserlebit61,cequirevientajouter4lacolonnedesseizaines.Lavaleurrangerestdonc0x2162. 7 Quels sont les protocoles supports par le miniOS ROMMON et qui permettent le transfert dune image vers la partitionFlashdurouteur? TFTPmaisilsupposelaconnectivitrseaudelundesdeuxportsEthernetembarqusparlerouteur.XmodemetYmodem quinutilisentqueleportconsolemaisilfaudraalorscomposeravecunebandepassantelimite.
- 2-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les rseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede: Dcrirelobjet,lanatureetlefonctionnementdunrouteur(objectiftransverse). Expliquerlerlecritiquequejouentlesrouteursdanslapriseenchargedescommunicationsauseinderseaux multiples. Dcrirelobjetetlanaturedestablesderoutage. Dcriredequellemanireunrouteurdtermineuncheminetcommutelespaquetsdedonnes. Expliquerleprocessusderecherchederouteetdterminerlecheminquempruntentlespaquetssurlerseau. Dcrirelobjetetlaprocduredeconfigurationdesroutesstatiques. Configureretvrifierleroutagestatiqueetpardfaut.
- 1-
Rappels,routagestatiqueoudynamique
Rappelons dabord ce qui arrive lorsquune trame est reue par lune des interfaces dun routeur. La couche Liaison recherche ladresse de destination. Si cette adresse identifie linterface ou sil sagit dune adresse de diffusion, le datagrammecontenudanslatrameestextraitetremisauprocessusdecoucherseauconvenable(dmultiplexagede protocole laide du champ Type). La couche rseau examine ladresse IP de destination. Si cette adresse est, soit ladresse IP de linterface, soit ladresse de diffusion limite (255.255.255.255), alors ce datagramme est arriv destination (il nira pas plus loin). Sil sagitdun datagramme IP, le champ Protocol est utilis afin de remettre le contenududatagrammeauprocessusconvenable(parexemple,1pourICMP,6pourTCP,17pourUDP...). Touteadressededestinationdiffrenteindiquequeledatagrammedoittrerout.Ilpeutsagirdeladressedunhte ouduneadressedediffusiondirige.Siladresseestcelledunhte,cethtepeutappartenirunrseaudirectement connect(cerouteurestledernier,ledatagrammedoitmaintenanttreremislhte)ounondirectementconnect,le routeurexaminealorssatablederoutagelarecherchedunerouteconvenable. IlestindispensablederesituerlesquelquesnotionsquisuiventextraitesdelouvrageCiscoNotionsdebasesurles rseauxdanslacollectionCertificationsauxEditionsENI.Cettecourtesectionestdoncdestineaulecteurquiaurait acquisleprsentouvrageseul.
1.Notionderoute
Dans lexemple cidessous, le routeur passerelle se voit confier les datagrammes dont ladresse de destination est extrieureaurseau.Chargeluidelesfaireprogresserversleurdestinationetpourcefaire,lerouteurconsultesa tablederoutagelarecherchedunerouteverslerseauenquestion.Commentseprsenteuneroutedanscette tablederoutage?
A minima, il sagit dune correspondance entre un rseau quil est possible datteindre et ladresse IP du prochain routeur qui il faut confier les datagrammes pour sapprocher de ce rseau ou latteindre. Ainsi dans lexemple ci dessus,lerouteurR11pouratteindrelerseau10.0.12.0/24doitconfierlespaquetsladresse10.0.8.12.Laroute estdonclacorrespondance10.0.12.0/24via10.0.8.12. Lapprentissagedecetterouteetparsuite,leremplissagedelatablederoutagepeuttrelefaitdeladministrateur, on parle alors de routage statique. Il existe galement des protocoles de routage qui, par des changes rguliers entrerouteurs,permettentchacundesrouteursdedcouvrirdesinformationsderouteoudetopologiederseau, leremplissagedelatablederoutageestalorsautomatis,cequelondsigneparroutagedynamique.
2.Routagestatique
Uneroutestatiqueestlefaitdeladministrateur,ilfautlinscriremanuellementdanslatablederoutage. Parmilesinconvnients:
G
Toute modification de topologie requiert lintervention de ladministrateur ce qui peut rapidement devenir
- 1-
pesant.
G
Lapannedunquipementouduneinterfaceestunemodificationdetopologieaccidentelle,nonplanifie.Le tempsdindisponibilitestfonctiondudlaidepriseencomptedudfautparladministrateur.
Parmilesavantages:
G
Le routeur na pas consacrer une partie de ses ressources lentretien dun protocole de routage (CPU, mmoire).
Lesdomainesdemploiduroutagestatiquesont:
G
Lespetitsrseaux. LesrseauxprivsconnectslInternetviaunseulfournisseurdaccs.
3.Routagedynamique
laide dun protocole de routage, un routeur partage des informations concernant les rseaux quil connat avec dautresrouteursquiutilisentlemmeprotocole.Chaquecorrespondance@rseaudistant@prochainsaut(chaque route) mentionne le mode dapprentissage de la route (S pour statique, C pour directement connecte, R pour RIP (RoutingInformationProtocol)...). Les correspondances sont maintenues jour au fur et mesure de la vie du rseau. Cest mme lune des performances attendues dun protocole de routage que de diminuer autant que faire se peut le temps qui scoule entreunemodificationdetopologie,planifieouaccidentelle,etsapriseencomptedanslestablesderoutages.Ce dlaiestappeltempsdeconvergence.
4.Latablederoutage
Routagestatiqueetdynamiquepeuventtreutilissconjointement,latablederoutagecomportealors:
G
desroutesdirectementconnectes:
G
lespremiresapparatredanslatable leurprsenceestobligatoire(unrouteursansinterfacesnapasdesens) uneroutedirectementconnectenapparatquelorsquelinterfacecorrespondanteestactive.
desroutesstatiques desroutesdynamiques.
Seuleslesroutesstatiquesetdynamiquesconcernentlesrseauxdistants(nondirectementconnects). LatablederoutageeststockeenmmoireRAMetdoitdonctrereconstruitechaqueinitialisationdelquipement.
5.Lesprotocolesderoutage
a.Notiondesystmeautonome
Vouloir propager linformation de topologie de chaque routeur sur lensemble de la plante est hors de porte (consommationdebandepassante,difficultsdemaintenance,scurit).Lerseaumondialrsultedunassemblage de systmes autonomes. Un systme autonome (AS : Autonomous System) est un ensemble de rseaux et de routeurspartageantlemmeprotocolederoutageetgrparunemmeautoritadministrative.
- 2-
b.Protocolesderoutageinternes,externes
Les protocoles mis en uvre dans un systme autonome appartiennent la famille des IGP ( Interior Gateway Protocol).EntresystmesautonomesinterviennentlesprocolesEGP(ExteriorGatewayProtocol)maiscettefamillese rsumeauseulprotocoleactuellementviableBGP(BorderGatewayProtocol).
- 3-
LesprotocolesIGPfondentleursdcisionssurdescritresdeperformances,dbit,fiabilit,nombredesauts...Le protocole BGP intgre en plus des critres politiques. Imaginons que vous ayez tablir un plan de vol de Compigne au nord de Paris Etampes au sud de Paris, un protocole IGP trace une route directe qui vous fait survolerParis.LeprotocoleBGPvousferacontournerParisparcequelesurvoldelacapitaleestinterdit. La famille des protocoles IGP est une famille nombreuse mais essentiellement fonde sur deux technologies : le routagevecteurdedistanceetleroutagetatdeliens.
6.Cequicaractriseuneroute
Vous habitez Paris et prparez un itinraire afin de vous rendre Marseille, sur le boulevard de la Canebire au numro 10. Votre destination est donc le Sud mais aussi la rgion PACA, plus encore les BouchesduRhne, videmmentMarseille,laCanebireetenfinlen10.Touteslesdestinationsquenousvenonsdecitersontexactes mais plus ou moins prcises. La premire caractristique dune route est sa destination, la seconde est son degr dacuit.VousdcidezdutiliserunsitedeprparationditinrairetypeViaMichelinouMappy.Ilvousfautprciserun choixparmi{Conseill|Plusrapide|Pluscourt|Dcouverte|Economique}.Cechoixestdterminantsurlecotdu voyage,cettenotionexistegalementpourunerouterseau,onparlede mtrique.Enfin,vousvousprcipitezsur unepromotionencoursetachetezunGPSderniercri.Aprsquelquesheurespasseserrersurnosbellesroutes franaises, vous voil au milieu dune cour de ferme. Quelle confiance fallaitil accorder la route propose par ce GPS?Cedegrdeconfiancecaractrisenonpaslarouteenellemmemaislasourcedapprentissagedelaroute,on lappelledistanceadministrative.
a.Mtriqueassocieuneroute
La mtrique est donc lune des caractristiques dun protocole de routage. La plus simple est sans doute celle du protocolevecteurdedistanceRIP,galeaunombredesauts.Lunedesplussophistiquesestcelleduprotocole propritaireEIGRP(EnhancedInteriorGatewayRoutingProtocol)puisquelleassociedlai,bandepassante,fiabilitet charge. La mtrique dOSPF (Open Shortest Path First) additionne les cots des diffrents liens qui composent la route,lecotdunlienestfonctiondesabandepassante. Lexemplesuivant,classique,montrelesabsurditsauxquellespeutconduireunemtriquerudimentaire:
- 4-
SilestroisrouteursremplissentleurtablederoutageavecRIP,unpaquetmisparPC11etdestinPC22transite par une route directe dont certes le nombre de sauts est moindre mais dont la bande passante nest que le trentimedecelleofferteparlaroutequitransiteparR8. Ilarrivequunprotocolederoutagefournisseplusieursroutespourunemmedestination.Danscecas,ilneplace danssatablederoutagequelaroutelaplusfavorable.Pourunprotocolederoutagedonn,lameilleurerouteest celledontlamtriqueestlaplusfaible. uninstantdonnetpourunprotocolederoutagedonn,chaqueroutecontenuedanslatablederoutage estlemeilleurcheminparmilesroutesconnuesversunedestination.Lesautresroutessontignores. Attention,ignoresnesignifiepasperdues.Danslecasounemodificationdetopologieentraneraitlindisponibilit dunerouteprsentedanslatableetdanslecasocetteroutersultaitdunchoixparmidesroutesmtriques diffrentes,lunedesroutesignoresjusquelpourraitsesubstituerlaroutedfaillante.
Lexemple cidessus montre la table de routage dun routeur configur pour mettre en oeuvre le protocole EIGRP. ChaqueroutedcouvertelaidedeceprotocoleestprcdedelalettreD(EIGRPestfondsurlalgorithme DUAL: DiffusingUpdateAlgorithm).Observezleschampsprsentsimmdiatementdroitedurseaudedestination, deux valeurs entre crochets et spares par un caractre / :la premire valeur est la distance administrative (patientez...),lasecondevaleurestlamtrique. Il arrive quun protocole de routage fournisse deux ou plusieurs routes vers une mme destination et avec des mtriquesidentiques:
- 5-
Danslexemplecidessus,leprotocolederoutagemisen uvreestRIP.ParcequilexistedeuxliaisonsentreR8et R16, R8 inscrit dans sa table de routage deux routes mtriques identiques vers les rseaux 10.0.16.0/24, 10.0.21.0/24 et 10.0.22.0/24. Observez la table de routage, chaque rseau de destination concern apparat associauxdeuxsautspossibles. Onparledanscecasdecheminscotgal,seulcasolerouteurnechoisitpasuneroutemaisprendlesdeux routes(oudavantage)encomptepourfaireprogresserletraficverslerseaudedestinationenlerpartissantsur lesdeuxliens,cequelondsigneparPartagedechargecotgal.
b.Ladistanceadministrative
Nousavonsditquelamtriqueestcaractristiqueduprotocolederoutage.Comparerdeuxmtriquesnadesens quesiellessontissuestoutesdeuxdummeprotocolederoutage.Leplusordinairement,lesroutesdynamiques installesdanslatablederoutagesontissuesdununiqueprotocolederoutagequilesachoisiesparceque,parmi les routes connues, ces routes avaient la meilleure mtrique. Quelques cas rares obligent configurer plusieurs protocoles de routage sur un mme routeur, ce qui peut se produire lorsquun routeur est plac sur la frontire sparantdeuxdomainesdistincts,unprotocolederoutagedistincttantdploysurchacundecesdomaines. Commentlerouteurpeutiloprerunchoixparmiplusieursroutespourunmmerseaudedestinationquandces routessontissuesdeprotocolesderoutagediffrents? Impossiblecettefoisdecomparerlesmtriques.Lechoixquiatfaitestdassocierundegrdeconfiancechacun des protocoles de routage, degr de confiance appel distance administrative. Sa valeur est comprise entre 0 et 255,lerouteurprivilgielaroutedistanceadministrativelaplusfaible. Il est possible dutiliser des valeurs autres que celles attribues par dfaut, mais il est conseill de connatre ces valeurspardfaut:
G
Routedirectementconnecte:DA=0(uneconfianceabsolue). Routestatique:DA=1(cestladministrateurquientrelaroute,onconsidrequilsaitcequilfait). RouteissuedeEIGRP:DA=90. RouteissuedeIGRP:DA=100(normalementabandonnauprofitdeEIGRP). RouteissuedeOSPF:DA=110.
- 6-
RouteissuedeRIP:DA=120. DA=255sourcenonfiable,laroutenestpasinstalledanslatablederoutage.
Revenezunpeuplushautlafigureillustrantlesmtriquesassociesauxroutes,danslersultatdunecommande showiproute.chaqueroutesontassocieslesdeuxvaleurs[DA/Mtrique].PuisquilsagissaitduprotocoleEIGRP, onretrouvelavaleurDA=90. Quandlamtriquepermetdechoisirlaroutelapluspertinente,ladistanceadministrativepermetdtablirle modedapprentissagederouteprfr.
- 7-
Rseauxdirectementconnects
Sansentrerderoutestatiqueetsansavoirmisen uvreunquelconqueprotocolederoutage,onpourraitpenserque latablederoutagerestevide.Maischaqueinterfaceltatmontup etdoteduneconfigurationIPprovoque lajout dune route dans la table de routage. Appuyons notre propos sur le contexte cidessous, reproductible dans GNS3:
Uneroutedirectementconnecteestajoutelatablederoutagesilesdeuxconditionssuivantessontsatisfaites:
G
Linterfaceestdansuntatactiflafoisencouche1etencouche2.Ltatactifencouche1supposequily aitbienuneconnectivitphysiqueentrecetteinterfaceetlinterfacedelquipementenvisvis.Parexemple, uneinterfaceWANestconnectesonbotierCSU/DSUluimmeactif,uneinterfaceLANestconnecteun portdecommutateuractif.Ltatactifencouche2supposequilyaitcompatibilitdeprotocolesurlescouches 2 respectives des interfaces en visvis. Dans le cas dune interface LAN, pas de problme depuis la prminence dEthernet. Dans le cas dune interface WAN, ladministrateur doit avoir configur le mme protocoledecouche2auxdeuxextrmitsdulien.Pardfaut,lIOSraliseuneencapsulationHDLC. UneconfigurationIPatassignelinterface,soitparlefaitdeladministrateur(commandeipaddress),soit obtenuedunserveurDHCP.
Ladministrateur peut confirmer ltat dune ou plusieurs interfaces laide de la commande show ip interface brief (abrgeenshipintbr).ParexemplesurR110f: R110f#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 R110f#
IP-Address 10.0.1.1 10.0.1.225 unassigned
OK? YES YES YES
Method manual manual unset
Status Protocol up up up up administratively down down
Lacommandeshowiprouteaffichelintgralitducontenudelatablederoutage.Maisavantdefournirlesdiffrentes routes qui composent la table, linterface rappelle quelles sont les sources dapprentissage possible. Chaque source est associe une lettre : S pour les routes statiques, I pour le protocole de routage IGRP, etc. Les routes directementconnectesapparaissentaveclalettreCenregard: R110f#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 S 10.0.1.192/27 [1/0] via 10.0.1.226 C 10.0.1.224/30 is directly connected, Serial0/0 R110f# Il est galement possible de nafficher que les seules routes directement connectes en ajoutant le motcl connected lacommandeshowiproute: R110f#sh ip route connected 10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 C 10.0.1.224/30 is directly connected, Serial0/0 R110f#
- 1-
Avec cette mme topologie, imaginons le routeur R120f hors service (sous GNS3, clic droit sur le routeur R120f puis slectionnez Suspendre). Sur la console du routeur R110f, un message SYSLOG avertit de la tombe de linterface s0/0: 00:58:01: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down ToujourssurlerouteurR110f,lacommandeshipintbrdonnecettefois: R110f#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 R110f#
IP-Address 10.0.1.1 10.0.1.225 unassigned
OK? YES YES YES
Method manual manual unset
Status Protocol up up up down administratively down down
Unecommande show ip route confirme lvnement, la route directement connecte vers le rseau 10.0.1.224/30 a disparu: R110f#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/25 is subnetted, 1 subnets C 10.0.1.0 is directly connected, FastEthernet0/0 R110f#
- 2-
Routesstatiques
1.Routestatiqueversladressedusautsuivant
Lacommandeiproute,enmodedeconfigurationglobale,doittreutiliseautantdefoisquilyaderoutesstatiques crer.Voicisasyntaxelaplusglobale: Router(config)#ip route @destination masque {@saut_suivant | interface_sortie} [distance] [tag] [permanent] Dontlesargumentssontlessuivants: Motcl @destination Masque LadresseIPdurseaudistant. Lemasquedurseaudistant.Plusleprfixeestlong,pluslarouteestprcise. Plusleprfixeestcourt,pluslarouteagrgedesrseaux. LadresseIPduprochainsaut. Quandonfaitlechoixdepointeruneinterfacedecerouteurpluttqueladresse IPdelinterfacedurouteursuivant. Imposeunedistanceadministrativediffrentedeladistancepardfautpourune routestatique(valeur1). Marqueurutilispourlaredistributionderoutes. Laroutenestjamaiseffacedelatablederoutagemmeencasdetombede linterface. Description
@saut_suivant Interface_sortie
Distance
Tag Permanent
Appuyonsnouveaunotrepropossurlecontextecidessous,reproductibledansGNS3:
cet instant, les tables de routage des deux routeurs R110f et R120f ne contiennent que les routes directement connectes.SurPCL110,unerequtepingmiseversPCL120estbienremiselapasserelledePCL110,cestdire linterfacef0/0deR110f.SurR110f,ajoutonsuneroutestatiqueverslerseauLAN12: R110f#conf t Enter configuration commands, one per line. End with CNTL/Z. R110f(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.226 R110f(config)#^Z R110f# 03:22:10: %SYS-5-CONFIG_I: Configured from console by console R110f#copy run start Destination filename [startup-config]? Building configuration... [OK] Si R110f peut atteindre le saut suivant 10.0.1.226, il ajoute la route vers LAN12 la table de routage, ce que confirmeunecommandeshiproute:
- 1-
R110f#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 S 10.0.1.192/27 [1/0] via 10.0.1.226 C 10.0.1.224/30 is directly connected, Serial0/0 R110f# R120freoitlarequte pingmiseparPCL110etpeutlaremettresondestinatairepuisquePCL120estplacsur unrseaudirectementconnect.PCL120rpondlarequte,ladressededestinationdelarponseest10.0.1.126, placesurlerseauLAN11,larponseestremiselapasserelledePCL120,cestdireR120f.Ladministrateura prissoindetaperunecommandedebugipicmpsurR120f,dontvoicilersultat: R120f#debug ip icmp ICMP packet debugging is on R120f# 03:19:49: ICMP: dst (10.0.1.126) host unreachable sent to 10.0.1.222 03:19:50: ICMP: dst (10.0.1.126) host unreachable sent to 10.0.1.222 03:19:51: ICMP: dst (10.0.1.126) host unreachable sent to 10.0.1.222 R120f# SurR120f,ajoutonslaroutemanquanteversLAN11: R120f#u all All possible debugging has been turned off R120f#conf t Enter configuration commands, one per line. End with CNTL/Z. R120f(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.225 R120f(config)#^Z R120f# 04:14:57: %SYS-5-CONFIG_I: Configured from console by console R120f#copy run start Destination filename [startup-config]? Building configuration... [OK] Si R120f peut atteindre le saut suivant 10.0.1.225, il ajoute la route vers LAN11 la table de routage, ce que confirmeunecommandeshiproute: R120f#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks S 10.0.1.0/25 [1/0] via 10.0.1.225 C 10.0.1.192/27 is directly connected, FastEthernet0/0 C 10.0.1.224/30 is directly connected, Serial0/0 R120f# Cettefois,larequteICMPdePCL110aboutit.
a.Lacommandepingtendue
Toujoursennousappuyantsurlatopologieprcdente,imaginonscettefoisqueladministrateursetrouvedevant unesessionconsolesurR110fetquesaufenvisagerdesdplacementscompliqus,ilsouhaiterglerlatotalit de la configuration (tests compris) depuis cette session console. Pour rtablir le contexte tel quil tait avant lintroductiondesroutesstatiques,utilisonslaformenodescommandesiproute. SurR110f: R110f#conf t Enter configuration commands, one per line.
End with CNTL/Z.
- 2-
R110f(config)#no ip route 10.0.1.192 255.255.255.224 10.0.1.226 R110f(config)#^Z R110f# SurR120f: R120f#conf t Enter configuration commands, one per line. End with CNTL/Z. R120f(config)#no ip route 10.0.1.0 255.255.255.128 10.0.1.225 R120f(config)#^Z R120f# AstreignonsnousoprertouteslesmanipulationsvenirdepuislasessionconsoleouvertesurR110f.Vrifionsla connectivitdeR110fversPCL120: R110f#ping 10.0.1.222 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R110f# Une commande ping @destination provoque 5 requtes ICMP conscutives. Dans le cas prsent, lensemble des requteschoue,cestnormal.AjoutonslaroutestatiqueversLAN12: R110f#conf t Enter configuration commands, one per line. End with CNTL/Z. R110f(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.226 R110f(config)#^Z R110f# 05:02:43: %SYS-5-CONFIG_I: Configured from console by console R110f# TentonsnouveaularequtepingversPCL120: R110f#ping 10.0.1.222 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 40/70/92 ms R110f#ping 10.0.1.222 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/57/76 ms R110f# Cette fois, au premier essai, 4 requtes sur 5 russissent. Aux essais suivants, toutes les requtes aboutissent. Pourquoidiablelatoutepremirerequtechoue?AprsquelquesanalysesWireshark,lunesurlelienserial reliant les deux routeurs (cap_2D_03.pcap disponible sur le site des Editions ENI), lautre sur LAN12 (cap_2D_04.pcapdisponiblesurlesitedesEditionsENI),lexplicationtombe.Lapremirerequtesansrponse nestpaslefaitdeR110fquiabienfaitprogresserlensembledes5requtes.Surlelienserial,onobservebien les 5 requtes mais seulement 4 rponses. En revanche, la capture ralise sur LAN12 ne fait apparatre que 4 requtes.CestdoncR120fqui,fautededisposerdelacorrespondance@IP@MACdanslecacheARP,diffuseune requte ARP (trames 5 et 6 de la capture) mais supprime la requte ICMP. Une erreur assez rpandue est de penserquelapremirerequtechouedufaitdurouteurdorigine,R110fdanslecasprsent,etcausedune correspondancenonprsentedanslecacheARP.MaisR110fnanulbesoindecettecorrespondancecarlaliaison versR120festdetypepointpoint,ladressephysiqueducorrespondantestconnue. Revenons notre problme de dpart qui consiste btir la connectivit de PCL110 PCL120. Le ping russi prcdent nous confirme la connectivit de R110f PCL120, cest insuffisant. Comment tester la connectivit de PCL110PCL120sanstredevantPCL110?Lacommandepingadmetenfaitdenombreuxparamtresendehors deladressededestinationdontunquipermetdespcifierlasource,cepeuttreuneinterfaceouuneadresseIP. NallezpascroirequelonpeutspcifierladressedePCL110entantquadressesource,ceseraituneusurpation didentit. Mais avec le motcl source, on peut spcifier soit linterface f0/0 de R110f soit ladresse IP 10.0.1.1. LimportantestquecetteinterfaceoucetteadresseappartiennentaurseauLAN11.Silarponseunerequte dotedunetelleadressesourceparvientjusquR110f,alorsnoussommesassursdelaconnectivitdePCL110 PCL120.
- 3-
R110f#ping 10.0.1.222 source 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.1 ..... Success rate is 0 percent (0/5) R110f# CtaitprvisiblepuisqueR120fneconnatpasencorederouteversLAN11.ToujourssurlasessionconsoleR110f, ouvronsunesessionTelnetversR120fafindajouterlaroutestatiquemanquante: R110f#telnet 10.0.1.226 Trying 10.0.1.226 ... Open User Access Verification Password: R120f>en Password: R120f#conf t Enter configuration commands, one per line. End with CNTL/Z. R120f(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.225 R120f(config)#^Z R120f#copy run start Destination filename [startup-config]? Building configuration... [OK] R120f#exit [Connection to 10.0.1.226 closed by foreign host] R110f# VrifionsnouveaulaconnectivitdeLAN11versPCL120: R110f#ping 10.0.1.222 source 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/74/156 ms R110f# Magique! Ladministrateur las de devoir mmoriser des motscls supplmentaires sera satisfait dapprendre que CISCO a prvu une commande ping interactive. Il suffit de lancer la commande sans arguments. Ceci provoque lexcution dunprocesspingquiposetouteslesquestionsncessairesenvuedecomposerunerequteICMPsurmesure. Voicilquivalentinteractifdelacommandepingprcdente: R110f#ping Protocol [ip]: Target IP address: 10.0.1.222 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.0.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/64/136 ms R110f#
- 4-
Observez que, hormis pour les adresses source et destination, les questions poses proposent une rponse par dfautquelonpeutaccepterenvalidantsimplementparlatouche[Entre].
2.Routestatiqueversuneinterfacedesortie
Jusquprsent,uneroutedirectementconnectetaituneroutequelIOSavaitdduitedelaconfigurationdune interface.SIladresseIPdelinterfacefa0/0est10.0.1.1/25,ALORSlerseau10.0.1.0/25estdirectementconnect cette interface . LIOS offre galement cette possibilit qui consiste, dans une route statique, indiquer une interface de sortie plutt que ladresse de saut suivant. LIOS considre alors cette route comme galement directement connecte. Ce qui amne se remmorer son comportement avec une route directement connecte. Avec une telle route, lIOS considre toute adresse de destination appartenant au rseau directement connect comme tant directement joignable. Il lui reste confier le datagramme au pilote de linterface afin quil compose lultime trame qui encapsulera ce datagramme. Pour ce faire, le pilote doit disposer de ladresse physique de destination. ce stade, le comportement diffre selon le type dinterface de sortie, LAN ou WAN. Dans le cas dune interface serial,linterfacedesortieestconnecteuneliaisonpointpoint.Pasdambigit,lepilotesaitquiilest etqui estlautre,ilpeutcomposerlatrame.Ledatagrammeestdoncremislautreextrmitquiestaussilinterfacede sautsuivant.LeschosessecompliquentquandlinterfacedesortieestuneinterfaceLAN.Ladressededestination est une adresse de couche 3, le pilote doit disposer de ladresse de couche 2 correspondante. En IPv4, cest ce momentquintervientlemcanismeARP.IlpeuttreutiledesereporterlouvrageCiscoNotionsdebasesurles rseauxdanslacollectionCertificationsauxEditionsENIchapitreObtentionduneadresseIPsectionLeprotocole ARP.Silacorrespondance@IP@MACestprsentedanslecacheARP,lepilotepeutcomposerlatrame.Danslecas contraire,ledatagrammeestplacenfiledattenteetleprocessARPdiffuseunerequteafindapprendreladresse physiquedudestinataire. Raisonnonsnouveausurlaroutestatiquequiutiliseuneinterfacedesortie.Danslecasduneinterfaceserial,un datagrammequiempruntecetterouteestremissansformalitsaupilotedelinterfacequipeutcomposerlatrame.Y atil un intrt procder de la sorte ? Difficile de rpondre, il faudrait avoir une conversation srieuse avec les personnes charges du dveloppement chez CISCO. Tout au plus, peutonremarquerquelIOS balaye la table de routageuneseulefoisquandlaroutequildcidedutiliserestdirectementconnecte.Quandilchoisitunerouteavec adressedesautsuivant,ildoitparcourirlatableunesecondefoislarecherchedelinterfaceconnecteaurseau quicomprendladressedesautsuivant. LecomportementavecuneinterfacedesortiedetypeLANestpluscommodeexpliquerensappuyantsuruncas concret.Examinezlatopologieproposeciaprs:
Ce contexte a t test laide de GNS3. Sur le routeur R110d, la route statique cre pour rejoindre le rseau LAN12estdetypeinterfacedesortie: R110d#show run Building configuration... ... ... ip route 10.0.1.192 255.255.255.224 FastEthernet0/1 ip route 10.0.1.224 255.255.255.252 FastEthernet0/1 ip route 10.0.1.228 255.255.255.252 FastEthernet0/1 ip http server ... end
- 5-
R110d# UnecommandeshowiproutesurlerouteurR110ddonnelersultatsuivant: R110d#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 4 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 C 10.0.1.128/26 is directly connected, FastEthernet0/1 S 10.0.1.192/27 is directly connected, FastEthernet0/1 S 10.0.1.224/30 is directly connected, FastEthernet0/1 S 10.0.1.228/30 is directly connected, FastEthernet0/1 R110d# SurR80d,unecommandeshowcontrollerf0/1permetdedcouvrirladresseMACdecetteinterface: R80d#sh controller f0/1 Interface FastEthernet0/1 Hardware is AMD Am79c971 ... Promiscuous Mode Disabled, PHY Addr Enabled, Broadcast Addr Enabled PHY Addr=C800.0764.0001, Multicast Filter=0x0000 0x0100 0x0000 0x0000 ... R80d# LammecommandesurR70d: R70d#show controller f0/1 Interface FastEthernet0/1 Hardware is AMD Am79c971 ... Promiscuous Mode Disabled, PHY Addr Enabled, Broadcast Addr Enabled PHY Addr=C802.0764.0001, Multicast Filter=0x0000 0x0100 0x0000 0x0000 ... R70d# Imaginons un datagramme en provenance de PCL110 destin PCL120. R110d considre la route statique vers LAN12 comme une route directement connecte et peut remettre ce datagramme au pilote de linterface f0/1 en mme temps quil sollicite le processus ARP, ce afin dobtenir ladresse physique correspondant ladresse de destination 10.0.1.222. Cette correspondance nest pas encore prsente dans le cache ARP comme le confirme le rsultatdunecommandeshowiparp: R110d#sh ip arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.0.1.1 c801.0764.0000 ARPA FastEthernet0/0 Internet 10.0.1.129 c801.0764.0001 ARPA FastEthernet0/1 R110d#debug arp ARP packet debugging is on R110d# 00:01:02: IP ARP: creating incomplete entry for IP address: 10.0.1.222 interface FastEthernet0/1 00:01:02: IP ARP: sent reqsrc 10.0.1.129 c801.0764.0001,dst 10.0.1.222 0000.0000.0000 FastEthernet0/1 00:01:02: IP ARP: rcvd rep src 10.0.1.222 c802.0764.0001, dst 10.0.1.129 FastEthernet0/1 00:01:02: IP ARP: rcvd rep src 10.0.1.222 c800.0764.0001, dst 10.0.1.129 FastEthernet0/1 R110d# 00:01:03: IP ARP: creating incomplete entry for IP address: 10.0.1.126 interface FastEthernet0/0 00:01:03: IP ARP: sent reqsrc 10.0.1.1 c801.0764.0000,dst 10.0.1.126 0000.0000.0000 FastEthernet0/0 00:01:03: IP ARP: rcvd rep src 10.0.1.126 000c.2953.c7b7, dst 10.0.1.1 FastEthernet0/0
- 6-
R110d#u all All possible debugging has been turned off R110d#sh iparp Protocol Address Age (min) Hardware Addr Internet 10.0.1.1 c801.0764.0000 Internet 10.0.1.126 1 000c.2953.c7b7 Internet 10.0.1.129 c801.0764.0001 Internet 10.0.1.189 0 0050.56c0.0008 Internet 10.0.1.222 1 c800.0764.0001 Internet 10.0.1.170 0 c802.0764.0001 Internet 10.0.1.180 0 c800.0764.0001 R110d#
Type ARPA ARPA ARPA ARPA ARPA ARPA ARPA
Interface FastEthernet0/0 FastEthernet0/0 FastEthernet0/1 FastEthernet0/1 FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
Ladministrateuraprissoindelancerunecommandedebugarp.Leprocessusdebugarpinformedeladiffusiondune requte afin de dcouvrir ladresse physique associe ladresse distante 10.0.1.222. Les deux routeurs R70d et R80d disposent chacun dune route vers ladresse objet de la requte. Chacun des deux routeurs rpond la requte ARP je suis 10.0.1.222. LeprocessusARPfaitcequil fait toujours quand il reoit une correspondance ARP:ilmetjourlacorrespondancedanslecacheARP.Danslecasprsent,lapremirerponsemanedurouteur R70detpendantuntrscourtlapsdetemps,lacorrespondanceplacedanslecacheARPdeR110dest10.0.1.222 C802.0764.0001.Maisuneseconderponseintervientpresqueimmdiatement.EllemanedeR80detprovoque unenouvellemisejourducacheARPquicontientdsormaislacorrespondance10.0.1.222C800.0764.0001. R110dremettralesprochainsdatagrammesdestinsaurseauLAN12aurouteurR80d.Ilestdommagedeconstater quecestlerouteurayantlaplusgrandelatencequidevrasechargerdefaireprogressercesdatagrammes. Un routeur qui rpond ainsi une requte ARP avec sa propre adresse MAC se comporte en Proxy ARP, comportementadoptpardfautparlIOS(ilestpossiblededsactiverleProxyARPenentrantlacommande noip proxyarpenconfigurationdinterface).Pourtrecomplet,citonslapossibilitdeffacerlecontenuducacheARPdun routeur laide de la commande clear arpcache, en mode privilgi. Comment un administrateur (chevronn) reconnatillecomportementProxyARP?EnobservantlecontenuducacheARP:unemmeadresseMACcorrespond plusieursadressesIP. En guise de conclusion, observons galement une lgre diffrence quant la distance administrative entre une routestatiqueavecadressedesautsuivantetuneroutestatiqueavecinterfacedesortie.Ladistanceadministrative pardfautduneroutestatiqueest1.Maisuneroutestatiqueavecinterfacedesortieestconsidreparlerouteur commeuneroutedirectementconnecte,routedontladistanceadministrativeest0. Une route statique avec interface de sortie vers un rseau LAN fonctionne la condition que le comportement ProxyARP du ou des routeurs suivants nait pas t dsactiv. Mais quand cette route est sollicite,lechoixdurouteursuivantoprparlemcanismeARPnestpaslepluspertinent.Onrserveradoncles routesstatiquesinterfacedesortieauxliaisonspointpoint.
- 7-
Rsolutionduneroute,larecherchercursive
Pourleprocessusderoutage,uneseulequestionmritedtrepose:quelleinterfacedesortiefautil confier ce paquet?Observezlatablederoutagecidessous: R110b#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 5 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 S 10.0.1.128/26 [1/0] via 10.0.1.226 S 10.0.1.192/27 [1/0] via 10.0.1.234 C 10.0.1.232/29 is directly connected, Serial0/1 C 10.0.1.224/30 is directly connected, Serial0/0 R110b# ImaginonsqueR110bsevoitconfierunpaquetdestinlhte10.0.1.129.Lerouteurentameunpremierbalayagede latablederoutageettrouveunesolutiondanslaroute10.0.1.128/26maishlas,cettesolutionpassepar10.0.1.226. Et voil notre routeur contraint dentamer un second balayage de la table de routage la recherche cette fois de 10.0.1.226. Le routeur trouve une route 10.0.1.224. Notez bien que cette route aurait pu mener nouveau une adressedeprochainsaut,adressequincessiteraitunbalayagesupplmentairemaisnotrerouteuraplusdechance cette fois et la route fournit linterface de sortie S0/0. Ce mcanisme de recherche qui consiste enchaner des balayages successifs de la table de routage jusqu trouver sur quelle interface acheminer le paquet est appel recherchercursive. Biensr,chaquenouvellelecturedelatablederoutagedgradeletempsdacheminementdupaquetetleprocessus deroutageestdautantplusperformantquilpeuttrouverrapidementquelleestlinterfacedesortieadquate.ce pointdevue,laroutestatiqueversuneinterfacedesortietrouveiciunejustificationsupplmentaire.
- 1-
tablissementduneroutestatiqueflottante
Voici une stratgie qui intressera certainement tous ceux pour qui la recherche de sret et de fiabilit frise lobsession.Lecontexteestlesuivant:ladministrateuraconfileremplissagedestablesderoutagedelensemblede sesrouteursauprotocolederoutageEIGRP.Maisilsouhaiteprvoirlecrashpossibledeceprocessus.Sicecrashse produit, il doit assurer une connectivit minimale entre les deux routeurs R110e et R120e. Pour ce faire, il dcide dutiliseruneroutestatique.CetteroutedoitresterinactiveentempsnormalmaisdoitsesubstituerlarouteEIGRP entempsdecrise:
Le lecteur pourra reproduire le contexte propos sous GNS3. Les trois routeurs mettent en uvre le protocole de routageEIGRP.LerseauaffectaulienentreR110eetR120enestpasprisencompteparEIGRP.Puisqueladistance administrativedunerouteEIGRPest90,laroutestatiqueatdotedunedistanceadministrativede100.Quandles routeursR110eetR120einstallentdanslatablederoutagelarouteprvueparEIGRP,cetteroutepasseparR80e. ExtraitdelaconfigurationdeR110e,laroutestatiqueestengras: R110e#sh run Building configuration... ... ! interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.128 duplex auto speed auto ! interface Serial0/0 bandwidth 2000 ip address 10.0.1.225 255.255.255.252 ! interface Serial0/1 ip address 192.168.1.1 255.255.255.0 ! routereigrp 1 network 10.0.1.0 0.0.0.255 auto-summary ! ip classless ip route 10.0.1.192 255.255.255.224 192.168.1.2 100 ip http server ! end R110e# ExtraitdelaconfigurationdeR120e: R120e#sh run Building configuration... ... !
- 1-
interface FastEthernet0/0 ip address 10.0.1.193 255.255.255.224 duplex auto speed auto ! interface Serial0/0 ip address 192.168.1.2 255.255.255.0 clock rate 64000 ! interface Serial0/1 bandwidth 2000 ip address 10.0.1.229 255.255.255.252 ! routereigrp 1 network 10.0.1.0 0.0.0.255 auto-summary ! ip classless ip route 10.0.1.0 255.255.255.128 192.168.1.1 100 ip http server ! end R120e# ExtraitdelaconfigurationdeR80e: R80e#sh run Building configuration... ... ! interface Serial0/0 bandwidth 2000 ip address 10.0.1.226 255.255.255.252 clock rate 2000000 ! interface Serial0/1 bandwidth 2000 ip address 10.0.1.230 255.255.255.252 clock rate 2000000 ! router eigrp 1 network 10.0.1.0 0.0.0.255 auto-summary ! end R80e# LatablederoutagedeR110eentempsnormal,EIGRPoprationnel: R110e#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 D 10.0.1.192/27 [90/2306560] via 10.0.1.226, 00:16:11, Serial0/0 C 10.0.1.224/30 is directly connected, Serial0/0 D 10.0.1.228/30 [90/2304000] via 10.0.1.226, 00:16:11, Serial0/0 C 192.168.1.0/24 is directly connected, Serial0/1 R110e# ReproduirelecrashdelarouteEIGRPestsimple,ilsuffitdesuspendrelerouteurR80e(sousGNS3,effectuezunclic droit sur le routeur puis slectionnez Suspendre). Plusieurs messages SYSLOG sur les consoles de R110e et R120e
- 2-
informentdelapertedunvoisin(patientezjusqultudeduprotocoleEIGRP)puisdelatombedulienserial: R110e# 00:19:54: %DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 10.0.1.226 (Serial0/0) is down: holding time expired R110e# 00:20:11: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down R110e# Une nouvelle commande sh ip route fait apparatre la route statique espre. La route statique est revenue la surface,cestuneroutestatiqueflottante: R110e#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 S 10.0.1.192/27 [100/0] via 192.168.1.2 C 192.168.1.0/24 is directly connected, Serial0/1 R110e#
- 3-
Routesrsumes
Jusquprsent,danslesdiffrentesmisesensituationproposes,nousavonsentrautantderoutesstatiquesquil y avait de rseaux de destination. lvidence, en procdant de la sorte, les tables de routage vont rapidement salourdiretavecelles,latchedesIOS.Maispuisquelacommandepermettantdtabliruneroutestatiqueadmetle masqueenparamtre,ilesttoutindiquchaquefoisquecest possible dagrgerplusieursroutesenuneseule.Le chapitre ddi au dcoupage VLSM (Variable Length Subnet Mask) de louvrage Notions de base sur les rseaux concluaitqulaconditiondadopteruneassignationdesprfixestopologique,ildevenaitpossibledagrgerlesroutes etparsuitederduirelevolumedestablesderoutage. Traitonsunexempleconcret:
Sans rsum de routes, inventorions les routes statiques ncessaires sur chacun des routeurs afin dassurer une connectivittotale. SurR110g: R110g(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.98 R110g(config)#ip route 10.0.1.228 255.255.255.252 10.0.1.98 R110g(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.98 SurR80g: R80g(config)#ip route 10.0.1.0 255.255.255.224 10.0.1.97 R80g(config)#ip route 10.0.1.32 255.255.255.224 10.0.1.97 R80g(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.229 SurR120g: R120g(config)#ip R120g(config)#ip R120g(config)#ip R120g(config)#ip route route route route 10.0.1.128 255.255.255.192 10.0.1.230 10.0.1.224 255.255.255.252 10.0.1.230 10.0.1.0 255.255.255.224 10.0.1.230 10.0.1.32 255.255.255.224 10.0.1.230
Ladministrateurenchargedecerseauaralisladivisiondelespacedadressage10.0.1.0/24laideduntableau VLSMdichotomotiquedepuislalongueurdeprfixe24jusqulalongueurdeprfixemaximale,soit30:
- 1-
Avecunteltableau,trsvisuel,lagrgationdevientunjeudenfant.R110gnabesoinqueduneseulerouteversle
- 2-
rseauSudEst: R110g(config)#ip route 10.0.1.128 255.255.255.128 10.0.1.98 R80gabesoindedeuxroutes,luneverslerseauOuest,lautreverslerseauLAN12: R80g(config)#ip route 10.0.1.0 255.255.255.192 10.0.1.97 R80g(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.229 R120genfin,abesoindedeuxroutes,luneverslerseauLAN8,lautreverslerseauNordOuest: R120g(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.230 R120g(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.230 Ainsi, de 10 routes statiques, nous sommes passs 5 routes. Attention aux consquences de ladressage topologique.Parexemple,nousavonsdciddagrgerlerseauOuest10.0.1.0/26aveclerseauaffectaulien serial 10.0.1.96/30 pour aboutir au rseau NordOuest 10.0.1.0/25. De fait, lensemble des adresses de lespace 10.0.1.0/25estplusvastequelensembleconstituparlerseauOuestadditionnaurseauduliensrie.Parmiles espacesnonutiliss,lespace10.0.1.64/27estdisponible.Maisilnestdisponiblequepourunefutureaffectationdans lespaceNordOuest.Ladministrateurquivoudraitrcuprercetespaceailleurs,devraitlimiterlagrgationaurseau Ouest etmodifierlesroutessurR120g: R120g(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.230 R120g(config)#ip route 10.0.1.0 255.255.255.192 10.0.1.230 R120g(config)#ip route 10.0.1.96 255.255.255.252 10.0.1.230 La plateforme Exploration de lacadmie propose une mthode dagrgation qui consiste chercher la plus longue correspondance de prfixe pour exprimer la route agrge. Cette mthode est trs insuffisante devant le problme pos.Imaginonsparexempledevoirexprimerlarouteagrgequimneraitauxrseaux10.0.1.0/30et10.0.1.64/30. La plus longue correspondance de prfixe est 10.0.1.0/25. Mais 10.0.1.0/25 reprsente un espace de 128 adresses alors que les deux blocs 10.0.1.0/30 et 10.0.1.64/30 nen reprsentent ensemble que 8. Ladministrateur doit absolument mesurer ltendue dadresses effectivement couverte par une route agrge sous peine de graves dconvenues.
- 3-
Routespardfaut
On se souvient que cest lIANA (Internet Assigned Numbers Authority) qui est en charge de la gestion de lespace dadressageIP.DepuisCIDR(ClasslessInterDomainRouting),lIANAasegmentlespacedadressageen256blocsde taille /8 numrots de 0/8 255/8. Chacun de ces blocs reprsente 16 millions dadresses (24 bits). Puis, lIANA dlgueladministrationdecessegmentscinqRIR(RegionalInternetRegistry)selonlacartographiesuivante:
Les adresses alloues pour lEurope sont gres par le RIPE NCC (Rseaux IP Europens Network Coordination Centre,www.ripe.net).LessegmentsdlgusparlIANAauRIPENCCsontaunombredetrente,onpeutdcouvrir quels sont ces segments en consultant le document http://www.iana.org/assignments/ipv4addressspace/. Pour un routeurdelInternetsituauxEtatsUnis,routerunpaquetverslEuroperevientdcouvrirquelepremieroctetde ladresseIPdedestinationappartientlunedestrentevaleurspossiblespourlEurope(62,7795,141,145,151, 188,193195,212,213,217). Cepetitprambuleafindeposerunequestion:quelleestlagrgationmaximaleetquelleestsareprsentation? Parexemple,lebloc128/8reprsente16millionsdadressesetestaffectlARIN.Lebloc128/7comprendlesblocs 128/8et129/8.Lebloc128/6contientlesblocs128/8,129/8,130/8et131/8.Pluslalongueurdeprfixediminueet pluslespacedadressescorrespondantestgrand.Quelssontlesprfixesdelongueur1?Ilssontaunombrededeux, lespace0/1etlespace1/1.Chacunreprsentedeuxmilliardsdadresses.Commentagrger0/1et1/1?Parlespace 0/0.Ainsi,0/0reprsentelatotalitdelespacedadressageIPv4soit4milliardsdadresses(2 32 ). Ce nestpasune reprsentation conventionnelle comme on peut le lire dans divers documents, mais bien la reprsentation CIDR de lespacetotal. Lerseau0/0estlerseautotal.Sonadresseest0.0.0.0masque0.0.0.0.
1.Routepardfautstatique
Puisquelerseau0/0reprsentelensembledesadresses,touteadressededestinationappartientcerseau.Une routequipointeverslerseau0/0estuneroutequetouslesdatagrammespeuventemprunterfautededisposer dunerouteplusspcifique.Quandlerouteurajoutecetteroutedanslatablederoutage,elleprendlenomderoute pardfaut. Une route par dfaut est toute indique quand un routeur est utilis pour connecter un rseau local au reste du monde.Eneffet,danscecas,touterequtemiseparlundeshtesdurseaulocaletdestineaurestedumonde doittransiterparcerouteur,lecheminestunique.Danslamiseensituationprcdente,lerouteurR120grpondau critrerequispourtireravantageduneroutepardfaut.Ladministrateurdcidederemplacerlesroutesstatiques agrgesparuneroutepardfaut: R120g#conf t Enter configuration commands, one per line. End with CNTL/Z. R120g(config)#no ip route 10.0.1.0 255.255.255.128 10.0.1.230 R120g(config)#no ip route 10.0.1.128 255.255.255.192 10.0.1.230 R120g(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230 R120g(config)#exit R120g# 00:05:37: %SYS-5-CONFIG_I: Configured from console by console R120g#copy run start Destination filename [startup-config]?
Building configuration... [OK] R120g#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.0.1.230 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.1.192/27 is directly connected, FastEthernet0/0 C 10.0.1.228/30 is directly connected, Serial0/1 S* 0.0.0.0/0 [1/0] via 10.0.1.230 R120g# Danslersultatdelacommande show ip route,observezlechoixoprparlerouteurpourlirelapasserellede dernierrecoursGatewayoflastresortassocieladresse10.0.1.230.Danslecasprsent,llectionestsimple puisque la seule route candidate est celle entre de faon statique. Mais le routeur peut avoir connaissance de plusieursroutespardfautapprises,pourpartieduneconfigurationstatique,pourpartiedunprotocolederoutage. Les routes candidates sont marques par une toile dans la table de routage, la passerelle de dernier recours choisieestcellecorrespondantlaroutecandidatedontladistanceadministrativeestlaplusfaible.
2.Lacommandeipdefaultgateway
LIOSproposedeuxautrescommandesenrapportavecltablissementduneroutepardfaut:ipdefaultnetwork et ip defaultgateway. Rglons de suite le cas de la commande ip defaultgateway, trs diffrente des deux commandes iprouteet ipdefaultnetwork.Ilarrivequunrouteurdoivetreconsidr,temporairement,commeun simplehte,cestdireunsystmedextrmit.Cestlecasparexemple,lorsquedanslemodeboot,ilfautcharger uneimageIOSdepuisunserveurTFTP.Quelleestladiffrenceentrelecomportementdunhteetlecomportement dun routeur ? Seul le second dispose dun processus de routage IP actif. Lhte quant lui, ne peut classer les adressesdedestinationquendeuxcatgories:interneauquelcaslepaquetpeuttreremisdirectementexterne et dans ce cas, le paquet doit tre confi la passerelle par dfaut. Cest prcisment le rle de la commande ip defaultgatewayquedeconfigurerladressedecettepasserelle. La commande ip defaultgateway permet de dfinir la passerelle par dfaut pour un routeur dont le processusderoutageIPnestpasactif.
3.Lacommandeipdefaultnetwork
Montrerlamiseen uvredelacommande ipdefaultnetworkncessiteuncontexteunpeupluslabor.Examinez latopologieproposeciaprs:
- 2-
LestroisrouteursR110h,R120hetR80hmettenten uvreunprotocolederoutage.Lobjectifestdtabliruneroute par dfaut vers le routeur FAIh sur le routeur R80h. Ladministrateur serait videmment trs satisfait de voir cette route par dfaut se propager de faon automatique sur les routeurs R110h et R120h. Le comportement des protocolesderoutagevisvisdesroutespardfautrestetudier,dautresdtailsserontfournislorsdeltude decesprotocoles. ExtraitdelaconfigurationdeR80h: ! interface Serial0/0 ip address 10.0.1.98 255.255.255.252 clock rate 64000 ! interface Serial0/1 ip address 10.0.1.230 255.255.255.252 clock rate 64000 ! interface Serial0/2 ip address 139.24.0.1 255.255.0.0 clock rate 64000 ! router rip version 2 network 10.0.0.0 default-information originate ! ip classless ip default-network 172.26.0.0 ip route 172.26.0.0 255.255.0.0 139.24.0.2 ip http server R80h#sh ip route ExtraitdelaconfigurationdeFAIh: ! interface Loopback0 ip address 172.26.41.1 255.255.0.0 ! interface FastEthernet0/0 ip address 200.200.200.1 255.255.255.0 duplex auto speed auto !
- 3-
interface Serial0/0 ip address 139.24.0.2 255.255.0.0 ! ip classless ip route 10.0.1.0 255.255.255.0 139.24.0.1 ip http server ! FAIh# LatablederoutagedeR80h: R80h#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is 139.24.0.2 to network 172.26.0.0 C S* R C R C R80h# 139.24.0.0/16 is directly connected, Serial0/2 172.26.0.0/16 [1/0] via 139.24.0.2 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks 10.0.1.0/27 [120/1] via 10.0.1.97, 00:00:25, Serial0/0 10.0.1.96/30 is directly connected, Serial0/0 10.0.1.192/27 [120/1] via 10.0.1.229, 00:00:22, Serial0/1 10.0.1.228/30 is directly connected, Serial0/1
LatablederoutagedeR110h: R110h#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is 10.0.1.98 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks C 10.0.1.0/27 is directly connected, FastEthernet0/0 C 10.0.1.96/30 is directly connected, Serial0/0 R 10.0.1.192/27 [120/2] via 10.0.1.98, 00:00:09, Serial0/0 R 10.0.1.228/30 [120/1] via 10.0.1.98, 00:00:09, Serial0/0 R* 0.0.0.0/0 [120/1] via 10.0.1.98, 00:00:09, Serial0/0 R110h# LatablederoutagedeR120h: R120h#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is 10.0.1.230 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks R 10.0.1.0/27 [120/2] via 10.0.1.230, 00:00:05, Serial0/1 R 10.0.1.96/30 [120/1] via 10.0.1.230, 00:00:05, Serial0/1 C 10.0.1.192/27 is directly connected, FastEthernet0/0 C 10.0.1.228/30 is directly connected, Serial0/1 R* 0.0.0.0/0 [120/1] via 10.0.1.230, 00:00:05, Serial0/1 R120h# LatablederoutagedeFAIh: FAIh#ship route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set C C
- 4-
200.200.200.0/24 is directly connected, FastEthernet0/0 139.24.0.0/16 is directly connected, Serial0/0

C S FAIh#
172.26.0.0/16 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 1 subnets 10.0.1.0 [1/0] via 139.24.0.1
Un point intressant est lutilisation de linterfacevirtuelle loopback sur le routeur FAIh. Cette facult de crer des interfaces virtuelles rend de nombreux services dans la configuration des routeurs CISCO. Par sa nature indpendantedesaspectsphysiques,uneinterfacevirtuelleestltatmonttantquelIOSestfonctionnel.Enlui affectantuneadresseIP,oncreuneroutedirectementconnecte.Despaquetsdestinscerseaudirectement connect seraient simplement limins par le routeur, voil un moyen de faire du filtrage peu de frais (peu de consommationderessourcesmachine).Ilestgalementfrquentdemettreenplaceuneinterfacedeloopbackpour queladresseIPaffectelinterfaceidentifielerouteur. Danslecasprsent,ladministrateursouhaitesurR80hcreruneroutepardfautvialerouteurFAIh.Pourcefaire, lacommandeipdefaultnetworkreoitenparamtreladressedurseauconnectlinterfacevirtuelledeFAIh,soit 172.16.0.0.PuisqueR80hconnatuneroutestatiqueverscerseau,ilfaitdecetterouteunecandidatepourlechoix de la passerelle de dernier recours (voir ltoile dans la table de routage de R80h). Il ny a pas dautres routes candidates,ladresse139.24.0.2devientpasserellededernierrecours.
4.Influenceduroutagesansclassesurlaroutepardfaut
Leroutageavecclasseestunhritagedupass.IPv4nauraitpaspusurvivresilesystmeavecclasseavaitt maintenudeparlapnuriedesadressesetlexplosiondestablesderoutagedesrouteursdelInternet.Cesujetfait lobjet dun expos srieux dans louvrageCisco Notions de base sur les rseaux dans la collection Certifications aux Editions ENI La couche rseau, ladressage IP. Ladoption de CIDR (Classless Inter Domain Routing) en 1996 sest traduite par la ncessit pour les constructeurs de routeurs de proposer des matriels et donc des IOS capables de contribuer au routage dans des rseaux avec classe (lexistant) et dans des rseaux sans classe (migration). LIOS CISCO est capable de fonctionner suivant les deux modes, le choix soprant laide de la commande,passeinaperuejusquici,ipclassless(observezlesextraitsdeconfigurationprcdents). Plaonsnous sur R80h et imaginons que ce routeur doive traiter un paquet dont ladresse de destination est 10.0.1.65. Cette adresse appartient au bloc 10.0.1.64/27. R80h dispose de quatre routes vers des fragments de lespace10.0.1.0/24quisont10.0.1.0/27,10.0.1.96/30,10.0.1.192/27et10.0.1.228/30.R80hnapasderoutevers 10.0.1.65,lacommande ipclasslessestactive,lerouteurdcidedefaireemprunterlaroutepardfaut,lepaquet estconfilapasserellededernierrecours. Mais si la commande no ip classless est entre, le comportement est diffrent et proche de ltrange. Puisque le routeur connat des routes vers une partie de ladresse de classe A 10.0.0.0/8, un paquet destin ladresse 10.0.1.65 est mis au rebut. Le routeur utilise la route par dfaut la condition de ne rien connatre du rseau de destination avec classe. Par exemple, un paquet destin ladresse 11.0.1.65 transiterait bien par la route par dfaut,cetteadresseappartientaurseaudeclasseA11.0.0.0dontR80hnaaucuneconnaissance.
- 5-
Partagedechargeenroutagestatique
1.Questcequelepartagedecharge?
Lepartagedecharge( Loadbalancing)consisterpartirletraficversunemmedestinationsurplusieurschemins. Unrouteurpeutautomatiquementraliserdupartagedechargelaconditiondedisposerdeplusieursroutesvers lammedestinationdanssatablederoutage. Entendonsnousbiensurlanotiondemmedestination:ilsagitdadressesdedestinationayantlemmeprfixe. Ainsi, la destination 10.0.1.0/26 nest pas identique la destination 10.0.1.0/24. La premire est plus prcise, la secondeplusagrge. Lepartagedechargepeuttrecotgaloucotingal,letermecotfaitrfrencelamtriqueassociela route:
G
cotgal:letraficestgalementrpartisurplusieursroutesdemtriquesidentiques. cotingal:letraficestrpartisurplusieursroutesdemtriquesdiffrentes.Lapartdetrafictransporte parchacunedesroutesestinversementproportionnellesamtrique(pluslamtriqueestfaible,synonyme debandepassanteleve,pluslapartdetraficabsorbestimportante).
Ilfautrappelerlecomportementdesprotocolesderoutagedanscecontexte.Paressence,unprotocolederoutage cherchedterminerlameilleureroutequisouventdevientlarouteunique,lobjectifduprotocoleestdoncunpeu en contradiction avec la recherche de rpartition de charge. RIP, OSPF et ISIS ne supportent que le partage de charge cot gal. Autrement dit, ces protocoles ninstallent plusieurs routes dans la table de routage que si ces routesontmmemtrique.EIGRPetBGPadmettentquanteuxlepartagedechargecotingal. Par principe, puisque toutes les routes statiques ont mme mtrique (mtrique nulle), le routage statique ne supporte que le partage de charge cot gal. Nous verrons un peu plus loin comment contourner ce principe et avec un peu dastuce, comment raliser un partage de charge cot ingal sur plusieurs routes statiques. Mais attention,silelecteurestconfrontunequestionportantsurcesujetdanslundesnombreuxQCMquimaillentla routeverslacertification,larponseestclaire:routesstatiquesimpliquentpartagedechargecotgal. cestade,ilfautexpliciterminimaquelspeuventtrelesdiffrentscomportementsdurouteurquidoitraliserun partage de charge. Par dfaut, le routeur adopte un comportement dit Partage par destination . Mais ladministrateurquilesouhaitepeutreveniruncomportementditPartageparpaquet.
a.PartagedechargepardestinationetFastSwitching
La cl de rpartition est fournie par ladresse de destination. Imaginons deux routes pour le mme rseau de destination.Touslesdatagrammesdestinsunepremireadressedecerseauempruntentlapremireroute, tous les datagrammes destins une seconde adresse empruntent la seconde route, tous les datagrammes destinsunetroisimeadresseempruntentnouveaulapremirerouteetainsidesuite.Cemodederpartition estappelFastSwitchingparCISCO,cestlemodedecommutationpardfaut. Plus dans le dtail, imaginons le premier paquet dun flux vers une nouvelle adresse de ce rseau pour lequel il existedeuxroutes.Lerouteurconsultesatablederoutageetdtermineuneinterfacedesortie.Ledatagramme est ensuite remis au pilote de linterface rseau afin dtre encapsul dans une nouvelle trame. Le pilote doit disposerdeladressephysiquedelinterfaceenvisvis,pasdeproblmedanslecasduneliaisonserial(WAN, point point), peuttre la ncessit de lancer une rsolution ARP dans le cas dune interface LAN. Une fois ladresse physique de destination connue, le pilote compose la trame et la transmet. Cest l que le routeur se montreintelligentenplaantdansuncache,appelonslecachedecommutationrapide,lacorrespondancequilvient de trouver @destination Interface de sortie @physique du correspondant. Les paquets suivants vers la mme destination sont identifis immdiatement grce une consultation du cache et confis directement au pilote de linterfacedesortie,cest pourquoi on peut parler de commutation rapide. La recherche dans la table de routage ainsiquelarecherchedanslecacheARPsontdevenuessuperflues. Biensr,larpartitiondechargesurlensembledescheminsnepeutsoprerdefaonquitablequesilenombre dedestinationsestsuffisant.
b.PartagedechargeparpaquetetProcessSwitching
Lalgorithme est confondant de simplicit : le premier paquet destin ce rseau objet de plusieurs routes empruntelapremireroute.Lepaquetsuivantempruntelaroutesuivanteetainsidesuitepourobtenirunpartage de charge cot gal. Mais le routeur peut aussi changer cette rpartition lorsquil faut raliser un partage de chargecotingal.Parexemple,unpaquetsurlapremireroute,deuxpaquetssurlaseconde,nouveauunsur la premire et ainsi de suite pour raliser une rpartition 1/3 2/3 ou toute autre rpartition pour sajuster au
proratadesmtriquesdechaqueroute.CISCOnommeProcessSwitchingcemodedecommutation. Dans ce mode Process Switching , pour chacun des paquets, le routeur doit consulter la table de routage, slectionneruneinterfacedesortiepuisretrouverladressephysiqueducorrespondant.Cecientranequunfluxde paquetsdestinunemmeadresseemprunteplusieursinterfacesdesortie. On peroit bien que la performance est du ct du mode de commutation Fast Switching . Mais notre souhait dansunenvironnementdidactiqueestdevoirlarpartitiondechargesoprer,cequiestpossiblelaidedune commande debug ip packet. Il faut au pralable dsactiver le mode de commutation rapide au profit du mode Process Switching , ce laide de la commande no ip routecache en configuration dinterface. Attention la commande debug ip packetquiestunpeulacommande delamortcarellecontraintlIOSaffichertousles paquets. Cette commande est quasi exclue dans un environnement de production. Dans tous les cas, ladministrateurprendragardeentrerdabordlacommande undebugall(ualldefaonabrge),cequilaplace dans lhistorique de commandes. Le peu de ressources processeur encore disponible aprs lexcution de la commande debug ip packet sera peuttre encore suffisant pour rappeler la commande u all depuis lhistorique ([Flcheenhaut]puis[Entre]).
2.Partagedechargecotgal
Nous appuierons notre propos sur le contexte suivant, nouveau ralis laide de GNS3, qui dcidment aura rendubiendesservicestantilpermetdemultiplierlesmisesensituation:
Deux routes existent qui relient R110b et R120b, lune passe par R80b, lautre est directe. On dcide dtablir les routesstatiquescorrespondantesafinderpartirlachargepourmoitisurlaroutedirecte,pourlautremoitisurla routequipasseparR80b. ExtraitdelaconfigurationdeR110b: R110b#sh run Building configuration... ... ! interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.128 duplex auto speed auto ! interface Serial0/0 ip address 10.0.1.225 255.255.255.252 noip route-cache noipmroute-cache ! interface Serial0/1 ip address 10.0.1.233 255.255.255.248
- 2-
noip route-cache noipmroute-cache ! ip classless ip route 10.0.1.128 255.255.255.192 10.0.1.226 ip route 10.0.1.192 255.255.255.224 10.0.1.226 ip route 10.0.1.192 255.255.255.224 10.0.1.234 ip http server ! ... end R110b# Ladministrateurnoubliepasdedsactiverlemodedecommutationrapidesurlesinterfacess0/0ets0/1deR110b: R110b#conf t Enter configuration commands, one per line. R110b(config)# R110b(config)#int S0/0 R110b(config-if)#no ip route-cache R110b(config-if)#int s0/1 R110b(config-if)#no ip route-cache R110b(config-if)#^Z R110b#copy run start Destination filename [startup-config]? Building configuration... [OK]
End with CNTL/Z.
La configuration de R120b est calque sur celle de R110b. Ladministrateur lance le debug ip packet puis depuis PCL110,lancelacommandepingversPCL120: R110b#undebug all All possible debugging has been turned off R110b#debug ip packet IP packet debugging is on R110b# 00:22:10: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),routed via RIB 00:22:10: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward 00:22:11: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),routed via RIB 00:22:11: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), g=10.0.1.226, len 84, forward 00:22:12: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 00:22:12: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward 00:22:13: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),routed via RIB 00:22:13: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), g=10.0.1.226, len 84, forward 00:22:14: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 00:22:14: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward 00:22:15: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),routed via RIB 00:22:15: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), g=10.0.1.226, len 84, forward 00:22:16: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 00:22:16: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward 00:22:17: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), routed via RIB 00:22:17: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),
- 3-
g=10.0.1.226, len 84, forward R110b#undebug all All possible debugging has been turned off R110b# LesrequtesICMPsontrpartiessurlesdeuxroutesdansunealternanceparfaite,CQFD.
3.Partagedechargecotingal
LaliaisondirecteentreR110betR120baunebandepassantede128Kbps.CellepassantparR80bnoffrequela moiti de cette bande soit 64 Kbps. Rpartir le dbit en tenant compte des bandes passantes effectives des deux cheminssupposequepourtroispaquets,deuxtransitentparlaroutedirecte,unseulparlarouteviaR80b.Puisque le routeur se fonde sur les routes pour rpartir le trafic, lide est de crer deux routes directes et une route seulement passant par R80b. Pour le routeur, il sagit toujours de partage de charge cot gal, mais pour ladministrateur, le trafic est effectivement rparti au prorata des bandes passantes. La question devient : Commentcrerplusieursroutessurunmmelienphysique?. Lasolutionconsisteaffecternonpasune,maisdeuxadressesIPlammeinterface.Onnechangerienlafaon dassigner la premire adresse IP laide de la commande ip address en configuration dinterface. La seconde adresse(etlessuivantessincessaire)estaffectelaidedelammecommandelaquelleonajoutelemotcl secondary.Ladministrateuraaffectlerseau10.0.1.232/29aulien serial reliantR110betR120b.Cerseau comportequatreadresses.233,.234,.235,236dontdeuxonttaffecteslinterfaces0/1deR110betdeux linterface s0/0 de R120b. Ceci permet ladministrateur de porter deux le nombre de routes statiques pointant versLAN12surR110b. VoicilesmodificationsapporteslaconfigurationdeR110b: R110b#conf t Enter configuration commands, one per line. End with CNTL/Z. R110b(config)#int s0/1 R110b(config-if)#ip address 10.0.1.235 255.255.255.248 secondary R110b(config-if)#exit R110b(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.236 R110b(config)#^Z R110b#co 02:24:49: %SYS-5-CONFIG_I: Configured from console by console R110b#copy run start Destination filename [startup-config]? Building configuration... [OK] R110b# PuiscellesapporteslaconfigurationdeR120b: R120b#conf t Enter configuration commands, one per line. End with CNTL/Z. R120b(config)#int S0/0 R120b(config-if)#ip address 10.0.1.236 255.255.255.248 secondary R120b(config-if)#exit R120b(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.235 R120b(config)#^Z R120b# 02:27:21: %SYS-5-CONFIG_I: Configured from console by console R120b#copy run start Destination filename [startup-config]? Building configuration... [OK] R120b# Uncoupd illatablederoutagedeR110bpermetdevrifierquilexistebiendsormaistroisroutesversLAN12, deuxvialeliendirectentreR110betR120b,uneviaR80b: R110b#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 5 masks
C S S
C C R110b#
10.0.1.0/25 is directly connected, FastEthernet0/0 10.0.1.128/26 [1/0] via 10.0.1.226 10.0.1.192/27 [1/0] via 10.0.1.234 [1/0] via 10.0.1.226 [1/0] via 10.0.1.236 10.0.1.232/29 is directly connected, Serial0/1 10.0.1.224/30 is directly connected, Serial0/0
DemmesurR120b: R120b#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 5 masks 10.0.1.0/25 [1/0] via 10.0.1.233 [1/0] via 10.0.1.230 [1/0] via 10.0.1.235 S 10.0.1.128/26 [1/0] via 10.0.1.30 C 10.0.1.192/27 is directly connected, FastEthernet0/0 C 10.0.1.232/29 is directly connected, Serial0/0 C 10.0.1.228/30 is directly connected, Serial0/1 R120b# S nouveau, ladministrateurlancelacommande debug ip packetpuisdepuisPCL110,lancelacommande pingvers PCL120: R110b#undebug all All possible debugging has been turned off R110b#debug ip packet IP packet debugging is on R110b# 02:34:56: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), routed via RIB 02:34:56: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), g=10.0.1.226, len 84, forward 02:34:57: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 02:34:57: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.236, len 84, forward 02:34:58: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 02:34:58: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward 02:34:59: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), routed via RIB 02:34:59: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), g=10.0.1.226, len 84, forward 02:35:00: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 02:35:00: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.236, len 84, forward 02:35:01: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 02:35:01: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward 02:35:02: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), routed via RIB 02:35:02: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0), g=10.0.1.226, len 84, forward 02:35:03: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), routed via RIB 02:35:03: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.236, len 84, forward 02:35:04: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
- 5-
routed via RIB 02:35:04: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1), g=10.0.1.234, len 84, forward R110b# Etmiracle,cettefoispourdeuxpaquetsversLAN12quiempruntentleliendirect,unseulempruntelarouteviaR80b. IlresteraitrtablirlemodedecommutationrapidesurR110betR120b. Larpartitionobtenueest1/32/3maisdautresrpartitionssontpossibleslaconditiondenepasdpassersix routesverslammedestination:1/43/41/54/52/53/51/65/6.Eneffet,lesversionsactuellesdelIOS admettentjusqusixroutesverslammedestinationenroutagestatique(quatrepardfautpourdesroutesqui seraientissuesdunprotocolederoutage,uneseulepardfautpourleprotocolederoutageBGP,chiffresquilest possibledechangerlaidedelacommande maximumpathsenmodedeconfigurationderouteur,sanstoutefois quelenombrederoutespourunemmedestinationnepuissedpassersix).
- 6-
Synthse
Lesnotionssuivantesdevraienttretrssrieusementancres:
G
Lerouteurnajouteuneroutelatablederoutagequesilaconnaissancedeltatupdusautsuivant.Si lesautsuivantnestplusjoignable(pannedurouteursuivant,problmedeliaison...),larouteestretiredela table. Desprfixesdiffrentsdonnentdesroutesdiffrentes.Parexemple,lerseau10.0.1.0/25estbieninclusdans 10.0.1.0/24. Pourtant, si loccasion est donne de dcouvrir une route vers chacun de ces prfixes, alors les deuxroutessontajouteslatablequellequesoitleurdistanceadministrative. Silexisteplusieursroutesverslammedestination(mmeprfixe),lerouteurajoutelatablelaroutedont la distance administrative est la plus faible, les autres routes sont ignores mais pas perdues. Si la route retenuevenaitdisparatre,lunedesroutesignoresjusquelpourraitsysubstituer. Pour une mme distance administrative, cestdire un mme mode dapprentissage, la route prfre est celledontlamtriqueestlaplusfaible. Uneroutestatiquedetypeadressedesautsuivantestcaractriseparunedistanceadministrativede1et unemtriquegale0. Uneroutedirectementconnecteestcaractriseparunedistanceadministrativegale0. Quand une route fournit une adresse de saut suivant, le processus de routage est contraint de balayer nouveau la table de routage. Cette recherche dite "rcursive" dans la table de routage ne prend fin que lorsquelaroutefournituneinterfacedesortie. Quanddeuxroutesoudavantageexistentverslammedestination(mmeprfixe)etsontdotesdelamme distanceadministrative,alorscesroutescoexistentdanslatablederoutage.Lerouteurrpartitletraficvers cettedestinationsurlensembledesroutes,ralisantainsiunpartagedechargecotgal.
- 1-
TP:Miseenuvredunroutagestatique
Propositiondetopologie:
1.Tche1:Conceptionduplandadressage
I
Vous tes ladministrateur du rseau cidessus et avez obtenu le prfixe 10.0.1.0/24. Dterminez la division en sousrseaux convenable afin de satisfaire les besoins des rseaux LAN11, LAN8 et LAN12 dans cet ordre. Pour chaquerseau,affectezlapremireadressedisponiblelinterfacedurouteur,ladernireadressedisponibleau PC de test. Dans le cas particulier du rseau LAN8, affectez lavantdernire adresse disponible ladaptateur virtuelquiquipelePChte. UnefoislaffectationdadressesralisepourlestroisrseauxLAN8,LAN11etLAN12,affectezlepremierespace disponibleetsuffisantlaliaisonWANsparantR80etR110.AffectezlapremireadresseaurouteurR110. Affectez lespace disponible et suffisant suivant la liaison WAN sparant R80 et R120. Affectez la premire adresseaurouteurR120. Compltezletableaudedocumentationdesadressesciaprs:
Affectation
Rseau
Premireadresse
Dernireadresse
Adressede diffusion
LAN11 LAN8 LAN12 WANR80R110 WANR80R120
- 1-
Compltezletableaudedocumentationdesinterfacesciaprs:
Equipement R80 F0/0 S0/0 S0/1 R110 F0/0 S0/0 R120 F0/0 S0/1 PCL80 PCL110 PCL120 PCHte
Interface
AdresseIP
Masque
Passerelle
2.Tche2:RalisationdelatopologiesousGNS3
I
NousvoussupposonsdjfamilierdelutilisationdeGNS3.Danslecascontraire,reportezvouslatelierPrise enmaindelinterfaceILC. CrezlatopologiesousGNS3.Placezvostroisrouteurs.LavaleurIDLEPCdesrouteursadjtcalcule,inutile dyrevenir.ConfigurezchaquerouteurafinquildisposedeportsWAN.Silaplateformeutiliseestcelledu2600, ajoutez la carte WIC2T. Placez les trois PC Nuage et configurezles afin que chacun deux soit connect ladaptateur rseau convenable et donc au concentrateur VMnet convenable. tablissez les liens LAN et WAN. Nommez les diffrents quipements afin de reflter la topologie propose. Sauvegardez la topologie sous Atelier4.net. Dmarrezchacundestroisrouteurs. OuvrezunesecondeinstancedeVMwareetavecelle,crezunequipedetroisPCPC80,PC110etPC120.PC80 estobtenuparclonagesanslien(option createafullclone)delamachineUbuntufourniesurlesitedesEditions ENI.PC110etPC120sontobtenusparcloneaveclien(option linkedclone)dePC80.Nommezcettequipe3PCL, faites en sorte que ladaptateur rseau virtuel de chacune des machines soit connect au concentrateur VMnet convenable, respectivement VMnet8, VMnet1 et VMnet2. Dmarrez lquipe puis rglez chacune des trois configurationsIP.
3.Tche3:Configurationminimaledesrouteurs
I
Effectuez un clic droit sur R80 et slectionnez Console. Prenez garde bien dslectionner R80 avant de slectionnerR110etdelancerlaconsolecorrespondante.RenouvelezloprationavecR120.Aufinal,vousdevez disposerdestroisconsolesoprationnelles. laidedelasessionconsoleouvertesurR80,saisissezlaconfigurationsuivante:
- 2-
laidedelasessionconsoleouvertesurR110,saisissezlaconfigurationsuivante:
laidedelasessionconsoleouvertesurR120,saisissezlaconfigurationsuivante:
4.Tche4:GestiondesconnexionsTelnet
La configuration entre dans chacun des routeurs est suffisante pour pouvoir prendre la main distance laide dune session Telnet. Ladministrateur satisfait peut rejoindre le confort douillet de son bureau et entamer une configuration plus srieuse distance. En effet, pendant latelier Prise en main de linterfaceILC , nous avons ajout la machine hte un adaptateur rseau virtuel plac sur le concentrateur VMnet8. Il suffit dattribuer cet adaptateuruneadresseIPdurseauLAN8pourquuneconnexionTelnetdepuislamachinehtesurlerouteurR80 deviennepossible.Enrsum,lePChtejoueralerledelastationdeladministrateur.
ConfigurezladaptateurNIC8delamachinehte:
Ouimais...Aucunroutagenatconfiguretlaseuleconnexionpossibledepuislepostedeladministrateur(dansle cas prsent la machine hte) lest sur le routeur R80 via VMnet8. Dans ces conditions, estil possible douvrir une sessionTelnetsurR110etR120?R80connatlerseaudirectementconnectcorrespondantaulienWANjusqu R110.DonclespaquetsremisparlePChteetdestinsR110vontaboutir.Cestleretourquiestimpossiblecar R110etR120nedisposentpasencorederouteverslerseauLAN8.Quefaitladministrateurastucieux?Ilouvre une session Telnet sur R80, puis depuis cette session ouvre deux autres sessions Telnet vers R110 et R120 (les professionelsparlentderebond.R80accessibleapermisderebondirsurR110etR120): Le problme consiste alors naviguer entre les sessions ouvertes sans se perdre. La seule information non sollicite est linvite de commandes qui, si la commande hostname a t entre, permet de savoir quelle est la sessionaffiche,maisriendeplus.
I
Depuislamachinehte,ouvrezunesessionTelnetsurR80.Depuiscettesession,ouvrezunesessionsurR110:
Attention,lasessionencourssurR80nestpasferme.CestellequihbergelasessionsurR110,cequelinvitede commande ne rappelle pas. Comment revenir la session sur R80 ? Une premire solution consiste simplement mettrefinlasessionsurR110:
Mais ladministrateur prfrera sans doute laisser la session ouverte et basculer dune session lautre selon les besoins.Ilexisteunesquencedchappementprvuepourrevenirdelasessionhbergelasessionhtesans mettrefinlasessionhberge.Ilsagitdelacombinaisondetouches[Ctrl][Flcheenhaut]6(pressezensemble les trois touches) suivie de la touche X. En ralit, la squence [Ctrl][Flche en haut] 6 provoque lmission du caractre0x1EdelatableASCII,appelRecordSeparator(RS).LasquencecomposeducaractreRSassoci au caractre x est reprsente par ^^x. Mais parce quil nest jamais commode de frapper trois touches simultanment,parcequgalementilpeutsavrerdifficiledefaireparvenircettesquencejusquaurouteurselonle
clavier(QWERTYouAZERTY)oulelogicielclientutilis,ilpeuttreutiledechangerlasquencedchappementpar dfaut.
I
OuvreznouveauunesessionTelnetsurR80,passezenmodeprivilgi,entrezlacommandeshowterminalafin de vrifier la squence dchappement en cours, entrez la commande terminal escapecharacter 033 afin de remplacer la combinaison [Ctrl][Flche en haut] 6 par la simple touche [Echap]. Provoquez nouveau une commandeshowterminalpourvrifierlanouvellesquencedchappement:
LacommandeTerminalnestpasunecommandedeconfigurationpuisquelleestentreenmodeprivilgi.Soneffet disparat avec la fin de la session en cours. Il est galement possible dentrer la commande escapecharacter en modedeconfigurationdeligne,soneffetestalorsdfinitifpourtoutesessionouvertedepuislaligneenquestion. CestanecdotiquemaisonpeutnoterquelacommandeadmetenparamtrelecodeASCIIducaractrechoisiquil soitexprimendcimalouenoctaldanslaconventionIntel(lenombreestprcddunzro):
OuvrezunesessionTelnetsurR80puispartirdecettesession,ouvrezdeuxsessionssurR110etR120.Utilisez lasquencedchappementpourrevenirlasessionhte:
- 5-
laidedelacommande where,quivalenteunecommande showsessions,inventoriezlessessionsencours. Observez que chaque session est associe un numro dordre.Cest ce numro quil faut entrer en invite de commande de la session hte pour afficher nouveau la session hberge correspondante. Ladministrateur mticuleuxpeutallerjusqunommerunesessionlaidedelacommande nameconnection,commandetaper sansargument.Eneffet,cettecommandeprovoqueunprocessusinvitantlutilisateurentrerdabordlenumro delasessionquildsirenommer,puislenomquilsouhaiteattribuer.Ainsi,danslexemplecidessus,lessessions 1et2ontrespectivementtnommesR110etR120.
ParmilesmultiplestchesaccompliesparlIOS,lunedellesintresseparticulirementladministrateurparcequelle luipermetdedcouvriroumieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdu rseau. Il sagit de lactivit de journalisation des vnements. En la matire, CISCO comme une majorit de constructeursseconformeauprotocoleSYSLOGnormalisdansleRFC5424.Pardfaut,lamanifestationdeSYSLOG surunrouteurselimitelmissiondesmessagesdvnementsversleportconsole.Queladministrateuraucours desontravaildepuislaconsolenapastagacparlarriveimpromptuedecesmessagesquiviennentperturber lasaisieencours?Problmefacilersoudredailleurs,carilexisteunecommandedeconfigurationdelignelogging synchronous qui peut tre applique la console ainsi quaux lignes vty et qui modifie le comportement de lIOS quand il envoie un message : si une commande est en cours de saisie, alors lIOS raffiche le contenu de la ligne saisie dans ltat o elle se trouvait immdiatement avant lenvoi du message. Dautres dtails sont fournis au chapitreAdministrationetscuritsectionJournalisation,leprotocoleSYSLOG. Par dfaut, lIOSenvoielensembledesmessagessurleportconsole,cequicorrespondlacommande console logging . Depuis le mode privilgi, la commande Terminal monitor provoque laffichage des messages SYSLOG, messagesdebugcompris,surlasessionencours.Cettecommandeestutilepourobtenirlesmessagesdepuisune sessionouverteviaunelignevty.Puisquilnesagitpasdunecommandedeconfiguration,cettecommandenestpas mmoriseetsoneffetcesselorsquelasessionprendfin(ceciestvraipourtouteslescommandesTerminal).
I
La session Telnet est toujours ouverte sur R80. Entrez la commande terminal monitorpuisvrifiezsoneffeten provoquantunmessagedeconsole:
Passezenconfigurationdinterface sur linterfaceEthernetf0/1deR80jusquicinonutilise.Configurezladresse IPpuisentrezlacommande noshutdownetsansattendre,tentezdentrerlacommande description.Constatez leffet dsastreux de larrive impromptue dun message SYSLOG. Replacez linterface dans ltat shutdown. En configurationdelignevty,entrezlacommandeloggingsynchronous.Revenezlaconfigurationdelinterfacef0/1, entrez nouveau la commande no shutdown et nouveau sans attendre, tentez dentrer la commande description.CerteslemessageSYSLOGarriveencoremaiscettefoissansinconvnientpourlasaisieencours:
- 6-
Nous sommes prsent plutt bien outills pour grer nos sessions Telnet. Reste cependant un problme. Au moindre petit temps mort dans notre activit (dix minutes par dfaut), voil la session ferme par lIOS. Dans un environnement de production, cette mesure de scurit se justifie pleinement. Mais dans notre environnement didactique, que de temps perdu ouvrir des sessions. Ce problme est facilement lev grce la commande de configuration de ligne exectimeout. Cette commande dfinit le dlai dattente maximal de linterprteur de commandes EXEC jusqu dtection dune entre quelconque de lutilisateur. Parvenu ce dlai, la session est interrompue.Lasyntaxeestlasuivante: Router(config-line)#exec-timeout minutes [secondes] Pourdsactivertouttemporisateurdinterruptiondesession,ilsuffitdesaisirlacommande: Router(config-line)#exec-timeout 0 0 Ajoutez la ligne de commande exectimeout 0 0auxlignesconsoleetvtydechacundesrouteursR80,R110et R120.PourR80:
5.Tche5:Miseenuvredelacommandedebugiprouting
La commande debug ip routing permet de suivre en temps rel lvolution de la table de routage. Chaque route ajoute,modifieousupprimefaitlobjetdunmessageSYSLOGdebug.Puisquenousnousapprtonsintroduire desroutes,cettecommandepeutfortproposconfirmerleffetdescommandesentres. Rappel:lacommandeundebugallounodebugalldsactivetouteslescommandesdebugquiseraienten cours de traitement. Une mesure sage consiste entrer cette commande de faon systmatique avant dentrer une quelconque commande debug. La commande undebug all se trouve alors dans lhistorique de commandes et il suffit dune action sur la touche [Flche en haut] puis de valider par la touche [Entre] pour la provoquer. Ladministrateur peut ainsi esprer arrter une commande debug malheureuse mme avec un processeurnoy.
OteztoutecommandedeconfigurationdesinterfacesS0/0etS0/1durouteurR80.lexceptiondelacommande shutdown,utilisezlaformenodescommandes(exemple:noipaddress). SurR80,saisissezlacommandedebugiprouting:
R80#debug ip routing
- 7-
IP routing debugging is on R80# PassezenconfigurationdinterfaceetconfigurezladresseIPdelinterfaceS0/0:
R80#conf t Enter configuration commands, one per line. End with CNTL/Z. R80(config)#int s0/0 R80(config-if)#ip address 10.0.1.226 255.255.255.252 R80(config-if)# 00:53:42: is_up: 0 state: 6 sub state: 1 line: 0 00:53:42: is_up: 0 state: 6 sub state: 1 line: 0 R80(config-if)# Ds validation par la touche [Entre], SYSLOG signale la prsence dune nouvelle route mais cette route na pas encoretplaceentablederoutage.
I
Introduisezlacommandeclockrate64000(cetteinterfaceestctDCE)puislacommandenoshutdown:
R80(config-if)#clockrate 64000 R80(config-if)#no shutdown R80(config-if)# 01:03:32: is_up: 0 state: 4 sub state: 1 line: 0 R80(config-if)# 01:03:34: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up R80(config-if)# 01:03:34: is_up: 1 state: 4 sub state: 1 line: 0 01:03:34: RT: network 10.0.0.0 is now variably masked 01:03:34: RT: add 10.0.1.224/30 via 0.0.0.0, connected metric [0/0] 01:03:34: RT: interface Serial0/0 added to routing table 01:03:34: is_up: 1 state: 4 sub state: 1 line: 0 01:03:35: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up R80(config-if)# 01:03:35: is_up: 1 state: 4 sub state: 1 line: 0 R80(config-if)# Latablederoutagecomportedsormaisuneroutesupplmentaire,cequeconfirmelapartieengrasdesmessages SYSLOG cidessus. Quand cela ne se produit pas, ladministrateur troque sa casquette dadministrateur pour une casquette denquteur, ce qui nest pas sans intrt. Lauteur conseille de raisonner par couche (attention : les rflexions ciaprs sappliquent un environnement physique, certaines sont donc sans objet dans notre environnementGNS3): Que fautil pour que la liaison puisse stablir en couche 1 ? Une connectivit physique fonctionnelle ce dont ladministrateurenquteurpeutsassurerenvrifiantlespointssuivants:
G
Estcebienlinterfaces0/0quiatcble? Yatilunquipementfonctionnelenvisvis?(lesdeuxinterfacesenvisvisnepeuventquemonter ensemble.Siluneestdown,lautrenepeuttrequedown).PouruneliaisonLAN,linterfaceenvis visestcertainementunportdecommutateur:ceportestilbienactif?PouruneliaisonWAN,linterfaceWAN envisvisatelledjtconfigure?
Une interface WAN convenablement cble puis convenablement configure nimplique pas ncessairement lajoutduneroutelatablederoutage.Cenestlecasquesilexisteenvisvisuneinterfacegalement cbleetconfigure.
Quedisentlesvoyantsdeliaison? Dansunenvironnementdidactique,uneliaisonWANestraliselaidededeuxcblesrelisensemble,lun DTE,lautreDCE.LacommandeclockrateatellebiententrectDCE?
Quefautilpourquelaliaisonpuissestablirencouche2?Unprotocoledecouche2identiquedepartetdautrede
- 8-
laliaisoncequiamnedenouvellesquestions:
G
Danslecasdune liaison LAN, le problme ne se pose pas (ou plus) sauf cas dcoleetdoncconfiguration exotique. Estce quil viendrait lide dun administrateur srieux de forcer le mode full duplex alors que lquipement en visvis est un concentrateur, cestdire un quipement fondamentalement halfduplex (CSMA/CD) ? Dans un environnement commut, on profite aujourdhui des avances dEthernet dont lauto ngociation et lauto MDI/MDIX qui doivent aboutir la monte du niveau 2 (si ncessaire, se reporter louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI). DanslecasduneliaisonWAN,pardfaut,lIOSfaitlechoixduneencapsulationHDLC.Limportantestque lencapsulationsoitrgledefaonidentiquechaqueextrmitdelaliaison.Estcelecas?
R80(config-if)#encapsulation ? atm-dxi ATM-DXI encapsulation bstun Block Serial tunneling (BSTUN) frame-relay Frame Relay networks hdlc Serial HDLC synchronous lapb LAPB (X.25 Level 2) ppp Point-to-Point protocol sdlc SDLC sdlc-primary SDLC (primary) sdlc-secondary SDLC (secondary) smds Switched Megabit Data Service (SMDS) stun Serial tunneling (STUN) x25 X.25 R80(config-if)# Vousavezvrifilensembledecespointsetlinterfaces0/0nesttoujourspasmonte?Sansrire,ilfautycroireun peu!
I
RptezsurlinterfaceS0/1lesoprationsralisespourlinterfaceS0/0:
R80(config-if)#int s0/1 R80(config-if)#ip address 10.0.1.230 255.255.255.252 R80(config-if)# 01:52:38: is_up: 0 state: 6 sub state: 1 line: 0 01:52:38: is_up: 0 state: 6 sub state: 1 line: 0 R80(config-if)#clockrate 64000 R80(config-if)#no shutdown R80(config-if)# 01:52:58: is_up: 0 state: 4 sub state: 1 line: 0 01:53:00: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up R80(config-if)# 01:53:00: is_up: 1 state: 4 sub state: 1 line: 0 01:53:00: RT: add 10.0.1.228/30 via 0.0.0.0, connected metric [0/0] 01:53:00: RT: interface Serial0/1 added to routing table 01:53:00: is_up: 1 state: 4 sub state: 1 line: 0 01:53:01: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up R80(config-if)# 01:53:01: is_up: 1 state: 4 sub state: 1 line: 0 R80(config-if)# Ilesttempsdevrifierltatdelatablederoutage.
I
Dsactivezlemodedebugiproutingpuisutilisezlacommandeshowiproute:
R80(config-if)#^Z R80# 01:56:44: %SYS-5-CONFIG_I: Configured from console by vty1 (10.0.1.189) R80#copy run start Destination filename [startup-config]? Building configuration... [OK] R80#undebug all
- 9-
All possible debugging has been turned off R80#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, C 10.0.1.128/26 is directly C 10.0.1.224/30 is directly C 10.0.1.228/30 is directly R80# 3 subnets, connected, connected, connected, 2 masks FastEthernet0/0 Serial0/0 Serial0/1
PuisqueR80disposedetroisinterfaces,ilestnormaldetrouvertroisroutesdirectementconnectesdanslatablede routage,routesquelerouteuraapprisesdepuislaconfigurationdesinterfaces.
I
OuvrezunesessionsurR110puisvisualisezsatablederoutage.RptezloprationpourR120:
PourR110: User Access Verification Password: R80>en Password: R80#terminal escape-character 033 "^[" is the escape character R80#telnet 10.0.1.225 Trying 10.0.1.225 ... Open User Access Verification Password: R110>ship route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 C 10.0.1.224/30 is directly connected, Serial0/0 R110> PourR120: R110#exit [Connection to 10.0.1.225 closed by foreign host] R80#telnet 10.0.1.229 Trying 10.0.1.229 ... Open User Access Verification Password: R120>ship route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.1.192/27 is directly connected, FastEthernet0/0 C 10.0.1.228/30 is directly connected, Serial0/1 R120>
- 10 -
6.Testsdeconnectivitentrequipementsadjacents
Plusriennesopposecequenoustestionslaconnectivitentrequipementsadjacents.Cecicomprendletestde connectivit entre chaque PC et la passerelle correspondante puis le test entre les routeurs pris deux deux. Naturellement,sivoustesdjparvenuprendrelamainsurR80laidedunesessionTelnetpuisprendrela main sur R110 et R120 laide de sessions Telnet ouvertes depuis R80, la connectivit est dj assure sur un certainnombredeliens.Enformedesynthsedonc: 1.DepuisPC80,tentezunerequtepingverssapasserellepardfaut10.0.1.129. 2.DepuisPC110,tentezunerequtepingverssapasserellepardfaut10.0.1.1. 3.DepuisPC120,tentezunerequtepingverssapasserellepardfaut10.0.1.193. Pour mmoire, si vous avez adopt les machines Linux en ligne de commande, la commande ping provoque une successionnoninterrompuederequtespinglaquelleladministrateurpeutmettrefinlaidedelacombinaisonde touches[Ctrl]C.AutrespcificitVMwarecettefois:reprendrelefocusdunefentredePCLinuxafindafficherune autrefentrencessitelafrappedelacombinaison[Ctrl][Alt].
Depuis chacun la console de chacun des trois routeurs, tentez une requte ping vers chacun des deux autres routeurs.ExempledepuisR80:
- 11 -
Si cela ne se passe pas aussi bien que dans les captures cidessus, voil ladministrateurnouveauengagdans uneprocdurededpannageetlesquestionsseposersonttoujourslesmmes. Dansunesituationrelle:
G
ChaquePCestilbienphysiquementraccordaurouteurcorrespondant? Lesvoyantsassocisauxdiffrentsportsrefltentilsuntatdelientabli(selonlescas,voyantsLINKou CONN).Lesvoyantsdactivitclignotentils? LaconfigurationIPdesPCestelleconformelaconfigurationprvuedansletableaudedocumentationdes interfaces?
DansunesituationmulesousGNS3:
G
ChaquenuagedeGNS3estilconnectladaptateurrseauconvenableetdoncconnectauconcentrateur VMnetconvenable? Chaque adaptateur rseau virtuel de chacun des PC de test estil connect au concentrateur VMnet convenable?
Dans cette situation, la commande utile sur un routeur est sans doute show ip interface brief que lon pourra abrgerenshipintbr.Pourchacunedesinterfaces,cettecommandefournitltatupoudownlafoispour lacouchephysiqueetpourlacoucheliaison.Ltatadministrativelydownestaffichlorsquilexisteunecommande shutdowndanslaconfigurationdelinterface:
7.Testsdeconnectivitentrequipementsnonadjacents
I
DepuischacundesPCdetest,tentezunerequtepingverschacundesdeuxautresPC.
Aucune de ces requtes naboutit ! Estce normal ? Oui, rassurezvous. Chaque routeur ne connat que les routes directement connectes. R80 ne connat pas lexistence des rseaux LAN11 et LAN12, R110 ne connat pas les rseauxLAN8etLAN12,enfinR120neconnatpaslesrseauxLAN8etLAN11.
8.Introductionderoutesstatiques
a.Routesstatiquesavecadressedesautsuivant
Nousutiliseronscetteformedelacommande:
Router(config)# ip route @destination masque @saut_suivant Le choix du masque conditionne le niveau dagrgation. Par exemple, 10.0.1.0/24 englobe lensemble de notre topologiedontlesrseauxLAN8,LAN11etLAN12.Alorsque10.0.1.0/25nereprsentequeLAN11.
I
SurR110,introduisezuneroutestatiqueverslerseauLAN8enutilisantladressedesautsuivant:
R110#conf t Enter configuration commands, one per line. End with CNTL/Z. R110(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.226 R110(config)#^Z R110#copy run start Destination filename [startup-config]? Building configuration... [OK] SurR110,provoquezunecommandeshowiprouteetobservezlarouteajoute.Remarquezquecetterouteest prcdedelalettreSquirappellequilsagitduneroutestatique:
R110#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks C 10.0.1.0/25 is directly connected, FastEthernet0/0 S 10.0.1.128/26 [1/0] via 10.0.1.226 C 10.0.1.224/30 is directly connected, Serial0/0 R110# Dsormais,touslespaquetsquiparviennentR110etdontles26bitsdepoidsfortdeladresseIPdedestination correspondent aux 26 bits de poids fort du rseau 10.0.1.128 seront transfrs vers R80 via son interface 10.0.1.226.Pourcefaire,R110utilisesoninterfaces0/0. LetableaucidessousimaginequelquespaquetsparvenusR110.Pourchacundespaquets,indiquezcommentse comporteralerouteur.Vatiltransfrerourejeter?Quelleestlinterfaceutilisequandiltransfre? Paquet 1 2 3 4 5 AdresseIPdedestination 10.0.1.229 10.0.1.190 10.0.1.226 10.0.1.222 10.0.1.126 RejetouTransfert? Interfacedesortie
IlnesuffitpasquelerouteurR110transfreunpaquetversunedestinationpourlaquelleildisposeduneroute pourquecepaquetparviennencessairementsadestinationfinale.
I
Sicenestdjfait,installezWiresharksurlamachinehtepuisprovoquezunecapturesurladaptateurvirtuel installsurlamachinehte,connectVMnet8etquenousavionsnommdansunprcdentatelierNIC8. RevenezPCL110etlancezlacommandepingsurlhte10.0.1.188. Aprs une succession suffisante de requtes, arrtez la commande ping sur PCL110 puis cessez la capture de Wireshark.
LacaptureestdisponibleentlchargementsurlesiteENI:cap_2D_01.pcap
- 13 -
Lhte 10.0.1.188 sil existe, appartient au rseau LAN8. PCL110 remet la requte sa passerelle. R110 dispose dunerouteverslerseauLAN8(laroutestatiquequenousvenonsdintroduire)ettransfrelepaquetR80. sontour,R80disposeduneroutedirectementconnecteLAN8maispourtransfrerlepaquet,ladresseMACdu destinataire 10.0.1.188 lui est ncessaire. R80 ne trouve pas cette adresse dans son cache ARP et diffuse une requteARPwhohas10.0.1.188?Tell10.0.1.129.Ilnobtientvidemmentpasderponse.Ceprocessusest rptpourchaquerequteICMPenprovenancedePCL110.CeciexpliquelarptitiondesdiffusionsARPdansla capture(trames1,3,4,5,6,8...).
I
Revenez PCL110 et lancez la commande ping vers PCL80. Revenez au PC hte et relancez une capture Wireshark sur ladaptateur virtuel connect VMnet8. Aprs un nombre suffisant de requtes, arrtez la commandepingsurPCL110etcessezlacaptureWireshark.
LacaptureestdisponibleentlchargementsurlesiteENI:cap_2D_02.pcap CettefoisledestinataireexisteetpourtantPCL110nobtientpasderponseICMPsesrequtesICMP.Chaque requteestbientransfreparR110R80,puisparR80PCL80(trames1,4,8,11,14...delacapture).Chaque requteprovoqueunerponsedePCL80(trames2,5,9,12,15...).Maiscetterponseestdestine10.0.1.126 quiappartientaurseauLAN11.R80nedisposepasderouteverscerseauetragitentransmettantPCL80un paquetICMPDestinationunreachable(trames3,6,10,13,16...delacapture).

I
SurR80,introduisezuneroutestatiqueverslerseauLAN11enutilisantladressedesautsuivant:
R80#conf t Enter configuration commands, one per line. End with CNTL/Z. R80(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.225 R80(config)#^Z R80#copy run start Destination filename [startup-config]? Building configuration... [OK] R80# SurR80,provoquezunecommande showiprouteetobservezlarouteajoute.Remarquezquecetterouteest prcdedelalettreSquirappellequilsagitduneroutestatique:
R80#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks 10.0.1.0/25 [1/0] via 10.0.1.225 10.0.1.128/26 is directly connected, FastEthernet0/0 10.0.1.224/30 is directly connected, Serial0/0 10.0.1.228/30 is directly connected, Serial0/1
S C C C R80#
RevenezPCL110etlancezlacommandepingversPCL80.Aprsunnombresuffisantderequtes,arrtezla commandepingsurPCL110.
Lesrequtesdoiventrussir.
b.Routestatiqueavecinterfacedesortie
Cettesecondepartiedatelierestmoinsguidedessein.Lelecteuracertainementhtedtreautonome.Alors, jetonsnousleau.
I
SurlaconsoledeR80,tentezunecommandepingversPCL120.
Cettecommandedoitchouer,R80nedisposantpasderouteverslerseauLAN12.
I
SurR80,ajoutezuneroutestatiquedetypeinterfacedesortieverslerseauLAN12.
- 14 -
R80#conf t Enter configuration commands, one per line. End with CNTL/Z. R80(config)#ip route 10.0.1.192 255.255.255.224 s0/1 R80(config)#^Z R80# 00:09:49: %SYS-5-CONFIG_I: Configured from console by console R80#copy run start Destination filename [startup-config]? Building configuration... [OK] R80# SurlaconsoledeR80,tenteznouveauunecommandepingversPCL120.
R80#ping 10.0.1.222 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/66/108 ms R80# Ladministrateur souhaite vrifier la connectivit de PCL80 PCL120 sans se dplacer, cestdire en restant devantlaconsoledeR80.
I
SurlaconsoledeR80,utilisezunecommandepingtendueafindevrifierlaconnectivitdePCL80PCL120.
R80#ping 10.0.1.222 source 10.0.1.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.129 ..... Success rate is 0 percent (0/5) R80# LacommandechoueparcequeR120neconnatpasderouteverslerseauLAN8.
I
SansvousdplacersurlaconsoledeR120,enrestantsurR80donc,ouvrezunesessionTelnetsurR120puis ajoutezuneroutestatiquepardfautdetypeadressedesautsuivant.FermezlasessionTelnetafinderevenir lasessionconsolesurR80:
R80#telnet 10.0.1.229 Trying 10.0.1.229 ... Open User Access Verification Password: R120>en Password: R120#conf t Enter configuration commands, one per line. End with CNTL/Z. R120(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230 R120(config)#^Z R120#copy run start Destination filename [startup-config]? Building configuration... [OK] R120#exit [Connection to 10.0.1.229 closed by foreign host] R80# SurlaconsoledeR80,utiliseznouveauunecommandepingtendueafindevrifierlaconnectivitdePCL80 PCL120:
- 15 -
R80#ping 10.0.1.222 source 10.0.1.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.129 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/426/1840 ms R80# LesrequtesICMPobtiennentleursrponses.Bravo,vousnignorezplusgrandchoseduroutagestatiqueetavez encoreprogressdanslemaniementdelinterfaceILCetdescommandesdelIOS.
- 16 -
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Quelleinformationeststockedanslatablederoutage? 2 Quellecommandeestutilisepourvisualiserlatablederoutage? 3 Quelleestlasignificationdesdeuxnombresencadrsdecrochets[X/Y]associschaqueroutenon directementconnecte? 4 Quefautilpenserdunetablederoutagequidclarequunrseauestdivisdefaonvariable( variably subnetted)? 5 Ladministrateurdcidedtabliruneroutestatiquedetypeinterfacedesortieenlieuetplaceduneroute statiquedetypeadressedesautsuivant.Commentcettemodificationestelleperceptibledanslatablede routage? 6 Quellesconditionsdoiventtresatisfaitespourquuneroutedirectementconnecteapparaissedanslatable deroutage? 7 Questcequunerouteagrgeetquelleestsonutilit? 8 Quelleestladiffrenceentrepartagedechargecotgaletpartagedechargecotingal? 9 Questcequeladistanceadministrative? 10 Estilpossibledagrgerlesrseaux10.0.8.0/22et10.0.12.0/22?Sioui,quelestlerseaursultant? 11 Questcequuneroutestatiqueflottante? 12 Questcequunerecherchederoutercursive? 13 Quelleestlaconsquencedumodedecommutationchoisi(parmilesmodesFastSwitchingetProcess Switching)surlafaondontseraliselepartagedecharge? 14 Proposezlacommandepermettantdtabliruneroutestatiqueverslerseau10.0.1.192/27vialeprochain saut10.0.1.226. 15 Quelmasquefautilutiliserpourtabliruneroutepardfaut?
2.Rsultats
3.Rponses
1 Quelleinformationeststockedanslatablederoutage? Latablederoutagecontientdesroutes.Chaquerouteinclutunedestinationainsiquuneadressedeprochainsautou lindicationduneroutedirectementconnecte. 2 Quellecommandeestutilisepourvisualiserlatablederoutage? Lacommande showiproutequelonpeutabrgerenshiproute.Retenonsquilestpossibledaffinerlarecherche dans une table de routage. Exemple : sh ip route connected permet de ne visualiser que les routes directement connectesshiproute10.0.1.222quandilfautvrifiersilexisteunerouteverscethte. 3 Quelleestlasignificationdesdeuxnombresencadrsdecrochets[X/Y]associschaqueroutenon directementconnecte? Lepremiernombreestladistanceadministrativequicaractriselemodedapprentissagedelaroute,parexemple90 pourunerouteissueduprotocolederoutageEIGRP.Lesecondnombreestlamtriqueassocielaroute. 4 Quefautilpenserdunetablederoutagequidclarequunrseauestdivisdefaonvariable( variably subnetted)?
- 1-
Cettementionestfourniechaquefoisquelerouteurconnatplusieursroutesavecplusieurslongueursdeprfixepour unmmerseaumajeur. 5 Ladministrateurdcidedtabliruneroutestatiquedetypeinterfacedesortieenlieuetplaceduneroute statiquedetypeadressedesautsuivant.Commentcettemodificationestelleperceptibledanslatablede routage? Une route statique qui pointe vers une interface de sortie apparat comme directement connecte dans la table de routage. 6 Quellesconditionsdoiventtresatisfaitespourquuneroutedirectementconnecteapparaissedanslatable deroutage? Linterfacecorrespondantedoittreactivecequisupposequelinterfacedelquipementenvisvislesoitgalement. Deplus,leprotocoledelignedoittreoprationnelcequisupposequeleprotocolechoisisoitlemmesurlesdeux interfacesdesdeuxquipementsenvisvis. 7 Questcequunerouteagrgeetquelleestsonutilit? Une route agrge (summary route) est une route vers un prfixe regroupant plusieurs prfixes de longueur suprieure.CestlemoyenderduirelenombrederoutesconfigurerdansunrouteuretparsuitelachargedelIOS (consommationmmoireetCPU). 8 Quelleestladiffrenceentrepartagedechargecotgaletpartagedechargecotingal? Le partage de charge peut tre cot gal ou cot ingal, le terme cot fait rfrence la mtrique associe la route:
G
cotgal:letraficestgalementrpartisurplusieursroutesdemtriquesidentiques. cotingal:letraficestrpartisurplusieursroutesdemtriquesdiffrentes.Lapartdetrafictransportepar chacunedesroutesestinversementproportionnellesamtrique(pluslamtriqueestfaible(synonymedebande passanteleve)pluslapartdetraficabsorbestimportante).
9 Questcequeladistanceadministrative? Cest le degr de confiance accord par lIOS une route selon le mode dapprentissage de cette route. Quand le routeurdcouvreplusieursroutesverslammedestination,ilprivilgielaroutedontladistanceadministrativeestla plusfaible.Lesroutesstatiques,considrescommelesplussresendehorsdesroutesdirectementconnectesse voientattribuerlavaleur1.Lesroutesappriseslaidedunprotocolederoutagesevoientattribuerunevaleurselon le degr de considration accord au protocole en question. Cest ainsi quEIGRP, protocole propritaire de CISCO, obtient une meilleure valeur quOSPF. Naturellement, ladministrateur peut modifier les valeurs et abandonner les valeurspardfaut. 10 Estilpossibledagrgerlesrseaux10.0.8.0/22et10.0.12.0/22?Sioui,quelestlerseaursultant? Cesdeuxespacesdadressessontcontigusetlerseaursultantest10.0.8.0/21. 11 Questcequuneroutestatiqueflottante? Uneroutestatiqueflottanteestuneroutedontladministrateuraaugmentladistanceadministrativedefaonce quecetteroutenesoitplacedanslatablederoutagequencasdedfaillancedelarouteprfre. 12 Questcequunerecherchederoutercursive? Une recherche rcursive survient lorsquun routeur nobtient pas toute linformation dont il a besoin pour faire progresserunpaquet,enunseulpassagedanslatablederoutage.Parexemple,lepremierpassageafourniuneroute versladestinationmaisilfautunsecondpassagepourtrouverleprochainsautquiconvientpourcetteroute. 13 Quelleestlaconsquencedumodedecommutationchoisi(parmilesmodesFastSwitchingetProcess Switching)surlafaondontseraliselepartagedecharge? DanslemodeFastSwitching,lapartageseralisepardestination:touslesdatagrammesdestinsunepremire adresse du rseau de destination empruntent la premire route, tous les datagrammes destins une seconde adresseempruntentlaseconderoute,touslesdatagrammesdestinsunetroisimeadresseempruntentnouveau lapremirerouteetainsidesuite.DanslemodeProcessSwitching,lepremierpaquetdestincerseauobjetde plusieurs routes emprunte la premire route. Le paquet suivant emprunte la route suivante et ainsi de suite. LefficacitestductFastSwitchingcarlacorrespondanceadressededestinationinterfacedesortieadresse physiquedusautsuivantestplaceencachelorsdelacheminementdupremierpaquet.Onviteainsilaconsultation delatablederoutagepourlespaquetssuivantsdummeflux. 14 Proposezlacommandepermettantdtabliruneroutestatiqueverslerseau10.0.1.192/27vialeprochain saut10.0.1.226. Router(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.226 15 Quelmasquefautilutiliserpourtabliruneroutepardfaut? Uneroutepardfautesttablielaidedeladressequiidentifielensembledesadressessoit0/0(notationCIDR)ou 0.0.0.0 0.0.0.0(notationhrite).
- 2-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les rseauxdanslacollectionCertificationsauxEditionsENI. LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede: Dcrire le rle des protocoles de routage dynamique et agencer ces protocoles dans une conception de rseau moderne(atteintepartielle). Dcrire de quelle manire les mtriques sont utilises par les protocoles de routage et identifier les types de mtriquesutilisesparlesprotocolesderoutagedynamique. Identifierlescaractristiquesdesprotocolesderoutagevecteurdedistance. Dcrire le processus de dcouverte de rseau des protocoles de routage vecteur de distance au moyen du protocoleRIP(RoutingInformationProtocol). Dcrirelesfonctionnalits,lescaractristiquesetlefonctionnementduprotocoleRIPv1. ConfigureretvrifierlefonctionnementdebaseduprotocoleRIPv1surunpetitrseaurout. Utiliserlescommandes showet debugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent surdepetitsrseauxrouts(objectiftransverselouvrage).
- 1-
Lesprotocolesderoutagetypevecteurdedistance
Laplupartdesprotocolesderoutageappartiennentlunedesdeuxfamilles,tatdeliensouvecteurdedistance.Les protocolesderoutagetatdelienssontprsentsautraversduprotocoleOSPF( OpenShortestPathFirst)dansle chapitreponymedecetouvrage.PuisqueRIPestlapremireoccasiondaborderlesprotocolesderoutagevecteur dedistance,nouscommenceronsparbrosserunportraitgnraldecettefamille.RIPainsiquetouslesmembresdesa familleutilisentunalgorithmequelondoitMessieursRichardBellmanetLesterFord(mathmaticiensamricains)et dontlobjetestdetrouverlepluscourtchemindepuisunsommetdansungraphepondr.Cetalgorithmefututilis pourlapremirefoisen1967entantqualgorithmederoutagedanslerseauARPANET(premierrseautransfertde paquetsdveloppauxEtatsUnis,considrcommelanctredInternet). Pourquoi vecteur de distance ? Parce que dans cette famille, les routes sont annonces comme des vecteurs. Le vecteurdumathmaticien,cestunsegmentorientdunecertainelongueur.Laroutesedfinitcommeunedirection associeunedistance,cequiesteffectivementanalogue:
Ainsi, chaque routeur du rseau dpend de ses voisins pour apprendre les routes et contribue lapprentissagede ses voisins en leur annonant les routes quil connat. Linformation de topologie circule de proche en proche sur le rseaucequifaitparfoisappelercetypederoutageroutageparlarumeur. Lafamilledesprotocolesvecteurdedistanceestasseznombreuse:
G
RIP(RoutingInformationProtocol),leprotocoleobjetdecechapitre XNSRIP(XeroxNetworkServices) NovellIPXRIP IGRP(InteriorGatewayRoutingProtocol),protocolepropritairedeCISCO RTMP(RoutingTableMaintenanceProtocol),enusagedanslasuitedeprotocolespropritaireAppleTalkdApple.
1.Caractristiquesgnriques
Lacaractristiquelaplusnotablepartageparlensembledecesprotocolesconsistepourunrouteurdiffuserde faon priodique la totalit de sa table de routage sur toutes ses interfaces qui participent au protocole. Le seul protocole drogeant cette rgle est EIGRP ( Enhanced Interior Gateway Routing Protocol), protocole propritaire de CISCOquiremplaceIGRP.Eneffet,lesmisesjourdEIGRPnesontnidiffuses,nignresdefaonpriodiquepas plus quelles ne contiennent lentiret de la table de routage. EIGRP fait lobjet dun chapitre ddi dans cet ouvrage.
G
Misesjourdiffuses:danslaversionlaplussimple,unrouteurtypevecteurdedistanceenvoiesesmises jour vers ladresse de diffusion (255.255.255.255 soit ladresse de diffusion limite dans le cas dIP). Les routeursvoisinsquimettenten uvrelemmeprotocoleentendentetmettentprofitcesmisesjour. Mises jour priodiques : la priode qui spare deux missions de mises jour est fixe. La valeur choisie varie selon les implmentations de 10 90 secondes. Cest que le choix de cette valeur conditionne la poursuite de deux objectifs contradictoires : fautil privilgier le temps de convergence en diminuant la priodedesmisesjouroulimiterlaconsommationdebandepassanteenlaugmentant?
- 1-
Mises jour totales : nouveau dans leur version la plus simple, les protocoles type vecteur de distance placentlensembledelatablederoutagedanslesmisesjour.Cestdoncaurouteurquientendlamise jourdextrairelinformationdontilabesoinetdignorercellequinestpaspertinentepourlui.
2.Leroutageparlarumeur
Observonslvolutiondestablesderoutagedanslecontextesuivant:
Lesquatrerouteursterminentleurdmarrageaummeinstantt0.Chacundesrouteursneconnatdansunpremier tempsquelesrseauxquiluisontdirectementconnects: RouteurA Rseau Via Mtrique t0 Net_W Net_X 0 0 RouteurB Rseau Via Mtrique Net_X Net_Y 0 0 RouteurC Rseau Via Mtrique Net_Y Net_Z 0 0 RouteurD Rseau Via Mtrique Net_Z Net_T 0 0
linstantt1,chaquerouteurreoitetmetprofitunepremiremisejourdesesvoisins.Prenonslecasdurouteur A.LerouteurBluiditpouvoirjoindrelesrseauxXetYavecuncotde0.Silecotest0pourB,ildoittrede1 pour A voisin de B. A incrmente les cots annoncs de 1 saut puis compare les routes obtenues avec celles contenuesdanssatable.Xestdjconnuavecunmeilleurcot,cettepartiedelamisejourestdoncignore.Le rseauYparcontreestnouveau,AajouteunerouteversYdanssatable,routequilassocieaucotcalculsoit1. LamisejourmanedeB,Bestdoncleprochainsautpourcetteroute,AdcouvreladresseIPduprochainsauten lisantladressesourcedupaquetIPquicontientlamisejour: Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique t1 Net_W Net_X Net_Y B 0 0 1 Net_X Net_Y Net_W Net_Z A C 0 0 1 1 Net_Y Net_Z Net_X Net_T B D 0 0 1 1 Net_Z Net_T Net_Y C 0 0 1
Chacundesrouteursconduitdesoprationssimilaires.linstantt2,chaquerouteurreoitunenouvellemisejour. PlaonsnousnouveausurlerouteurA.LerouteurBluiditpouvoirjoindreX,Y,WetZauxcotsrespectifsde0,0, 1et1.LerouteurAincrmentecesvaleursquideviennent1,1,2et2puiscomparelesroutesobtenuesauxroutes contenuesdanssatable.LesroutesversWetXsontcartescardjconnuesavecunmeilleurcot.Laroutevers Y est dj connue et le nouveau cot calcul est identique au cot connu, linformation est galement ignore. La routeversZestnouvelle,Alajoutesatableassocieaucotcalcul: Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique t2 Net_W Net_X Net_Y B 0 0 1 Net_X Net_Y Net_W A 0 0 1 Net_Y Net_Z Net_X B 0 0 1 Net_Z Net_T Net_Y C 0 0 1
- 2-
Net_Z
Net_Z Net_T
C C
1 2
Net_T Net_W
D B
1 2
Net_X
Cestseulementlarceptiondelamisejourdelinstantt3quechacundesrouteursaconnaissancedelensemble desrseaux,onditquelerseauaconverg: Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique t3 Net_W Net_X Net_Y Net_Z Net_T B B B 0 0 1 2 3 Net_X Net_Y Net_W Net_Z Net_T A C C 0 0 1 1 2 Net_Y Net_Z Net_X Net_T Net_W B D B 0 0 1 1 2 Net_Z Net_T Net_Y Net_X Net_W C C C 0 0 1 2 3
a.Etquandlarumeursetait?
Maintenantquenotremodesterseauaconverg,voyonscommentilapprhendeunchangementdetopologie.Un premiercassimpleestceluidurseauquidevientinactif.ImaginonsquelerseauWpasseltatinactif,ilsuffit au routeur A dannoncer ce rseau comme tant injoignable dans la prochaine mise jour. Mais les choses se compliquent quand cest le routeur luimme qui est dfaillant. Imaginons que le routeur A devienne inactif. Les routeurs B, C et D disposent toujours dune route vers le rseau W et plus aucun routeur pour leur dire que ce rseauestdsormaisinjoignable. Ce problme est rsolu par les protocoles de routage vecteur de distance en associant un temporisateur chaque route entre dans la table. Un routeur qui reoit une route dj connue dans une mise jour carte linformation et dans le mme temps rtablit le temporisateur sa valeur initiale. Si les mises jour cessent de parvenir au routeur pour la route concerne, le temporisateur finit par expirer et le routeur marque cette route commetantinjoignable.Illannonceracommetellelorsdesaprochainemissiondemisejour. Cetemporisateurdesprancedevieestappeltemporisateurdinvalidationderoute(RouteInvalidationTimer)et savaleuresttypiquementgale36foislapriodedmissiondesmisesjour.Diminuerdavantagelavaleur du temporisateur, cest prendre le risque de marquer injoignable une route valide parce quun paquet de mise jouratperdu.Laugmenteraucontrairedgraderaletempsdereconvergencedurseausuiteunchangement detopologie.
3.Prventiondesbouclesderoutage
a.Partagedelhorizon(SplitHorizon)
Raisonnonsnouveausurcecontexte:
Nous avons affirm de faon premptoire que chaque routeur qui participe un protocole DV (Distance Vector) diffuselensemble de sa table de routage vers chacun de ces voisins. Mais estceindispensable,seulementutile, inutile ou carrment dangereux ? Vous tes llve face au professeur. Vous viendraitil lide de tenter de lui apprendrecequilvientdevousinculquer?Appliquaurseaucidessus,laquestiondevientPourquoiunrouteur diffuseraitsuruneinterfacecequilaapprisviacetteinterface?Ainsi,lerouteurAnepeutpasapprendreBce
- 3-
quil vient dapprendre de B. La premire rponse la question prcdente est donc : non, il nest pas utile de diffuser lensemble de la table de routage. Dans lexemple cidessus, chaque routeur ne devrait diffuser vers la droite que ce quil a appris par la gauche et viceversa. Diffuser lensemble de la table de routage consommerait inutilementdesressourcesmachinesetdelabandepassante. Mais allons plus loin en imaginant que le rseau W devienne inactif. Pour un temps, la diffusion de la table de routage est maintenue dans sa totalit. Le routeur A dtecte ltat injoignable du rseau W et se prpare en informer le routeur B lors de la prochaine mise jour. ce moment prcis, le routeur A reoit la mise jour du routeurBquilinformedisposerdunerouteverslerseauWaucotde1.Nous,gentilsadministrateurs,savons que cette route est une illusion puisquelle passe par A. Mais le routeur A ne dispose daucun moyen qui lui permettrait de remettre cette route en question. En consquence, A incrmente le cot reu et place W dans sa tableviaBaucotde2. ImaginonscestadeunpaquetentrantsurlerouteurB,venudonnesaitoetdestinunhtedurseauW. LerouteurBdisposedunerouteversWviaAetfaitdoncprogresserlepaquetversA.LerouteurAdisposedune routeversWviaBetfaitprogresserlepaquetversB.CecipeutserpterindfinimentjusqupuisementduTTL dupaquet,nousvoilinstallsdansunebouclederoutage. Onlevoit,ilfautencorerevoirlarponselaquestionprcdentequipassedeinutilecarrmentdangereux.La solutionimaginepourviterleffetinutileetpallierleffetdangereuxsenommePartagedelhorizon(Splithorizon). Il en existe deux dclinaisons : le partage dhorizon dit simple et le partage dhorizon avec empoisonnement de routeinverse(Splithorizonwithpoisonedreverse).Lafiguresuivanteillustrelefonctionnementdupartagedhorizon simple:
Quandlepartagedhorizonsimpleestappliqu,largleestdenepasincluredansunemisejourmisesurune interfaceparticulirelesrseauxquionttapprisviacetteinterface.Ainsidanslafigurecidessus,lerouteurC informelerouteurBdesrseauxZetT.LesrseauxXetWsontabsentsdecettemisejourparcequilsontt apprisparlinterfaceconnecteB.Delammefaon,lerouteurBinformelerouteurCdesrseauxXetW.Les deuxrseauxZetTsontabsentsdecettemisejourparcequilsonttapprisparlinterfaceconnecteC. Largledepartagedhorizonconsistenepasannoncerunvoisinlarouteappriseviacevoisin.
b.Partagedelhorizonavecempoisonnement
Si la rgle de partage dhorizon avait consist occulter une partie des informations, la dclinaison avec empoisonnement procde dune logique plus labore. Le dicton dit pas de nouvelles, bonnes nouvelles . Le partagedhorizon avec empoisonnement lui dit mieux vaut de mauvaises nouvelles que pas de nouvelles .La rgleconsisteannoncercommeinjoignablesuruneinterfacetoutrseauapprisviacetteinterface.Lapplication decettergleaucontexteprcdentmodifiequelquepeulecontenudesmisesjour:
- 4-
Si,quelquesoitlasourcedelerreur,lesrouteursBetDinstallenttortdesroutesviaCversY,XetWdanslecas du routeur B, vers Z et T dans le cas du routeur D, alors trs rapidement, lannonce faite par C des routes empoisonnes rtablirait la vrit et donc supprimerait une source potentielle de boucles de routage. Ceci fait considrerlepartagedhorizonavecempoisonnementcommetantgnralementplussrquelepartagedhorizon simple,cettefiabilittantacquiseauprixdunalourdissementdesmisesjour.
c.Lecomptagelinfini
Observezlecontexteciaprs:
LerseauNet_Tpasseltatinactif:
G
tiquette1:lerouteurDannonceNet_TcommeinjoignabledanssesmisesjourversCetB. tiquette2:lerouteurBreoitsuccessivementlamisejourdeDquiluiannonceTinjoignablepuislamise jourdeAquiluiannonceconnatreTaucotde2. tiquette3:lerouteurBplacelarouteversTviaAaucotde3danssatable. tiquette4:lerouteurBannonceconnatrelerseauTaucotde3. LerouteurDplaceTdanssatableaucotde4viaB.
- 5-
tiquette5:lerouteurDannonceconnatreTaucotde4. LerouteurCplaceTdanssatableaucotde5viaD. tiquette6:lerouteurCannonceconnatreTaucotde5. LerouteurAplaceTdanssatableaucotde6. tiquette7:lerouteurAannonceconnatreTaucotde6... LerouteurBseditlecotdelarouteviaAversTaaugmentmaisilnyapasdautrealternative,jela conserve.
On le voit, sans prcaution particulire, nous voil engags dans une boucle sans fin dont la rgle du partage dhorizonneprotgepas(lerouteurAparexempleannonceBuneroutequilaapprisedeC,largledupartage dhorizonestbienrespecte),lecotdelarouteversTpourraitaugmenterjusqulinfini. Commentrsoudrecenouveauproblmedecomptagelinfini?Endfinissantlinfiniquiainsiendevientfini!La plupart des protocoles vecteur de distance fixent linfini la valeur 16. Dans lexemple cidessus, le cot de la routeversTcontinueraitaugmenterjusqu16.Unrouteurquireoituneannoncederouteassocieuncotde 16cessedincrmenterlavaleuretconsidrelaroutecommeinjoignable. Consquence inattendue de la solution apporte au problme du comptage linfini : nous disposons dsormais dunemthodepourannoncerunrseaucommetantinjoignable.Ilsuffitdelannonceravecuncotde16. vitonspourtantdeconclurehtivementquelemondeduvecteurdedistanceestunmondemerveilleux.Enfixant linfini16,onlimitedefaitlenombredesauts15etcestgalementcenombredesautsquifixeltenduedu rseau: Lenombredesautsdansunrseaupourlequelonafaitlechoixdunprotocolederoutagevecteurde distanceestlimit15.Cecicantonnelutilisationdecettefamilledeprotocolesdesrseauxfaiblement tendus. Autre consquence de linfini fix 16 : lobtention de la convergence peut ncessiter beaucoup de temps. En imaginant par exemple des mises jour espaces de 30 secondes, le temps de convergence peut atteindre 7 minutescequiestbeaucoup(14sautsespacsde30secondes):
d.Misesjourdclenches
Jusquici et quoiquil advienne, les mises jour envoyes aux voisins ltaient de faon rgulire. Estce le comportement le plus pertinent ? Quand un rseau passe ltat inactif, un routeur qui le peroit doit attendre jusqu30secondes(casdeRIP)avantdetransmettrecetteprcieuseinformation.Lesmisesjourdclenches (Triggered Updates ou Flash Updates) apportent une solution des plus simples ce manque de ractivit. Lide consisteprovoquerlmissiondunemisejoursansattendrelexpirationdutemporisateurdemisejour,ceds quun changement de cot se produit sur une route quil sagisse dun changement la hausse ou la baisse. Linstallation dune nouvelle route dans la table de routage est considre comme un changement de cot et provoquegalementunemisejourdclenche.Letempsdeconvergencesentrouvevidemmenttrsamlior de mme que le problme du comptage linfinidevientunproblmeassezmarginal.Lechoixdeprovoquerdes mises jour dclenches ne fait pas disparatre le besoin de mises jour rgulires pour deux raisons : il faut empcherletemporisateurdinvalidationderoutedexpireretilfautgalementprvoirlecasounrouteurreoit unemisejourcorrompueissuedunrouteurquinapasachevsaconvergence,lamisejourrgulirertablirait alorslasituation.Quoiquilensoit: Lesmisesjourdclenchescontribuentacclrerlaconvergencedurseau.
e.Refusdemisesjour(HolddownTimer)
Jusquprsent,nousnavonsplacunpeudintelligencequedanslafaondontunrouteurmettaitsesmises jourderoutage:defaonrgulire,plusoumoinsfrquemment,survnement,totales,partielles,partiellesavec routesinversesempoisonnes.Maisnousnavonsrienfaitsurlarceptiondesmisesjour.Toutemisejourest galement considre. Ne conviendraitil pas dintroduire un peu de scepticisme ? Considrez le contexte ci dessous:
Unefoisquelensembledurseauaconverg,lerouteurDannoncelerseauWaurouteurEavecuncot de1. tiquette4:lerseauWpasseltatinactif. tiquette5:lerouteurAannonceWcommetantinjoignableauxrouteursBetD. LerouteurCconnatannonceconnatreWaucotde2,lerouteurDinscritunerouteversWviaCdanssa tablederoutageaucotde3.
- 7-
tiquette 6 : Le routeur E reoit une mise jour du routeur D. Dans cette mise jour, le rseau W est annoncavecuncotde3,cecottait1danslamisejourprcdente.
LesquatrerouteursA,B,CetDsontlancsdansuncomptagelinfini.LecotannoncparlerouteurDvadonc progressivementaugmenterpouratteindre16.Maisdanslesfaits,lerseauWestinjoignable.Trslgitimement, le routeur E devrait donc se mfier de la route annonce par le routeur D. Mais comment veiller la mfiance du routeurE?EnsappuyantsurleseulsignetangibledupointdevuedurouteurE,savoirlaugmentationducot annoncverslerseauW. Ondcidedoncquechaquefoisquunrouteurreoitunemisejourdanslaquellelecotduneroutedjconnue augmente,lerouteurarmeuntemporisateurditderetenueetrefusetoutemisejourcotgalouaugment pourcetteroutetantquecetemporisateurnapasexpir.Enrevanche,unemisejourreueavecuncotmeilleur que le cot original provoque la dsactivation du temporisateur de retenue. De la mme faon, une mise jour reueaveclaroutemarqueinjoignable(cot16)devraitdsactiverletemporisateurderetenueafinquelerouteur participe la propagation de la mauvaise nouvelle et donc viter que ce temporisateur ne dgrade le temps de convergence. CetemporisateurnestpasprvuparleRFCetsonimplmentationestlefaitdeCISCO.Lecomportementdcritest doncsusceptibledevarierselonlaversiondelIOS.
4.Collisionsdemisesjour
Considrezlecontextecidessous:
Lesrouteursdelatopologiemettenten uvrelemmeprotocolederoutageDV.Chacundesrouteursmetdoncsa misejourdefaonrgulire,lespriodesquisparentdeuxmissionssontidentiquessurtouslesrouteurs.Une probabilitexistepourquedeuxoudavantagedecesmisesjourseproduisentenmmetemps,provoquantainsi une collision de mises jour. Noublions pas que ces mises jour sont diffuses et rappelonsnous galement le comportementduncommutateurLANquandildoitfaireprogresserunetramediffuse:ilsecomportealorscomme un banal concentrateur. Autrement dit, la collision est possible. En outre si la collision se produit, les metteurs impliqus retardent leur mission ce qui la rapproche de lmission des mises jour venir manant des autres routeursnonimpliqusjusquel.Onsinstalledansunphnomnecumulatif.Deplus,sicettecollisionneseproduit pasaujourdhui,elleseproduirapeuttredemaincarleshorlogesdestemporisateursdriverontinvitablement. La solution consiste abandonner partiellement la priode fixe des mises jour, en tablissant le temps initial du temporisateurdemisejouravecuntempsfixeadditionnduntempsalatoire(timingjitter).
- 8-
RIP
RFCutiles: RFC1058 RoutingInformationProtocol Juin1988
ImpossibledeprtendremenerunetudesrieusedesprotocolesderoutagedansuncontexteIPsansdbuterpar leprotocoleRIP(Routing Information Protocol).RIPfutdveloppparlacompagnieXeroxaudbutdesannes1980 commepartieintgrantedesonarchitecturerseauXNS.RIPfournitle rsultatattendulaconditiondecantonner son utilisation des rseaux de petite et moyenne (moins) envergure et de fait est trs largement rpandu. Les dfauts de RIP sont bien connus : le nombre de sauts entre deux htes est limit 16 et le protocole est long converger.Lamtrique,constitueparlenombredesauts,nestpasintelligenteencesensquellenetientcompteni delabandepassantedesliensnideleurcharge.Ilneseraitpascomprhensiblequuneentrepriseayantencharge unlargerseaunemigrepasounaitpasdjmigrversunprotocolederoutageplussophistiqu.
1.Leprotocole,messageschangs
LesmessagesRIPsontencapsulsdansdesdatagrammesUDP.Lesdeuxnumrosdeport,sourceetdestination, dundatagrammeUDPquitransporteRIPsonttablislammevaleur520.RIPutilisedeuxtypesdemessages:la requteetlarponse:
G
LarequteRIPpermetunrouteurdinterrogersesvoisinsafindobtenirunemisejour. LarponseRIPtransportelamisejour.
LamtriqueutiliseparRIPestlenombredesauts.Unrouteurannonceuneroutedirectementconnecteavecune mtriquegale1:
Unemtriquede16signifiequelerseauestinjoignable. Audmarrage,unrouteurRIPdiffuseunerequteRIPsurlensembledesesinterfacesparticipantauprotocole.Puis leprocessusRIPseplacelcoutedesmessagesRIPenprovenancedesautresrouteurs.Chaquerouteurvoisinqui reoitlarequtegnreunmessagederponseRIPetyplaceunextraitdesatablederoutage.Enrgimetabli, toutesles30secondesenvironetindpendammentdetouterequte,chaquerouteurRIPgnredefaongratuite unmessagederponseRIPetyplacegalementunextraitdesatablederoutage. Lextraitdelatablederoutagecontienttouteslesrouteslexceptiondecellessupprimesparlargledepartage dhorizon.ToutmessagederponseRIPesttraitdemanireidentique,quilaittobtenusuiteunerequteRIP oudefaongratuite:

G
Silarponsecontientuneroutejusquiciinconnue,lerouteurlaplacedanssapropretablederoutageviale routeur qui la annonc. Ladresse de prochain saut est apprise en lisant ladresse source du message de rponseRIP. Si la rponse contient une route dj connue (elle est dj prsente dans la table de routage), lentre existantenestremplacequesilarouteannoncedisposedunmeilleurcot. Quand une route dj connue est annonce avec un cot plus lev par le routeur de prochain saut, la suspicionsinstalleetcetterouteestmarqueinjoignablependantuntempsdobservationappeltempsde retenue( holddowntimer).Silexpirationdecetemps,lerouteurdeprochainsautpersisteannoncercette routeaveccenouveaucotmoinsfavorable,alorslanouvellemtriqueestaccepteetremplacelancienne danslatable.
- 1-
Appuyonsnotrepropossurlecontextesuivant:
Observez la capture cidessous ralise sur lien serial entre R110 et R80 (cap_2E_01.pcap disponible en tlchargementsurlesitedesEditionsENI):
- 2-
DansWireshark,pourobtenirlaffichagedesseulschangesRIP,ilsuffitdactiverunfiltre,parexemple: Analyze DisplayFilters...UDPonlyOK.R80vientdeterminersondmarrage,cequiexpliquelarequteRIPentrame3. ObservezqueR110rpondlarequtedansundatagrammeunicast.Vrifiezlapriodequisparedeuxmissions de mises jour. Par exemple pour R80, les timestamps sont [46.35, 72.76, 101.36, 127.5, 155.42, 185.39, 214.39] espacs respectivement de [26.41, 28.60, 26.14, 27.92, 29.97, 29] secondes. On observe l leffet de la variable alatoire RIP_JITTER entretenue par lIOS. Ce temps alatoire est compris entre 0 et 15% de la priode nominale qui spare les mises jour. chaque nouvelle mission de mise jour, lIOS calcule ce temps puis le soustraitdutempsnominalpourtablirletemporisateurdelaprochainemisejour.Puisquedanslecasprsent,la priodenominaleestcellepardfaut,soit30secondes,ceciexpliquequeletempsobserventredeuxmisesjour soit variable mais toujours compris dans lintervalle [25.5 secondes 30 secondes]. On se souvient quil sagit de prvenirlescollisionsdemisesjour. Lapartieinfrieuredelafentredtaillelecontenudelamisejourpourlatrame15.CestR80quisexprimeeton voit que la rgle de partage dhorizon est applique. Ne sont annoncs que les trois rseaux 192.168.8.0, 192.168.12.0 et 192.168.20.0. Observez enfin que la mtrique annonce par R80 pour un rseau directement connectstablit1.
a.LestemporisateursdeRIP
LeprocessusRIPentretientquatretemporisateurs:
- 3-
Mise jour (Update) : priode nominale qui spare deux mises jour. Le temporisateur de mise jour est initialisavecuntempsrsultantdelapriodenominalelaquellelIOSasoustraitletempsalatoireRIP_JITTER (voirdtailciavant). Invalidation(Route timeout) :cetemporisateurdfinitcombiendetempsuneroutepeutresterdanslatablede routagesansquelerouteurreoivedemisejourlaconcernant.galementappelRoutetimeouttimer,ilya autantdinstancesdecetemporisateurquederoutesprsentesdanslatablederoutage.Quandletemporisateur dinvalidationexpire,larouteestmarqueinjoignable(mtrique16)maisrestedanslatablejusquexpirationdu temporisateur deffacement Routeflush timer . Le temporisateur dinvalidation est rtabli sa valeur initiale (dfaut180secondes)chaquefoisquelerouteurreoitunemisejourpourlarouteconcerne. Retenue(Hold down) : ce temporisateur nest pas prvu dans le standard RFC 1058 mais lIOS lutilise.Chaque foisquunrouteurreoitunemisejourdanslaquellelecotduneroutedjconnueaugmente,lerouteurarme cetemporisateuretrefusetoutemisejourcotaugmentpourcetteroutetantquecetemporisateurnapas expir.Pendantcetemps,lerouteurconsidrelaroutecommepeuttreinjoignablemaiscontinuedesecomporter comme si elle ltait encore, cestdire continue dacheminer les paquets conformment linformation dont il disposait lors de lentre dans ltat hold down . Un routeur qui a arm un temporisateur de retenue peut le dsactiverenplusieurscirconstances:larouteestnouveauannonceaucotinitial,larouteestannonceavec uncotde16.CecomportementestsusceptibledevarierselonlesversionsdIOS. Effacement (Route flush) : ce temporisateur est appel garbage collection timer par le RFC (littralement temporisateurdecollectedesordures!).Lavaleurpardfautesttablie240secondes,soit60secondesaudel du temporisateur dinvalidation. Pendant ces 60 secondes, la route est marque injoignable mais reste dans la table.Elleestdoncannonceaveclamtriqueinjoignable(16)danslesmisesjourderoutagependantces60 secondes.lexpirationdutemporisateurdeffacement,larouteesteffacedelatablederoutage. LafiguresuivantersumelecomportementdestemporisateursdurouteurRIP:
- 4-
Lesquatretemporisateurspeuventtremanipulslaidedelacommande timersbasicenmodeconfigurationde routeur: R110(config)#router rip R110(config-router)#? Router configuration commands: ......... timers Adjust routing timers ......... R110(config-router)#timers ? basic Basic routing protocol update timers R110(config-router)#timers basic ? <0-4294967295> Interval between updates R110(config-router)#timers basic 30 ? <1-4294967295> Invalid R110(config-router)#timers basic 30 180 ? <0-4294967295>Holddown R110(config-router)#timers basic 30 180 180 ? <1-4294967295> Flush R110(config-router)#timers basic 30 180 180 240 ? <cr> R110(config-router)#timers basic 30 180 180 240 R110(config-router)#^Z R110# UnrouteurnepeutfairefonctionnerquunseulprocessusRIPetcettecommandeajustelestemporisateurspourle processus dans son entier. Changer une ou davantage des quatre valeurs ne devrait tre entrepris quavec beaucoup de prudence. De plus, pour que le fonctionnement de RIP reste cohrent, le changement souhait doit tre appliqu lensemble des routeurs du domaine RIP. Il est possible de vrifier la valeur actuelle des temporisateurs (ainsi que beaucoup dautres informations du protocole) laide dune commande show ip protocols: R110#sh ip protocols
- 5-
Routing Protocol is "rip" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Sending updates every 30 seconds, next due in 18 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Redistributing: rip Default version control: send version 1, receive any version Interface Send Recv Triggered RIP Key-chain FastEthernet0/0 1 1 2 Serial0/0 1 1 2 Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 192.168.11.0 192.168.19.0 Routing Information Sources: Gateway Distance Last Update 192.168.19.8 120 00:00:09 Distance: (default is 120) R110# RIP met profit le partage dhorizon avec empoisonnement de routes inverses ainsi que les mises jour dclenches.Pluttquedelaffirmer,vrifionsle.LecontexteestinchangetWiresharkcapturetoujourslesmises jourRIPsurlelien serialentreR110etR80.Surlinterfacef0/0durouteurR120,ladministrateuraprovoqu une commande shutdown suivie dune commande no shutdown quelques secondes plus tard. La capture cap_2E_03.pcapestdisponiblesurlesitedesEditionsENI.
Lapremiredesdeuxinformationsentrecrochetscorrespondlaroute.Notremodestemiseensituationcomporte lesroutes11,8,12,19,20(enfait192.168.11.0/24,192.168.8.0/24...).Lasecondeinformationcorrespondaucot annoncexprimennombredesauts.Observezlafonctionnalitdepartagedhorizon(lerouteurR80nenvoievers lagauchequelesroutesapprisesparladroite).Environ15secondesaprslamisejournormaleentrame26,la route 12 devient injoignable. Sans attendre la mise jour suivante, le routeur R120 gnre une mise jour dclenchequinecomportequelaroute12,lecotannoncest16cequisignifierouteinjoignable.LerouteurR80 peroitlechangementdecotetragitimmdiatementengnrantunemisejourdclencheentrame32.En rponse,etcestllapremiremanifestationdelafacultdempoisonnementderoutesinverses,R110gnreune mise jour dclenche qui comporte la mme route au mme cot. Aucun risque donc quun routeur simagine pouvoir passer par R110 pour joindre LAN12. Observez que les mises jour dclenches ne remettent pas en causelmissiondesmisesjourcadences,dontlerythmeimmuableestfixparletemporisateurdemisejour. Impossibleobserversurlacaptureprcdente,unrouteurquiperoitunchangementdecotsuitelarception dune mise jour dclenche diffre sa propre mission de mises jour dclenches de 1 5 secondes, ce afin
- 6-
dviter que lvnement de dpart (le changement de topologie) ne se transforme en tempte de mises jour dclenches.Pourlescurieuxinsatiables,lacapturecap_2E_04.pcaprapporteunscnariopeinediffrent:cest laugmentationducotdelaroutequiprovoquelamisejourdclenche.Cetteaugmentationatprovoque parunemanipulationdirectedelamtriquedeRIP(patientez).
b.Formatdesmessages
LemessageRIPenversion1(laversionduRFC1058)estunmessagetrous.Ondevinequelaconceptiondeson formatatinflueparletransportpossiblederoutesdansdautresprotocolesquIPetparlavolontdetravailler surdesmotsde4octets:
LesargumentsdumessageRIPsontlessuivants:
G
commandpourcequinousconcerne,deuxvaleurspossibles:
G
1:lemessageestunerequte 2:lemessageestunerponse Lesautresvaleurssontsoitobsoltessoitrserves.
version1pourRIPv1. address family identifier 2 pour IP dans les messages de rponse, 0 dans un message de requte (patientez). IPaddresscontientindiffremment:
G
Uneadressehte. Uneadressedesousrseau. Uneadresserseau. 0quiindiqueuneroutepardfaut.
- 7-
LecomportementdeRIPfacecesdiffrentscasestdcritdanslasectionsuivanteComportement avecclasse.
metric cot de la route exprim en nombre de sauts de 1 16, 1 signifiant une route directement connecte,16caractrisantunerouteinjoignable.
LataillemaximaledumessageRIPest512octets,sanscompterlesenttesIPetUDP(pourmmoire,unentte IPsansoptionsoccupe20octets,unentteUDPoccupe8octets).EntantlentteRIP,ilreste508octetsutiles au transport de routes. Puisquune route occupe 20 octets, un message RIP peut transporter jusqu 25 routes. Sommetoute,undatagrammeUDPquitransporteunmessageRIPnedpasserapas512octets(25 x20+4+en tteUDP).
c.Formatdesrequtes
LemessageRIPderequtepermetdobtenirtoutoupartiedelatablederoutagedudestinataire.Ceciamne voquerlanotiondhtesilencieux: UnhtesilencieuxnegnrepasdemisesjourRIPmaispeutprofiterdesmisesjourquilperoit. UnerequteRIPestclassiquementdiffuse,leportsourceest520.Unhtesilencieuxnerpondpasunetelle requte.Onpeutpourtantlecontraindrelefaire.IlfautpourcelagnrerunerequteRIPdontleportsourceest diffrentde520. Larequtepeutcomporterplusieursquestions,cestdireplusieursrseaux,sousrseaux,htespourlesquels celui qui interroge souhaite dcouvrir si le destinataire dispose duneroute.Ledestinataireprpareunerponse parquestionpourgnrerlemessagederponse.chaquequestion(chaqueadressedemande),ledestinataire consultesatablederoutageetplacelamtriquetrouvedanslarponselaquestion,16quandilnapastrouv ladresse demande. Aucun traitement dhorizon partag nest effectu. Une requte de ce type est utile aux logicielsdediagnostic. La requte peut concerner lensemble de la table de routage. Dans ce cas, le message de requte se distingue parce quilnecomportequune seule question [adressfamily identifier = 0, IP address = 0.0.0.0, metric = 16]. Le destinatairegnreunmessagederponseRIPunicastversladresseIPdudemandeur.Paradoxalement,quandla questionest Tout,larponseestpartielle.Eneffet,ilsagitcettefoisdassurerunfonctionnementnormalde RIP dans son domaine et la rponse respecte la rgle du partage dhorizon ainsi que la rgle de masquage des sousrseaux( summarization,patientez).
d.Comportementavecclasse(classfull)
Nous avons besoin dun contexte un peu plus riche pour aborder ce qui va suivre. Comme notre habitude maintenant,cecontexteatprparsousGNS3:
- 8-
AppuyonsnotrepropossurlatablederoutagedeR80: R80#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 192.168.8.0/25 is subnetted, 1 subnets 192.168.8.0 is directly connected, FastEthernet0/0 172.26.0.0/24 is subnetted, 3 subnets 172.26.12.0 [120/1] via 172.26.8.12, 00:00:27, Serial0/1 [120/1] via 172.26.9.12, 00:00:27, FastEthernet1/0 172.26.8.0 is directly connected, Serial0/1 172.26.9.0 is directly connected, FastEthernet1/0 10.0.0.0/24 is subnetted, 3 subnets 10.0.11.0 [120/1] via 10.0.8.11, 00:00:14, Serial0/0 [120/1] via 10.0.9.11, 00:00:14, FastEthernet0/1 10.0.8.0 is directly connected, Serial0/0 10.0.9.0 is directly connected, FastEthernet0/1
C R C C R C C R80#
Les routes marques laidedelalettre RsontissuesduprotocolederoutageRIP.Pourmmoire,lesdeux valeursentrecrochetsassocieschaqueroutesontladistanceadministrative,120danslecasdunerouteissue de RIP, et la mtrique gale au nombre de sauts. Quand plus dune route au mme cot existent vers la mme destination,RIPinstallecesroutesensembledanslatablederoutageetlerouteurprocdealorsunpartagede charge cot gal. Cest le cas de la route vers LAN11 ainsi que de la route vers LAN12 dans la capture prcdente. Leprocessusderoutageextraitunpaquetdunefiledattentedentre.Imaginonsquilsagissedupremierpaquet dun nouveau flux vers une adresse de destination pas encore prsente dans le cache de commutation rapide (relire si ncessaire la section Partage de charge par destination et Fast Switching du chapitre Le routage statique).Lerouteurlitunepremirefoislatablederoutageensquencelarecherchedelapartierseaude ladressededestination.PuisqueRIPv1nesaitfairequunroutageavecclasse,cestlemasquedeclasseA,BouC (lemasquenaturel)quiestutilispourdterminerquelleestladresserseaurecherche.Silerouteurnetrouve pasdecorrespondancepourunrseaumajeur(unrseaudeclasseA,BouC),lepaquetestlimin. Si le routeur trouve une correspondance pour un rseau majeur, alors il recherche dans la table de routage les sousrseaux connus de ce rseau majeur. Si une correspondance est trouve, alors le paquet est confi linterfacedesortieadquate.Danslecascontraire,lepaquetestlimin. chaque fois quun paquet est limin parce que le routeur na pas trouv de correspondance dans la table de routage,lerouteurgnreunmessageICMPtypeDestinationinjoignableverslasourcedupaquet. Par exprience, nous touchons l un point de comprhension dlicat. Ancrons ces notions laide de quelques exemples:
G
Un paquet destin ladresse 192.168.11.5 entre sur R80. Le routeur ne trouve aucune correspondance verslerseaumajeur192.168.11.0etlepaquetestsupprim. Un paquet destin ladresse 172.26.6.12 entre sur R80. Le routeur trouve une correspondance vers le rseau majeur 172.26.0.0 et examine les sousrseaux connus de ce rseau majeur. Hlas, aucune correspondancenesttrouveverslesousrseau172.26.6.0etcepaquetestgalementlimin. Enfin un paquet destin ladresse 10.0.11.11 entre sur le routeur R80. Le routeur trouve une correspondanceverslerseaumajeur10.0.0.0puisunecorrespondanceverslesousrseau10.0.11.0et cepaquetestacheminverslunedesinterfacesSerial0/0ouFastEthernet0/1.
Mais la vraie question est comment un routeur exploitetil les mises jour reues pour complter sa table de routage?ObserveznouveauleformatdumessageRIP:aucunchampnestprvupourtransmettreunmasque etcestsansaucundoutelaplusgravelimitationdecetteversion1.Commentlesconstructeursderouteurs,dont Cisco, ontils contourn cette limitation ? Rappelonsnous comment procde le routeur pour ajouter une route directementconnectelatablederoutage.LerouteurexploitepourcefairelaconfigurationIPdelinterface.Par exemple,danslecasdeR80,cetteconfiguration:
- 9-
! interface FastEthernet0/0 ipaddress 192.168.8.1 255.255.255.128 ! aprovoqulajoutdanslatabledecetteroute. 192.168.8.0/25 is subnetted, 1 subnets C 192.168.8.0 is directly connected, FastEthernet0/0 Lerouterconnatlemasquenaturel/24deladresse192.168.8.1etpuisquelemasqueconfigurest/25,lerouteur dduitquelerseauauquelestconnectlinterfaceF0/0estunsousrseaude192.168.8.0. Cette mthode inspire celle utilise par RIP : puisque les annonces de RIP ne comportent pas de masques, le routeur comble linformation manquante en la puisant sur ses interfaces quand cest possible. Nous sommes toujourssurR80.VoicilemessageRIPreudeR110,captursurlelienS0/0deR80:
Parmi les annonces de routes contenues dans ce message RIP, le routeur R80 reoit [adresse IP 10.0.11.0, mtrique1](tiquette1).CetteinformationpermetR80dajouterdanssatablederoutage: 10.0.0.0/24 is subnetted, 3 subnets R 10.0.11.0 [120/1] via 10.0.8.11, 00:00:14, Serial0/0 Comment R80 atil procd ? Il se trouve que ladresse IP affecte linterface S0/0, interface qui reoit le message,appartientdoncaurseaumajeurdeclasseA10.0.0.0: ! interface Serial0/0 ipaddress 10.0.8.8 255.255.255.0 ! ladresse10.0.11.0reue,R80aappliqulemasqueconfigursurlinterfacequireoit,danslecasprsent/24. Linformation orpheline [10.0.11.0/ ???] est devenue [10.0.11.0/24]. Puisque R80 est directement connect aux deuxsousrseaux10.0.8.0parS0/0et10.0.9.0parf0/1,ceciporte3lenombredesousrseauxconnusdeR80 danslerseaumajeur10.0.0.0,cequiexpliquelamention: 10.0.0.0/24 is subnetted, 3 subnets danslatablederoutage.Maispourquoiafficher 10.0.0.0/24issubnettedetnonpas 10.0.0.0issubnetted? Observeznouveaulatopologie.CettemmeannoncedurseauLAN11dadresse10.0.11.0estreuelafoispar linterfaceS0/0etF0/1deR80.LaconfigurationdeF0/1est:
- 10 -
! interface FastEthernet0/1 ip address 10.0.9.8 255.255.255.0 ! Ainsi ladresse 10.0.11.0 se voit appliquer le mme masque et ce, que lannonce soit reue via S0/0 ou F0/1. Imaginezledsastresiladministrateuravaitdciddutiliserunelongueurdeprfixediffrente,parexemple/25, sur F0/1. Quelle route fautil installer dans la table de routage : 10.0.11.0 /24 selon la configuration de S0/0 ou 10.0.11.0/25selonlaconfigurationdeF0/1? Autrecasdefigure:ladministrateurrtablitlemmemasquesurS0/0etF0/1deR80maischoisitunelongueurde prfixe/25.Larouteajoutedanslatablepointeraverslerseau10.0.11.0/25alorsquelerseauaffectLAN11 esteffectivement10.0.11.0/24.Onaboutitainsiuneobligationessentiellequisimposedanstouteconfiguration deroutageRIPavecclasse: lintrieur dun rseau majeur, les prfixes affects doivent tre identiques sur lensemble du domaine RIP. laquestiondedpartpourquoiafficher10.0.0.0/24issubnetteddanslatablederoutage?,larponseest: parcequelensembledessousrseauxdurseaumajeur10.0.0.0dcouvertsparR80partagentlammelongueur deprfixe.Cestcettelongueurquiestrappeledanslersultatdelacommandeshowiproute.
e.Rsumautomatiquederoutes
Nous venons dobserver comment RIP met profit la configuration de ses interfaces pour exploiter une annonce reue et intgrer une route la table de routage. Nous avions dit un peu plus haut : le routeur comble linformationmanquanteenlapuisantsursesinterfacesquandcestpossible .Cequiarendulachosepossible dans lexplication prcdente, cest que les interfaces S0/0 et F0/1 taient toutes deux connectes des sous rseaux du mme rseau majeur 10.0.0.0. Quen estil lorsquune interface reoit une annonce RIP alors mme quellenappartientpasunsousrseaudurseaumajeurannonc?Exploiterlemasqueconfigursurlinterface nauraitplusdesens! Lultimesolutionconsisteconsidrerlerseaumajeurdanssonentieretconsidrerquelerouteurquiannoncece rseau majeur est un routeur situ en bordure de ce rseau majeur. Pour nous en convaincre, observons le comportementdeR80quandilannonceverslerouteurR110lesrseauxdeclasseBetCauxquelsilestconnect:
nouveau, cette capture a t ralise sur le lien S0/0 de R80. Pour mmoire, cette interface est directement
- 11 -
connecteausousrseau10.0.8.0/24.LemessageRIPcomportetroisannonces:
G
10.0.9.0, mtrique 1 sousrseau du rseau majeur 10.0.0.0, annonc parce que linterface S0/0 est directementconnecteunautresousrseaudummerseaumajeur. tiquette1,172.26.0.0,mtrique1 rseaumajeurdeclasseB172.26.0.0.LerouteurR110considrera queR80estunrouteursituenborduredecerseaumajeuretajouterasatablederoutageuneroute vers ce rseau majeur via 10.0.8.8 soit ladresse IP source contenue dans le datagramme IP porteur du messageRIP. tiquette 2, 192.168.8.0, mtrique 1 rseau majeur de classe C 192.168.8.0. Le routeur R110 considreraqueR80estunrouteursituenborduredecerseaumajeuretajouterasatablederoutage unerouteverscerseaumajeurvia10.0.8.8.
UnecapturedelatablederoutagedeR110confirmececomportement: R110#sh ip route ......... Gateway of last resort is not set R R 192.168.8.0/24 [120/1] via 10.0.8.8, 00:00:22, Serial0/0 [120/1] via 10.0.9.8, 00:00:22, FastEthernet0/1 172.26.0.0/16 [120/1] via 10.0.8.8, 00:00:22, Serial0/0 [120/1] via 10.0.9.8, 00:00:22, FastEthernet0/1 10.0.0.0/24 is subnetted, 3 subnets 10.0.11.0 is directly connected, FastEthernet0/0 10.0.8.0 is directly connected, Serial0/0 10.0.9.0 is directly connected, FastEthernet0/1
C C C R110#
Enfinal,R80estsituenborduredetroisrseauxmajeurs,cequilamneannoncerdeuxrseauxmajeurssur chacundesesliens:
Ainsi,unrouteurdebordurenannoncepasdedtailsdesousrseaux.Ilneserviraitriendelefairepuisquele routeur qui reoit lannonce serait incapable de les exploiter, faute de masque. On dit que le routeur de bordure procdeunrsumautomatique.
f.Sousrseauxnoncontigus
Considrezlecontextemodificidessous:
- 12 -
Dunpointdevuerseauxmajeurs,lecontexteestlesuivant:
Dans ce contexte, R110 va annoncer le rseau majeur 10.0.0.0 vers R80 ce qui en fait un routeur de bordure potentiel pour ce rseau. Hlas, R120 fait de mme et lapprhension est confirme la lecture de la table de routagedeR80: R80#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 192.168.8.0/25 is subnetted, 1 subnets 192.168.8.0 is directly connected, FastEthernet0/0 192.168.9.0/26 is subnetted, 4 subnets C 192.168.9.64 is directly connected, FastEthernet0/1 C 192.168.9.0 is directly connected, Serial0/0 C 192.168.9.192 is directly connected, Serial0/1 C 192.168.9.128 is directly connected, FastEthernet1/0 R 10.0.0.0/8 [120/1] via 192.168.9.66, 00:00:23, FastEthernet0/1 [120/1] via 192.168.9.2, 00:00:23, Serial0/0 [120/1] via 192.168.9.194, 00:00:16, Serial0/1 [120/1] via 192.168.9.130, 00:00:16, FastEthernet1/0 R80# C UnpaquetdestinLAN11etquiarriveraitdonnesaitosurR80nauraitquunechancesurdeuxdtreachemin surlerseaudestinataire.Onmetainsienlumireunenouvellecontraintequidcouleducomportementrsum
- 13 -
automatiquederoutesdcritprcdemment: Unrouteurquiannonceunrseaumajeurdoittrelarouteuniqueverscerseau.Cecicontraintnepas sparerplusieurssousrseauxdunmmerseaumajeurpardessousrseauxissusderseauxmajeurs diffrents. Enbref,ilestncessairedemaintenirlacontinuitdudomainecouvertparlessousrseauxdunrseaumajeur. Cettecontraintepeuttreattnueenrtablissantlacontinuitdurseaumajeur10.0.0.0.Unesolutionconsiste parexempleattribuerauxliensquisparentR110etR120deR80desadressesIPsecondairesextraitesdesous rseaux appartenant au mme rseau majeur 10.0.0.0. Mais cela ne fait pas disparatre la contrainte dune longueurdeprfixeunique,cequiaboutiradanslexempleaffecterunsousrseau/24chaquelien serial alorsquuntelliennabesoinquededeuxadresses.
2.Configurationdebase
RIPestsimple,saconfigurationgalement.Dmonstrationsurcettetopologie:
a.Activationduprotocole
Leprotocolesactiveendeuxtemps: 1.ActiverleprocessusRIPproprementditlaidedelacommanderouterrip. 2.Indiquerauprocessusquelsrseauxmajeursdoiventtreprisencomptelaidedunecommande networkpar rseaumajeur. Touteslesinterfacesontdjtconfigures.SurR110,R120etR210,uneseulecommande network suffit. Sur R220,routeurdeborduredesdeuxrseauxmajeurs172.16.0.0et192.168.12.0,deuxcommandes networksont ncessaires: R110 R110(config)#router rip R110(config-router)#network 172.16.0.0 R110(config-router)#^Z R110# R120
- 14 -
R120(config)#router rip R120(config-router)#network 172.16.0.0 R120(config-router)#^Z R120# R210 R210(config)#router rip R210(config-router)#network 172.16.0.0 R210(config-router)#^Z R210# R220 R220(config)#router rip R220(config-router)#network 192.168.12.0 R220(config-router)#network 172.16.0.0 R220(config-router)#^Z R220# Ainsi, il est inutile de vouloir configurer la commande network avec un quelconque sousrseau. La nature sans classedeRIPv1,lefaitqueRIPcachelesdtailsdudcoupageensousrseaux lextrieurdesfrontiresdes rseauxmajeursimposentdeneconfigurerquedesrseauxmajeursdeclasseA,BouC. Sur un routeur donn, toute interface dont ladresse IP appartient lun des rseaux majeurs dclars laide dunecommandenetworkparticipeauprotocole. Lacommande debugiprippermetdesepasserdeWiresharkpourcomprendrelactivitduprotocole.Parexemple surR220: R220#debug ip rip RIP protocol debugging is on 00:03:43: RIP: received v1 update from 172.16.43.21 on Serial0/0 00:03:43: 172.16.11.0 in 2 hops 00:03:43: 172.16.21.0 in 1 hops 00:03:43: 172.16.23.0 in 2 hops 00:03:43: 172.16.32.0 in 1 hops 00:03:52: RIP: received v1 update from 172.16.34.12 on Serial0/1 00:03:52: 172.16.11.0 in 2 hops 00:03:52: 172.16.12.0 in 1 hops 00:03:52: 172.16.23.0 in 1 hops 00:03:52: 172.16.32.0 in 2 hops 00:03:58: RIP: sending v1 update to 255.255.255.255 via F0/0 (192.168.12.1) 00:03:58: RIP: build update entries 00:03:58: network 172.16.0.0 metric 1 !>>> Rsum automatique 00:03:58: RIP: sending v1 update to 255.255.255.255 via Serial0/0 (172.16.43.22) 00:03:58: RIP: build update entries 00:03:58: subnet 172.16.12.0 metric 2 00:03:58: subnet 172.16.23.0 metric 2 00:03:58: subnet 172.16.34.0 metric 1 00:03:58: network 192.168.12.0 metric 1 !>>> Rsum automatique 00:03:58: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (172.16.34.22) 00:03:58: RIP: build update entries 00:03:58: subnet 172.16.21.0 metric 2 00:03:58: subnet 172.16.32.0 metric 2 00:03:58: subnet 172.16.43.0 metric 1 00:03:58: network 192.168.12.0 metric 1 R220# Ce routeur a t choisi parce quil est routeur de bordure. Observez par exemple lannonce faite sur linterface F0/0 : cette interface nappartient pas au rseau majeur 172.16.0.0. RIP annonce donc le rseau majeur 172.16.0.0,mtrique1quirsumelensembledessousrseaux172.16.x.0/24.Delammefaon,R220annoncele rseaumajeur192.168.12.0surlesinterfacesappartenantaurseaumajeur172.16.0.0. Observez galement les effets de la rgle de partage dhorizon. Par exemple, R220 reoit lannonce du rseau 172.16.21.0sursoninterfaceS0/0avecunemtriquede1.R220nannoncepascerseaudanslamisejourquil prparepuismetsurcettemmeinterface.Enrevanche,172.16.21.0faitbienpartiedesrseauxannoncsdans lamisejourqueR220gnresurS0/1associunemtriqueincrmente2.
- 15 -
b.Commandepassiveinterface
ChacundesrseauxdextrmitLAN11,LAN12,LAN21etLAN22nestreliquunseulrouteur.Unecaptureavec Wireshark sur LAN11 confirme que les mises jour sont bien diffuses alors mme quaucun autre routeur nen profitera:
Onsesouvientquemettreundatagrammerevientpourunestationseposeruneseulequestion:ladressedu destinataireestelledirectementconnecteoupas?Danslepremiercas,ledatagrammeestenvoydirectement au destinataire. Dans le second cas, il est confi la passerelle, charge elle de le faire progresser vers sa destination.Lesstationsdextrmitpratiquentdoncunroutageextrmementsimpleenremettantlapasserelle toutpaquetquinestpasdestinaurseaudontilestissu.Parconsquent,ellesnontpasbesoinderecevoirles misesjourderoutageRIP.IlestpourtanttrsfaciledetransformerunestationWindowsenhteRIPsilencieux.Il suffit dactiver lcouteur RIP : Panneau de configuration Ajout/Suppression de programmes Ajouter ou supprimerdescomposantsWindowsServicedemiseenrseauDtailsetcocherlacaseEcouteurRIP.Cest ce qui a t fait sur une station XP ajoute sur LAN11 de notre contexte. Ladresse affecte la station est 172.16.11.12.Unecommande routeprintdansuneinvitedecommandesconfirmequelastationmetbienprofit lesmessagesRIPissusdeR110: C:\ >route print =========================================================================== Liste dInterfaces 0x1 ........................... MS TCP Loopback interface 0x4 ...00 0c 29 ce e7 00 ...... VMware Accelerated AMD PCNet Adapter Miniportdordonnancement de paquets =========================================================================== Itinraires actifs : Destination rseau Masque rseau Adr. passerelleAdr. interface Mtrique 0.0.0.0 0.0.0.0 172.16.11.1 172.16.11.12 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.16.11.0 255.255.255.0 172.16.11.12 172.16.11.12 10 172.16.11.12 255.255.255.255 127.0.0.1 127.0.0.1 10 172.16.12.0 255.255.255.0 172.16.11.1 172.16.11.12 3 172.16.21.0 255.255.255.0 172.16.11.1 172.16.11.12 3 172.16.23.0 255.255.255.0 172.16.11.1 172.16.11.12 2 172.16.32.0 255.255.255.0 172.16.11.1 172.16.11.12 2 172.16.34.0 255.255.255.0 172.16.11.1 172.16.11.12 3 172.16.43.0 255.255.255.0 172.16.11.1 172.16.11.12 3 172.16.255.255 255.255.255.255 172.16.11.12 172.16.11.12 10 192.168.12.0 255.255.255.0 172.16.11.1 172.16.11.12 4 224.0.0.0 240.0.0.0 172.16.11.12 172.16.11.12 10 255.255.255.255 255.255.255.255 172.16.11.12 172.16.11.12 1 Passerelle par dfaut : 172.16.11.1 =========================================================================== Itinraires persistants : Aucun C:\>
- 16 -
Faire dune station un couteur RIP permet de rsoudre le problme dune station connecte plusieurs passerelles. La configuration IP de la station ne permet den dclarer quune seule. Le processus Ecouteur RIP mettra profit les annonces des diffrentes passerelles pour complter judicieusement la table de routage de la station.Ainsi,unpaquetmisparlastationetnondestinaurseaudontilestissu,estremislapasserellela plusapproprie.Maisladministrateurpeutgalementsouhaiterquelerouteurnediffusepassesmisesjoursur ces rseaux dextrmit. Une commande passive interface en configuration de routeur permet de raliser cet objectif.Lasyntaxedecettecommandeestlasuivante: passive-interface [default] interface-type interface-number Largument default , optionnel, met lensemble des interfaces du routeur dans ltat passif. Cet argument est utileauxfournisseursdaccsquiutilisentdesrouteursdedistributionpouvantcomprendreplusde200interfaces, toutes ces interfaces devant tre dans ltat passif. La commande passiveinterface nest pas particulire au protocoleRIP,lesautresprotocolesderoutageIPlaproposentgalement(EIGRP,OSPF...). Attention, la commande passiveinterface ne concerne que la diffusion des messages RIP sur une interface. Les mises jour reues sur cette interface continuent dtre exploites. Le rseau auquel linterface est directement connectecontinuedtreannoncdanslesmessagesdiffusssurlesautresinterfacesdurouteur. Appliqueaucasprsent: R110(config)#router rip R110(config-router)#passive-interface f0/0 R110(config-router)#^Z R110# Unecommande debugipripsurR110ouunenouvellecaptureWiresharksurlelienF0/0deR110confirmentque lesmisesjourdeR110nysontplusdiffuses.
3.Configurationavance
a.Misejourunicast
LesmisesjourRIPsontdiffuses.Celanenousdrangeenriensurlesliaisonsdetypepointpoint.Maisnous sommes beaucoup plus rticents quand cette diffusion seffectue sur un lien de type rseau local. Dans notre contexte de latelier 5, un lien LAN23 a t utilis pour relier R110 et R120, ce qui nous fournit un prtexte pour explorer ce cas. La belle ouvrage consiste dsactiver les diffusions sur linterface F0/1 de chacun des routeurs R110etR120puisutiliserlacommandeneighborafindefairedeR120unvoisindeR110etdeR110unvoisinde R120.UnrouteurRIPmetsesmisesjourverssesvoisinsconnusenlesencapsulantdansdesdatagrammesIP unicast. R110 R110(config)#router rip R110(config-router)#passive-interface F0/1 R110(config-router)#neighbor 172.16.23.12 R110(config-router)#^Z R120 R120(config)#router rip R120(config-router)#passive-interface F0/1 R120(config-router)#neighbor 172.16.23.11 R120(config-router)#^Z R120# Ilrestesassurerqueffectivementlesmisesjoursonttransportesdansdesdatagrammesunicast.Unecapture Wiresharkauraitgalementpuconvenir.Avecunecommandedebugiprip: R110#debug ip rip RIP protocol debugging is on 00:02:26: RIP: received v1 update from 172.16.23.12 on FastEthernet0/1 00:02:26: 172.16.12.0 in 1 hops 00:02:26: 172.16.34.0 in 1 hops 00:02:26: 172.16.43.0 in 2 hops 00:02:26: 192.168.12.0 in 2 hops 00:02:38: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (172.16.32.11) 00:02:38: RIP: build update entries
- 17 -
00:02:38: subnet 172.16.11.0 metric 1 00:02:38: subnet 172.16.12.0 metric 2 00:02:38: subnet 172.16.23.0 metric 1 00:02:38: subnet 172.16.34.0 metric 2 00:02:38: RIP: sending v1 update to 172.16.23.12 via FastEthernet0/1 (172.16.23.11) 00:02:38: RIP: build update entries 00:02:38: subnet 172.16.11.0 metric 1 00:02:38: subnet 172.16.21.0 metric 2 00:02:38: subnet 172.16.32.0 metric 1 00:02:38: subnet 172.16.43.0 metric 2 00:02:47: RIP: received v1 update from 172.16.32.21 on Serial0/1 00:02:47: 172.16.21.0 in 1 hops 00:02:47: 172.16.34.0 in 2 hops 00:02:47: 172.16.43.0 in 1 hops 00:02:47: 192.168.12.0 in 2 hops R110#
b.ManipulationdelamtriquedeRIP
Scnario : la connectivit doit absolument tre assure entre LAN12 et LAN21. Ladministrateur se propose dajouterunliendesecoursentreR120etR210,lienquidevratreprisencompteparRIPmaisuniquementencas dedfaillancedesroutesprexistantes.Lecontextedevientdonclesuivant:
LeproblmeestquelarudimentairemtriquedeRIPprivilgieralepassageparlaliaisonWAN33quinecoteque 1sautcontre2pourlesalternativesparR110etR220.Lasolutionatplaceicimaisellencessitelamiseen uvredelistesdaccsquinesontabordesquedanslechapitreGestiondetraficparlistedaccs(ACL)decet ouvrage. Deux solutions soffrent au lecteur : il cesse de lire en squence et aborde les listes daccs ou se contentedunelecturerapidedelasolutionpuislaplaceenattente. Lide consiste modifier la mtrique de RIP et pour ce faire, lIOS offre la commande offsetlist en mode de configurationderouteur.Cettecommandepermetdemodifierauchoixunemtriqueannonce(ajouterunoffset lavaleurquauraitannonceRIPpuisannoncerlamtriquefalsifie)ouunemtriquereue(ajouterunoffsetla mtriquereueavantdedroulerlalgorithmeRIPetparsuiteplaceroupaslaroutedanslatablederoutage).La commande peut tre affecte une interface ou lensemble des interfaces du routeur. Sa syntaxe est la suivante: offset-list {access-list-number | access-list-name} {in | out} offset [interfacetype interface-number] Ilfautavoiraupralablecrunelistedaccsafindespcifierquellesroutesdoiventtreprisesencompteparla commandeoffsetlist. Dans le cas prsent, sur R120, ladministrateurdcidedeprovoquerlajout dun offset gal 2 sur les annonces issuesdeR210viaS0/2quandellesconcernentlerseauLAN21.Puisdefaonsymtrique,surR210,provoquer lajoutdunoffsetgal2surlesannoncesissuesdeR120viaS0/2quandellesconcernentlerseauLAN12:
- 18 -
tape1:crationdunelistedaccsstandardsurR120
I
laide dune commande accesslist. Le masque gnrique 0.0.0.0 spcifie que tous les bits de ladresse spcifie172.16.21.0doiventcorrespondre:
R120(config)#access-list 1 permit 172.16.21.0 0.0.0.0 tape2:miseenuvredelacommandeoffsetlistsurR120

I
Enmodeconfigurationderouteur:
R120(config)#router rip R120(config-router)#offset-list 1 in 2 s0/2 R120(config-router)#^Z R120# tape3:crationdunelistedaccsstandardsurR210

I
laide dune commande accesslist. Le masque gnrique 0.0.0.0 spcifie que tous les bits de ladresse spcifie172.16.12.0doiventcorrespondre:
R210(config)#access-list 1 permit 172.16.12.0 0.0.0.0 tape4:miseenuvredelacommandeoffsetlistsurR120

I
Enmodeconfigurationderouteur:
R210(config)#router rip R210(config-router)#offset-list 1 in 2 s0/2 R210(config-router)#exit R210(config)#^Z R210# tape5:recettedelasolution

I
ObservezsurR120lesdeuxroutescotgalparR110etR220versLAN21.LalternativeparWAN33nestpas danslatablecarsoncotestsuprieur(3).
- 19 -
R120#sh ip Codes: C ......... ia - IS-IS ......... Gateway of
route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP inter area, * - candidate default, U - per-user static route last resort is 172.16.34.22 to network 0.0.0.0
R R C C R C C R R* R120#
172.16.0.0/24 is subnetted, 8 subnets 172.16.43.0 [120/1] via 172.16.34.22, 00:00:17, Serial0/1 [120/1] via 172.16.33.21, 00:00:26, Serial0/2 172.16.32.0 [120/1] via 172.16.23.11, 00:00:01, FastEthernet0/1 [120/1] via 172.16.33.21, 00:00:26, Serial0/2 172.16.33.0 is directly connected, Serial0/2 172.16.34.0 is directly connected, Serial0/1 172.16.21.0 [120/2] via 172.16.23.11, 00:00:01, FastEthernet0/1 [120/2] via 172.16.34.22, 00:00:17, Serial0/1 172.16.23.0 is directly connected, FastEthernet0/1 172.16.12.0 is directly connected, FastEthernet0/0 172.16.11.0 [120/1] via 172.16.23.11, 00:00:01, FastEthernet0/1 0.0.0.0/0 [120/1] via 172.16.34.22, 00:00:17, Serial0/1
ObservezsurR210lesdeuxroutescotgalparR110etR220versLAN12.LalternativeparWAN33nestpas danslatablecarsoncotestsuprieur(3). route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP inter area, * - candidate default, U - per-user static route last resort is 172.16.43.22 to network 0.0.0.0
C C C R C R R R R* R210#
172.16.0.0/24 is subnetted, 8 subnets 172.16.43.0 is directly connected, Serial0/0 172.16.32.0 is directly connected, Serial0/1 172.16.33.0 is directly connected, Serial0/2 172.16.34.0 [120/1] via 172.16.43.22, 00:00:05, Serial0/0 [120/1] via 172.16.33.12, 00:00:04, Serial0/2 172.16.21.0 is directly connected, FastEthernet0/0 172.16.23.0 [120/1] via 172.16.32.11, 00:00:13, Serial0/1 [120/1] via 172.16.33.12, 00:00:04, Serial0/2 172.16.12.0 [120/2] via 172.16.32.11, 00:00:13, Serial0/1 [120/2] via 172.16.43.22, 00:00:05, Serial0/0 172.16.11.0 [120/1] via 172.16.32.11, 00:00:13, Serial0/1 0.0.0.0/0 [120/1] via 172.16.43.22, 00:00:05, Serial0/0
Ladministrateurveutvrifierquelautomatismefonctionne.Pourcefaire,ilfaitpasserlesdeuxrouteursR110et R220 ltat down (sous GNS3, effectuez un clic droit sur chacun des routeurs puis Suspendre). La route de secoursviaWAN33apparatpresqueimmdiatementsurR210:
04:29:41: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to down 04:29:51: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down R210#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 172.16.0.0/24 is subnetted, 6 subnets 172.16.32.0 [120/2] via 172.16.33.12, 00:00:23, Serial0/2 172.16.33.0 is directly connected, Serial0/2 172.16.21.0 is directly connected, FastEthernet0/0 172.16.23.0 [120/1] via 172.16.33.12, 00:00:23, Serial0/2
R C C R
- 20 -
R R R210#
172.16.12.0 [120/3] via 172.16.33.12, 00:00:23, Serial0/2 172.16.11.0 [120/2] via 172.16.33.12, 00:00:23, Serial0/2
LetempsdeconvergenceestbeaucouppluslongsurR120.CecisexpliqueparlefaitqueR120estconnect R110 par un lien LAN. Suspendre R110 nest pas suffisant pour que le lien LAN passe ltat down (le commutateur reste actif). Il faut donc attendre lcoulement du temporisateur dinvalidation de la route vers LAN21via172.16.23.11:
R120#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets 172.16.33.0 is directly connected, Serial0/2 172.16.21.0 [120/3] via 172.16.33.21, 00:00:10, Serial0/2 172.16.23.0 is directly connected, FastEthernet0/1 172.16.12.0 is directly connected, FastEthernet0/0
C R C C R120#
c.Propagationdelaroutepardfaut
Pourlacirconstance,modifionsunpeunotrecontexte:
Le scnario est le suivant : sur R220, nous installerons une route par dfaut vers le routeur FAI puis nous assureronsqueRIPpropageeffectivementcetterouteauxautresrouteursdelatopologie. tape1:surR220,dsactiverlapriseencompteparRIPdurseau192.168.12.0
I
laidedunecommandenonetwork:
R220(config)#router rip R220(config-router)#no network 192.168.12.0 R220(config-router)#^Z R220# tape2:surR220,activeruneroutepardfautverslerseau192.168.12.0 Uneroutepardfautstatiqueneconvientquesilonsouhaitetabliruneroutepardfautsurlerouteurlocal.Dans le cas prsent, on souhaite voir se propager la route par dfaut sur les autres routeurs et cest la commande ip defaultnetworkdjabordedanslechapitreLeroutagestatiquequifournitunesolution.Lasyntaxedecette
commandeestlasuivante: ip default-network network-number
Modedeconfigurationglobale. Si le routeur dispose dune interface directement connecte au rseau spcifi, le protocole de routage dynamiqueactivsurlerouteurannonceuneroutepardfautsurlesautresinterfaces.DanslecasdeRIP, laroutepardfautestsignifieparuneentredanslemessagedemisejourRIPdontladresseIPest 0.0.0.0.
Appliqueaucasprsent:
R220(config)#ip default-network ? A.B.C.D IP address of default network R220(config)#ip default-network 192.168.12.0 R220(config)#^Z R220# tape3:surR220,indiquerRIPdepropagerlaroutepardfaut
I
laidedelacommandedefaultinformationoriginateenmodedeconfigurationderouteur:
R220(config)#router rip R220(config-router)#default-information ? originate Distribute a default route R220(config-router)#default-information originate R220(config-router)#^Z R220# tape4:surFAI,activeruneroutestatiqueverslerseau172.16.0.0
I
laidedunecommandeiprouteenmodedeconfigurationglobale:
FAI(config)#ip route 172.16.0.0 255.255.0.0 192.168.12.1 FAI(config)#^Z FAI# tape5:recettedelasolution

I
VrifionslactivitdeRIPsurR220afindeconstaterlannoncedelaroutepardfaut:
R220#debug ip rip RIP protocol debugging is on R220# 00:55:03: RIP: sending v1 update to 255.255.255.255 via Serial0/0 (172.16.43.22) 00:55:03: RIP: build update entries 00:55:03: subnet 0.0.0.0 metric 1 00:55:03: subnet 172.16.12.0 metric 2 00:55:03: subnet 172.16.23.0 metric 2 00:55:03: subnet 172.16.34.0 metric 1 00:55:03: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (172.16.34.22) 00:55:03: RIP: build update entries 00:55:03: subnet 0.0.0.0 metric 1 00:55:03: subnet 172.16.21.0 metric 2 00:55:03: subnet 172.16.32.0 metric 2 00:55:03: subnet 172.16.43.0 metric 1 R220#
- 22 -
Ilrestevrifierlabonneinstallationdelaroutepardfautsurlesrouteurs:
R220#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... ia - IS-IS inter area, * - candidate default, U - per-user static route ......... Gateway of last resort is not set * 192.168.12.0/25 is subnetted, 1 subnets C* 192.168.12.0 is directly connected, FastEthernet0/0 172.16.0.0/24 is subnetted, 7 subnets C 172.16.43.0 is directly connected, Serial0/0 R 172.16.32.0 [120/1] via 172.16.43.21, 00:00:12, Serial0/0 C 172.16.34.0 is directly connected, Serial0/1 R 172.16.21.0 [120/1] via 172.16.43.21, 00:00:12, Serial0/0 R 172.16.23.0 [120/1] via 172.16.34.12, 00:00:01, Serial0/1 R 172.16.12.0 [120/1] via 172.16.34.12, 00:00:01, Serial0/1 R 172.16.11.0 [120/2] via 172.16.43.21, 00:00:12, Serial0/0 [120/2] via 172.16.34.12, 00:00:01, Serial0/1 R220# SurR110:
route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP inter area, * - candidate default, U - per-user static route last resort is 172.16.23.12 to network 0.0.0.0
R C R R C R C R* R110#
172.16.0.0/24 is subnetted, 7 subnets 172.16.43.0 [120/1] via 172.16.32.21, 00:00:07, Serial0/1 172.16.32.0 is directly connected, Serial0/1 172.16.34.0 [120/1] via 172.16.23.12, 00:00:00, FastEthernet0/1 172.16.21.0 [120/1] via 172.16.32.21, 00:00:07, Serial0/1 172.16.23.0 is directly connected, FastEthernet0/1 172.16.12.0 [120/1] via 172.16.23.12, 00:00:00, FastEthernet0/1 172.16.11.0 is directly connected, FastEthernet0/0 0.0.0.0/0 [120/2] via 172.16.23.12, 00:00:00, FastEthernet0/1 [120/2] via 172.16.32.21, 00:00:07, Serial0/1
4.Contrleetdpannage
RIP et sa configuration vous ont sembl simples. La mise en service et le dpannage ne prsentent pas plus de difficults. Quand des erreurs surviennent, elles sont la plupart du temps dues au nonrespect des contraintes imposesparleprotocole: lintrieurdunrseaumajeur,lesprfixesaffectsdoiventtreidentiquessurlensembledudomaineRIP.
Unrouteurquiannonceunrseaumajeurdoittrelarouteuniqueverscerseau.Cecicontraintmaintenir lacontigutentrelessousrseauxdunmmerseaumajeur. Donc,sidesroutesmanquentousidesroutessontincohrentes,rexaminezavecattentionvotreplandadressage etvotredcoupageensousrseaux.
5.Rsum
- 23 -
a.Lescaractristiquesretenir
G
LesmisesjourdeRIPsonttotales,priodiquesetdiffuses. LamtriquedeRIPestlenombredesauts.Unrseaudirectementconnectestannoncavecuncotde1. Uncotde16caractriseunrseauinjoignable. Enfixantlinfini16,RIPfixegalementlenombredesautsmaximaletdoncltenduedurseau15. Le partage dhorizon avec empoisonnement est destin prvenir la formation de boucles de routage. Il consiste ne pas retransmettre (version simple) ou retransmettre avec un cot de 16 (version empoisonnement)suruneinterfacelesroutesapprisesparcetteinterface. Lesmisesjourdclenchessontledispositifprvuparleprotocolepouracclrerlaconvergence. LefonctionnementdeRIPesttroitementlilentretiendeplusieurstemporisateurs:
G
Letemporisateurdemisejourrglelapriodequisparedeuxmissionsrguliresdemises jour. RIP associe chaque route une instance de temporisateur dinvalidation (180 secondes). Sans nouvelle de la route en question depuis le temps dinvalidation, la route est marque injoignable danslatablederoutage. RIP associe chaque route une instance de temporisateur deffacement (240 secondes). Sans nouvelledelaroutedepuiscetemps,larouteestsupprimedelatablederoutage.Ladiffrence entreletemporisateurdinvalidationetletemporisateurdeffacement(plusgrand)sexpliqueparla volont dannoncer la route comme tant injoignable pendant 60 secondes ce qui acclre la convergence. Limplmentation CISCO ajoute ces trois temporisateurs du standard, le temporisateur de retenue. Chaque fois quun routeur reoit une mise jour dans laquelle le cot dune route dj connue augmente, le routeur arme ce temporisateur et refuse toute mise jour pour cette route tantqueletemporisateurnapasexpir. Les annonces de routes ne comportent pas linformation de masque ce qui aboutit un comportementditavecclasse.
b.Lescommandesretenir
Commande routerrip Mode Configuration globale Configurationde routeur Configurationde routeur Configurationde routeur Modeutilisateur Modeutilisateur Description ActiveleprocessusRIP.
network@IP_rseau_majeur
IndiqueauprocessusRIPquecerseaumajeur doittreprisencompte. Activelenvoidemisesjourunicastversce voisin. Cesselenvoidemisesjoursurlinterface spcifie. AffichelensembledesroutesissuesdeRIP. Affichelesparamtresetltatactueldu protocolederoutageactivsurlerouteur.
neighbor@IP_voisin
passiveinterfaceinterface typeinterfacenumber showiprouterip showipprotocols
- 24 -
debugiprip
Modeprivilgi
Afficheentempsrelletraficdacheminement RIP. Ajouteouretrancheunoffsetlamtrique recueouannoncedunerouteconformeaux critresdunelistedaccs. Ajustelesvaleursinitialesdestemporisateurs.
offsetlist{ accesslistnumber| accesslistname}{ in|out}offset [interfacetypeinterfacenumber] timersbasicupdateinvalidholddown flush outputdelaydelay
Configuration globale
Configurationde routeur Configurationde routeur
Introduitunespacedetempsminimalde850 millisecondesentredeuxmissionsdemises jourRIP,utilepourquunrouteurlentpuisse saccommoderdesmisesjourissuesdun routeurpuissant.
6.Atelier:MiseenuvreduneconfigurationRIP
Vousvoilpromuadministrateurdurseauobjetdelamiseensituationprcdente.Vousremarquezqueleliende secoursWAN33estuneressourcedormanteetsouhaiteztablirunpartagedechargecotgalsurtroisroutes entreLAN12etLAN21.Lestroisroutessontconstituesdesdeuxroutesexistantesauxquellesdevraitsadditionner larouteparWAN33. ModifiezlaconfigurationdeR120etdeR210enconsquence,sansremettreencauselechoixduprotocoleRIP. UnesolutionestproposeauchapitreAteliersetexercicescorrigs.
- 25 -
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Lesrouteursdecettetopologiemettenttousen uvreRIP.CombiendemisesjourRIPsontncessaires avantquechacundesrouteursconnaissetouslesrseaux?
2 QuelprotocoledetransportetquelportutiliseRIP? 3 QuelleestlutilitduchampTTL(Timetolive)delentteIP? 4 QuellemtriqueleprotocoleRIPconsidretilcommeinfinie? 5 CitezdeuxmcanismesdeRIPdontlobjetestdeprvenirlaformationdebouclesderoutage. 6 Tentezdedfinirunebouclederoutage. 7 QuelleestlutilitdelavariableRIP_JITTERdeCisco? 8 Tentezdersumerlargledepartagedhorizonenunephrase. 9 QuelleestlutilitdutemporisateurgarbagecollectiontimerdeRIP? 10 ObservezlatopologiecidessouspuislatablederoutagedurouteurR110h.Quevousinspirecettetablede routageetnotammentlespartiesengras?
LatablederoutagedeR110h: R110h#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP .........
- 1-
Gateway of last resort is 10.0.1.98 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks C 10.0.1.0/27 is directly connected, FastEthernet0/0 C 10.0.1.96/30 is directly connected, Serial0/0 R 10.0.1.192/27 [120/2] via 10.0.1.98, 00:00:09, Serial0/0 R 10.0.1.228/30 [120/1] via 10.0.1.98, 00:00:09, Serial0/0 R* 0.0.0.0/0 [120/1] via 10.0.1.98, 00:00:09, Serial0/0 R110h# 11 Observezlextraitdetablederoutagecidessous.Ladministrateurconstatequelaroutevers172.16.12.0est enralitinactive.CombiendetempsfaudratilencoreattendrepourqueRouter2marquecetteroute injoignableenluiattribuantlamtrique16? Router2#show ip route 172.16.12.0 Routing entry for 172.16.12.0/24 Known via "rip", distance 120, metric 2 Redistributing via rip Last update from 172.16.33.12 on Serial0/2, 00:00:39 ago Routing Descriptor Blocks: 172.16.33.12, from 172.16.33.12, 00:00:39 ago, via Serial0/2 Route metric is 2, traffic share count is 1 R210# 12 Quellecommandemettezvousprofitpourdcouvrirouvrifierlesparamtresetltatactuelduprotocolede routageactivsurlerouteur? 13 Observezlatopologiecidessous.Combienderoutessontprsentesdanslatablederoutagedurouteur R110?
14 Observezlextraitdetablederoutagecidessous.QuellecommandeatsaisiesurR120gpourconfigurerla passerellededernierrecours? R120g#sh ip route ......... Gateway of last resort is 10.0.1.230 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.1.192/27 is directly connected, FastEthernet0/0 C 10.0.1.228/30 is directly connected, Serial0/1 S* 0.0.0.0/0 [1/0] via 10.0.1.230 R120g# 15 QueltraitdecomportementdeRIPdanscetteversion1estilunanimementconsidrcommeunelimitedu protocole? 16 CommentRIPprvientillestemptesdemisesjourdclenches?
- 2-
2.Rsultats
3.Rponses
1 Lesrouteursdecettetopologiemettenttousen uvreRIP.CombiendemisesjourRIPsontncessairesavantque chacundesrouteursconnaissetouslesrseaux?
Troismaissitouslesrouteursontdmarrensemble,cecidevraitdemander60secondescarlapremiremisejourest miseimmdiatement(reliresincessairelasectionLeroutageparlarumeur). 2 QuelprotocoledetransportetquelportutiliseRIP? RIPsappuiesurUDP.UnmessageRIPesttransportparundatagrammeUDPdontlesdeuxportssourceetdestination sont520(reliresincessairelasectionLeprotocole,messageschangs). 3 QuelleestlutilitduchampTTL(Timetolive)delentteIP? Sur8bits,duredeviedudatagrammedanslerseauexprimeensecondes.Chaquerouteurquifaittransiterlepaquet dcrmenteladuredeviedaumoins1quelquesoitletempsinfrieur1passdanslerouteur.Enpratique,cechamp estdoncpluttconsidrercommeunnombredesautsmaximumquilimitelaportedupaquetmaissurtoutquipermet dliminerundatagrammequierreraitdanslerseausansjamaisatteindresondestinataire(bouclederoutage)(relire sincessairelechapitreLeprotocoleIPdelouvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertifications auxEditionsENI). 4 QuellemtriqueleprotocoleRIPconsidretilcommeinfinie? Unerouteinjoignableestsignifieparunemtriquede16(reliresincessairelasectionLecomptagelinfini). 5 CitezdeuxmcanismesdeRIPdontlobjetestdeprvenirlaformationdebouclesderoutage.
G
Lepartagedhorizon Lempoisonnementderoutesinverses.
(ReliresincessairelasectionLeprotocole,messageschangs.) 6 Tentezdedfinirunebouclederoutage. Unebouclederoutageestconstituelorsquunesuccessionderoutessurunesuccessionderouteursformeuneboucle.Un paquetquientredanscetteboucletourneindfinimentsansjamaisatteindresondestinataire,cejusqupuisement desonTTL(reliresincessairelasectionPrventiondesbouclesderoutage). 7 QuelleestlutilitdelavariableRIP_JITTERdeCisco? PrvenirlescollisionsdemisesjourRIP(reliresincessairelasectionCollisiondemisesjour).
- 3-
8 Tentezdersumerlargledepartagedhorizonenunephrase. Nepasretransmettreversunesourcelesinformationsacquisesdepuiscettesource(reliresincessairelasectionPartage delhorizon). 9 QuelleestlutilitdutemporisateurgarbagecollectiontimerdeRIP? Cestletemporisateurchargdeleffacementderoutespourlesquellesonestsansnouvelles.Lavaleurpardfautdece temporisateur est tablie 240 secondes, soit 60 secondes audel du temporisateur dinvalidation. Pendant ces 60 secondes, la route est marque injoignable mais reste dans la table. Elle est donc annonce avec la mtrique injoignable (16)danslesmisesjourderoutagependantces60secondes.lexpirationdutemporisateurdeffacement,larouteest effacedelatablederoutage(reliresincessairelasectionLestemporisateursdeRIP). 10 ObservezlatopologiecidessouspuislatablederoutagedurouteurR110h.Quevousinspirecettetablederoutage etnotammentlespartiesengras?
LatablederoutagedeR110h: R110h#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is 10.0.1.98 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks C 10.0.1.0/27 is directly connected, FastEthernet0/0 C 10.0.1.96/30 is directly connected, Serial0/0 R 10.0.1.192/27 [120/2] via 10.0.1.98, 00:00:09, Serial0/0 R 10.0.1.228/30 [120/1] via 10.0.1.98, 00:00:09, Serial0/0 R* 0.0.0.0/0 [120/1] via 10.0.1.98, 00:00:09, Serial0/0 R110h# Lacommande default informationoriginateatentresurlerouteurR80hdefaoncequeRIPpropagelaroutepar dfautdontildisposeversFAIh(reliresincessairelasectionPropagationdelaroutepardfaut). 11 Observez lextrait de table de routage cidessous. Ladministrateur constate que la route vers 172.16.12.0 est en ralitinactive.CombiendetempsfaudratilencoreattendrepourqueRouter2marquecetterouteinjoignableenlui attribuantlamtrique16? Router2#show ip route 172.16.12.0 Routing entry for 172.16.12.0/24 Known via "rip", distance 120, metric 2
- 4-
Redistributing via rip Last update from 172.16.33.12 on Serial0/2, 00:00:39 ago Routing Descriptor Blocks: 172.16.33.12, from 172.16.33.12, 00:00:39 ago, via Serial0/2 Route metric is 2, traffic share count is 1 R210# Ladernireannonceconcernantcetterouteremonte39secondes.Enlabsencedautrevnement,ilfaudraencore180 39=141secondesautemporisateurdinvalidationpourmarquercetterouteinjoignable(reliresincessairelasectionLes temporisateursdeRIP). 12 Quelle commande mettezvous profit pour dcouvrir ou vrifier les paramtres et ltat actuel du protocole de routageactivsurlerouteur? Unecommandeshowipprotocolsesttoutindique(reliresincessairelasectionLescommandesretenir). 13 Observezlatopologiecidessous.CombienderoutessontprsentesdanslatablederoutagedurouteurR110?
Quatre routes : deux routes directement connectes 192.160.11.0 et 192.168.19.0, une route vers le rseau majeur 192.168.8.0 au cot de 1 et une route vers le rseau majeur 10.0.0.0 au cot de 1. R80 est le routeur de bordure du rseaumajeur10.0.0.0quiestannoncdanssonentier(reliresincessairelasectionComportementavecclasse). 14 Observez lextrait de table de routage cidessous. Quelle commande a t saisie sur R120g pour configurer la passerellededernierrecours? R120g#sh ip route ......... Gateway of last resort is 10.0.1.230 to network 0.0.0.0 10.0.0.0/8 isvariablysubnetted, 2 subnets, 2 masks C 10.0.1.192/27 isdirectlyconnected, FastEthernet0/0 C 10.0.1.228/30 isdirectlyconnected, Serial0/1 S* 0.0.0.0/0 [1/0] via 10.0.1.230 R120g# LacommandeestcellepermettantlajoutduneroutestatiqueetRIPnyestdoncpourrien: R120g(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230 (ReliresincessairelechapitreLeroutagestatiqueRoutespardfaut.) 15 Quel trait de comportement de RIP dans cette version 1 estil unanimement considr comme une limite du protocole? LefaitquelesmisesjourdeRIPnecomportentpaslinformationdemasque(reliresincessairelasectionComportement avecclasse).
16 CommentRIPprvientillestemptesdemisesjourdclenches? Unrouteurquiperoitunchangementdecotsuitelarceptiondunemisejourdclenchediffresapropremission demisesjourdclenchesduntempsalatoirecomprisentre1et5secondes,ceafindviterquelvnementdedpart (le changement de topologie) ne se transforme en tempte de mises jour (relire si ncessaire la section Les temporisateursdeRIP).
- 6-
Prrequisetobjectifs
1.Prrequis
2.Objectifs
lafindecechapitre,vousserezenmesurede: ComparerladressageIPparclasseetsansclasse. Dcrirelescomportementsderoutageparclasseetsansclassedansdesrseauxrouts. Concevoiretmettreen uvreunschmadadressageIPsansclassepourunrseaudonn.
- 1-
Adressageavecclasse,rappel
En septembre 1981, est publi le RFC790 qui entrine la cration de trois classes dadresses A, B et C. Le procd retenutentedesatisfairetoutlemondepuisquilpermetlacoexistencededcoupages( splits)diffrents.Lacration desclassesDetEnestintervenuequeplustard.Cesystmedeclassesaperdurjusqulafindesannes1990. Pourquoi tudier un systme obsolte aujourdhui ? Parce que son importance fut telle sur les dveloppements dInternet quinvitablement, on rencontre de faon rgulire des rfrences aux classes. Les nouvelles versions du cursusCCNAnommentladressageavecclasses:adressagehrit.
1.AdressesdeclasseA
126rseauxpossibles:
G
PremireadressedeclasseA:1.0.0.1 DernireadressedeclasseA:126.255.255.254 Masquenaturel:255.0.0.0 Lesadressesrseau0et127sontrserves.
Identificateurshtesparticuliers:
G
Uneadresse0.0.0neconstituepasunidentificateurdestationvalide. 255.255.255estutilispourlebroadcast(diffusion)surtouteslesmachinesdurseau@Rseau.
Enfinal,unrseaudeclasseApeutcomprendre224 2=16777214adresses. Les adresses de classe A sont dfinies sur 31 bits (32 bits dont 1 bit impos) et consomment donc la moiti de lespace dadressage IP (environ 2 milliards dadresses). Ctait un paradoxe du mcanisme adopt alors, les adressesrseaudeclasseAtantlesplusdifficilesattribuer(ilnyenaque126).
2.AdressesdeclasseB
16384rseauxpossibles:
G
PremireadressedeclasseB:128.0.0.1
- 1-
DernireadressedeclasseB:191.255.255.254 Masquenaturel:255.255.0.0
LesrseauxdeclasseBtaientvidemmentattribus aucomptegoutte ,ilfallaitjustifierdun parc daumoins 10000 machines. On peut citer lentreprise EDF qui a obtenu 18 adresses rseau de classe B, ce qui reprsente 1179612adressespossiblesenthorie. Identificateurshtesparticuliers:
G
Uneadresse0.0neconstituepasunidentificateurdestationvalide. 255.255 estutilispourlebroadcast(diffusion)surtouteslesmachinesdurseau@Rseau.
Enfinal,unrseaudeclasseBpeutcomprendre216 2=65534adresses. LesadressesdeclasseBsontdfiniessur30bits(32bitsdont2imposs)etconsommentdonclamoitidelespace nondjconsommparlesadressesdeclasseA,soitenviron1milliarddadresses.
3.AdressesdeclasseC
2097152rseauxpossibles:
G
PremireadressedeclasseC:192.0.0.1 DernireadressedeclasseC:223.255.255.254 Masquepardfaut:255.255.255.0
Identificateurshtesparticuliers:
G
Uneadresse0 neconstituepasunidentificateurdestationvalide. 255 estutilispourlebroadcast(diffusion)surtouteslesmachinesdurseau@Rseau.
Enfinal,unrseaudeclasseCpeutcomprendre2 24 2=254adresses. LesadressesdeclasseCsontdfiniessur29bits(32bitsdont3imposs)etconsommentdonclamoitidelespace non dj consomm par les adresses de classe A et de classe B, soit environ 500 millions dadresses. Ainsi, les adresseslesplusfacilesattribuertaienthlaslesmoinsnombreuses.
4.AdressesdeclasseDetE
Les adresses de classe D sont utilises pour identifier des groupes de machines et permettre des communications multicast (traduisible par multi diffusion). Un paquet multicast est un paquet destin plusieurs machines (le broadcastlui,estdestintouteslesmachinesdunrseau).LesadressesdeclasseDcommenantparlasquence debits1110,lepremieroctetduneadressedeclasseDestcomprisentre224et239. UneadressedeclasseDesttoujoursuneadressededestination
Exemple: OSPF(OpenShortestPathFirst)estlundesprotocolesderoutagetudisdanscetouvrage.Dansunrseaumettant en uvredesrouteurs,ilestpossibledejoindrelensembledesrouteursOSPFenenvoyantunpaquetladresse dedestination224.0.0.5. Toujoursenapproximant,surles4milliardsdadressesIPpossibles,lesclassesA,BetCreprsentent3.5milliards, lesclassesDetEreprsententchacune250millions.
- 2-
5.Calculeruneclassedadresses
Ladministrateur rseau devrait retenir les valeurs frontires du premier octet de faon pouvoir identifier immdiatement quelle classe appartient une adresse IP et par suite dduire quel est le masque naturel correspondant:
6.ClassesdadressesetRFC
Les numros assigns utiliss par la pile de protocoles TCP/IP ont fait lobjet de publications rgulires partir du RFC349 datant de mai 1972 jusqu lultime RFC1700 datant doctobre 1994. Parmi ces RFC, le RFC790, publi en septembre1981,dfinitlesclassesA,BetC.LesadressesaudeldesclassesA,BetC,cestdirepartirdela valeur224(1e roctet),sontsimplementrserves.LeRFC1700mentionneles5classesAE. partir de 1994, les mises jour trop frquentes des numros dInternet obligent lIANA crer une base de donnesenlignequipermettralapublicationdesnumrosjourentempsrel,baseconsultablesurwww.iana.org. LeRFC3232entrinecefonctionnementenjanvier2002,rendantobsolteleRFC1700.
- 3-
Structurationparsousrseaux
RFCutiles:
G
RFC950InternetstandardSubnettingProcedureAot1985
Internet sest trouv un temps menac par la pnurie dadresses. Le rseau n dans les annes 1980 tait alors confidentiel, lespace dadressage paraissait plus que suffisant et on a sans doute lpoque distribu les blocs dadresses avec un peu de lgret. Le systme de classes contribuait au gaspillage, les besoins des entreprises tantsouventsuprieursceuxpouvanttresatisfaitsparlaclasseCsanstoutefoisjustifierlattributiondadresses de classe B. Ladressage par classes est devenu tout fait inadapt mais il fallait pourtant tenter de prserver les attributionsdjralises. Une partie de solution a t adopte en 1985 en proposant la possibilit de structurer lespace dadressage dun rseaudeclasseA,BouC:
Lideconsisteemprunterunnombredebitsdfinirdansladressehteafindenfaireuneadressedesous rseau:
G
1 bit emprunt permet de dfinir deux sousrseaux et donc de diviser lespace de dpart en deux parties gales. 2bitsempruntspermettentdedfinir4sousrseaux(casdelillustration). 3bitsempruntspermettentdedfinir8sousrseauxetainsidesuite.
Vu de lextrieur, ladresse du rseau est toujours valide, un datagramme destin lune des machines de lun quelconquedessousrseauxesttoujourstransportparlInternetenmettantprofitladresserseau,ilnyadonc pasdimpactsurlInternetmondial. linterne par contre, il devient possible pour lentreprise de mieux structurer son espace dadressage et cela peut contribuer viter des demandes de blocs dadresses supplmentaires dont lobjet ne serait pas de pourvoir un besoindadressesmaisbiendepermettrecettestructuration. Cestladministrateurquilrevientdefixerlafrontireentreladressesousrseauetladressehteselonlesbesoins delentreprise,chaquebitempruntsupplmentairemultipliepar2lenombredesousrseauxetdivisepardeuxle nombrepotentieldemachineslintrieur dunsousrseau. Les critres sont au choix, soit le nombre de machines quilluifautatteindredanschaquesousrseau,soitlenombredesousrseauxquilluifautconstituer.
1.DcouperuneadressedeclasseC
- 1-
LouvrageNotiondebasesurlesrseauxavaitproposunemthodebinairepourraliserledcoupageensous rseaux.Faisonsunpeudiffrentcettefoisenproposantunemthodededcoupagerapide. Nous disposons des 8 bits de poids faible de ladresse IP, le tableau suivant inventorie les masques thoriques possibles: B8 B7 B6 B5 B4 B3 B2 B1 Masque rsultant(4e octet) Nombre despaces rsultants Taillede chaque espace AdressesIP potentielles
Poids Exclu Permis Permis Permis Permis Permis Exclu
128 64 32 16 8 1 1 1 1 1 1 1 0 1 1 1 1 1 1 0 0 1 1 1 1 1 0 0 0 1 1 1 1 0 0 0 0 1 1 1
4 0 0 0 0 0 1 1
2 0 0 0 0 0 0 1
1 0 0 0 0 0 0 0 128 192 224 240 248 252 254 2 4 8 16 32 64 128 128 64 32 16 8 4 2 126 62 30 14 6 2 0
LeRFCinterdituneadressedesousrseaudonttouslesbitssont0carilseraitimpossiblededistinguerladresse desousrseaudeladresserseau.Exemple:ladministrateursouhaitestructurerladressedeclasseC192.168.1.0 aveclemasque255.255.255.192.Lesquatreadressesdesousrseaupotentiellessont192.168.1.0,192.168.1.64, 192.168.1.128et192.168.1.192.Maislapremiredecesquatreadressesnesedistinguepasdeladresserseau originale. De la mme faon, le RFC interdit une adresse de sousrseau dont tous les bits sont 1 car cette fois, cest ladresse de diffusion du sousrseau quil est impossible de distinguer de ladresse de diffusion du rseau. En conservant le mme exemple, ladresse de diffusion du sousrseau 192.168.1.192 est 192.168.1.255, soit galementladressedediffusiondurseau. Ilestpossibledersumerdefaonsimplecesdeuxrestrictions:lorsdundcoupageensousrseaux,lepremieret le dernier sousrseaursultantsdudcoupagesontinterdits.Autreconsquence,lemasquedesousrseau128 estdefaitimpossibleutiliserpuisquilnecrequedeuxsousrseaux.Nousverronsunpeuplustardquecesdeux restrictionsnontpluscourslheuredudcoupageVLSM. Dernier point mais non le moindre : dans lespace cr par un sousrseau, ladresse hte 0 (tous les bits de ladresse hte zro) est utilise pour dsigner le sousrseau. Ladresse hte dont tous les bits sont 1 est ladressedediffusiondusousrseau.Laconsquenceestquedansunespacedexadresses,lesadressesutiles, cestdirecellesquiserontaffectesdeshtes,nesontquex2.Cestlaraisonpourlaquellelemasque254est exclu. Traitonsdeuxexemplespourseconvaincredelafacilitdelachose: Exemple1:255.255.255.192(/26) Il sagit de dcouper ladresse de classe C 192.168.1.0 avec le masque de sousrseau 255.255.255.192. Astreignonsnousfixerlecadreenrpondantsystmatiquementcesquelquesquestions:
G
Combien de sousrseaux possibles ? Le masque de sousrseau comporte deux bits, la rponse est 2 2
- 2-
2 = 2.
G
Combiendhtesparsousrseau?Ladressehtecomporte6bits,larponseest2 6 2=62. Quelssontlessousrseauxvalides?Cesticiquilestpossibledegagnerdutemps.Enremarquantquela tailledunespacersultantdudcoupageestdonnepar256 masque=256192=64.Ilsetrouveque cest aussi le pas dincrmentation dans les sousrseaux. Les espaces rsultants sont 0, 64, 128 et 192 mais,pourlesraisonsprcdemmentvoques,lesseulssousrseauxvalidessont64et128. Quellessontlesadressesdediffusiondechaquesousrseau?Pourchaquesousrseau,cestladernire adresse de lespace considr, cestdire ladresse qui prcde immdiatement ladresse de sousrseau suivant.Exemple:lesousrseau128suitlesousrseau64.Ladressedediffusiondurseau64estdonc 127quiprcdeimmdiatement128.Delammefaon,ladressedediffusiondusousrseau128est191. Quelles sont les adresses htes valides ? Pour chaque sousrseau, ce sont les adresses comprises entre ladressedusousrseauetladressedediffusion.
Untableaudevraitencoreclarifierlamthode:
Exemple2:255.255.255.240(/28) Il sagit de dcouper ladresse de classe C 192.168.1.0 avec le masque de sousrseau 255.255.255.240. Astreignonsnousfixerlecadreenrpondantsystmatiquementcesquelquesquestions:
G
Combiendesousrseauxpossibles?Lemasquedesousrseaucomportequatrebits,larponseest2 4 2 = 14. Combiendhtesparsousrseau?Ladressehtecomporte4bits,larponseest2 4 2=14. Quels sont les sousrseaux valides ? La taille dun espace rsultant du dcoupage est donne par 256 masque = 256 240 = 16. Les espaces rsultants sont 0, 16,32, 48, 64, 80, 96, 112, 128, 144, 160, 176, 192,208,224et240,pourlesraisonsprcdemmentvoques,ilfautexclurelessousrseaux0et240. Quellessontlesadressesdediffusiondechaquesousrseau?Pourchaquesousrseau,cestladernire adresse de lespace considr, cestdire ladresse qui prcde immdiatement ladresse de sousrseau suivant.Exemple:lesousrseau128suitlesousrseau112.Ladressedediffusiondurseau112estdonc 127quiprcdeimmdiatement128.Delammefaon,ladressedediffusiondusousrseau128est143. Quelles sont les adresses htes valides ? Pour chaque sousrseau, ce sont les adresses comprises entre ladressedusousrseauetladressedediffusion.
Letableausuivantsynthtiselesrsultats:
- 3-
a.Lacommandeipsubnetzero
Lacommande ipsubnetzeroenmodedeconfigurationglobalepermetdepasseroutrelarglequiinterdisaitles adresses de sousrseau exclusivement composes de 0. Et cette commande est entre par dfaut depuis la version 12 de lIOS. Puisque lIOS tolre galement que ladministrateur utilise une adresse de sousrseau exclusivement compose de 1, on regagne ainsi les deux sousrseaux placs aux deux extrmits de lespace dcoup.Autreconsquence,lemasque255.255.255.128estnouveauvalide.
b.Lesubnettingmental
Il est admis aujourdhui que conserver une activit cognitive simple pourrait diviser par 2 le risque de maladie dAlzheimer. Apportons notre pierre ldifice en tentant dexprimer mentalement quel sousrseau appartient uneadresseIPquelconque. Exemple1:192.168.1.71,masque255.255.255.224 Latailledunespacersultantdudcoupageest256masque=256224=32.Lesespacesrsultantssont0,32, 64, 96, 128, 160, 192 et 224. Ladresse 71 est comprise entre 64 et 96. On dduit que le sousrseau est 192.168.1.64. Exemple2:192.168.1.45,masque255.255.255.248 La taille dun espace rsultant du dcoupage est 256 masque = 256 248 = 8. Incrmentons les espaces rsultantsjusquencadrerladresseIP:0,8,16,24,32,40,48...Ladresse45estcompriseentre40et48.On dduitquelesousrseauest192.168.1.40.
2.DcouperuneadressedeclasseB
En disposant des 16 bits de poids faible de ladresse IP, les masques possibles sont videmment beaucoup plus nombreux: 255.255.128.0 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 /17 /18 /19 /20 /21 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 /24 /25 /26 /27 /28
- 4-
255.255.252.0 255.255.254.0
/22 /23
255.255.255.248 255.255.255.252
/29 /30
Exemple1:255.255.192.0(/18) IlsagitdedcouperladressedeclasseB172.16.0.0aveclemasquedesousrseau255.255.192.0.
G
Combien de sousrseaux possibles ? Le masque de sousrseau comporte deux bits, la rponse est 2 2 2 = 2. Combiendhtesparsousrseau?Ladressehtecomporte14bits,larponseest2 14 2 = 16 382. Quels sont les sousrseaux valides ? La taille dun espace rsultant du dcoupage est donne par 256 masque = 256 192 = 64. Attention, on parle ici du 3e octet. Il se trouve que cest aussi le pas dincrmentationdanslessousrseaux.Lesespacesrsultantssont0,64,128et192dontoncarteraou paslessousrseaux0et192.
Quellessontlesadressesdediffusiondechaquesousrseau? Quellessontlesadresseshtesvalides?
Untableaudevraitclarifierlamthode:
Par rapport au dcoupage dun rseau de classe C, il a fallu ajouter le 4 e octet, 0 quand il sagissait dexprimer ladresserseau,255quandilsagissaitdexprimerladressedediffusion. Exemple2:255.255.255.128(/25) IlsagitdedcouperladressedeclasseB172.16.0.0aveclemasquedesousrseau255.255.255.128.
G
Combien de sousrseaux possibles ? Le masque de sousrseau comporte neuf bits, la rponse est 2 9 2 = 510. Combiendhtesparsousrseau?Ladressehtecomporte7bits,larponseest2 7 2 = 126. Quels sont les sousrseaux valides ? La taille dun espace rsultant du dcoupage est donne par 256 masque = 256 255 = 1dansle3e octet et par 256 masque = 256 128 = 128 dans le 4e octet.Lepas dincrmentationrsultantest0.128.Lesespacesrsultantssont0.0,0.128,1.0,1.128,2.0,2.128donton carteraoupaslessousrseaux0.0et255.128.
- 5-
Quellessontlesadressesdediffusiondechaquesousrseau? Quellessontlesadresseshtesvalides?
Letableausuivantsynthtiseunepartiedesrsultats:
- 6-
Ladressagesansclasse
1.MasquedelongueurvariableVLSM
RFCutiles:
G
RFC1812RequirementsforIPVersion4RoutersJuin1995
Dansledcoupagedunrseauavecclasse,nousavonsobservquiltaitpossibledefragmenterlerseauinitialde la faon la plus grossire la faon la plus fine. Hlas, la volont dpouser au mieux les besoins de structuration duneorganisationseheurtelacontrainteimposeparlemasquefixe. Danslemmetemps,ilfautsesouvenirque,vudelextrieur,laroutequimneverscetensembledesousrseaux ntait pas modifie par lopration de dcoupage. La route devient une superroute vers un ensemble de rseaux!Oncomprendlintrtdecetterouteagrgesurlevolumedestablesderoutage. Enadoptant,VLSM(VariableLengthSubnetMask),lastructurationensousrseauxprenduneautredimension.Ilsagit toujoursdundcoupageensousrseauxmaisavecunmasquedelongueurvariable.Lalongueurdeprfixeadopte doit se maintenir entre la longueur initiale + 1 et la longueur maximale soit /30. Les avantages sont au nombre de deux:
G
Il devient possible de crer des sousrseaux dont le nombre dadresses htes colle au plus prs du besoin dadresses du sousrseau considr. Le cas le plus vident est celui des liens point point entre routeursquincessitentdeuxadressesetquiladministrateurpourraaffecterunsousrseau/30. En structurant le rseau de faon judicieuse, lagrgation dadresses est favorise avec des avantages dterminantssurlevolumedestablesderoutage,laconsommationderessourcesmachine(tempspass lire la table de routage, encombrement de la table de routage en mmoire vive) ainsi que sur la bande passanteconsommeparletraficdacheminement.Ilfautentendrepartraficdacheminementlecontrairedu trafic utile. Le trafic dacheminement ne transporte pas les donnes utilisateur mais des informations de topologiechangesentreprocessusderoutage.
tudions un cas concret afin de mesurer la porte dune telle dcision. Ladministrateur de lentreprise Primrose a ngoci un prfixe suffisant pour attribuer des adresses un parc denviron 150 machines et a obtenu le prfixe 172.16.0.0/24.Celasignifiequildisposede8bitspourlespacedadressagedesonentreprise.8bitsreprsente2 8 2 = 254adressespotentiellesavantstructuration. LentreprisePrimroseavantstructurationdelespacedadressage:
Ladministrateur place dans un tableau tous les sousrseauxpossiblesduprfixe172.16.0.0/24aveclesdiffrents

masquespossiblesde/25/30.Biensr,unrseaudegrandetaillenepourraitpastrereprsentparunseulde cestableaux.Unpeulafaondescartesroutiresquiexistentdiffrenteschelles,ladministrateurquiaurait grer de grands espaces dadresses devrait sans doute construire un tableau gnral puis des tableaux intermdiairesquidtailleraientdespartiesduprfixeinitial.Dansnotrecas,voiciunesuggestiondeprsentationde ce tableau, prsentation que nous avons dj utilise plusieurs reprises dans louvrage prcdent ou dans le chapitre Le routage statique de cet ouvrage. Pour mmoire, nous avions nomm tableau VLSM dichotomique ce tableau car les espaces dadresses dune colonne (une longueur de prfixe) sont obtenus en divisant par deux les espacesdelacolonneimmdiatementdroite(longueurdeprfixeimmdiatementinfrieure).
LadministrateurobservequelerouteurAestreliaurestedurseauparunestructureentoiletroisbranches, Est,OuestetSud.
G
Dun point de vue agrgation, il serait bon que toutes les routes vers les diffrents sousrseaux contenus danslazoneOuestparexemplepuissenttreagrgesenuneseuleroute:
G
Le plus grand besoin satisfaire est celui du rseau LAN_C, ladministrateur lui affecte le prfixe 172.16.0.0/26. LesdeuxrseauxLAN_E1etLAN_E2sevoientaffecterlesprfixes172.16.0.64/28et172.16.0.80/28. Ainsi,ilestpossibledannonceruneseulerouteagrge172.16.0.64/27versLAN_E1etLAN_E2viale routeurE. LadministrateuraffecteaulienserialWAN_CE,leprfixe172.16.0.96/30.
ToutelazoneOuestpeuttreannoncecommeuneseuleroute172.16.0.0/25vialerouteurC,lacondition denepasavoirattribuerlesespacesrestantsailleursdanslerseau.Ladministrateurdoitprivilgierune assignationtopologiquecarcestellequirendpossiblelagrgation.Maisilpeuttrecontraintdabandonner partiellementcetobjectifsilmanquedadresses.
Secondepartiedutableau:
- 2-
LadministrateurtentedappliquerlesmmesprincipessurlapartieEst:
G
LesbesoinsdurseauLAN_Dsontcouvertsparleprfixe172.16.0.128/27. LAN_F1sevoitaffecter172.16.0.160/28. LAN_F2 se voit affecter 172.16.0.176/29. La situation est un peu moins favorable que pour la partie OuestcarpouragrgerLAN_F1etLAN_F2,ilfaudraitpuiserailleurslesadressesncessairesaulien serialWAN_DF.Ladministrateurrenoncecettepossibilit. En revanche, toute la zone Est peut tre annonce comme une seule route 172.16.0.128/26 via le routeurD,laconditionqueleprfixeencoredisponible172.16.0.188/30restedanslapartieEst.
IlresteaffecterdesadresseslapartieSud:
G
LesbesoinsdeLAN_B1sontcouvertsparlattributionduprfixe172.16.0.192/28. LesbesoinsdeLAN_B2sontcouvertsparlattributionduprfixe172.16.0.208/28. ToutelazoneSudpeuttreannoncecommeuneseuleroute172.16.0.192/27vialerouteurB.
Les liens serial WAN_AB, WAN_AC et WAN_AD se voient attribuer respectivement les prfixes 172.16.0.244/30,172.16.0.248/30et172.16.0.252/30.
Imaginonslesconsquencessurleroutage:
G
Unrouteurextrieurlentreprisenabesoinqueduneseuleroutevers172.16.0.0/24pourfaireprogresser desdatagrammesversdesadressesdelentreprise.
Danslentreprise:
Un routeur extrieur au site Ouest na besoin que de la route vers 172.16.0.0/25 pour faire progresser les datagrammesversdesadressesdecesite. Un routeur extrieur au site Sud na besoin que de la route vers 172.16.0.192/27 pour faire progresser les datagrammesversdesadressesdecesite. Un routeur extrieur au site Est na besoin que de la route vers 172.16.0.128/26 pour faire progresser les datagrammesversdesadressesdecesite.
Lepointdedparttaitunprfixe/24.Ledcoupagemaximalfournitdesprfixes/30.Unefoisletableauconstruit,la mthode a consist puiser les prfixes afin de satisfaire de la faon la plus prcise les besoins dadresses et de structuration.Ladministrateurpeutaussidciderdedlguersontourunprfixe.Letableausuivantproposeune mthodeafindemmoriserlesattributionsdjralises(cenestpaslecasPrimrose):
Chaque pastille reprsente un espace dlgu (ladministrateur en a confi la responsabilit un collaborateur) ou affect. On pourrait imaginer un code des couleurs selon quun espace est dlgu, affect en partie ou affect totalement. La reprsentation dune arborescence depuis le prfixe initial nest pas innocente. En effet, lagrgation de routes possible avec VLSM nest obtenue que si ladministrateur ralise une assignation topologique des blocs dadresses issusdelasubdivisionduprfixeinitial.
- 4-
Enrsum:
G
Le plan dadressage permis par VLSM est hirarchique mais devrait en outre tendre vers un adressage topologique. cettecondition,VLSMprocuredeuxavantagesdterminants:uneutilisationefficacedelespacedadresses etunepossibilitdagrgationderoutes. Souvenezvous que le masque le plus ajust pour satisfaire les besoins dune liaison point point est 255.255.255.252(longueurdeprfixe/30).
2.CIDR(ClasslessInterDomainRouting)
RFCutiles:
G
RFC2050InternetRegistryIPAllocationGuidelinesNovembre1996
Aveclesystmedeclassesprsentaudbutdecechapitre,uneadresseIPporteelleseuletroisinformations:le masquenatureldelaclasse,ladressedurseauetladressedelhtedanscerseau. Maisds1990,ilapparatqueparmilesfreinsquipourraientnuireaudveloppementdInternet,ilfautcompter:

G
Lapnuriedadressesquipourunebonnepartrsultedusystmedeclasses. Lachargecroissantedestablesderoutage.Eneffet,pourunsitedontlesbesoinssontintermdiairesentre la classe C et la classe B, il est plus facile dattribuer plusieurs adresses rseau de classe C quune seule adresserseaudeclasseBmaisquechaquefoisquecelaseproduit,lestablesderoutagesalourdissentde plusieurs lignes. Puisquil est possible dallouer 2 millions dadresses rseau de classe C, il est galement certainquelonvarapidementsaturerlammoiredesrouteursprincipauxdelInternetquidoiventmaintenir detellestables!
Visitezlesitehttp://www.cidrreport.org/as2.0/ Depuislapagedaccueil,cliquezsurlelienPLOT:BGPTablesize.Observezlaversionactualisedelvolutiondes tablesderoutage:
- 5-
En novembre 1991, lors de la runion IETF de Santa Fe, lIETF cre les groupes de travail ROAD (Routing and Addressing)etALE(AddressLifetimeExpectations),chargsdtudierlestroisproblmessuivants:
G
lapnuriedesrseauxdeclasseB lacroissancedestablesderoutagedesrouteursprincipaux lapnuriedesadressesdemachines.
Enmars1992,lorsdelarunionIETFdeSanDiego,legroupeROADproposedadopterCIDR(ClasslessInterDomain Routing) qui apporte une solution temporaire au problme de la croissance des tables de routage, solution qui consisteagrgerlesespacesdadressescontigus(patientez).CIDRserafinalementadoptennovembre1992et rapidementinclusdanslesprotocolesderoutage. Quellessontlesconsquencessilondcidedabandonnerlesystmedeclasses?Essentiellement,ilnexisteplusde masquenaturel . Il devient impossible de dduire le masque dune adresse selon la valeur du premier octet de cetteadresse.LasolutionproposeparCIDRconsistefaireaccompagnerladresseIPdesonmasqueetremplacer lancienneadresseIPclasseparlecoupleadresseIP/masquederseau. Mais on conviendra que noter par exemple 192.168.1.0/255.255.255.0 nest gure commode. En observant quun masqueestconstitudunnombreNdebits1suividunnombre(32N)debits0,ilsuffitdeprciserlavaleurN pour spcifier ce masque. Avec CIDR, la notation de ladresse 192.168.1.2/255.255.255.0 devient 192.168.1.2/24. LesanciensmasquesdeclasseA,BetCdeviennentrespectivement/8,/16et/24. Depuisunepoquercente,sontnommsprfixelesbitsdeladressequireprsententlapartierseauNetID.Le nombreNdevientalorslongueurdeprfixe. LanotionCIDRapparatdanslesdocumentsdelIETFds1993.Ainsi,leRFC1466 GuidelinesforManagementofIP Address Space de mai 1993 est encore fond sur les classes mais voque le travail en cours sur labandon des classes. Le RFC 2050 Internet Registry IP Allocation Guidelines de novembre 1996 se substitue au RFC 1466 et abandonnelanotiondeclassesdadresseauprofitdeCIDR. Cest lIANA qui est en charge de la gestion de lespace dadressage IP. Depuis CIDR, lIANA a segment lespace dadressage en 256 blocs de taille /8 numrots de 0/8 255/8. Chacun de ces blocs reprsente 16 millions dadresses(24bits).Puis,lIANAdlgueladministrationdecessegmentscinqRIR(RegionalInternetRegistry)selon lacartographiesuivante:
- 6-
Les adresses alloues pour lEurope sont gres par le RIPE NCC (Rseaux IP Europens Network Coordination Centre,www.ripe.net).LessegmentsdlgusparlIANAauRIPENCCsontaunombrede30,onpeutdcouvrirquels sontcessegmentsenconsultantledocumenthttp://www.iana.org/assignments/ipv4addressspace/.Pourunrouteur delInternetsituauxEtatsUnis,routerunpaquetverslEuroperevientdcouvrirquelepremieroctetdeladresse IPdedestinationappartientlunedes30valeurspossiblespourlEurope(62,7795,141,145,151,188,193 195,212,213,217). Dans ce modle CIDR, les htes et les routeurs ne font pas dhypothses sur lutilisation de ladressage dans linternet. Les espaces dadresse de Classe D (diffusion groupe IP) et de Classe E (exprimental) sont prservs, bienquececisoitprincipalementunepolitiquedallocation. Pardfinition,CIDRcomprendtroislments:
G
Uneallocationdadressetopologiquementsignificative,leparagrapheportantsurVLSMaillustrcettenotion. Desprotocolesderoutagecapablesdagrgerlesroutesdecoucherseau. Unalgorithmederoutagecohrent(recherchedecorrespondancedeprfixelapluslongue,patientez).
Nous devrions normalement adopter la terminologie prfixe rseau et abandonner les termes rseaux et sous rseaux.Toutrseauestenfaitunsousrseaudelespaceglobal0/0:
Les anciens espaces de classe A, B et C ne sont reprsents que pour mmoire. Lespaceglobalest0/0.Avecune longueurdeprfixe1,leprfixenepeutprendrequelesdeuxvaleurs0ou1enbinaire(0ou128endcimal).Aux blocs0/8et127/8prs,leprfixe0/1correspondlancienneclasseA(demicercledegauche).Toujoursexprimen binaire,leprfixe1/1estsontourdivisendeuxpourdonner10/2et11/2.Leprfixe10/2correspondlancienne
classe B. Enfin le prfixe 11/2 est son tour divis pour donner 110/3 et 111/3. Le prfixe 110/3 correspond lancienneclasseC.Cettemodestefigurepermetdemieuxapprhenderlecaractrehirarchiqueettopologiquedece questdevenuladressageIP.Unn uddonndurseau(unprfixe)agrgetouslesn udsderanginfrieurquila engendr.AvouezquevousnaviezpeuttrepasimaginladressageIPainsi!
- 8-
Routageavecousansclasse
1.Routageavecclasse
a.Informationschanges
Un protocole de routage tel RIPv1 est dit avec classe (class full) parce que linformation de route est transporte sanslinformationdemasque.Lesadressessontconsidresselonlescasaveclemasquenaturel(lemasquede classe)ouaveclemasqueappliqulinterfacequireoitlannoncederoute.
b.Comportementdelalgorithmederoutage
Dansunroutageavecclasse,leprocessusderoutageextraitunpaquetdunefiledattentedentre.Imaginonsquil sagissedupremierpaquetdunnouveaufluxversuneadressededestinationpasencoreprsentedanslecache de commutation rapide (relire si ncessaire la section Partage de charge par destination et Fast Switching du chapitreLeroutagestatique).Lerouteurlitunepremirefoislatablederoutageensquencelarecherchedela partie rseau de ladressededestination.Cest le masque de classe A, B ou C (le masque naturel) qui est utilis pour dterminer quelle est ladresse rseau recherche. Si le routeur ne trouve pas de correspondance pour un rseaumajeur(unrseaudeclasseA,BouC),lepaquetestlimin. Silerouteurtrouveunecorrespondancepourunrseaumajeur,alorsilrecherchedanslatablederoutagelessous rseauxconnusdecerseaumajeur.Siunecorrespondanceesttrouve,alorslepaquetestconfilinterfacede sortieadquate.Danslecascontraire,lepaquetestlimin. chaque fois quun paquet est limin parce que le routeur na pas trouv de correspondance dans la table de routage,lerouteurgnreunmessageICMPtypeDestinationinjoignableverslasourcedupaquet.
2.Routagesansclasse
a.Informationschanges
Dployer un adressage VLSM et basculer dans un monde CIDR ncessite dchanger des informations de routes accompagnesdeleurmasque.Lesprotocolesderoutagequiontcettecapacitsontditssansclasse( classless). RIP dans sa version 2 a intgr cette famille qui compte galement les protocoles BGP (Border Gateway Protocol), EIGRP(EnhancedInteriorGatewayRoutingProtocol),ISIS(IntermediateSystemIntermediateSystem)etOSPF(Open ShortestPathFirst).
b.Comportementdelalgorithmederoutage
DansunenvironnementCIDR,lacommande ipclasslessenmodedeconfigurationglobalepermetdabandonnerle
comportement avec classe pour adopter un comportement visant trouver la meilleure superroute (the best supernet)danslatablederoutage.Depuislaversion11.3delIOS,cettecommandeestactivepardfaut. Le processus de routage utilise lalgorithme de recherche de correspondance de prfixe la plus longue (Longest Match based Forwarding Algorithm). En quoi consiste cet algorithme ? Toutes les routes nont pas le mme degr dacuit. Vous tes Bruxelles et vous allez Marseille. Au premier croisement, deux routes se prsentent : le panneau indicateur de la premire indique Toutesdirections , le panneau de la seconde indique Marseille . Voustesintrigumaisvouschoisissezlaseconde.Ainsi,leprfixe10.0.22.0/24englobelamachine10.0.22.2mais leprfixe10.0.16.0/21englobeleprfixe10.0.22.0/24etdonclamachine10.0.22.2.Danssatablederoutage,pour ladresse de destination 10.0.22.2, le routeur prfrera la route la plus spcifique 10.0.22.0/24 la route la plus gnrale10.0.16.0/21:
Pour trouver la route la plus spcifique, le processus de routage utilise lalgorithme de recherche de correspondancedeprfixelapluslongue( LongestMatchbasedForwardingAlgorithm).Cecomportementest ditsansclasse.
- 2-
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Unrouteurconfigurenipclasslessreoitunpaquetdestin172.16.0.149.Quellerouteemprunteraitilpour acheminercepaquetsildisposaitdanssatabledesroutes172.16.0.144/28,172.16.0.128/27et 172.16.0.128/26? 2 QuelssontlessousrseauxvalidesdurseaudeclasseC192.168.2.0dcouplaidedumasque 255.255.255.224?Rpondezeneffectuantlesubnettingmentalement! 3 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.64/27et 10.0.11.96/27? 4 quelsousrseauappartientladresse172.26.41.10masque255.255.255.192etquelleestsonadressede broadcast?Rpondezmentalement. 5 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesquatreroutes10.0.11.32/30, 10.0.11.36/30,10.0.11.40/30et10.0.11.44/30? 6 QuelleestlutilitdelacommandeCiscoIOSipsubnetzero? 7 QuelleestlutilitdelacommandeCiscoIOSipclassless? 8 Quelleroutespcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.48/30et10.0.11.56/30?
2.Rsultats
3.Rponses
1 Unrouteurconfigurenipclasslessreoitunpaquetdestin172.16.0.149.Quellerouteemprunteraitilpour acheminercepaquetsildisposaitdanssatabledesroutes172.16.0.144/28,172.16.0.128/27et 172.16.0.128/26? Ladresse de destination appartient chacun des trois prfixes cits parce que 172.16.0.144/28 est inclus dans 172.16.0.128/27luimmeinclusdans172.16.0.128/26.Lerouteurchoisitlaroutelaplusspcifiqueconformment lalgorithme de recherche de la plus longue correspondance de prfixe, cestdire 172.16.0.144/28 (relire si ncessairelasectionRoutagesansclasse). 2 QuelssontlessousrseauxvalidesdurseaudeclasseC192.168.2.0dcouplaidedumasque 255.255.255.224?Rpondezeneffectuantlesubnettingmentalement! Latailledunespacersultantdudcoupageestdonnepar256 masque=256224=32.Ilsetrouvequecest aussilepasdincrmentationdanslessousrseaux.Lesespacesrsultantssont0,32,64,96,128,160,192et224 mais par valides on entend exclure les deux sousrseaux dextrmit. Les seuls sousrseaux valides sont donc 192.168.2.32/27, 192.168.2.64/27, 192.168.2.96/27, 192.168.2.128/27, 192.168.2.160/27 et 192.168.2.192/27 (reliresincessairelasectionDcouperuneadressedeclasseC). 3 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.64/27et 10.0.11.96/27? Lemasqueest255.255.255.224.Lepasdincrmentationdanslessousrseauxest256masque=256 224= 32. Puisque 64 + 32 = 96, on peut conclure que ces deux blocs sont effectivement contigus et quune route totalementspcifique(elleenglobelatotalitdecesdeuxespacesmaispasplus)existe.Cetterouteest10.0.11.64/26 (pasdincrmentation64)(reliresincessairelasectionMasquedelongueurvariableVLSM). 4 quelsousrseauappartientladresse172.26.41.10masque255.255.255.192etquelleestsonadressede broadcast?Rpondezmentalement. Le pas dincrmentation dans les sousrseaux est 256 masque = 256 192 = 64. Incrmentons les espaces rsultants jusqu encadrer ladresse IP : 0, 64... Ladresse 10 est comprise entre 0 et 64. On dduit que le sous rseauest172.26.41.0/26etquesonadressedediffusionest172.26.41.63(reliresincessairelasectionLesub nettingmental).
5 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesquatreroutes10.0.11.32/30, 10.0.11.36/30,10.0.11.40/30et10.0.11.44/30? Lemasqueest255.255.255.252.Lepasdincrmentationdanslessousrseauxest256masque=256252=4. Puisque 36, 40 et 44 sont obtenus en incrmentant de 4 partir de 32, on peut conclure que ces deux blocs sont effectivementcontigusetquuneroutetotalementspcifique(elleenglobelatotalitdecesquatreespacesmaispas plus) existe. Cette route est 10.0.11.32/28 (pas dincrmentation 16) (relire si ncessaire la section Masque de longueurvariableVLSM). 6 QuelleestlutilitdelacommandeCiscoIOSipsubnetzero? La commande ip subnet zero en mode de configuration globale permet de passer outre la rgle qui interdisait les adressesdesousrseauexclusivementcomposesde0.Etcettecommandeestentrepardfautdepuislaversion 12delIOS(reliresincessairelasectionLacommandeipsubnetzero). 7 QuelleestlutilitdelacommandeCiscoIOSipclassless? Dans un environnement CIDR, la commande ipclassless en mode de configuration globale permet dabandonner le comportementavecclassepouractiverunroutagefondsurlalgorithmederecherchedecorrespondancedeprfixela pluslongue(LongestMatchbasedForwardingAlgorithm)(reliresincessairelasectionRoutagesansclasse). 8 Quelleroutespcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.48/30et10.0.11.56/30? Lemasqueest255.255.255.252.Lepasdincrmentationdanslessousrseauxest256masque=256252=4. On dduit que les deux espaces 10.0.11.48/30 et 10.0.11.56/30 ne sont pas contigus mais spars par lespace 10.0.11.52/30. On peut toujours annoncer ces rseaux dans un agrgat 10.0.11.48/28 mais cet agrgat nest pas spcifique car sil couvre effectivement les deux espaces 48 et 56, il couvre galement les deux espaces 52 et 60. Prudencedonc(reliresincessairelasectionMasquedelongueurvariableVLSM).
- 2-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Ladressage IP soit le chapitre La couche rseau, ladressage IP de louvrage Cisco Notions de base sur les rseauxdanslacollectionCertificationsauxEditionsENI. LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde basesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Les chapitres prcdents ddis RIPv1 et CIDR, VLSM de cet ouvrage. RIPv2 et RIPv1 partagent un certain nombre de commandes. Les commandes en question ne sont abordes quune seule fois dans lun ou lautre chapitre.MercidoncdevousreporterauchapitreRIPv1siunecommandeobjetdevotrerecherchetaitabsente decechapitre.
2.Objectifs
lafindecechapitre,vousserezenmesurede: ConfigureretvrifierlefonctionnementdebaseduprotocoleRIPv2surunpetitrseaurout. Utiliserlescommandes showet debugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent surdepetitsrseauxrouts.
- 1-
LimitationsdeRIPv1
LemessagedemisejourRIPv1necontientquelestrictminimumdinformationdetopologiepermettantauxrouteurs RIPdassurerleurtche.Etparadoxalement,lemessagedemisejourestunmessagetrous,unebonnepart delespaceconsommrestantinutilis. Le protocole RIPv1 a t conu une poque antrieure lapparition des systmes autonomes et de la distinction IGP/EGP (Interior Gateway Protocol/Exterior...), la notion de dcoupage en sousrseaux ou aux proccupations de scurit. La carence la plus grave est constitue par labsence de masque. Passe encore quand RIPv1 reoit une annonce de rseau majeur car dans ce cas, il utilise le masque de la classe ou masque naturel. Mais les choses se compliquentquandRIPv1reoituneroutedanslaquelleunepartiedesbitshtesontpositionns.Lerouteurestalors incapablededterminerlemasquedesousrseauoupirededterminersilarouteannoncelestversunhteou vers un sousrseau. Ceci contraint les implmentations supputer en apprenant par exemple le masque sur la configurationIPdelinterfacedepuislaquellelarouteatapprise.CestlechoixfaitparCISCO.
- 1-
RIPv2
QuelquesRFCutiles: RFC1058 RFC1388 RoutingInformationProtocol RIPVersion2CarryingAdditional Information RIPVersion2CarryingAdditional Information RIPVersion2 RIP2MD5Authentication RIPv2CryptographicAuthentication Juin1988 Janvier1993remplacparRFC1723
RFC1723
Novembre1994remplacparRFC2453
RFC2453 RFC2082 RFC4822
Novembre1998misjourparRFC4822 Janvier1997remplacparRFC4822 Fvrier2007remplaceRFC2082,met jourRFC2453
1.Leprotocole
LesconcepteursdeRIPv2nesontpaspartisdunepageblanche.IlsagissaitdapporterRIPv1cequiluimanquait poursupporterlabandondesclassesdadresses,pourlessentiel:
G
Linformation de masque : chaque entre de route dans une mise jour RIPv2 comporte dsormais linformationdemasqueassocielinformationdadresse. Uneinformationdeprochainsautdestineviterdessautsinutilesdanscertainescirconstances. UnmarqueurderoutedestindistingueruneroutetransporteparRIPsansquilensoitlorigine,cest direunerouteexterne. Ladoptiondelamultidiffusion:lesmessagesRIPv2nesontplusdiffussmaismultidiffuss. Lauthentificationoptionnelledesmessages.
Maissilnefallaitconserverquunedecesextensions,alorsincontestablementceseraitlajoutdumasquecarcest lui qui permet RIPv2 dtre qualifi de protocole sans classe ( classless). Lensemble des procdures, mtriques, mtrique infinie, temporisateurs, dispositifs de prvention des boucles, dispositifs visant la stabilit de RIPv1 sont conservsdanslaversion2,uneexceptionprsquiconcerneladiffusiondesmisesjour.RIPv1lesdiffusait,RIPv2 les multi diffuse vers ladresse rserve de classe D 224.0.0.9. Cela nempche pas les machines dun rseau LAN connectuneinterfacederouteurRIPderecevoirlesmisesjour,quecesmachinessoientconcernesounon(on sesouvientducomportementduncommutateurquidoitacheminerunetramemulticast:ilinonde).Maiscelaallge letraitementoprparunemachinenonconcerne:illuisuffitdedcoderladressededestinationdecouche3pour dcouvrirquelemessagenelintressepas. Danslecasdunrseaudiffusion,onsesouvientquelappartenanceungroupedemultidiffusionestrpercute encouche2.Ladressedecouche2correspondant224.0.0.9est01:00:5 E :00:00:09,lemodedobtentiondecette adresseestdcritdanslasectionAdressesdemultidiffusionduchapitreAnnexes. Lacapturecap_2G_05.pcap,disponibleentlchargementsurlesiteENI,atralisesurunlienLAN.Observezle dcodage dun paquet de mise jour cidessous. Observez notamment ladresse de multidiffusion de couche 2. ObservezgalementlavaleurTTLattribuequilimitedeuxsautslesprancedeviedunpaquetdemisejourRIP. Normal, un paquet de mise jour RIP est destin aux voisins, aucune raison de lui donner une esprance de vie suprieure:
- 1-
a.ComparaisondesmessagesdeRIPv2etRIPv1
LemessageRIPv2reprendleformatdumessageRIPv1etmetprofitsesvasteschampsinutiliss.Ainsi,quand lauthentificationnestpasutilise,lenombrederoutesquunmessagedemisejourpeutembarquernestpas modifi(25,24quandlauthentificationparmotdepassesimpleestutilise).CommeRIPv1,lemessageRIPv2est transportdansundatagrammeUDPdontlesportssourceetdestinationsont520:
- 2-
LesargumentsdumessageRIPv2sontlessuivants:
G
commandpourcequinousconcerne,deuxvaleurspossibles:
G
1:lemessageestunerequte 2:lemessageestunerponse Lesautresvaleurssontsoitobsoltes,soitrserves.
version2pourRIPv2. address family identifier 2 pour IP dans les messages de rponse, 0 dans un message de requte (patientez). Routetag lobjetduchampmarqueurderouteestdefournirunemthodepermettantdedistinguerune route RIP interne au domaine RIP dune route externe issue dun EGP ou dunautreIGP.Parexemple,le RFC2453suggredyplacerlenumrodesystmeautonomedanslequellarouteatapprise. IPaddresscontientindiffremment:
G
Uneadressehte. Uneadressedesousrseau. Uneadresserseau. 0quidistingueuneroutepardfaut.
SubnetMask masqueassociladresse.Puisquechaquerouteestdsormaisassocieunmasque, plus rien ne soppose lutilisation de diffrentes longueurs de prfixe et donc la ralisation dun
adressageVLSM.
G
NextHopadressedesautsuivant:adresseIPlaquelleilconvientderemettredirectementlespaquets sans passer par le routeur lorigine de cette annonce RIP. Ladresse de saut suivant est une adresse directement connecte au sousrseau sur lequel est effectue lannonce. 0000 dans le champ Next Hop indique que le routage doit se faire via le routeur lorigine de lannonce RIP. Lobjet de ce champ est dliminer des sauts inutiles dans certaines circonstances particulires, comme lillustre lexemple suivant proposparleRFCetpeinemodifi:
XR1estrouteurfrontireentrelesdeuxdomainesRIPetOSPF.Decefait,seulXR1changedesroutesRIPavec IR1,IR2etIR3.DuctRIP,XR1annoncelerseauN3delafaonsuivante:
G
Marqueurderoute=64496(NdesystmeautonomedudomaineOSPF) @rseau=N3 NextHop=XR2.
Ainsi,unrouteurIRquiauraitfaireprogresserunpaquetdestinN3leferaitviaXR2.SanslechampNextHop, XR2etXR3auraientdparticiperauprotocoleRIPpourviterlesautinutileviaXR1.
G
metric cot de la route exprim en nombre de sauts de 1 16, 1 signifiant une route directement connecte,16caractrisantunerouteinjoignable.
LataillemaximaledumessageRIPest512octets,sanscompterlesenttesIPetUDP(pourmmoire,unentte IPsansoptionsoccupe20octets,unentteUDPoccupe8octets).EntantlentteRIP,ilreste508octetsutiles autransportderoutes.Puisquunerouteoccupe20octets,unmessageRIPpeuttransporterjusqu25routes(24 quandlauthentificationsimpleestutilise).Sommetoute,undatagrammeUDPquitransporteunmessageRIPne dpasserapas512octets(25 x20+4+entteUDP). En forme de synthse du format de paquet RIPv2, voici le dcodage dun message de mise jour laide de Wireshark:
- 4-
Observez les adresses source et destination du datagramme IP, les ports source et destination du datagramme UDP,lesdiffrentesentresderoute,ledcodagedelentrederoutevers172.16.0.160/28.
b.CompatibilitavecRIPv1
Grcelaprvoyancedesesconcepteurs,RIPv1estheureusementtrstolrantquantauxmisesjourquilreoit. SilechampVersioncomporte1biensr,ilsattendcequeleschampsinutilisslesoienteffectivementetcarte toutemisejournonconforme.MaissilechampVersionestsuprieur1,leschampscensstreinutilisssont ignorsetlemessageestexploitselonleformatconnudeRIPv1.CestcetteparticularitdeRIPv1quipermetla rtrocompatibilitdeRIPv2. Toutefois, le RFC 2453 prvoit deux commutateurs de compatibilit dont lobjet est de permettre une adaptation faciledeRIPv2avecdesimplmentationsexotiquesdeRIPv1.Cesdeuxcommutateursdevraienttreconfigurables auniveauinterface.Lepremierdecescommutateursrglelmissiondesmisesjouretprvoitquatrerglages:
G
RIP1seulslesmessagesRIPv1sontenvoys. RIP1compatiblelesmessagesRIPv2sontdiffusspluttquemultidiffuss.LeRFCconseilledutiliserce rglageavecprudence. RIP2lesmessagesRIPv2sontmultidiffussconformmentauprotocoleRIPv2natif. nonepasdmissiondemessagesRIPsurcetteinterface.Lacommandeactivantcederniermodeest djconnuepuisquilsagitdelacommandepassiveinterface.
LesecondcommutateurajustelecomportementduprocessusRIPlorsquilreoitdesmessages.nouveau,quatre rglagessontprvus:
G
RIP1seulement
- 5-
RIP2seulement lesdeux aucun.
DanslecasdelIOS,lestroispremiersrglagescorrespondentdescommandesexaminesdanslesparagraphes quisuivent,lequatrimepeuttrersoluselondiffrentesmthodes:onpeutparexemplemettreenplaceune listedaccstendueafindefiltrerletraficdestinauportUDP520outablirunfiltragederouteslaidedela commandedistributelistenconfigurationderouteur. Danslesecondcas,onestaudelduprimtreprvupour cetouvrage.
c.Authentification
AvecRIPv1,ilestfaciledecorromprelatablederoutagedunrouteurquelconque.Ilsuffitquunattaquantmette desmisesjourfalsifiesenprtendantconnatreuncertainnombrederseauxaveclemeilleurcotpourqueles paquetsnormalementdestinscesrseauxtransitentparlui.LesconcepteursdeRIPv2ontprvuuneparadeen donnantlmetteurdunemisejourlemoyendesauthentifierparunmotdepasse. Pluttquedeconcevoirunnouveauformatdemessage,cequinauraitpasmanqudecauserdesproblmesde compatibilit avec RIPv1, les concepteurs ont prfr dtourner une entre de route de son usage normal. Le nombremaximaldentresderoutequepeutcomporterunmessagedemisejourpasseainsi24. Lentrederouteddielauthentification,quandelleestprsente,sedistingueparlechamp Addressfamily identifiertabli0xFFFF.Danscetteprtendueentrederoute,leRFCaprvuunchamptypedauthentification cequipermetdenvisagerdenouveauxtypesdefaonsimplesansremettreenquestionleformatdupaquet.On se souvient en effet que le domaine du chiffrement est en volution rapide (une information gnrale sur les notions de chiffrement est fournie la section Adoptez SSH du chapitre Administration et scurit). Le seul type prvuparleRFCestletype0x02quicorrespondunmotdepassesimple.Danscecas,les16octetsquisuivent portentlemotdepasseenclairqui,parconsquent,nepeutdpasser16caractres.Lemotdepasseestjustifi gauchedanscechamp,lesoctetsinutilissrestent0. LacapturesuivanteraliselaidedeWiresharkmontreunpaquetdemisejourauthentifilaidedunmotde passesimpleInabottle(capturecap_2G_01.pcapdisponiblesurlesiteENI):
- 6-
Observezlentrederoutedtournedesonusagepremierpourembarquerlemotdepasse.Commeledmontre cettecapture,quiconquepeutcouterlesmisesjourpeutgalementapprendrelemotdepasse.Ilsagitdonc davantagedtrecertainquelesrouteursencoursdeconfigurationRIPschangentbienleursmisesjoursans trepolluspardesmisesjournondsires.MaispuisqueleRFCaprvuunchamptypedauthentification,ilest facile de concevoir une authentification forte en crant un type supplmentaire. Ce qua fait CISCO en intgrant danslIOSlapossibilitdauthentifierdesmisesjourRIPlaidedesignaturesobtenuesparhachageMD5dela misejouravecunmotdepassefaisantofficedecl.Lerouteurquireoitunetellemisejouretquiconnatle mmemotdepassecalculesapropresignature.Silesdeuxsignaturesreuesetcalculescorrespondent,alorsle contenudelamisejourestexploit. Concrtement,CISCOatenduleprocdretenuparleRFCenddiantnonplusunemaisdeuxentresderoute lauthentification.Lapremireentresedistingueparletypedauthentification0x03tandisquelasecondeentre consomme, qui contient la signature, est place en queue de mise jour aprs toutes les entres de route, ce quillustrelacaptureWiresharksuivante.Lecontextedecettecaptureestinchang,seullemodedauthentification estpassdesimpleMD5(capturecap_2G_02.pcapdisponiblesurlesiteENI):
Observez que Wireshark identifie parfaitement la dernire entre de route comme devant tre associe linformationdauthentification.
Proposonsnousdemettreen uvrelatopologiequiaserviltudedecasVLSMduchapitreprcdent:
- 7-
Cettetopologiecomportetreizesousrseauxissusdurseaumajeur172.16.0.0etcinqmasquesdiffrentsde/26 /30.
a.Activationduprotocole
Touteslesinterfacesontdjtconfigures. Leprotocolesactiveentroistemps: 1.ActiverleprocessusRIPproprementditlaidedelacommanderouterrip. 2.Pardfaut,leprocessusRIPunefoisactivgnredesmisesjourRIPv1maisprofitedemisesjourquelles soientv1ouv2.Cecomportementestmodifilaidedelacommandeversionenmodeconfigurationderouteur. 3.Indiquerauprocessusquelsrseauxmajeursdoiventtreprisencomptelaidedunecommande networkpar rseau majeur. Puisque lensemble des sousrseaux a t obtenu par division du rseau 172.16.0.0, une seule commandenetworksuffit: RTR7A RTR7A(config)#router rip RTR7A(config-router)#version ? <1-2> version RTR7A(config-router)#version 2 RTR7A(config-router)#network 172.16.0.0 RTR7A(config-router)#^Z RTR7A# RTR7B RTR7B(config)#router rip RTR7B(config-router)#version 2 RTR7B(config-router)#network 172.16.0.0 RTR7B(config-router)#^Z RTR7B# Cetteconfigurationestrptersurlensembledesrouteursdelatopologie. LacommandedebugiprippermetdesepasserdeWiresharkpourcomprendrelactivitduprotocole.Parexemple, surRTR7A(1tourcompletcestdiretouteslesmisesjourenvoyessurtouteslesinterfacesettouteslesmises jourreuesdetouslesrouteursvoisins): RTR7A#debug ip rip
- 8-
RIP protocol debugging is on RTR7A# 00:19:37: RIP: sending v2 update to 224.0.0.9 via Serial0/0 (172.16.0.250) 00:19:37: RIP: build update entries 00:19:37: 172.16.0.128/27 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.160/28 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.176/29 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.184/30 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.192/28 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.208/28 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.244/30 via 0.0.0.0, metric 1, tag 0 00:19:37: 172.16.0.252/30 via 0.0.0.0, metric 1, tag 0 00:19:37: RIP: sending v2 update to 224.0.0.9 via Serial0/1 (172.16.0.253) 00:19:37: RIP: build update entries 00:19:37: 172.16.0.0/26 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.64/28 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.80/28 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.96/30 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.192/28 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.208/28 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.244/30 via 0.0.0.0, metric 1, tag 0 00:19:37: 172.16.0.248/30 via 0.0.0.0, metric 1, tag 0 00:19:37: RIP: sending v2 update to 224.0.0.9 via Serial0/2 (172.16.0.245) 00:19:37: RIP: build update entries 00:19:37: 172.16.0.0/26 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.64/28 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.80/28 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.96/30 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.128/27 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.160/28 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.176/29 via 0.0.0.0, metric 3, tag 0 00:19:37: 172.16.0.184/30 via 0.0.0.0, metric 2, tag 0 00:19:37: 172.16.0.248/30 via 0.0.0.0, metric 1, tag 0 00:19:37: 172.16.0.252/30 via 0.0.0.0, metric 1, tag 0 00:19:42: RIP: received v2 update from 172.16.0.254 on Serial0/1 00:19:42: 172.16.0.128/27 via 0.0.0.0 in 1 hops 00:19:42: 172.16.0.160/28 via 0.0.0.0 in 2 hops 00:19:42: 172.16.0.176/29 via 0.0.0.0 in 2 hops 00:19:42: 172.16.0.184/30 via 0.0.0.0 in 1 hops 00:19:50: RIP: received v2 update from 172.16.0.249 on Serial0/0 00:19:50: 172.16.0.0/26 via 0.0.0.0 in 1 hops 00:19:50: 172.16.0.64/28 via 0.0.0.0 in 2 hops 00:19:50: 172.16.0.80/28 via 0.0.0.0 in 2 hops 00:19:50: 172.16.0.96/30 via 0.0.0.0 in 1 hops 00:19:59: RIP: received v2 update from 172.16.0.246 on Serial0/2 00:19:59: 172.16.0.192/28 via 0.0.0.0 in 1 hops 00:19:59: 172.16.0.208/28 via 0.0.0.0 in 1 hops RTR7A#u all All possible debugging has been turned off Par rapport la mme capture ralise en RIPv1, on note quelques diffrences telle lapparition de linformation prochain saut associe chaque entre de route. Puisque ce champ nest pas exploit dans notre contexte, la valeurreste via0.0.0.0.Observezgalementlidentificationdesmisesjourcommetantdelaversion2parle processusdebug.Observezenfinladressededestinationmulticastdesmisesjour.cesujet,lacommandeshow ipinterfaceestdifiante.EnvoiciunextraitpourlinterfaceS0/2deRTR7A: RTR7A#sh ip int s0/2 Serial0/2 is up, line protocol is up Internet address is 192.168.0.245/30 ......... Multicast reserved groups joined: 224.0.0.9 ......... RTR7A# Cest parce que linterface a t place dans ce groupe Multicast quelle est capable dexploiter les mises jour RIPv2reues.Uneadressemulticastneconfrepasuneidentituneinterface.Ladresseestcelledungroupeet unemmeinterfacepeutparfaitementtreinscritesurplusieursgroupes. Unecommande show ip route summarysurparexempleRTR7ArassurequantlefficacitduprotocoleRIPv2et soncaractresansclasse:
- 9-
RTR7A#sh ip route summary IP routing table name is Default-IP-Routing-Table(0) Route Source Networks Subnets Overhead Memory (bytes) connected 0 3 192 432 static 0 0 0 0 rip 0 10 640 1440 internal 2 2328 Total 2 13 832 4200 RTR7A# Observezlinformationengras:13sousrseaux. Une commande showiproutenousapprendraitquecessous rseauxsontrpartissurcinqmasquesdiffrents,cesteffectivementcequecomptenotretopologie,toutvabien. Pour mmoire, voici le rsultat dune commande show ip protocols avant lactivation de la version 2 de RIP (Extrait): RTR7A#sh ip prot Routing Protocol is "rip" ......... Default version control: send Interface Send Serial0/0 1 Serial0/1 1 Serial0/2 1 ......... RTR7A#
version 1, receive any version Recv Triggered RIP Key-chain 1 2 1 2 1 2
CestainsiquelonpeutvrifierlecomportementpardfautduprocessusRIP.Unefoisactiv,leprocessusgnre desmisesjourRIPv1maisprofitedemisesjourquellessoientv1ouv2.Lammecommandeaprspassage laversion2(Extrait): RTR7A#sh ip prot Routing Protocol is "rip" ......... Default version control: send version 2, receive version 2 Interface Send Recv Triggered RIP Key-chain Serial0/0 2 2 Serial0/1 2 2 Serial0/2 2 2 Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 172.16.0.0 Routing Information Sources: Gateway Distance Last Update 172.16.0.254 120 00:00:00 172.16.0.249 120 00:00:08 172.16.0.246 120 00:00:21 Distance: (default is 120) RTR7A# Onlevoit,enversion2etpardfaut,leprocessusRIPestbeaucoupplusrestrictif:ilgnredesmisesjourdans le format de la version 2 et ne prendra en compte que les mises jour du mme format. Ce comportement est modifiable(patientez).
b.Commandepassiveinterface
Lamiseen uvredecettecommandenestpasimpacteparlaversionduprotocoleRIP,mercidevousreporter lasectioncorrespondanteduchapitreProtocolederoutagevecteurdedistanceRIPv1.
a.Rseauxdiscontigus
- 10 -
Si le contexte prcdent constituait une bonne application dun dcoupage la mode VLSM, il nest pas suffisant pourmettreenlumireleproblmedesrseauxdiscontigus.AffectonsdesadressesdelexclasseCauxliensWAN issusdurouteurRTR7Aafindescinderledomainecouvertpar172.16.0.0entroisparties:
Une fois les quatre routeurs concerns par le changement correctement configurs, une lecture de la table de routage du routeur RTR7A est difiante : ce routeur connat trois alternatives cot gal vers 172.16.0.0 et sapprte faire de la rpartition de charge. Tout premier paquet dun flux destin 172.16.0.0/24 et trait par RTR7Aaunechancesurtroisdtreacheminverslapartiequiconvientdudomainecouvertpar172.16.0.0: RTR7A#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.0.249, 00:00:18, Serial0/0 [120/1] via 192.168.0.246, 00:00:15, Serial0/2 [120/1] via 192.168.0.254, 00:00:24, Serial0/1 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 C 192.168.0.252 is directly connected, Serial0/1 C 192.168.0.244 is directly connected, Serial0/2 RTR7A# CeciestlefaitducomportementpardfautdeRIPv2quiagrgesesannoncesauxfrontiresdesrseauxmajeurs commelefaisaitRIPv1.AinsilestroisrouteursRTR7C,RTR7BetRTR7Dannoncent172.16.0.0versRTR7Ace,parce que leur interface vers ce routeur nest pas dans le rseau 172.16.0.0. Rendre la vue RTR7A implique de dsactiver lagrgation automatique ( summarization) ce que ladministrateur doit configurer sur les trois routeurs frontireslaidedelacommandenoautosummaryenconfigurationderouteur: RTR7C RTR7C(config)#router rip RTR7C(config-router)#no auto-summary RTR7C(config-router)#^Z RTR7C#wr Building configuration... [OK] RTR7C# RTR7B RTR7B(config)#router rip RTR7B(config-router)#no auto-summary
- 11 -
RTR7B(config-router)#^Z RTR7B#wr Building configuration... [OK] RTR7B# RTR7D RTR7D(config)#router rip RTR7D(config-router)#no auto-summary RTR7D(config-router)#^Z RTR7D#wr Building configuration... RTR7D# Bonus:ilnaurapaschappaulecteurattentiflutilisationdelacommande wrdanslescapturescidessus.Cest untrucdevieiladministrateurlasdedevoirconfirmerquandilutiliselacommandenormale copyrunstart.Ilse trouve que CISCO intgre de faon rgulire de nouvelles commandes lIOS mais rpugne supprimer les anciennes commandes, on lespre par souci de ne pas dsorienter ses utilisateurs clients. Comme dautres, lanciennecommandequipermettaitdesauvegarderlaconfigurationcourantefonctionnetoujours: RTR7C#write ? core Write erase Erase memory Write network Write terminal Write <cr>
Core File NV memory to NV memory to network TFTP server to terminal
RTR7C#write memory Onpeutabrgercettecommandeen wretellenedemandepasdeconfirmation.Attention,ilfauttresrdeson fait mais ce stade davancement, le lecteur est trs certainement suffisamment aguerri pour profiter de cette commandeetdesprcieuxinstantsquellepermetdconomiser.Dautantquelacommandenormalecopyrunstart nest pas non plus sans danger. Imaginez que dans la prcipitation, ladministrateur tape copy run satrt. Ceci correspondlacrationdunnouveaufichier satrtetlinterfacedemandeconfirmationladministrateuravant deffacerlecontenudelammoireFlash!Ilsuffitqueladministrateurconfirmehtivementsanslirerellementles messagespourqueledramearrive. La commande write memory est une ancienne commande qui quivaut la commande copy run start ceciprsquellenedemandepasdeconfirmation.Cettecommandepeuttreabrgeparwr. Mais revenons notre problmatique de dpart, celle de lagrgation automatique. Le rglage du paramtre dagrgation,automatiqueoupas,peuttrevrifilaidedunecommandeshowipprotocols.ExemplesurRTR7C (extrait): RTR7C#sh ip protocols Routing Protocol is "rip" ......... Automatic network summarization is not in effect ......... RTR7C# UnecommandeshowiproutesurRTR7Anerassurepasimmdiatementladministrateur: RTR7A#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 11 subnets, 6 masks 172.16.0.184/30 [120/1] via 192.168.0.254, 00:00:23, Serial0/1 172.16.0.176/29 [120/2] via 192.168.0.254, 00:00:23, Serial0/1 172.16.0.160/28 [120/2] via 192.168.0.254, 00:00:23, Serial0/1 172.16.0.128/27 [120/1] via 192.168.0.254, 00:00:23, Serial0/1 172.16.0.208/28 [120/1] via 192.168.0.246, 00:00:24, Serial0/2 172.16.0.192/28 [120/1] via 192.168.0.246, 00:00:24, Serial0/2 172.16.0.0/16 [120/1] via 192.168.0.254, 00:03:08, Serial0/1 172.16.0.0/26 [120/1] via 192.168.0.249, 00:00:10, Serial0/0
R R R R R R R R
- 12 -
R R R C C C
172.16.0.96/30 [120/1] via 192.168.0.249, 00:00:10, Serial0/0 172.16.0.80/28 [120/2] via 192.168.0.249, 00:00:10, Serial0/0 172.16.0.64/28 [120/2] via 192.168.0.249, 00:00:10, Serial0/0 192.168.0.0/30 is subnetted, 3 subnets 192.168.0.248 is directly connected, Serial0/0 192.168.0.252 is directly connected, Serial0/1 192.168.0.244 is directly connected, Serial0/2
Eneffet,ledomainecouvertpar172.16.0.0nedevraitcomporterque10sousrseaux,lacommandenousavertit queRTR7Aenconnat11.Cherchezlintrus...Vousaveztrouv?Surlignezle. Il sagitdunerouteagrge(la7 e route) qui na pas t efface parce que son temporisateur deffacementna pas encore expir. Observez que la dernire mise jour reue pour cette route remonte plus de trois minutes. La mme commande provoque quelquesinstantsplustard: RTR7A#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 10 subnets, 5 masks 172.16.0.184/30 [120/1] via 192.168.0.254, 00:00:24, Serial0/1 172.16.0.176/29 [120/2] via 192.168.0.254, 00:00:24, Serial0/1 172.16.0.160/28 [120/2] via 192.168.0.254, 00:00:24, Serial0/1 172.16.0.128/27 [120/1] via 192.168.0.254, 00:00:24, Serial0/1 172.16.0.208/28 [120/1] via 192.168.0.246, 00:00:25, Serial0/2 172.16.0.192/28 [120/1] via 192.168.0.246, 00:00:25, Serial0/2 172.16.0.0/26 [120/1] via 192.168.0.249, 00:00:19, Serial0/0 172.16.0.96/30 [120/1] via 192.168.0.249, 00:00:19, Serial0/0 172.16.0.80/28 [120/2] via 192.168.0.249, 00:00:19, Serial0/0 172.16.0.64/28 [120/2] via 192.168.0.249, 00:00:19, Serial0/0 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 C 192.168.0.252 is directly connected, Serial0/1 C 192.168.0.244 is directly connected, Serial0/2 RTR7A# R R R R R R R R R R Toutestrentrdanslordre,ladministrateurestsatisfait.ObservezlatablederoutagedeRTR7E: RTR7E#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 5 subnets, 4 masks 172.16.0.0/16 [120/3] via 172.16.0.97, 00:00:02, Serial0/0 172.16.0.0/26 [120/1] via 172.16.0.97, 00:00:02, Serial0/0 172.16.0.96/30 is directly connected, Serial0/0 172.16.0.80/28 is directly connected, FastEthernet0/1 172.16.0.64/28 is directly connected, FastEthernet0/0 192.168.0.0/30 is subnetted, 3 subnets R 192.168.0.248 [120/1] via 172.16.0.97, 00:00:02, Serial0/0 R 192.168.0.252 [120/2] via 172.16.0.97, 00:00:02, Serial0/0 R 192.168.0.244 [120/2] via 172.16.0.97, 00:00:02, Serial0/0 RTR7E# R R C C C Cerouteurdisposeencoredunerouteagrgevers172.16.0.0via172.16.0.97.Cecisexpliqueparlefaitquela commande no autosummaryna pas t utilise sur RTR7A. De ce fait, RTR7A agrge 172.16.0.0 et annonce le rseau majeur dans son entier sur toutes ses interfaces. Mais cela nest absolument pas un problme car on se souvient(reliresincessairelasectionRoutagesansclasseduchapitreprcdent)quelacommande ipclassless est active par dfaut. Cette commande fait adopter au processus de routage lalgorithme de recherche de correspondancedeprfixelapluslongueetnotrecontexteoffrelemoyendevrifiersonutilitetsapertinence. ImaginonsunpaquetreuparRTR7Eetdestin172.16.0.161:
- 13 -
La seule correspondance de prfixe prsente dans la table est 172.16.0.0/16 et RTR7E remet le paquet 172.16.0.97viaS0/0: RTR7E#ping 172.16.0.161 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.161, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/184 ms RTR7E# Imaginonsunsecondpaquetdestin172.16.0.1:
Laroutevers172.16.0.0/16donnaitunecorrespondancemaisellenestpasexaminepuisquunecorrespondance pluslongueesttrouvedsle4 e test.Lepaquetestremis172.16.0.97viaS0/0.LerouteurRTR7Clereoitet utiliselemmealgorithme.Satablederoutageest: RTR7C#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 5 subnets, 4 masks 172.16.0.0/16 [120/2] via 192.168.0.250, 00:00:25, Serial0/0 172.16.0.0/26 is directly connected, FastEthernet0/0 172.16.0.96/30 is directly connected, Serial0/1 172.16.0.80/28 [120/1] via 172.16.0.98, 00:00:23, Serial0/1 172.16.0.64/28 [120/1] via 172.16.0.98, 00:00:23, Serial0/1 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 R 192.168.0.252 [120/1] via 192.168.0.250, 00:00:25, Serial0/0 R 192.168.0.244 [120/1] via 192.168.0.250, 00:00:25, Serial0/0 RTR7C# R C C R R RTR7C connat les mmes prfixes que RTR7E et trouve donc la mme plus longue correspondance avec 172.16.0.0/26,lepaquetestremislinterfaceF0/0.Unecommandepingconfirmelebonacheminement: RTR7E#ping 172.16.0.1
- 14 -
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/21/28 ms RTR7E#
b.Activationdelauthentification
LIOSoffrelemoyendauthentifierlesmessagesdefaontrssoupleenpermettantdedfinirnonpasunemais desensemblesdecls.Unensemblepeutconteniruneouplusieurscls.Chaqueclpeuttreprissableounon. Ces cls peuvent tre mises en tant que mots de passe en texte clair ou servir gnrer une signature MD5. Procdonspartapes. Scnario1Objectif:
G
AuthentifierleschangesdemisesjourRIPentrelesdeuxrouteursRTR7AetRTR7Cparunmotdepasse simple.Lemotdepasseestinvariable,ladministrateurachoisiInabottle.
tape1:crerunensembledecls Lacommandekeychainpermetdecrerunensembledecls.Sasyntaxeestlasuivante: Router(config)#key chain name-of-chain ...dontlargumentest: nameofchain Nom attribu lensemble de cls. Lensemble doit comporter au moins une cl et peut comporter jusqu 2 147 483 647 cls. Appliqueaucasprsent: RTR7C(config)#key ? chain Key-chain management config-key Set a private configuration key RTR7C(config)#key chain ? WORD Key-chain name RTR7C(config)#key chain turing RTR7C(config-keychain)# Le nom attribu lensemble de cls, Turing dans le cas prsent, na quune porte locale. Il nest donc pas indispensable(maispasinterdit)denommerdefaonidentiquelesensemblesdeclsdedeuxrouteursquidoivent authentifierleurschanges. tape2:placeraumoinsunecldanslensembledecls Lacommande keycreunecldanslensembledeclsetdoittreutiliseautantdefoisquilyadeclscrer danslensemble.Sasyntaxeestlasuivante: Router(config-keychain)#key key-id Router(config-keychain-key)# ...dontlargumentest: keyid Numroquiidentifielaclencoursdecration,doitappartenirlespace[0 2 147 483 647].Lesidentifiantsde clsnontpasbesoindtreconscutifs. Lacommandekeystringcrelachanedecaractresquiconstituelacl.Sasyntaxeestlasuivante: Router(config-keychain-key)# key-string text
- 15 -
...dontlargumentest: text Chane utiliser dans les messages authentifier, peut contenir de 1 80 caractres alphanumriques : minuscules, majuscules ou chiffres. Le premier caractre ne peut tre un chiffre. Ladministrateur qui le souhaite peutprotgerlesclsdesregardsindiscretslaidedelacommandeservicepasswordencryption. Appliquesaucasprsent: RTR7C(config-keychain)#key ? <0-2147483647> Key identifier RTR7C(config-keychain)#key 1 RTR7C(config-keychain-key)#? Key-chain key configuration commands: accept-lifetime Set accept lifetime of key default Set a command to its defaults exit Exit from key-chain key configuration mode key-string Set key string no Negate a command or set its defaults send-lifetime Set send lifetime of key RTR7C(config-keychain-key)#key-string Inabottle Pourcecahierdescharges,inutiledenfaireplus.Dautrescontextesncessiterontdtoffercettetapepourplacer plusieursclsetrglerleuresprancedevie. tape3:appliquerlauthentificationuneinterface La commande ip rip authentication keychain en mode de configuration dinterface applique lauthentification et spcifiequelensembledeclsdoittreutilis.Appliqueaucasprsent: RTR7C(config-keychain-key)#int s0/0 RTR7C(config-if)#ip rip authentication ? key-chain Authentication key-chain mode Authentication mode RTR7C(config-if)#ip rip authentication key-chain ? LINE name of key-chain RTR7C(config-if)#ip rip authentication key-chain turing tape4:choisirlemodedauthentification La commande ip rip authentication mode permet de choisir lauthentification par mot de passe simple ou lauthentificationforteparsignatureMD5.Sasyntaxeestlasuivante: Router(config-if)#ip rip authentication mode {text|md5} Appliqueaucasprsent: RTR7C(config-if)#ip rip authentication mode ? md5 Keyed message digest text Clear text authentication RTR7C(config-if)#ip rip authentication mode text RTR7C(config-if)#^Z RTR7C# tape5:rpterlensembledesoprationssurlesecondrouteurconcern Danslecasprsent,ilsagitdeRTR7A: RTR7A(config)#key chain Turing RTR7A(config-keychain-key)#key-string Inabottle RTR7A(config-keychain-key)#int s0/0 RTR7A(config-if)#ip rip authentication key-chain Turing RTR7A(config-if)#ip rip authentication mode text RTR7A(config-if)#^Z RTR7A#
- 16 -
tape6:recette Unecommandeshowkeychainestutilepourvrifierlaconfigurationeffectue.SurRTR7C: RTR7C#show key chain Key-chain Turing: key 1 -- text "Inabottle" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now] UnecommandedebugipripconfirmequeleschangesentreRTR7AetRTR7Cseffectuentdemanireauthentifie: RTR7C#debug ip rip RIP protocol debugging is on RTR7C# 00:08:04: RIP: received packet with text authentication Inabottle 00:08:04: RIP: received v2 update from 172.16.0.250 on Serial0/0 00:08:04: 172.16.0.128/27 via 0.0.0.0 in 2 hops 00:08:04: 172.16.0.160/28 via 0.0.0.0 in 3 hops 00:08:04: 172.16.0.176/29 via 0.0.0.0 in 3 hops 00:08:04: 172.16.0.184/30 via 0.0.0.0 in 2 hops RTR7C#u all Scnario2Objectif:
G
Authentifier les changes de mises jour RIP entre les deux routeurs RTR7A et RTR7C par une signature MD5.Lesmotsdepasseutilissdoiventchangerselonlecalendriersuivant:
tape1:modifierlensembledeclsTuring Nous aurons besoin pour ce faire des deux commandes acceptlifetime et sendlifetime. La commande accept lifetimespcifieladuredevaliditdesclsreues.Lacommandesendlifetimespcifieladuredutilisationdes clsductmissiondesmisesjourauthentifies.Leursyntaxeestlasuivante: RTR7C(config-keychain-key)#accept-lifetime start-time {infinite | end-time | durationseconds} RTR7C(config-keychain-key)#send-lifetime start-time {infinite | end-time | durationseconds ...dontlesargumentssont: starttime Lasyntaxeestindiffremment: hh:mm:ssMonthdateyear hh:mm:ssdateMonthyear
- 17 -
Monthlestroispremireslettresdumoisexprimenanglais. Datede131. Yearanneexprimesur4chiffres. infinite Laclestvalideindfinimentpartirdelinstantdfiniparstarttime. endtime Laclestvalideentrelesdeuxinstantsdfinisparstarttimeetendtime.Syntaxeidentiquecelledestarttime. Lavaleurinfiniteestadoptepardfaut. duration Laclestvalidependantdurationsecondespartirdelinstantdfiniparstarttime. Appliqueauscnarioprsent: RTR7C(config)#key chain Turing RTR7C(config-keychain)#key 1 RTR7C(config-keychain-key)#key-string couronne RTR7C(config-keychain-key)#accept-lifetime 05:00:00 jan 01 2010 duration 90000 RTR7C(config-keychain-key)#send-lifetime 05:00:00 jan 01 2010 duration 90000 RTR7C(config-keychain-key)#key 2 RTR7C(config-keychain-key)#key-string sicie RTR7C(config-keychain-key)#accept-lifetime 05:00:00 jan 02 2010 06:00:00 feb 022010 RTR7C(config-keychain-key)#send-lifetime 05:00:00 jan 02 2010 06:00:00 feb 02 2010 RTR7C(config-keychain-key)#key 3 RTR7C(config-keychain-key)#key-string cepet RTR7C(config-keychain-key)#accept-lifetime 05:00:00 feb 02 2010 infinite RTR7C(config-keychain-key)#send-lifetime 05:00:00 feb 02 2010 infinite RTR7C(config-keychain-key)#^Z RTR7C# Observezqueladministrateuraprislaprcautiondefairecoexisterdeuxclspendantuncourtmoment(1heure) afin de pallier le fait que les deux routeurs pourraient ne pas partager la mme heure (90000 secondes correspondent25heures). tape2:passerenMD5 RTR7C#conf t Enter configuration commands, one per line. End with CNTL/Z. RTR7C(config)#int s0/0 RTR7C(config-if)#ip rip authentication mode md5 RTR7C(config-if)#^Z RTR7C# tape2:recette Avanttoutechose,assuronsnousquelesdeuxrouteurssontlheure.Enproduction,lidalseraitvidemmentde confierlamiselheuredesquipementsunserveurNTP(dcritauchapitreTchesdeconfigurationdesrouteurs Date et heure). Pour notre modeste mise en situation, une commande clock set fera laffaire, rpter sur RTR7C: RTR7A#clock set 21:00:00 3 may 2010 UnecommandedebugipripconfirmelauthentificationparsignatureMD5desmisesjourchanges: RTR7A#debug ip rip RIP protocol debugging is on 00:24:18: RIP: received packet with MD5 authentication 00:24:18: RIP: received v2 update from 192.168.0.249 on Serial0/0 00:24:18: 172.16.0.0/26 via 0.0.0.0 in 1 hops
......... RTR7A#u all All possible debugging has been turned off Une commande show key chain montre les cls contenues dans lensemble de cls ainsi que la cl en cours dutilisation: RTR7A#sh key chain Key-chain Turing: key 1 -- text "couronne" accept lifetime (05:00:00 UTC Jan send lifetime (05:00:00 UTC Jan 1 key 2 -- text "sicie" accept lifetime (05:00:00 UTC Jan send lifetime (05:00:00 UTC Jan 2 key 3 -- text "cepet" accept lifetime (05:00:00 UTC Feb send lifetime (05:00:00 UTC Feb 2 RTR7A#
1 2010) - (90000 seconds) 2010) - (90000 seconds) 2 2010) - (06:00:00 UTC Feb 2 2010) 2010) - (06:00:00 UTC Feb 2 2010) 2 2010) - (infinite) [valid now] 2010) - (infinite) [valid now]
c.Rglagedelacompatibilit
LIOSprvoitdeuxcommandespourrespecterlesprconisationsduRFCenmatiredecompatibilitavecRIPv1. Appliqueuneinterface,lacommande ip rip send version permet de gnrer des mises jour selon le format RIPv1ouRIPv2ouselonlesdeuxformats.Sasyntaxeestlasuivante: Router(config-if)#ip rip send version [1] [2] Par dfaut, un processus RIPv2 activ ne gnre que des mises jour version 2. On peut outrepasser ce comportementafindadapterlerouteurunepartiedesonenvironnement.Exemples:
G
Surlunedesesinterfaces,unrouteurRIPv2estconnectunemachinenecomprenantexclusivementque lesmessagesRIPv1entrezlacommandeipripsendversion1. Sur lune de ses interfaces, un routeur RIPv2 est connect plusieurs quipements dont une partie peut exploiter des mises jour RIPv2, dautres ne comprennent que les mises jour RIPv1 entrez la commandeipripsendversion12.Attention,letraficdacheminementsurlinterfaceconsidreestdoubl carlesannoncessontrptesdeuxfois,uneparformat.
Applique une interface, la commande ip rip receive version permet de ne prendre en compte que lun des formatspossiblesdemisesjourRIP.Sasyntaxeestlasuivante: Router(config-if)#ip rip receive version [1] [2] Pardfaut,unprocessusRIPv2activnexploiteexclusivementquelesmisesjourRIPv2.Onpeutoutrepasserce comportementafindefaireensortequeleprocessusRIPacceptegalementdesmisesjourissuesdemachines exclusivement RIPv1 laide de la commande ip rip receive 1 2. Autre possibilit : on pourrait galement contraindreleprocessusignorerlesmisesjourRIPv2pournaccepterquelesmisesjourissuesdeRIPv1 laidedunecommandeipripreceive1,maiscelanapasbeaucoupdesens. Infine,manipulercescommandesentranelebesoindevrifierlecomportementeffectifduprocessusRIPvisvis desmisesjour,cequeladministrateurobtientlaidedelacommande showipprotocols(recherchezsibesoin descapturesdecettecommandedanscechapitre).
4.Rsum
a.Lescaractristiquesretenir
RIPv2estunprotocolederoutagesansclasse.Ildoitcettefacultaufaitquilassocielinformationderouteetson masque.Maissoncomportementdanslagrgationrappellelpoqueavecclasse. Un routeur RIPv2 agrge ses annonces aux frontires des rseaux majeurs comme le faisait RIPv1. Lagrgationannonceestlerseaumajeur.Cestdoncuneagrgation/8,/16ou/24.
- 19 -
Ainsi, la granularit de lagrgation est pauvre. Dans le chapitre suivant ddi EIGRP, nous verrons que ladministrateur peut rgler manuellement le prfixe agrg et donc sa longueur, ce qui lui permet dajuster beaucoupplusfinementlagrgationundcoupageVLSMcomplexe(sitantestquilsoitsouhaitabledtablirdes dcoupagesVLSMcomplexes,maiscestunautredbat). LamiseenservicedeRIPv2nestgureplusdifficilequecelledeRIPv1.Quanddeserreurssurviennent,ellessont laplupartdutempsduesaunonrespectdescontraintesimposesparleprotocole,essentiellement. Unrouteurquiannonceunrseaumajeurdoittrelarouteuniqueverscerseau.Quandcenestpasle cas,ilfautcontraindrelerouteurannoncerlessousrseauxquilconnatdurseaumajeurlaidedela commandenoautosummary. Donc, si des routes manquent ou si des routes sont incohrentes, rexaminez avec attention votre plan dadressageetvotredcoupageensousrseauxetidentifiezlesrouteursfrontires.
b.Lescommandesimportantes
Commande routerrip Mode Configuration globale Configurationde routeur Configurationde routeur Configurationde routeur Configurationde routeur Configuration globale Description ActiveleprocessusRIP.
network@IP_rseau
Ladresseindiquedoitinclurelesadressesdes interfacesquiparticipentauprotocole. Utilepourpasserenversion2.
version
neighbor@IP_voisin
Activelenvoidemisesjourunicastversce voisin. Cesselenvoidemisesjoursurlinterface spcifie. Activelalgorithmederecherchede correspondancedeprfixelapluslongue (LongestMatchbasedForwardingAlgorithm)dans leprocessusderecherchederoute.Cestla commandepardfaut. Autoriselesadressesdesousrseaux exclusivementcomposesde0. ActivelauthentificationdesmisesjourRIP misesdepuiscetteinterfaceoureuessur cetteinterface. Authentificationparmotdepassesimpleoupar signatureMD5. Spcifieunecldanslensembledecls.
passiveinterfaceinterface typeinterfacenumber ipclassless
ipsubnetzro
Configuration globale Configuration dinterface
ipripauthenticationkeychain name_of_keychain
ipripauthenticationmode { text|md5} keynumber
Configuration dinterface Configuration densembledecls
keystringtext
Configurationdecl Attribueunechanedecaractreslaclqui servirasoitdemotdepasse,soitdeclpour laborerunesignatureMD5delamisejour.
acceptlifetimestarttime{ infinite| Configurationdecl Spcifieunlapsdetempspendantlequellacl endtime|durationseconds} estvalideenrception. sendlifetimestarttime{ infinite| endtime|durationseconds} Configurationdecl Spcifieunlapsdetempspendantlequellacl peuttreutilisedanslesmisesjourmises.
- 20 -
ipreceiveversion[1 ][2 ]
Configuration dinterface Configuration dinterface Modeutilisateur Modeutilisateur
Spcifielesformatsdemisesjouracceptes surcetteinterface. Spcifielesformatsdemisesjourgnres surcetteinterface. AffichelensembledesroutesissuesdeRIP. Affichelesparamtresetltatactueldu protocolederoutageactivsurlerouteur. Afficheentempsrelletraficdacheminement RIP. Activeoudsactivelagrgationautomatique lafrontiredunrseaumajeur. Ajustelesvaleursinitialesdestemporisateurs.
ipsendversion[1 ][2 ]
showiprouterip showipprotocols
debugiprip
Modeprivilgi
autosummary
Configurationde routeur Configurationde routeur Configurationde routeur
timersbasicupdateinvalidholddown flush outputdelaydelay
Introduitunespacedetempsminimalde850 millisecondesentredeuxmissionsdemises jourRIP,utilepourquunrouteurlentpuisse saccommoderdesmisesjourissuesdun routeurpuissant.
5.TP:MiseenuvreduneconfigurationRIPv2
Biensr,rienninterditaulecteurdereproduirelensembledestopologiesdecechapitredansGNS3maisilfautbien avouerquefairefonctionnerlessixrouteursdesateliers7Aet7Bnest pasuneminceaffaire,lensembleamanqu cruellementdestabilitsurlamachinedelauteur,malgrsesefforts. Plus modestement, proposonsnous dutiliser la topologie cidessous qui avait servi illustrer les limites dun protocole de routage avec classe. Le domaine couvert par le rseau 10 est scind en deux parties. Par ailleurs, le masqueadoptpourdcouperlerseau192.168.9.0estuniquecequiconduitunimportantgaspillagedadresses surlesliensserial.Lobjectifestdoncdouble:
G
Remplacer les sousrseaux /26 des liens serial par des sousrseaux /30 du mme rseau majeur 192.168.9.0. AppliquerleprotocoleRIPv2.
- 21 -
UnesolutionestproposeauchapitreAteliersetexercicescorrigs.
- 22 -
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Quellessontlescaractristiquesessentiellesdunprotocolederoutageavecclasse? 2 QuelssontlesnouveauxchampsinclusdanslemessagedemisejourRIPv2? 3 CitezaumoinsdeuxcaractristiquespartagesparRIPv1etRIPv2. 4 QuelleestladressedemulticastutiliseparRIPv2?Quelssontlesavantagesprfrerdesmisesjour multidiffusespluttquediffuses? 5 QuandconvientildedsactiverlagrgationautomatiquesurRIPv2? 6 Quelleestlafonctiondelacommandenetworkutiliselorsdelaconfigurationduprotocolederoutage? 7 QuelestlecomportementpardfautdeRIPv2enmatiredagrgationautomatique? 8 QuelssontlesdeuxtypesdauthentificationsupportsparlimplmentationCISCOduprotocoleRIPv2?Ces deuxtypestaientilsceuxprvusparlestandard? 9 UnrouteurRIPv1connatlessousrseaux10.4.0.010.7.0.0durseaumajeur10.0.0.0.Quannoncetilsur soninterface192.168.1.1/24? 10 Observezlatopologiecidessous:
SurlerouteurRTR7A,quarrivetilunpaquetdestin172.16.11.20?
2.Rsultats
3.Rponses
1 Quellessontlescaractristiquesessentiellesdunprotocolederoutageavecclasse? Essentiellement deux caractristiques, lune touche linformation de topologie, lautre son traitement. Chaque
- 1-
annoncederouteestassocielinformationdemasque.Leprocessusderoutagerechercheuneroutedanslatable laidedelalgorithmederecherchedelapluslonguecorrespondancedeprfixe(reliresincessairelasectionRIPv2Le protocole). 2 QuelssontlesnouveauxchampsinclusdanslemessagedemisejourRIPv2? Le message de mise jour RIPv2 met profit les parties inutilises du message RIPv1 pour inclure trois nouvelles informationsdanschaqueentrederoute:lemasque,unchampRoutetagdestindistinguerunerouteexterne etunchampNextHopquicontientlinformationdeprochainsautquandlerouteurannonceurnoffrepaslechemin idalverslarouteannonce(reliresincessairelasectionComparaisondesmessagesdeRIPv2avecRIPv1). 3 CitezaumoinsdeuxcaractristiquespartagesparRIPv1etRIPv2. RIPv1 et RIPv2 partagent la mme mtrique. Le mme nombre de sauts quivaut la mtrique infinie. La rgle de partagedhorizonestappliqueparlesdeuxprotocoles(reliresincessairelasectionRIPv2Leprotocole). 4 QuelleestladressedemulticastutiliseparRIPv2?Quelssontlesavantagesprfrerdesmisesjour multidiffusespluttquediffuses? UnrouteurRIPv2metsesmisesjourversladressemulticast224.0.0.9.Danslemmetemps,lerouteurRIPv2 sinscritdanslegroupemulticast224.0.0.9defaontredestinatairedesmisesjourRIPv2quilreoit.Lavantage estchercherductdesmachinesquireoiventcesmisesjoursanstreconcernes.Letraitementselimitealors audcodagedeladresse.Surunrseaudiffusion,puisquelappartenanceaugroupeestrpercuteencouche2,le filtragepourraitsoprerdslacouche2(reliresincessairelasectionRIPv2Leprotocole). 5 QuandconvientildedsactiverlagrgationautomatiquesurRIPv2? Ilfautdsactiverlagrgationautomatiquesurlesrouteursplacslafrontiredunrseaumajeurdiscontiguousi, pour toute autre raison, ladministrateur souhaite voir propager les sousrseaux (relire si ncessaire la section Rseauxdiscontigus). 6 Quelleestlafonctiondelacommandenetworkutiliselorsdelaconfigurationduprotocolederoutage? Cettecommandeadeuxobjectifs:identifierlesrseauxquidoiventtreinclusdanslesmisesjourderoutageet dterminerquellessontlesinterfacesconcernesparlmissionetlarceptiondesmisesjour(reliresincessairela sectionActivationduprotocole). 7 QuelestlecomportementpardfautdeRIPv2enmatiredagrgationautomatique? Lagrgation automatique est active par dfaut. Une commande no auto summary en configuration de routeur dsactivelagrgation automatique. Une commande show ip protocolspermetdesassurerdurglageactueldece paramtre(reliresincessairelasectionRseauxdisontigus). 8 QuelssontlesdeuxtypesdauthentificationsupportsparlimplmentationCISCOduprotocoleRIPv2?Ces deuxtypestaientilsceuxprvusparlestandard? LimplmentationCISCOproposelafoislauthentificationparmotdepassesimpleetlauthentificationparsignature MD5. Seul le premier type est prvu par le standard mais celuici offre un format dauthentification suffisamment souple pour supporter de nouveaux types dauthentifications sans remise en question lourde (relire si ncessaire la sectionRIPv2Authentification). 9 UnrouteurRIPv1connatlessousrseaux10.4.0.010.7.0.0durseaumajeur10.0.0.0.Quannoncetilsur soninterface192.168.1.1/24? Lerseaumajeur10.0.0.0(reliresincessairelasectionRseauxdiscontigus). 10 Observezlatopologiecidessous:
- 2-
SurlerouteurRTR7A,quarrivetilunpaquetdestin172.16.11.20? DeparlesannoncesdeRTR7B,RTR7Adisposedunerouteverslerseaumajeur172.16.0.0.Maispuisquelagrgation automatique est dsactive sur RTR7C, le routeur RTR7A dispose galement de routes plus spcifiques vers 172.16.11.0/24 et 172.16.12.0/24. Puisque lalgorithme utilis pour examiner la table de routage recherche la plus longuecorrespondancedeprfixe,lepaquetestacheminversRTR7CvialinterfaceS0/0deRTR7A(reliresincessaire lasectionRseauxdiscontigus).
- 3-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Ladressage IP soit le chapitre La couche rseau, ladressage IP de louvrage Cisco Notions de base sur les rseauxdanslacollectionCertificationsauxEditionsENI. Lesconnaissancesetsavoirfaire proposs dans le chapitre Le routage, initiation de louvrage Cisco Notionsde basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede: Dcrire le rle des protocoles de routage dynamique et agencer ces protocoles dans une conception de rseau moderne(objectiftransverse). Dcrire de quelle manire les mtriques sont utilises par les protocoles de routage et identifier les types de mtriquesutilisesparlesprotocolesderoutagedynamique(objectiftransverse). Identifierlescaractristiquesdesprotocolesderoutagevecteurdedistance(objectiftransverse). DcrirelefonctionnementetlescaractristiquesprincipalesduprotocoleEIGRP(EnhancedInteriorGatewayRouting Protocol). Utiliserdescommandesdeconfigurationavancesavecdesrouteursmettanten uvreleprotocoleEIGRP. ConfigureretvrifierlefonctionnementdebaseduprotocoleEIGRPsurunpetitrseaurout. Utiliserlescommandes showet debugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent surdepetitsrseauxrouts.
- 1-
Contexte
1.LesobjectifsdeCISCO
CiscorevendiquepoursonprotocolederoutageuntempsdeconvergenceaumoinsaussibonqueceluidOSPF,tout enaffirmantlesurpasserentermesdeconsommationderessourcesmachines.Avantdedcouvrirlesrellesqualits de ce protocole, constatons quil est inutile douvrir une polmique car le problme est ailleurs : EIGRP est une technologie qui appartient CISCO, ce qui limite son dploiement des rseaux 100 % CISCO. La lettre E dEIGRP signifie Enhanced et rappelle quEIGRP a pour parent le protocole IGRP. Il se trouve quIGRP est un protocoleavecclasseetquelabandondesclassesimposaitCISCOdelerviser. DifficiledeclasserEIGRPdanslunedesdeuxfamillesDVoutatsdeliens,dufaitmmedelacommunicationCISCO sur ce sujet, communication qui a manqu de constance. CISCO a tantt prsent EIGRP comme un protocole DV amlior,tanttcommeunprotocolehybrideDVtatsdeliens.Pourrsumerlesentimentgnralementaccept, EIGRPestunprotocoleDVquisecomportecommeunprotocoletatsdeliens. RappelonsquunrouteursousprotocoleDVpartagetoutcequilsaitmaisuniquementavecsesvoisinsdirectement connects.loppos,unrouteursousprotocoletatsdeliensannoncepeultatdesesliens,maispartagecette informationaveclensembledesrouteursdudomaine. LadescriptionduprotocoleRIPapermisdemesurerlesaffresdontsouffrentlesprotocolesDVetleurpropension crer des boucles de routage. Ces dfauts intrinsques sont combattus coups dartifices type partage dhorizon, empoisonnementderoutesettemporisateursderetenue.UnrouteurDVnannoncepaslesroutesquilreoitmais lesroutescontenuesdanssatable.Uneannoncereueestpasseaucribledelalgorithmederoutageavantdtre ventuellement installe dans la table, le temps ncessaire diffre dautant la propagation de linformation de topologiedanslerseau,cecirendparnatureunprotocoleDVlentconverger. Parailleurs,etpuisquunprotocoleDVannoncedesroutes,lechangementdtatdunseulliendurseaupeutavoir desconsquencessurdenombreusesroutescequipeutsetraduireparunimportanttraficdacheminementquand lvnementseproduit. Inventorier tous ces dfauts renforce instantanment lintrtpourlesprotocolestatsdeliens.Ilestvraiquils sontpeususceptiblesdeprovoquerdesbouclesderoutage.Ilestvraigalementquuneannoncedelienreuepar un routeur peut tre transmise au routeur suivant sans dlai, de grands rseaux peuvent ainsi converger rapidement.Enfin,unchangementdtatdelienprovoquelannonceparlerouteurconcerndunouveltatdulien, cestmieuxquunetemptedemisesjourderoutesconcernesparlelien. Gardonsnous pourtant de parer les protocoles tats de liens de toutes les vertus. Car maintenir les bases de donnesncessairesauprotocoleetdroulerrgulirementlalgorithmedupluscourtchemin(patientez)sonttrs consommateurs de ressources machine, mmoire et CPU. moins que ce dfaut ne devienne marginal du fait de lvolutiondelapuissanceetducotdesmachines. Toutrouteurcalcule,unrouteurDVlefaitavantdenvoyerdesmisesjoursesvoisins,unrouteurtatsdeliens lefaitaprsavoirconstruitsabasededonnestopologique(patientez).Maisdanslesdeuxcas,chaquerouteurdun domainemnelensembledesescalculsindividuellementenutilisantlinformationdontildispose.CesticiquEIGRP se distingue car avec lalgorithme utilis, tout se passe comme si EIGRP rpartissait ses calculs sur lensembledes routeurs,aveclacluneconsommationparcimonieusedesressourcesrseauetmachine,uneconvergencerapide (moinsdecinqsecondesselonCISCOdanslaplupartdescas)etunetopologieexemptedeboucles.
2.Caractristiquescls
EIGRP est un protocole de routage sans classe, cest mme la caractristique essentielle qui a justifi son dveloppementpartirdIGRP.ToutcommeRIPv2,chaqueentrederouteassocieladresserseaulinformation demasque.VLSMpeuttreutilissansretenue,quilsagissedediviseroudagrgerdesespacesdadresses. CommelimplmentationCISCOdeRIPv2,EIGRPsupportelauthentificationforteparsignatureMD5deseschanges. Dernirecaractristiquequifutimportanteparlepass,quinelest plus aujourdhui,EIGRPestcapableautantde routerleprotocoleIPquelesprotocolesIPXetAppletalk. Quelquesautrescaractristiques:
G
LesrouteursdcouvrentleursvoisinspuisentretiennentlesrelationsdevoisinagelaidedemessagesHello misdefaonpriodique. La mtrique est composite et peut faire intervenir la bande passante, le dlai, la fiabilit et la charge des liens. Lesmisesjourmisesparunrouteursontnonpriodiques,partielles,ciblesetfiables:
- 1-
Nonpriodiques:lesmisesjoursontvnementielles,cestdirequellesninterviennentquelors dunchangementdemtriqueoudetopologie. Partielles:lesmisesjournecontiennentquelesroutesquiontchangetnontoutlecontenudela tablederoutage. Cibles:lesmisesjourenvoyesunvoisinlesontparcequeleschangementsrelatsparlamise jouraffectentcevoisin. Fiables : les mises jour sont transportes laide du protocole RTP (Reliable Transport Protocol), protocoleconuparCISCOetquigarantitlaremise,lintgritetlesquencementdespaquets.
EIGRP est capable de partage de charge cot gal mais aussi, et cest le seul IGP revendiquer cette facult,capabledepartagedechargecotingalauprixdunelgreconfiguration.
- 2-
Dtailduprotocole
Comme nous pourrons le vrifier en abordant OSPF un peu plus tard, EIGRP utilise une squence doprations trs analoguecelleduprotocoletatsdeliens: 1.UnrouteurEIGRPcherchedcouvrirsesvoisinsetfaireconnatresapropreexistence.Pourcefaire,EIGRPgnre desmessagesHellodefaonrgulireetexploitelesmessagesventuellementreusafindedterminerquisontses voisins. 2. Ltablissement dune relation de voisinage saccompagne dchanges de mises jour de topologie permettant deuxvoisinsdgaliserleurperceptionouleurconnaissancedurseau. 3.ChaquerouteurexploitesatabledetopologieEIGRPpourconstruiresatablederoutage. Ainsi,commeOSPF,EIGRPentretientplusieursbasesdedonnes:
G
Latabledesvoisinsconsultablelaidedunecommandeshowipeigrpneighbor. Labasededonnestopologiqueconsultableviashowipeigrptopology. LatablederoutagequiregroupetouteslesroutesquellessoientissuesdEIGRPoupas,consultablelaidede lacommandeshowiprouteoumieuxshowiprouteeigrp.
LeproblmesaggraveraencoreavecOSPFmaisilfautbienreconnatrequelacomplexitdEIGRPesttellequonnesait pas par o commencer. Il est quasi impossible de btir un expos parfaitement linaire et squenc, cestdire un expos dans lequel le lecteur naurait pas faire des allers et retours. Lauteur rclame donc lindulgence du lecteur face aux probables nombreuses rfrencesavant. Une rfrenceavant clairement identifie lest par la mention (patientez).
1.Architecture
Cette illustration na absolument rien dindit, on la retrouve absolument partout. Il faudra pourtant bien un jour admettrequeseulsubsisteIPetdpoussirerunpeu.Silnyavaitlacraintedunequestiondecertificationportant surcettearchitecture...
2.Notiondesuccesseurfaisable
EIGRPentretientunetableintermdiaireditetabledetopologiedontildduitsatablederoutage.Lesmisesjour
- 1-
envoyes vers un voisin comportent des informations issues non pas de la table de routage mais de la table de topologie.Chaquerseaunonencoreconnuetannoncparunvoisinestajoutlatabledetopologie.Silerseau annoncestdjconnuviaunouplusieursautresvoisins,levoisinquiannonceestajoutlacollectiondevoisins quiontgalementannonccerseau. Unrseau(unedestination,uneentredelatabledetopologie)estdplacdelatabledetopologieverslatablede routagequandilexisteunsuccesseurpotentiel(ousuccesseurfaisable)pourcerseau.Danslacollectiondevoisins ayantannonclerseau,lessuccesseurspotentielssontceuxquiontannoncunemtriqueinfrieurelamtrique encoursdanslatablederoutage.Lerouteurconsidrelessuccesseurspotentielscommedesvoisinssitusenaval visvisdurseauobjet.Autrementdit,lerouteurdoittreenamontdetouslessuccesseurspotentielspourune routedonne. Cette premire explication nest certainement pas suffisante, dautres dtails sont fournis dans la section ddie DUAL.
3.LeprotocoledetransportRTP
Le protocole RTP est un protocole dvelopp par CISCO pour assurer un transport fiable du trafic dacheminement. Pourquoi ne pas avoir utilis TCP ? Pour au moins deux raisons. La premire est que RTP devait pouvoir sappuyer indiffremmentsurIP,IPXouAppleTalk.Ilfallaitdoncconcevoirunprotocoleindpendant.Laseconderaisonestque le fonctionnement de TCP en mode connect qui lui interdit la diffusion. RTP au contraire peut assurer un transport fiablemaissansconnexion.SionoublieIPXetAppleTalk,RTPsencapsuledansIPetestidentifiparlenumrode protocole88.RTPestcapabledemultidiffusion,ladressededestinationestdanscecas224.0.0.10,adressedeclasse DquiidentifielegroupedesrouteursEIGRP.Enfinal,RTPoffreunservicelacarteselonlesexigencesdutransport, unicastoumulticast,avecousansgarantie:
G
Garantie de remise : un routeur qui reoit un paquet RTP multicast doit acquitter (cestdire mettre un paquetaccusderception),illefaitlaidedunpaquetunicast. Garantiedesquencement:chaquepaquetRTPembarquedeuxnumrosdesquence.Lerouteurmetteur dun message positionne le numro de squence du paquet. Ce numro est incrment chaque nouveau paquetmis.Lesecondnumrosertlautresensdefluxetpermetaurouteurmetteurdefairesavoirson correspondantquelestlenumrodesquencedudernierpaquetreu. Paquetssansgarantiederemise:RTPestgalementcapabledetransporterdespaquetssansgarantiede remise(cestunpeucommesiRTPtaittanttcapabledesecomportercommeTCP,tanttcommeUDP).Ces paquetsnesontpasacquittsetparconsquent,nincluentpasdenumrosdesquence.
RTPtransportecinqtypesdemessages:
G
LesmessagesHello/Acks:lesmessagesHellosontdiffussetdestinsdcouvrirlesvoisinspuisentretenir les relations de voisinage. Ces messages ne sont pas acquitts. Un message Hello qui ne comporte pas de donnes fait office de message dacquittement. Les acquittements sont toujours envoys des adresses unicast. Lesmessagesdemisesjour( Updates):cesmessagesportentlinformationdetopologieissuedestables topologiques.Quandunrouteursedcouvreunnouveauvoisin,illuienvoiedesmessagesdemisesjour afinquelevoisinpuisseconstruiresatabledetopologie.Lesmessagessontdanscecasenvoysladresse unicast du voisin. Dans tous les autres cas, par exemple lorsque le cot dun lien change, linformation intressetouslesvoisinsetlerouteurutilisedesmessagesdemisesjourmultidiffuss.Quandiltransporte desmessagesdemisesjour,RTPfonctionnedanslemodefiable(lespaquetsdoiventtreacquitts). Lesmessagesderequteetderponse( Queries/Replies):cesmessagessontutilisssuiteaupassage ltatactifduneroute.Uneroute(uneentredelabasededonnestopologiquedEIGRP)estdanslundes deuxtatspassifouactif:
G
Ltat passif signifie que le systme est stable, le routeur nentreprend ni ne participe aucune recherche ni aucun calcul son sujet (en anglais, cest plus court, les documentations parlent de Diffusingcomputation ). TantquEIGRP dispose, pour une route donne, dun successeur potentiel ousuccesseurfaisable(FSouFeasibleSuccessor),uneroutenedoitpasquitterltatPassif. Silederniersuccesseurpotentieldisparat,laroutepasseltatactifetuncalculdiffusestentrepris parledomaineEIGRP.Lerouteurquiafaitleconstatquilnedisposaitplusdesuccesseurpotentiel diffuseunerequtelensembledesesvoisins.Chaquevoisininterrogadeuxchoix:rpondresil disposedunsuccesseurpotentielpourlarouteobjetdelarequteourpondreparunerequtequi signifie qu son tour, il initie une recherche. Cest bien en cela quil faut parler de processus ou de calculdiffus.
- 2-
Tantquelarouteestdansltatactif,unrouteurnedoitpasmodifierladressedurouteurdeprochainsaut utilisepouracheminerlespaquetsdestinscetteroute.Cenest quunefoistouteslesrponsesreues pour une requte donne que la route objet de la requte peut retourner ltat passif et quun nouveau successeurpeuttredsign. moinsquellenesoitenvoyeenrponse,unerequteesttoujoursmultidiffuse.Quandelleestutiliseen tantquerponse,elleestenvoyeladresseunicastdurouteurloriginedelarequte. Lesmessagesderponsesonttoujoursenvoysladresseunicastdurouteurloriginedelarequte. Quandiltransportedesrequtesoudesrponses,RTPfonctionnedanslemodefiable. Les messages de demande ( Request) : ces messages sont utiliss quand un routeur souhaite obtenir de linformation spcifique dun ou plusieurs de ses voisins, dans le cadre dapplications de type Routeserver (patientez).RTPtransportecesmessagesenmodenonfiable.
4.Entretiendesrelationsdevoisinage
Celaatdit,lesmisesjourdEIGRPnesontpaspriodiques.Laconsquenceestquilestimpossibleunrouteur dejugerdeltatdesesvoisinsensefondantsurlarceptiondespaquetscorrespondants.LesconcepteursdEIGRP ont d imaginer un mcanisme de substitution dont lobjet est de dcouvrir puis surveiller les voisins. La solution retenue passe par lmission priodique de messages Hello. Un message Hello est un message trs court dont le principalobjetestderendresonmetteurvisibledesvoisins. Un routeur EIGRP A dcouvre un voisin B quand il en reoit le premier message Hello issu dun rseau directement connect.QuandlevoisinBestdcouvert,leprocessusEIGRPAcreunenouvelleentredanslatabledevoisinage et y place entre autres ladresse du voisin B ainsi que linterface via laquelle il a t dcouvert. Puis le routeur A solliciteDUALafindenvoyeraunouveauvoisinBlatotalitdesatabledetopologie.Illefaitlaidedemessagesde misesjourunicastdanslesquelsledrapeaudinitialisationestpositionn.LenouveauvoisinBquireoitunmessage demisejouraveccedrapeaupositionnenvoieaurouteurAsapropretabledetopologie. EIGRPmetsesmessagesHelloversladressedemultidiffusion224.0.0.10.UnmessageHellonencessitepasdtre acquitt.LapriodequisparedeuxmessagesHelloest5secondessurleslienslargebandemais60secondessur leslienslents. LeslienspourlesquelslapriodedesmessagesHelloest5secondes:
G
RseauxdiffusiontelsquEthernet,TokenRingetFDDI. LiensWANpointpoint,ilpeutsagirdelienslousavecencapsulationPPPouHDLC,delienspointpoint FrameRelayouATM. Liensmultipointslargebande(suprieureauT11544Kbps)tellesqueRNISaccsprimaireetFrameRelay.
LeslienspourlesquelslapriodedesmessagesHelloest60secondes:
G
LiensmultipointsdontlabandeestinfrieurecelleduT1.
Ladministrateur peut modifier la priode qui spare deux missions de messages Hello laide de la commande ip hellointervaleigrpenconfigurationdinterface: R11(config)#int s0/0 R11(config-if)#ip hello-interval eigrp ? <1-65535> Autonomous system number R11(config-if)#ip hello-interval eigrp 64501 ? <1-65535> Seconds between hello transmissions R11(config-if)#ip hello-interval eigrp 64501 5 R11(config-if)# LemessageHellocomporteunchampTempsdemaintien(HoldTime).LerouteurquireoitunmessageHelloarmeun temporisateuraveccettevaleur.SiletemporisateurexpireavantdavoirtrarmparlemessageHellosuivant,le
- 3-
voisinestjuginjoignableetleprocessusDUALestinformdesaperte.Pardfaut,letempsdemaintienestgal troispriodesdumessageHello,soit15secondesou180secondesselonlescas.nouveau,ladministrateurpeut modifiercettevaleurlaidedelacommandeipholdtimeeigrpenconfigurationdinterface: R11(config)#int s0/0 R11(config-if)#ip hold-time ? eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) R11(config-if)#ip hold-time eigrp ? <1-65535> Autonomous system number R11(config-if)#ip hold-time eigrp 64501 ? <1-65535> Seconds before neighbor is considered down R11(config-if)#ip hold-time eigrp 64501 15 R11(config-if)# Outresonexistence,unrouteurEIGRPannoncesonpropretempsdemaintiendanssesmessagesHello.Cecivite que les temps hello_interval et hold_timedoiventtrerglslidentique sur lensembledesrouteursdundomaine EIGRP. Ladministrateur qui modifie le temps hello_interval doit galement modifier le temps hold_time afin de le maintenirgaltroispriodeshello_interval. ComparezletempsncessaireEIGRPpourdtecterladisparitiondunvoisin(15secondesdanslaplupartdescas) celuiexigparRIP(Temporisateurdinvalidation,180secondes),cestunpremierfacteurvidemmenttrsfavorable lobtentionduntempsdeconvergencecourt. Ce nest que depuis une poque rcente (IOS 12.4) que CISCO a jug bon de doter son IOS dune commande permettantdedcouvrirquelestletemps hello_intervalconfigursurunrouteurinconnu.Etsauferreur,laffichage durglagedutempshold_timemanquetoujours.QuellequesoitlaversiondelIOS,ladministrateurpeutmalgrtout dduirecesvaleursdelobservationdutemporisateurassocichaquevoisinchezunvoisindurouteurinconnu.La valeurdecetemporisateurapparatdanslacolonneHolddunecommandeshowipeigrpneighbor: R102#sh ip eigrp neighbors IP-EIGRP neighbors for process 100 H Address Interface 1 10.0.50.1 Se0/0 2 10.1.100.101 Fa0/1 0 10.1.100.100 Fa0/1 R102#sh ip eigrp n IP-EIGRP neighbors for process 100 H Address Interface 1 10.0.50.1 Se0/0 2 10.1.100.101 Fa0/1 0 10.1.100.100 Fa0/1 R102#sh ip eigrp n IP-EIGRP neighbors for process 100 H Address Interface 1 10.0.50.1 Se0/0 2 10.1.100.101 Fa0/1 0 10.1.100.100 Fa0/1 R102#sh ip eigrp n IP-EIGRP neighbors for process 100 H Address Interface 1 10.0.50.1 Se0/0 2 10.1.100.101 Fa0/1 0 10.1.100.100 Fa0/1 R102#sh ip eigrp n IP-EIGRP neighbors for process 100 H Address Interface 1 2 0 10.0.50.1 10.1.100.101 10.1.100.100 Se0/0 Fa0/1 Fa0/1
Hold Uptime SRTT (sec) (ms) 178 00:12:45 261 14 00:16:01 1113 13 00:16:06 403
Q Cnt 1566 0 5000 0 2418 0
RTO
Seq Type Num 19 17 10
Q Cnt 1566 0 5000 0 2418 0
RTO
Q Cnt 1566 0 5000 0 2418 0
RTO
Q Cnt 1566 0 5000 0 2418 0
RTO
Q Cnt 1566 0 5000 0 2418 0
RTO
Il reste relancer conscutivement plusieurs fois la commande. Sauf perte de messages Hello, le temps observ volue entre les bornes hold_time et hold_time hello_interval. Un temps qui volue entre 15 et 10 secondes correspond aux rglages hellointerval 5s et holdtime 15s. Un temps qui volue entre 180 et 120 secondes
- 4-
correspond aux rglages hello_interval 60s et hold_time 180s. Un temps qui voluerait dans un espace diffrent pourrait signifier des rglages diffrents des valeurs par dfaut, il faut dduire que ladministrateur a configur manuellementcesvaleurssurlerouteurinconnu. Observez nouveau la capture cidessus. Elle montre le contenu de la table de voisinage et donc les diffrentes informationsassocieschaqueentrecredanslatable.Pourunvoisin:
G
Lapremirecolonnedelacapture,nommeH,renseignesurlordrededcouverteduvoisin. SonadresseIP. Linterfacevialaquellelevoisinatdcouvert. LetemporisateurdemaintienHold. LetempsUptimeestletempscouldepuisladcouvertedecevoisin. Le temps SRTT (Smooth RoundTrip Time, temps liss dallerretour) est le temps moyen qui scoule entre lmissiondunpaquetverscevoisinetlinstantolerouteurmetteurreoitlacquittementdupaquetmis. LeprocessusEIGRPentretientcettevaleurSRTTafindendduireunevaleurRTO. Le temps RTO (Retransmission Time Out, en millisecondes) est le temps limite audel duquel le routeur en attente dun acquittement du voisin provoque un nouvel envoi du message non acquitt. Tout message gnr par EIGRP est galement plac dans une pile de messages mis et non encore acquitts (un mcanismesemblableexistedansTCP).SiletemporisateurRTOexpireavantrceptiondunacquittement,le processusEIGRPmetunenouvelleinstancedumessage.ObservezqueRTOestprisgalsixfoisSRTT,la valeurrsultanteestbornedanslespace[200ms5000ms]. Le nombre Q count est le nombre de messages mis vers ce voisin mais qui sont encore en attente dacquittementetsontdoncencoredanslapile. LenombreSeqNumestlenumrodesquencecontenudansledernierpaquet,misejourourponse, issudecevoisin.
La commande show ip eigrp interfaces detail peut galement se rvler utile. En voici le rsultat sur un IOS 12.4 (Extrait): R101#sh ip eigrp interfaces detail IP-EIGRP interfaces for process 100 Xmit Queue Mean Pacing Time Interface Peers Un/Reliable SRTT Un/Reliable Fa1/0 1 0/0 604 0/1 Hello interval is 5 sec Next xmit serial <none> Un/reliable mcasts: 0/4 Un/reliable ucasts: 4/9 Mcast exceptions: 3 CR packets: 3 ACKs suppressed: 0 Retransmissions sent: 2 Out-of-sequence rcvd: 0 Authentication mode is not set Use multicast Se2/0 1 0/0 617 0/9 Hello interval is 60 sec Next xmit serial <none> Xmit Queue Mean Pacing Time Interface Peers Un/Reliable SRTT Un/Reliable Un/reliable mcasts: 0/0 Un/reliable ucasts: 5/14 Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0 Retransmissions sent: 2 Out-of-sequence rcvd: 0 Authentication mode is not set Use unicast R101# Multicast Flow Timer 3664 Pending Routes 0
3017
Multicast Flow Timer
Pending Routes
Pourtrecomplet,observonsquEIGRPignorelesadressessecondairesventuellementattribuesauxinterfaces.Un trafic dacheminement EIGRP est toujours issu de ladresse primaire attribue linterface. EIGRP ne limite pas le nombre de voisins quil est capable dajouter sa table de voisinage, la limite vient donc dailleurs, mmoire
- 5-
embarque,consommationCPU,traficdacheminement,etc. retenir:latabledevoisinagemmorisedesinformationsquidcriventlesvoisinsEIGRPenactivit.
5.LamtriquedEIGRP
La mtrique complexe dEIGRP est calcule de faon identique celle du protocole parent IGRP ceci prs que ses concepteursontsouhaitdisposerdunegranularitplusfineetontajoutunfacteur256(moinsquilnesagisse dusouhaitderetombersurunefrontire32bits,lamtriquedIGRPtantexprimesur24bits):
Laformulecomplteexprimantlamtriqueestdonc:
Ladministrateur peut intervenir sur les coefficients laide de la commande metric weights en configuration de routeur: R11(config)#router eigrp 64501 R11(config-router)#metric weights ? <0-8> Type Of Service (Only TOS 0 supported) R11(config-router)#metric weights 0 ? <0-255> K1 R11(config-router)#metric weights 0 1 ? <0-255> K2 R11(config-router)#metric weights 0 1 0 ? <0-255> K3 R11(config-router)#metric weights 0 1 0 1 ? <0-255> K4 R11(config-router)#metric weights 0 1 0 1 0 ? <0-255> K5 R11(config-router)#metric weights 0 1 0 1 0 0 ? <cr> R11(config-router)#metric weights 0 1 0 1 0 0 R11(config-router)# La mtrique dEIGRP peut sembler sophistique mais sans prcaution, cette sophistication pourrait tre contre productivecarunprotocolederoutageabesoindestabilit.Imaginezqueparcequuneroutesechargetoutcoup, unrouteurjouelesbisonsfuts,dcidedenadopteruneautreeteninformetoussespetitscamarades.Nousvoil peuttrelancsdansuneoscillationautoentretenue(laroutesechargedonconlvitedoncellesedchargedonc onladoptenouveau).Pardfaut,lesfacteursk2,k4etk5sontrgls0,lesfacteursk1etk3sontrgls1.Si ladministrateurdcidedetenircomptedelachargedanslecalculdelamtriqueenadoptantunevaleurk2diffrente de zro, alors EIGRP tient compte de la charge mais pas nimporte quand. En fait, cest seulement loccasion de lmissiondunmessagedemisejournonmotivparunchangementdechargequelachargeestpriseencompte. Ainsi,aucunrisquedecrerdelinstabilit.Sansfournirdexplication,CISCOdconseilledemanipulerlescoefficients k1k5,sibienquelaformulesesimplifiebeaucoup:
Cetteformulesimplifieconsidreletuyaudeboutenboutetfaitintervenirlediamtreminimumdecetuyau(la bandepassante)ainsiquelalongueurdutuyau(lasommedesdlaisdechaquetronon):
- 6-
HlaslIOSnestpastoujourstrscohrentdanslesunitsutilises.Parexemple,lacommandeclockratequipermet dajuster lhorlogectDCEdun cble backtoback attend une valeur exprime en bps alors que la commande bandwidthutilepourinformerlIOSdelabandepassantedunlienattendunevaleurexprimeenKbps.Soyonsdonc trsprcissurcepoint:
G
BWmin bande passante du lien la moins favorable parmi lensemble des liens qui composent la route jusquaurseauannonc.Surunrouteurdonn,cettevaleureststatiqueetlIOSladduitautomatiquement danslecasdesinterfacesLANmaisladministrateurdoitlaconfigurerdanslecasdesinterfacesserial. dfaut, la valeur de bande adopte par lIOS est celle dun lien T1 (1544 Kbps), US oblige. Ladministrateur ajuste la valeur associe une interface laide de la commande bandwidth en configuration dinterface. CettecommandeattendunevaleurgalementexprimeenKbps. DLY chaque routeur ajoute le dlai de linterface sur laquelle il a reu une information de route au dlai annonc dans la mise jour. Si bien que le dlai annonc par un routeur donn reprsente la somme des dlaisjusqularouteannonce.Danslaformuleutilisepourlecalculdelamtrique,lesdlaissexpriment endizainesdes.Surunrouteurdonn,lIOSassocieundlaichaqueinterfacedefaonstatiqueetselon letypeetledbitdelinterface.Ladministrateurpeutmodifierlavaleurpardfautassocieuneinterface laide de la commande delay en configuration dinterface. Cette commande attend une valeur galement exprimeendizainedes.
Lacapturecidessousmontrecommentintervenirsurcesdeuxrglages.Observezlemotclinheritquipermet unesousinterfacedhriterdelabandepassanterglesurlinterfaceprincipale.Lemotclreceive,quantlui, est utile lorsque linterface fonctionne selon des dbits asymtriques et permet de spcifier une bande passante entrantediffrentedelabandepassantesortante: R8(config)#int s0/0 R8(config-if)#band R8(config-if)#bandwidth ? <1-10000000> Bandwidth in kilobits inherit Specify that bandwidth is inherited receive Specify receive-side bandwidth R8(config-if)#bandwidth 5000 R8(config-if)#delay ? <1-16777215> Throughput delay (tens of microseconds) R8(config-if)#delay 990 R8(config-if)# Siladministrateur dcide dignorerlesconseilsdeCISCOetdefaireintervenirchargeetfiabilitdanslecalculdela mtrique:
G
Fiabilit(Reliability) pourchaqueinterface,lIOSentretientdescompteursdepaquetsmisetreusainsi descompteursdepaquetsenerreur(voircapturecidessous).Cescomptagesluipermettentdentretenirde faondynamiqueunindicedefiabilit.Cetindiceestrangdansunchampde8bits,ilnestdoncpasexprim en%maisenpour255.Aucunpaquetenerreurimpliqueunindicede255,lindicemaximal. Charge( Load) lesmmescompteursdepaquetsmisetreuspermettentdecalculerunebandepassante effectivementoccupepuisdelacomparerlabandepassantedisponiblepourexprimerunindicedecharge. Commelindicedefiabilit,cetindiceestrangdansunchampde8bits,lindice1indiqueunechargenulle, lindice255nestjamaisatteint,unindicequidpasse200indiqueunlientrsfortementcharg.
Cesdeuxderniresvaleurssontentretenuesdefaondynamiqueetcalculesselonunemoyennepondreparle
- 7-
temps de faon exponentielle (sic). Cela mrite quelques explications. LIOS utilise la mme mthode pour calculer lindicedecharge,lindicedefiabilitetledbitconstatenpaquets/secondes.Lensembledescalculsestractualis toutes les 5 secondes. Pendant 5 secondes et pour chaque sens de flux, lIOS compte les octets qui transitent par linterfacepuiscomparelecontenuducompteurcequilseraitsiledbitavaittgalauparamtreBandwidth. Exemple: BW = 1000 Kbps. Au mieux, pendant 5 secondes, linterface peut voir transiter 5000 Kbits. Durant les 5 dernires secondesonteffectivementtransit2500Kbits.Lchantillondechargeest0,5. PuislIOSutiliseuneformuleintgratricedontlobjetestdepondrerleschantillonsselonleurdegrdanciennet. Lepoidsmaximumestdonnlchantillonleplusrcent:
Letempsdepondration300secondes,soit5minutesestappel loadinterval.Ilestmodifiableparladministrateur enconfigurationdinterface: R8(config)#int s0/0 R8(config-if)#load-interval ? <30-600> Load interval delay in seconds R8(config-if)#load-interval 30 R8(config-if)#^Z R8# Le tableau Excel LOAD_EIGRP.xlsx, disponible en tlchargement, permet de visualiser les effets du rglage load interval. Imaginons que linterface soit charge 100 % depuis une longue priode et que brusquement le dbit tombe zro. Les deux tableaux qui suivent comparent lvolution de lindice de charge avec pour lun load interval = 300s (valeurpardfaut),pourlautreload interval = 30s ,valeurminimale:
Certains administrateurs souhaitent que les indices suivent les sollicitations de linterface de faon plus ractive et diminuentlavaleurloadinterval30secondes. Une commande show interface fournit la globalit des rglages en cours pouvant intervenir dans le calcul de la mtrique: R11#sh int s0/0 Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Internet address is 10.0.120.5/30 MTU 1500 bytes, BW 2500 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set Keepalive set (10 sec) Last input 00:00:00, output 00:00:00, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops)
- 8-
Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1875 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 161 packets input, 11095 bytes, 0 no buffer Received 55 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 234 packets output, 13590 bytes, 0 underruns 0 output errors, 0 collisions, 18 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up R11# LasectionsuivanteEspacementdesmisesjourmontrecommentEIGRPprocdeafindelimiterlabandepassante occupeparletraficdacheminement.Pourmmoire,letraficdacheminementestletraficgnrparleprotocolede routage pour ses besoins propres. Cest le contraire dun trafic utile. Il ne serait videmment pas admissible quun protocolederoutageconsommelessentieldelaressourcebandepassantedunlien.IlsetrouvequEIGRPsefonde sur linformation bandwidth pour calculer la bande quil peut occuper sur un lien. La consquence est que la bande passanterglelaidedelacommande bandwidthdoitreflterlabandepassanterelledunlien.Ladministrateur doit sinterdiredutiliser ce paramtre pour influer la mtrique et doit au contraire sassurer que chaque interface serialdisposedesacommandebandwidthafindajusterlabandepassanteeffectivementdisponible. La bande passante rgle laide de la commande bandwidth devrait toujours reflter la bande passante relledesliens.Cetterglepeutsouffrirquelquesexceptionsdanslecasdeliaisonssriemultipoint,cepoint estdtailldanslasectionddieauxliensWANdudernierouvragedecettesrie.
Un administrateur qui souhaite influer sur le rsultat du calcul de la mtrique peut le faire laide du paramtredlaiajustlaidedelacommandedelay. Ilesttempsdtudieruncasconcret.Considrezlatopologiecidessous:
Lescoefficientsk1k5sontceuxpardfautetcestdonclaformulesimplifieducalculdemtriquequiestutilise.
G
Quand R12 annonce connatre LAN_12, il le fait en annonant la bande passante et le dlai associs son interfaceF0/0,soitBW=100000KbpsetDLY=10x10s. Quand R8 reoit une annonce de R12 au sujet de LAN_12, R8 compare la bande passante annonce et la bandepassantedelinterfacequireoit.R8neretientquelaplusbassedesdeuxvaleurs,5000Kbpsdansle cas prsent. R8 ajoute le dlai annonc au dlai associ linterface qui reoit, ce qui porte le dlai total (990+10)x10=1000x10s. QuandR8annonceconnatreLAN_12,illefaitenannonantunebandepassantede5000Kbpsetundlaide 1000x10s. Quand R11 reoit une annonce de R8 au sujet de LAN_12, R11 compare la bande passante annonce et la bandepassantedelinterfacequireoit.R11neretientquelaplusbassedesdeuxvaleurs,2500Kbpsdansle casprsent.R11ajouteledlaiannoncaudlaiassocilinterfacequireoit,cequiporteledlaitotal (1000+2000)x10=3000x10s.
- 9-
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute versLAN_12vuedesrouteursR8etR11.LetableauExcelfournimriteuneexplicationsurlafaondeleremplir.Le tableau prvoit dix liens maximum entre le rseau de destination et le routeur considr. Chaque ligne du tableau correspond un lien pour lequel il suffit de complter les deux cellules BW en Kbps et DLY en s. Pour une ligne donne,cestdirepourunlien,cesontlesparamtresBWetDLYdelinterfacequireoitquilconvientdeconsigner dansletableau.Pourchaqueligne,letableauExcelretientlabandepassantelamoinsfavorableetfaitlasommedes dlaisafindexprimerlamtriqueIGRPpuisdenextrapolerlamtriqueEIGRP.Appliquaucasprsent: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 10000 30000 Mtrique IGRP 110 3000 7000 Mtrique EIGRP 28160 768000 1792000
F0/0deR12 S0/0deR8 S0/0deR11
100000 5000 2500
100 9900 20000
100000 5000 2500
Lamtrique768000estdonccellecalculeparR8,cequenouspouvonsvrifierlaidedunecommande showip routesurcerouteur: R8#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.102.0/24 [90/768000] via 10.0.120.2, 00:02:34, Serial0/1 10.0.120.0/30 is directly connected, Serial0/1 10.0.120.4/30 is directly connected, Serial0/0
D C C R8#
ToujourspourlarouteversLAN_12,lamtrique1792000estcellecalculeparR11: R11#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.102.0/24 [90/1792000] via 10.0.120.6, 00:03:04, Serial0/0 10.0.120.0/30 [90/1789440] via 10.0.120.6, 00:03:15, Serial0/0 10.0.120.4/30 is directly connected, Serial0/0
D D C R11#
6.Constructiondelatabletopologique
RIP et IGRP transmettaient leurs tables de routage leurs voisins, nous avons vu que ce mode de propagation de linformationcontribuaitdgraderletempsdeconvergence.EIGRPentretientunetableintermdiaireditetablede topologiedontildduitsatablederoutage.Lesmisesjourenvoyesversunvoisincomportentdesinformations issuesnonpasdelatablederoutagemaisdelatabledetopologie.Ilestpossibledexamineruncontenupartielde cettetablelaidedunecommandeshowipeigrptopology: R11#sh ip eigrp topology ? <1-65535> AS Number A.B.C.D IP prefix <network>/<length>, e.g., 192.168.0.0/16 A.B.C.D Network to display information about active Show only active entries all-links Show all links in topology table detail-links Show all links in topology table pending Show only entries pending transmission summary Show a summary of the topology table zero-successors Show only zero successor entries | Output modifiers <cr>
- 10 -
R11#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.102.0/24, via 10.0.120.6 P 10.0.120.0/30, via 10.0.120.6 P 10.0.120.4/30, via Connected, 1 successors, FD is 1792000 (1792000/768000), Serial0/0 1 successors, FD is 1789440 (1789440/765440), Serial0/0 1 successors, FD is 1536000 Serial0/0
Lentredanscettebasededonnesestlerseau.Chaquenouveaurseauannoncparunvoisinestajoutdansla table. Si ce rseau tait dj prsent dans la table mais annonc antrieurement par un autre voisin, le voisin qui lannoncecettefoisestajoutsibienquelentrecomprendlensembledesvoisinsquiontannonccettedestination. chaquevoisin,lentreenregistrelamtriqueannonce,ilsagitdeladistancequisparecevoisindeladestination telquillaplacdanssatablederoutage.Autrementdit,larouteannonceesteffectivementcellequelevoisinutilise pouracheminerlespaquetsverscettedestination(souvenonsnousquecestluntraitdecaractredesprotocoles DV). En fait, dans cette table, EIGRP collecte linformation ncessaire lui permettant la cration densembles [distance, vecteur]pourchaquerseauconnu.Dansledtail,pourchaquesousentredevoisindansuneentrederseau,il sagitde:
G
La bande passante la plus faible rencontre sur le chemin qui mne au rseau annonc, telle quelle est annonceparlevoisin. Ledlaitotaldummecheminquimneaurseauannonc. Lafiabilitdummechemin. Lachargedummechemin. LeMTUminimumdecechemin,parmilesMTUdesdiffrentstrononsquicomposentlechemin.Onsesouvient queleMTU(MaximumTransmissionUnit)estlacapacitdemportdelatrameencouche2.Unesectionassez dtailletraitecesujetdanslechapitreLacoucheTransportTCP/IPdelouvrageCiscoNotionsdebasesur les rseaux dans la collection Certifications aux Editions ENI. Chaque routeur qui reoit une annonce de rseaucomparelinformationMTUplacedanslannonceauMTUdelinterfacequireoitetneretientquela plusfaibledesdeuxvaleurs.ToutsepassecommesiEIGRPavaitintgrlobjectifduprotocolePMTUd(Path MTUDiscovery,dcritdansleRFC1191)dontlobjetestdedcouvrirquelestleMTUidalentredeuxhtes, cestdireceluiquivitelafragmentation. Ladistanceannonce( Reporteddistance).Enralit,cettedistancenestpasannoncestrictosensumais cest tout comme puisque le voisin fournit lensemble des lments qui ont servi son propre calcul (BW, DLY,fiabilitetcharge). Lasourcedapprentissagedelaroute(Sagitildunerouteinterneouexterne?).
Retenezcettedfinitiontemporaire:latabledetopologiecontientlalistedesroutesconnues. Cettedfinitionseraamandeaprsavoirdfinilanotiondesuccesseurfaisable.
7.Espacementdesmisesjour
EIGRPesttrssoucieuxdenepasaccaparerlabandepassantedeslienspoursonpropreusage.Pardfaut,letrafic dacheminement sur un lien noccupe pas plus de 50 % de la bande passante disponible. Ladministrateur peut intervenir sur ce pourcentage laide de la commande ip bandwidthpercent eigrp en configuration dinterface. La syntaxedecettecommandeest: Router(config-if)#ip bandwidth-percent eigrp as-number percent ...dontlesargumentssontlessuivants:
- 11 -
asnumber NumrodAS. maskpercent PartdebandepassantequEIGRPpeututiliser,exprimeen%. Letrssrieuxdocumentn16406tlchargeablesurlesiteCISCOetddiEIGRPexpliquelaprocduremiseen placeparleconstructeur.Lafiguresuivantedevraitaiderencomprendreleprincipe:
chaquefoisquEIGRPdoitmettreunpaquet(unquelconquemessageencapsuldansRTP),cepaquetestplacen file dattente et EIGRP diffre son mission dun temps gal au temps quoccuperait le paquet sil tait mis sur linterfaceavecundbitgallabandepassantealloueEIGRP(maissi!).Faisonsquelquesessaispourmesurerla portedunetelledcision. ImaginonsquEIGRPdoivemettreunpaquetde1000bits,queledbitdelinterfacergllaidedelacommande bandwidth soit 2000 bits/s et que le pourcentage de dbit autoris EIGRP soit laiss la valeur par dfaut soit 50 %.LafractiondudbitallouEIGRPestdonc1000bits/s.Letempsdupaquetcedbitest1seconde.EIGRP attend une seconde puis met le paquet 2000 bits/s, le temps dmission est 0,5 secondes. En final, EIGRP na occup le canal que pendant le tiers du temps et en fait doccupation 50 %, nous plafonnons en ralit 33 % (mathmatiquesCISCOsansdoute). Traitonsundeuximeetdernierexemple,touteschosestantgalessauflepourcentageallouEIGRP,cettefois rglparladministrateur25%.LafractiondudbitalloueEIGRPestdonc500bits/s.cerythme,letempsdu paquetest2secondes.EIGRPattend2secondespuismetlepaquetaurythmedelinterface,letempsdmission estencore0,5secondes.Enfinal,EIGRPnaoccuplecanalquependant20%dutempstotal. Bref,limportantestdeconstaterquEIGRPfaitcequildit,cestdirequilnedpassepaslabandepassantequelui octroieladministrateur.
8.AlgorithmeDUAL
Lalgorithme DUAL (Diffusing Update ALgorithm) remplace lalgorithme dit BellmanFord en usage dans RIP. On le doit auxtravauxinitisparM.E.W.DijkstraetM.C.S.ScholtenpuisdveloppsparM.J.J.GarciaLunaAceves.Ontrouve sansdifficultlespublicationscorrespondantessurInternetetnotamment: AunifiedApproachtoLoopfreeRoutingusingDistanceVectorsorLinkStatespubliedanslarevueACMSIGCOMM ComputerCommunicationsReviewVol19,Issue4enseptembre1989. DUALpermetEIGRPdedterminerlemeilleurcheminsansbouclemaisaussilesalternativesdesecourssansboucle.
- 12 -
a.Lesuccesseur,Notiondedistancedefaisabilit
Delacollectiondevoisinsassocisuneentrerseaudanslatabletopologique,lerouteurchoisitlesuccesseur cestdirelevoisinquipermetderejoindreladestinationaveclameilleuremtrique.Ladistanceenquestion,cest dire la mtrique calcule via le successeur, prend alors le nom de distance faisable (FD, Feasible Distance). La distancefaisableestgalementajoutelatabletopologiqueassocielentrerseauetcestcettedistanceque lerouteurplacedanssapropretablederoutageetannoncerasesvoisinspourlerseauenquestion.
b.Conditiondefaisabilitetsuccesseurspotentiels
Considrezlatopologiecidessous:
LamtriqueutilisedanscetexempleestlamtriqueIGRP(divisezlamtriqueEIGRPpar256)afindemanipulerdes nombrespluspetits. PourlerouteurR1,lameilleurerouteversLAN_DpasseparR2aucotde5000.Autrementdit,ladistancefaisable pourrejoindreLAN_DestFD=5000. LerouteurXconnatgalementLAN_DetlannonceaucotdexRD=x. R1ajouteXsacollectiondevoisinsquiconnaissentLAN_D.ImaginonsmaintenantqueleliendeR1R2vienne tomber.R1peutsubstituerXR2laconditionqueXnutilisepasR1pourfaireprogresserlespaquetsdestins LAN_D.Autrementdit,lecheminviaXdoittreexemptdeboucleetR1doitpouvoirsenpersuader. LasolutionconsistepourR1comparerladistancerapporteparXladistancefaisablepourLAN_D: RD<FD?
G
Silarponseestnon,parexemplesiRD=7000,ilestpossibleque7000rsulteducotdeR1versLAN_D additionnaucotduliendeXR1.Cenestpascertainmaisilyaunrisque. Silarponseestoui,parexemplesiRD=2000,alorsR1peutavoirlacertitudequelecheminconnuparX pour rejoindre LAN_D ne passe pas par lui. Cette condition ralise fait de X un successeur potentiel ou successeurfaisable.EncasdedfaillanceducheminparR2,R1peutinstantanmentluisubstituerlechemin parX.
Cetteconditionestappeleconditiondefaisabilit( Feasibilitycondition).CestlegrandtrucdEIGRP.Lacondition defaisabilitnestpasuneconditionncessaire,ilpeutexisterdestopologiesexemptesdebouclepourlesquelles RDseraitsuprieurFD.Maiscestuneconditionsuffisante:dsqueRDestinfrieurFD,onpeuttrecertainque latopologieestexemptedeboucle. Parmilesvoisinsrestantsayantannonclerseau,lessuccesseurspotentielssontceuxpourlesquelslacondition defaisabilitestrespecte,cestdireceuxquiontannoncunemtriqueinfrieurelamtriqueencoursdansla table de routage. Il est possible quaucun des voisins ne respecte cette condition et dans ce cas, le routeur ne dispose daucun successeur potentiel. Il est possible que parmi ces voisins non potentiels, lun deux offre une alternativesansbouclemaisEIGRPnepeutentresretprfrelignorer.Enadoptantlaconditiondefaisabilit, EIGRP passera peuttrectduneroutepossiblequilauraitpusubstituerlarouteencoursdfaillantemais EIGRPneprendpasderisque. Ancronscesnotionsavecdeuxexemples.
- 13 -
LadministrateurvrifiequeR8connateffectivementdeuxvoisins: R8#sh ip eigrp neighbors IP-EIGRP neighbors for process 64501 H Address Interface 1 0 10.0.120.6 10.0.120.2 Se0/1 Se0/0
Hold Uptime SRTT (sec) (ms) 12 00:00:02 292 14 00:00:10 40
Q Cnt 2280 0 1140 0
RTO
Seq Type Num 10 13
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute versLAN_16vuedesrouteursR8etR11: Lien BW(Kbps) DLY(s) BW rsultante 10000 10000 128 DLYrsultant Mtrique IGRP 1010 1020 78245 Mtrique EIGRP 258560 261120 20030720
F0/0deR16 F0/0deR11 S0/0deR8
10000 10000 128
100 100 1000
100 200 1200
RptonslecalculmaiscettefoisviaR12: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 200 1200 Mtrique IGRP 1010 1020 156370 Mtrique EIGRP 258560 261120 40030720
10000 10000 64
100 100 1000
10000 10000 64
IlestdonctabliquelerouteurR8disposededeuxalternativespourrejoindreLAN_16:
G
LarouteviaR11aucotde20030720dontladistancerapporte(lecottelquilestcalculparR11pour rejoindreLAN_16)est261120. LarouteviaR12aucotde40030720dontladistancerapporte(lecottelquilestcalculparR12pour rejoindreLAN_16)estgalement261120.
Unecommandeshowipeigrptopologyconfirmenoscalculs:
- 14 -
R8#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720 via 10.0.120.2 (20030720/261120), Serial0/0 via 10.0.120.6 (40030720/261120), Serial0/1 P 10.0.120.0/30, 1 successors, FD is 20025600 via Connected, Serial0/0 P 10.0.120.4/30, 1 successors, FD is 40025600 via Connected, Serial0/1 P 10.0.131.0/24, 1 successors, FD is 20028160 via 10.0.120.2 (20028160/258560), Serial0/0 via 10.0.120.6 (40028160/258560), Serial0/1 R8# R8 choisit la route au meilleur cot, cest donc la route via R11, la mtrique de cette route devient la distance faisable,R11estlesuccesseur.MaispuisqueladistancerapporteparR12estinfrieureladistancefaisable,R8 considre R12 comme un successeur faisable. Cest pourquoi les deux voisins apparaissent dans la table de topologiepourlerseau10.0.16.0/24. Lultimeconfirmationvientdelobservationdelatablederoutage: R8#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks 10.0.16.0/24 [90/20030720] via 10.0.120.2, 00:00:13, Serial0/0 10.0.120.0/30 is directly connected, Serial0/0 10.0.120.4/30 is directly connected, Serial0/1 10.0.131.0/24 [90/20028160] via 10.0.120.2, 00:00:13, Serial0/0
D C C D R8#
LadministrateurestheureuxetcommencetrouverEIGRPdcidmentbienplaisant. Complexifionsunpeunotrescnario:
LadministrateurvrifiequeR8connateffectivementdeuxvoisins: R8#sh ip eigrp neighbors IP-EIGRP neighbors for process 64501 H Address Interface
Hold Uptime
SRTT
RTO
Seq Type
- 15 -
1 0
10.0.120.2 10.0.120.10
Se0/0 Se0/2
(sec) (ms) 12 00:01:25 45 13 00:01:43 44
1140 2280
Cnt Num 0 28 0 17
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute versLAN_16vuedesrouteursR8etR11: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 200 1200 Mtrique IGRP 1010 1020 78245 Mtrique EIGRP 258560 261120 20030720
10000 10000 128
100 100 1000
10000 10000 128
RptonslecalculmaiscettefoisviaR9: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 200 1200 2200 Mtrique IGRP 1010 1020 156370 156470 Mtrique EIGRP 258560 261120 40030720 40056320
F0/0deR16 F0/0deR12 S0/0deR9 S0/0deR8
10000 10000 64 64
100 100 1000 1000
10000 10000 64 64
IlestdonctabliquelerouteurR8disposededeuxalternativespourrejoindreLAN_16:
G
LarouteviaR11aucotde20030720dontladistancerapporte(lecottelquilestcalculparR11pour rejoindreLAN_16)est261120. LarouteviaR9aucotde40056320dontladistancerapporte(lecottelquilestcalculparR9pour rejoindreLAN_16)est40030720.
Unecommandeshowipeigrptopologyconfirmepartiellementnoscalculs: R8#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720 via 10.0.120.2 (20030720/261120), Serial0/0 P 10.0.120.0/30, 1 successors, FD is 20025600 via Connected, Serial0/0 P 10.0.120.8/30, 1 successors, FD is 40025600 via Connected, Serial0/2 P 10.0.120.12/30, 1 successors, FD is 40051200 via 10.0.120.10 (40051200/40025600), Serial0/2 via 10.0.120.2 (40053760/40028160), Serial0/0 P 10.0.131.0/24, 1 successors, FD is 20028160 via 10.0.120.2 (20028160/258560), Serial0/0 R8 choisit la route au meilleur cot, cest donc la route via R11, la mtrique de cette route devient la distance faisable,R11estlesuccesseur.MaispuisqueladistancereporteparR9estsuprieureladistancefaisable,R8ne considre pas R9 comme un successeur faisable. Cest pourquoi seul le voisin R11 apparat dans la table de topologiepourlerseau10.0.16.0/24.Enralit,latabledetopologiecomportebienlesdeuxvoisinscestdirele successeuretlevoisinsimple(nisuccesseur,nisuccesseurfaisable)maispourlobserver,ilfaututiliserlacommande showipeigrptopologyassocieaumotcloptionnelalllinks: R8#sh ip eigrp topology all-links
- 16 -
IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720, serno 22 via 10.0.120.2 (20030720/261120), Serial0/0 via 10.0.120.10 (40056320/40030720), Serial0/2 P 10.0.120.0/30, 1 successors, FD is 20025600, serno 15 via Connected, Serial0/0 P 10.0.120.8/30, 1 successors, FD is 40025600, serno 7 via Connected, Serial0/2 P 10.0.120.12/30, 1 successors, FD is 40051200, serno 8 via 10.0.120.10 (40051200/40025600), Serial0/2 via 10.0.120.2 (40053760/40028160), Serial0/0 P 10.0.131.0/24, 1 successors, FD is 20028160, serno 16 via 10.0.120.2 (20028160/258560), Serial0/0 via 10.0.120.10 (40053760/40028160), Serial0/2 UnecommandeshowiproutemontrequelarouteversLAN_16estinchange: R8#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks 10.0.16.0/24 [90/20030720] via 10.0.120.2, 00:00:55, Serial0/0 10.0.120.0/30 is directly connected, Serial0/0 10.0.120.8/30 is directly connected, Serial0/2 10.0.120.12/30 [90/40051200] via 10.0.120.10, 00:01:33, Serial0/2 10.0.131.0/24 [90/20028160] via 10.0.120.2, 00:01:33, Serial0/0
D C C D D R8#
Le vrai changement ne peut sobserver quen cas de dfaillance de la route vers LAN_16. Dans le scnario prcdent, R8 pouvait instantanment basculer sur lalternative via le successeur potentiel R12. Dans le scnario prsent,imaginonsquelelienentreR8etR11tombe.R8constatequelaseulealternativequilestautorisutiliser versLAN_16vientdedisparatre.IlresteR8interrogertoussesvoisinsenesprantquelun deuxconnaisse LAN_16. R9, seul routeur voisin restant, rpond quil connat LAN_16. R8 accepte la proposition et fait de R9 le nouveausuccesseur. Le temps de convergence est un peu plus long mais encore trs bref, le questionnement nayant pas dpass le routeurvoisinR9.Pourvrifiercecomportement,ilsuffitdelancerunecommande debugipeigrppuisdeprovoquer une dfaillance en un point de la route vers LAN_16 (dans un atelier ralis sous GNS3, un clic droit sur R11 puis Suspendre).ObservezlarequtedeR8,lavaleur4294967295estledlaiannoncpourLAN_16(FFFFFFFF)etdoit tre interprte comme un rseau injoignable. Observez la rponse de R9 et la mtrique calcule par R8 pour rejoindre LAN_16 partir des paramtres BW et DLY fournis par R9, soit 40 056 320. Observez enfin le cot ractualisdelarouteversLAN_16danslatablederoutage: R8#debug ip eigrp 00:15:43: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 10.0.120.2 (Serial0/0) is up: new adjacency R8#debug ip eigrp IP-EIGRP Route Events debugging is on R8# 00:16:26: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 10.0.120.2 (Serial0/0) is down: holding time expired R8# 00:16:26: IP-EIGRP: 10.0.16.0/24 - do advertise out Serial0/2 !>>> La requte R9 00:16:26: IP-EIGRP: Int 10.0.16.0/24 metric 4294967295 - 20000000 4294967295 00:16:26: IP-EIGRP: 10.0.131.0/24 - do advertise out Serial0/2 00:16:26: IP-EIGRP: Int 10.0.131.0/24 metric 4294967295 - 20000000 4294967295 00:16:26: IP-EIGRP: Processing incoming REPLY packet !>>>La rponse de R9 00:16:26: IP-EIGRP: Int 10.0.16.0/24 M 40056320 - 40000000 56320 SM 40030720 40000000 30720 ......... R8#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
- 17 -
......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks 10.0.16.0/24 [90/40056320] via 10.0.120.10, 00:00:47, Serial0/2 10.0.120.8/30 is directly connected, Serial0/2 10.0.120.12/30 [90/40051200] via 10.0.120.10, 00:01:29, Serial0/2 10.0.131.0/24 [90/40053760] via 10.0.120.10, 00:00:47, Serial0/2
D C D D R8#
Ladministrateur a galement pris la prcaution en outre de lancer une capture Wireshark sur le lien S0/2 de R8 (capturecap_2H_01.pcapdisponibleentlchargement).Ouvrezlacaptureetobservezlasquencesuivante:
G
Trame27 Requte de R8, ladresse de destination est ladresse unicast de R9. Le numro de squence RTPest54. Trame 28 R9 acquitte la requte laide dun message Hello sans donnes, numro de squence RTP acquitt54. Trame29R9rpondlarequteeninformantR8desoncotversLAN_16.LenumrodesquenceRTP est50. Trame30R8acquittelarponse. Trame31R8envoieunmessagedemisejourR9pourlinformerqueLAN_16estinjoignableparlui.De quoipeutilsagir?Remmorezvouslesmcanismesquiavaientpermis,plusoumoinsbien,dempcherles boucles dans RIP. Mais oui, cest une manifestation de type partage dhorizon avec empoisonnement de routeinverse!
c.DUAL,synthsepartielle
cestade,unesynthsepartiellenestsansdoutepassuperflue:
G
Unsuccesseurestunvoisinquelerouteurutilisepourfaireprogresserlespaquets.Lesuccesseurestchoisi parmilesvoisinsparcequiloffrelalternativeaumeilleurcotjusquaurseaudedestination.Attention,cest aussiceluiquenousavionsdsignjusquprsentparrouteurdeprochainsaut,maisilfautnousadapter laterminologieEIGRP. Ladistancequisparelerouteurdurseaudedestinationvialesuccesseurestappele distancefaisable oudistancedefaisabilit(FD,FeasibleDistance). Unsuccesseurpotentielousuccesseurfaisable(FS, FeasibleSuccessor)estunvoisinquisatisfaitlacondition defaisabilit,cestdiredontladistanceannonceourapporte(RD,ReportedDistance)estinfrieurela distancefaisable. La conditiondefaisabilit(FC)estremplielorsqueladistanceannonce(ourapporte)parunvoisin(RD) estinfrieureladistancefaisable(FD).Satisfairelaconditiondefaisabilitassurequelevoisinoffreune alternativesansboucle. La table topologique EIGRP contient lensemble des routes connues qui ont un successeur faisable. la premireannoncedunrseauinconnujusquel,ladistancefaisabletaitinfinieetlevoisinquiannoncela routeremplitobligatoirementlaconditiondefaisabilit.Levoisinresteunsuccesseurfaisablemaisdevient enoutrelesuccesseur,ladistancefaisableestmisejour. Chaqueroutepeutavoirtannonceparplusieursvoisins,latabledetopologielesinventorie.chaque voisin,latabletopologiqueassociedeuxmtriques:(xD/RD).xDestlecotducheminquisparelerouteur du rseau de destination, via le voisin. RD est le cot du chemin qui spare le voisin du rseau de destination.Lesvoisinsseclassententroiscatgories:
G
Lessuccesseurs,cestdirelesvoisinsquiprsententlapluspetitevaleurxD,cettevaleurdevient FD,ladistancedefaisabilit. Lessuccesseurspotentiels,cestdirelesvoisinspourlesquelsRD<FD.
- 18 -
Lesvoisinssimples,cestdirelesvoisinsquinesontnisuccesseurs,nisuccesseurspotentiels.
Unecommande showipeigrptopologymontrelecontenupartieldelatabledetopologie,lesvoisinssimplessont ignors. Une commande show ip eigrp topology alllinks montre tous les chemins possibles, voisins simples y compris. Unrouteurquidisposedaumoinsunsuccesseurpotentielpourunrseaupeutbasculerdefaonquasiinstantane verslecheminvialesuccesseurpotentielquandlecheminvialesuccesseurestdfaillant.Ceciexpliqueenbonne partielesperformancesdEIGRPenmatiredetempsdeconvergence.Enfinal,EIGRPfonctionneradautantmieux quelesrouteursdisposentdesuccesseurspotentiels. Unvoisinesttoujoursunrouteurmaisunmmerouteurpeuttrevoisinplusieursfois. Considrezlatopologiecidessous:
R12 est quatre fois voisin de R11 parce quil existe quatre liens parallles entre R11 et R12, ce que confirme une commandeshowipeigrptopology(Extrait): R11#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.1.101.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.102.0/24, 1 successors, FD is 1154560 via 10.0.120.2 (1154560/28160), Serial0/0 via 10.0.120.6 (1794560/28160), Serial0/1 via 10.0.120.14 (5634560/28160), Serial0/3 via 10.0.120.10 (3074560/28160), Serial0/2 ......... R11#
d.Notiondecalculdiffus
EIGRPpeutsetrouverdansuntatstable,cestvidemmentlesouhaitdeladministrateur,quandchaqueroutequi compose la table de topologie est ltat passif. Observez le rsultat de la commande show ip eigrp topology immdiatement prcdente. Ltat passif de la route est rappel par la lettre P en premire colonne associe lentrederoutedanslatabletopologique. Unrouteurestamenremettreenquestionsalistedesuccesseursfaisablespouruneroutequandseproduitlun desvnementssuivants:
G
Unliendirectementconnectchangedecot(probablementsuiteuneinterventiondeladministrateur). Unliendirectementconnectchangedtat. Lerouteurreoitunmessageparmilesmessagesmisejour(Update),derequte(Query)ouderponse (Reply).
Lapremiretapedecetteremiseenquestionconsistervaluerlocalementladistancequisparelerouteurde ladestination,cepourchaquesuccesseurfaisable.Lespremiersrsultatspossiblesdececalcullocalsont: 1.Ilexisteunsuccesseurfaisablequiprsentedsormaisunmeilleurcotquelesuccesseuractuel cesuccesseur faisableprendlaplacedusuccesseur.
- 19 -
2.Lanouvelledistancecalculevialesuccesseuractuelestplusfavorablequeladistancefaisable EIGRPmet jourladistancefaisable. Dans ces deux premiers cas, la distance faisable a chang. Notez bien que, pendant cette phase locale de rvaluation,larouteestresteltatpassif.Maisfinalement,levrairsultatdecettervaluationseramne uneseulequestion:ouiounon,lerouteuratiltrouvunsuccesseurfaisablepourlarouteenquestion? Ouiunmessagedemisejourestenvoytouslesvoisinsmaislarouterestedansltatpassif. Non le routeur est contraint dentamer une procdure de calcul diffus (Diffusingcomputation), la route passe ltatactif. Uneroutepasseltatactifquandilnexistepasdesuccesseurfaisabledanslatabledetopologie. Tant que la procdure de calcul diffus nest pas acheve et donc tant que la route nest pas retourne ltat passif,leslatitudesdurouteurausujetdelarouteincriminesontdespluslimites.Ilnepeut:
G
nichangerlesuccesseurdecetteroute nichangerladistanceannoncepourcetteroute nichangerladistancefaisabledecetteroute nidclencherunautrecalculdiffuspourcetteroute.
La phase de calcul diffus dbute par une requte envoye chacun des voisins. La requte porte la nouvelle distance rsultat de la phase locale de rvaluation. Chaque voisin qui reoit la requte dbute son tour une phase locale de rvaluation. Comme pour le routeur dorigine, le rsultat est binaire : oui ou non, le voisin atil trouvunsuccesseurfaisablepourlerseaudedestination?
G
Ouilevoisinrpondlarequtequiadclenchchezluicettephasedervaluation.Larponsecontient lemeilleurcotconnuduvoisinpourrejoindreladestination. Nonsontour,levoisinfaitpasserlaroutedansltatactifetentameuneprocduredecalculdiffus.
Lafiguresuivantetentedillustrerlephnomnelchelledunrseau:
- 20 -
Ainsi,ladiffusionducalculprenddelampleurdanslerseauaufuretmesurequedesrequtessontenvoyes maisvoitsonampleurdiminueraufuretmesurequelesrponsessontreues. Lerouteurmetteurdetouterequteenvoyeunvoisinpositionnedanslemmetempsundrapeau,appelonsle drapeau de rponse r afin de se souvenir que cette requte est encore en attente de rponse. En premire approche,laprocduredecalculdiffusprendfinquandlerouteurnaplusaucundrapeauderponsepositionn pourlarouteobjetdelaprocdure,cestdirequandlerouteurareuunerponsechaquequestionpose. Il peut arriver quune question reste sans rponse. Les raisons sont chercher dans des rseaux physiques de qualitinsuffisanteoudansunearchitectureinadapte(patientez).Pourseprmunirdequestionsquiresteraient sansrponse,lerouteurquientameuneprocduredecalculdiffusarmedanslemmetempsuntemporisateur Routeactive,autempsinitialde3minutes.Siletemporisateurexpireavantquetouteslesrequtesnaientreu leursrponses,larouteestdclareSIA( StuckInActive,littralementcoincedansltatactif).Lejugementest sansappelpourleoulesvoisinsquinontpasrpondu:ilssontretirsdelatabledevoisinage(ilsnesontdonc plus voisins) et la procdure de calcul diffus considre la nonrponse comme quivalent une rponse avec mtriqueinfinie. La perte dun voisin qui rsulte dune nonrponse est un vnement grave, on devine que les consquences peuvent tre funestes et lobjectif de ladministrateur est videmment dviter cote que cote les routes SIA, au besoinenrexaminantlarchitecturedesonrseau.Cestpourquoiunesectionddieleurestconsacre. Ensecondeapproche,cettefoisdfinitive,laprocduredecalculdiffusprendfinquandpourchaquequestion,une rponseatreueouunenonrponseatpriseencomptesuitelexpirationdutemporisateurRouteactive .Cetachvementsetraduitpar:
G
Leretourltatpassifdelaroute. LepositionnementdeFDlavaleurinfinieparlerouteurloriginedelaprocdure,ceafinquetoutvoisin ayant rpondu avec une mtrique finie puisse satisfaire la condition de faisabilit et devenir successeur faisable.Parmicessuccesseursfaisables,lerouteurchoisitlesuccesseur,cestceluiquipermetderejoindre la destination avec la meilleure mtrique. La valeur de FD est nouveau modifie et le statut des successeurs potentiels est rvalu, ceux qui ne satisfont plus la condition de faisabilit sont rtrograds voisinssimples.
e.LautomatetatsfinisdeDUAL
RgirlefonctionnementdeDUALtelquil vient dtredcritestlefaitdunemachinetatsfinis(FSM, FiniteState Machine).UnemachineFSMestunemachineabstraitequelesinformaticiensutilisentlorsquilfautdcrirepuisgrer
- 21 -
unfonctionnementconstitudtatsetdetransitionsentretats,lefranchissementdestransitionstantprovoqu par des vnements. La machine FSM est galement lautomate des automaticiens. Quand ltat N est vrai, si lvnementassocilatransitiondeNversN+1seproduit,alorslautomatepasseltatN+1. Exemple : lascenseur est larrt,jappuie sur le bouton Monter, lascenseur quitte ltat Arrt et passe dans un tatMonte. Avant le franchissement de la transition, ltat N tait vrai. Aprs son franchissement, ltat N nest plus vrai mais ltatN+1lest.Lemodedereprsentationdelautomatediffreselonquelonestinformaticienouautomaticien.Le premierutiliseundiagrammedtats.Ilsagitdungrapheorientdontlestatssontlessommetsetlestransitions les artes tiquetes. Le second (lautomaticien) utilise un graphe tapes/Transitions appel Grafcet (trait en annexe). Il nyapasdtudes de protocoles sans tude de diagrammes dtats. Par exemple, louvrageCisco Notions de basesurlesrseauxdanslacollectionCertificationsauxEditionsENIavaitillustrlefonctionnementduclientDHCP laide de lun de ces diagrammes. Le chapitre ddi OSPF dans cet ouvrage offre loccasion dtudierplusieurs machinestatsfinispourlesquelslauteuraprfrutiliserunmodedereprsentationinspirduGrafcet. Ce qui est possible pour OSPF parce quilsagit dun standard de lInternet publi dans un RFC ne lest plus pour EIGRPquiest,rappelonsle,unprotocolepropritaire.LatrsvolumineusedocumentationdeCISCOfournieautour dEIGRPvoquelamachineDUALFSMdenombreusesreprisessansjamaisfournirlesdtailsdimplmentation. Quelelecteurserassure,noussommes,unefoisdeplus,largementaudeldesattendusdelacertificationCCNA. Tentonsdenbtirunereprsentationentraitantlexemplecidessous:
SimulonsunedfaillancedurseauLAN_21lextrmitdroitedurseauenprovoquantunshutdownsurlinterface F0/0 de R21. R21 entame sa phase locale de rvaluation, ne trouve pas de successeur faisable pour LAN_21 et poursuitavecuneprocduredecalculdiffus.LaroutepasseltatactifetR21envoieunerequteR16:
LactivitdelautomateDUALFSMpeuttrevisualiselaidedunecommandedebugeigrpfsm: R21#debug eigrp fsm EIGRP FSM Events/Actions debugging is on R21#conf t Enter configuration commands, one per line.
End with CNTL/Z.
- 22 -
R21(config)#int f0/0 R21(config-if)#shutdown R21(config-if)# 00:07:39: DUAL: rcvupdate: 192.168.3.0/24 via Connected metric 4294967295/4294967295 00:07:39: DUAL: Find FS for dest 192.168.3.0/24. FD is 258560, RD is 258560 00:07:39: DUAL: 0.0.0.0 metric 4294967295/4294967295 not found Dmin is 4294967295 00:07:39: DUAL: Dest 192.168.3.0/24 entering active state. 00:07:39: DUAL: Set reply-status table. Count is 1. 00:07:39: DUAL: Not doing split horizon 00:07:41: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down 00:07:42: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down 00:07:44: DUAL: dest(192.168.3.0/24) active LerouteurR16reoitlarequtedeR21.Cetterequteprendunsensparticulierparcequellemanedusuccesseur connu de R16 pour la route LAN_21. Cet vnement provoque chez R16 lexcution de la phase de rvaluation locale, R16 cherche un successeur faisable pour LAN_21. R16 nen trouve pas, marque la route comme tant injoignable,faitpasserlarouteltatactifpuisenvoieunerequtesursesdeuxvoisinsR11etR12:
LactivitcorrespondanteobservelaidedunecommandedebugeigrpfsmsurR16: R16#debug eigrp fsm EIGRP FSM Events/Actions debugging is on 00:07:19: DUAL: rcvquery: 192.168.3.0/24 via 192.168.2.21 metric 4294967295/4294967295, RD is 20028160 00:07:19: DUAL: Find FS for dest 192.168.3.0/24. FD is 20028160, RD is 20028160 00:07:19: DUAL: 192.168.2.21 metric 4294967295/4294967295 not foundDmin is4294967295 00:07:19: DUAL: Dest 192.168.3.0/24 entering active state. De la mme faon, les routeurs R11 et R12 font le constat que la seule route faisable vers LAN_21 est perdue, marquent la route comme tant injoignable puis envoient tous deux une requte au routeur R8. Une commande debug eigrp fsm permet de dcouvrir que la requte issue de R11 est vue en premier. En ralit, lordre importe peu,lersultatfinalseralemme: R8# 03:01:48: DUAL: RD is 20056320 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL:
rcvquery: 192.168.3.0/24 via 10.0.120.2 metric 4294967295/4294967295, Find FS for dest 192.168.3.0/24. FD is 20056320, RD is 20056320 10.0.120.2 metric 4294967295/4294967295 10.0.120.6 metric 40056320/20030720 found Dmin is 40056320 send REPLY(r1/n1) about 192.168.3.0/24 to 10.0.120.2 RT installed 192.168.3.0/24 via 10.0.120.6 Send update about 192.168.3.0/24. Reason: metric chg Send update about 192.168.3.0/24. Reason: new if
Lacapturecidessusncessiteunpeudeconcentration.Quesestilpass?
- 23 -
Message1R8reoitlarequteduvoisinR11quisetrouvetregalementlesuccesseur.Cetvnement provoque chez R8 lexcution de la phase de rvaluation locale, R8 cherche un successeur faisable pour LAN_21. Messages2,3et4 R8trouvedanssatabledetopologiequeR12estunsuccesseurpotentiel(sadistance rapporteest20030720effectivementinfrieureladistancefaisable20056320). Message5R8rpondlarequtedeR11enannonantladistancefaisableviaR12. Message6R8installelenouveausuccesseurdanslatablederoutage. Messages7et8R8informesesvoisinsduchangementdecotlaidedemessagesdemisesjour.
PresqueaussittparvientlarequtedeR12: R8# 03:01:48: DUAL: RD is 40056320 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 4294967295 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: found 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: 03:01:48: DUAL: R8#
rcvquery: 192.168.3.0/24 via 10.0.120.6 metric 4294967295/4294967295, Find FS for dest 192.168.3.0/24. FD is 20056320, RD is 40056320 10.0.120.6 metric 4294967295/4294967295 10.0.120.2 metric 4294967295/4294967295 not found Dmin is Dest 192.168.3.0/24 entering active state. Set reply-status table. Count is 2. Not doing split horizon Going from state 1 to state 3 rcvreply: 192.168.3.0/24 via 10.0.120.6 metric 4294967295/4294967295 reply count is 2 Clearing handle 0, count now 1 rcvreply: 192.168.3.0/24 via 10.0.120.2 metric 4294967295/4294967295 reply count is 1 Clearing handle 1, count now 0 Freeing reply status table Find FS for dest 192.168.3.0/24. FD is 4294967295, Rdis4294967295 send REPLY(r1/n1) about 192.168.3.0/24 to 10.0.120.6 Removing dest 192.168.3.0/24, nexthop 10.0.120.2 Going from state 3 to state 1 Removing dest 192.168.3.0/24, nexthop 10.0.120.6 No routes. Flushing dest 192.168.3.0/24
Message1:R8reoitlarequteduvoisinR12.Jusquprsent,laroutetaitrestedansltatpassif.Cet vnementprovoqueunenouvelleexcutiondelaphasedervaluationlocale. Messages24:R12taitlesuccesseur,R8chercheunnouveausuccesseurfaisablesanssuccs.
- 24 -
Message 5 : la route vers LAN_21 passe ltatactif.R8envoieunerequtesesvoisinslarecherche dunealternativepourLAN_21. Messages 9 et 12 : pour chaque question pose, R8 a reu une rponse LAN_21 injoignable. R8 fait retournerlarouteLAN_21ltatpassifetmetjourlatablederoutage. Message17:R8rpondlaquestionposeparR12(message1).
Chacun des deux routeurs R11 et R12 rpond R16 puis fait retourner la route ltat passif. Par exemple pour R11: R11#debug EIGRP FSM 00:07:25: 00:07:25: 00:07:25: 00:07:25: 00:07:25: found 00:07:25: 00:07:25: 00:07:25: 00:07:25: 00:07:25: 00:07:25: R11# eigrp fsm Events/Actions debugging is on DUAL: rcvreply: 192.168.3.0/24 via 10.0.120.1 metric 4294967295/4294967295 DUAL: reply count is 1 DUAL: Clearing handle 0, count now 0 DUAL: Freeing reply status table DUAL: Find FS for dest 192.168.3.0/24. FD is 4294967295, RD is 4294967295 DUAL: DUAL: DUAL: DUAL: DUAL: DUAL: send REPLY(r1/n1) about 192.168.3.0/24 to 192.168.1.16 Removing dest 192.168.3.0/24, nexthop 192.168.1.12 Removing dest 192.168.3.0/24, nexthop 10.0.120.1 Going from state 3 to state 1 Removing dest 192.168.3.0/24, nexthop 192.168.1.16 No routes. Flushing dest 192.168.3.0/24
PourR12: R12# 03:21:25: 03:21:25: 03:21:25: 03:21:25: 03:21:25: found 03:21:25: 03:21:25: 03:21:25: 03:21:26: 03:21:26: R12#
DUAL: DUAL: DUAL: DUAL: DUAL: DUAL: DUAL: DUAL: DUAL: DUAL:
rcvreply: 192.168.3.0/24 via 10.0.120.5 metric4294967295/4294967295 reply count is 1 Clearing handle 0, count now 0 Freeing reply status table Find FS for dest 192.168.3.0/24. FD is 4294967295, RD is 4294967295 send REPLY(r1/n1) about 192.168.3.0/24 to 192.168.1.16 Removing dest 192.168.3.0/24, nexthop 10.0.120.5 Going from state 3 to state 1 Removing dest 192.168.3.0/24, nexthop 192.168.1.16 No routes. Flushing dest 192.168.3.0/24
- 25 -
Onremonteprogressivementverslerouteurloriginedelaprocduredecalculdiffus: R16#debug eigrp fsm ......... 00:07:19: DUAL: Set reply-status table. Count is 2. 00:07:19: DUAL: Doing split horizon on Serial0/0 00:07:19: DUAL: Going from state 1 to state 3 00:07:21: DUAL: dest(192.168.3.0/24) active 00:07:21: DUAL: rcvreply: 192.168.3.0/24 via 192.168.1.12 metric 4294967295/4294967295 00:07:21: DUAL: reply count is 2 00:07:21: DUAL: Clearing handle 2, count now 1 00:07:21: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.1.12 00:07:21: DUAL: dest(192.168.3.0/24) active 00:07:21: DUAL: rcvquery: 192.168.3.0/24 via 192.168.1.12 metric 4294967295/4294967295, RD is 4294967295 00:07:21: DUAL: send REPLY(r1/n1) about 192.168.3.0/24 to 192.168.1.12 00:07:24: DUAL: dest(192.168.3.0/24) active 00:07:24: DUAL: rcvreply: 192.168.3.0/24 via 192.168.1.11 metric 4294967295/4294967295 00:07:24: DUAL: reply count is 1 00:07:24: DUAL: Clearing handle 0, count now 0 00:07:24: DUAL: Freeing reply status table 00:07:24: DUAL: Find FS for dest 192.168.3.0/24. FD is 4294967295, RD is 4294967295 found 00:07:24: DUAL: send REPLY(r1/n1) about 192.168.3.0/24 to 192.168.2.21 00:07:24: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.1.11 00:07:24: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.1.12 00:07:24: DUAL: Going from state 3 to state 1 00:07:24: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.2.21 00:07:24: DUAL: No routes. Flushing dest 192.168.3.0/24 R16#
Pourenfinacheverlaprocduresurlerouteurquilainiti:
- 26 -
R21#debug eigrp fsm ..........! La suite 00:07:44: DUAL: rcvreply: 192.168.3.0/24 via 192.168.2.16 metric 4294967295/4294967295 00:07:44: DUAL: reply count is 1 00:07:44: DUAL: Clearing handle 0, count now 0 00:07:44: DUAL: Freeing reply status table 00:07:44: DUAL: Find FS for dest 192.168.3.0/24. FD is 4294967295, RD is 4294967295 found 00:07:44: DUAL: Removing dest 192.168.3.0/24, nexthop 0.0.0.0 00:07:44: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.2.16 00:07:44: DUAL: No routes. Flushing dest 192.168.3.0/24 R21(config-if)# ObservezquechacundesrouteursdelatopologieatraitaumoinsunerequtepourlerseauLAN_21.Reproduire plusieurs fois de suite le mme vnement montre que la procdure de calcul diffus peut emprunter des voies diffrentesselonquunerequtearriveavantlautreouselonlordredetraitementparlerouteur(particulirement vrai pour R8 dans le contexte cidessus). Mais le rsultat final, savoir la convergence du rseau, est toujours obtenutrsrapidement.Unvnementquiprovoqueuneprocduredecalculdiffus,cestunpeucommelamche quiprovoqueladflagration.
9.FormatdespaquetsEIGRP
Puisque EIGRP dispose de son propre protocole de transport, il sencapsule directement dans IP, identifi par le numrodeprotocole88.LalongueurdupaquetEIGRPestdonclimitelacapacitdemportdudatagrammeIP,soit leMTUdiminudelentteIP.LadressededestinationIPestselonlescas(relirelasectionLeprotocoledetransport RTP) ladresse multicast 224.0.0.10 qui identifie le groupe des routeurs EIGRP ou ladresse unicast dun routeur. Ladressesourceesttoujoursladresse de linterfacequiaservimettrelepaquet.LentteIPestsuividunen tte EIGRP luimme suivi dun certain nombre de triplets TLVs (Type/Length/Value). Les TLVs transportent les informationsderoutesmaisaussidesparamtresutileslagestionduprotocoleetnotammentdeDUAL.Leformat gnraldupaquetestlesuivant:
Version:EIGRPaconnudeuxrvisionsmajeures,touteslesversionsdIOSaudelde11.1(3)disposent desaversionlaplusrcente.Lenumrodeversion,2danslescapturesdEIGRPobservesavecWireshark danscechapitre,identifieuneversionparticulireduprocessusEIGRP.Ladministrateurpeutobtenirensavoir laidedunecommandeshipeigrpneighbordetail:
R8#sh ip eigrp neighbors detail IP-EIGRP neighbors for process 64501
- 27 -
Hold Uptime SRTT (sec) (ms) 1 10.0.120.2 Se0/0 12 03:22:16 66 Version 12.2/1.2, Retrans: 1, Retries: 0 0 10.0.120.6 Se0/1 10 03:22:57 52 Version 12.2/1.2, Retrans: 0, Retries: 0 R8#
Address
Interface
Q Seq Type Cnt Num 1140 0 110 2280 0 121
RTO
Opcode:identifieletypedepaquetEIGRP,update,query,reply,Hello... Checksum:cettesommedecontrlesappliquelatotalitdupaquetEIGRP,entteIPexclue. Flags:seulsdeuxbitssontutiliss.LebitdepoidsfaibleI(Init)estutilislorsdeltablissementdune nouvelle relation de voisinage (relire la section Entretien des relations de voisinage). Le bit de poids 2 ConditionalReceiveestutilisparlalgorithmedemultidiffusionfiable(messagesmultidiffuss,acquittements unicast)deRTP. SeqNumber,AckNumber:utilesaumcanismedefiabilitprocurparRTP.UnmessagefiabledeRTP qui porte le numro de squence N doit tre acquitt par un message dacquittement dont le numro dacquittementestN.Pourvousenconvaincre,observezsincessairelestramesn19,20et21delacapture Wireshark cap_2H_02.pcap disponible en tlchargement. Cette capture a t ralise sur le LAN_131 qui connecte R11, R12 et R16 dans la topologie prcdente (mise en uvre pour illustrer le fonctionnement de DUAL). En trame 19, R16 met un message multicast dont le numro de squence est 18, numro dacquittement 0. En trame 20, R11 acquitte le message, le numro de squence est 0, le numro dacquittementest18.Entrame21,cestautourdeR12dacquitterlemessage,lenumrodacquittementest 18.ObservezquelesmessagesdacquittementsontenralitdesmessagesHello(Opcode=5)maisquele protocole na aucune difficult distinguer car un vritable message Hello est toujours diffus et par consquent,sonchampnumrodacquittementesttoujours0. AutonomousSystemNumber:identifieledomaineEIGRP.UnprocessusEIGRPidentifiparunnumrodAS nexploiteunpaquetEIGRPquesilportelemmenumrodAS.
Le corps du message EIGRP est constitu de un ou plusieurs triplets TLVs. Chaque TLV dbute par un champ type exprimsurdeuxoctetssuividunchamplongueurgalementsurdeuxoctets.Lalongueurenquestionestcelledu TLV, champs type et longueur inclus. Le champ valeur qui suit type et longueur est fonction du type du TLV. Nous nexaminerons videmment pas tous les types de TLVs, ne seraitce que parce que les TLVs spcifiques IPX ou AppleTalkontperdudeleurintrtaveclaprdominancedIP.
a.TLVsgnraux
ObservezlextraitdecaptureWiresharkciaprs:
- 28 -
AinsilesmessagesHellodEIGRPembarquentdefaonsystmatiquedeuxTLVsditsgnrauxcestdireutilesla gestionduprotocoleEIGRPproprementdit:
G
LeTLVdeparamtresdontleformatestlesuivant:
Lelecteurreconnatrasansdifficultlescoefficientsk1k5utilissparEIGRPpourcalculerlesdistancesdesroutes, ainsiquelavaleurHoldTimeutilepoursurveillerlesrelationsdevoisinage:
G
LeTLVVersiondelogicieldontleformatestlesuivant:
- 29 -
b.TLVsIP
DeuxtypesdeTLVssontddisautransportdinformationderoutes:
G
LeTLVRouteinternecontientunedestinationappriselintrieurdusystmeautonomeEIGRP. LeTLVRouteexternecontientunerouteredistribue(remplacezparrcupre)danslesystmeautonome EIGRPetissuedunautreprocessusderoutage.
ChaqueTLVIPcontientuneentrederoute.ChaquemessageEIGRPparmilesmessagesdemisejour,derequte etderponsecontientaumoinsunTLVIP. LeformatduTLVRouteinterneestlesuivant:
...dontleschampssont:
G
NextHop:leplussouventlerouteurdeprochainsautestlerouteurdontestissuelinformationderoute, linformation Next Hop est dans ce cas inutile et le champ reste 0.0.0.0. Il peut arriver dans des circonstancesparticuliresquelerouteurdeprochainsautnepuissesannoncerluimme.Lechamp Next Hop vient alors point nomm pour indiquer quelle adresse IP il convient de remettre directement les paquets sans passer par le routeur lorigine de lannonce EIGRP. Ladresse de saut suivant est une adressedirectementconnecteausousrseausurlequelesteffectuelannonce.0000danslechampNext HopindiquequeleroutagedoitsefairevialerouteurloriginedelannonceEIGRP. Delay:sommedesdlaisdetouteslesinterfacesentrantesplacesentrelerseaudedestinationetle routeurquiannonce,exprimeendizainesdemicrosecondes.Cechampoccupait24bitspourleprotocole parentIGRPetenoccupe32danslaversionEIGRPsuitelajoutdufacteur256.
Undlai0xFFFFFFFFindiqueunerouteinjoignable!
Bandwidth:bandepassantelaplusfaibleparmilesbandespassantesdetouteslesinterfacesentrantes places entre le rseau de destination et le routeur qui annonce. Ce champ occupait 24 bits pour le protocoleparentIGRPetenoccupe32danslaversionEIGRPsuitelajoutdufacteur256.EIGRPyplacele rsultatducalculsuivant:
- 30 -
MTU : MTUminimumduchemin,parmilesMTUdesdiffrentstrononsquicomposentlechemin.Onse souvientqueleMTU(MaximumTransmissionUnit)estlacapacitdemportdelatrameencouche2,oucequi estquivalent,lalongueurmaximaledudatagrammeIP.Biensr,cetteinformationneparticipepasaucalcul delamtrique. Hop Count:nombredesautspourrejoindrelerseaudedestination.Lerouteurauquellerseauest directement connect annonce 0, chaque routeur subsquent incrmente la valeur et annonce la valeur incrmente. Reliability:fiabilit.Pourchaqueinterface,lIOSentretientdescompteursdepaquetsmisetreusainsi quedescompteursdepaquetsenerreur.Cescomptagesluipermettentdentretenirdefaondynamiqueun indicedefiabilit.Cetindiceestrangdansunchampde8bits,ilnestdoncpasexprimen%maisen pour 255 . Aucun paquet en erreur implique un indice de 255, lindice maximal (dtails complmentaires danslasectionLamtriquedEIGRP). Load : charge. Les mmes compteurs de paquets mis et reus permettent de calculer une bande passanteeffectivementoccupepuisdelacomparerlabandepassantedisponiblepourexprimerunindice decharge.Commelindice de fiabilit, cet indice est rang dans un champ de 8 bits, lindice1indiqueune charge nulle, lindice 255 nest jamais atteint, un indice qui dpasse 200 indique un lien trs fortement charg(dtailscomplmentairesdanslasectionLamtriquedEIGRP). PrefixLength:nombredebitsdumasquerseau. Destination:adressededestinationdelaroute.Lalongueurdecechampdpenddelavaleurcontenue danslechampLongueurdeprfixe.Exemples:
G
10.8.0.0/16:lechamp Longueurcontient16,lechampDestinationoccupe2octetsquicontiennent 10.8. 172.16.0.96/27 : le champ Longueur contient 27, le champ Destination occupe 4 octets parce que ladressedestinationest172.16.0.96quioccupeplusde3octets.Lesbitsnonutilissparladresse dedestinationsontlaisss0.Enfinal,lechampDestinationoccupede14octets.
LeformatduTLVRouteexterneestlesuivant:
...dontleschampssont:
- 31 -
NextHop:descriptionidentiqueauchampcorrespondantduTLVRoutesinternesIP. OriginatedRouter:adresseIPouidentifiantdurouteurquiaredistribu(rcupr)larouteexternedans cesystmeautonomeEIGRP. OriginatedAutonomousSystemNumber:numrodelASdontlarouteestissue. ArbitraryTag:utiledanslaredistributionderoutesentreprotocolesderoutage.Lacommandesettagen mode configuration routemap permet de marquer une route rcupre, la commande match tag quant elle,permetdenercupreruneroutequesielleportelemarquageattendu. ExternalProtocolMetric:mtriquetellequelletaitconnueduprotocoleexternepourcetteroute.
G
Exemple:unerouteatapprisedepuisleprotocoleRIPavecunnombredesauts(lamtriquede RIP)gal3puisredistribuedanscetASEIGRP:lechamp OriginatedRouterporteladresseIP durouteurEIGRPquiarcuprcetteroute,lechamp Originated AS Numberreste0puisque RIPneconnatpascetteinformation,lechampExternalProtocolMetricportelavaleur3etenfinle champExternalProtocolIDidentifieRIPparlavaleur0x04.
Flags :CISCO nutiliseraitquedeuxbitssurles8quecomptecechamp,lebitdepoids2identifieune routepardfautcandidate. LeschampsquisuiventsontidentiquesceuxdjdcritspourunTVLRouteinterne.
10.Agrgationderoutes
Pour mmoire, un protocole de routage sans classe, tel EIGRP, inclut le masque ou la longueur de prfixe dans ses annoncesderoutes.CestcequiapermislabandondesclassesdadressesetladoptiondeVLSM.Pourautant,EIGRP peut continuer se comporter avec classe , cest ce quil fait lorsque ladministrateur laisse lagrgation automatiqueactive,ellelestpardfaut.Cecomportementestrassurantetprudentpourlensembledurseaucaril concourtmaintenirdestablesderoutageraisonnables.Pourtant,ladministrateurpeuttreconduitdsactiver cette agrgation automatique, cest notamment le cas lorsque plusieurs parties dun domaine sont fdres par un rseaudetransit,commeillustrdansltudedecasciaprs. Laconsquencedeladsactivationdelagrgationautomatiqueestlinflationdunombredentresdanslestablesde routage, inflation que ne pouvait contenir un protocole de routage tel RIPv2 faute doutils. EIGRP propose fort heureusementundveloppementintressantenoffrantunmcanismedagrgationmanuelle.
a.Agrgationautomatiquederoutes
ReprenonslatopologieduchapitreprcdentquiavaitserviillustrerlecomportementdeRIPfacedesrseaux discontigus.Pourmmoire,nousavionsaffectdesadressesdelexclasseCauxliensWANissusdurouteurRTR7A afindescinderledomainecouvertpar172.16.0.0entroisparties:
- 32 -
EIGRParemplacRIPsurchacundesrouteursdelatopologiequiparticipentdsormaisausystmeautonomen 64501.Unefoistouslesrouteurscorrectementconfigurs,unelecturedelatablederoutagedurouteurRTR7Aest difiante:cerouteurconnattroisalternativescotgalvers172.16.0.0etsapprtefairedelarpartitionde charge. Tout premier paquet dun flux destin 172.16.0.0/24 et trait par RTR7A a une chance sur trois dtre acheminverslapartiequiconvientdudomainecouvertpar172.16.0.0: RTR7A#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set D 172.16.0.0/16 [90/2172416] via 192.168.0.249, 00:00:31, Serial0/0 [90/2172416] via 192.168.0.254, 00:00:31, Serial0/1 [90/2172416] via 192.168.0.246, 00:00:31, Serial0/2 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 C 192.168.0.252 is directly connected, Serial0/1 C 192.168.0.244 is directly connected, Serial0/2 RTR7A# Ainsi, comme RIP, le comportement par dfaut dEIGRP est dagrger ses annonces aux frontires des rseaux majeurs. Les trois routeurs RTR7C, RTR7B et RTR7D annoncent 172.16.0.0 vers RTR7A ce, parce que leur interface vers ce routeur nest pas dans le rseau 172.16.0.0. Rendre la vue RTR7A implique de dsactiver lagrgation automatique (summarization) ce que ladministrateur doit configurer sur les trois routeurs frontire laide de la commandenoautosummaryenconfigurationderouteur: RTR7C RTR7C(config)#router eigrp 64501 RTR7C(config-router)#no auto-summary RTR7C(config-router)#^Z RTR7C#wr Building configuration... [OK] RTR7C# RTR7B RTR7B(config)#router eigrp 64501 RTR7B(config-router)#no auto-summary RTR7B(config-router)#^Z RTR7B#wr Building configuration...
[OK] RTR7B# RTR7D RTR7B(config)#router eigrp 64501 RTR7B(config-router)#no auto-summary RTR7B(config-router)#^Z RTR7B# RTR7B#wr Building configuration... [OK] RTR7B# Le rglage du paramtre dagrgation, automatique ou pas, peut tre vrifi laide dune commande show ip protocols.ExemplesurRTR7C(extrait): RTR7C#sh ip prot Routing Protocol is "eigrp 64501" ......... EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100 EIGRP maximum metric variance 1 Redistributing: eigrp 64501 Automatic network summarization is not in effect ......... Distance: internal 90 external 170 RTR7C# Unecommande show ip routesurRTR7Arassureimmdiatementladministrateur.Eneffet,ledomainecouvertpar 172.16.0.0doitcomporterque10sousrseaux,lacommandenousavertitqueRTR7Aenconnat10: RTR7A#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 10 subnets, 5 masks 172.16.0.184/30 [90/2681856] via 192.168.0.254, 00:06:11, Serial0/1 172.16.0.176/29 [90/2684416] via 192.168.0.254, 00:06:07, Serial0/1 172.16.0.160/28 [90/2684416] via 192.168.0.254, 00:06:07, Serial0/1 172.16.0.128/27 [90/2172416] via 192.168.0.254, 00:06:11, Serial0/1 172.16.0.208/28 [90/2172416] via 192.168.0.246, 00:04:09, Serial0/2 172.16.0.192/28 [90/2172416] via 192.168.0.246, 00:06:37, Serial0/2 172.16.0.0/26 [90/2172416] via 192.168.0.249, 00:00:28, Serial0/0 172.16.0.96/30 [90/2681856] via 192.168.0.249, 00:00:28, Serial0/0 172.16.0.80/28 [90/2684416] via 192.168.0.249, 00:00:28, Serial0/0 172.16.0.64/28 [90/2684416] via 192.168.0.249, 00:00:28, Serial0/0 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 C 192.168.0.252 is directly connected, Serial0/1 C 192.168.0.244 is directly connected, Serial0/2 RTR7A# D D D D D D D D D D
b.Agrgationmanuellederoutes
Lesbesoinsdagrgationamnentprciserlesnotionsderseaudetransitetrseaudextrmit: Rseaudetransit Onreconnatunrseaudetransitaufaitquaucunedesadressessourceetdestinationdespaquetsobservssurce rseaunappartientcerseau.Lespaquetsnefontquepassersurunrseaudetransit. Rseaudextrmit(Stubnetwork) Un rseau dextrmit na quun seul routeur attach. Chaque paquet observ sur un rseau dextrmit a, soit
ladressesource,soitladressedestinationquiappartientcerseau.Lesinterfacesdeloopbacksontconsidres commedesrseauxdextrmitetannoncescommetels. Lagrgation de routes doit toujours tre recherche car elle rduit la taille des tables de routage et par suite, diminueletempsderecherchedunedestinationdanslatable.Uneautreconsquencenonvoquejusquprsent estquesiunrseaunestpasannoncexplicitementmaislestautraversdunagrgat,seschangementsdtat upoudownsetrouventmasqusetnesontpaspropagsdanslerestedurseau.Voilquidiminuedautant letraficdacheminementdanslesrseauxdetransit. Lagrgatdoitregrouperautantdeprfixesquepossiblemaispasplus.Autrementdit,touslesrseauxannoncs parlagrgatviauneinterfacederouteurdoiventeffectivementtreaccessiblesparcetteinterface.Onsesouvient galement quon ne peut agrger des rseaux quen nombres gaux des puissances de 2 (notre tableau VLSM dichotomique):
Ilestsouhaitabledagrgerlesagrgatsquandcestpossible:
Revenons notre tude de cas en construisant le tableau dichotomique de lespacedadressage utilis, savoir 172.16.0.0/24. Les routeurs concerns par la configuration dagrgations ont t placs sur la partie de lespace dadressageconvenable:
- 35 -
Lagrgationseconfiguresurlinterfacesortante.Quatreagrgationssontpossiblesdanslecasprsent:
- 36 -
RTR7Epeutannoncer172.16.0.64/27sursoninterfaceS0/0. RTR7Cpeutannoncer172.16.0.0/25sursoninterfaceS0/0. RTR7Bpeutannoncer172.16.0.192/27sursoninterfaceS0/0. RTR7Dpeutannoncer172.16.0.128/26sursoninterfaceS0/1.
Lacommandeutileestipsummaryaddressentrerenconfigurationdinterface,dontlasyntaxeestlasuivante: ip summary-address eigrp as-number network-address subnet-mask [admin-distance] ...etdontlesargumentssontlessuivants: asnumber NumrodAS. networkaddress Leprfixedelagrgat. subnetmask Unmasqueordinaireetnonunmasquegnrique. admindistance Optionnel, lagrgat peut tre annonc avec une distance administrative particulire. La valeur doit appartenir lespace [0 255]. On se souvient que la distance administrative par dfaut dEIGRP est 90 quand il sagit dune routeEIGRPinterne,170quandlarouteEIGRPestexterne. Ilresteconfigurerlesagrgatssurlesrouteursconcerns: RTR7E RTR7E(config)#int s0/0 RTR7E(config-if)#ip summary-address eigrp 64501 172.16.0.64 255.255.255.224 RTR7E(config-if)# 00:16:09: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 172.16.0.97 (Serial0/0) is down: summary configured 00:16:10: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 172.16.0.97 (Serial0/0) is up: new adjacency RTR7E(config-if)#^Z RTR7E# RTR7C RTR7C(config)#int s0/0 RTR7C(config-if)#ip summary-address eigrp 64501 172.16.0.0 255.255.255.128 RTR7C(config-if)#^Z RTR7C# RTR7B RTR7B(config)#int s0/0 RTR7B(config-if)#ip summary-address eigrp 64501 172.16.0.192 255.255.255.224 RTR7B(config-if)#^Z RTR7B# RTR7D RTR7D(config)#int s0/1 RTR7D(config-if)#ip summary-address eigrp 64501 172.16.0.128 255.255.255.192 RTR7D(config-if)#^Z RTR7D#
- 37 -
NotrerseaudetransitseramneauseulrouteurRTR7Asurlequelladministrateurobserveavecsatisfactionune diminutionconsquenteduvolumedelatablederoutage: RTR7A#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 3 subnets, 3 masks 172.16.0.128/26 [90/2172416] via 192.168.0.254, 00:01:43, Serial0/1 172.16.0.192/27 [90/2172416] via 192.168.0.246, 00:04:06, Serial0/2 172.16.0.0/25 [90/2172416] via 192.168.0.249, 00:06:39, Serial0/0 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 C 192.168.0.252 is directly connected, Serial0/1 C 192.168.0.244 is directly connected, Serial0/2 RTR7A# D D D Ilestintressantdobservergalementcequestdevenuelatablederoutagedelundesrouteursquiagrge.Par exemple,surRTR7C: RTR7C#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 6 subnets, 4 masks 172.16.0.128/26 [90/2684416] via 192.168.0.250, 00:00:09, Serial0/0 172.16.0.192/27 [90/2684416] via 192.168.0.250, 00:00:09, Serial0/0 172.16.0.0/25 is a summary, 00:02:35, Null0 172.16.0.0/26 is directly connected, FastEthernet0/0 172.16.0.96/30 is directly connected, Serial0/1 172.16.0.64/27 [90/2172416] via 172.16.0.98, 00:02:30, Serial0/1 192.168.0.0/30 is subnetted, 3 subnets C 192.168.0.248 is directly connected, Serial0/0 D 192.168.0.252 [90/2681856] via 192.168.0.250, 00:00:09, Serial0/0 D 192.168.0.244 [90/2681856] via 192.168.0.250, 00:00:09, Serial0/0 RTR7C# D D D C C D Ainsi,lerouteurainstallunerouteverslagrgat172.16.0.0/25,routedontleprochainsautestlinterfacevirtuelle Null0.ToutpaquetreuparRTR7Cetdestinlagrgatmaispourlequellerouteurnauraitpasderseauenfant plusspcifiqueseraitdtruit. EIGRPutilisecetteinterfaceafindliminerlespaquetsquicorrespondentlarouteparentmaispourlesquelsaucun desrseauxenfantsnecorrespondladressededestinationdespaquets.EIGRPinclutdefaonautomatiqueune routersumeverslinterfaceNull0chaquefoisquelunedecesdeuxconditionsexiste:
G
Unrsumderouteestactiv,quilsoitautomatiqueoumanuel. UnouplusieurssousrseauxdurseauagrgexistentquionttapprisparEIGRP.
retenir:lerouteurconfigurpouragrgerplusieursprfixesnannoncelagrgatquesilconnataumoins lun des prfixes de lagrgat. Dans le mme temps, il installe dans la table de routage une route pour lagrgatverslinterfaceNull0afindliminerlespaquetsdestinslagrgatetpourlesquelsilnedisposeraitpas deroutespcifique.
c.Routepardfaut
Pourlacirconstance,nousrutiliseronsuncontexteprparantrieurement,ilavaitserviillustrerlapropagation
- 38 -
delaroutepardfautdansundomaineRIP:
Le scnario est le suivant : sur R220, nous installerons une route par dfaut vers le routeur FAI puis nous assureronsquEIGRPpropageeffectivementcetterouteauxautresrouteursdelatopologie. tape1:surchaquerouteur,remplacerRIPparEIGRP
I
ParexemplesurR220:
R220(config)#no router rip R220(config)#router eigrp 64501 R220(config-router)#network 172.16.0.0 R220(config-router)#^Z R220# tape2:surR220,terlaroutepardfautverslerseau192.168.12.0 Cette route convenait associe la commande defaultinformationoriginate en configuration de routeur RIP. Ce nestpaslamthodequenousutiliseronsici.
I
Appliqueaucasprsent:
R220(config)#ip default-network ? A.B.C.D IP address of default network R220(config)#no ip default-network 192.168.12.0 R220(config)#^Z R220# tape3:surR220,activeruneroutestatiqueverslerouteurFAI
I
laidedunecommandeiprouteenmodedeconfigurationglobale:
R220(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.126 R220(config)#^Z R220# tape4:surR220,activerlaredistributionderoutestatiquedansEIGRP

I
laidedunecommanderedistributeenmodeconfigurationderouteur:
- 39 -
R220(config)#router eigrp 64501 R220(config-router)#redistribute static R220(config-router)# Unesecondemthodepouvaitconsistercreruneroutestatiquepardfautversuneinterfacedesortie.Onse souvientquelIOSconsidrealorslaroutecommeuneroutedirectementconnecte(reliresincessairelechapitre ddiauroutagestatique).Lacommanderedistributeauraitdanscecasdtreassocieaumotclconnected. tape5:vrifierlinstallationdelaroutestatiquepardfautsurlerouteurquiredistribue
I
laidedunecommandeshowiproutesurR220:
R220#sh ip Codes: C D ......... Gateway of
route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area last resort is 192.168.12.126 to network 0.0.0.0
C C D D C D D D D S* R220#
192.168.12.0/25 is subnetted, 1 subnets 192.168.12.0 is directly connected, FastEthernet0/0 172.16.0.0/24 is subnetted, 8 subnets 172.16.43.0 is directly connected, Serial0/0 172.16.32.0 [90/41024000] via 172.16.43.21, 00:09:39, 172.16.33.0 [90/41024000] via 172.16.34.12, 00:08:57, [90/41024000] via 172.16.43.21, 00:08:57, 172.16.34.0 is directly connected, Serial0/1 172.16.21.0 [90/20514560] via 172.16.43.21, 00:08:03, 172.16.23.0 [90/40514560] via 172.16.34.12, 00:07:55, 172.16.12.0 [90/40514560] via 172.16.34.12, 00:07:55, 172.16.11.0 [90/40517120] via 172.16.34.12, 00:07:55, 0.0.0.0/0 [1/0] via 192.168.12.126
Serial0/0 Serial0/1 Serial0/0 Serial0/0 Serial0/1 Serial0/1 Serial0/1
tape6:vrifierlapropagationdelaroutepardfautsurlesautresrouteurs
I
laidedunecommandeshowiproutesurR120parexemple:
route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area last resort is 172.16.34.22 to network 0.0.0.0
172.16.0.0/24 is subnetted, 8 subnets 172.16.43.0 [90/41024000] via 172.16.34.22, 00:09:55, Serial0/1 [90/41024000] via 172.16.33.21, 00:09:55, Serial0/2 D 172.16.32.0 [90/40514560] via 172.16.23.11, 00:10:54, FastEthernet0/1 C 172.16.33.0 is directly connected, Serial0/2 C 172.16.34.0 is directly connected, Serial0/1 D 172.16.21.0 [90/40514562] via 172.16.33.21, 00:09:56, Serial0/2 C 172.16.23.0 is directly connected, FastEthernet0/1 C 172.16.12.0 is directly connected, FastEthernet0/0 D 172.16.11.0 [90/30720] via 172.16.23.11, 00:09:11, FastEthernet0/1 D*EX 0.0.0.0/0 [170/40514560] via 172.16.34.22, 00:09:57, Serial0/1 R120# D Observezlaroutepardfautcandidateassocieladistanceadministrative170puisquepourEIGRP,ilsagitdune route externe. Observez galement ladresse IP affecte la passerelle de dernier recours 172.16.34.22, soit ladresseIPdelinterfaceS0/1surR220.CQFD. touthasard,letableausuivantaidecomprendreladistanceaffiche40514560delaroutecandidate: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 Mtrique IGRP 1010 Mtrique EIGRP 258560
F0/0de
10000
100
10000
- 40 -
R220 S0/1de R120 64 20000 64 20100 158260 40514560
Nous aurions pu utiliser la commande defaultmetric en configuration de routeur pour ajuster les paramtres bandwidth,delay,chargeetreliabilitydelaroutestatiqueintroduitedansEIGRP.Enfait,cestinutileparcequEIGRP saitredistribuer(rcuprer)lecotdelaroutestatique(ilsauraitgalementrcuprerlecotdunerouteissuedun autreASEIGRP).Enrevanche,silavaitfalluredistribuerdesroutesissuesdunautreprotocolederoutagetelRIPou OSPF,alorslacommande defaultmetricoulemotcl metricassocierlacommande redistribute auraient t utiles. Dernireremarque:sinquiterducotduncheminlorsquelecheminestuniquenapasbeaucoupdesens,cestde toutefaonlecheminquEIGRPadoptera.Cetteremarquesappliqueaucasdelaroutepardfaut. Bonus:ilestpossibledefiltrerlasortiedunecommande showlaideduntube.Letubeestentrlaidedu caractre|.SurunclavierAZERTY,cecaractresobtientaveclacombinaisondesdeuxtouches[Alt Gr] 6.Trois motsclspermettentdeprciserlactiondufiltre: begin, includeetexclude.Troisexemplesdevraient montrersibesointoutlintrtdelachose:
G
Exemple1:ladministrateurutiliseunfiltre beginpourafficherlecontenudufichierdeconfigurationpartir deslignesquiconcernentlaconfigurationduprotocolederoutage:
R220#show run | begin router router eigrp 64501 redistribute static metric 10000 10 255 1 1500 network 172.16.0.0 auto-summary ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.12.126 ip http server ! ! dial-peer cor custom ! ! ! ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! end Exemple 2 : ladministrateur utilise un filtre include afin de nafficher que les lignes qui comportent la squenceip:
R220#show run | include ip ip subnet-zero ip address 192.168.12.1 255.255.255.128 ip address 172.16.43.22 255.255.255.0 no ip address ip address 172.16.34.22 255.255.255.0 ip classless ip route 0.0.0.0 0.0.0.0 192.168.12.126 ip http server R220# Exemple3:ladministrateurutiliseunfiltreexcludeafindesupprimerleslignesdecommentaires:
R220#show run | exclude !
- 41 -
Building configuration... Current configuration : 821 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname R220 memory-size iomem 15 ip subnet-zero call rsvp-sync interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.128 duplex auto speed auto interface Serial0/0 bandwidth 128 ip address 172.16.43.22 255.255.255.0 interface FastEthernet0/1 no ip address shutdown duplex auto speed auto interface Serial0/1 bandwidth 64 ip address 172.16.34.22 255.255.255.0 router eigrp 64501 redistribute static metric 10000 100 255 1 1500 network 172.16.0.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 192.168.12.126 ip http server dial-peer cor custom line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login end R220# Cedernierexemplepourraitservlerutilequandladministrateurdcidedeplaceruneconfigurationdansunfichier textepouruntravailhorsinterfaceILC.Biensr,ilestpossibledappliquercesfiltrestoutecommandeshow.
11.Partagedecharge
LechapitreLeroutagestatiqueaintroduitlanotiondepartagedechargecotgaloucotingaletadcritles deuxmodesdecommutationFastswitchingetProcessswitching.Afindenepaseffaroucherlelecteur,cette description,sanstrefaussentaitquepartielle.CompltonslaennignorantpluslemcanismedecommutationCEF (CiscoExpressForwarding). Pourmmoire,lepartagedechargeconsisterpartirletraficversunemmedestination(encouche3)surplusieurs liens. Quand un routeur dcouvre plusieurs alternatives vers une destination, sa table de routage peut comporter plusieursentrespourcettedestination.Parexemple: R110b#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... I 10.0.1.192/27 [115/10] via 10.0.1.234 [115/10] via 10.0.1.226 [115/10] via 10.0.1.236 ......... R110b# Leplusordinairement,lesalternativesontmmemtriquemaiscertainsprotocolesderoutage,dontEIGRP,savent
- 42 -
placerdanslatablederoutagedesalternativescotingal. Lepartagedechargeesttroitementliaumcanismedecommutationdurouteur,mcanismechargdeplacerun paquet dune file de sortie dans la trame convenable puis dmettre cette trame sur linterface choisie. En effet, au niveau3,strictosensu,lafonctionderoutagedoitrapprocherlespaquetsdeleurdestinationviauncheminetillui importepeudesavoirqueplusieurscheminsexistent.Maislebonsensrecommandedefaireensortequelabande passantedisponiblesoitutilisedelafaonlaplusefficace.Dautantqueprvoirunmcanismedepartagedecharge nencessiteriendeplusquedelarflexionetdelaconfigurationsurlerouteurconsidr. Lenombredecheminsalternatifsutilissestlimitparlenombredentresquepeutplacerunprotocolederoutage danslatablederoutagepourunemmedestination.Pardfaut,lIOSlimitecenombremaximal4pourlaplupart desprotocolesderoutagelexceptiondeBGP(uneentre!),ladministrateurpeutportercettevaleur6laidede lacommandemaximumpathsenconfigurationderouteur: R11(config)#router eigrp 64501 R11(config-router)#maximum-paths ? <1-6> Number of paths R11(config-router)#maximum-paths 6 R11(config-router)#^Z R11# LIOSCISCOsupportedeuxmodesdepartagedecharge:lepartagepardestinationetlepartageparpaquet:
G
Danslepartagepardestination,touslespaquetspourunedestinationdonneempruntentlemmechemin. Celaprservelesquencementdespaquetsmaisnegarantitpasunerellerpartitiondutraficetdoncne garantitpaspluslutilisationlaplusefficacedetouslesliensdisponibles.Cestladministrateurquilrevient devrifierquunhtenestpasdestinatairedelamajeurepartiedutrafic.Enfinal,letraficestdautantmieux rparti que le nombre de destinataires est important. Pour chaque nouvelle destination, lIOS construit une entre dans un cache de routage qui comprend la destination et linterface de sortie. Le traitement des paquetssuivantsestsimplifi,leprocessusdecommutationpeutremplirsamissionsanssolliciterleprocessus de routage. Ce fonctionnement efficace premire vue nest pas sans inconvnient, chaque nouvel hte destinataireprovoquantuneentresupplmentairedanslecachequelerseaudestinatairesoitidentiqueou pas, y compris quand un seul chemin existe pour cette destination. Lentretien du cache peut absorber une grande quantit de ressources machine. Par ailleurs, la dcision demprunter tel ou tel chemin est prise au premierpaquetdunflux.Lachargeconstatesurlesdiffrentslienspeutensuitevoluersansquelechemin empruntparlefluxnesoitremisenquestion.Sibienquonpeutaboutircettesituationparadoxaledans laquellelelienempruntseraitsaturalorsmmequelesautresliensdisponiblesdormiraient. Danslepartageparpaquet,lepartagedechargeestgaranti.Enrevanche,lesdiffrentspaquetsdunmme fluxvontemprunterdescheminsdelatencesdiffrentesetlesquencementdespaquetsnestplusgaranti. AvantlintroductiondumcanismeCEF,fairelechoixdupartageparpaquetrevenaitdsactiverlecachede route et perdre lacclration du traitement qui en dcoulait (on quittait le mode Fast Switching pour reveniraumode ProcessSwitching).Chaquepaquettraitncessitedesolliciterleprocessusderoutage qui doit lire la table de routage, parfois plusieurs fois, avant de trouver linterface de sortie adquate, linterfacelamoinssollicitequandplusieursalternativesexistent.Certeslutilisationdesliensestoptimise maiscersultatestobtenuauprixdunelourdetchequilfautaccomplirchaquepaquet.Autantdirequece fonctionnementestincompatibleavecdesinterfaceshautdbit.
partir de la version 11.1 de lIOS, dans un premier temps sur ses routeurs haut de gamme, Cisco a introduit un nouveaumcanismedecommutationdespaquetsditCEFetquipermetderaliserunvraipartagedechargesans perdrelintrtduncachederoute,ycomprisquandlepartageparpaquetestchoisi.CEFestunprocessus,activ parlacommandeipcefenmodedeconfigurationglobale.Optionnellement,lemotcldistributed,quandilestajout la commande, provoque une dlocalisation du cache directement sur les cartes dinterface compatibles, cest un fonctionnementpossiblesurlessries2420,2600,3600,3700et7200.Audel,surlesgammesASR1000,lemotcl distributednestplusuneoptionmaisleseulfonctionnementprvu.chaquenouveauflux,CEFextraituneseulefois de la table de routage toute linformation dont il a besoin pour assurer sa tche de commutation. CEF place cette informationdansunetableditetableFIB(ForwardingInformationBase).
a.EIGRPetlepartagedechargecotgal
Nousauronsbesoindunexempleconcretpourasseoirnotrepropos.Adoptonscettetopologiesimple:
- 43 -
LespointsessentielsdelaconfigurationdeR11: ! hostname R11 ! memory-size iomem 10 ip subnet-zero ip cef ! call rsvp-sync ! interface FastEthernet0/0 ip address 10.1.101.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 bandwidth 4000 ip address 10.0.120.1 255.255.255.252 ip access-group 10 out no ip mroute-cache ! interface Serial0/1 bandwidth 4000 ip address 10.0.120.5 255.255.255.252 ip access-group 20 out no ip mroute-cache ! interface Serial0/2 bandwidth 4000 ip address 10.0.120.9 255.255.255.252 ip access-group 30 out no ip mroute-cache ! interface Serial0/3 bandwidth 4000 ip address 10.0.120.13 255.255.255.252 ip access-group 40 out no ip mroute-cache ! router eigrp 64501 network 10.0.0.0 auto-summary ! ip classless ip http server ! access-list 10 permit 10.1.101.0 0.0.0.255 access-list 10 permit any access-list 20 permit 10.1.101.0 0.0.0.255 access-list 20 permit any access-list 30 permit 10.1.101.0 0.0.0.255 access-list 30 permit any access-list 40 permit 10.1.101.0 0.0.0.255 access-list 40 permit any ! dial-peer cor custom ! line con 0
exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! end Lechapitreddiauroutagestatiqueavaitmontrcommentvrifierlepartagedechargelaidedelacommande debugippackettoutensoulignantlesdangersdecettecommande.Danslecasprsent,ladministrateuraprfr utiliser des listes daccs. Un chapitre ultrieur est ddi ltude de ces listes, nous sommes nouveau en rfrence avant. Ladministrateur a cr quatre listes daccs dont lobjet nest pas de filtrer le trafic mais de le comptabiliser. Une commande show ip accesslists permettra de dcouvrir combien de paquets ont transit sur chaqueinterface.Lacommande clear ip accesslistscountersserautilequandilfaudraremettrelescompteurs zro.Lalistedaccsn10correspondlinterfaceS0/0,lan11S0/1etainsidesuite. laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute versLAN_12vuedurouteurR11: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 20100 Mtrique IGRP 110 4510 Mtrique EIGRP 28160 1154560
F0/0deR12 S0/0deR11
100000 4000
100 20000
100000 4000
LesquatreroutesversLAN_12sontcotgal,EIGRPlesplaceensembledanslatablederoutage(Extrait): R11#sh ip route ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 10.1.102.0/24 [90/1154560] via [90/1154560] via [90/1154560] via [90/1154560] via ......... D 6 subnets, 2 masks 10.0.120.6, 00:01:33, Serial0/1 10.0.120.2, 00:01:33, Serial0/0 10.0.120.10, 00:01:33, Serial0/2 10.0.120.14, 00:01:33, Serial0/3
CISCOnestpastrsdisertsurlefonctionnementinterneduprocessusCEFmaisnouspouvonsnousenfaireune bonneidelaidedunecommanderserveauxingnieursduconstructeuretquinestpasdocumente.Ilfaut donclafrapperdanslenoir,lautocompltionnefonctionnepas: R11#sh ip cef 10.1.102.14 ? A.B.C.D prefix mask detail Display full information | Output modifiers <cr> R11#sh ip cef 10.1.102.0 internal 10.1.102.0/24, version 23, per-destination sharing 0 packets, 0 bytes via 10.0.120.2, Serial0/0, 0 dependencies traffic share 1 next hop 10.0.120.2, Serial0/0 valid adjacency via 10.0.120.10, Serial0/2, 0 dependencies traffic share 1 next hop 10.0.120.10, Serial0/2 valid adjacency via 10.0.120.14, Serial0/3, 0 dependencies traffic share 1 next hop 10.0.120.14, Serial0/3 valid adjacency via 10.0.120.6, Serial0/1, 0 dependencies traffic share 1 next hop 10.0.120.6, Serial0/1 valid adjacency
- 45 -
0 packets, 0 bytes switched through the prefix tmstats: external 0 packets, 0 bytes internal 0 packets, 0 bytes Load distribution: 0 1 2 3 0 1 2 3 0 1 2 3 0 1 2 3 (refcount 1) Hash 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 R11# OK Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Interface Serial0/0 Serial0/2 Serial0/3 Serial0/1 Serial0/0 Serial0/2 Serial0/3 Serial0/1 Serial0/0 Serial0/2 Serial0/3 Serial0/1 Serial0/0 Serial0/2 Serial0/3 Serial0/1 Address point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point Packets 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
CEFacrunetablederpartition16entres.Cettetable,appeletableFIB(ForwardingInformationBase)par CISCO,estdestinehacherlefluxetlerpartirsurlesdiffrentesinterfaces.Danslecasprsent,les4interfaces possibles sont cot gal, elles apparaissent donc dans une succession parfaite 0, 2, 3, 1, ce quatre fois conscutivement. Parailleurs,onapprendgalementendbutdecapturequelemodedepartageencoursestpardestination.Une foislentredelatableCEFconstruite,chaquenouveaufluxdestinlundeshtesdurseau10.1.102.0/24sera commutsurlinterfacepointeparlentreHashsuivante.Danslexemplequisuit,ladministrateuraentrune commande ping 10.1.102.14 (PC12) depuis la station PC11 (avec loption t si PC11 est une station Windows de faoncequelepingsoitrptitif).Unesurveillancerguliredescompteursdeslistesdaccsmontrequeceflux empruntelinterfaceS0/3. R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard Standard IP access list 20 permit 10.1.101.0, wildcard Standard IP access list 30 permit 10.1.101.0, wildcard Standard IP access list 40 permit 10.1.101.0, wildcard R11#
bits 0.0.0.255 bits 0.0.0.255 bits 0.0.0.255 bits 0.0.0.255(174 matches)
Ladministrateur fait cesser la requte ping rptitive vers PC12 puis en lance une autre vers un autre PC sur LAN_12.Attention,ilnesuffitpasdechangerladresseIPdelastationPC12pourconstaterlephnomne,cequi prouvequeCEFutiliselesadressesdecouche2.PuisquelefluxprcdentaempruntS0/3,leprochainfluxdevrait, selonlatabledehachage,emprunterlinterfaceS0/1.Ladministrateursehtedevrifiercequilpressent: R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard Standard IP access list 20 permit 10.1.101.0, wildcard Standard IP access list 30 permit 10.1.101.0, wildcard Standard IP access list 40 permit 10.1.101.0, wildcard R11#
bits 0.0.0.255 bits 0.0.0.255 (7 matches) bits 0.0.0.255 bits 0.0.0.255 (174 matches)
nouveau,nousvrifionsquecemodedepartagepardestinationnecorrespondraunpartageeffectifquesile nombrededestinationsestsuffisant.MaisavecCEF,ilnyaplusderaisondesepriverdunrelpartageenactivant lemodeparpaquet.Lacommandeutileestiploadsharingperpacketenconfigurationdinterface. Basculersurlemodedepartageparpaquetncessitedentrerlacommandeiploadsharingperpacketsur lensembledesinterfacesconcernesparlepartagedutrafic.
- 46 -
Danslecasprsent: R11(config)#int s0/0 R11(config-if)#ip load-sharing ? per-destination Deterministic distribution per-packet Random distribution R11(config-if)#ip load-sharing R11(config-if)#int s0/1 R11(config-if)#ip load-sharing R11(config-if)#int s0/2 R11(config-if)#ip load-sharing R11(config-if)#int s0/3 R11(config-if)#ip load-sharing R11(config-if)#^Z R11# per-packet per-packet per-packet per-packet
LadministrateurpeutvrifierlapriseencompteeffectivedunouveaumodedepartageparCEF(Extrait): R11#show ip cef 10.1.102.0 internal 10.1.102.0/24, version 31, per-packet sharing 0 packets, 0 bytes ......... LadministrateurrelanceunpingpermanentdepuisPC11versPC12,remetzrolescompteursdeslistesdaccs puissurveillergulirementlvolutiondescompteurs: R11#clear ip access-list counters R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard bits Standard IP access list 20 permit 10.1.101.0, wildcard bits Standard IP access list 30 permit 10.1.101.0, wildcard bits Standard IP access list 40 permit 10.1.101.0, wildcard bits R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard bits Standard IP access list 20 permit 10.1.101.0, wildcard bits Standard IP access list 30 permit 10.1.101.0, wildcard bits Standard IP access list 40 permit 10.1.101.0, wildcard bits R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard bits Standard IP access list 20 permit 10.1.101.0, wildcard bits Standard IP access list 30 permit 10.1.101.0, wildcard bits Standard IP access list 40 permit 10.1.101.0, wildcard bits R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard bits Standard IP access list 20 permit 10.1.101.0, wildcard bits Standard IP access list 30 permit 10.1.101.0, wildcard bits Standard IP access list 40 permit 10.1.101.0, wildcard bits R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard bits Standard IP access list 20 permit 10.1.101.0, wildcard bits Standard IP access list 30
0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255
0.0.0.255 (1 match) 0.0.0.255 (2 matches) 0.0.0.255 (2 matches) 0.0.0.255 (2 matches)
0.0.0.255 (2 matches) 0.0.0.255 (2 matches) 0.0.0.255 (3 matches) 0.0.0.255 (3 matches)
0.0.0.255 (3 matches) 0.0.0.255 (4 matches) 0.0.0.255 (4 matches) 0.0.0.255 (4 matches)
0.0.0.255 (5 matches) 0.0.0.255 (5 matches)
- 47 -
permit 10.1.101.0, wildcard Standard IP access list 40 permit 10.1.101.0, wildcard R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard Standard IP access list 20 permit 10.1.101.0, wildcard Standard IP access list 30 permit 10.1.101.0, wildcard Standard IP access list 40 permit 10.1.101.0, wildcard R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard Standard IP access list 20 permit 10.1.101.0, wildcard Standard IP access list 30 permit 10.1.101.0, wildcard Standard IP access list 40 permit 10.1.101.0, wildcard R11# CQFD.
bits 0.0.0.255 (5 matches) bits 0.0.0.255 (5 matches)
bits 0.0.0.255 (6 matches) bits 0.0.0.255 (6 matches) bits 0.0.0.255 (6 matches) bits 0.0.0.255 (6 matches)
b.EIGRPetlepartagedechargecotingal
ModifionsunpeulescnarioenimaginantdesroutescotdiffrententreR11etR12:
Ladministrateurmodifieenconsquencelaconfigurationdesinterfaces: R11(config)#int S0/1 R11(config-if)#bandwidth 2000 R11(config-if)#int S0/2 R11(config-if)#bandwidth 1000 R11(config-if)#int S0/3 R11(config-if)#bandwidth 500 R11(config-if)#^Z R11# Pardfaut,EIGRPnepratiquequelepartagecotgal.Fortlogiquement,latablederoutagedeR11nemontre quuneseulealternativeversLAN_12: R11#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... 10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks D 10.1.102.0/24 [90/1154560] via 10.0.120.2, 00:00:11, Serial0/0 ......... EIGRPoffreunecommandedesplusintressantespuisquelleluipermetdeplacerplusieursentrespourunemme destination dans la table de routage bien que le cot de ces entres soit diffrent du meilleur cot. Il sagit de la commande variance. Le facteur variance doit tre considr comme un coefficient multiplicateur. Pour une destinationdonne,EIGRPplaceradanslatablederoutagetoutealternativedontlecotestinfrieuraumeilleur cot multipli par la variance. Posonsnous la question : quelle est la variance ncessaire pour faire apparatre lalternativeviaS0/1danslatablederoutagedeR11etpourladestination10.1.102.0/24?Pourrpondre,ilfaut calculerlecotdecettealternative:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY rsultant 100 20100
Mtrique IGRP 110 7010
Mtrique EIGRP 28160 1794560
F0/0deR12 S0/1deR11
100000 2000
100 20000
100000 2000
LalternativeviaS0/1adoncuncot
foispluslevquelemeilleurcot.Puisquelavarianceestun
nombreentierquidoittrecomprisentre1et128,ladministrateuradoptelavaleur2: R11#conf t Enter configuration commands, one per line. R11(config)#router eigrp 64501 R11(config-router)#variance 2 R11(config-router)#^Z R11#
End with CNTL/Z.
Ladministrateurobservesatisfaitlapparitiondesdeuxalternatives: R11#clear ip route * R11#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks 10.1.102.0/24 [90/1154560] via 10.0.120.2, 00:00:02, Serial0/0 [90/1794560] via 10.0.120.6, 00:00:02, Serial0/1 ......... R11# D EtCEFdanstouta?Ladministrateurutilisenouveaulacommandenondocumente: R11#show ip cef 10.1.102.0 internal 10.1.102.0/24, version 26, per-packet sharing 0 packets, 0 bytes via 10.0.120.2, Serial0/0, 0 dependencies traffic share 120, current path next hop 10.0.120.2, Serial0/0 valid adjacency via 10.0.120.6, Serial0/1, 0 dependencies traffic share 77 next hop 10.0.120.6, Serial0/1 valid adjacency 0 packets, 0 bytes switched through the prefix tmstats: external 0 packets, 0 bytes internal 0 packets, 0 bytes Load distribution: 0 1 0 1 0 1 0 1 0 1 0 1 0 0 0 0 (refcount 1) Hash 1 2 3 4 5 6 7 8 9 10 11 12 13 OK Y Y Y Y Y Y Y Y Y Y Y Y Y Interface Serial0/0 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Address point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point Packets 0 0 0 0 0 0 0 0 0 0 0 0 0
- 49 -
14 15 16 R11#
Y Y Y
Serial0/0 Serial0/0 Serial0/0
point2point point2point point2point
0 0 0
Observez que la table FIB comporte deux adjacences qui sont S0/0 et S0/1. Puis le tableau de hachage fait apparatre loccurrence S0/0 dix fois alors que loccurrence S0/1 napparat que six fois. Sur 16 paquets, CEF en commuteradixsurS0/0pourseulement6surS0/1.S0/0absorberaparconsquent10/6=1,67foisplusdetraficque S0/1,cequiestconformeauratiodesmtriquesdesdeuxliens.Ladministrateurprovoquenouveaudutraficet surveillelescompteursdeslistesdaccs: R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard permit any Standard IP access list 20 permit 10.1.101.0, wildcard permit any Standard IP access list 30 permit 10.1.101.0, wildcard permit any Standard IP access list 40 permit 10.1.101.0, wildcard permit any R11#
bits 0.0.0.255 (18 matches)
bits 0.0.0.255 (9 matches)
bits 0.0.0.255
bits 0.0.0.255
Letraficserpartitcommeprvu.Confirmonsunedernirefoisleraisonnementennousdemandantquellevariance permettrait de faire apparatre les quatre alternatives dans la table de routage de R11 pour la destination 10.1.102.0/24. CalculonslecotdelalternativeviaS0/2: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 20100 Mtrique IGRP 110 12010 LalternativeviaS0/2adoncuncot foispluslevquelemeilleurcot. Maisenralit,pourrpondre,nousavonssurtoutbesoinducotdelalternativelaplusdfavorable,cestdire celledelinterfaceS0/3: Lien BW(Kbps) DLY(s) BWrsultante DLY rsultant 100 20100 Mtrique IGRP 110 22010 Mtrique EIGRP 28160 5634560 Mtrique EIGRP 28160 3074560
F0/0deR12 S0/2deR11
100000 1000
100 20000
100000 1000
F0/0deR12 S0/3deR11
100000 500
100 20000
100000 500
LalternativeviaS0/3adoncuncot
foispluslevquelemeilleurcot.Puisquelavarianceestun
nombreentierquidoittrecomprisentre1et128,ladministrateuradoptelavaleur5: R11#conf t Enter configuration commands, one per line. R11(config)#router eigrp 64501 R11(config-router)#variance ? <1-128> Metric variance multiplier R11(config-router)#variance 5 R11(config-router)#^Z R11#
End with CNTL/Z.
Ladministrateurobservesatisfaitlapparitiondesquatrealternatives: R11#clear ip route * R11#sh ip route
- 50 -
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... 10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks D 10.1.102.0/24 [90/1154560] via 10.0.120.2, 00:00:02, Serial0/0 [90/5634560] via 10.0.120.14, 00:00:02, Serial0/3 [90/3074560] via 10.0.120.10, 00:00:02, Serial0/2 [90/1794560] via 10.0.120.6, 00:00:02, Serial0/1 ......... LehachageprvuparCEF: R11#sh ip cef 10.1.102.0 internal 10.1.102.0/24, version 26, per-packet sharing 0 packets, 0 bytes via 10.0.120.2, Serial0/0, 0 dependencies traffic share 240, current path next hop 10.0.120.2, Serial0/0 valid adjacency via 10.0.120.14, Serial0/3, 0 dependencies traffic share 49 next hop 10.0.120.14, Serial0/3 valid adjacency via 10.0.120.10, Serial0/2, 0 dependencies traffic share 90 next hop 10.0.120.10, Serial0/2 valid adjacency via 10.0.120.6, Serial0/1, 0 dependencies traffic share 154 next hop 10.0.120.6, Serial0/1 valid adjacency 0 packets, 0 bytes switched through the prefix tmstats: external 0 packets, 0 bytes internal 0 packets, 0 bytes Load distribution: 0 1 2 3 0 2 3 0 2 3 0 3 0 3 0 0 (refcount 1) Hash 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 R11# OK Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Interface Serial0/0 Serial0/3 Serial0/2 Serial0/1 Serial0/0 Serial0/2 Serial0/1 Serial0/0 Serial0/2 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Serial0/1 Serial0/0 Serial0/0 Address point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point point2point Packets 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Pourparvenirrpartirletraficselonlamtriquedechaquelien,CEFfaitapparatreseptfoisloccurrenceS0/0,cinq foisloccurrenceS0/1,troisfoisloccurrenceS0/2etuneseulefoisloccurrenceS0/3.ObservezqueCEFalterneles diffrentes adjacences jusqu puisement du nombre doccurrences prvues. Cest ainsi que la table de hachage sachve toujours par plusieurs occurrences de la mme adjacence, celle correspondant au lien ayant le meilleur cot. Aveccesvaleurs,lelienleplusrapideabsorbe1,4foisplusdetraficquelelienS0/1,2,33foisplusdetraficquele lienS0/2et7foisplusdetraficquelelienS0/3,ratioscomparerauxratiosdemtriques1,55,2,66et4,88.Une dernirefois,ladministrateurvrifielarpartitiondutrafic: R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard bits 0.0.0.255 (484 matches) Standard IP access list 20
- 51 -
permit Standard permit Standard permit R11#
10.1.101.0, wildcard bits 0.0.0.255 (346 matches) IP access list 30 10.1.101.0, wildcard bits 0.0.0.255 (208 matches) IP access list 40 10.1.101.0, wildcard bits 0.0.0.255 (74 matches)
Unpeuplustard: R11#sh access-lists Standard IP access list 10 permit 10.1.101.0, wildcard Standard IP access list 20 permit 10.1.101.0, wildcard Standard IP access list 30 permit 10.1.101.0, wildcard Standard IP access list 40 permit 10.1.101.0, wildcard R11#
...etobserveavecplaisirquelesratiosprvussontrespects.
c.SynthsePartagedecharge
Les explications fournies ici vont videmment bien audel des attendus de la certification CCNA. Mais des conversations rgulires avec des professionnels en activit ont persuad lauteur que ce sujet mal connu posait frquemmentdesproblmes.Ilestsouhaitabledebienancrerlesnotionssuivantes:
G
Direquunprotocolederoutageestcapabledepartagedechargerappellesimplementsafacultplacer plusieursentrespourunemmedestinationdanssatablederoutage. Par dfaut, le nombre dentres maximal est fix 4, ladministrateur peut le porter 6 laide de la commandemaximumpathsenconfigurationderouteur. Cestenralitleprocessusdecommutationdontestquiplerouteurquiassurelarpartitiondecharge quandplusieursalternativesexistentpourunemmedestination. QuandleprocessusdecommutationCEFestactiv,ladministrateurpeutauchoix:
G
Laisser le partage rgl dans le mode par destination, cest le mode par dfaut. Ladministrateur privilgiedanscecaslesquencementdespaquets. Prfrerlepartagedanslemodeparpaquetparcequilsouhaiteunevritablerpartitiondutrafic.
Quand EIGRP place plusieurs alternatives cot ingal dans la table de routage, CEF coule le trafic au proratadesmtriquesdesdiffrentesalternatives.
- 52 -
ConfigurationEIGRP
a.Choixdusystmeautonomeetidentificateurdeprocessus
LacommanderoutereigrpfaitentrerenmodeconfigurationdunprocessusEIGRP.Sasyntaxeestlasuivante: Router(config)#router eigrp {autonomous-system-number* | virtual-instance-name} ...dontlesargumentssontlessuivants: autonomoussystemnumber CenumroestutilisparlerouteurEIGRPpourmarquer(tag)lesroutesquilplacedanssesmisesjour.Dela mme faon, le routeur EIGRP nexploitera une mise jour que si elle est marque avec ce numro. En final, le numrodASdoittreidentiquesurtouslesrouteursEIGRPdundomaineEIGRP,cestlaconditionpourquedeux routeursdirectementconnectspuissentdevenirvoisinsetparsuitepuissentpartagerlinformationderoutage. Curieusement, 32 bits sont prvus dans le format des paquets EIGRP pour transporter cette information, mais la commande router eigrp, au moins dans la version 12.4 de lIOS, impose que les numros soient compris dans lespace[165535].SiledomaineEIGRPeststrictementpriv,ladministrateurestabsolumentlibredechoisirun numroquelconque.SiledomaineestunvritableASappeltreannoncaurestedumondeviaBGP,alorsles numros dAS sont administrs par lIANA et on peut en trouver la liste sur le site http://www.iana.org/assignments/asnumbers/asnumbers.xml. ObservezsurcesitequelIANAaprvuunespacedenumrospouressaisoudocumentation: 6449664511 Reservedforuseindocumentationandsample code RFC5398 03/12/08
virtualinstancename LargumentfaitrfrenceuneconfigurationEIGRPnomme.Danscecas,lenomattribunaquuneportelocale. Nousnutiliseronspascetteformedelacommande. *CISCO parle de numro de systme autonome mais beaucoup dauteurs prfrent parler didentificateur de processus.
b.Participationdesinterfaces,lemasquegnrique
Enmodeconfigurationderouteur,lacommande networkestutilisepourinclurelesinterfacesdevantparticiperau protocole.Sasyntaxeestlasuivante: Router(config-router)#network ip-address [wildcard-mask] ...dontlesargumentssontlessuivants: ipaddress AdresseIPdunrseaudirectementconnect. wildcardmask Optionnel,masquegnrique. Parmisesinterfaces,lerouteurfaitparticiperauprotocoletouteinterfacedontladresseappartientaurseauou lun des rseaux dclars laide de la commande ou des commandes network. Le routeur utilise ensuite les interfaces qui rpondent ce critre pour tablir des relations de voisinage. Il ny a pas de limite au nombre de commandes network qui peuvent tre configures sur un routeur si bien quun administrateur peut trs lgitimemententrerautantdecommandesnetworkquilyadinterfacesdevantparticiperauprotocole,enspcifiant chaquecommandeladresseIPdelinterfaceconsidre.
- 1-
Exemples LadresseIPdelinterfaceF0/1est172.26.100.100/24.Cetteinterfacedoitparticiperauprotocole.
G
Choix1:ladministrateurpeutentrerlacommandenetwork172.26.0.0,soitladressedurseaumajeur.Il lefaitparcequedautresinterfacesdecerouteursontdirectementconnectesdautressousrseauxde ce rseau majeur et que ces interfaces doivent galement participer au protocole. Ainsi, une seule commandenetworkasuffipourinclurelensembledesinterfaces. Choix 2 : ladministrateur entre la commande network 172.26.100.100 0.0.0.0, soit ladresse exacte de linterfaceexprimelaidedumasquegnrique.Illefaitparcequedautresinterfacesdecerouteursont directement connectes dautressousrseaux du rseau majeur 172.26.0.0 mais que ces sousrseaux nedoiventpastreannoncsoudoiventltredansunautredomaineEIGRP,voiretreannoncsdansun domainegrparunautreprotocolederoutage.
Observezquelechoix1peuttresatisfaisantmaispeutaussinepasltre,quandladministrateurfaituneerreur enincluantuneinterfacequinedevraitpasltreouenomettantuneinterfacequiauraitdparticiperauprotocole. Alors que le choix 2 qui consiste entrer une commande network par interface est toujours correct et prsente lavantagedelasystmaticit. Le masque gnrique quant lui fait lobjet dunedescriptioncompltedanslechapitreGestiondetraficparliste daccs (ACL) de cet ouvrage. En premire approche, le masque gnrique (que CISCO dsigne par Wildcard , littralement joker) utilise une logique inverse. Quand un masque dsigne les bits quil faut retenir, le masque gnriqueditquelssontlesbitsquilfautignorer. Exemples
G
Lassociation172.26.100.00.0.0.255incluttouteslesadressesdurseau172.26.100.0/24. Lassociation172.26.120.00.0.0.3incluttouteslesadressesdurseau172.26.120.0/30. Lassociation172.26.120.00.0.0.7incluttouteslesadressesdurseau172.26.120.0/29.
Laralitestunpeupluscomplexemaispourcechapitre,ilsuffiradeconsidrerquelemasquegnriqueestun masqueinvers.
2.Atelier:MiseenuvreduneconfigurationEIGRP
Latopologieproposeestlasuivante:
a.Tche1:RalisationdelatopologiesousGNS3
I
NousvoussupposonsdjfamilierdelutilisationdeGNS3.Danslecascontraire,reportezvouslatelier"Prise enmaindelinterfaceILC". CrezlatopologiesousGNS3enprenantbiensoindecocherlescases Sauverlesnvramsandautresdisques (recommand)etExporterlesfichiersdeconfigurationdesrouteurs:
Placez les six routeurs. La valeur IDLE PC des routeurs a dj t calcule, inutile dy revenir. Utilisez la plate forme2600,lauteuraralislensembledelatopologieavecdesrouteurs2621,lIOStaitlaversionc2600ik9s mz.12240a.binquiprsentelavantagedesesuffirede48Modemmoirevive.AjoutezlacarteWIC1TouWIC2T selonquelerouteurestconnectuneoudeuxlignessrie.PlacezlescinqPCNuageetconfigurezlesafin que chacun deux soit connect ladaptateur rseau convenable et donc au concentrateur VMnet convenable. tablissezlesliensLANetWAN.Nommezlesdiffrentsquipementsafindereflterlatopologiepropose. DmarrezR100etselonunemthodevotreconvenance(revoirsincessairelechapitreTchesdeconfiguration desrouteurs),injectezylaconfigurationfournieentlchargementsurlesiteENI(fichierAtelier8a_R100.txt). DmarrezR200etselonunemthodevotreconvenance(revoirsincessairelechapitreTchesdeconfiguration desrouteurs),injectezylaconfigurationfournieentlchargementsurlesiteENI(fichierAtelier8a_R200.txt). OuvrezunesecondeinstancedeVMwareetavecelle,crezunequipedequatrePCPC101,PC102,PC201et PC202.RutilisezlesPCcrslorsdesateliersprcdents(PC11,PC12,PC21etPC22).Pourmmoire,PC101est obtenu par clonage sans lien (option create a full clone) de la machine Ubuntu fournie sur le site ENI. PC102, PC201etPC202sontobtenusparcloneaveclien(optionlinkedclone)dePC101.AjoutezleserveurVMSRV01 lquipe.Nommezcettequipe5PC,faitesensortequeladaptateurrseauvirtueldechacunedesmachinessoit connect au concentrateur VMnet convenable, respectivement VMnet1 VMnet4 ainsi que VMnet8. Dmarrez totalementoupartiellementlquipepuisrglezchacunedescinqconfigurationsIP.Ilestrarequelonaitbesoin decesPCensemble.SuspendezlesetnesortezunPCdesonsommeilquelorsquelactivitledemande.
b.Tche2:Activerlesinterfacesdontlinterfacedeloopback
I
RalisezlaconfigurationdesinterfacesdeR101delafaonsuivante:
Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R101 R101(config)#line con 0 R101(config-line)#logging synchronous R101(config-line)#exec-timeout 0 R101(config-line)#exit R101(config)#int f0/0 R101(config-if)#ip address 172.26.101.1 255.255.255.128 R101(config-if)#no shutdown R101(config-if)#int f0/1 R101(config-if)#ip address 172.26.100.101 255.255.255.0 R101(config-if)#no shutdown
- 3-
R101(config-if)#int s0/0 R101(config-if)#ip address 172.26.50.1 255.255.255.252 R101(config-if)#no shutdown R101(config-if)#bandwidth 2500 R101(config-if)#int loopback 0 R101(config-if)#ip address 192.168.100.101 255.255.255.255 R101(config-if)#^Z R101# Sauvegardezdefaonrgulire:
R101#wr Building configuration... FaitesuivrechaquesauvegardedanslinterfaceILCdunesauvegardedelatopologiesousGNS3:
Enutilisant,lesadressesappropries,ralisezdefaonidentiquelesconfigurationsdeR102R104. Vrifiezltatdesinterfaces.Parexemple,surR101:
R101#sh ip int br Interface Protocol FastEthernet0/0 Serial0/0 FastEthernet0/1 Loopback0
IP-Address 172.26.101.1 172.26.50.1 172.26.100.101 192.168.100.101
OK? Method Status YES YES YES YES NVRAM NVRAM NVRAM manual up up up up up up up up
c.Tche3:ActiverleprocessusEIGRP
I
ConfigurezsurR101unprocessusderoutageEIGRPenaffectantaunumrodASlapartienumriquedunomdu routeur:
R101#conf t R101(config)#router eigrp 101 R101(config-router)# Hormislinterfacedeloopback,touteslesinterfacesdurouteurR101appartiennentaurseaumajeur172.26.0.0. Faiteslesparticiperauprotocolelaideduneseulecommandenetwork:
R101(config-router)#network 172.26.0.0 R101(config-router)# VrifiezleprocessusderoutageexcutparR101:
R101#sh ip protocols
Routing Protocol is "eigrp 101" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates Default networks accepted from incoming updates EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100 EIGRP maximum metric variance 1 Redistributing: eigrp 101 Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 172.26.0.0 Routing Information Sources: Gateway Distance Last Update Distance: internal 90 external 170 R101# Observez notamment la plage dadresses couverte par le processus sous la section Routing for Networks : (compltez). Observez les distances administratives attribues par EIGRP selon quune route est interne ou externe : (compltez). Attention au contexte, R100 et R200 sont fonctionnels avec la configuration propose. Vrifiez le contenu de la tablederoutagedeR101:
R101#sh ip route ......... Gateway of last resort is not set 172.26.0.0/16 is variably subnetted, 3 subnets, 3 masks 172.26.50.0/30 is directly connected, Serial0/0 172.26.100.0/24 is directly connected, FastEthernet0/1 172.26.101.0/25 is directly connected, FastEthernet0/0 192.168.100.0/32 is subnetted, 1 subnets 192.168.100.101 is directly connected, Loopback0
C C C C R101#
Sauf erreur, la table de routage de R101 ne devrait contenir que les rseaux directement connects. En effet, le systmeautonome101necomprendquelerouteurR101.Pardfaut,unsystmeautonomeestenquelquesorte tanche . Si ladministrateur souhaite lui faire exploiter des informations de route issues dautres AS, il doit configurer une redistribution de routes. Il se trouve que notre topologie de test a t divise en deux domaines EIGRP(deuxAS)100et200.R200excuteleprocessusEIGRP200.R100excutelesdeuxprocessusEIGRP100et 200.
OnseproposedoncdeplacerR101etR102danslAS100puisdeplacerR201etR202danslAS200.
I
laidedunecommandenoroutereigrp101,supprimezleprocessuscorrespondantsurlerouteurR101:
- 5-
R101#conf t Enter configuration commands, one per line. R101(config)#no router eigrp 101
End with CNTL/Z.
CrezsurR101unprocessusEIGRPaveclenumrodAS100sansomettrelacommandenetworkadquate:
R101(config)#router eigrp 100 R101(config-router)#network 172.26.0.0 R101(config-router)#^Z R101# RptezcetteconfigurationsurR102. RptezcetteconfigurationsurR201etR202maisenleurfaisantpartagerlinformationderoutagedelAS200. ParexemplesurR201:
R201(config)#router eigrp 200 R201(config-router)#network 172.26.0.0 R201(config-router)#^Z R201# Immdiatement aprs avoir cr un processus EIGRP et inclus des interfaces, observez ltablissement des relationsdevoisinageduprotocole.ParexemplesurR101:
00:27:04:%DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.26.100.102 (FastEthernet0/1) is up: new adjacency 00:27:05: %DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.26.50.2 (Serial0/0) is up: new adjacency 00:27:05: %DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.26.100.100 (FastEthernet0/1) is up: new adjacency Ilesttempsdobservernouveaulestablesderoutage.SurR101:
route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area last resort is not set
172.26.0.0/16 is variably subnetted, 9 subnets, 4 masks D EX 172.26.202.0/25 [170/1159680] via 172.26.100.100, 00:00:50, FastEthernet0/1 D EX 172.26.200.0/24 [170/1157120] via 172.26.100.100, 00:00:50, FastEthernet0/1 D EX 172.26.201.0/25 [170/1159680] via 172.26.100.100, 00:00:50, FastEthernet0/1 C 172.26.50.0/30 is directly connected, Serial0/0 D EX 172.26.60.0/30 [170/2053120] via 172.26.100.100, 00:00:50, FastEthernet0/1 D 172.26.120.0/29 [90/1154560] via 172.26.100.100, 00:00:50, FastEthernet0/1 D 172.26.102.0/25 [90/30720] via 172.26.100.102, 00:00:50, FastEthernet0/1 C 172.26.100.0/24 is directly connected, FastEthernet0/1 C 172.26.101.0/25 is directly connected, FastEthernet0/0 192.168.200.0/32 is subnetted, 1 subnets D EX 192.168.200.200 [170/1282560] via 172.26.100.100, 00:00:50, FastEthernet0/1 192.168.100.0/32 is subnetted, 2 subnets D 192.168.100.100 [90/156160] via 172.26.100.100, 00:00:50, FastEthernet0/1 C 192.168.100.101 is directly connected, Loopback0
- 6-
R101# Observezlesrseauxnondirectementconnects,leprotocolederoutagedontilssontissus.LalettreDrappellele protocole EIGRP (D pour lalgorithme DUAL). La lettre D accompagne de lacronyme EX rappelle que la route est externelAS.Danslecasprsent,noussommesplacssurunrouteurdelAS100etobservonsdesroutesdelAS 200. Observezlesdistancesadministrativesassociesauxroutes,170danslecasdunerouteexternelASapprisepar EIGRP,90danslecasdunerouteinternelAS. ObservezlaprsencedanslatabledeladressedeloopbackdurouteurR101maislabsencedecellesdesrouteurs R102, R201 et R202. En revanche, celle des routeurs fdrateurs R100 et R200 apparat. Que diable avonsnous oubli?Lacommandenetworkidoinebiensrquiferaitparticiperlinterfacedeloopbackauprotocole!
I
SurR101etR102,ajoutezlacommandenetwork192.168.100.0enconfigurationderouteurEIGRP100:
R101#conf t R101(config)#router eigrp 100 R101(config-router)#network 192.168.100.0 R101(config-router)# R101(config-router)#^Z R101# SurR201etR202,ajoutezlacommandenetwork192.168.200.0enconfigurationderouteurEIGRP200:
R201#conf t R201(config)#router eigrp 200 R201(config-router)#network 192.168.200.0 R201(config-router)# R201(config-router)#^Z R201# Tentez un ping depuis R101 vers ladresse de loopback de lun des routeurs R102 ou R201. Estce que le ping aboutit?PeuprobablecarunenouvelleobservationdelatablederoutagedeR101montrequilnexistepasde routevers192.168.100.102.Enrevanche,ilexisteuneroutemaisuneseuleverslerseaumajeur192.168.200.0 (extrait):
R101#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 192.168.200.0/24 is variably subnetted, 2 subnets, 2 masks D EX 192.168.200.200/32 [170/1282560] via 172.26.100.100, 00:00:21, FastEthernet0/1 D EX 192.168.200.0/24 [170/1285120] via 172.26.100.100, 00:00:21, FastEthernet0/1 192.168.100.0/24 is variably subnetted, 3 subnets, 2 masks D 192.168.100.0/24 is a summary, 00:06:26, Null0 D 192.168.100.100/32 [90/156160] via 172.26.100.100, 00:00:22, FastEthernet0/1 C 192.168.100.101/32 is directly connected, Loopback0 R101# cestade,ilfautsesouvenirducomportementpardfautdEIGRPquiagrgeautomatiquementauxfrontiresdu rseaumajeur.Ainsi,chacundesdeuxrouteursR101etR102annoncelerseaumajeur192.168.100.0.Delamme faon, chacun des deux routeurs R201 et R202 annonce le rseau majeur 192.168.200.0. Rendre la vue ces routeurs et leur donner le moyen dajouter des routes vers les adresses de loopback implique de dsactiver lagrgationautomatique.
I
DsactivezlagrgationautomatiquesurchacundesquatrerouteursR101,R102,R201etR202.Parexemple,sur R101:
R101#conf t Enter configuration commands, one per line. R101(config)#router eigrp 100 R101(config-router)#no auto-summary R101(config-router)#^Z
End with CNTL/Z.
- 7-
R101# Vrifiezlaconnectivit:
R101#conf t R101(config)#ip host R102 192.168.100.102 R101(config)#ip host R201 192.168.200.201 R101(config)#ip host R202 192.168.200.202 R101(config)#^Z R101#ping R102 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.100.102, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/57/188 ms R101#ping R201 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.201, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/85/100 ms Vrifiez une dernire fois les tables de routage et observez que cette fois, les adresses de loopback sont bien visibles(extrait):
R101#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... 192.168.200.0/32 is subnetted, 3 subnets D EX 192.168.200.200 [170/1282560] via 172.26.100.100, 00:01:51, FastEthernet0/1 D EX 192.168.200.201 [170/1285120] via 172.26.100.100, 00:00:50, FastEthernet0/1 D EX 192.168.200.202 [170/1285120] via 172.26.100.100, 00:00:22, FastEthernet0/1 192.168.100.0/32 is subnetted, 3 subnets D 192.168.100.100 [90/156160] via 172.26.100.100, 00:01:51, FastEthernet0/1 C 192.168.100.101 is directly connected, Loopback0 D 192.168.100.102 [90/156160] via 172.26.100.102, 00:01:51, FastEthernet0/1 R101#
d.Tche4:Agirsurlabandepassantedeslienssrie
I
Si cela navait pas dj t fait, tablissez la bande passante de linterface S0/0 2500 Kbps sur chacun des quatrerouteursR101,R102,R201etR202.ParexemplesurR101:
R101#conf t R101(config)#int s0/0 R101(config-if)#bandwidth 2500 R101(config-if)#^Z R101# Collectezlinformationutileaucalculdemtriquelaidedecommandesshowinterface.SurR101:
R101#sh int s0/0 Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Internet address is 172.26.50.1/30 MTU 1500 bytes, BW 2500 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 .........
- 8-
R101#sh int f0/0 FastEthernet0/0 is up, line protocol is up Hardware is AmdFE, address is c804.0448.0000 (bia c804.0448.0000) Internet address is 172.26.101.1/25 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 ......... R101# Sur R101, observez le cot de la route vers LAN_12 (172.26.102.0/25) laidedune commande show ip route (Extrait): route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area last resort is not set
172.26.0.0/16 is variably subnetted, 4 subnets, 3 masks 172.26.50.0/30 is directly connected, Serial0/0 172.26.102.0/25 [90/30720] via 172.26.100.102, 00:00:02, FastEthernet0/1 C 172.26.100.0/24 is directly connected, FastEthernet0/1 C 172.26.101.0/25 is directly connected, FastEthernet0/0 ......... R101# C D CommentR101estilparvenucersultat?Condensonssescalculsdansletableausuivant: BW(Kbps) IntF0/0deR102 IntF0/1deR101 Retenuparlecalcul IGRP 100000 100000 Valeurminidelacolonne soit: 100000 DLY(us) 100 100 Sommedesdlaisdela colonnesoit: 200 MtriqueIGRPrsultante:
MtriqueEIGRP
256x120=30720
LerouteurR102connatlerseau172.26.102.0/25,cerseauluiestdirectementconnectvialinterfaceF0/0.R102 annonce par consquent les valeurs BW 100 000 et DLY 100. R101 reoit cette annonce sur son interface F0/1 et calculelecotdelarouteenfaisantintervenirlabandepassanteetledlaidelinterfacequireoit.
I
ProvoquezlepassageltatdowndelinterfaceF0/1durouteurR101:
R101#conf t Enter configuration commands, one per line. R101(config)#int f0/1 R101(config-if)#shutdown R101(config-if)#^Z R101#
End with CNTL/Z.
ObservezlenouveaucotdelarouteversLAN_12(Extrait):
route connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area last resort is not set
- 9-
172.26.0.0/16 is variably subnetted, 4 subnets, 3 masks C 172.26.50.0/30 is directly connected, Serial0/0 D 172.26.102.0/25 [90/1538560] via 172.26.50.2, 00:00:39, Serial0/0 D 172.26.100.0/24 [90/1538560] via 172.26.50.2, 00:00:39, Serial0/0 C 172.26.101.0/25 is directly connected, FastEthernet0/0 ......... CommentR101estilparvenucersultat?Condensonssescalculsdansletableausuivant: BW(Kbps) IntF0/0deR102 IntS0/0deR101 100000 2500 DLY(s) 100 20000 Sommedesdlaisdela colonnesoit: 20100 MtriqueIGRPrsultante:
Retenuparlecalcul Valeurminidelacolonne IGRP soit: 2500
MtriqueEIGRP
256x6010=1538560
LIOS est capable de dterminer la bande passante dune interface LAN. En revanche, cest ladministrateurquil revientdeconfigurerlavraiebandepassantedesliensWAN.Silnelefaitpas,lIOSadoptelabandepassantepar dfautquiestcelledunlienT1(USoblige)soit1544Kbps.LamtriquecompositedEIGRPestlundespointsforts duprotocolemaispourquellefournisseleserviceattendu,ilfautenquelquesortelalimenter.
e.Tche5:ObserverlabasededonnestopologiquedEIGRP
I
Mettez profit la commande show ip eigrp neighbors pour afficher les relations de voisinage tablies. Par exemple,surR101:
R101#sh ip eigrp neighbors IP-EIGRP neighbors for process 100 H Address Interface 1 172.26.50.2 2 172.26.100.102 0 172.26.100.100 R101# Se0/0 Fa0/1 Fa0/1
RTO
Q Cnt 408 0 576 0 546 0
Le rsultat de cette commande doit reflter la topologie du rseau. Dans le cas prsent, on apprend que R101 a tablideuxrelationsdevoisinageavecR102etuneavecR100.
I
Affichez le contenu de la base de donnes topologique laide dune commande show ip eigrp topology. Par exemple,surR101(Extrait,lesadressesloopbacknesontpasreprsentes):
R101#sh ip eigrp topology IP-EIGRP Topology Table for AS(100)/ID(192.168.100.101) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status ......... P 172.26.202.0/25, 1 successors, FD is 1159680, tag is 200 via 172.26.100.100 (1159680/1157120), FastEthernet0/1 P 172.26.200.0/24, 1 successors, FD is 1157120, tag is 200 via 172.26.100.100 (1157120/1154560), FastEthernet0/1 P 172.26.201.0/25, 1 successors, FD is 1159680, tag is 200 via 172.26.100.100 (1159680/1157120), FastEthernet0/1 P 172.26.50.0/30, 1 successors, FD is 1536000 via Connected, Serial0/0 P 172.26.60.0/30, 1 successors, FD is 2053120, tag is 200
- 10 -
via 172.26.100.100 (2053120/2050560), FastEthernet0/1 P 172.26.120.0/29, 1 successors, FD is 1154560 via 172.26.100.100 (1154560/1152000), FastEthernet0/1 P 172.26.102.0/25, 1 successors, FD is 30720 via 172.26.100.102 (30720/28160), FastEthernet0/1 via 172.26.50.2 (1538560/28160), Serial0/0 P 172.26.100.0/24, 1 successors, FD is 28160 via Connected, FastEthernet0/1 P 172.26.101.0/25, 1 successors, FD is 28160 via Connected, FastEthernet0/0 R101# Observez par exemple les donnes qui concernent la route vers LAN_12. EIGRP indique une distance faisable de 30720(FDis30720).Cestdoncquelaroutechoisieestlaroutevia172.26.100.102.Lerouteurannonant,dans le cas prsent R102, a un cot de 28160. EIGRP a pu placer dans sa base une route alternative (le plan B) qui respectelecritredefaisabilit,cestdiredontlecotdurouteurannonantestinfrieurladistancefaisableen cours(28160<30720).
f.Tche6:BonusActivationdurelaisDHCP
Objectif LadministrateursouhaitemettreenplaceunserveurDHCPuniquequidistribueraitdesadressessurlesdiffrents rseauxLAN_11,LAN_12,LAN_21etLAN_22. Commentaire LeserviceDHCPestdcritdefaonprcisedanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection CertificationsauxEditionsENI.UnserveurDHCP(DynamicHostConfigurationProtocol)peutfournirdesadressesIP desclientssitussurdessousrseauxdiffrentslaconditionquelerouteurquisparechaquesousrseaudu serveurpuissefonctionnerentantquagentrelais.CettefonctionnalitestdcritedansleRFC1542.Lagentrelais conformeauRFCrelaielesmessagesDHCPsurlectserveurmmequandilsagitdepaquetsdiffuss.Avantde relayerlemessagedunclientDHCP,lagentexaminelechampgiaddr(GatewayIPAddress)dumessage.Sicechamp porteladresse0.0.0.0,lagentrelaislecomplteavecladresseIPdurouteur,enralitladresseIPdelinterfacedu routeurquiareularequte. Lorsque le serveur DHCP reoit le message, il examine ce champ devenu champ adresse IP du relais afin de dterminersiouiounonildisposedunpooldadressesIP(unetendueDHCPdanslevocabulaireMicrosoft)pourle sousrseauenquestion. LeserveurDHCPdoitdisposerdautantdepoolsdadressesquilyadesousrseauxdesservir. LorsquilreoitlemessageDHCPDISCOVER,leserveurDHCPenvoieunDHCPOFFERdirectementlagentderelais identifidanslechamp giaddrpuislagenttransmetlemessageauclientDHCP.cestade,ladresseIPduclientest toujours inconnue, lagent relais doit donc diffuser le message DHCPOFFER sur le sousrseau. La squence se poursuit,unmessageDHCPREQUESTestrelayduclientauserveuretunmessageDHCPACKestrelayduserveur auclient,conformmentauRFC1542. tape1:miseenplaceduserveurDHCP Silelecteursenesttenuauxateliersproposs,ildisposecetinstantdunemachinevirtuelleVMSRV01quiexcute lesystmedexploitationWindows2000Server.Onsesouvientquecesystmeatchoisiparcequiloffretousles servicesrseautoutenrestantcompact(selonlescritresactuels).
I
SurVMSRV01,assurezvousqueladaptateurrseauestconnectauVMnetconvenable(VMnet8)afindassurerla connectivitaveclerseauLAN_100denotretopologie.RglezlaconfigurationIP:Adresse172.26.100.254/24, passerelle172.26.100.100. Si ce nest pas dj fait, installez le service DHCP : Panneau de configuration Ajout/Suppression de programmesAjouter/SupprimerdescomposantsWindows Servicesdemiseenrseau/Dtails,cochezla caseProtocoleDHCP. OuvrezlaconsoledadministrationduserviceDHCP: MenuDmarrerProgrammesOutilsdadministration DHCP. Crez une tendue pour le sousrseau LAN_11, nommez cette tendue Net101, elle comprend les adresses
- 11 -
172.26.101.2 172.26.101.14, masque /25. Configurez loption dtendue Routeur afin que le client DHCP obtiennegalementsonadressedepasserelle.
I
RptezcesoprationsafindecrertroisautrestenduespourlesrseauxLAN_12,LAN_21etLAN_22.
Lafiguresuivanteillustreenpartiecesoprations:
tape2:activationdurelaisDHCP
I
En configuration dinterface, la commande ip helperaddress active le relais DHCP. Sur linterface F0/0 de R101, soitlinterfaceconnecteauxclientsDHCPdurseauLAN_11,activezlerelais:
R101(config)#int f0/0 R101(config-if)#ip help R101(config-if)#ip helper-address 172.26.100.254 R101(config-if)#^Z R101# RptezloprationpourlesinterfacesF0/0destroisrouteursR102,R201etR202.
tape3:activationduclientetrecettedelasolution
I
Sur chacune des machines virtuelles clientes, remplacez la configuration IP statique par une configuration dynamique.Silesmachinessontcellesprconises(Ubuntu),laprocdureestdcritedanslechapitreAnnexes. Pourmmoire: Configurezlinterfacerseau(motdepassesunrise):
$ sudonano /etc/network/interfaces ActivezleclientDHCP(remplacezeth0parethx,votreeth):
- 12 -
auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp Quittezpar[Ctrl]X,acceptezlelieuetlenomdesauvegardeentapantY,puisconfirmezparlatouche[Entre]. Provoquezunredmarragedurseauafindeprendreencomptelamodificationdelaconfiguration:
$ sudo /etc/init.d/networking restart LafiguresuivanteillustreenpartiecesoprationssurlamachinePC102denotretopologie:
VosclientsontobtenuleurconfigurationIP.Bravo.Cetatelierestmaintenanttermin.
a.Authentification
EIGRP peut authentifier ses messages et cest le moyen pour ladministrateur de sassurer que les routeurs naccepteront que les messages issus de leurs pairs, cestdire les messages issus de routeurs partageant la mme cl, dans le domaine dont il a la charge. Ainsi, un routeur ou toute source dinformation de routage non approuve ne risque pas de polluer les tables du domaine EIGRP avec de linformation illicite, ce quelle que soit lintrusion,accidentelleoumalveillante. Cestlatelier7Bquiaservidesupportpourillustrerlamiseen uvredelauthentification.Lacrationdeclsadj tdcrite,mercidevousreporterlasectionActivationdelauthentificationduchapitreProtocolesderoutage vecteurdedistanceRIPv2.LensembledeclsTuringatcrsurchacundesrouteursconcerns,pourcetatelier nousnousensommestenusauthentifierleschangesentreRTR7CetRTR7A: RTR7A#sh run Building configuration... ......... key chain Turing key 1 key-string couronne accept-lifetime 05:00:00 Jan 1 2010 duration 90000 send-lifetime 05:00:00 Jan 1 2010 duration 90000 key 2 key-string sicie
- 13 -
accept-lifetime 05:00:00 Jan send-lifetime 05:00:00 Jan 2 key 3 key-string cepet accept-lifetime 05:00:00 Feb send-lifetime 05:00:00 Feb 2 call rsvp-sync !
2 2010 06:00:00 Feb 2 2010 2010 06:00:00 Feb 2 2010
2 2010 infinite 2010 infinite
Il reste appliquer lauthentification aux interfaces concernes de chacun des routeurs. La commande ip authenticationmodeeigrpenconfigurationdinterfacespcifieletypedauthentificationmettreen uvre: Router(config-if)#ip authentication mode eigrp as-number md5 ...maisaumomentoceslignessontcrites,leseulmodeprvuestMD5. Toujours en configuration dinterface, une seconde commande est ncessaire pour activer lauthentification proprementdite: Router(config-if)#ip authentication key-chain eigrp as-number key-chain Appliquesaucasprsent: ......... interface Serial0/0 ip address 192.168.0.250 255.255.255.252 ip authentication mode eigrp 64501 md5 ip authentication key-chain eigrp 64501 Turing ! ......... RTR7A# Ladministrateursouhaiteraprobablementsuperviserlauthentification: RTR7A#show key chain Key-chain Turing: key 1 -- text "couronne" accept lifetime (05:00:00 UTC Jan send lifetime (05:00:00 UTC Jan 1 key 2 -- text "sicie" accept lifetime (05:00:00 UTC Jan send lifetime (05:00:00 UTC Jan 2 key 3 -- text "cepet" accept lifetime (05:00:00 UTC Feb send lifetime (05:00:00 UTC Feb 2 RTR7A#
1 2010) - (90000 seconds) 2010) - (90000 seconds) 2 2010) - (06:00:00 UTC Feb 2 2010) 2010) - (06:00:00 UTC Feb 2 2010) 2 2010) - (infinite) [valid now] 2010) - (infinite) [valid now]
Unecommandedebugestgalementinstructivemaisvidemmentplusdangereuse: RTR7A#debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) 00:12:55: EIGRP: received packet with MD5 authentication, key id = 3 00:12:55: EIGRP: Received HELLO on Serial0/0 nbr 192.168.0.249 00:12:55: AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0 RTR7A# Ondcouvreainsi,cestuneconfirmation,queparmilesclsquicomposentlensembledecls,laclenserviceest lacln3.
b.RouteurEIGRPdebout
Considrezlatopologieciaprs:
- 14 -
Ladministrateurenchargedecerseauaprissoindassurerlaredondancedesliensquirelientlesdeuxsites.Mais le mieux tant toujours lennemidubien,ladministrateur sest ainsi cr un certain nombre de problmes quilne souponnait pas au dbut de sa rflexion. Imaginez par exemple que le lien qui relie RTR8A au commutateur de LAN_NANTES fasse dfaut. Cest entendu, le trafic intersites bascule vers RTR8B. Mais quadvientil du trafic entre LAN_VERTOUetLAN_LUCE?Vousdites?Interrompu?Netransiteraitilpaspluttparlesquatrerouteurs?Hlas oui et il est peu probable que les liens WAN puissent accepter ce trafic et mme sils le pouvaient, ce serait probablementuneaberrationconomique(Untraficlocalquieffectueunallerretourparunsitedistant!)Deplus,la bandepassanteconsommeleseraaudtrimentdutraficutileintersites. Alors bien sr, on peut imaginer moult solutions comme par exemple ajouter de la redondance entre les deux routeursdusige,sousformedeliensEthernetsupplmentaires.MaispuisquEIGRPatchoisisurcettetopologie, peuttrepeutilapporterunesolutionpeudefrais,justeleprixdunpeudeconfiguration. Questce qui caractrise le rseau de la succursale Rennes ? Cest un rseau dextrmit. Autrement dit, les paquetsquiarriventsurlerseaudelasuccursaleluisontdestins.Pardfinition,unrouteurdextrmitnepeut queremettrelespaquetsaurseaudedestination.Ilestdoncinutiledelinterrogersurlafaondefaireprogresser despaquetscommeonleferaitsurunrouteurdetransit. EIGRPestcapablededistinguerunrouteurdextrmitetunrouteurdetransit.Lafonctionnalitcorrespondante, diteEIGRPStubRouter,atintroduitedanslaversion12.0(7)TdelIOS.Unrouteurconfigurcommerouteur dextrmit ou routeur de bout utilise galement des messages Hello pour tablir puis entretenir ses relations de voisinage.MaiscesmessagesHellosontunpeudiffrentsetintgrentuntripletTLVsupplmentaire,leTLV Stub , quipermetaurouteurdeseproclamerrouteurdebout. Deplus,unrouteurdeboutpeutnannoncerquesaconnaissancedecertainescatgoriesderoutes,selonlechoix de ladministrateur. La commande permettant de faire dun routeur un routeur de bout est eigrp stub en configurationderouteur.Sasyntaxeestlasuivante: Router(config-router)#eigrp stub [receive-only | connected | static | summary | redestributed] ...dontlesargumentssontlessuivants: receiveonly Optionnel,faitdecerouteurdeboutEIGRPunrouteursilencieux(analoguelhtesilencieuxdeRIP). connected Optionnel,nannoncequelesroutesdirectementconnectes. static
- 15 -
Optionnel,nannoncequelesroutesdirectementstatiques. summary Optionnel,nannoncequelesroutesagrges. redistributed Optionnel,nannoncequelesroutesissuesdautresprotocolesderoutage,parexempleOSPF. La commande eigrp stub ne doit tre entre que sur les routeurs de bout (que les documentations anglaises dsignentpar Spoke).Le routeur Hub (unrouteurdusitecentralconnectplusieursrouteurs Spoke) reconnat les routeurs de bout grce leurs messages Hello particuliers et adapte son comportement en consquence. UnrouteurHubninterrogepasunrouteurdebout! Autrementdit,unrouteurdeboutneparticipepasauxprocduresdecalculdiffus. Dansnotrecontexte,ilrestefairedeRTR8CetRTR8Ddeuxrouteursdebout.Undernieravertissementaulecteur: ilesttrsfacilederendreleroutageinoprantdansunetopologieavecrouteursdebout.Ilsuffitdajouterlemot clreceiveonlylacommande eigrpstub.LerouteurnannonceplusrienetdonclerouteurHubnapprend paslerseaudelasuccursale.Ilsemblequecepigesoitfrquentdanslesconfigurationsproposeslorsdestests decertification.
c.RoutesSIA
LesroutesSIA(StuckInActive,littralementcoincedansltatactif)onttvoquesdanslasectionddie DUAL.Pourmmoire,leproblmesurvientquanduneprocduredecalculdiffusestentrepriseetdoncquelaroute concerne est passe ltatactif.Chaquerouteurinterrogetquinepeutrpondreinterrogesesvoisinsson tour,laprocdurestendprogressivementsurlensembledurseau. Onsentconfusmentquelaprobabilitpourquunequestionrestesansrponseaugmentedelammefaonquele diamtredurseau.Limportantnestpasseulementquelarponsearrivemaisquellearrivedanslestemps.Une rponse qui arrive hors dlai nest pas ncessairement cause par un dysfonctionnement, le chemin parcourir aller et retour tait simplement trop long et le nombre de routeurs rencontrs sur ce chemin trop important. Certains routeurs, peuttre congestionns, ont tard rpondre ou mettre leurs propres requtes. Lun des lienstransitepeuttreparuneliaisonsatellitaire,cesliaisonspeuventoffrirdesdbitsimportantsmaisjamaisde courtsdlais. Aumoinsjusqulaversion12.2delIOS,laprotectionvisvisdequestionsquirestentsansrponsepasseparle temporisateurderouteactive.Lafiguresuivantetentedersumerlachronologiedesvnements:
Lachronologienormaleestlasuivante(tiquettes1et2delillustration):
G
R1 perd la route 10.1.1.0/24. La phase locale de rvaluation na pas donn de successeur faisable, R1 marquelarouteactiveetentameuneprocduredecalculdiffus.R1interrogechacundesesvoisins(R2)et armedanslemmetempscetemporisateurRouteactive,autempsinitialde3minutes.
- 16 -
R2reoitlarequtedeR1etentameunephaselocaledervaluation.Autermedecettephase,R2napas trouv de successeur faisable, marque la route active, interroge tous ses voisins (R3) et arme un temporisateurderouteactive. R3 reoit la requte de R2, examine sa table de topologie sans trouver de successeur faisable et na pas dautrevoisininterroger.R3supprimelaroutedesesproprestablesetrpondlarequtedeR2. R2reoitlarponsedeR3etnattendplusdautrerponse.R2supprimelaroutedesesproprestableset rpondlarequtedeR1. R1reoitlarponsedeR2etnattendpasdautrerponse.R1supprimelaroutedesestables.
Letoutsestachevenmoinsde3minutes,letemporisateurderouteactivenapastsollicit.Lecasdcritpar ltiquette2delillustrationestmoinsfavorable:R2nereoitjamaislarponsedeR3!
G
LetemporisateurderouteactivesurR1continuededcompterpendantqueR2etR3tententderpondre laquestionquileuratpose. Siletemporisateurexpireavantquetouteslesrequtesnaientreuleursrponses,larouteestdclare SIA.LarelationdevoisinagequilieR1R2estsupprime.
ReproduirecegenrededsagrmentdansunetopologiesimulesousGNS3nestguredifficile.Ilsuffitdabaisser labandepassantedesliensunevaleurridiculementfaible(onpeutdescendre1Kbps)puisdelimiterlabande passanteoctroyeEIGRPuneparttoutaussiridicule,onpeutlabaisserde50%,lavaleurpardfaut,1%.En procdantainsisurlatopologiedelatelier7b(quiaserviillustrerlasectionddielagrgation),voicilersultat dunerequtemanantdurouteurRTR7A,destinesonvoisinRTR7Eetnonsatisfaite: RTR7A#sh ip eigrp topology active IP-EIGRP Topology Table for AS(64501)/ID(192.168.0.250) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status A 172.16.0.128/26, 0 successors, FD is 40514560, q 1 replies, active 00:01:33, query-origin: Local origin, retries(1) via 192.168.0.254 (40514560/28160), Serial0/1 via 192.168.0.249 (Infinity/Infinity), rs, q, Serial0/0, serno 64,anchored ObservezlalettreAgauchedelacapturequiidentifieunerouteactive,lecompteurquirappelleque1minute et33secondessesontcoulesdepuislepassageltatactif,ledrapeaurquiindiquequunequestionpose estencoresansrponse. Une fois les 3 minutes du temporisateur de route active coules, le processus SYSLOG met deux messages davertissementdontundeniveau3(Errorcondition): RTR7A#sh ip eigrp topology active IP-EIGRP Topology Table for AS(64501)/ID(192.168.0.250) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status A 172.16.0.128/26, 0 successors, FD is 40514560 1 replies, active 00:03:02, query-origin: Local origin, retries(1) via 192.168.0.254 (40514560/28160), Serial0/1 via 192.168.0.249 (Infinity/Infinity), rs, Serial0/0, serno 64 RTR7A# 00:46:13: %DUAL-3-SIA: Route 172.16.0.128/26 stuck-in-active state in IP-EIGRP 64501. Cleaning up 00:46:13: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 192.168.0.249 (Serial0/0) is down: stuck in active Ladministrateurconfrontceproblmepeuttenterdelersoudreenaugmentantletempsinitialdutemporisateur derouteactive,cequisoprelaidedelacommande timersactivetimeenconfigurationdinterface.Lasyntaxe decettecommandeestlasuivante: Router(config-if)#timers active-time [time-limit | disabled]
- 17 -
...dontlesargumentssont: timelimit TempsdattentedesrponsesauxrequtesdEIGRP,exprimenminutesdanslespace[14294967295]. disabled Dsactive le temporisateur, la consquence est quune route qui passe ltat actif peut le rester indfiniment si touteslesrponsesnontpastobtenues. Cette solution ne peut tre quun pisaller et va contribuer dgrader le temps de convergence dEIGRP. Le plus souvent, ladministrateur devra satteler la tche dlicate qui consiste isoler le lien ou le routeur qui pose problme.Illuifaudraalorsprocderparordre: 1.QuellessontlesroutesannoncesrgulirementdansltatSIA? 2.Quelrouteurcroitbonrgulirementdenepasrpondre? 3.Pourquoicerouteurnerpondilpasalorsquonlinterrogepoliment? Sesoutilsprincipauxsontalors:
G
Lacommandeshowipeigrptopology. Lacommandeshowipeigrptopologyactivequinemontrequelesroutesactives. La commande debug eigrp packets request reply afin de surveiller lactivit EIGRP avec les rserves habituellesquantladangerositdetoutecommandedebug.
CISCOnecessedepoursuivrelesdveloppementsautourdEIGRPetceproblmederoutemarqueSIAatpris en compte. La rflexion est la suivante (reprenez sous les yeux lillustration prcdente) : En quoi remettre en questionlarelationdevoisinageentreR1etR2faitilprogresserlefficacitdEIGRP?Quelrapportavecladisparition durseau10.1.1.0/24? Cisco a donc modifi le comportement de SIA (IOS 12.1(4.0.3)T et 12.1(4.1)). Les modifications sappuient sur la crationdedeuxtripletsTLVsupplmentaires: SIAQueryet SIAReplyainsiquesuruntemporisateur SIAQuery initialis90secondes,soitlamoitidutemporisateurderouteactive.
G
Lorsque R1 interroge R2, il arme non plus un mais deux temporisateurs : le temporisateur de route active initialis180secondesetletemporisateurSIAQueryinitialis90secondes. Si R1 napasreuderponsequandletemporisateur SIAQueryexpire, R1 envoie une requte SIA Query. SiR2rpondcetterequteparunmessage SIAReply,alorsR1rinitialisesesdeuxtemporisateurset larelationdevoisinageestmaintenue. Lmissiondunnouveau SIAQueryestritre90secondesplustard.EncasderponsedeR2parun messageSIAReply,lerseausevoitoctroyerundlaisupplmentairede90secondes.
R1 peut ainsi mettre jusqu trois requtes SIAQuery et si on additionne les 90 secondes qui ont prcd lmission du premier SIAQuery , cest finalement six minutes que R1 aura laiss au rseau pour collecter lensembledesrponses.Biensr,lintrieurdecessixminutes,laprocdurepeutprendrefintoutmomentds quelavraierponseattendue,quiconcernelaroute,estobtenue. Pour ladministrateur, surveiller la frquence dapparition des couples SIAQuery/SIAReply donne un moyen supplmentaire de dtecter et peuttre prvenir la formation de routes SIA et linstabilit de routage qui en dcoule.Unecommandeutilepourcefaire: R220#show ip eigrp trafic IP-EIGRP Traffic Statistics for process 64501 Hellos sent/received: 722/722 Updates sent/received: 27/27 Queries sent/received: 3/7 Replies sent/received: 7/3 Acks sent/received: 34/34 Input queue high water mark 4, 0 drops
- 18 -
SIA-Queries sent/received: 0/0 SIA-Replies sent/received: 0/0 R220#
4.Atelier:MiseenuvreduneconfigurationEIGRPavance
Latopologieproposeestlamme,seulleplandadressageestmodifi:
a.Tche1:Modifierleplandadressage
I
Tlchargez depuis le site des Editions ENI les deux fichiers texte Atelier8b_R100.txt et Atelier8b_R200.txt. Selontoutemthodevotreconvenance,injectezlesconfigurationsfourniessurR100etR200. Sur chacun des quatre routeurs R101, R102, R201 et R202 (par exemple sur R101) configurez les nouvelles adressessurlesinterfacesF0/1,S0/0etLo0:
R101(config)#int f0/1 R101(config-if)#ip address 10.1.100.101 255.255.255.0 R101(config-if)#int s0/0 R101(config-if)#ip address 10.0.50.1 255.255.255.252 R101(config-if)#int f0/0 R101(config-if)#ip address 10.1.101.1 255.255.255.0 R101(config-if)#int loopback 0 R101(config-if)#ip address 172.26.101.101 255.255.255.255 R101(config-if)#^Z R101# Modifiezlassociationstatiquedunomserveur:
R101(config)#ip host server 10.1.100.254 R101(config)#^Z
b.Tche2:ModifierleprocessusderoutageEIGRP
- 19 -
SurlesdeuxrouteursR101etR102,modifiezlaconfigurationEIGRPdelAS100.Parexemple,surR101:
R101(config)#no router eigrp 100 R101(config)#router eigrp 100 R101(config-router)#network 10.0.0.0 R101(config-router)#^Z R101# SurlesdeuxrouteursR201etR202,modifiezlaconfigurationEIGRPdelAS200.ParexemplesurR201:
R201(config)#no router eigrp 200 R201(config)#router eigrp 200 R201(config-router)#network 10.0.0.0 R201(config-router)#^Z R201#
c.Tche3:AjouterunprocessusderoutageRIP
I
Sur chacun des quatre routeurs, crez six interfaces de loopback et attribuezleur respectivement les adresses 172.26.xxx.111172.26.xxx.116oxxxestlenumrodurouteurconsidr101,102,201ou202.Parexemple surR101:
R101(config)#int loopback 1 R101(config-if)#ip address 172.26.101.111 R101(config-if)#int loopback 2 R101(config-if)#ip address 172.26.101.112 R101(config-if)#int loopback 3 R101(config-if)#ip address 172.26.101.113 R101(config-if)#int loopback 4 R101(config-if)#ip address 172.26.101.114 R101(config-if)#int loopback 5 R101(config-if)#ip address 172.26.101.115 R101(config-if)#int loopback 6 R101(config-if)#ip address 172.26.101.116 R101(config-if)#^Z R101#wr
255.255.255.255 255.255.255.255 255.255.255.255 255.255.255.255 255.255.255.255 255.255.255.255
Sur chacun des quatre routeurs, ajoutez un processus RIP version 2 qui prenne en compte ces interfaces. Par exemplesurR101:
R101(config)#router rip R101(config-router)#version 2 R101(config-router)#network 172.26.0.0 R101(config-router)#^Z R101#
d.Tche4:ConfigurerlaredistributionderoutesRIPversEIGRP
I
Surchacundesquatrerouteurs,configurezlaredistributiondesroutesapprisesparRIPdansEIGRP.Noubliezpas ce moyen mnmotechnique qui consiste remplacer le motcl redistribute par le mot franais rcupre, la comprhensiondelaredistributionygagne:
R101(config)#router eigrp 100 R101(config-router)#redistribute rip R101(config-router)#default-metric ? <1-4294967295> Bandwidth in Kbits per second R101(config-router)#default-metric 10000 ? <0-4294967295> Delay metric, in 10 microsecond units R101(config-router)#default-metric 10000 10 ?
<0-255>
Reliability metric where 255 is 100% reliable
R101(config-router)#default-metric 10000 10 255 ? <1-255> Effective bandwidth metric (Loading) where 255 is 100% loaded R101(config-router)#default-metric 10000 10 255 1 ? <1-4294967295> Maximum Transmission Unit metric of the path R101(config-router)#default-metric 10000 10 255 1 1500 R101(config-router)#^Z R101# Comptabilisezlesroutescontenuesdanschaquetablederoutage:
R101#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.26.0.0/32 is subnetted, 28 subnets D EX 172.26.202.116 [170/1159680] via 10.1.100.100, 00:01:36, FastEthernet0/1 D EX 172.26.201.116 [170/1159680] via 10.1.100.100, 00:02:25, FastEthernet0/1 D EX 172.26.202.115 [170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1 D EX 172.26.201.115 [170/1159680] via 10.1.100.100, 00:02:25, FastEthernet0/1 D EX 172.26.202.114 [170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1 D EX 172.26.201.114 [170/1159680] via 10.1.100.100, 00:02:25, FastEthernet0/1 D EX 172.26.202.113 [170/1159680] via 10.1.100.100, 00:01:36, FastEthernet0/1 D EX 172.26.201.113 [170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1 D EX 172.26.202.112 [170/1159680] via 10.1.100.100, 00:01:36, FastEthernet0/1 D EX 172.26.201.112 [170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1 D EX 172.26.202.111 [170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1 D EX 172.26.201.111 [170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1 D EX 172.26.202.201 [170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1 D EX 172.26.201.201 [170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1 D EX 172.26.102.116 [170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 D EX 172.26.102.115 [170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 D EX 172.26.102.114 [170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 D EX 172.26.102.113 [170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 D EX 172.26.102.112 [170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 D EX 172.26.102.111 [170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 D EX 172.26.102.102
- 21 -
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1 C 172.26.101.116 is directly connected, Loopback6 C 172.26.101.115 is directly connected, Loopback5 C 172.26.101.114 is directly connected, Loopback4 C 172.26.101.113 is directly connected, Loopback3 C 172.26.101.112 is directly connected, Loopback2 C 172.26.101.111 is directly connected, Loopback1 C 172.26.101.101 is directly connected, Loopback0 10.0.0.0/8 is variably subnetted, 9 subnets, 3 masks D EX 10.0.60.0/30 [170/2053120] via 10.1.100.100, 00:09:34, FastEthernet0/1 C 10.0.50.0/30 is directly connected, Serial0/0 D 10.1.102.0/24 [90/30720] via 10.1.100.102, 00:25:37, FastEthernet0/1 C 10.1.101.0/24 is directly connected, FastEthernet0/0 C 10.1.100.0/24 is directly connected, FastEthernet0/1 D 10.0.120.0/29 [90/1154560] via 10.1.100.100, 00:11:52, FastEthernet0/1 D EX 10.2.202.0/24 [170/1159680] via 10.1.100.100, 00:09:35, FastEthernet0/1 D EX 10.2.201.0/24 [170/1159680] via 10.1.100.100, 00:09:35, FastEthernet0/1 D EX 10.2.200.0/24 [170/1157120] via 10.1.100.100, 00:09:36, FastEthernet0/1 R101# Sauferreur,vousdevriezconstaterunecertaineinflation:37routes!Lesroutesconcernesparlagrgationont tmisesengras.
I
Sur chacun des quatre routeurs, configurez lagrgation afin de contenir linflation du nombre de routes. Par exemplesurR101:
R101(config)#router eigrp 100 R101(config)#int f0/1 R101(config-if)#ip summary-address eigrp 100 172.26.101.0 255.255.255.0 R101(config-if)#^Z R101# Vrifiezleseffetsdecetteagrgation.ToujourssurR101:
R101#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.26.0.0/16 is variably subnetted, 11 subnets, 2 masks 172.26.202.0/24 [170/1159680] via 10.1.100.100, 00:03:03, FastEthernet0/1 D EX 172.26.201.0/24 [170/1159680] via 10.1.100.100, 00:03:04, FastEthernet0/1 D 172.26.102.0/24 [90/261120] via 10.1.100.102, 00:03:04, FastEthernet0/1 D 172.26.101.0/24 is a summary, 00:03:04, Null0 C 172.26.101.115/32 is directly connected, Loopback5 C 172.26.101.114/32 is directly connected, Loopback4 C 172.26.101.113/32 is directly connected, Loopback3 C 172.26.101.112/32 is directly connected, Loopback2 C 172.26.101.116/32 is directly connected, Loopback6 C 172.26.101.101/32 is directly connected, Loopback0 C 172.26.101.111/32 is directly connected, Loopback1 10.0.0.0/8 is variably subnetted, 9 subnets, 3 masks D EX 10.0.60.0/30 [170/2053120] via 10.1.100.100, 00:03:04, FastEthernet0/1 C 10.0.50.0/30 is directly connected, Serial0/0 D 10.1.102.0/24 [90/30720] via 10.1.100.102, 00:03:04, FastEthernet0/1 D EX
- 22 -
C 10.1.101.0/24 is directly connected, FastEthernet0/0 C 10.1.100.0/24 is directly connected, FastEthernet0/1 D 10.0.120.0/29 [90/1154560] via 10.1.100.100, 00:03:04, FastEthernet0/1 D EX 10.2.202.0/24 [170/1159680] via 10.1.100.100, 00:03:04, FastEthernet0/1 D EX 10.2.201.0/24 [170/1159680] via 10.1.100.100, 00:03:04, FastEthernet0/1 D EX 10.2.200.0/24 [170/1157120] via 10.1.100.100, 00:03:04, FastEthernet0/1 R101# Onpassede3x7=213x1+laroute172.26.101.0/24verslinterface Null0.Onsesouvientquepardfaut, EIGRPutilisecetteinterfaceafindliminerlespaquetsquicorrespondentlarouteparentmaispourlesquelsaucun desrseauxenfantsnecorrespondladressededestinationdespaquets.EIGRPinclutdefaonautomatiqueune routersumeverslinterfaceNull0chaquefoisquelunedecesdeuxconditionsexiste:
G
Unrsumderouteestactiv,quilsoitautomatiqueoumanuel. UnouplusieurssousrseauxdurseauagrgexistentquionttapprisparEIGRP.
ImaginezparexemplequeR101reoiveunpaquetdestin172.26.101.117.Lhte172.26.101.117luiestinconnu. LaseulepossibilitquiresteestlactionPoubelle,cestlobjetdelarouteversNull0.De37routes,ladministrateura russiramenerlatablederoutage20routes. Votreagrgationderoutesaportsesfruits,bravo.Cetatelierestmaintenanttermin.
- 23 -
Rsum
1.Lescaractristiquesretenir
Larelativecomplexitduprotocoleafaitprfrerdessynthsesrpartiesaulongduchapitre.Mercidevousreporter notammentauxsections:
G
DUAL,synthsepartielle Partagedecharge,synthse.
Ilexisteaumoinstroisouvragesdanslecommerce,tousamricains,dontEIGRPestlesujetunique.Autantdireque si nous avons essay ici de faire un tour srieux du sujet, il est loin dtre clos. De son ct, CISCO, videmment promoteurdesonprotocole,continuedelefaireprogresser.UnadministrateurenchargedungrandrseauEIGRP devradoncresterenveilleconstante.
2.Lescommandesretenir
a.Commandesdeconfiguration
Commande ipclassless Mode Configuration globale Description Activelalgorithmederecherchede correspondancedeprfixelapluslongue (LongestMatchbasedForwardingAlgorithm)dans leprocessusderecherchederoute.Cestla commandepardfaut. Autoriselesadressesdesousrseaux exclusivementcomposesde0. ActiveleprocessusEIGRPetlefaitparticiperau systmeautonomedenumroasid. Ladresseindiquedoitinclurelesadressesdes interfacesquiparticipentauprotocole. Cesselenvoidemisesjoursurlinterface spcifie. Activeoudsactivelagrgationautomatique lafrontiredunrseaumajeur. Permetunrglagefinducalculdelamtrique parEIGRP.Lavaleurtosdoitresterzro. Configureunrouteurdextrmit(SpokeRouter) defaoncequilnereoivepluslesrequtes desesvoisins. Lavaleurpardfautest1etentraneun partagedechargecotgal.Lavaleur acceptedoittrecompriseentre1et128. Pardfaut,cetemporisateurestdsactiv(cela napastoujourstlecas).Danscettat,une routepeutresterltatactifindfiniment.
ipsubnetzro
Configuration globale Configuration globale Configurationde routeur Configurationde routeur Configurationde routeur Configurationde routeur Configurationde routeur
routereigrpasid
network@IP_rseau
passiveinterfaceinterface typeinterfacenumber autosummary
metricweightstosk1k2k3k4k5
eigrpstub[receiveonly| connected|static|summary| redestributed] variancemultiplier
Configurationde routeur
timersactivetime[timelimit| disabled]
Configurationde routeur
- 1-
iphellointervaleigrpasidseconds Configuration dinterface
Configurelapriodequisparedeuxmessages Hello.60spardfautsurlesinterfaceslentes detypeNBMA,5spardfautsurlesautres interfaces. Configureletemporisateurdattentedu prochainmessageHello.180spardfautsur lesinterfaceslentesdetypeNBMA,15spar dfautsurlesautresinterfaces. AffecteuneinterfaceWANsavraiebande passante,exprimeenkilobitsparseconde. Affecteuneinterfaceuneestimationdeson dlai,exprimeendizainesdemicrosecondes. Spcifielepourcentagedebandepassante quEIGRPestendroitdutilisersuruneinterface. Lavaleurpardfautest50 %. Provoquelannoncedunagrgatdeprefixes suruneinterface.
ipholdtimeeigrpasidseconds
Configuration dinterface
bandwidthkbps
Configuration dinterface Configuration dinterface Configuration dinterface
delaytensofsecondes
ipbandwidthpercenteigrpasid percent
ipsummaryaddresseigrpas Configuration numbernetworkaddresssubnetmask dinterface [admindistance] ipauthenticationmodeeigrpas_id md5 ipauthenticationkeychaineigrp as_idname_of_keychain Configuration dinterface Configuration dinterface
Spcifieletypedauthentificationdeschanges EIGRPparsignatureMD5. ActivelauthentificationdesmessagesEIGRP misdepuiscetteinterfaceoureussurcette interface. Spcifieunecldanslensembledecls.
keynumber
Configuration densembledecls
keystringtext
Configurationdecl Attribueunechanedecaractreslaclqui servirasoitdemotdepassesoitdeclpour laborerunesignatureMD5delamisejour.
acceptlifetimestarttime{ infinite| Configurationdecl Spcifieunlapsdetempspendantlequellacl endtime|durationseconds} estvalideenrception. sendlifetimestarttime{ infinite| endtime|durationseconds} showiprouteeigrp showipprotocols Configurationdecl Spcifieunlapsdetempspendantlequellacl peuttreutilisedanslesmisesjourmises. Modeutilisateur Modeutilisateur AffichelensembledesroutesissuesdEIGRP. Affichelesparamtresetltatactueldu protocolederoutageactivsurlerouteur. Afficheentempsrelletraficdacheminement EIGRP.
debugipeigrppackets
Modeprivilgi
b.Commandesdesupervision
Commande showipprotocols Mode Modeutilisateur Description Affichelesparamtresetltatactueldu protocolederoutageactivsurlerouteur. AffichelensembledesroutesissuesdEIGRP. Affichelensembledesroutesmenantprefix.
showiprouteeigrp showiprouteprefix
Modeutilisateur Modeutilisateur
- 2-
showipeigrpinterface
Modeutilisateur
Affichedesinformationssurlesinterfacesqui participentauprotocole. Affichelatabledevoisinage. Affichelatabledetopologie. Affichedesstatistiquessurletrafic dacheminement. DbogageduroutageIP.
showipeigrpneighbors showipeigrptopology showipeigrptraffic
Modeutilisateur Modeutilisateur Modeutilisateur
debugipeigrpasid|neighbor| notifications|summary debugeigrpfsm|neighbors| packets|transmit
Modeprivilgi
Modeprivilgi
Dbogagedelalgorithmederoutage.
- 3-
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Quelvnementprovoquelepassageltatactifduneroute? 2 Quelvnementprovoqueleretourdunerouteltatpassif? 3 QuelestlalgorithmederoutageduprotocoleEIGRP? 4 Quelleestladiffrenceentrelatabledevoisinageetlatabledetopologie? 5 Quellecommandepermetdevrifierlecontenudelatabledevoisinage? 6 Dfinissezladistancefaisable. 7 Comparezlesdeuxcapturesdebugcidessous: SurR101: R101# *Mar *Mar *Mar *Mar
1 1 1 1
00:05:36.051: EIGRP: Sending HELLO 00:05:36.051: AS 100, Flags 0x0, 00:05:37.731: EIGRP: Sending HELLO 00:05:37.731: AS 100, Flags 0x0,
on Serial0/0 Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 on FastEthernet0/0 Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
SurR102: R102# 00:05:25: EIGRP: Sending HELLO on Serial0/0 00:05:25: AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 00:05:25: EIGRP: Sending HELLO on FastEthernet0/1 00:05:25: AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 00:05:26: EIGRP: Sending HELLO on FastEthernet0/0 Ces deux routeurs sont directement connects via une liaison serial . La table de voisinage reste vide. Quelle pourraitentrelacause? 8 QuelssontlesquatrecomposantsdebasequiconstituentlarchitecturedEIGRP? 9 Dfinissezlaconditiondefaisabilit. 10 Observezlatabledetopologiecidessous: R8#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720 via 10.0.120.2 (20030720/261120), Serial0/0 via 10.0.120.6 (40030720/261120), Serial0/1 P 10.0.120.0/30, 1 successors, FD is 20025600 via Connected, Serial0/0 P 10.0.120.4/30, 1 successors, FD is 40025600 via Connected, Serial0/1 P 10.0.131.0/24, 1 successors, FD is 20028160 via 10.0.120.2 (20028160/258560), Serial0/0 via 10.0.120.6 (40028160/258560), Serial0/1 R8# Par quelle interface sortiraient les paquets destins au rseau 10.0.16.0/24 en cas de dfaillance du routeur 10.0.120.2?Pendantcombiendetempslarouteresteraitelleindisponibledanslesmmescirconstances? 11 Considrezlatopologiecidessous:
- 1-
QuelleseraitlacommandeentrerenconfigurationdurouteurEIGRPR8afinquilnannonceque10.0.120.0/30? 12 DanslecontextedEIGRP,querecouvreleRdelacronymeRTP?quellesmthodesceprotocolearecours pouroffrirsesgaranties? 13 QuellesactionsentreprendlamachineDUALFSMquandunlienpasseltatDown? 14 Questcequunsuccesseurfaisable? 15 Considrezlatabledetopologieciaprs: R8#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720 via 10.0.120.2 (20030720/261120), Serial0/0 via 10.0.120.6 (40030720/261120), Serial0/1 R8# QuerappellelalettrePassocielaroute10.0.16.0/24gauchedelacapture? 16 QuelleestlabandepassantemaximaleconsommeparEIGRPsurunlien?Ladministrateurpeutilintervenir surleratioBandeconsomme/Bandedisponible? 17 Questcequunsuccesseur? 18 Considrezlatopologieciaprs:
LadministrateurobservelatablederoutagedesrouteursR8etR16etdplorelabsencederouteversLAN_12surR8 ainsiquelabsencederouteversLAN_11surR16.Quellesinterventionsluiconseillezvousetsurquelsrouteurs? 19 Observezlatopologieciaprs:
Placezvous sur le routeur R1 et considrez le trafic issu dInternet et destin au Datacenter. Tous les routeurs participentaummeASEIGRP.LavariancesurR1estrgle2.LerouteurR1faitildupartagedecharge?Sioui, surcombiendeliens?
20 VoustessollicitafindersoudreunproblmedeconnectivitEIGRP.Vousavezobservquedeuxrouteurs EIGRPconnectsntaientpasvoisins.Unpingentrecesdeuxrouteursaboutit.Quevrifiezvousmaintenant? 21 QuelleadressemulticastutiliseEIGRPquandilmultidiffusesespaquets? 22 Quelledistanceadministrativeunrouteuraffecteuneroutepardfautapprisedepuisunesourceextrieure ausystmeautonome? 23 Considrezlacommandecidessous,quelleestlutilitdunombre20? Nantes(config)#router eigrp 20
2.Rsultats
3.Rponses
1 Quelvnementprovoquelepassageltatactifduneroute? Unefoislaphaselocaledervaluationacheve,quandlerouteurnapastrouvdesuccesseurfaisablepourlaroute,alors uneprocduredecalculdiffusestentameetlaroutepasseltatactif(reliresincessairelasectionNotiondecalcul diffus). 2 Quelvnementprovoqueleretourdunerouteltatpassif? Lachvementdelaprocduredecalculdiffus,cestdirelarceptiondunerponsedechaquevoisininterrog(reliresi ncessairelasectionNotiondecalculdiffus). 3 QuelestlalgorithmederoutageduprotocoleEIGRP? DUAL(DiffusingUpdateAlgorithm)(reliresincessairelasectionAlgorithmeDUAL). 4 Quelleestladiffrenceentrelatabledevoisinageetlatabledetopologie? LatabledevoisinagecontientdesinformationsausujetdesvoisinsEIGRPenactivit.Latabledetopologiecontienttoutes les routes connues qui disposent de successeurs faisables (relire si ncessaire les sections Entretien des relations de voisinageetDUAL,synthsepartielle). 5 Quellecommandepermetdevrifierlecontenudelatabledevoisinage? showipeigrpneighbors(reliresincessairelasectionEntretiendesrelationsdevoisinage). 6 Dfinissezladistancefaisable. La distance faisableoudistancedefaisabilit(FD,FeasibleDistance)estladistancequisparelerouteurdurseaude destinationvialesuccesseur.Cestaussilalternativeaumeilleurcot,cequiaconduitchoisirlerouteurquilaannonc commesuccesseur,cestdirerouteurdeprochainsaut(reliresincessairelasectionDUAL,synthsepartielle). 7 Comparezlesdeuxcapturesdebugcidessous: SurR101: R101# *Mar *Mar *Mar *Mar
1 1 1 1
00:05:36.051: EIGRP: Sending HELLO 00:05:36.051: AS 100, Flags 0x0, 00:05:37.731: EIGRP: Sending HELLO 00:05:37.731: AS 100, Flags 0x0,
on Serial0/0 Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 on FastEthernet0/0 Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
- 3-
SurR102: R102# 00:05:25: EIGRP: Sending HELLO on Serial0/0 00:05:25: AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 00:05:25: EIGRP: Sending HELLO on FastEthernet0/1 00:05:25: AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 00:05:26: EIGRP: Sending HELLO on FastEthernet0/0 Ces deux routeurs sont directement connects via une liaison serial . La table de voisinage reste vide. Quelle pourraitentrelacause? CerteslesdeuxrouteursentretiennentunprocessusEIGRPmaisR101faitparticipersonprocessuslAS100tandisque R102 fait participer son processus lAS 64501 (relire si ncessaire la section Configuration de base choix du systme autonomeetidentificateurdeprocessus). 8 QuelssontlesquatrecomposantsdebasequiconstituentlarchitecturedEIGRP? LesquatrecomposantsdEIGRPsont:
G
lesmodulesdpendantdesprotocoles leprotocoledetransportfiableRTP leModulededcouverteetrcuprationdesvoisins lalgorithmeoumoteurderoutageDUAL.
(ReliresincessairelasectionArchitecture.) 9 Dfinissezlaconditiondefaisabilit. Laconditiondefaisabilit(FC)estremplielorsqueladistanceannonce(ourapporte)parunvoisin(RD)estinfrieure la distance faisable (FD). Satisfaire la condition de faisabilit assure que le voisin offre une alternative sans boucle. Autrementdit,surlecheminquisparedurseaudedestination,levoisinestassurmentenavaldurouteursurlequelon seplace(reliresincessairelasectionDUAL,synthsepartielle). 10 Observezlatabledetopologiecidessous: R8#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720 via 10.0.120.2 (20030720/261120), Serial0/0 via 10.0.120.6 (40030720/261120), Serial0/1 P 10.0.120.0/30, 1 successors, FD is 20025600 via Connected, Serial0/0 P 10.0.120.4/30, 1 successors, FD is 40025600 via Connected, Serial0/1 P 10.0.131.0/24, 1 successors, FD is 20028160 via 10.0.120.2 (20028160/258560), Serial0/0 via 10.0.120.6 (40028160/258560), Serial0/1 R8# Par quelle interface sortiraient les paquets destins au rseau 10.0.16.0/24 en cas de dfaillance du routeur 10.0.120.2?Pendantcombiendetempslarouteresteraitelleindisponibledanslesmmescirconstances? Levoisin10.0.120.6remplitlaconditiondefaisabilitcarsadistancerapporte261120estinfrieureladistancefaisable 20030720 pour le rseau 10.0.16.0/24. Ce voisin a donc le statut de successeur faisable. En cas de dfaillance du successeur10.0.120.2,lesuccesseurfaisable10.0.120.6deviendralesuccesseur.Letempsdindisponibilitserduit0, commechaqueenpareilcas,cestdirequandlatabledetopologiecomporteplusdunsuccesseurfaisablepourunemme
destination(reliresincessairelasectionLautomatetatsfinisdeDUAL). 11 Considrezlatopologiecidessous:
QuelleseraitlacommandeentrerenconfigurationdurouteurEIGRPR8afinquilnannonceque10.0.120.0/30? R8(config-router)#network 10.0.120.0 0.0.0.3 Lemasquegnrique0.0.0.3retienttouslesbitslexclusiondesdeuxbitsdepoidsfaible(reliresincessairelasection Participationdesinterfaces,lemasquegnrique). 12 DanslecontextedEIGRP,querecouvreleRdelacronymeRTP?quellesmthodesceprotocolearecourspour offrirsesgaranties? RTP offre une fiabilit sur mesures . Quand le mode fiable est choisi, RTP offre les garanties de remise et de squencement,cebienquelesmessagesEIGRPsoientmultidiffuss.Pourassurerlmetteurdelaremise,unrouteurqui reoit un paquet RTP multicast doit acquitter (cestdire mettre un paquet accus de rception), il le fait laide dun paquet unicast. Les numros de squence embarqus par le paquet RTP permettent quant eux de garantir le squencement(reliresincessairelasectionLeprotocoledetransportRTP). 13 QuellesactionsentreprendlamachineDUALFSMquandunlienpasseltatDown? Lautomate entreprend dabord une phase locale de rvaluation la recherche dun successeur faisable. En cas dchec, lautomateentreprenddinterrogerchacundesesvoisinsdansunesecondephaseappelephasedecalculdiffus(reliresi ncessairelasectionNotiondecalculdiffus). 14 Questcequunsuccesseurfaisable? Un successeur potentiel ou successeur faisable (FS, Feasible Successor) est un voisin qui satisfait la condition de faisabilit,cestdiredontladistanceannonceourapporte(RD,ReportedDistance)estinfrieureladistancefaisable (reliresincessairelasectionDUAL,synthsepartielle). 15 Considrezlatabledetopologieciaprs: R8#sh ip eigrp topology IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.16.0/24, 1 successors, FD is 20030720 via 10.0.120.2 (20030720/261120), Serial0/0 via 10.0.120.6 (40030720/261120), Serial0/1 R8# QuerappellelalettrePassocielaroute10.0.16.0/24gauchedelacapture? La route 10.0.16.0/24 est ltat passif, autrement dit stable. Il ny a pas de procdure de calcul diffus en cours la concernant(reliresincessairelasectionNotiondecalculdiffus). 16 QuelleestlabandepassantemaximaleconsommeparEIGRPsurunlien?Ladministrateurpeutilintervenirsurle ratioBandeconsomme/Bandedisponible? Pardfaut,EIGRPlimitesaconsommation50 %delabandepassanteconnuepourcelien.Naturellement,danslecasdes
liensWAN,celaneprenddusensquesiladministrateuraprislaprcautionderglerlavraiebandepassantedulienlaide dune commande bandwidth. Oui, ladministrateur peut intervenir sur le pourcentage laiss EIGRP laide dune commandeipbandwidth percenteigrpenconfigurationdinterface(reliresincessairelasectionEspacementdesmises jour). 17 Questcequunsuccesseur? Unsuccesseurestunvoisinquelerouteurutilisepourfaireprogresserlespaquets.Pouruneroutedonne,lesuccesseur est choisi parmi les voisins qui ont annonc cette route parce quil offre lalternative au meilleur cot jusquau rseau de destination(reliresincessairelasectionDUAL,synthsepartielle). 18 Considrezlatopologieciaprs:
LadministrateurobservelatablederoutagedesrouteursR8etR16etdplorelabsencederouteversLAN_12surR8 ainsiquelabsencederouteversLAN_11surR16.Quellesinterventionsluiconseillezvousetsurquelsrouteurs? Nous lui conseillons dintervenir sur R11 et R12 afin de dsactiver lagrgation automatique laide de la commande no auto summary enconfigurationderouteurEIGRP.Fautedequoi,R11etR12continuerontdesannoncermutuellementle rseau10.0.0.0/8danssonentier(reliresincessairelasectionAgrgationderoutes). 19 Observezlatopologieciaprs:
Placezvous sur le routeur R1 et considrez le trafic issu dInternet et destin au Datacenter. Tous les routeurs participentaummeASEIGRP.LavariancesurR1estrgle2.LerouteurR1faitildupartagedecharge?Sioui, surcombiendeliens? LadistancefaisabledeR1jusquauDatacenterest40.Toutcheminalternatifdontladistanceestinfrieure80estdonc ajoutlatablederoutage.R1rpartitletraficsursestroisinterfacesversleDatacenter(reliresincessairelasection Partagedecharge). 20 VoustessollicitafindersoudreunproblmedeconnectivitEIGRP.VousavezobservquedeuxrouteursEIGRP connectsntaientpasvoisins.Unpingentrecesdeuxrouteursaboutit.Quevrifiezvousmaintenant? LesprocessusderoutagesontilsbienconfigursaveclemmenumrodAS?Pourchacundesdeuxrouteurs,ladresseIP de linterface sur le lien considr faitelle bien partie dun rseau dclar laide dunecommande network ? (Relire si ncessairelasectionConfigurationdebase.) 21 QuelleadressemulticastutiliseEIGRPquandilmultidiffusesespaquets? Ladresse multicast 224.0.0.10 identifie le groupe des routeurs EIGRP (relire si ncessaire la section Le protocole de transportRTP). 22 Quelle distance administrative un routeur affecte une route par dfaut apprise depuis une source extrieure au
- 6-
systmeautonome? 170(reliresincessairelasectionRoutepardfaut). 23 Considrezlacommandecidessous,quelleestlutilitdunombre20? Nantes(config)#router eigrp 20 Le nombre 20 identifie le systme autonome EIGRP auquel participe le routeur Nantes (relire si ncessaire la section Configurationdebase).
- 7-
Prrequisetobjectifs
1.Prrequis
2.Objectifs
lafindecechapitre,vousserezenmesurede: Dcrirelesconceptsetlesfonctionnalitsdebasedesprotocolesderoutagedtatdesliens. Dcrirelobjet,lanatureetlefonctionnementduprotocoleOSPF(OpenShortestPathFirst). ConfigureretvrifierlefonctionnementdebaseduprotocoleOSPFdansuneaireuniquesurunpetitrseaurout. Utiliserdescommandesdeconfigurationavancesavecdesrouteursmettanten uvreleprotocoleOSPF. Utiliserlescommandes showet debugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent surdepetitsrseauxroutslaidedOSPF.
- 1-
Aperuduprotocole
1.Principesgnraux
Parce quil fallait tourner la page des cueils de RIP, Open Shortest Path First fut dvelopp par lIETF (Internet Engineering Task Force) dans le but de devenir LE protocole IGP recommand (par lIETF). OSPF est un protocole tatsdeliens,ilutiliselalgorithmedeDijkstra(oualgorithmeSPF)pourconstruireunetopologieexemptedeboucles. Commesonnomlindique,ilestouvert,autrementditilnappartientniunconstructeur,niuneorganisation.Des travauxderecherchesurlalgorithmeSPFavaienttentamsds1978pourlerseauARPANET,legroupedetravail delIETFfutcren1988etaboutitlapublicationduRFC1131en1989: RFC1131 RFC1247 RFC1583 RFC2178 RFC2328 RFC2740 OSPFSpecification OSPFVersion2 OSPFVersion2 OSPFVersion2 OSPFVersion2,toujoursdactualit OSPFforIPv6 CeRFCesteffectivementnomm OSPFforIPv6 .Cependant,un certainnombredepublicationsle nommeOSPFVersion3. RFC5340 OSPFforIPv6 R.Coltun,D.Ferguson,J.Moy,A. Lindem JohnMOY JohnMOY JohnMOY JohnMOY JohnMOY R.Coltun,D.Ferguson,J.Moy Oct.1989 Juillet1991 Mars1994 Juillet1997 Avril1998 Dcembre 1999
Juillet2008
Tableau1:HistoriquedesRFCdOSPF Le RFC1583 est disponible au format PDF et prsente lavantagedutiliser de vrais schmas qui peuvent aider la comprhensiondelacomplexitdOSPF(laplupartdesRFCutilisentdepseudoschmasralissenmodetextecarils privilgientlalgretetluniversalit).LeRFC2328estdisponibleenfranaissurlesite:http://abcdrfc.free.fr/cequi aidevidemment(merciautraducteurcarlatchedoittreharassanteetingrate)mmesilfautalertersurcertains choixquipeuventtreregretts(ex: netmaskesttraduitpargabaritderseau, routingtableesttraduitpar tableaudacheminement). OSPFappartientlaclassedesprotocolesderoutagetatsdeliensetrevendiquelesavantagesdesaclasse:
G
Convergencerapideaideencelapardesmisesjourdclenchesetdetypeincrmental. Capacitprendreencomptedegrandsrseaux. Quelquesautrescaractristiquesquifontlintrtduprotocole:

G
OSPFmetprofitunconceptdairesafindecontenirsesexigencesenressourcesmachine(mmoire etCPU),afingalementderduireautantquefairesepeutletraficdacheminement.Pourmmoire,le traficdacheminementestletraficinhrentauprotocolederoutage.Labandepassanteconsomme pourcetraficlestaudtrimentdelabandepassanteutile. Les aires dOSPF sont construites selon une topologie hirarchique autour de laire 0 , appele backbone,ettoujoursprsente. Le comportement du protocole est de type classless . ce titre, il supporte VLSM ainsi que les routesrsumes. Mtriqueintelligentefondesurlabandepassantedesliens. AdressesmulticastrservesOSPFdefaonrduirelimpactsurlesdispositifsnonOSPF.
LeschangesOSPFpeuventtreauthentifis. Priseencomptederoutesissuesdautresprotocoleslaidedumarquagederoutes( routetagging)...
CesavantagesindubitablesdOSPFsontvidemmentobtenusauprixdequelquesinconvnients:
G
OSPFconsommedelammoire.Chaquerouteurdoitentretenirplusieursbasesdedonnes,dontunebase dedonnesdevoisinage( OSPFneighbors)etunebasededonnesdestatsdeliensdechacundesautres routeursappeleLSD(LinkStateDatabase). OSPFconsommedelaressourceCPU,cestspcialementvraiaudmarrageduprotocolelorsquunrouteurqui nepartderiendoitconstruirelensembledesbasesdedonnespourensuiteextrairesatablederoutage. LapplicationdOSPFdegrandsrseauxestcomplexecarelledoitsappuyersurunetopologiehirarchique daires,uneaireregroupeplusieursrouteurs.Defait,OSPFncessitedesexpertsbienforms. Ltape de configuration et de mise en uvre est galement complexe, une panne ou une erreur de conceptionsontplusdifficilesdiagnostiquer/radiquerquavecunprotocolevecteurdedistance.
Cesrservestantposes,ilfautretenirdeuxargumentsessentielsquimilitentpourimposerOSPF:
G
OSPFsaitprendreencomptedegrandsrseaux.Enpareilcas(disonsaudeldecinquanterouteurs),RIPest automatiquementlimin. OSPF est un protocole ouvert. Si outre le fait dtregrand,lerseauesthtrogne(Comment...,avecdes routeursnonCISCO...?),alorsOSPFpeutmmedevenirlechoixunique.
2.Terminologie
Le problme avec OSPF est quon ne sait pas par o commencer. Il est quasi impossible de btir un expos parfaitement linaire et squenc, cestdire un expos dans lequel le lecteur naurait pas faire des allers et retours.Lauteurrclamedonclindulgencedulecteurfaceauxprobablesnombreusesrfrenceavant.Unerfrence avantclairementidentifielestparlamention(patientez).Parailleurs,leformateurdoitsouventdcideroplacer lecurseurentrelesoucidexhaustivitetlebesoindunmessageclairquandilfautmdiatiserlacomplexit.Enfinal, laseuleexhaustivitestcelleduRFCpardfinition. Auniveauleplusglobal,tentonsunepremiredescriptiondufonctionnementdOSPF:
OSPFpeuttrevucommeunempilementdecouches:
- 2-
Encouche1,OSPFdoitapprendreltatdesespropresliens.Laportedelacouche1estlimiteaurouteur. En couche 2, un routeur OSPF construit des relations avec ses voisins OSPF. La porte de la couche 2 est limiteauxinterfacesdesvoisinsphysiques,cesinterfacessontdirectementconnectes.
G
Un routeur parlant OSPF envoie des messages HELLO sur toutes ses interfaces participant au protocole. Deuxrouteursquipartagentunlienetconviennentdecertainsparamtreslaidedeleursmessages Hellorespectifsdeviennentdesvoisins(neighbors). Unerelationdadjacenceoudeproximit,quipeutseconcevoircommeltatultimedelarelationde voisinage, peut stablir entre voisins. Cette relation est conditionne par le type de routeurs changeantlesmessagesHelloainsiqueparletypederseautransportantcesmessages.
Lacouche3consistesynchroniserlabasededonnestopologiques( LinkStateDatabase:LSD)etsappuie surlesrelationsdeproximittabliesparlacouche2.

G
ChaquerouteurenvoiesesLSAs( LinkStateAdvertisements)toussesrouteursadjacents.UnLSAde routeurdcritltatdetouslesliensdecerouteur. Parcequilexisteunegrandevaritdeliens,OSPFdfinitgalementdenombreuxtypesdeLSAs. Chaque routeur qui reoit un LSA de lun de ses proches enregistre ce LSA dans sa LSD ( Link State Database)etenenvoieunecopielatotalitdesesautresproches. LesLSAstantinondssuruneairedonne,permettentlensembledesrouteursdeconstruireune LSDidentique.
Enfin, la couche 4 pourrait tre la construction de larbre de recouvrement en se fondant sur les donnes topologiquesrecueilliesdanslaLSDparlacouche3.
G
UnefoislaLSDcomplte,chaquerouteurdroulelalgorithmeSPFpourconstruireunarbredcrivant lensembledescheminsmeilleurcotverstouteslesdestinationsconnues.Chaquerouteurestla racinedelarbrequilcalcule. ChaquerouteurdduitsatablederoutageenextrayantlesroutesdelarbreSPFquilacalcul.
UnefoislesLSAsinondsdansuneairedonne,unefoislesLSDssynchronises(identiques),unefoislestablesde routagedduites,OSPFestunprotocolequelonpeutqualifierdecalmeetsilencieux.Leschangesselimitentaux courtsmessagesHello,utilesafindemaintenirlesliensenvie(Keep alive),leschangesdeLSAsnintervenantque toutesles30minutes.Pasdautreactivitnotableobserverendehorsdecellequentraneraitunchangementde topologie. Najoutonspaslacomplexitundoutesurlesensquedoiventprendrelesmots.Lestermesnouveauxpropresau protocoleOSPF(oupropresauxprotocolestatsdeliens)sontdfiniscidessous: Link Puisquilestquestiondunprotocoletatsdeliens,cetermedoitrevtiruneimportanceparticulire.Cestpourtant trs simple puisque cest ainsi quOSPF dsigne une interface de routeur. Quand une interface est ajoute au processus OSPF, elle est considre comme un lien. ce lien sont associs diverses informations quil est possible dafficherenpartielaidedunecommandeshowipospfinterface. RouterIDouRID IlesttrsimportantquOSPFpuisseidentifiersansambigutchaquerouteurquiparticipeauprotocole.LIETFachoisi delefairelaidedunidentifiantauformatidentiqueceluiduneadresseIP.Ainsi,ilestfaciledextrapolerunRID pardfautdelaconfigurationdurouteur.Ladministrateuragalementlapossibilitdeledfinirdirectementcomme illustrlasectionConfigurationOSPFConfigurationdebaseIdentifiantdurouteur. Un point cl du protocole rside dans la mthode dattribution de cet identifiant. Le routeur a recours lune des mthodessuivantes:
- 3-
1.LerouteurchoisitladresseIPlaplusleve(ladresseestalorsconsidrecommeunnombre)parmilesadresses attribuessesinterfacesdeloopback. 2. Pour le cas, peu probable, o ladministrateur naurait configur aucune interface de loopback, le routeur lui substitueladresseIPlaplusleveparmilesadressesaffectessesinterfacesphysiques.Linterfacephysiquequi afourniladresseIPnapasncessairementbesoindtrelunedesinterfacesparticipantauprotocole. Configurer une interface de loopback offre ladministrateur le moyen de matriser lidentifiant OSPF attribu au routeurOSPF.Eneffet,linterfacedeloopbacktantvirtuelle,ellenesouffrepasdesmmesaffresquelesinterfaces physiques.Linterface est up tantquelerouteurestactifetnetombe down que si le routeur sinterrompt. Autre avantage non ngligeable, ladresse IP attribue linterface de loopback nest pas contrainte par le plan dadressagedurseau,ladministrateurpeutdoncutiliseruneadressequilidentifierafacilement. Pourtrecomplet,silidentifiantRIDprovientduneinterfacephysique,lefaitquelinterfacevienneultrieurement tomberneremettraitpasencauselidentifiantattribu.Danscecasprcis,lastabilitdelinterfacedeloopbacknest doncquunavantagesecondaire.Lavantagedterminantrsidedanslefaitdepouvoiraffecterlidentifiantpluttque delevoirdduitduneconfigurationdinterfacephysique. Originatingrouteur Chaque routeur qui participe un rseau OSPF vit sa propre existence. Les raisonnements quil faut btir doivent ltreenseplaantdupointdevuedun routeur. Le routeur choisi pour jouer ce rle est souvent dsign dans ce chapitreparcerouteur. Leprotocole Hello Afindapprendre qui sont ses voisins puis entretenir les relations avec eux, un routeur OSPF gnre des messages Hellosurtoutessesinterfaces,defaonrgulire.LapriodequisparedeuxmessagesHelloestHelloInterval,ce dlaiestconfigurableparinterfacelaidedelacommande ip ospf hellointerval.LimplmentationOSPFdeCISCO utiliseunevaleurpardfautde10secondes. Unefoisajoutlatabledevoisinage,unvoisinfaitlobjetdunesurveillancergulire.SilesmessagesHelloquele routeursattendrecevoirneluiparviennentpluspendantuntempsdobservationsuffisant,levoisinestconsidr commeperdu(ilnestdoncplusvoisin).CestledlaiRouterDeadIntervalquirgleladuredececomaprmortem. CiscosentientlavaleursuggreparleRFC,soit4x HelloInterval,cestdire40secondespardfaut.nouveau, cettevaleurestmodifiablelaidedelacommandeipospfdeadinterval. Basededonnesdevoisinage( Neighborshipdatabase ) Liste de tous les routeurs OSPF pour lesquels un message Hello a t reu rcemment (depuis moins de RouterDeadInterval secondes). chaque routeur sont associs un certain nombre de dtails tels le RID, la priorit (valeurutiliselorsdellectionduDR(DesignatedRouter)etduBDR(BackupDesignatedRouter)surunrseaumulti accs), ltat de la relation de voisinage, linterface depuis laquelle le message a t entendu, ladresse IP de linterfacequiamislemessage...Ladministrateurpeutobserverlecontenudecettetablelaidedelacommande showipospfneighbor.Ilestpossibledobtenirunniveaudedtailpluslevenentrantlacommande showipospf neighbor#RID. Relationdevoisinage Hlas,leRFCutiliseneighborpourdsignerindiffremmentlevoisinetlarelationdevoisinageentretenueaveclui. OSPF entretient un diagramme dtat pour chaque relation de voisinage tablie avec chaque voisin dcouvert. La relation passe par diffrents tats, les premiers tablissent une relation de voisinage, les suivants tablissent une relationdeproximit.Enfinal,unvoisinphysiquepeutdevenirvoisinouproche. Proches(Adjacence) Fautiltraduireleterme Adjacency duRFCparrelationdadjacenceourelationdeproximit?Leschoixdiffrent selon les publications. Dans les deux cas, la relation dadjacence est ltat ultime dune relation de voisinage. Deux voisins ne deviennent pas ncessairement adjacents mais deux routeurs adjacents ont dabord t deux voisins. ltatadjacent,lesbasesdedonnesdeliensLSDsontsynchronises(identiques).Danslasuitedecechapitre,un voisindsigneunrouteurOSPFvoisin,unprochedsigneunrouteurOSPFadjacent. Typederseau OSPFdistinguetroistypesdemdia:
G
lesrseauxpointpoint
- 4-
lesrseauxdiffusion(BroadcastNetwork) lesrseauxquineconnaissentpasladiffusion( NonBroadcast).
Quandlerseauestsansdiffusion,OSPFpeutadopterdeuxtypesdecomportement:
G
lemodeNBMA(NonBroadcastMultiAccess) lemodepointmultipoint.
Enfin,ilfautcitergalementlapossibilitdecrerunlienvirtuel:
G
Les liens virtuels. Sans eux, la hirarchie cre laide des aires est limite deux niveaux. Le lien virtuel permetdeconnecteruneairelairebackbonedefaonlogiquesansquelairesoitphysiquementraccorde lairebackbone(voirlienvirtuel).
Rseaupointpoint Laliaison serial quirelieunepairederouteurs.Deuxvoisinsconnectsparunrseaupointpointdeviennent ncessairementadjacents.LespaquetsOSPFdestinslautreauraientpultrelaidedesonadresseIPunicast. Maisdanscecas,lerouteurauraitddcouvriraupralablecetteadresse.Cestdoncladressemulticast224.0.0.5 (quisignifietouslesrouteursOSPF, AllSPFRouters)quifaitofficedadressededestination.Cetterglesouffreune exception dans le cas de LSA retransmis, qui sont toujours mis vers ladresse unicast du demandeur. Cest bien normal,seulledemandeurestintressparlaretransmission. Rseaudiffusion Touslesrseauxquisupportentladiffusion(Broadcast),savoirEthernet,TokenRing,FDDI.Cesrseauxsontmulti accspuisquilsconnectentensembleplusdedeuxmachines.Maisenoutretouteslesmachinesreliesparcerseau peuventtredestinatairesdunseulpaquetlorsquilestmisversladressedediffusion. Commeexpliqulorsdelexpos sur larbreSPF,afinderduirelenombrederelationsdeproximitentreteniret doncletraficdacheminement,leprocessusOSPFdoitlireparmilesrouteursconnectsviacerseaudeuxrouteurs appelsDR(DesignatedRouter)etBDR(BackupDesignatedRouter)quiseverrontconfierdesmissionsparticulires. Surunrseaudiffusion,lesvoisinssontdcouvertsdefaondynamiquelaideduprotocoleOSPFHello.Quelle que soit leur origine, les messages Hello sont diffuss vers ladresse de multicast 224.0.0.5 (qui signifie tous les routeursOSPF, AllSPFRouters).CestgalementlecasdesmessagesOSPFquandilssontmisparlundesdeux routeursDRouBDR.Enrevanche,lesmessagesLSAupdateetLSAAcknowledgmentdOSPFquandilssontissus desautresrouteursprsentssurlerseaudiffusion(niDR,niBDR, DRother)etdestinsauxrouteursDRet BDR,sontmisversladressemulticast224.0.0.6(quisignifielesdeuxrouteursDRetBDR, AllDRouters). Un rappel sur les adresses de multidiffusion et la faon de former les adresses de couche 2 correspondantes a t placenAnnexe. ModeNBMA ligiblespourfonctionnerdanscemode,lesrseauxX25,FrameRelayetATMsoitunensemblederseauxWAN.Ces rseauxsontcapablesderelierplusdedeuxrouteurssanspourautantdisposerdelacapacitdediffusion. CestencoreleprotocoleOSPFHelloquiestutilisafindemaintenirlesrelationsdevoisinagemaispuisquilfautse passer de la possibilit de diffuser un message, la dcouverte des voisins ne peut se faire quau prix dune configurationsupplmentaire. CesrseauxpeuventfonctionnervisvisdOSPFcommelefontlesrseauxdiffusion,cestdireenprocdant llection dun routeur dsign ainsi qu llection dun routeur dsign de secours. Une diffrence cependant au niveaudesadressesdedestination:lemulticastntantplussupport,lensembledespaquetsOSPFestmisvers desadressesunicast. Attention,lemotclquidsignecemodedanslinterfaceILCestnonbroadcast. Modepointmultipoint Ilsagit dun rseau sans diffusion ayant fait lobjetdune configuration particulire dont il rsulte un comportement identique celui dune collection de rseaux point point. Les paquets OSPF peuvent tre mis vers ladresse multicast224.0.0.5(quisignifietouslesrouteursOSPF,AllSPFRouters).
- 5-
Lienvirtuel( VirtualLink ) Unlienverslairebackbonequitransiteparuneairequelconquediffrentede0.Exemple:
Rseaudetransit Audel de cette classification qui consiste ranger les rseaux selon les cinq types reconnus par OSPF, il faut en outre distinguer un rseau selon quil est de transit ou dextrmit. On reconnat un rseau de transit au fait quaucune des adresses source et destination des paquets observs sur ce rseau nappartient ce rseau. Les paquetsnefontquepassersurunrseaudetransit. Rseaudextrmit( Stubnetwork ) Un rseau dextrmit na quun seul routeur attach. Chaque paquet observ sur un rseau dextrmit a, soit ladressesource,soitladressedestinationquiappartientcerseau.OSPFannonceunerouteversunhtecomme tant une route vers un rseau dextrmit. De mme, les interfaces de loopback sont considres comme des rseauxdextrmitetannoncescommetels. Rseauderattachement Afin dviter les frquentes rptitions, prcisons que nous nommerons ainsi le rseau auquel linterface dont il est questionestconnecte. LSA(LinkStateAdvertisement) la diffrence des protocoles vecteur de distance qui diffusent des informations de routage (en fait les routes contenuesdanslatablederoutage),unrouteurOSPFdiffusedesinformationsdetopologie.Illefaitsousformede LSAstraduisiblesparannoncesdtatsdeliensouavisdtatsdeliens.Attention,chaquemotestpesetchaquemot compte...ChaquerouteurdanslesystmeautonomegnreunouplusieursLSA.ChaquerouteurtransmetsesLSA toussesproches.ChaquerouteurquireoitunLSAdelundesesprochesletransmetauxautresprochesdansun processusdinondation.LensembledesLSAgnrsetcollectsparunrouteurconstituelabasededonnesdtats deliens,cestdirelaLSD(LinkStateDatabase). Le RFC 2328 connat cinq types de LSA, chacun ayant une fonction propre. Les deux types les plus importants sont certainement les LSA de routeur (Type 1 : RouterLSA ) et les LSA de rseau (Type 2 : NetworkLSA ) qui dcrivent comment les routeurs et les rseaux dune zone sont interconnects. Les LSA de rsum (Type 3 et 4 : SummaryLSA ) annoncent les destinations extrieures laire ou les routeurs placs la frontire du systme autonome. Enfin les LSA externes au systme autonome (Type 5 : ASexternalLSA ) annoncent les destinations extrieuresausystmeautonome.
3.AlgorithmeDijkstradupluscourtchemin
Voilloccasiondefaireunerencontre,virtuellebiensr,avecunpersonnagedesplusintressants.MonsieurEdsger Wybe Dijkstra (1930 2002) tait physicien, mathmaticien et informaticien nerlandais. Ds 1955, il fut lun des pionniersclairsdelinformatiqueetonluidoitdenombreusescontributionsdansledomainedessystmesetcelui delaprogrammation.Cestparexempleluiquiaformalisleconceptdesmaphoreetsenestservipourrsoudre quelquesproblmesdevenusclassiquesdelinformatiquemaismisenscnedefaontrsludique:leproblmedes lecteurs et des rdacteurs (Accs aux bases de donnes) et le dner des philosophes (Partage de ressources et ordonnancement des processus en informatique systme). Monsieur Dijkstra a reu le prix Turing en 1972 (prix attribuchaqueannepourunecontributionmajeurelacommunautinformatique)etaprononccetteoccasion undiscoursrestclbreleprogrammeurmodestequilestfacilederetrouversurlenet.MonsieurDijkstratait paratiluncaractredifficileetapprciaitlesaphorismes(sentences),alorslauteurnersistepasauplaisirdevous livrerdeuxdentreeux:
- 6-
Testerunprogrammepeutdmontrerlaprsencedebugs,jamaisleurabsence Sedemandersiunordinateurpeutpenserestaussiintressantquedesedemandersiunsousmarinpeut nager.
Monsieur Dijkstra ntait pas un adepte des outils numriques et publiait ses travaux sous forme de lettres manuscritestoutesrfrencesEWD,ladernirefutEWD1318. Lalgorithme du plus court chemin, devenu algorithme de Dijkstra, fut publi en 1959. Lalgorithme rpond cette question:
G
Quelestlepluscourtcheminentredeuxsommetsdungrapheconnexedontlepoidsliauxartesestpositif ounul?
Enthoriedesgraphes,ungrapheestnotG=(S,A)o:
SestlensembledessommetsdugrapheG. Aestlensembledesartesde Gtelque:si(s 1 ,s 2 )estdans A,alorsilexisteuneartedepuislen ud s 1 verslen uds 2 .

G
Poids(s 1,s 2) est dfini sur A et renvoie un nombre positif caractrisant le cot de larte reliant s 1 s 2 (un poidsinfinicaractriseunepairedesommetsquinesontpasconnectsparunearte).
Un graphe est connexe si quels que soient les sommets u et v de S, il existe un chemin du sommet u au sommetv,cestdireunesuitedartespermettantdatteindrelesommetvenpartantdusommetu .
LefficacitetlarelativesimplicitdelalgorithmedeDijkstranintressentpasquelinformatique.Imaginezunrseau routier,chaquesommetestunevilleetchaquearteestuneroutedontlepoidsestlalongueurdelarouteexprime en kilomtres. Lalgorithme de Dijkstra est utilis par les sites qui proposent des itinraires routiers, les notions de trajetsplusrapides,pluscourts,plusconomiques...setraduisantparunajustementdupoidsdesarcs. OSPF nest pas le seul protocole de routage avoir adopt lalgorithme de Dijkstra. ISIS (Intermediate System to IntermediateSystem),protocoleIGPdfiniparlISO(normeinternationaleISO/IEC10589:2002)afaitdemme.LIETF apublilesspcificationsdISISdanslaRFC1142. Maisrevenonsaucasquinousproccupe,celuidOSPFetraisonnonssurunexemplesimplemaisconcret.Considrez lerseauciaprs:
- 7-
Cerseauestassimilableungrapheconnexe,lalgorithmedeDijkstrapeutsappliquer. Modifionsunpeulaterminologiedesgraphes,appelonsn udunsommetdegrapheetarcuneartedugraphe.Le dfi consiste trouver pour un n ud du graphe appel n ud racine, le chemin le plus court vers tous les autres n udsaccessibles.Lecheminlepluscourtestceluidontlepoidscumuldetouslesarcsverslen uddedestination estminimal,appelonsdistancelaracinecepoidscumul. Lalgorithmeutilisedeuxtablesden uds,chaquen udestassocieladistanceaun udracine.Lapremiretable estappeletableSP( ShortestPath)etcontiendralesn udspourlesquelslecheminlepluscourtadjttrouv. LasecondetableestappeletableCSP( CandidateShortestPath)etcontientlesn udspourlesquelslecheminleplus courtrestetrouver.Audmarrage,lalgorithmerangelen udracinedanslatableSPassocieunedistancede0, la table CSP est vide. Lalgorithme procde par itrations successives. chaque itration, lalgorithme effectue les actionssuivantes: 1.Calculerladistancedun udsourceverstoussesvoisins.litrationN=1,len udsourceestlen udracine.Aux itrationssuivantes,len udsourceestlen uddcoulantdelaction4delaprsenteitration. 2.Rangerlesn udsvoisinsdun udsourcedanslatableCSPassocisleurdistanceminimale. 3.Choisirlen uddistanceminimaleparmitouslesn udsprsentscetinstantdanslatableCSPetlerangeren tableSP: a. Ce faisant, le n udenquestiondisparatdelatableCSPetavecluitouslescheminsalternatifsquiavaientt trouvsverscen ud. b.PuisquilestprsentenSP,ilnyauraplusdautretentativedecheminementverscen ud. 4.Len udquivientdtrerangenSPdevientgalementlen udsourcepourlitrationvenir. Plaonsnous sur le routeur C du contexte prcdent et testons lalgorithme (chaque routeur droule le mme algorithmemaisvidemment,chaquerouteurestlen udracinedelalgorithmequildroule):
1. Nous sommes litration N= 1. Les colonnes suivantes renseignent pour litration en cours : Qui est le n ud racine?Quiestlen udsource?Quelleestladistanceaun udracine?Danslecasprsent,len udsourceest
- 8-
galement le n udracinesoitlerouteurC,ladistanceencoursest0.LesvoisinsdeCsontlesrouteursA,BetD avecdistancesrespectivesde1,3et2. 2.LestroisvoisinsdeCsontplacsenCSPassocisleursdistancesrespectives1,3et2. 3.Len uddistanceminimaleestA,ilestextraitdelaCSPetplacenSP. 4.Adevientlen udsourcepourlitrationsuivanteavecunedistancelaracinede1.
1.LesvoisinsdeAsontlesn udsFetG.LadistanceversFestgaleladistancedun udsourcesoit1,additionn aucotdulienentreAetFsoit3,cequidonneunedistancecumulede4.LadistanceversGestgaleladistance dun udsourcesoit1,additionnaucotdulienentreAetGsoit4,cequidonneunedistancecumulede5. 2.LesdeuxvoisinsdeAsontplacsenCSPassocisleursdistances4et5.ObservezgalementlapparitiondeA dans la colonne Passerelle. En effet, vu du routeur A, une seule chose importe : qui remettre les paquets ? La rponsedoittrechoisieparmilesrouteursA,BetDtousdirectementconnectsC.Puisquelecheminchoisipour rejoindrelesrouteursFetGpasseparA,lapasserelle(leprochainsaut)deCpourcesdestinationsestlerouteurA. 3.Parmitouslesn udsprsentscetinstantdanslaCSP,len uddistanceminimaleestD,ilestextraitdelaCSP etplacenSP. 4.Len udDdevientlen udsourcepourlitrationsuivante.
1.LeseulvoisindeDestlen udG.ParD,sadistancecumulelaracineestgale6. 2.UnealternativeversGparAexistedjdanslatableunmeilleurcot. 3.Parmitouslesn udsprsentscetinstantdanslatable,len uddistanceminimaleestB,ilestextraitdela CSPetplacenSP. 4.Len udBdevientlen udsourcepourlitrationsuivante.
- 9-
1.LesvoisinsdeBsontFetHauxcotsde8et9. 2.UnealternativeversFparAexistedjdanslaCSPunmeilleurcot.HestplacdansleCSP. 3.LemeilleurcandidatcetinstantestF,ilestextraitdelaCSPetplacenSP. 4.Len udFdevientlen udsourcepourlitrationsuivante.
1.LesvoisinsdeFsontBetEauxcotsde9et6. 2.UnealternativeversBparAestignorecarBestdjprsentenSP.EestplacdansleCSP. 3.LemeilleurcandidatcetinstantestG,ilestextraitdelaCSPetplacenSP. 4.Len udGdevientlen udsourcepourlitrationsuivante.
- 10 -
1.LesvoisinsdeGsontDetEauxcotsde9et10. 2.UnealternativeversDparAestignorecarDestdjprsentenSP.EdjprsentenCSPunmeilleurcot. 3.LemeilleurcandidatcetinstantestE,ilestextraitdelaCSPetplacenSP. 4.Len udEdevientlen udsourcepourlitrationsuivante.
1.LesvoisinsdeEsontGetHauxcotsde11et7. 2.UnealternativeversGparAestignorecarGestdjprsentenSP.HtaitdjprsentenCSPmaisassoci unedistancemoinsfavorable. 3.LederniercandidatcetinstantestH,ilestextraitdelaCSPetplacenSP. 4.LatableCSPestdsormaisvide,litrationcesse,larbreSPFestcomplet. ObservezlvolutiondelarbreSPFrsultantaufuretmesuredesitrations.Quandlalgorithmeatermin,latable CSPestvideetlarbreSPFrecouvretouteslesdestinations,cestpourquoionparlesouventdarbrecouvrant. Imaginons que chacun des routeurs soit connect un LAN de cot 1 lidentique de LAN C et LAN E seuls reprsents sur la figure. De la table SP quil vient de construire, le processus OSPF du routeur C peut maintenant dduirelesroutesetlesplacerdanslatablederoutage:
- 11 -
Pourjoindrelerseau... LANA LANB LANC LAND LANE LANF LANG LANH Amusezvous:
Passerpar... A B Directementconnect D A A A A
Aucotde... 2 4 1 3 7 5 6 8
ConstruisezlarbreSPFdurseaucidessous:
SolutionauchapitreAteliersetexercicescorrigs.
4.LinterfaceOSPF
a.Structuredesdonnesdelinterface
Celaatdit,OSPFpeuttrevucommeunempilementdecouchesavecencouche1,ltatdesliensdurouteur. Lesautrescouchesontbesoinsduneabsoluefiabilitdelacouche1dOSPFvisvisdesliensdurouteur.Attention laterminologie,quandOSPFparledelien(Link),ladministrateurenchargedunrseauderouteurpeuttraduirele termeparinterface. Pourremplirlesfonctionsquisontlessiennes,OSPFcreetassocieunestructurededonneschaqueinterface. Onpeutlobserverenpartielaidedelacommandeshowipospfinterface: R1100b#sh ip ospf int f0/1 FastEthernet0/1 is up, line protocol is up Internet Address 10.0.8.11/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DROTHER, Priority 1 Designated Router (ID) 1.0.0.22, Interface address 10.0.8.22 Backup Designated router (ID) 1.0.0.21, Interface address 10.0.8.21 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:01 Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 1.0.0.22 (Designated Router)
- 12 -
Adjacent with neighbor 1.0.0.21 Suppress hello for 0 neighbor(s) R1100b#
(Backup Designated Router)
Dansunautrecontexte,suruneinterfaceserialconnecteunrseauNBMA: R1100c#sh ip ospf int s0/0 Serial0/0 is up, line protocol is up Internet Address 10.0.8.11/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type NON_BROADCAST, Cost: 64 Transmit Delay is 1 sec, State DROTHER, Priority 1 Designated Router (ID) 1.0.0.22, Interface address 10.0.8.22 Backup Designated router (ID) 1.0.0.21, Interface address 10.0.8.21 Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5 Hello due in 00:00:25 Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 1.0.0.22 (Designated Router) Adjacent with neighbor 1.0.0.21 (Backup Designated Router) Suppress hello for 0 neighbor(s) Lesinformationscontenuesdanslastructuresontlessuivantes:
G
LadresseIPaffectelinterfaceetsonmasquerseau,10.0.8.11/24danslecasprsent.Touslespaquets OSPFissusdecetteinterfaceutiliserontcetteadresseentantquadresseIPsource. Lidentifiantdaire(AreaID):cetteinterfaceainsiquelerseauauquelcetteinterfaceestconnecte.Len tteOSPFdetouslespaquetsOSPFissusdecetteinterfaceportecetidentifiant.Danslacapturecidessus, lidentifiantest0,cestdirelidentifiantdelaire backbone.UndomaineOSPFpeutcomporterplusieurs airesmaislaire0doittoujourstreprsente. LidentifiantdeprocessusOSPF(ProcessID):cetidentifiantnappartientpasauprotocoleOSPFmaislIOS CISCO qui lutilise pour distinguer les diffrentes instances OSPF quand ladministrateur en a configur plusieurs.Lidentifiantdeprocessusnapasdesignificationendehorsdurouteursurlequelilestconfigur.Il esttabli1danslacapturecidessus. Lidentifiant de routeur (Router ID que nous avons choisi dabrger en RID) : 1.0.0.11. Une interface de loopbackatconfiguresurcerouteur,cestdoncladresseaffectecetteinterfacequOSPFutilisepour identifiercerouteur.Aummetitrequelidentifiantdaire,lentteOSPFdetouslespaquetsOSPFissusde cetteinterfaceportelidentifiantderouteur. Letypederseau( NetworkType),BROADCASTdanslepremiercasprsent:linterfacepeuttreconnecte lundescinqtypes{BROADCAST|NON_BROASCAST|pointtopoint|pointtomultipoint|VirtualLink}. Le cot de linterface (Cost), 1 dans le premier cas prsent, 64 dans le second : la mtrique OSPF est fondesurcettenotiondecotappliquauxpaquetssortantsdelinterface.Pardfaut,lecotdelinterface estlersultatducalcul108 /Bandwidth.lvidence,lenumrateuratchoisiunepoqueoledbit100 Mbps de la technologie Fast Ethernet ou FDDI reprsentait le dbit maximum que lonenvisageaitsurune interface.Lersultatducalculestunentiernonsignexprimsur16bitsde165535.Quandledbitet donclabandepassanteest100Mbps,lecotdelinterfaceest1.Cecotreste1quellequesoitlinterface dontledbitseraitsuprieurceluideFastEthernet.Cestvidemmentuninconvnientquilestpossible decorriger.
G
Depuislaversion11.2delIOS,ilestpossibledemodifierlabandepassantederfrencelaidede lacommandeautocostreferencebandwidthenconfigurationderouteur: R1100b#sh ip ospf int F0/0 FastEthernet0/0 is up, line protocol is up Internet Address 10.0.11.1/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 1 ......... R1100b(config)#router ospf 1 R1100b(config-router)#auto-cost reference-bandwidth ? <1-4294967> The reference bandwidth in terms of Mbits per second R1100b(config-router)#auto-cost reference-bandwidth 1000 % OSPF: Reference bandwidth is changed. Please ensure reference bandwidth is consistent across all routers.
- 13 -
R1100b(config-router)#^Z R1100b#sh ip ospf int F0/0 FastEthernet0/0 is up, line protocol is up Internet Address 10.0.11.1/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 10 .........
G
Observez le nouveau cot de linterface F0/0 aprs multiplication par 10 de la bande passante de rfrence.Commelerappellelavertissementaffichimmdiatementaprslentredelacommande, OSPF ne peut fournir des rsultats cohrents que si lensemble des routeurs qui participent au protocoleutilisentlammebandepassantederfrence.
Ledlaidetransmission InfTransDelay ,not TransmitDelay dans la capture : estimation du temps consommparlatransmissiondunpaquetLSUpdatedemisejourdestatsdeliensurcetteinterface. LesLSAcontenusdanslepaquetvoientleurgeincrmentdecettevaleurlorsdupassageparlinterface. Lavaleurdoittresuprieure0etdevraitprendreencomptelesdlaisdetransmissionetdepropagation. Ltatdelinterface(State),DROTHERdanslesdeuxcasprsents:tatactueldelinterfaceparmilestats grsparlautomatedtatsdinterfacedtailldanslasectionsuivante. Laprioritderouteur(RouterPriority):valeurutiliseparlemcanismedlectiondurouteurdsign,ainsi que du routeur dsign de secours. Ce paramtre ne concerne pas les rseaux point point ou point multipoint.Lapriorittantexprimesur8bits,ladministrateurpeutattribuertoutevaleurde0255.La valeur0entranelanonligibilitdelinterface.Lavaleur1estlavaleurpardfaut.Lavaleurconfiguresur linterface est annonce dans le contenu du paquet Hello. Dans lexemple cidessous, ladministrateur souhaite que le routeur R1100b emporte llection et devienne routeur dsign. Pour ce faire, il laisse la priorit par dfaut sur les autres interfaces concernes et ne modifie que la priorit de linterface sur le routeurR1100b:
R1100b(config)#int F0/0 R1100b(config-if)#ip ospf priority ? <0-255> Priority R1100b(config-if)#ip ospf priority 10 R1100b(config-if)#^Z R1100b#sh ip ospf int f0/0 FastEthernet0/0 is up, line protocol is up Internet Address 10.0.11.1/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 10 ......... Le routeur dsign ( Designated Router) : DR du rseau auquel linterface de ce routeur est connecte. Est affich lidentifiant RID du DR mais galement ladresse IP de linterface du DR connecte ce rseau, respectivement1.0.0.22et10.0.8.22danslesdeuxcasprsents. Lerouteurdsigndesecours( BackupDesignatedRouter):BDRdurseauauquellinterfacedecerouteur estconnecte.LeBDRestidentifidelammefaonqueleDR.RID1.0.0.21,interface10.0.8.21dansles deuxcasprsents. La priode dmission des messages Hello ( HelloInterval) : exprime en secondes, espace de temps qui sparedeuxmissionsdemessagesHello.Lavaleurconfiguresurlinterfaceestannoncedanslecontenu dupaquetHello.DeuxrouteursOSPFquisontvoisinsphysiquesmaisquinesontpasrglsaveclamme valeur HelloInterval ne peuvent devenir voisins au sens OSPF. Il parat donc logique de configurer la mmevaleursurlensembledesrouteursconnectsunrseau.Ladministrateurpeutmodifierlavaleur laidedelacommandeipospfhellointervalenconfigurationdinterface: R1100b(config)#int f0/0 R1100b(config-if)#ip ospf hello-interval ? <1-65535> Seconds R1100b(config-if)#ip ospf hello-interval 15 R1100b(config-if)# ^Z R1100b#sh ip ospf int f0/0 FastEthernet0/0 is up, line protocol is up ......... Timer intervals configured, Hello 15, Dead 60, Wait 60, Retransmit 5 .........
- 14 -
R1100b(config)#int f0/0 R1100b(config-if)#no ip ospf hello-interval 15 R1100b(config-if)#^Z R1100b#sh ip ospf int f0/0 FastEthernet0/0 is up, line protocol is up ......... Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 .........
G
Observez que les valeurs RouterDeadInterval (note Dead dans la capture) et WaitTimer (note Wait dans la capture) sont par dfaut prises gales 4 fois la valeur attribue HelloInterval. Enfinal,lavaleurattribueHelloIntervalnepeuttrequuncompromis.Endiminuantlavaleur, ladministrateur augmente la ractivit dOSPF aux changements de topologie mais dans le mme temps, augmente le trafic dacheminement. La valeur par dfaut dpend du type de rseau : 10 secondesdanslecasdunrseaudiffusion(premiercasprsent),30secondesdanslecasdun rseausansdiffusion(secondcasprsent).
Ledlai RouterDeadInterval:enlabsencedemessagesHelloreuspendantcetempsdobservation,le voisinestconsidrcommeperdu(ilnestplusvoisin).Lavaleurconfiguresurlinterfaceestannoncedans lecontenudupaquetHello.DeuxrouteursOSPFquisontvoisinsphysiquesmaisquinesontpasrglsavec lammevaleurRouterDeadIntervalnepeuventdevenirvoisinsausensOSPF.nouveau,ilfautconfigurer lammevaleursurlensembledesrouteursconnectsunrseau.Ladministrateurpeutmodifierlavaleur laidedelacommandeipospfdeadintervalenconfigurationdinterface:
R1100c(config)#int s0/0 R1100c(config-if)#ip ospf dead-interval ? <1-65535> Seconds R1100c(config-if)#ip ospf dead-interval 53 R1100c(config-if)#^Z R1100c#sh ip ospf int s0/0 ......... Timer intervals configured, Hello 10, Dead 53, Wait 53, Retransmit 5 ......... R1100c(config)#int s0/0 R1100c(config-if)#no ip ospf dead-interval 53 R1100c(config-if)#^Z R1100c#sh ip ospf int s0/0 Serial0/0 is up, line protocol is up ......... Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 ......... Le temporisateur dattente WaitTimer : dlai pendant lequel le routeur coute dans lattente de messagesHelloquiluipermettraientdedterminerquisontlesrouteursDRetBDR.Cedlaiestsollicitune seulefoisaprslactivationdelinterface.ObservezsurlacapturecidessusquecedlaiestajustparlIOS unevaleuridentiquecelledeRouterDeadInterval. LedlaiRxmtInterval,notRetransmitdanslescapturesprcdentes:exprimensecondes,cestle laps de temps qui spare lmission dun paquet OSPF et sa retransmission en labsence dacquittement. LIOSattribuelavaleur5secondespardfautmaispermetladministrateurdemodifiercettevaleurlaide delacommandeipospfretransmitintervalenconfigurationdinterface:
R1100c(config)#int S0/0 R1100c(config-if)#ip ospf retransmit-interval ? <1-65535> Seconds R1100c(config-if)#ip ospf retransmit-interval 7 R1100c(config-if)#^Z R1100c#sh ip ospf int s0/0 Serial0/0 is up, line protocol is up Internet Address 10.0.8.11/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 64 Transmit Delay is 1 sec, State DROTHER, Priority 1
- 15 -
Designated Router (ID) 1.0.0.22, Interface address 10.0.8.22 Backup Designated router (ID) 1.0.0.21, Interface address 10.0.8.21 Flush timer for old DR LSA due in 00:01:09 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 7 Hello due in 00:00:02 Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 1.0.0.21 (Backup Designated Router) Adjacent with neighbor 1.0.0.22 (Designated Router) Suppress hello for 0 neighbor(s) Message digest authentication enabled Youngest key id is 5
Helloduein...:tatactueldutemporisateurdemessagesHello.Cetemporisateurestarmlavaleur HelloInterval puisdcompte.LarrivechanceprovoquelmissiondunnouveaumessageHelloainsi quelerarmementdutemporisateur.Danslacaptureprcdente,laprochainemissionauralieudansdeux secondes. La liste des routeurs voisins ( List of neighboringrouters) : liste de lensemble des voisins sur le rseau de rattachement pour lesquels un message Hello a t reu au cours du dernier laps de temps RouterDeadInterval.Danslacaptureimmdiatementprcdente,cettelistecomportetroisrouteursmais cerouteur(R1100c)natabliunerelationdeproximitquavecdeuxdentreeux,leDRetleBDR.Eneffet, quandlerseaujustifiellectiondunDRetdunBDR,chacundesautresrouteursntablitunerelationde proximit quavec les deux routeurs dsigns. Dans le cas prsent, linformation est cohrente avec le statutactueldurouteursurcerseau( StateDROTHER). LetypedauthentificationAuType:prciselauthentificationencourssurlerseauderattachement.Les choixpossiblessont{pasdauthentification|motdepassesimple|motdepassecrypt}.Lobjetnestpas dempcherlalecturedespaquetsOSPFquitransitentsurlerseaumaisbiendauthentifier les changes entre routeurs. Observez la capture immdiatement prcdente, ladministrateur a configur une authentificationparmotdepassecrypt.Aumomentoceslignessontcrites,cestMD5quiestutilismais le RFC laisse la porte ouverte aux futures et probables volutions dans le domaine mouvant de la cryptographie. Lacldauthentification(AuthenticationKey):cepeuttrelemotdepassesimpleexprimdanscecassur 64bitsoulacllaplusrcente,commelesuggrelacapturecidessus,quandlechoixsestportsurun mot de passe crypt. Ainsi, il est possible de crer une seconde cl avant de dtruire la premire, ce qui permetunchangementdeclendouceursansperdrenilauthentificationdesmessages,nilaconnectivit OSPF.
b.Automatedtatsdinterface
LeGRAFCETsuivanttentederendremoinsaustreslesdiagrammesdtatsduRFC2328.cesujet,lauteuraplac en ligne un document crit dans une vie antrieure qui explique les rudiments de cet outil magique (grafcet.pdf disponible sur le site eni). Loutil appliqu de faon stricte prvoit dassocier chaque transition une condition logiqueappelerceptivit.Ltape(N1)quandelleestactive,validelatransitiondeltape(N1) vers ltapeN. Quandlarceptivitassociecettetransition(uneconditionlogiquequifournitunrsultatvraioufaux)devient vraie,latransitionestfranchie,ltape(N1)estdsactive,ltapeNdevientactive,latransitiondeltapeNvers ltape(N+1)estvalide.Pourlesbesoinsdelacause,nousnoussommespermisuneapplicationpeuorthodoxede loutil en associant la transition, outre une rceptivit, une action. Ceci explique les deux lments associs certainestransitionsetsparsparuntraithorizontal:llmentduhautestlarceptivit,cestdirelacondition logique qui doit devenir vraie pour franchir la transition, llment plac audessous est laction provoque par le franchissementdelatransition.
- 16 -
Seulelinterface OSPF connecte un rseau de type point point, point multipoint et virtuallink permetde rejoindredirectementuntatpleinementfonctionnel,appelPointtoPointlorsdelactivationdelinterface.Pour lesinterfacesconnectesunrseaudiffusionouunrseausansdiffusionenmodeNBMA,aboutirlundestrois tatspleinementfonctionnelsDR,BDRouDRotherncessitelepassageparuntatintermdiairedattenteWaiting . Dtaillonslestatsetvnementsdecediagrammedtats:
G
LtatDown:tatinitialdelinterface.Lesprotocolesdecoucheinfrieureindiquentquelinterfacenest pas utilisable. On ne peut ni recevoir ni envoyer du trafic OSPF sur une interface ltat Down . Les paramtresdelinterfacesontajustsleursvaleursinitiales,lestemporisateursassocissontdsactivs, linterfacenepeutbtirderelationdadjacence. Lvnement InterfaceUp :lesprotocolesdecoucheinfrieure(oulersultatduncalculdanslecasdu rseauVirtualLink)indiquentquelinterfaceestdsormaisoprationnelle.Linterfacepeutsortirdeltat Down:
G
Silerseauderattachementestdetypepointpoint,pointmultipointouVirtual Link,ltat passePointtoPoint.
- 17 -
Dans le cas contraire et si le routeur nest pas ligible (ladministrateur a rgl la valeur Router Priority0),ltatpasseDRother. Silerouteurestligible,ltatpasseWaiting. Danstouslescas,lefranchissementdelatransitionquipermetdequitterltatDownprovoque lactivationdelenvoipriodiquedemessagesHelloaveclesrestrictionssuivantesquiconcernentles rseauxsansdiffusionenmodeNBMA:
G
SilerouteurestligibledevenirDRouBDR,ilenvoielesmessagesHellotouslesautres routeurs ligibles (pralable ncessaire au mcanisme de llection). En mode NBMA, cest ladministrateur qui cre la liste des voisins. LenvoipriodiquedemessagesHelloversces voisins est obtenu en gnrant lvnement Start pour chacun des voisins de la liste. Lvnement Start intervient dans le diagramme dtats associ chaque relation de voisinage(patientez). Silerouteurnest pas ligible, il nenvoiedesmessagesHelloquauxseulsDRetBDR,sils existent.nouveau,ceciestobtenuengnrantlvnementStartdanslesdiagrammes dtatsdelarelationdevoisinagecorrespondants.
LtatPointtoPoint:linterfacetentedtablirunerelationdeproximitaveclevoisin. Lvnement InterfaceDown : les protocoles de couche infrieure indiquent que linterface nest plus oprationnelle.Quelquesoitltatactueldelinterface,lediagrammedtatsretourneltatDown. Ltat Waiting:danscettat,lerouteurcoutelesmessagesHelloafindetenterdedterminerquisont lesDRetBDR.LerouteurnestpasautorischoisirniDR,niBDR.LesvaleursDRetBDRsontinitialises 0.0.0.0. Lvnement WaitTimer : le temporisateur WaitTimer est arriv chance, le routeur a assez attendu,ilesttempsdedsignerquelsserontDRetBDR,lediagrammedtatsquitteltat Waitinget entreprend un calcul (il sagit plus de drouler un algorithme, dtaill ciaprs) afin de dterminer qui devraienttreDRetBDR. LvnementBackupSeen:cetvnementsurvientquandlerouteuraobtenulacertitudequilexisteun BDRsurlerseauderattachementouaucontraireaobtenulacertitudequilnexistaitpasdeBDRsurce rseau. Comment estil parvenu cette conclusion ? Dans le premier cas, il a reu un message Hello dont lmetteuraffirmequilestleBDR.Danslesecondcas,ilareuunmessageHellodontlmetteuraffirmequil estDRetquilnexistepasdeBDR.Danslesdeuxcas,unecommunicationbidirectionnelle(2Way)existaitau pralable avec ce voisin (le voisin physique est galement un voisin au sens OSPF). Inutile donc de rester pluslongtempsdansltatWaiting. Ltat?:cenestpasuntatprvuparleRFCmaisunarrangementdelauteurpourtenterdemodliser la complexit du RFC dans le GRAFCET. Dans ce pseudotat, le processus OSPF droule un algorithme, dtaill ciaprs, afin de dterminer qui sont DR et DBR et den dduire si ce routeur (cette interface) doit passerltatDR,BDRouDRother. LespseudovnementsElectedDR,ElectedBDRetNotelected:gnrsparlepseudotat?. EnmodeNBMA,jusquel,chacundesrouteursligiblesnenvoyaitdemessagesHelloquaux seuls autres routeurs ligibles. Le franchissement des transitions Elected DR et Elected BDR saccompagne de lactivationdelenvoipriodiquedemessagesHelloverslesvoisinsquinesontpasligibles(prioritnulle). Autrement dit, DR et BDR sur un rseau en mode NBMA envoient des messages Hello tous leurs voisins ligiblesounon.nouveau,ceciestobtenuengnrantlvnementStartdanslediagrammedtatde chacunedesrelationsdevoisinagecorrespondantes. Ltat DR : ce routeur est le routeur dsign sur le rseau de rattachement. Il doit assumer les responsabilitscorrespondantes,savoirtablirunerelationdeproximitavecchacundesautresrouteurs prsentsetgnrerunLSAdetyperseaupourreprsenterlen udrseau(patientez).CeLSAcontientla listedetouslesrouteursconnectsaurseauderattachement,ycomprisleDRluimme.ExempledeLSA derseau:
R1100c#sh ip ospf database network 10.0.8.22 OSPF Router with ID (1.0.0.11) (Process ID 1)
- 18 -
Net Link States (Area 0) Routing Bit Set on this LSA LS age: 111 Options: (No TOS-capability, DC) LS Type: Network Links Link State ID: 10.0.8.22 (address of Designated Router) Advertising Router: 1.0.0.22 LS Seq Number: 80000001 Checksum: 0x6E3E Length: 40 Network Mask: /24 Attached Router: 1.0.0.22 Attached Router: 1.0.0.21 Attached Router: 1.0.0.12 Attached Router: 1.0.0.11
LtatBDR:cerouteurestlerouteurdsigndesecourssurlerseauderattachement.Ilestappel devenirDRencasdedfaillanceduDRactuel.CommeleDR,leBDRformedesrelationsdeproximitavec lensemble des autres routeurs prsents. Comme le DR, le BDR profite des LS Update quil reoit pour maintenirjoursaLSD.ladiffrenceduDR,leBDRninondepascestdirenefaitpasprogresserlesLS UpdatereussurlerestedudomaineOSPFetnegnrepasdeLSUpdate. LtatDRother:tatdunrouteurquinatchoisinicommeDRnicommeBDRoudunrouteurquinest pasligible.LesseulesrelationsdeproximitentretenueslesontavecleDRetleBDRsilsexistent. Lvnement NeighborChange:unchangementaffectelundesvoisinsquijustifielaremiseenquestion deschoixoprsltat?.Lalistesuivanterecenseleschangementsquiprovoquentlvnement:
G
Unenouvellecommunicationbidirectionnelle(2Way,patientez)attablieavecunvoisinphysique. Ltatdelarelationdevoisinageestpass2Wayousuprieur. Aucontraire,unerelationbidirectionnellejusquiciestrepasseltatInitouinfrieur. Unrouteursedclareetcestnouveau,DRouBDR. Unrouteuretcestnouveau,nesedclareplusDRouBDR. Laprioritderouteurannonceparunvoisinachang.
Ltat de bouclage Loopback et les vnements associs LoopInd et UnLoopInd : quel que soit ltatactifdudiagrammedtats,lvnementLoopInd,gnrparlesprotocolesdecoucheinfrieureou parlagestionderseau,faitpasserdansltatLoopback.Seullvnement UnLoopInd,gnrdela mmefaonquelvnementLoopInd,peutfairesortirdecettatpourallerdansltatDown.
c.ReprsentationdesrseauxLANetNBMA
LalgorithmedeDijkstrasappliquedesgraphescompossden udsetdarcs.Pourlappliquerlaralitdenos rseauxinformatiques,ilafalluprocdercertainsamnagements:
G
Pasdeproblmeaveclesrouteursquisontvidemmentlesn udsdugraphe. Pasplusdeproblmeaveclesliaisonspointpointquisontnaturellementlesarcsdugraphe.Deuxvoisins connects par un rseau point point deviennent toujours adjacents. Les paquets OSPF sont mis vers ladressemulticast224.0.0.5(quisignifietouslesrouteursOSPF,AllSPFRouters). Enrevanche,lesrseauxaccsmultipledetypeLANouNBMAposentproblme.Cesdeuxtypesderseau permettentderelierplusieursrouteursviaunseulsupportphysique,topologiequinestpastransposableen ltatdansungraphe.
Une premire solution, qui na pas t retenue, aurait pu consister considrer les routeurs connects un LAN commetantinterconnectsparunrseauintgralementmaill:
- 19 -
Lesinconvnientsduntelchoixdeviennentvidentsquandlenombrederouteurssaccrot.SiNestlenombrede routeurs interconnects, alors chaque routeur doit entretenir N 1 relations de voisinage OSPF (patientez) et le rseaudoitsupporterautantdetraficliauxrelationsdevoisinagequilyaderelationsbilatralesentretenirsoit relations(1relationpour2routeurs,3pour3,6pour4,10pour5,15pour6,21pour7...). La solution retenue par lIETF consiste reprsenter le support physique comme tant luimme un n udauquel chaquerouteur(unn udgalement)estreliparsoninterfacerseauquidevientunarcdugraphe:
Maispuisquelen udrseau(Npour Network)reprsentantlesupportphysiquenepeutparticiperactivement auprotocoleOSPF,lundesrouteurssesubstitueluietdevientainsilerouteurdsignouDR( DesignatedRouter). Pour limiter autant que possible les consquences dune possible dfaillance du routeur dsign, la norme prvoit galementunrouteurdsigndesecoursappelBDR( BackupDesignatedRouter). Surunrseaudiffusion,utilisenmodeOSPFBroadcast,lesmessagesHellosonttoujoursmisversladresse AllSPFRouters,224.0.0.5.Demme,touslespaquetsOSPFsansdistinctionsontmisversladresseAllSPFRouters ,224.0.0.5,quandilssontissusduDRouduBDR.LesrouteursautresqueleDRouleBDR(appels DRother) envoientleurspaquetsLSupdate( LinkStateUpdate)etLSAck(LinkStateAcknowledgement)versladressemulticast 224.0.0.6quisignifielesrouteursOSPFdsigns(AllDRouters). LadministrateurchargdemettreenplaceOSPFsurunrseausansdiffusiondevrabienmatrisersonsujetcarles alternativessontaunombredetrois.Unexempledeconfigurationestfournipourchaquealternativedanslasection ConfigurationOSPFdesmodesNBMAetPointmultipointauchapitreAnnexes. Rseausansdiffusion,alternative1
la condition de relier tous les routeurs deux deux, cestdire de raliser un rseau intgralement maill (Fullymeshed),ilestpossibledereproduirelefonctionnementdOSPFsurunrseaudiffusion.Cestcertainementla solutionlaplusefficace,leseulreprochequelonpuissefairecettesolutionestsoncot(montaire).Eneffet,sil suffitdtablir6lienspourmailler4routeurs,ilenfaut120pourmaillerintgralement16routeurs. Rseausansdiffusion,alternative2
- 20 -
Le rseau est encore intgralement maill mais il nest pas possible de faire progresser les paquets multicast ncessaires au mcanisme de dcouverte automatique des voisins. Au prix dune configuration supplmentaire de chaquerouteur(dclarationdesvoisins),OSPFprocdenouveaullectiondunDRetdunBDR.Lensembledes changessefaitlaidedepaquetsunicast. Rseausansdiffusion,alternative3
Lorsquil nest pas possible de mailler intgralement les routeurs prsents sur le rseau sans diffusion, il reste la possibilitdeconfigurerlesrouteursdanslemodeditpointtomultipoint.Puisquelecomportementestidentique celuidunecollectionderseauxpointpoint,ilnyapasdlectiondeDR,nideBDR.LespaquetsOSPFpeuvent tremisversladressemulticast224.0.0.5(quisignifietouslesrouteursOSPF, AllSPFRouters ).
d.Mcanismedlectiondunrouteurdsignetdunrouteurdsigndesecours
Lalgorithmedontilestquestioniciestsollicitparlediagrammedtatsdelinterfacelorsdelapseudotape?. Remmoronsnouslecontextegnralquiencadrecemcanismedlection:
G
Linterface de chaque routeur concern sur le rseau dattachement est dote dune priorit de routeur exprime sur 8 bits et dont la valeur par dfaut stablit 1. Ladministrateur peut loisir modifier cette valeurlaidedelacommande ipospfpriorityentreenconfigurationdinterface.Unevaleur0entranela nonligibilitdelinterfacequinestdoncpasconcerneparllection. Observez le format du message Hello fourni un peu plus avant pour considrer trois champs intervenant danslemcanismedlection:lechampPriorityRouterquiannoncelaprioritdecerouteurainsiqueles champsDRetBDRquiannoncentlesadressesIPdesinterfacesquelerouteurauteurdumessageconsidre commetantcellesdesDRetBDRactuels. Lepassageltat WaitingdudiagrammedtatsdelinterfaceprovoquelinitialisationdesvariablesDR etBDR0.0.0.0. Unecommunicationbidirectionnelle(2Way)esttablieavecunoudavantagedevoisins,lamatirepremire dumcanismeconsisteencestroisvaleurspriorit,DRetBDRannoncesparchacundesvoisinsdansses messagesHello.
Dcrivonsdansunpremiertempscemcanismedefaonlittrale,ilseracommentensuite.Noussommesplacs surlerouteurX:
G
MmoriserlesvaleursactuellesdesvariablesDRetBDRafindepouvoirlescomparerauxvaleursobtenues aprsexcutiondelalgorithme. Composerleslistesderouteurssuivantes:
- 21 -
E est la liste des routeurs ligibles cestdire ceux avec qui une relation bidirectionnelle au moinsesttablieetdontlaprioritestdiffrentede0.LerouteurXsinclutdanscetteliste. ParmilesrouteursdelalisteE,extrairelesrouteurssedclarantBDRpourcomposerlalisteB . ParmilesrouteursdelalisteE,extrairelesrouteurssedclarantDRpourcomposerlalisteD. Iestlalistedesrouteursinscrits,cestdireligibleslexclusiondeceuxsedclarantDRI= E D. IBestlalistedesBDRinscrits,cestdirelesrouteursdelalisteIquisedclarentBDRIB=I B(estlesymboledelintersection).
LalgorithmedsigneBDRlerouteurdelensemble IB(routeursligiblessedclarantBDRsanssedclarer DR) dont la priorit est la plus leve. Si cet ensemble est vide, lalgorithme dsigne BDR le routeur de lensembleI(routeursligiblesquinesedclarentpasDR)dontlaprioritestlaplusleve.Silaprioritne suffitpasdpartagerplusieursrouteurs,lerouteurchoisiestceluidontleRIDestlepluslev. Lalgorithme dsigne ensuite DR le routeur de lensemble D (routeurs ligibles se dclarant DR) dont la priorit est la plus leve. Si la priorit ne suffit pas dpartager plusieurs routeurs, le routeur choisi est celuidontleRIDestlepluslev.SilensembleDestvide,lalgorithmedsigneDRlerouteurchoisientant queBDRltapeprcdenteetcetinstant,pourlalgorithme,lesrlesDRetBDRsontdoncportsparun mmerouteur. Si le routeur X a t dsign DR ou BDR alors que X ntait pas porteur de ce rle avant excution de lalgorithmeousiaucontraire,Xatdchuetnestplusporteurdecedontildisposaitavantexcutionde lalgorithme,alorslalgorithmeestexcutunenouvellefois.Parexemple,silerouteurXsestdsignDRau premierpassagedanslalgorithme,ilnestplusligibleBDRausecondpassage,onobtientainsilagarantie quaucunrouteurnepuisseseproclamerDRetBDR. Autermeducalcul,lediagrammedtatsdelinterfacedoitrejoindrelundestroistatsDR,BDRouDRother. Pourcefaire,lalgorithmegnrelundestroispseudovnementsElectedDR,ElectedBDRouNot elected. Puisque dans un rseau diffusion ou dans un rseau en mode NBMA, chacun des DRother ne btit une relationdeproximitquavecleDRetleBDR,toutchangementdidentitdelundesrouteursdsignsdoit saccompagner dune remise en question de lensemble des relations de voisinage (Mon voisin dmnage, jtaisprochedelui,jeneleseraiplus.Jeseraipeuttreprochedunouveaulocataire).Ceciestobtenuen gnrantlvnement AdjOK ? danslediagrammedtats associ chaque relation de voisinage dont ltattaitaumoins2Way(patientez).
- 22 -
Fortsdecetalgorithme,imaginonsquelquesscnarios.Quandunrouteurdevientactifsurunrseaudiffusionou NBMA,ilseplacelcoutelarecherchederouteursdsignsexistants.SildcouvreDRetBDR,illesaccepte.Sil estseulsurlerseau,ilsedclareBDRpuisdevientDRetilnyapasdeBDR.Si,surunrseauconstituoDRet BDR existaient, le DR vient disparatre, lvnement NeighborChange se produit qui provoque lexcution de lalgorithme par chacun des autres routeurs. Chaque routeur dsigne le BDR comme nouveau DR mais sans remplacer le BDR. Seul le routeur BDR, qui excute galement lalgorithme, accepte dtre le nouveau DR et sannoncecommetel.QuandlesautresrouteursperoiventunmessageHellodelexBDRquisannoncedsormais DR,ceciprovoqueunnouvelvnementNeighborChangeetparsuite,unenouvelleexcutiondelalgorithme.Lun desrouteursdevientlenouveauBDRetsannonceentantquetelcequiprovoqueunedernirefoislvnement NeighborChangeetlexcutiondelalgorithmeparlesautresrouteursquiacceptentalorslenouveauBDR. Onlevoit,laprioritinfluencelersultatdunelectionmaisnepeutremettreenquestionlesrlesdjattribus. Un DR reste DR mme si un routeur priorit plus leve arrive sur le rseau. Seule la dfaillance du DR peut provoquerllectiondunnouveauDR.UnefoislesDRetBDRlus,chacundesautresrouteurstablitunerelationde proximitaveclesdeuxrouteursdsignsetseulementaveceux.DeuxrouteursDRothernedeviennentjamais adjacents.Mettonslalgorithmelpreuveaveccettemiseensituation:
- 23 -
Les routeurs ont t dmarrs dans lordre R1100, R1200, R2100, R2200. La capture correspondante cap_2i_01.pcapestdisponibleentlchargementsurlesitedesEditionsENI.
11, 12, 21 et 22 compactent indiffremment ladresse IP de linterface ou le RID du routeur dans lillustration ci dessus.Plaonsnoussurlerouteur11(R1100).
G
TouteinterfacequisactivesurunrseaudiffusioncommenceparmettredeuxpaquetsARPgratuitsafin de vrifier que ladresse IP attribue linterface nest pas duplique sur le rseau de rattachement. Le diagramme dtats de linterface passe ltat Waiting , ce qui active lmission de messages Hello
- 24 -
priodiques.LesdeuxpremiersmessagesHellodestrames4et6disentDR=0.0.0.0,BDR=0.0.0.0etpas devoisinsactifs.
G
Levoisinphysique12sactive,metsesdeuxARPgratuits,trames7et9,puissonpremiermessageHello trame10. La rception de ce message Hello par R1100 provoque la cration dune structure de donnes pour une nouvellerelationdevoisinage,lediagrammedtatsdecetterelationpasseltatInit(patientez). Demme,larceptiondespremiersmessagesHellomisparlesvoisins21et22,trames14et20,cre nouveau deux structures de donne. Dans chaque cas, le diagramme dtats de la relation de voisinage passeltatInit. AumomentdmettrelemessageHellosuivantentrame21,R1100aaccumuluneconnaissanceplusfine desonentourage,ilpeutannoncerlestroisvoisinsquiladcouvert. De mme, les messages Hello mis par 12, 21 et 22 dans les trames 22, 24 et 28 nous apprennent que chacundecesrouteursadcouvertsestroisvoisins. Entrame22,larceptiondunmessageHellodanslequel12dit11estundemesvoisinsactif(11sevoit danslemessage)provoquelepassagedudiagrammedtatsdelarelationdevoisinageltat 2Way, la communication bidirectionnelle est tablie. Pour 11, 12 est dsormais candidat potentiel llection des routeursdsigns. Demme,larceptionduHelloentrame24faitpasserlarelationdevoisinageavec21ltat2Way. Enfin,larceptionduHelloentrame28faitpasserlarelationdevoisinageavec22ltat2Way. Ilnesepasseriendenouveauentrelatrame28etlatrame36parcequechacundesquatreprotagonistes est encore dans ltat Waiting . R1100, premier dmarr, est donc le premier en sortir environ 40 secondesaprssondmarrage.R1100drouleunepremirefoislalgorithmedecalculDR,BDR.Faisonsle aveclui:
G
E={11,12,21,22},B={},D={},I={11,12,21,22},IB={} LensembleIBestvide,lalgorithmepasseparlacasetiquete2,lesquatrecandidatsontmmepriorit. Encase3delalgorithme,cestleRIDquipermetdedpartagerlescandidats,22estdsignBDR. LensembleDestvide,lalgorithmepasseparlacase5,22estdsignDR. Ausortirdelalgorithme,R1100natnipromu,nidclass.Ilnyadoncpasbouclagedelalgorithme. LediagrammedtatsdelinterfacepasseltatDRother.
Dans la capture, nous napprenons le rsultat de ce calcul quen trame 39, cestdire bien aprs que le calculaitteffectu.Pourtant,onpeutdjdevinercersultatauvudelmissiondunerequteARPen trame37:Whohas10.0.8.22?.Ainsi,R1100quisaitqueR2200seraDR,sapprteluidcriresaLSD laidedepaquetsOSPFunicastetpourcefaire,doitdcouvrirladressephysiquedufuturDR. LemessageHelloentrame39confirmecequenouspressentions,R1100annonce22lafoisBDRetDR. Entrame42,R1100dontlarelationdevoisinageaveclefuturDRestpasseltat ExStart,tentede rgler les paramtres de lchange des paquets DBD de description de base de donnes, mais il nobtient pasderponsecarR2200estencoredansltatWaiting. Delatrame42latrame61,riennechangecarlerouteurR2200estencoredansltat Waiting.son tour,R1200estpassltat ExStart etmetlepremierpaquetDBDentrame59.Pendantcetemps, R1100quinobtientpasderponse,rptesonpremierpaquetDBDtousles RxmtInterval=5secondes (trames42,49,54). Danslestrames62,63et64,R2200rpondauxpaquetsDBDreusdesrouteurs11,12et21.Onpeuten
- 25 -
dduirequeR2200estsortideltat WaitingetadroullalgorithmedecalculDR,BDR.Illefaitavecla mme matire premire que R1100 et arrive au mme rsultat, mais cela correspond pour lui une promotion.Lalgorithmeestdoncexcutnouveau.Faisonscedeuximetouraveclui:
G
E={11,12,21,22},B={22},D={22},I={11,12,21},IB={} Lensemble IB est vide, lalgorithme passe par la case tiquete 2, les 3 candidats de lensemble I ont mmepriorit. Encase3delalgorithme,cestleRIDquipermetdedpartagerlescandidats,21estdsignBDR. LlectionduDRaupremiertournestpasremiseenquestionparcesecondtour.
LemessageHellomisparR2200entrame65confirmecersultat,R2200sannonceDRetannonce21en tantqueBDR. Vu des autres routeurs, R2200 se dclare DR et cest nouveau, ce qui se traduit par la gnration de lvnement NeighborChange dans chacun des diagrammes dtats associs aux interfaces. Chacun de cesdiagrammesrepasseaupseudotat? ,ilsensuitunenouvelleexcutiondelalgorithmedecalcul DR,BDR.PlaonsnoussurR1100etfaisonsleaveclui:
G
E={11,12,21,22},B={},D={22},I={11,12,21},IB={} Lensemble IB est vide, lalgorithme passe par la case tiquete 2, les 3 candidats de Iensemble I ont mmepriorit. Encase3delalgorithme,cestleRIDquipermetdedpartagerlescandidats,21estdsignBDR. Lepassageparlacase4delalgorithmeneremetpasenquestionlechoixduDR.
LemessageHellomisparR1100entrame110confirmecersultat.
Enformedesynthse,unecommandeshowmontreltatduvoisinagesurR1100: R1100b#sh ip ospf neighbor Neighbor ID 1.0.0.22 1.0.0.21 1.0.0.12 Pri 1 1 1 State FULL/DR FULL/BDR 2WAY/DROTHER Dead Time 00:00:39 00:00:37 00:00:32 Address 10.0.8.22 10.0.8.21 10.0.8.12 Interface FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
5.Voisinageetproximit
a.Vivonsenbonvoisinage
Deuxrouteursquisedcouvrentconstruisentunerelationdevoisinage.Cetterelationpassepardiffrentstats. Unebonneanalogiepeuttrefaiteaveclesrelationsquinouslient,nousleshommes,avecnosvoisins.Imaginez lappartementvoisinduvtreinoccup.Voilquarriveunnouveaulocataire. Lapremiretapeconsistesedcouvrirmutuellement:Tiens,jaiunnouveauvoisin!etdupointdevuedu voisinTiens,jaiunvoisin!.Lasecondetapedevraittre,loccasiondunerencontrefortuiteouprovoque,de sesaluer:Hello,jemeprsenteBrettSinclair!Hello,enchant,DannyWilde!. Les quelques propos changs pendant les premires rencontres permettent rapidement de savoir si la relation avec ce voisin va en rester l, cestdire sen tenir un change rgulier de salutations lors des rencontres invitablesdanslacagedescalierousurleparking,larelationrestealorsdevoisinage,ouvavoluerversune relationplusconstruitequipeutallerjusquserecevoirparcequelonadeschosespartager,parcequepasser unmomentensemblenousfaitplaisir.Devoisinage,larelationdevientdeproximit. De la mme faon, deux routeurs voisins physiquement vont tenter de construire une relation de voisinage dont ltatultimepeuttreunerelationdeproximit(adjacency).Afindesedcouvrirmutuellementpuisafindemaintenir ltat de leurs liens par une surveillance rciproque, les routeurs OSPF utilisent un protocole de communication appelOSPFHello.
b.LeprotocoleHello
QuoideplusnaturelquunprotocoleHellopourfaireconnaissance.InventorionslesusagesquenfaitOSPF:
G
Celaatdit,ilpermetdeuxvoisinsdesedcouvrir. Les messages Hello comportent un certain nombre de paramtres au sujet desquels les deux routeurs concerns par une relation en cours de construction doivent se mettre daccord avant de pouvoir effectivementdevenirvoisinsouproches. LesmessagesHellopuisquilssontchangsdefaonrgulirepermettentdemaintenirlarelationenvie (Keepalive). LlectiondesrouteursdsignsDRetBDRsopreparmilesinterfacesconnectesaurseauconcern, diffusion ou sans diffusion dans le mode NBMA, lorsque ces interfaces sont dans ltat voisin (2Way, patientez).
Un routeur OSPF gnre des messages Hello sur toutes ses interfaces participant au protocole, ce de faon rgulire. Pour tous les types de rseau prvus par OSPF en dehors du mode NBMA, la priode qui spare deux messagesHelloest HelloInterval,cedlaiestconfigurableparinterfacelaidedelacommande ipospfhello intervalenconfigurationdinterface.LimplmentationOSPFdeCISCOutiliseunevaleurpardfautde10secondes. SurunrseauquifonctionneselonlemodeNBMA,lesmessagesHellosontespacsdudlai PollIntervaldontla valeurpardfautsurlesrouteursCISCOstablit120secondes. Unefoisajoutlatabledevoisinage,unvoisinfaitlobjetdunesurveillancergulire.SilesmessagesHelloquele routeursattendrecevoirneluiparviennentpluspendantuntempsdobservationsuffisant,levoisinestconsidr comme perdu (il nest donc plus voisin). Cest le dlai RouterDeadInterval qui rgle la dure de ce coma pr mortem.CiscosentientlavaleursuggreparleRFC,soit4xHelloInterval,cestdire40secondespardfaut. nouveau,cettevaleurestmodifiablelaidedelacommandeipospfdeadintervalenconfigurationdinterface: R800(config-if)#ip ospf ? authentication Enable authentication authentication-key Authentication password (key) cost Interface cost database-filter Filter OSPF LSA during synchronization and flooding dead-interval Interval after which a neighbor is declared dead demand-circuit OSPF demand circuit flood-reduction OSPF Flood Reduction hello-interval Time between HELLO packets message-digest-key Message digest authentication password (key) mtu-ignore Ignores the MTU in DBD packets network Network type priority Router priority retransmit-interval Time between retransmitting lost link state advertisements transmit-delay Link state transmit delay R800(config-if)#ip ospf dead-interval ? <1-65535> Seconds R800(config-if)#ip ospf hello-interval ? <1-65535> Seconds
c.Basededonnesdevoisinage
UnrouteurquidoitconstruireunmessageHelloversunrseaulefaitenpuisantlinformationdanslastructurede donnesassocielinterfaceconnectecerseau.Puisquecetteinformationestparticulirechaqueinterface, unmmerouteurgnreautantdemessagesHellodiffrentsquiladinterfacesparticipantauprotocole.Cefaisant, le routeur informe ses voisins de ce quil est (il se prsente). De la mme faon, chaque fois quil dcouvre un nouveauvoisin,lerouteurcreunenouvelleentre(unenregistrement)danssabasededonnesdevoisinage. cetteentre,ilassocieuncertainnombredinformationsextraitesdesmessagesHelloquilreoitdecevoisin. Ilestpossibledesefaireuneidedesinformationsassociesuneentredelabasededonnesdevoisinage laidedunecommandeshowipospfneighbor.Prcisonsdabordlecontexte:
- 27 -
Danscecontexte,lersultatdelacommandeentresurlerouteurR1100b: R1100b#sh ip ospf neighbor 1.0.0.12 Neighbor 1.0.0.12, interface address 10.0.8.12 In the area 0 via interface FastEthernet0/1 Neighbor priority is 1, State is 2WAY, 2 state changes DR is 10.0.8.22 BDR is 10.0.8.21 Options is 0x2 Dead timer due in 00:00:38 Neighbor is up for 00:01:11 Index 0/0, retransmission queue length 0, number of retransmission 0 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 0, maximum is 0 Last retransmission scan time is 0 msec, maximum is 0 msec LasectionsuivantefournitunpremierdtailduformatdumessageOSPFHello.Auprixdunepetitenavigationentre cette page et la section Format des messages OSPF Le message Hello, le lecteur pourra reprer la plupart des lmentssuivantsdanslemessageHello.Leslmentsimportantsassocischaqueentresont:
G
LidentifiantRIDduvoisin(NeighborID),danslecasprsent1.0.0.12. Ladresse IP de linterface du routeur voisin connecte ce rseau, dans le cas prsent 10.0.8.12. Cette adresseatappriselaideduchampadressesourcedelentteIP.SileprocessusOSPFdecerouteura besoindenvoyerunmessageversladresseunicastdecevoisin,alorsilpeututilisercetteadresseentant quadressededestination. Lidentifiantdaire (AreaID),danslecasprsent0.Pourquedeuxrouteursvoisinsphysiquementpuissent devenirvoisinsausensOSPF,lidentifiantdairecontenudanslemessageHelloreudoitcorrespondre(tre identique : matches ) lidentifiant daire configur sur linterface de rception. Dans le cas prsent, linterfaceF0/1durouteurR1100bparticipeauprocessusOSPFpourlaire0.LemessageHelloreucontenait unidentifiantdaire0.Toutvabien,cecritrenempchepaslesdeuxinterfacesdedevenirvoisines. Linterfaceparlaquellecerouteurestconnectaurseausurlequelsetrouvelevoisin.Danslecasprsent, linterfaceFastEthernet0/1. Laprioritduvoisin(Neighborpriority)tellequelleestreuedanslesmessagesHello.Danslecasprsent,la prioritestde1,soitlavaleurpardfautsurlesrouteursCISCO.Cetteprioritestutiliseparlemcanisme dlection des routeurs dsigns DR et BDR sur les rseaux diffusion (notre contexte) ainsi que sur les rseauxsansdiffusionfonctionnantenmodeNBMA. Ltatdelarelationdevoisinage( State)quiaatteintdanslecasprsentlavaleur 2Way.Surunrseau diffusion,lesseulesrelationsquivontjusqultatdepleineadjacenceFULLsontlesrelationstablies avec le routeur dsign ainsi quavec le routeur dsign de secours. 1.0.0.12 ntant ni lun, ni lautre, la relationnedpassepasltat2Way. Le temporisateur dinactivit (InactivityTimer). chaque message Hello reu, le routeur arme ce temporisateur.SiaucunnouveaumessageHellonestreuavantRouterDeadIntervalsecondes,larelation
- 28 -
de voisinage repasse ltat initial soit ltat Down . La commande show nous informe quil reste 31 secondesavantlchance.
G
LerouteurdsignDRtelquilestinclusdanslechampDRdumessageHelloreu. LerouteurdsigndebackupBDRtelquilestinclusdanslechampBDRdumessageHelloreu.
Dans le contexte dun rseau fonctionnant en mode NBMA, la mme commande show ip ospf neighbor fait apparatreunlmentsupplmentaire: R1100c#sh ip ospf neighbor 1.0.0.12 Neighbor 1.0.0.12, interface address 10.0.8.12 In the area 0 via interface Serial0/0 Neighbor priority is 1, State is 2WAY, 7 state changes DR is 10.0.8.22 BDR is 10.0.8.21 Poll interval 120 Options is 0x2 Dead timer due in 00:01:49 Neighbor is up for 00:16:12 Index 0/0, retransmission queue length 0, number of retransmission 0 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 0, maximum is 0 Last retransmission scan time is 0 msec, maximum is 0 msec Le temporisateur PollInterval. Cette valeur est associe lentre (enregistrement) uniquement quand cette interface et linterface voisine sont connectes un rseau sans diffusion qui fonctionne en mode NBMA.Silarelationdevoisinageestltat Down(patientez),unmessageHelloestenvoyauvoisin touslesPollIntervalsecondes,priodepluslonguequecellefixeparlavaleurHelloIntervalenusage surlesautrestypesderseau.LimplmentationOSPFdeCISCOutiliseundlai PollIntervalfix 120 secondes.
Ceslmentsexistentdanschaqueenregistrementdelabasededonnesdevoisinagesanstoutefoistreaffichs lorsdelacommandeshowipospfneighbor:
G
Leboolen Master/Slave.Dansltat ExStartdelarelationdevoisinage(patientez),lesdeuxvoisins ngocientafindedterminerquiseralematredelarelationdeproximitencoursdeconstruction. Lenumrodesquenceencours( DDSequenceNumber)pourlesenvoisdepaquetsdedescriptiondebase dedonnesLSD.LeprochainpaquetDBDenvoyauvoisinporteracenumro. LesbitsInitial,MoreetMaster(patientez),lesoptionsainsiquelenumrodesquencedudernier paquet de description de base de donnes LSD reu. Cette information permet au processus OSPF de ce routeurdedistinguerunpaquetDBDreuquiseraitdupliqu. Laliste LinkStateRetransmissionList.Cestlunedestroislistesimportantesdanslasynchronisationdes LSDdedeuxrouteursadjacents.CettelistecontientlesLSAsquionttinondssurleprochesansavoir tacquitts.chaqueLSAinond,leprocessusOSPFarmeuntemporisateurdontlchanceestrgle RxmtInterval secondes. moins quentre temps, ladjacence ne soit dtruite (absence de message Hello reupendant RouterDeadIntervaletretourdelarelationltatDown)leprocessusOSPFretransmet nouveauunLSAquinauraitpastacquittquandletemporisateurassociarrivechance. La liste LinkStateSummaryList .Cette liste contient lensembledesLSAsquil faudra dcrire au voisin lorsquelarelationdevoisinageparviendraltatExchange.Cettelisteestnormalementconstituelors delvnementNegotiationDonedanslediagrammedtatsdelarelationdevoisinage(patientez). Laliste LinkStateRequestList.CettelistecontientlensembledesLSAsduvoisinquionttdcouverts plusrcentsquelesversionscontenuesdanslaLSDdecerouteur.CesLSAsquilfautobtenirferontlobjet depaquetsLinkStateRequest.AufuretmesurequelesrponsesparviennentviadespaquetsOSPF Link State Update ,la liste Link State Request List sappauvrit. Lvnement LoadingDone, dans le diagrammedtatsdelarelationdevoisinage,nepeutseproduirequunefoiscettelistevide(patientez).
Les trois listes LinkStateRetransmissionList, Data Summary List et LinkStateRequestList ne sont que des listes, cestdirequelles ne contiennent que les identifiants de LSA, qui jouent le rle de pointeursverslesenregistrementsLSAsdelabasededonnesLSD.
- 29 -
ReportezvouslasectionFormatdesmessagesOSPFLemessageHelloafindobserverlesdiffrentschampsqui permettent au routeur qui reoit ce message dalimenter les diffrents lments associs lentre (lenregistrement) de la base de donnes de voisinage. Les champs marqus par la petite flche sont ceux qui doivent correspondre entre ce routeur et le routeur voisin pour quils puissent prtendre devenir voisins au sens OSPF.
d.tatsdelarelationdevoisinage
nouveau,mettonsleGRAFCETprofitpourtenterdyvoirclairdanslestatsdelarelationdevoisinage.LeRFC voque souvent la notion dtat suprieur ... et nous ferons de mme. Expliquonsnous : tous les tats sont suprieursltat DownmaisilnyapasdtatsuprieurltatFulllestatssuprieursltatExstart sontlestatsExchange,LoadingetFull.
Un routeur OSPF entretient autant de diagrammes dtatsdelarelationdevoisinagequil a dcouvert de voisins.
- 30 -
Gardonsnous bien de traduire les termes employs par le RFC, ce sont la plupart du temps ces mmes termes quutiliseCISCOdanssonimplmentationdOSPFetdoncdanslesmessagesfournisparlinterfaceILC.Souvenons nous galement que lvolution du diagramme dtats de chaque relation de voisinage est troitement lie lvolutiondudiagrammedtats de linterface.Lacomprhensionestfaciliteenconservantlesdeuxdiagrammes souslesyeux.Commentonscediagrammedtats:
G
Ltat Down:cestltat initial dunerelationdevoisinage.Ilindiquequaucuneinformationrcentena t reue de ce voisin depuis DeadRouterInterval secondes (40 secondes par dfaut). Lactivation de lenvoipriodiquedemessagesHelloestlefaitdudiagrammedtatsdelinterface.Alorsquesurunrseau diffusion,lesmessagesHellosontdiffussetsontespacsde HelloInterval(10secondespardfaut), danslecasdunrseauenmodeNBMA,lesmessagessontenvoysversdesadressesunicastetlechoixde la priode qui spare deux missions est le fait de ce diagramme dtats ltat Down, la frquence denvoiestmoindre,ledlaiestPollInterval(120secondes). Lvnement Start : gnr par le diagramme dtats de linterface en plusieurs circonstances mais uniquementsurlesrseauxenmodeNBMA.Ilsagitenquelquesortede rveillerunvoisinetpource faire,lediagrammepasseltatAttempt. Ltat Attempt : cet tat ne sapplique quaux relations de voisinage construites sur un rseau fonctionnantenmodeNBMA.Ilsagitderveillerlevoisinavecquiilesttempsdentretenirunerelation de voisinage en augmentant la frquence denvoi des messages Hello. De PollInterval , la priode qui sparedeuxmessagesrepasseHelloInterval. Lvnement HelloReceived : un message Hello a t reu du voisin mais le RID de ce (notre) routeur napparatpasencoredanscemessage,autrementditlevoisinnapasencoredcouvertnotreexistence. QueltatactuelsoitDownouAttempt,lediagrammepasseltatInit.Deplus,letemporisateur dinactivit est arm afin de pouvoir vrifier que ce voisin est encore en vie. Larrive expiration de ce temporisateurindiqueraitquecevoisinestmort. Ltat Init :partirdeltat Initetdoncdanslestatssuprieurs,cerouteurannoncelesRIDde tous les voisins quil connat dans les messages Hello quil envoie ce voisin. De plus chaque nouvel vnementHelloReceivedrarmeletemporisateurdinactivit. Lvnement 2WayReceived:cerouteurvoitsonpropreRIDdanslechamp Neighbors dumessage Helloreu.SiltattaitInit,lediagrammepasseltat2Way. Ltat 2Way:cerouteurvoitsonpropreRIDdanslechamp NeighborsdumessageHelloreueten conclutquelacommunicationaveccevoisinestdsormaisbidirectionnelle.Cestltatultimedelarelation devoisinageavantdentamerunventuelrapprochement.SurunrseaudiffusionouNBMA,unDRouun BDRnepeuventtrechoisisqueparmilesinterfacesdontlesrelationsdevoisinageontatteintcettatou untatsuprieur. Lvnement AdjOK ? : cet vnement napparat pas directement dans le diagramme dtats de la relation de voisinage. Il est provoqu par le diagramme dtats de linterface quand le droulement de lalgorithme de dsignation du DR et du BDR a conclu au changement didentit de lun des routeurs dsigns.Deuxcassontalorsenvisageables:
G
La relation de proximit en cours avec ce voisin na plus lieu dtre, il faut rompre ladjacence et revenirltat 2Way,cequiestoprlaidedupseudovnement UndoAdj (nouveau unelibertpriseavecleRFC). Jusqu prsent, la relation avec ce voisin navaitpasdpassltat 2Way maislun des deux routeurs(luioumoi)estdevenuDRouBDRcequijustifieltablissementdunerelationdeproximit avecluioprecettefoislaidedupseudovnementDoAdj.
LtatExStart:premiretapedanslaconstructiondunerelationdeproximit.Danscettat,cerouteur et son voisin dcident de qui sera le matre, qui sera lesclave dans la relation de proximit en cours de construction puis dterminent le numro de squence DBD initial en prvision du prochain change de paquetsdedescriptiondebasededonnes.Desdeuxvoisinsdecetterelation,celuiquidisposedelaplus grandeadressedinterfacedevientlematre. Lvnement NegotiationDone : la ngociation matre/esclave a t acheve, les numros de squence DBD ont t changs (patientez). Cest lors du franchissement de cette transition que le processus constitue la liste Data Summary List . Cette liste contient lensemble des LSAs quil faudra envoyer au voisin. Lchange des paquets de description de base de donnes DBD peut commencer. Le diagramme passeltatExchange.
- 31 -
Ltat Exchange : dans cet tat, le routeur dcrit exhaustivement sa LSD laide de paquets de description de base de donnes (nots DD dans le RFC mais DBD dans linterface ILC de CISCO). Dans le mme temps, le routeur reoit des paquets DBD de son voisin et peut comparer ses LSAs avec les LSAs dtenusparsonvoisin.ChaquefoisquildcouvrequesonvoisindtientunLSAplusrcentouunLSAquilui est encore inconnu, il lajoute la liste Link State Request List . Ds ltat Exchange , il lui est dj possible de demander les LSAs plus rcents dcouverts chez ce voisin en lui envoyant des paquets LS RequestquicontiennentlesLSAsobtenirextraitsdecetteliste. Lvnement ExchangeDone:cerouteuretsonvoisinontterminladescriptionexhaustivedeleurLSD. LediagrammepasseltatLoading. Ltat Loading:cerouteurdemandesonvoisinlesLSAsquilnauraitpasencoreobtenuslaidedes paquetsLSRequest. LvnementLoadingDone:lalisteLinkStateRequestListestvide. Ltat Full : les deux voisins sont maintenant pleinement adjacents, en bref des proches, et cet tat dadjacenceoudeproximitestdignedefigurerdanslesLSAsderouteuretderseau(patientez).
e.Constructiondunerelationdevoisinage
MercidebienvouloirconsultercettesectionenayantgalementsouslesyeuxlasectionFormatdesmessagesOSPF LepaquetDBD. LepaquetDBDestutilispendantlaconstructiondunerelationdevoisinageafindedcrirelesLSAscontenusdans la LSD. La description exhaustive peut ncessiter de nombreux paquets DBD et cest pour cette raison quune procduredetype pollingatchoisie.Unetelleprocdureconsistedsignerunmatrequiprendlinitiative deschanges.LesclavenepeutmettreunpaquetDBDquenrponseunpaquetDBDreudumatre.Danslecas dOSPF, un message DBD mis par le matre est la fois une invitation recevoir et une invitation mettre. La procdurefaitcorrespondreunmessagedinvitationmettreavecsarponselaidedesnumrosdesquence DBD.
PuisqueR1100atlepremierrouteurdmarr,ilestarrivplusvitelaconclusionquilluifallaittablir une relation dadjacence avec le futur DR R2200. R1100 passe ltat ExStart et ds la trame 42, commencelmissiondepaquetsdedescriptiondebasededonnesvides,aveclesbits Initial,More etMasterSlave1.R1100achoisiunnumrodesquenceDBDgal5982.CespaquetsDBDvidessont rptstouslesRxmtIntervalsecondes,trames49et54. R2200 sort de ltat Waiting et droule lalgorithme de calcul DR, BDR. Il le fait avec la mme matire premirequeR1100etarriveaummersultat.IlestdevenuDRcequijustifieltablissementdunerelation
- 32 -
deproximitavecR1100.R2200passeltatExStartetenvoiesontourunpaquetDBDvideentrame 64dontlesbitsI,MetMSsontpositionns.R2200achoisiunnumrodesquencegal3396 .
G
R1100reoitentrame64unpaquetDBDvidedontlesbitsI,MetMSsontpositionns.R1100observeque lidentifiant de R2200 est plus lev. Ces conditions prises ensemble provoquent lvnement Negotiationdone.R1100estdsormaisesclave.Lefranchissementdelatransitionprovoqueentreautresle remplissagedelalisteLinkStateSummaryListainsiquelactivationdeltatExchange.Lenumrode squence reu et accept du matre 3396 est nouveau, il est donc interprt comme une invitation mettre.R1100peutmettresonpremierpaquetDBDnonvideentrame68.Danscepaquet,lebitInitialest 0carlediagrammedtatsaquittltat ExStart,lebitMoreest1carilyaencoredespaquets DBDsuivre,lebitMasterSlaveest0carR1100estesclave.Lenumrodesquencerenvoyfaitcho aunumrodesquencereu,soit 3396 .LepaquetcontientunentteLSAderouteurpourlerouteurdont leRIDest1.0.0.11. R2200 reoit la trame 68 et y voit un paquet DBD dont les bits I et MS sont 0 et dont le numro de squence est gal au numro de squence mis 3396 . Ces conditions prises ensemble provoquent lvnement Negotiation Done , R2200 est dsormais le matre, le diagramme dtats de la relation de voisinagepasseltatExchange.Lesclaveafaitchoaunumrodesquencemis,ceciestinterprt commeunacquittementparlematre,cequiluipermetdmettreunnouveaupaquetDBDentrame73.Dans cepaquet,lebitInitialest0carlediagrammedtatsaquittltatExStart,lebitMoreest1caril y a encore des paquets DBD suivre, le bit MasterSlave est 1 car R2200 est matre, le numro de squenceestincrmentetvaut3397 .LepaquetcontientunentteLSAderouteurpourlerouteurdontle RIDest1.0.0.22.SilesclavenavaitpasrenvoydepaquetDBDfaisantchoaunumrodesquence3396, dans le cas dune erreur de transmission par exemple, le matre aurait mis nouveau le paquet DBD contenudanslatrame64aprsRxmtIntervalsecondes. R1100 reoit la trame 73 et y voit un paquet DBD nouveau puisque porteur dun nouveau numro de squence3397 .CeciestinterprtcommeunacquittementdupaquetDBDmisentrame68etcommeune invitationmettre.MaispuisquelaLinkStateSummaryListdecetterelationdevoisinagenecomportait quunseulenttedeLSA,lalisteestdjvideetlepaquetDBDmisentrame85estunpaquetvidedont lebitMoreest0.Lenumrodesquencerenvoyfaitchoaunumrodesquencereu,soit3397 .Si le paquet DBD reu avait t porteur du mme numro de squence 3396, R1100 se serait content dmettrenouveaulepaquetDBDprcdentcontenudanslatrame68. R2200reoitlatrame85etyvoitunpaquetDBDdontlenumrodesquence3397 faitchoaunumrode squence mis. Ceci est interprt comme un acquittement par le matre, ce qui lui permet dmettre un nouveaupaquetDBDentrame96.MaispuisquelaLinkStateSummaryListdecetterelationdevoisinage ne comportait quun seul entte de LSA, la liste est dj vide et le paquet DBD mis en trame 96 est un paquetvidedontlebitMoreest0,lenumrodesquenceestincrmentetvaut3398 . R1100 reoit la trame 96 et y voit un paquet DBD porteur dun nouveau numro de squence 3398 . Lesclavedoitrenvoyerunpaquetenrponse.LepaquetDBDreualebit More0.LepaquetDBDque sapprte mettre lesclave a galement le bit More 0. Ces deux conditions prises ensemble provoquent lvnement Exchange done et par suite, lactivation de ltat Loading du diagramme dtats de la relation de voisinage. Il faut observer que lesclave gnre toujours cet vnement avant le matre. R1100 envoie un paquet DBD en trame 104 avec le bit More 0 et un numro de squence faisantchoaunumrodesquencereu,soit3398 . R2200reoitlatrame104etyvoitunpaquetDBDdontlenumrodesquence 3398 faitchoaunumro de squence mis. Ceci est interprt comme un acquittement par le matre. R2200 a dj envoy sa squencecompltedepaquetsDBDetlepaquetDBDreualebit More0.Cesdeuxconditionsprises ensemble provoquent lvnement Exchange done et par suite, lactivation de ltat Loading du diagrammedtatsdelarelationdevoisinage.
LafiguresuivantetentedillustrerlvolutiondelaLinkStateSummaryList:
- 33 -
Les protagonistes sont maintenant tous deux dans ltat Loading , cette phase de description de la LSD est termine.ChaquerouteurapucomparersesLSAsaveclesLSAsdtenusparsonvoisin.ChaqueLSAdcouvertou observ plus rcent chez le voisin a t ajout la liste Link State Request List . Ds ltat Exchange , le routeur peut dj demander les LSAs plus rcents dcouverts chez le voisin en lui envoyant des paquets LS Requestporteursdetoutoupartiedecetteliste.Danslecasprsent,lalisteestdespluscourtes.PourR1100,elle necomportequeleseulLinkStateID1.0.0.22.PourR2200,ellenecomportequeleseulLSID1.0.0.11:
La figure illustre la suite de lexemple dj utilis pour expliciter la phase dlection DR et BDR puis la phase de descriptiondesbasesdedonnes:
G
R2200adcouvertentrame68queR1100dtenaitleLSA1.0.0.11.PuisqueceLSAestencoreinconnude R2200,ilestdemandlaidedunpaquetLSRequestentrame74. Demme,R1100adcouvertentrame73queR2200dtenaitleLSA1.0.0.22.PuisqueceLSAestencore inconnudeR1100,ilestdemandlaidedunpaquetLSRequestentrame86. R2200 reoit la rponse sa requte en trame 87. La liste de demandes Link State Request List ne comportait quun seul lment, elle est maintenant vide, R2200 na plus dautre requte formuler. Ceci provoquelvnement Loading donedanslediagrammedtatsdelarelationdevoisinage.Pourtant,le
- 34 -
diagrammenepourrapasserltatFullquaprstrepassparltatLoading,cequineseproduira qulatrame104.Notezquelepaquet LSRequestdelatrame74pouvaitembarquerbienplusquune seule demande. Quand cest le cas, chaque LSA demand lest explicitement (voir Format des messages OSPFLepaquetDemandedtatdelien).
G
R1100 reoit la rponse sa requte en trame 97. La liste de demandes Link State Request List ne comportait quun seul item, elle est maintenant vide, R1100 na plus dautre requte formuler. Ceci provoquelvnement Loadingdonedanslediagrammedtatsdelarelationdevoisinageetparsuite,le passageltatFull.
LediagrammedtatsdelarelationdevoisinageentretenuparR1100poursarelationavecR2200estmaintenant dansltatFull.Demme,lediagrammeentretenuparR2200poursarelationavecR1100estdansltatFull. Les deux voisins R1100 et R2200 sont donc pleinement adjacents (des proches), leurs bases de donnes sont synchronises.IlrestemaintenantOSPFlachargedemaintenirlesLSDsynchronises,cestlobjetduprocessus dinondation.IlluifautgalementmaintenirledegrdepertinenceoudeconfiancedanschacundesLSAscontenus danslaLSD,cestlobjetduprocessusderafrachissementdesLSAs.Cesdeuxprocessustroitementimbriqussont dcritslasectionProcessusdinondationdanscechapitre.
f.Maintenance
LesquelquescommandesshowoudebugsuivantespeuventaidercomprendrelactivitdOSPFquandelleestlie aux problmes de voisinage. Le contexte est le suivant : les trois routeurs R1200, R2100 et R2200 sont oprationnelsdepuisuncertaintemps,R2200estDR,R2100estBDR.Lacommandedebugipospfadjatentre surR2200.PuisonactiveR1100. ReprezdanslacaptureprcdentelepassagedelarelationdevoisinageR1100R2200parlesdiffrentstats: 2WAY, EXSTART, EXCHANGE et FULL. Observez galement lchange de paquets DBD associs aux numros de squence. R1100 est esclave dans cet change, ladresse IP de linterface concerne est 10.0.8.11, mais puisque cetteadresseestaussilapluspetitedesquatreadressesprsentessurLAN8,onpeutdduirequeR1100aurait tesclavequellequesoitlarelationdevoisinageconstruiresurcerseau.Reprezlesdiffrentsvnements NeighborchangequiinterviennentdanslediagrammedtatsdelinterfacepuislesvnementsNegotiationdone , Exchangedone, Loadingdone quiinterviennentdanslediagrammedtatsdelarelationdevoisinage.Au final,debugfournitunrsultatpresqueaussidtaillqueceluidunanalyseurdeprotocole. R2200b#debug ip ospf adj OSPF adjacency events debugging is on 01:34:11: OSPF: 2 Way Communication to 1.0.0.11 on FastEthernet0/1, state 2WAY 01:34:11: OSPF: Neighbor change Event on interface FastEthernet0/1 01:34:11: OSPF: DR/BDR election on FastEthernet0/1 01:34:11: OSPF: Elect BDR 1.0.0.21 01:34:11: OSPF: Elect DR 1.0.0.22 01:34:11: DR: 1.0.0.22 (Id) BDR: 1.0.0.21 (Id) 01:34:11: OSPF: Send DBD to 1.0.0.11 on FastEthernet0/1 seq 0x2499 opt 0x42 flag 0x7 len 32 01:34:11: OSPF: Rcv DBD from 1.0.0.11 on FastEthernet0/1 seq 0x2499 opt 0x42 flag 0x2 len 52 mtu 1500 state EXSTART 01:34:11: OSPF: NBR Negotiation Done. We are the MASTER 01:34:11: OSPF: Send DBD to 1.0.0.11 on FastEthernet0/1 seq 0x249A opt 0x42 flag 0x3 len 132 01:34:11: OSPF: Rcv DBD from 1.0.0.11 on FastEthernet0/1 seq 0x249A opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE 01:34:11: OSPF: Send DBD to 1.0.0.11 on FastEthernet0/1 seq 0x249B opt 0x42 flag 0x1 len 32 01:34:11: OSPF: Rcv DBD from 1.0.0.11 on FastEthernet0/1 seq 0x249B opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE 01:34:11: OSPF: Exchange Done with 1.0.0.11 on FastEthernet0/1 01:34:11: OSPF: Synchronized with 1.0.0.11 on FastEthernet0/1, state FULL 01:34:11: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/1 from LOADING to FULL, Loading Done En dehors du rsultat de la commande debug, SYSLOG informe galement de lactivit OSPF lie au voisinage. Le passagedelarelationdeR2200avecsonvoisinR1100ltatFULLestsaluparunmessageSYSLOGclassau niveau5Notifications(Evnementnormalmaisimportant): 01:34:11: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/1 from LOADING to FULL, Loading Done PourR2200,undesvoisins(R1100)estarrivltatFulletcetvnementlecontraintproduireunenouvelle instanceduLSAderseau:
- 35 -
01:34:12: OSPF: Build network LSA for FastEthernet0/1, router ID 1.0.0.22 Aprs avoir fait cesser la commande debug, ladministrateur peut vrifier quelles sont les relations de voisinage entretenues par ce routeur laide de la commande show ip ospf neighbor, commande des plus utiles car elle fournituneinformationconcise.ParexemplesurR1100: R1100b#sh ip ospf neighbor Neighbor ID 1.0.0.12 1.0.0.22 1.0.0.21 Pri 1 1 1 State 2WAY/DROTHER FULL/DR FULL/BDR Dead Time 00:00:39 00:00:39 00:00:35 Address 10.0.8.12 10.0.8.22 10.0.8.21 Interface FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
6.PartagedelASenaires
a.Notiondaire
En prambule, il a t dit quOSPF met profit un concept daires afin de contenir ses exigences en ressources machine (mmoire et CPU), afin galement de rduire autant que faire se peut le trafic dacheminement. Pour mmoire, le trafic dacheminement est le trafic inhrent au protocole de routage. La bande passante consomme pourcetraficlestaudtrimentdelabandepassanteutile. DupointdevueOSPF,laireestunregroupementlogiquederouteursOSPFetdeliensentrerouteurs.laidedes airesdOSPF,ildevientpossibledesubdiviserledomaineensousdomaines.Unrouteurdansuneairedonnepeut ignorerlesdtailsdetopologiedesairesvoisines.Toutesproportionsgardes,laireestOSPFcequelazoneest DNS,unfractionnementdelinformationglobale:
G
Dans DNS, lexistence de la zone est relle, physique puisquon peut lui associer une base de donnes, lensemble des zones juxtaposes constituant la base de donnes globale. lintrieur dune zone, lensembledesserveursdenomsentretiennentlammecopiedelabasededonnesassocielazone. IlenvademmedansuneaireOSPFlaquelleilfautassocierlabasededonnesdtatsdeliens(LSD) pourlaire.lintrieurdelaire,chaquerouteurentretientlammecopiedelaLSD.
Lanalogiesarrtelcarlabasededonnesdunezonecontientlesinformationsqueladministrateurabienvouluy placeralorsquelabasededonnesLSDestautoconstruiteparlesrouteurslaidedunprocessusdinondation, chaquerouteurapportantsapierre(sesLSAs)ldifice(laLSDdelaire). UnrouteurOSPFnepartageuneLSDquaveclesautresrouteursdelammeaire.LatailledelaLSDetdonc limpactsurlammoiredesrouteurssontvidemmentplusrduitsquesilaLSDavaitdcouvrirlesystme autonomedanssonentier.
Une LSD plus rduite signifie galement moins de LSAs entretenir et des LSAs quilfautpropagermoins loin,aveclacl,uneconsommationderessourcesCPUrevuelabaisseainsiquuntraficdacheminement moindre. Dfinissonsformellementlaire:
G
Unlienouunrseauappartientuneaireetuneseule.Lesfrontiresdairessontparconsquentplaces surlesrouteursetnonsurlesliens. Uneaireestidentifieparunnumroexprimsur32bitsettotalementindpendantduplandadressageIP durseau:

G
Les identifiants daire sont formats comme des adresses IP. Laire 0 est galement laire 0.0.0.0. Tantquelidentifiantestendede256,leschosessontsimples,xou0.0.0.xidentifientune seule et mme aire. Audel de 256 (mais estce utile ?), on prfrera sans doute sen tenir au formatdcimalpoint.
Tous les routeurs frontires appartiennent au moins une aire particulire, dite backbone ou aire 0. La figuresuivanteillustrecequiestpossibleetcequinelestpas:
- 36 -
Les aires dOSPF doivent tre construites selon une topologie hirarchique autour de laire backbone, toujours prsente. Lidentifiant 0 (ou 0.0.0.0) est rserv laire backbone (littralement pine dorsale). Illustration:
TopologiehirarchiquedundomaineOSPF
Il est possible dattnuer la contrainte prcdente en tablissant un lien virtuel vers laire backbone au traversduneairenonbackbone.Illustration:
- 37 -
En relation avec le dcoupage du systme autonome en aires, il devient possible de classer le trafic en trois catgories:
G
Letraficintraaireconstituparlespaquetsquandilstransitententrerouteurssansquitterlairedontils sontissus. Letraficinteraireconstituparlespaquetsdontlesadressessourceetdestinationnappartiennentpas lammeaire. LetraficexternequanddespaquetsdoiventtransiterentreledomaineOSPFetunautresystmeautonome.
Lairebackbonealachargedersumerlesdestinationsaccessiblesduneaireetdepubliercersumauprsdes autres aires. En effet, le trafic interaire doit ncessairement transiter par laire backbone. Deux aires non backbonenepeuventchangerdirectement. CommenousauronsloccasiondeledtaillerunpeuplustardenexaminantlesdiffrentstypesdeLSAs,lchange dinformationsderoutageentreairesestessentiellementdetypevecteurdedistance.Vrifionsleenraisonnantsur lafigureprcdentelgendeTopologiehirarchiquedundomaineOSPF:
G
LeprotocoleOSPFpermetaurouteurdebordureR8deconnatrelensembledesdestinationsdanslaire8 qui lui est directement connecte. R8 annonce ces destinations dans laire 0 laide de LSAs de type rsumsderseau. LerouteurR16reoitcesLSAsrsumsderseaugrceauprocessusdinondation. ChaqueLSArsumderseauannoncparR8contientunedestinationetuncot.R16placeladestination danssatablederoutageviaR8enayantsoindemettrelecotjour.LecotcalculparR16estlasomme du cot reu et du cot pour atteindre R8. Puis R16 gnre ses propres LSAs rsums de rseau et les inondeverslaire16.
Cestbienladescriptiondunalgorithmetypevecteurdedistance.CeciexpliquegalementpourquoilesairesOSPF doivent tre construites en toile autour de laire backbone, on vite ainsi lcueil des boucles de routage que pourraitameneruntelalgorithme. Classiquement,lesarchitectesrseauenchargedelaplanificationetdudploiementdOSPFmmorisentdesordres de grandeur quant la taille maximale dune aire et le font en simposant un nombre de routeurs maximal, par exemple50.Ilnestpascertainquecettedmarchesoitlapluspertinentecarbeaucoupdautresfacteursinfluent surlaconsommationderessourcesmmoireetCPUduprocessusOSPFetnotammentlenombredeliensdelaireou le nombre de LSA rsum issus des autres aires, liste non exhaustive. Ceci explique que des aires 30 routeurs puissent tre parfois plus charges que des aires 300 routeurs. Larchitecte rseau ne peut sabsoudre dune surveillancedesressourcesconsommesaprsledploiement.Parailleurs,rienninterditdedployerOSPFdansun domaineuniquequandlinterrseauestdetailleraisonnable.Diviserundomaineenairesestunepossibilit,pas uneobligation.
b.Classifionslesrouteurs
ObservezlafigurelgendeTopologiehirarchiquedundomaineOSPFetdistinguezlesrouteurssuivants:
- 38 -
Le routeur interne : toutes ses interfaces appartiennent une seule et mme aire. Un routeur interne nentretientquuneseuleLSD. LerouteurdebordureABR(AreaBorderRouter):connecteuneaireoudavantagelairebackbone,cesten quelquesortelapasserellepourletraficinteraire.LerouteurABRaaumoinsuneinterfaceappartenant laire backbone. La vie dun ABR est videmment plus complique que celle dun routeur interne car il doit entretenirautantdeLSDquedairesconnectes.Cesrouteursjustifientprobablementuneffortquantla quantitdemmoireembarqueoulapuissanceCPU.CestlerouteurABRquirsumelatopologiedelaire oudesairesconnectespuispubliecesrsumsverslairebackbonelaidedeLSAsrsum(patientez). Lerouteurbackbone:ilaaumoinsuneinterfacedanslairebackbone.UnrouteurABRestncessairement unrouteurbackbonemaislassertioninversenestpasvraie.Demme,unrouteurinternedonttoutesles interfacesappartiennentlairebackboneestunrouteurbackbone. Le routeur frontire au systme autonome ASBR (Autonomous System Boundary Router) : lASBR est au systme autonome ce que lABR est laire, une passerelle vers les destinations externes au systme autonome.LASBRapprenddesroutesexterneslaidedeprotocolesderoutagetelsquEIGRPouBGPpuis lesinjectedansledomaineOSPF.LASBRpeuttreindiffremmentunrouteurinterne,unrouteurABRouun routeurbackbone.
c.Continuitdeservice
NoussommesdepuisunmomenthorscadreCCNA,lelecteurintressexclusivementparlacertificationpeutaller directementladescriptionduprocessusdinondation. Larchitecte rseau doit garder lesprit des rgles de bon sens et assurer un maillage suffisant mme de contournerunliendfaillant. Exemple1:
Laire 1 est sans doute insuffisamment maille et une dfaillance du lien telle quillustre peut conduire un partitionnement de laire.Fortheureusementdanscecasprcis,chaquepartitiondelaire1resteconnecteun ABR. Laire backbone considre alors les deux partitions comme deux aires distinctes. Le trafic intraaire dune partitionlautredevientuntraficinterairequitransiteparlairebackbone,leserviceestmaintenu. Exemple2
- 39 -
Lesrouteursdelairebackbonesontinsuffisammentmaillsetunliendfaillantprovoquelepartitionnementdelaire backbone.Cestvidemmentbeaucoupplusgrave,toutsepassecommesilexistaitdsormaisdeuxdomainesOSPF. Prvenircetaccidentestnouveauuntravaildarchitecte,voicideuxsolutionspossibles:
Lapremiresolutionconsistemaillerdavantagelesrouteursdelairebackbone.Danslillustrationprcdente,la dfaillancedunliendelaire0nepeutcauseruneinterruptiondeservice.Lasecondesolutionconsistertablirla connectivitentablissantunlienvirtuelautraversduneairenonbackbone.
- 40 -
7.Processusdinondation
a.Conceptsgnraux
IlfautdistinguerletraficIPutiledutraficdacheminement.ChaquerouteurOSPFeffectuesoncalculdelarbreSPFet en dduit des routes quilplaceentablederoutage.Untraficutileempruntelunedecesroutespourprogresser vers sa destination. Le trafic dacheminement consiste en tous les messages OSPF utiliss pour entretenir le protocole.cestadeduchapitre,nousavonsmisprofitlestypesdepaquetsOSPFsuivants:
G
LesmessagesHellopourdcouvrirlesvoisinspuismaintenirlesrelationsdevoisinageenvie. LespaquetsDBDpourdcrirelecontenudesLSD. LespaquetsLSRequest,LSUpdatepoursynchroniserlesbasesdedonnesLSDs.
Ces aspects du protocole ont permis de tisser un ensemble de relations de proximit qui en final construisent un rseaulogiquetrsdiffrentdurseauphysiqueetquisertdesupportautraficdacheminementdestinmaintenir lensembledesLSDsduneaireidentiques:
Danscetexemple,deuxrseauxphysiquesLAN,unTokenRingetunEthernet,sontinterconnectsparuneliaison pointpointWAN.OSPFaprocdllectiondunDRsurchacundesrseauxdiffusionpuisatabliunerelation deproximitentrelesdeuxrouteursdepartetdautredulienWAN,ainsiquentreleDRdechaquerseauLANavec les autres routeurs du rseau. La vue logique est faite dun ensemble de relations de proximits, cestdire un ensemblederelationslogiquespointpoint. Immdiatementaprsltablissementdunerelationdeproximit,lesdeuxLSDdepartetdautredelarelationsont identiques, mais elles ne le resteraient pas longtemps sans un processus destin maintenir en temps rel la cohrencedelensembledesLSDsurlaire.LaLSDcontientlensembledesLSAsgnrsparlesrouteursdelaire, cestdoncunebasededonnestopologique.Toutchangementdanslatopologiedelaire(unlienquimonteouqui tombe,unrouteurquisactiveouquidisparat...)setraduitparunchangementdansaumoinsunLSA. LeprocessusdinondationestleprocessusprvuparOSPFpourmaintenirdesbasesdedonnesdtatsde lienidentiquessurlensembledesrouteursduneaire. Le processus dinondationconsistefaireensortequetoutLSAnouveauoumodifisoitdiffuslensembledes routeursduneaire.IlutilisepourcefairelespaquetsOSPFdetype:
- 41 -
LinkStateUpdate(type4) LinkStateAcknowledgement(type5).
UnpaquetLinkStateUpdatepeutporterplusieursLSAsdistincts.Attentionbiencomprendrecepointessentiel: lesLSAsontunpeuauxpaquetsLSUpdatecequesontlesdatagrammesIPpourlestramesEthernet:
G
Pour mmoire, la trame reste locale cestdire change entre deux interfaces directement connectes. Seulledatagrammetransitedanslerseau. OnpeutfairelanalogieaveclesLSAsencapsulsdansleLSupdate.LepaquetLSupdatecommetout paquet OSPF est gnr avec une valeur TTL fixe 1. On est ainsi assur que le paquet ne puisse pas effectuerplusdunsaut.SeulleLSAtransitedanslerseau.
OSPFutiliselespaquets LSUpdatedansdeuxcirconstances:lorsquilfautrpondreunpaquet LSRequest ainsi que dans le processus dinondation des LSAs. Dans ce cas prcis, souvenonsnous quun paquet OSPF na jamaisbesoindtreacheminaudeldurseaudontilestissu.CestceconstatquiapermisdajusterlavaleurTTL despaquetsOSPF1.LaconsquenceestqueparmilesLSAsreus,unrouteurvoisindoitrencapsulerlesLSAs approprisdansdenouveauxpaquetsLSUpdatepourqueleprocessusdinondationpuisseprogresser. Pourfaireuneanalogieencoreplusose,lesLSAssontdesautostoppeursetle LSUpdate unevastevoiture break conduite par un chauffeur comprhensif. La voiture a ramass des autostoppeurs de toutes origines et de tousgesdontleseulbutestdallerpartout.Maislavoiturenedpassepaslen udroutiersuivant.Arrivce n ud,toutlemondedbarqueetlesautostoppeurscherchentunautrechauffeurcomprhensif. LadressededestinationdunpaquetLSupdatediffreselonletypederseau:
G
Rseau point point : les paquets LS Update sont envoys vers ladresse de multicast 224.0.0.5 (qui signifietouslesrouteursOSPF,AllSPFRouters). Rseaupointmultipoint:lespaquetsLSUpdatesontenvoysversladresseunicastduproche. RseaudiffusionetrseauenmodeNBMA:dtaillsciaprs.
b.Inondationsurunrseaudiffusion
Surlesrseauxdiffusion,lesDRothersformentunerelationdeproximitavecleDRetleBDR.Unpaquet LS updateissudun DRotherestdoncenvoyversladressemulticast224.0.0.6(quisignifielesdeuxrouteursDR etBDR, AllDRouters).Enretour,leDRmetleoulesLSAsnouveauxoumisjourdansunpaquetLSUpdate destin tous les routeurs adjacents sur ce rseau, il le fait en utilisant ladresse multicast 224.0.0.5. Le BDR ne participepasactivementauprocessusdinondation mais il se tient prt en profitant des LS Update reuspour mettrejoursaLSD.Illustronslaidedecetexemple:
- 42 -
La capture correspondante cap_2I_06.pcap est disponible en tlchargement sur le site ENI. Le contexte est le suivant:lerseauestoprationneldepuisuntempssuffisant.SurLAN8,R2200estDR,R2100estBDR.Linterface F0/0deR1100tombecequicontraintR1100gnrerunnouveauLSA.ComparezleLSAavantlincidentetleLSA gnraprsquelinterfacesoitdevenueinactive:
Linstance du LSA de routeur identifie par Link State ID = 1.0.0.11, LS seq Number = 0x80000002, LS checksum = 0x347a, gnre par R1100 portait deux liens avant lincident. Le RFC 2328 inventorie dix
- 43 -
circonstancesquiprovoquentlagnrationdunenouvelleinstancedeLSA.Lechangementdtatduneinterfacefait partiedecesdixvnements.R1100gnredoncunenouvelleinstancedesonLSAderouteuridentifieparLink StateID=1.0.0.11,LSseqNumber=0x80000003,LSchecksum=0xfdd5etdiffusecetteinstancedansun paquet LSUpdateversladressemulticast224.0.0.6entrame365.Cetteinstanceneporteplusquunseullien verslerseauLAN8.
c.Lesacquittements
OSPF ne peut fournir des rsultats de routage cohrents que si les LSDs des diffrents routeurs dune aire sont parfaitement identiques. Puisque les mises jour des LSAs qui composent la LSD sont propages laide du processusdinondation,ilestncessairequeceprocessussoitrenduparfaitementfiable.Unrouteurquitransmetun ou plusieurs LSAs doit obtenir lassurance que ces LSAs ont t bien reus et un routeur qui reoit des LSAs doit avoirlacertitudequecesLSAssontintgres.LouvrageCisco Notionsdebasesurlesrseauxdanslacollection CertificationsauxEditionsENIadonnloccasiondtudierlesprotocolesdecoucheTransportetlafiabilitapporte par TCP. Mais OSPF sencapsule directement dans IP, il faut se passer des garanties RIS (Remise, Intgrit, Squencement)deTCP.SiOSPFabesoindefiabilit,ildoitsefabriquercettefiabilitsurmesures.Pourcefaire, lesmcanismesmisen uvresont: 1)UnesommedecontrleestajoutedanslentteduLSAetportesurlensembleduLSAlexclusionduchamp ge(patientez). 2) Chaque LSA fait lobjetdun acquittement individuel. Un routeur qui doit acquitter un LSA peut le faire de faon expliciteouimplicite(patientez). 3)UnLSAestdotedssanaissanceduneesprancedevie.Siaucunvnementnecausesargnration,alorsil meurtdemortnaturellelexpirationdesonesprancedevieetunenouvelleinstanceestgnre(patientez).
G
Acquittementimplicite:imaginonsdeuxrouteursAetB.LerouteurAmetunouplusieursLSAsnouveauxou misjourverslerouteurB.IlsetrouvequelerouteurBquireoitcesLSAsdoitsontourmettreunou plusieursLSAsversA.Pourquoinepasprofiterdecetrainenpartancepouryglisserlesacquittements:Je veuxtedireblablablaetjenprofitepourtedirequejaibienreutesLSAsX,YetZ.Ouimaisvoil,un
- 44 -
paquetLSUpdatenepeutqueporterdesLSAs.Commentyinsrerunouplusieursacquittements?...En rptantencholesLSAsreus!
G
Acquittement explicite : les acquittements sont transmis dans des paquets LS Acknowledgement . Un paquetLSAckpeutregrouperplusieursacquittementsdeLSAs.LepaquetLSAcknembarquequeles enttesdesLSAsquilfautacquitter.
Revenons au contexte prcdent qui nous offre lopportunit de vrifier la coexistence des deux types dacquittements:
G
LeDRareuleLSAderouteur1.0.0.11etdoitsontourinonderceLSAsurtoussesproches.Illefaiten encapsulantleLSAdansunpaquet LSUpdate miscettefoisversladressemulticast224.0.0.5,trame 366. R1100reoitencholinstancedeLSAquilvientdmettre.Cestunacquittementimplicite. Sansparticiperauprocessusdinondation,leBDRdoitaumoinsacquitterleLSAreuduDR,illefaitlaide dunLSAckentrame367,cestunacquittementexplicite. R1200doitacquitterleLSAreuduDR,illefaitlaidedun LSAckentrame368,cestunacquittement explicite. Lecaschant,chacundesrouteursparmiR1200,R2100etR2200peutfaireprogresserlanouvelleinstance de LSA en lencapsulant dans un paquet LS Update puis en mettant ce paquet sur les interfaces appropries.
Parailleurs,toutenouvelleinstancedeLSAenvoyeparunrouteurversunprocheestgalementcopiedansla LinkStateRetransmissionList,listequiappartientlastructurededonnesdelinterface.Danslemmetemps,le processus OSPF arme un temporisateur dont lchanceestrgle RxmtInterval secondes.moinsquentre temps,ladjacencenesoitdtruite(absencedemessageHelloreupendant RouterDeadIntervaletretourdela relationltat Down)leprocessusOSPFretransmetnouveauunLSAquinauraitpastacquittquandle temporisateurassociarrivechance.LeLSAestpurgdelalisteunefoislacquittementreu.Quelapremire mission de linstance de LSA ait t diffuse vers une adresse multicast ou pas, un LSA retransmis lesttoujours dansunpaquetLSUpdatemisversladresseunicastduproche. Pourtrecomplet,signalonscettefacultquiconsistediffrerunacquittementdefaonaugmenterlenombrede LSAsacquittslaidedunseulpaquet LSAck.Ledlaidattentenepeutexcder RxmtIntervalsouspeine dentraner dinutiles retransmissions. Un routeur ne peut recourir systmatiquement lacquittement diffr, quelquescasrequirentunacquittementimmdiat:
G
Le routeur reoit nouveau une mme instance de LSA issue du mme proche. On parle alors de LSA dupliqu et il laisse penser que probablement, lacquittement napastreu.UnLSAdupliqujustifieun acquittementimmdiat. LgeduLSAestMaxAgeetlaLSDdurouteurquireoitleLSAnecontientpasdinstancedeceLSA.
d.InondationsurunrseauenmodeNBMA
ModifionslecontexteenremplaantLAN8delexempleprcdentparunrseausansdiffusion,lasimulationat ralisesousGNS3laideduncommutateurFrameRelay,lesrouteurssontconfigursenmodenonbroadcast (patientez):
- 45 -
La capture cap_2I_08.pcap, disponible en tlchargement, a t ralise sur linterface serial du DR. On provoquenouveaulatombedelinterfaceF0/0surR1100,cequicontraintR1100gnrerunenouvelleinstance desonLSAderouteurpuislmettreversleDRentrame22.Maiscettefois,tousleschangessoprentlaide depaquetsunicast.LeDRragitdelammefaonquesurunrseaudiffusion,cestdireeninondantleLSAmis jourlaidedunpaquetLSUpdate.Maiscepaquetestrpliquautantdefoisquilyadeprochesinformer, danslestrames23,24et25.Riennechangepourlesacquittements,leLSAissudeR1100faittoujourslobjetdun acquittementimpliciteentrame25.LeLSAissuduDRestacquittexplicitementparleBDRetR1200.
e.Choixdelinstanceconvenable
ToutLSAdbuteparunenttede20octetsquicontientnotammentlesinformationssuffisantespouridentifierle LSAsansquivoque,cesontlestroischampsLStype,LinkStateIDetAdvertisingRouter.Deplus,puisque plusieursinstancesdunmmeLSApeuventcoexisterdansledomainedacheminement,ilestncessairedepouvoir dterminerlinstancelaplusrcente.OSPFutilisepourcefairelestroischampsLSage, LSsequencenumber etLSchecksum:
G
Lge dunLSA LSage est exprim en secondes sur 16 bits sans toutefois pouvoir dpasser la valeur 3600(1heure)appelevaleur MaxAge.QuandunrouteurgnreunnouveauLSA,illuiattribuelge0. Au fur et mesure que le LSA progresse dans laire pendant le processus dinondation, chaque routeur travers(enralitchaqueinterfacedesortie,cestdirelinterfacequimetleLSArencapsuldansun nouveau paquet LS Update ) incrmente lge de InfTransDelay secondes. LIOS autorise la modificationdecettevaleurlaidedelacommande ip ospf transmitdelayenconfigurationdinterface,la valeur par dfaut est une seconde. Une instance de LSA qui a atteint la limite dge est inonde puis supprimedelaLSD. LenumrodesquenceduLSAestexprimenbinairesignsur32bits.Cenestpasunpointfondamental maistouthasard,uncourtparagrapherappelantlesfondementssurlareprsentationbinairesigneat plac dans le chapitre Annexes. Quand un routeur gnre un LSA, il lui attribu le premier numro 0x80000001(endcimal2147483647).Puischaquefoisquelerouteurproduitunenouvelleinstancede ce LSA, il incrmente le numro de squence de 1. La valeur maximale est 0x7FFFFFFF (soit en dcimal +2147483647).Quedoitfaireunrouteurquandildoitgnrerunenouvelleinstancealorsquelenumrode squence en cours est 0x7FFFFFFF ? Remarquons dabord que cest un cas trs improbable puisquen imaginantparexemplequilfaillegnrerunenouvelleinstanceparseconde(toutaussiimprobable),plusde 136annesseraientncessairespouratteindrelavaleurmaximale.Laprocdureprvoitdeffacerdansun premiertempstouteslesoccurrencesduLSAnumrodesquencemaximaleninondantleLSAdanslequel lerouteuraprissoinderglerlavaleurAgeMaxAge.UnefoislacquittementdeceLSA(prmaturment vieilli)reu,lerouteurpeutalorsinonderunLSAnouveauaveclenumrodesquencerglaunumrode squenceinitial,soit0x80000001. Lasommedecontrle LSchecksumestcalculeselonlalgorithmedeFletcherdcritdansleRFC1146. Pour mmoire, lalgorithme classique consiste additionner simplement tous les mots de 16 bits contenus dans le message dont il faut vrifier lintgrit. Un tel algorithme est incapable de dtecter par exemple linsertionoulasuppressiondunoctet0,cequesaitfaireenrevanchelalgorithmedeFletcher.Lasomme de contrle porte sur lensemble du LSA lexclusion du champ ge. En effet, inclure ce champ aurait contraintrecalculerlasommechaqueincrmentationdelge.Biensr,unLSAvieillitgalementquandil restedanslaLSD,lIOSmaintientsongejour.
Quand un routeur reoit plusieurs instances dunmmeLSA,ildterminelaplusrcenteendroulantlalgorithme suivant:

1.Leprocessuscomparelesnumrosdesquence,lenumrodesquencelepluslevestleplusrcent. 2.Silesnumrosdesquencesontidentiques,leprocessuscomparelessommesdecontrle.LeLSAdontlasomme decontrleestlaplusleveestleLSAleplusrcent(cestarbitrairemaisilfallaitfaireunchoix). 3.Encasdgalitdessommesdecontrle,leprocessuscomparelgedesdiffrentesinstances.Quandlunedes instancesestdotedungegal MaxAge,elleestconsidrecommelaplusrcente.Danslecascontraire,si les ges diffrent de plus de 15 minutes ( MaxAgeDiff), le LSA qui est dot de lge le moins lev est le plus rcent. 4. Si aucune des conditions prcdentes nest ralise, alors lalgorithme considre les instances de LSA comme tantidentiques.
8.LabasededonnesdtatsdeliensouLSD
Encore une fois, cest bien dune base de donnes topologiques quil sagit. La LSD (Link State Database) contient lensembledesLSAsgnrsoucollectsparunrouteur.Delafiabilitdesarplicationsurlensembledesrouteurs duneairedpendlafiabilitdesroutesajoutesentablederoutage. Comme notre habitude maintenant, nous fonderons les explications qui suivent sur une mise en situation que le lecteurserainvitreproduiredanslatelierdecechapitre,toujourssousGNS3,lesrouteurschoisissontdes2621, limageIOSestik9smz.12240a.binchoisiepoursacompacit,48ModeRAMluisuffisent:
Ledomaineatpartagendeuxaires0et8,cedefaonavoiraumoinsunrouteurABRdanslatopologiecarseul cerouteurgnredesLSAsdetypersum(types3et4,patientez).Demme,ledomaineOSPFnenglobepasLAN9 de faon disposer dun routeur ASBR, le seul gnrer des LSAs externes lAS (Type 5, patientez), de faon galement offrir un cas o il est ncessaire de redistribuer des routes vers le protocole OSPF. Sur chacun des routeursatconfigurelinterfacedeloopback0,ladresseIPattribueest1.0.0.XquandlerouteurestnommRX. CestunefaonpourladministrateurdematriserleRIDattribuchaquerouteur(leRIDdeR11est1.0.0.11...)et parsuitedeprvoirlersultatdellectiondesrouteursdsigns. Les rseaux LAN1, LAN8 et LAN16 sont tous trois diffusion et ont t le thtre dune lection DR, BDR. Les interfacesluesDRsontf0/1deR12pourLAN8,f0/1deR16pourLAN1etf0/1deR22pourLAN16.Seulslesrouteurs dontaumoinsuneinterfaceestlueDRgnrentdesLSAsdetyperseau(type2,patientez).Lafigureprcdente inventorielestypesdeLSAsgnrsparchacundesrouteurs. Il est possible dobserver le contenu de la LSD laide dune commande show ip ospf database. Linformation propose est condense, seuls les enttes de LSAs sont affichs. Observez la capture suivante. Sans avoir la topologiesouslesyeux,ilestpossiblededduirequeledomaineOSPFatdivisendeuxairesoudavantageet quelerouteurR8estunABR.Eneffet,unepartiedesLSAsappartientlaire0,lautre partie appartient laire8. InventoriezlesdiffrentstypesdeLSAscontenusdanschaqueaire:
- 47 -
R8#sh ip ospf database OSPF Router with ID (1.0.0.8) (Process ID 1) Router Link States (Area 0) Link ID 1.0.0.8 1.0.0.9 1.0.0.16 1.0.0.21 1.0.0.22 ADV Router 1.0.0.8 1.0.0.9 1.0.0.16 1.0.0.21 1.0.0.22 Age 1160 1167 1161 1184 1183 Seq# 0x80000003 0x80000002 0x80000006 0x80000002 0x80000002 Checksum 0x00BFA2 0x00161A 0x0007D4 0x00A3D2 0x00B6BB Link count 5 2 4 2 2
Net Link States (Area 0) Link ID 10.0.1.16 10.0.16.22 ADV Router 1.0.0.16 1.0.0.22 Age 1171 1184 Seq# Checksum 0x80000001 0x002BC8 0x80000001 0x00644C
Summary Net Link States (Area 0) Link ID 10.0.8.0 10.0.11.0 10.0.12.0 ADV Router 1.0.0.8 1.0.0.8 1.0.0.8 Age 1135 1141 1141 Seq# 0x80000003 0x80000001 0x80000001 Checksum 0x007BA3 0x0068B4 0x005DBE
Router Link States (Area 8) Link ID 1.0.0.8 1.0.0.11 1.0.0.12 ADV Router 1.0.0.8 1.0.0.11 1.0.0.12 Age 1147 1147 1147 Seq# 0x80000002 0x80000002 0x80000002 Checksum 0x00A442 0x00CFE8 0x00E2D1 Link count 1 2 2
Net Link States (Area 8) Link ID 10.0.8.12 ADV Router 1.0.0.12 Age 1148 Seq# Checksum 0x80000001 0x00D315
Summary Net Link States (Area 8) Link ID 10.0.1.0 10.0.2.0 10.0.16.0 10.0.21.0 10.0.22.0 192.168.1.224 ADV Router 1.0.0.8 1.0.0.8 1.0.0.8 1.0.0.8 1.0.0.8 1.0.0.8 Age 1156 1172 1162 1162 1162 1172 Seq# 0x80000003 0x80000001 0x80000001 0x80000001 0x80000001 0x80000001 Checksum 0x00C85D 0x00F215 0x0031E6 0x00040E 0x00F818 0x00F3D7
Summary ASB Link States (Area 8) Link ID 1.0.0.9 ADV Router 1.0.0.8 Age 1162 Seq# Checksum 0x80000001 0x0016F2
Type-5 AS External Link States Link ID 1.0.0.0 172.26.9.0 R8# ADV Router 1.0.0.9 1.0.0.9 Age 1169 1169 Seq# Checksum Tag 0x80000001 0x003768 0 0x80000001 0x00E2ED 0
UnvritablerouteurenproductionauraitsrementunelistedeLSAsbienplustenduequecelledenotremodeste mise en situation. Il peut tre utile dans ce cas dentrer la commande show ip ospf database databasesummary, commandequifournitunrsumducondensprcdent: R8#show ip ospf database database-summary OSPF Router with ID (1.0.0.8) (Process ID 1) Area 0 database summary
- 48 -
LSA Type Router Network Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal
Count 5 2 3 0 0 0 0 10
Delete 0 0 0 0 0 0 0 0
Maxage 0 0 0 0 0 0 0 0
Area 8 database summary LSA Type Count Delete Router 3 0 Network 1 0 Summary Net 6 0 Summary ASBR 1 0 Type-7 Ext 0 0 Opaque Link 0 0 Opaque Area 0 0 Subtotal 11 0
Maxage 0 0 0 0 0 0 0 0
Process 1 database summary LSA Type Count Delete Maxage Router 8 0 0 Network 3 0 0 Summary Net 9 0 0 Summary ASBR 1 0 0 Type-7 Ext 0 0 0 Opaque Link 0 0 0 Opaque Area 0 0 0 Type-5 Ext 2 0 0 Opaque AS 0 0 0 Total 23 0 0 R8#
a.RafrachissementdesLSAs
CommeprcislasectionChoixdelinstanceconvenable,unLSAnataveclge0puisvieillit,soitquandiltransite paruneinterfacedesortie,soitaufuretmesurequilrsidedanslaLSD.UnLSAquiatteintlalimitedgenest pasutilisdanslecalculdelatablederoutage.UnrouteurquiporteunLSAdontlgeatteintlalimite,tentedele supprimer de laire OSPF en linondant comme sil sagissait dune nouvelle instance de LSA. Comme pour toute nouvelle instance, le LSA est galement copi dans la Link State Retransmission List de chaque interface concerne.LeLSAestpurgdunelisteunefoislacquittementreusurlinterfaceconcerne.Siaucundesvoisins nest dans ltat Exchange ou Loading , un LSA de MaxAge est supprim de la LSD quand il nest plus contenudansaucunedeslistesLinkStateRetransmissionList. Enpratique,saufaccident(disparitiondurouteurquiagnrceLSA),lgedunLSAnedevraitpasatteindrelge limite.LeRFC2328inventoriedixvnementssusceptiblesdeprovoquerlagnrationdunenouvelleinstancede LSA.RappelonsquequandunrouteurgnreunenouvelleinstancedesonLSAoudelundesesLSAs,lenumro desquenceduLSAestincrmentde1etlgeduLSAremis0.Laplacemanquepourpasserenrevuecesdix vnements,citonsquandmme:
G
LechangementdtatduneinterfacequincessitedeproduireunenouvelleinstancedeLSAderouteur. UnchangementderouteurdsignDRsurlerseauderattachementquincessitegalementdeproduire unenouvelleinstancedeLSAderouteur.Deplus,sicerouteurestluDR,ildoitproduireunnouveauLSAde rseau.SicerouteurtaitDRetnelestplus,leLSAderseauquilagnrparlepassdoittresupprim desLSDsdelaire. Lechamp LSagedelundesLSAsatteintlavaleur LSRefreshTime(30minutes).Danscecas,quelque soit le contenu du LSA modifi ou pas (cest le seul vnement parmi les dix inventoris imposer une nouvellegnrationquelecontenuduLSAaitchangoupas),lerouteurloriginedelacrationdeceLSA doitgnrerunenouvelleinstancedesonLSA.
CedernierlmentestcapitalcarilsignifiequelesLSAssontrafrachiesdefaonpriodiqueetsystmatique,cequi ajoutelarobustesseduprotocole.Eneffet,lesLSAsdoiventtremaintenusenviepourresterdanslesLSDs.Un LSA oubli finirait par disparatre, atteint par la limite dge. Un LSA corrompu est finalement remplac par le rafrachissementsuivant.
- 49 -
Lautre intrt dassocier de faon individuelle un ge chaque LSA est que prcisment, chaque LSA vit sa vie. Imaginez un instant que tous les LSA soient rafrachis en mme temps, il sen suivrait un processus dinondation globalquincessiteraitponctuellementuntraficdacheminementpeuttretrsconsommateurdebandepassante etdoncmmedecompromettreletraficutile.Aulieudecela,unLSAestrgnrpuisinondpuisunautreou deuxouaucunetainsidesuite,sibienquedefaonglobale,letraficdacheminementestrparti(liss)defaon suffisammentalatoiredansletemps. Mais le mieux tant lennemi du bien, on en vient regretter que ce trafic soit si miett car chaque nouvelle instancedeLSAinondepeutncessiterdtretransporteparunpaquet LSUpdate(unpaquetparsaut,donc autantdepaquetsquedesautsfranchirdanslerseaulogiqueconstituparlesrelationsdeproximit).Labande passante est plus efficacement consomme quand un paquet LS Update (lavoitureBreak)embarqueplusieurs LSAs. Comment faire pour raliser un compromis entre un temporisateur unique (les LSAs sont tous rafrachis en mmetemps)etuntemporisateurindividuelparLSA? Rflchissonsnouveauavecnotreparaboledelavoiturebreaketdesautostoppeurs.Unpremierautostoppeur estmontdanslavoiture.Pourtant,lechauffeurdcidmenttrscomprhensif,dcidedediffrerunpeusondpart car il reste des places libres dans le vhicule dont pourraient peuttre profiter dautres autostoppeurs, la conditionquilsnetardentpastropsemanifester. Cest la solution propose par lIOS CISCO partir de la version 11.3AA et nomme pacing lsagroup .Avec ce mcanisme,lestemporisateursassocischaqueLSAsontbienindividuelsmaisilsnesontrafrachisquetousles pacinglsagroupsecondes,240secondespardfaut.Sibienquequandcetemporisateurexpire,touslesLSAsqui doiventfairelobjetdunenouvelleinstance(cestdiretousceuxdontlge+4minutesdpasse LSRefreshTime )peuventtregroupsavantdtreinonds.Lacommande timerspacinglsagroupxenmodedeconfiguration globaletablitletemporisateurpacinglsagroupxsecondes,xdoittrecomprisentre10et1800secondes.
b.LesdiffrentstypesdeLSA
Type 1 2 3 4 5 Description RouterLSA,LSAderouteur NetworkLSA,LSAderseau SummaryNetLSA,LSArsumderseau SummaryASBRLSA,LSArsumASBR ASexternalLSA,LSAexternelAS Aire Aire Aire Aire DomaineOSPFdanssonentier Inonddans...
DautrestypesexistenthorsRFC2328etquidpassentlecadredecetteprsentation,ilsneserontquvoqus. LSAderouteur(RouterLSA) CestcertainementleLSAleplusimportantpuisquilestgnrparchacundesrouteurscommelattestelersultat delacommande showipospfdatabase.LeLSAderouteurestinondsurlensembledesrouteursdelairedontil estissu.IlestpossiblededemandernevisualiserquelesLSAderouteurlaidedelacommande showipospf database router, voire de demander le dtail dun LSA laide de la commande show ip ospf database router #LSID.DanslecasdunLSAderouteur,LSIDestenfaitleRIDdurouteurquiagnrleLSA.
- 50 -
ObservezlesdeuxLSAsderouteurgnrsparlABRR8,lunestinonddanslaire0etcomportecinqliens,lautre estinonddanslaire8etnecomportequunlien.Danslaire0,leLSAadjfaitlobjetdesixinstances,ladernire remonteunpeuplusde31minutes: R8#sh ip ospf database router 1.0.0.8 OSPF Router with ID (1.0.0.8) (Process ID 1) Router Link States (Area 0) LS age: 1890 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 1.0.0.8 Advertising Router: 1.0.0.8 LS Seq Number: 80000006 Checksum: 0xB9A5 Length: 84 Area Border Router Number of Links: 5 Link connected to: another Router (point-to-point) (Link ID) Neighboring Router ID: 1.0.0.9 (Link Data) Router Interface address: 192.168.1.226 Number of TOS metrics: 0 TOS 0 Metrics: 1562 Link connected to: a Stub Network (Link ID) Network/subnet number: 192.168.1.224 (Link Data) Network Mask: 255.255.255.252 Number of TOS metrics: 0 TOS 0 Metrics: 1562 Link connected to: another Router (point-to-point) (Link ID) Neighboring Router ID: 1.0.0.16 (Link Data) Router Interface address: 10.0.2.8 Number of TOS metrics: 0 TOS 0 Metrics: 1562 Link connected to: a Stub Network (Link ID) Network/subnet number: 10.0.2.0 (Link Data) Network Mask: 255.255.255.0 Number of TOS metrics: 0
- 51 -
TOS 0 Metrics: 1562 Link connected to: a Transit Network (Link ID) Designated Router address: 10.0.1.16 (Link Data) Router Interface address: 10.0.1.8 Number of TOS metrics: 0 TOS 0 Metrics: 1 Router Link States (Area 8) LS age: 1891 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 1.0.0.8 Advertising Router: 1.0.0.8 LS Seq Number: 80000005 Checksum: 0x9E45 Length: 36 Area Border Router Number of Links: 1 Link connected to: a Transit Network (Link ID) Designated Router address: 10.0.8.12 (Link Data) Router Interface address: 10.0.8.8 Number of TOS metrics: 0 TOS 0 Metrics: 1 LSAderseau(NetworkLSA) Souvenonsnousquelesupportphysiquedunrseaudiffusionestassimilunn udauquelchaquerouteur(un n ud galement) est reli par son interface rseau qui devient un arc du graphe. Mais puisque le n ud rseau reprsentant le support physique ne peut participer activement au protocole OSPF, le DR se substitue lui. Cest doncleDRquidoitgnrerleLSAderseau,LSAquireprsentelen uddusupport.LeLSAderseaunumre lensemble des routeurs connects au rseau de rattachement, y compris le DR luimme. Le LSA de rseau est inondsurlensembledesrouteursdelairedontilestissu.
Ladministrateur peut visualiser lensemble des LSAs de rseau laide de la commande show ip ospf database network: R8#show ip ospf database network OSPF Router with ID (1.0.0.8) (Process ID 1) Net Link States (Area 0) Routing Bit Set on this LSA LS age: 40 Options: (No TOS-capability, DC) LS Type: Network Links Link State ID: 10.0.1.16 (address of Designated Router) Advertising Router: 1.0.0.16 LS Seq Number: 80000001 Checksum: 0x2BC8
Length: 32 Network Mask: /24 Attached Router: 1.0.0.16 Attached Router: 1.0.0.8 Routing Bit Set on this LSA LS age: 64 Options: (No TOS-capability, DC) LS Type: Network Links Link State ID: 10.0.16.22 (address of Designated Router) Advertising Router: 1.0.0.22 LS Seq Number: 80000002 Checksum: 0x624D Length: 36 Network Mask: /24 Attached Router: 1.0.0.22 Attached Router: 1.0.0.16 Attached Router: 1.0.0.21 Net Link States (Area 8) Routing Bit Set on this LSA LS age: 41 Options: (No TOS-capability, DC) LS Type: Network Links Link State ID: 10.0.8.12 (address of Designated Router) Advertising Router: 1.0.0.12 LS Seq Number: 80000002 Checksum: 0xD116 Length: 36 Network Mask: /24 Attached Router: 1.0.0.12 Attached Router: 1.0.0.8 Attached Router: 1.0.0.11 nouveau,puisqueR8estunABR,ilcontientlesLSAsderseaudelaire0etdelaire8.Observezquelidentifiant LinkStateIDdunLSAderseaunestautrequeladresseIPdelinterfaceduDRsurlerseauderattachement. LSArsumderseau(SummaryNetLSA) SeulunABRpeutgnrerunLSArsumderseau.IlgnreuntelLSApourchaquedestinationaccessibleparlui endehorsdelaire.Ainsi,R8dansnotreatelierOSPFgnretroisLSArsumsderseaupourannoncerdanslaire 0lestroisdestinationsquilconnatdanslaire8,savoirlesrseaux10.0.8.0/24,10.0.11.0/24et10.0.12.0/24.De la mme faon, il gnre six LSA rsums de rseau pour annoncer dans laire 8 les six destinations quil connat dans laire 0, savoir les rseaux 10.0.1.0/24, 10.0.2.0/24, 10.0.16.0/24, 10.0.21.0/24, 10.0.22.0/24 et 192.168.1.224/30.
- 53 -
Ladministrateur peut visualiser lensemble des LSAs rsums de rseau laide de la commande show ip ospf databasesummary.Danslacapturecidessous,laLSDdelaire0comportetroisLSArsumsderseautoustrois gnrsparlABRR8. R16#show ip ospf database summary OSPF Router with ID (1.0.0.16) (Process ID 1) Summary Net Link States (Area 0) Routing Bit Set on this LSA LS age: 738 Options: (No TOS-capability, DC, Upward) LS Type: Summary Links(Network) Link State ID: 10.0.8.0 (summary Network Number) Advertising Router: 1.0.0.8 LS Seq Number: 80000001 Checksum: 0x7FA1 Length: 28 Network Mask: /24 TOS: 0 Metric: 1 Routing Bit Set on this LSA LS age: 738 Options: (No TOS-capability, DC, Upward) LS Type: Summary Links(Network) Link State ID: 10.0.11.0 (summary Network Number) Advertising Router: 1.0.0.8 LS Seq Number: 80000001 Checksum: 0x68B4 Length: 28 Network Mask: /24 TOS: 0 Metric: 2 Routing Bit Set on this LSA LS age: 739 Options: (No TOS-capability, DC, Upward) LS Type: Summary Links(Network) Link State ID: 10.0.12.0 (summary Network Number) Advertising Router: 1.0.0.8 LS Seq Number: 80000001 Checksum: 0x5DBE
- 54 -
Length: 28 Network Mask: /24 TOS: 0 Metric: 2 Dans la capture cidessous,laLSDcomporteparmidautres un LSA rsum de rseau qui annonce une route par dfautvialABR.CeLSAdoitsonexistenceaufaitquelaconfigurationdelaire8atmodifiepourenfaireune zonedebout( area8stubenconfigurationderouteurOSPFsurchacundestroisrouteursR8,R11etR12): R11#sh ip ospf database summary OSPF Router with ID (1.0.0.11) (Process ID 1) Summary Net Link States (Area 8) Routing Bit Set on this LSA LS age: 119 Options: (No TOS-capability, DC, Upward) LS Type: Summary Links(Network) Link State ID: 0.0.0.0 (summary Network Number) Advertising Router: 1.0.0.8 LS Seq Number: 80000001 Checksum: 0x78BC Length: 28 Network Mask: /0 TOS: 0 Metric: 1 ......... 6 autres LSA suivent ......... Link State ID: 10.0.1.0 (summary Network Number) Link State ID: 10.0.2.0 (summary Network Number) Link State ID: 10.0.16.0 (summary Network Number) Link State ID: 10.0.21.0 (summary Network Number) Link State ID: 10.0.22.0 (summary Network Number) Link State ID: 192.168.1.224 (summary Network Number) Observezquechaquedestinationannonceestassocieuncot.SilABRconnatunemmedestinationviadeux routesdiffrentes,ilnannonceladestinationuneseulefoisassocieaumeilleurcot. Quandunrouteur(R11parexemple)reoitunLSArsumderseaudunABR(R8),ilinclutladestinationannonce danssatablederoutagevialABR.LecotdelarouteajouteestlasommeducotannoncdansleLSArsumet du cot pour atteindre lABR. En poursuivant lexemple, le LSA rsum identifi 10.0.16.0 a t annonc par lABR avecuncotde2.R11saitjoindreR8avecuncotde1,R11ajouteuneroutevers10.0.16.0vialABRaucotde3: R11#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is 10.0.8.8 to network 0.0.0.0 ......... O IA 10.0.16.0 [110/3] via 10.0.8.8, 01:24:40, FastEthernet0/1 ......... O*IA 0.0.0.0/0 [110/2] via 10.0.8.8, 01:24:41, FastEthernet0/1 Observez la mention IA ajoute la route qui rappelle quil sagit dun routeur interaires. Il est amusant de constaterquecefaisant,OSPFadopteuncomportementdetypevecteurdedistance.Lecomportementtatsde liensduprotocoleOSPFestconfinauxaires. LSArsumASBR(SummaryASBRLSA) LeLSArsumASBRestidentiqueauLSArsumderseauceciprsquilannonceunrouteurASBRetnonune destination.NotrecontextedatelierneconnatquunseulrouteurASBRannoncparlABR dans laire8laidedu LSAidentifi1.0.0.9:
- 55 -
Ladministrateur peut visualiser les LSAs rsums ASBR laide dune commande show ip ospf database asbr summary: R8#show ip ospf database asbr-summary OSPF Router with ID (1.0.0.8) (Process ID 1) Summary ASB Link States (Area 8) LS age: 171 Options: (No TOS-capability, DC, Upward) LS Type: Summary Links(AS Boundary Router) Link State ID: 1.0.0.9 (AS Boundary Router address) Advertising Router: 1.0.0.8 LS Seq Number: 80000001 Checksum: 0x16F2 Length: 28 Network Mask: /0 TOS: 0 Metric: 1562 ObservezquelechampLinkStateIDidentifiecettefoislerouteurASBR.Observezgalementquelemasquede rseaureste0. LSAexternelAS(ASexternalLSA) SeulunrouteurASBRpeutgnrerunLSAexternelAS.IllefaitpourannoncersoitunedestinationexternelAS, soituneroutepardfautexternelAS.UnLSAexternelASestinonddanslintgralitdusystmeautonome, cestleseulLSAparmilescinqdcritstredanscecas.
LacommandeshowipospfdatabaseexternalaffichelesLSAsexterneslAS:
- 56 -
R8#sh ip ospf database external OSPF Router with ID (1.0.0.8) (Process ID 1) Type-5 AS External Link States ......... Routing Bit Set on this LSA LS age: 259 Options: (No TOS-capability, DC) LS Type: AS External Link Link State ID: 172.26.9.0 (External Network Number) Advertising Router: 1.0.0.9 LS Seq Number: 80000007 Checksum: 0xD6F3 Length: 36 Network Mask: /24 Metric Type: 2 (Larger than any link state path) TOS: 0 Metric: 10 Forward Address: 0.0.0.0 External Route Tag: 0 LadresseIPetlemasquedeladestinationannoncesontcontenusdansleschampsLinkStateIDetNetwork MaskduLSA.Observezlechamp ForwardAddress.Quandlechampestrgl0.0.0.0,lespaquetsdoivent tretransmislASBRluimme. AutrestypesdeLSA Unecommandeshowipospfdatabase?estdifiantesurcequiresteraitdcouvrir: R16#show ip ospf database ? adv-routerAdvertisingRouterlinkstatesLSAsgnrspar1routspcifi asbrsummaryASBRsummarylinkstatesType4 databasesummarySummaryofdatabaseinformationcondense externalExternallinkstatesType5 networkNetworklinkstatesType2 nssaexternalNSSAExternallinkstatesType7 opaqueareaOpaqueArealinkstates opaqueasOpaqueASlinkstates opaquelinkOpaqueLinkLocallinkstates routerRouterlinkstatesType1 selforiginateSelforiginatedlinkstatesLesLSAsgnrsparcerouteur summaryNetworksummarylinkstatesType3 |Outputmodifiers <cr> DeuxmotsclsdelacommandenesontpasdestypesdeLSAsmaisdesfacilitsoffertesladministrateur:
G
advrouter:permetdenafficherquelesLSAsgnrsparunrouteurspcifi. selforiginate:permetdenafficherquelesLSAsgnrsparcerouteur.
Lesmotscls nssa (Notsostubby)etopaqueenrevanchefontrfrencedestypesdeLSAs.Certainstypesne sontpassupportsparCISCOetmanquentdonclappel.Aumomentoceslignessontcrites,ilfautajouterla listedescinqtypesdeLSAsdjdcrits,lestypessuivants: GroupMembershipLSA(Type6) ExtensiondOSPFconnuesouslenomdeMOSPF(MulticastOSPF),objetduRFC1584.ParcequeMOSPFncessiteun algorithmeSPFpararbreougroupemulticast,ilyaunrisquepourquunrouteurquisupporteraitcetteextension doivefairefonctionnerdescentainesoumilliersdeprocessusOSPF.Aumieux,MOSPFfonctionneraitavecquelques groupes multicast. Cest pourquoi CISCO a choisi de ne pas limplmenter et a prfr poursuivre la voie des protocolesPIM(ProtocolIndependentMulticast).PIMprsentelavantagedenepasinduiresapropretopologiemais deseservirdesroutesapprisesparlesprotocolesderoutageconnus.Inutiledallerplusloindonc... NSSAExternalLSA(Type7)
- 57 -
Le LSA de type 7 est identique au type 5, il ne peut tre gnr que par un routeur ASBR, ceci prs quil nest inond que dans laire NSSA. Dautres dtails sont fournis dans la section Laire NSSA. Laire OSPF NSSA (NotSo Stubby)estdcritedansleRFC3101. ExternalAttributeLSA(Type8) Lobjet du LSA de type 8 est de transporter de linformation BGP (protocole de routage utilis entre systmes autonomes)autraversdundomaineOSPF.Aumomentoceslignessontcrites,letype8napastdcritdans unRFCetnadoncpastimplment. OpaqueLSA(Types9,10et11) CesLSAssontdcritsdansleRFC5250.IlsagitdetransporterdansdesLSAsdelinformationspcifiquecertaines applications,parexempleMPLS(MultiProtocolLabelSwitching).Lestroistypesnediffrentqueparleurporte:
G
Type 9 : porte limite au lien local (Link Local Scope),cestdire lensemble des interfaces directement connectesoucommeonvoudraaurseauousousrseau. Type10:portetenduelaire. Type11:portetenduetoutlesystmeautonome.
Casparticulierdesairesdebout Raisonnons nouveau sur latelier 9a. On observe que toute route externe apprise par lASBR est inonde dans laire8alorsmmequecetteaireneprsentequuneseuleroutedesortievialABR.Danslavraievie,laquantitde LSAsexterneslASpeutreprsenterunepartimportantedesLSAsprsentsenLSD. Fairedelaire8uneairedebout( stubarea)offrelemoyenderemplacerlensembledecesLSAsexternesparune simpleroutepardfautannonceparlerouteurABRlaidedunLSArsumderseau(type3).Parailleurs,un routeurquiveutexploiterunerouteexternelASabesoinduLSAexternelAS(type5)maisagalementbesoin duLSArsumASBR(type4)pourtrouverlarouteverslASBR.EnsupprimantlinondationdesLSAsdetype5,on peut galement supprimer les LSAs de type 4, ils ne sont plus ncessaires. Dans laire de bout, tout paquet mis versunedestinationpourlaquelleunrouteurdelairenetrouvepasderouteniparmilesroutesintraaireniparmi lesroutesinterairesestacheminsurlaroutepardfaut. LaLSDduneairedeboutnecontientniLSAexternelAS,niLSArsumASBR.Ceciprservelammoire des routeurs de laire. Ce peut tre une solution pour retarder lachat de mmoire supplmentaire voire diffrerleremplacementdesquipements. Cetavantageaunprix,uneairedeboutimposelescontraintessuivantes:
G
Touslesrouteursduneairedeboutdoiventtreconfigursentantquetel.Ainsipourlaire8,ilfaudraiten configurationderouteurOSPF,ajouterlacommande area8stubsurchacundestroisrouteursR8,R11et R12.Ceciapoureffetdemettre0lebitE(External)danslechampOptionsdumessageHello(voirFormat desmessagesOSPFLemessageHelloplusloindanscechapitre).OrcebitEdoittreidentiquedansles messagesHelloissusdedeuxrouteurspourquelarelationdeproximitpuisseseconstruire.Enfinal,leffet decetteconfigurationestdinterdireltablissementdunerelationdeproximitentreunrouteurstubet unrouteurquinelestpas. Ilestimpossibledtablirunlienvirtuelsuruneairedebout(logique,elleneseraitplusaubout!). UnrouteurstubnepeuttreASBR.Eneffet,unASBRannoncedesLSAsdetype5etcetypeestinterdit dansuneairedebout. Rien ninterdit larchitecte de doter laire de bout de plusieurs ABRs mais dans ce cas, rien ne dit quun routeurdelaireferalechoixoptimalquandilfaudraacheminerunpaquetverslextrieur.
Casparticulierdesairestotalementdebout Il sagit dtendre encore le concept de laire de bout en supprimant galement les LSAs rsums de rseau. La consquenceestquelesrouteursduneairetotalementdeboutnepeuventplusapprendrederoutesinteraires. ToutpaquetdontladestinationestexternelaireestacheminsurlaroutepardfautdonctransmislABR.Le seulLSAdetype3encoreautorissuruneairetotalementdeboutestceluiannonantlaroutepardfaut.
- 58 -
LaireNSSA LaireNSSA,dcritedansleRFC3101,estuneextensiondelairedebout.Silaplupartdesrestrictionsimposespar uneaireconfigureenairedeboutsontacceptables,ilarrivequunarchitectesouhaiteimporterunepetitequantit dinformationsderoutageexternesdanslairepourensuitedistribuercetteinformationaurestedudomaineOSPF. Appuyonsnotrerflexionsurlafiguresuivante:
Danscetexemple,larchitectesouhaiteimporterlesroutesdunpetitdomaineRIPquijouxtelairedebout8.Maisla taille du domaine RIP ne justifie pas de ractiver le support des LSAs externes lAS dans laire 8 et de plus, les routeurs de cette aire ne disposent pas de capacits suffisantes pour le faire (manque de mmoire, trop de LSAs externeslASissusdelairebackbone). LaireNSSAoffrelasolutionenpermettantauxroutesissuesdudomaineRIPdtreannonceslaidede NSSA External LSA. Ce LSA de type 7 est identique au LSA de type 5, il a galement pour rle dannoncer des routes externeslASmaisildiffreenunpoint:saporteestlimitelaireNSSA,ilestbloquparlABRetnestdoncpas inonddanslerestedudomaineOSPF. Danslatopologiecidessus,laire8devenueaireNSSAfaitdeR11unrouteurNSSAASBR,cerouteurgnreles LSAsdetype7.Ilpeutenoutredciderdemettre1oupaslebitP(Propagate)contenudanslechampOptions delentteLSA.Quandillefait,lerouteurABRsaitquildoitconvertirlesLSAsdetype7enLSAsdetype5afinde lesinonderdanslerestedudomaineOSPF.
9.Remplissagedelatablederoutage
Souvenonsnous que la mtrique dOSPF est fonde sur une notion de cot. La structure de donnes associe chaque interface comporte entre autres un cot rsultat du calcul 108 /Bandwidth. Le cot dune route est le cot cumuldechaqueinterfacedesortiequifaitprogresserletraficsurcetteroute. Ladministrateurpeutinfluersurlecotduneinterfacededeuxfaonsdiffrentes:
G
En ajustant la bande passante de linterface une valeur relle ou dclare laide de la commande bandwidthenconfigurationdinterface. Enrglantdirectementlecotlaidedelacommandeipospfcost,galementenconfigurationdinterface.
R11(config)#intf0/1 R11(configif)#ipospfcost? <165535>Cost R11(configif)#bandwidth? <110000000>Bandwidthinkilobits LechampmetricduLSAderouteurestexprimsur16bits,lecotdelinterfacedoitdonctrecomprisentre1et 65535.Enrevanche,leRFC2328nelimitepaslecotduneroute(comprhensiblecarcecotnestpastransport parlespaquetsOSPF). LetableausuivantnumrelesdbitslesplusfrquemmentrencontrsetlecotOSPFcorrespondant:
- 59 -
Interface EthernetGigabit FDDI,FastEthernet HSSI(HighSpeedSerialInterface) TokenRing16 Ethernethistorique T1(24canaux8bits=192bits+1bitdeframe, letout8000foisparseconde) DS0( DigitalSignal0)ouE0
Dbit 1Gbps 100Mbps 45Mbps 16Mbps 10Mbps 1,544Mbps
Cot(108/Bandwidth) 1 1 2 6 10 64
64Kbps 56Kbps
1562 1785
Hlas, seules les interfaces LAN des routeurs CISCO sont automatiquement configures avec la bande passante convenable.LesinterfacesWANnepeuventpasltrecarledbitestenralitcadencparlhorlogefournieparle botier ETCD ou CSU/DSU. LIOS ntablit aucune corrlation entre le dbit physique, cadenc par lquipement de terminaison de circuit de donnes et le paramtre bandwidth de la configuration dinterface. Par dfaut, lIOS considre que linterface serial est connecte un canal T1 de dbit 1,544 Mbps (dcidment, CISCO est amricain!).Parvoiedeconsquence,OSPFassocielinterfaceuncotde1562.Cestdoncladministrateurquil revient de rtablir la vraie bande passante des liens WAN sil souhaite quOSPF droule lalgorithme SPF avec des cotsrels.
a.Classificationdesdestinations
Nous sommes bien entrans lutilisation de la table de routage mais ladministrateur sait moins quen fait OSPF alimentedeuxtablesderoutage,luneregroupelesdestinationsverslesrseaux,cestellequenousobservons laidedelacommande showiproute,lautreregroupelesrouteursABRetASBRetpeuttreobservelaidedela commandeshowipospfborderrouters. Toujoursdanslecontextedelatelier9a,lesdestinationsverslesrseaux: R11#shiproute Codes:Cconnected,Sstatic,IIGRP,RRIP,Mmobile,BBGP DEIGRP,EXEIGRPexternal,O - OSPF,IA - OSPF inter area N1OSPFNSSAexternaltype1,N2OSPFNSSAexternaltype2 E1OSPFexternaltype1,E2 - OSPF external type 2,EEGP iISIS,suISISsummary,L1ISISlevel1,L2ISISlevel2 iaISISinterarea,*candidatedefault,Uperuserstaticroute oODR,Pperiodicdownloadedstaticroute Gatewayoflastresortisnotset 1.0.0.0/8isvariablysubnetted,2subnets,2masks O E2 1.0.0.0/24 [110/10] via 10.0.8.8, 00:00:49, FastEthernet0/1 C1.0.0.11/32isdirectlyconnected,Loopback0 172.26.0.0/24issubnetted,1subnets OE2172.26.9.0[110/10]via10.0.8.8,00:00:49,FastEthernet0/1 10.0.0.0/24issubnetted,8subnets C10.0.11.0isdirectlyconnected,FastEthernet0/0 C10.0.8.0isdirectlyconnected,FastEthernet0/1 O10.0.12.0[110/2]via10.0.8.12,00:00:49,FastEthernet0/1 OIA10.0.2.0[110/1563]via10.0.8.8,00:00:49,FastEthernet0/1 OIA10.0.1.0[110/2]via10.0.8.8,00:00:49,FastEthernet0/1 OIA10.0.16.0[110/3]via10.0.8.8,00:00:49,FastEthernet0/1 OIA10.0.22.0[110/4]via10.0.8.8,00:00:49,FastEthernet0/1 OIA10.0.21.0[110/4]via10.0.8.8,00:00:50,FastEthernet0/1 192.168.1.0/30issubnetted,1subnets OIA192.168.1.224[110/1563]via10.0.8.8,00:00:50,FastEthernet0/1 R11#
- 60 -
LesrouteursABRetASBR: R11#shipospfborderrouters OSPFProcess1internalRoutingTable Codes:iIntraarearoute,IInterarearoute I1.0.0.9[1563]via10.0.8.8,FastEthernet0/1,ASBR,Area8,SPF3 i1.0.0.8[1]via10.0.8.8,FastEthernet0/1,ABR,Area8,SPF3 R11# Danscettesecondetable,observezquelesdestinationsnepointentpasversdesrseauxmaisversdesrouteurs identifisparleurRID.Hormiscettediffrence,onabienaffairedesroutesdotesdunemtrique,duneadresse deprochainsautetduneinterfacedesortie.LesrouteursABRsonttaguslaidedelalettreminusculei,les routeursASBRlesontlaidedelalettremajusculeI.
b.Classificationdesroutes
Ilestpossibledeclasserlesroutesenquatrefamilles:
G
Une route intraaire mne un rseau situ dans laire et donc connecte lun des routeurs de laire. ExempledanslatablederoutagedeR11objetdelacaptureprcdente: 10.0.12.0 [110/2] via 10.0.8.12, 00:00:49, FastEthernet0/1 Unerouteinterairemneunrseausituendehorsdelairemaislintrieurdusystmeautonome.Une telleroutetransitencessairementparunABR.LarouteesttagueIAdanslacapture,exemple: 10.0.22.0 [110/4] via 10.0.8.8, 00:00:49, FastEthernet0/1 Unerouteexternedetype1mneunedestinationsitueendehorsdusystmeautonome.QuandlASBR annoncecettedestination,ildoitenoutreluiassocieruncotcohrentpourledomaineOSPF.QuandlASBR annonceunedestinationdetype1,unrouteurquireoitleLSAajouteladestinationsatablederoutage enluiassociantuncotgallasommeducotannoncdansleLSAetducotpouratteindrelASBR. Unerouteexternedetype2mnegalementunedestinationendehorsduSAmaislerouteurquireoitle LSAdelASBRajouteladestinationsatablederoutageenluiassociantlecotannoncetdoncsanstenir compteducotpouratteindrelASBR.
O IA
Plaonsnousencoredanslecontextedelatelier9a.LadministrateuraconfigursurR9laredistributiondesroutes directementconnectes: R9(config)#routerospf1 R9(configrouter)#redistributeconnectedmetric10 LIOSCISCOannoncepardfautlesroutesexternesentype2.Puisqueladministrateuraappliquuncotde10 touterouteconnecteredistribue,onlitdanslatablederoutagedeR11,lentresuivante: OE2172.26.9.0[110/10]via10.0.8.8,00:00:49,FastEthernet0/1 Observezquelecotdelarouteestrestfix10,larouteesttagueE2.Ladministrateursouhaitebasculer versletype1,ilmodifiepourcefairelaconfigurationdelASBR: R9(config)#routerospf1 R9(configrouter)#redistributeconnectedmetric10? metricMetricforredistributedroutes metrictypeOSPF/ISISexteriormetrictypeforredistributedroutes routemapRoutemapreference subnetsConsidersubnetsforredistributionintoOSPF tagSettagforroutesredistributedintoOSPF <cr> R9(configrouter)#redistributeconnectedmetric10metrictype?
- 61 -
1SetOSPFExternalType1metrics 2SetOSPFExternalType2metrics R9(configrouter)#redistributeconnectedmetric10metrictype1subnets R9(configrouter)#^Z R9# ImmdiatementaprslamodificationapporteR9,ladministrateurrevientR11: R11#shiproute ......... OE1172.26.9.0[110/1573]via10.0.8.8,00:05:57,FastEthernet0/1 ......... LadministrateurconstatesatisfaitquelarouteestcettefoistagueE1etquelecotassociestbienceluipour rejoindre lASBR, soit 1563 (vrifier dans le rsultat de la commande show ip ospf borderrouters) additionn du cot10affectlarouteredistribue.
c.larecherchedelameilleureroute
Toutes les routes nont pas le mme degr dacuit. Vous tes Bruxelles et vous allez Marseille. Au premier croisement, deux routes se prsentent : le panneau indicateur de la premire indique Toutes directions , le panneau de la seconde indique Marseille. Voustesintrigumaisvouschoisissezlaseconde.Ainsi,lerseau 10.0.22.0/24englobelamachine10.0.22.2maislerseau10.0.16.0/21englobelerseau10.0.22.0/24etdoncla machine10.0.22.2.Danssatablederoutage,pourladressededestination10.0.22.2,lerouteurprfreralaroute laplusspcifique10.0.22.0/24laroutelaplusgnrale10.0.16.0/21:
Pourtrouverlaroutelaplusspcifique,leprocessusderoutageutiliselalgorithmederecherchedecorrespondance deprfixelapluslongue(LongestMatchbasedForwardingAlgorithm). Sitouteslesrecherchesprcdentesontchou,leprocessusderoutageutiliselaroutepardfautsielleexiste. Enfin, pour le cas ultime o le processus de routage na pas trouv de route et ne dispose pas dune route par dfaut,ledatagrammeestsupprim( dropped ,cestlactionPoubelle)etlerouteurgnreunmessageICMP DestinationHostUnreachabledestinalerterlmetteurdudatagrammesupprim.
d.Partagedecharge(Loadbalancing)
- 62 -
ChaquefoisquelalgorithmeSPFestexcut,ilplacelesroutesaumeilleurcotdanslatablederoutage.Siune destinationprexistaitetquelalgorithmedcouvreunerouteunmeilleurcot,cetteroutesesubstituelaroute moinsfavorable.Quandlalgorithmedcouvreplusieursroutesdecotsidentiques,alorsilpeutlesplacerensemble danslatablederoutage,cejusquconcurrencede16routes,quoiquelIOSlimite4lenombrederoutescot galpardfaut.Quantaunombrede16maximal,ilestprendreavecprcautionetdpenddelaplateformeainsi quedelaversiondIOS,ilestprfrabledevrifiercenombreaveclaideenlignedecommande: R8(config)#routerospf1 R8(configrouter)#maximumpaths? <16>Numberofpaths Ainsi,surlaversiondIOSencoursdansnotreatelier9a,lenombrederoutescotgalnepeutdpasser6.La faondontlIOSexploiteensuitecesroutesestindpendanteduprotocoleOSPFetadjtexplicite,lelecteur pourrasereporterauxsectionsPartagedechargeparpaquetetPartagedechargepardestinationdanslechapitre Leroutagestatique.nouveaudansnotrecontextefavori,ladministrateuraconfigurlecotdelinterfaceS0/1sur R81afinquelesdeuxroutesquisparentR8etR16aientcotgal.Observezlaprsencededeuxroutespour lesdestinations10.0.16.0,10.0.22.0et10.0.21.0: R8(config)#ints0/1 R8(configif)#ipospfcost1 R8(configif)#^Z R8#shiproute ......... 1.0.0.0/8isvariablysubnetted,2subnets,2masks OE11.0.0.0/24[110/1572]via192.168.1.225,00:00:39,Serial0/0 C1.0.0.8/32isdirectlyconnected,Loopback0 172.26.0.0/24issubnetted,1subnets OE1172.26.9.0[110/1572]via192.168.1.225,00:00:39,Serial0/0 10.0.0.0/24issubnetted,8subnets O10.0.11.0[110/2]via10.0.8.11,01:15:08,FastEthernet0/0 C10.0.8.0isdirectlyconnected,FastEthernet0/0 O10.0.12.0[110/2]via10.0.8.12,01:15:08,FastEthernet0/0 C10.0.2.0isdirectlyconnected,Serial0/1 C10.0.1.0isdirectlyconnected,FastEthernet0/1 O 10.0.16.0 [110/2] via 10.0.1.16, 00:00:39, FastEthernet0/1 [110/2] via 10.0.2.16, 00:00:39, Serial0/1 O10.0.22.0[110/3]via10.0.1.16,00:00:58,FastEthernet0/1 [110/3]via10.0.2.16,00:00:58,Serial0/1 O10.0.21.0[110/3]via10.0.1.16,00:00:58,FastEthernet0/1 [110/3]via10.0.2.16,00:00:58,Serial0/1 192.168.1.0/30issubnetted,1subnets C192.168.1.224isdirectlyconnected,Serial0/0 R8#
10.FormatdesmessagesOSPF
OSPFestdirectementencapsuldansIP,ilestalorsidentifiparlenumrodeprotocole89.OSPFutilisecinqtypesde paquetsidentifisparunchampTypede15danslentteOSPF:
- 63 -
Leformatdelentteestlemmequelquesoitletypedepaquet.LemessageHelloportelalistedesvoisinsconnus. Le paquet DBD porte tout ou partie des LSAs, identifis par leurs enttes, qui composent la LSD du routeur. Le paquet LSRequestcontientlalistedesidentifiantsdeLSArclams.LepaquetLSUpdatecontientunelistede LSAsetcestleseulporteruneinformationcomplte(nonabrge).Enfin,lepaquetLSAcknowledgmentcontient unelistedeLSAsreus,identifisparleursenttescommedanslecasdupaquetDBD. Les paquets OSPF sont toujours changs entre voisins. Puisque deux voisins sont toujours directement connects,unpaquetOSPFnestjamaisroutaudeldurseaudontilestissu. Observezlextraitdecapturecidessous:
- 64 -
1.OSPFesttransportparIP(0x59=89). 2. Wireshark interprte le champ Type de service de lentte IP de faon y lire une valeur DSCP (Differentiated ServicesCodepoint).Pourmmoire,cettevaleurdfinitlecomportementdurouteurdanslacheminementdespaquets. Mais les valeurs attribues au DSCP ninterfrent pas avec les anciennes de priorit 11x contenues dans les trois premiersbitsduchampetquicorrespondentlagestiondurseau.Ainsi,lavaleur110 luedanslacapture(tiquette 2)correspondenralitlaprioritInternetworkControl,cequiconfreauxpaquetsOSPFuneprioritleve. 3.Observezgalementlavaleur1attribueauchampTTL:puisquunpaquetOSPFnajamaisbesoindtreachemin audeldurseaudontilestissu,onestainsiassurquejamaislepaquetneffectueraunsautsupplmentaire( ceintureetbretelles!). 4.Letype1identifieunpaquetOSPFHello. 5.ParmilesinformationsportesparlemessageHello,lalistedesvoisinsconnusestlinformationessentielle.
a.LentteOSPF
ToutpaquetOSPFdbuteparunenttecommunde24octets:
- 65 -
Version:2pourlaversionOSPFversion2dfiniedansleRFC2328,3pourOSPFversion3dfiniedansle RFC5340. Type:lescinqtypesdepaquetssont:

G
Type1:Hello Type2:DBDDatabaseDescription Type3:LinkStateRequest Type4:LinkStateUpdate Type5:LinkStateAcknowledgment.
PacketLength:longueurdupaquetOSPFenincluantlentte,exprimeenoctets. RouterID:RIDdurouteurmetteurdecemessage. AreaID:identifiantdelairedontestissucemessage.Quandlepaquetestmissurun virtuallink, lidentifiantdaireest0.0.0.0carlesliensvirtuelssontconsidrsappartenirlairebackbone. Checksum : sommedecontrlequiportesurlensemble du paquet OSPF en incluant lentte mais en excluantles64bitsduchampAuthentification. AuType:dfinitlemodedauthentificationparmilestroismodespossibles:
G
AuType=0Pasdauthentification AuType=1Authentificationparmotdepasseenclair
- 66 -
AuType=2AuthentificationcryptographiquefondesurMD5.
Letypedauthentificationainsiquelesdonnesutileslauthentificationchoisiesontconfigurablesparinterface.Le type0entranequeleschangesOSPFnesontpasauthentifis.Lechamp Authenticationsur64bitsnestpas examinetpeutcontenirnimportequellevaleur.Letype1entraneuneauthentificationparmotdepassesimple partagsurlensembledesrouteursconcerns.Ilnefournitpasdeprotectioncontrelesattaquesmaissimplement lassurancequedesrouteurstrangersnesejoignentpasaudomaineparinadvertance.Letype2utiliseunecl secrtepartagesurlensembledesrouteursconcerns.Lalgorithme,detypeMD5,utiliselaclpourproduireun digestdechaquepaquetOSPF,digestajoutlafindupaquet.Laprotectionestbonnecarlaclsecrtenest jamaisenvoyesurlerseau. QuandAuType=2...
G
oKeyID:identifielalgorithmeainsiquelaclsecrteutilise. oAuthDataLength:spcifielalongueurdudigestplaclafindupaquet. oCryptographicSequenceNumber:numrodesquencenondcroissantestinclusdanschaquepaquet afindviterlesattaquesparrptition.
b.LemessageHello
LemessageHelloestutilisafindedcouvrirdynamiquementlevoisinage,tablirdesrelationsdevoisinageetde proximit.Observezlesdiffrentschampsquiontpermisaurouteurquireoitcemessagedalimenterleslments associslentre(lenregistrement)delabasededonnesdevoisinage.Leschampsmarqusparlapetiteflche sont ceux qui doivent correspondre entre ce routeur et le routeur voisin pour quils puissent prtendre devenir voisinsausensOSPF.
- 67 -
NetworkMask:masqueassociladressedanslaconfigurationIPdelinterfacequienvoielepaquet.Si ce masque est diffrent du masque configur sur linterface qui reoit, le message est supprim, ce afin dtrecertainquedeuxrouteursnedeviennentvoisinsquesilsappartiennentaummerseau. HelloInterval : priode, exprime en secondes, qui spare deux missions du message Hello sur une interface. Options:prsentdanslesmessagesHelloetDBDainsiquedanschaqueLSA.Unrouteurutiliselechamp Optionspourannoncersescapacitsparmiunensembledecapacitsfacultatives.Laseulecapacitdcrite dansleRFC2328estcellequiconcernelesairesdebout(stub).Pourmmoire,uneairedeboutestune airerelie,auplus,uneautreaire.Entempsnormal,lesLSAsexterneslASsontinondesdanstoutle systmeautonome.MaiscelaalourditinutilementlesLSDdesrouteursappartenantuneairedebout.Le routeurplaclafrontiredelairedeboutpeutavantageusementleursubstitueruneroutepardfautet lannoncerauxrouteursdelairedeboutlaidedeLSAdersums(SummaryLSAs).
G
BitN/P:cebitaundoubleusageselonquilestobservdansunmessageHello,ilsagitalorsdubit N,ouobservdanslenttedunNSSAExternalLSA,auquelcasilestlebitP(Propagate).
G
Bit N : 1 indique que le routeur participe au processus dinondationdes NSSAExternal LSA , 0 indique que le routeur les refuse. Quand le bit N est 1, le bit E doit tre 0. DeuxinterfacesdecapacitsNdiffrentesnepeuventdevenirproches. Bit P : 1 demande lABR de convertir le LSA de type 7 de laire NSSA en LSA de type 5 danslaire0.
BitE:1quandlerouteurestenmesuredaccepterdesLSAsexterneslAS,devraittre0 danstouslesLSAsissusduneairedebout.DanslesmessagesHello,cebitindiquelacapacitde linterfaceenvoyeretrecevoirdesLSAsdetype5(ASexternalLSA).DeuxinterfacesdecapacitsE diffrentesnepeuventdevenirproches.
Routerpriority:utiliseparlemcanismedlectiondesrouteursdsignsDRetBDRsurlesrseaux diffusionainsiquesurlesrseauxsansdiffusionfonctionnantenmodeNBMA. RouterDeadInterval : si les messages Hello que le routeur sattend recevoir ne lui parviennent plus pendantcedlai,levoisinestconsidrcommeperdu(ilnestdoncplusvoisin).LeRFCsuggredutiliserun dlaiRouterDeadIntervalgal4xHelloInterval,cestdire40secondespardfaut. DesignatedRouter:adresseIP(etnonRID)delinterfaceduDRsurlerseauderattachement.dfaut deDR,lavaleurreste0.0.0.0. BackupDesignatedRouter:adresseIP(etnonRID)delinterfaceduBDRsurlerseauderattachement. dfautdeBDR,lavaleurreste0.0.0.0. Neighbor:autantdechampsquencessaireafindeprciserdefaonexhaustivelensembledesvoisins connusdecerouteursurlerseauderattachement.
c.LepaquetDBD
Le paquet DBD est utilis pendant la construction dune relation de voisinage (voir la section ponyme) afin de dcrirelesLSAscontenusdanslaLSD.LadescriptionexhaustivepeutncessiterdenombreuxpaquetsDBDetcest pour cette raison quune procdure de type polling a t choisie. Dans une procdure de polling, un matre interrogelesclaveetluidit:Jesouhaitetedireblablablaettoi,astuquelquechosemedire?.Lesmessages DBDenvoysparlematresontdoncdesmessagesdinvitationmettreacquittsenretourparlesmessagesde rponse DBD envoys par lesclave. La procdure fait correspondre un message dinvitation mettre avec sa rponselaidedesnumrosdesquenceDBD.
- 68 -
Interface MTU : exprime en octets, taille du plus grand datagramme IP quil est possible denvoyer depuiscetteinterfacesansfragmentation.Devraittrergl0x0000danslespaquetsDBDlorsquilssont missurunvirtuallink. Options:galementprsentdanslemessageHelloetdoncdjdcrit. Les5bitssuivantsduprochainoctetsont0etsuivisdestroisbits:
G
Initialbit:nest1quedanslepremierpaquetDBDdunesquence,quicorrespondltat ExStartdudiagrammedtatsdelarelationdevoisinage. Morebit:dautrespaquetsDBDsuivent. MasterSlavebit:dsignelematredanslaprocduredepolling.
DDSequenceNumber:utilispourrglerleschangesdeDBD.Lematregnreunnouveaunumrode squencequandilprocdeunenouvelleinvitationmettre.Cefaisant,ilacquitterceptiondumessage DBDprcdemmentreu.Lesclaveacquitterceptiondumessagedumatreenfaisantchodunumrode squencereudanslemessageDBDquilmet.
Suit une liste partielle ou complte de LSAs dcrits laide de leurs enttes. Lentte dun LSA contient les informations suffisantes pour identifier sans quivoque la fois le LSA et linstance actuelle du LSA (telle quil est connuparlerouteurmetteurdecepaquetDBD).
d.LepaquetDemandedtatdelien
AuvudesmessagesDBDreusdesonvoisinpendantlaphasededescriptiondelaLSD,lerouteurapudistinguer parmisesLSAs,ceuxpourlesquelslevoisinconnatuneversionplusrcenteetquincessitentdtremisjour.Le routeurutilisepourcefaireunouplusieurspaquetsLinkStateRequest. UneinstancedeLSAestdfinielaidedestroisparamtres LSSequenceNumber,LSageetLSchecksum . Pourtant, le paquet LSRequest ne porte pas ces informations. Cest inutile car demander un LSA au voisin, cestimplicitementluidemanderleLSAleplusrcentconnuparcevoisin.CestdoncleLSAquiestidentifidansla requte,etnonuneinstanceparticuliredeLSA,celaidedestroischampsLinkStatetype,LinkStateIDet AdvertisingRouter.
- 69 -
Link State type : type de LSA. La liste cidessous reprend les types du RFC 2328, elle nest donc pas exhaustive.Ilsexistentdautrestypesquisortentparcontretropducadredecetouvrage:
G
Type1:routerLSA.Dcritlestatscollectsdesinterfacesdurouteur. Type2:networkLSA.Dcritlensembledesrouteursrattachsaurseau. Type3ou4:summaryLSA

G
Type3:networksummaryLSA:dcritdesroutesverslesrseaux. Type4: ASBRsummaryLSA:dcritdesroutesverslesrouteursdeborduredesystme autonome(ABR:ASboundaryrouter).
Type5:ASexternalLSA.Gnrsparlesrouteurssituslafrontiredusystmeautonome,ils dcrivent les chemins pour les destinations externes lAS. Un chemin par dfaut pour le systme autonomepeutaussitredcrit.
LinkStateID:identifieleLSA,informationextraitedelentteduLSA. Advertising Router : identifiant du routeur qui a gnr le LSA. Par exemple, dans le cas dun LSA de rseau,cechampestleRIDduDR.
e.LepaquetMisejourdtatdelien
OSPFutiliselespaquets LSUpdatedansdeuxcirconstances:lorsquilfautrpondreunpaquet LSRequest ainsi que dans le processus dinondation des LSAs. Dans ce cas prcis, souvenonsnous quun paquet OSPF na jamaisbesoindtreacheminaudeldurseaudontilestissu.CestceconstatquiapermisdajusterlavaleurTTL despaquetsOSPF1.LaconsquenceestqueparmilesLSAsreus,unrouteurvoisindoitrencapsulerlesLSAs approprisdansdenouveauxpaquetsLSUpdatepourqueleprocessusdinondationpuisseprogresser. Selon les cas, les paquets LS update sont diffuss vers ladresse multicast 224.0.0.5 (qui signifie tous les routeursOSPF, AllSPFRouters) ouversladressemulticast224.0.0.6(quisignifielesdeuxrouteursDRetBDR, AllDRouters).ToutLSAdiffusdoittreacquittetpeutltrelaidedepaquets LSAcknowledgment.Quandla retransmissiondunLSAestncessaire,leLSAretransmisestenvoyversladresseunicastduvoisinncessiteux.
- 70 -
NumberofLSAs:nombredeLSAsinclusdanscepaquet. LSAs:enfinuneinformationcomplte,puisquilsagitdesLSAsentiersdansleformatdcritciaprs.Un paquet LS Update peut porter plusieurs LSAs complets concurrence de la taille maximale de paquet autorisesurlelien.
f.Lepaquetdacquittementdtatdelien
Dans le but de rendre fiable le mcanisme dinondation des LSAs, OSPF exige que tout LSA reu soit acquitt. Un paquetLS AckpeutacquitterdenombreuxLSAs,chaqueLSAacquittestidentifiparsonentte.Enfinal,le paquetLSAcknestriendeplusquelassemblagedunentteOSPFetdesenttesdeLSAsquilfautacquitter explicitement. Un routeur na pas ncessairement besoin dun paquet LS Ack pour acquitter un LSA reu. OSPF amliore lefficacit globale en permettant un routeur dacquitter implicitement un LSA en rptant ce mme LSA dans un message LS Update en partance vers le voisin lorigine du LSA, dans un mode que lon pourrait appeler Echoplex . Le paquet LS Acknowledgement est donc utilis pour raliser un acquittement explicite quand lacquittementimplicitenestpaspossible.
g.FormatdesLSAs
FormatdelentteLSA ToutLSAdbuteparcetenttede20octetsquicontientnotammentlesinformationssuffisantespouridentifierle LSAsansquivoque,cesontlestroischampsLStype,LinkStateIDetAdvertisingRouter.Deplus,puisque plusieursinstancesdunmmeLSApeuventcoexisterdansledomainedacheminement,ilestncessairedepouvoir dterminerlinstancelaplusrcente.OSPFutilisepourcefairelestroischampsLSage, LSsequencenumber etLSchecksum.
- 71 -
LS age: exprimensecondes,tempscouldepuislacrationduLSA.AufuretmesurequeleLSA progresse de routeur en routeur dans le processus dinondation, lge est incrment de la valeur InfTransDelay (not TransmitDelay parlILC)associelinterface de chaque interface quiltraverse. Biensr,lgesincrmentegalementdutempspassdanslaLSD. Options :champdjdcrit,voirlemessageHello.DanslecasdelentteLSA,lechamp Options dcritlescapacitssupportesparlefragmentdedomaineOSPFobjetduLSA. LStype:typedeLSA,djdcrit,voirlepaquetLSRequest.Enrsum:
G
Type1:routerLSA Type2:networkLSA Type3:summaryLSA(rseauIP) Type4:summaryLSA(ASBR) Type5:ASexternalLSA.
LSID:identifieleLSAetdonclefragmentdudomaineOSPFdcritparleLSA.Fonctiondu LStype. Exemple:danslecasdunLSAderseau,LSIDestrglladresseIPdelinterfaceduDR. Advertising Router : identifiant du routeur qui a gnr le LSA. Par exemple, dans le cas dun LSA de rseau,cechampestleRIDduDR. LSsequencenumber:incrmentechaquefoisquunenouvelleinstanceduLSAestgnre.Cenombre participelidentificationdelinstancelaplusrcente. LSchecksum : checksumcalculselonlalgorithme de Fletcher dcrit dans le RFC 1146. Pour mmoire, lalgorithmeclassiqueconsisteadditionnersimplementtouslesmotsde16bitscontenusdanslemessage dont il faut vrifier lintgrit. Un tel algorithme est incapable de dtecter par exemple linsertion ou la suppression dun octet 0, ce que sait faire en revanche lalgorithme de Fletcher. La somme de contrle porte sur lensemble du LSA lexclusion du champ ge. En effet, inclure ce champ aurait contraint recalculerlasommechaqueincrmentationdelge. length:exprimeenoctets,longueurduLSA.
LeLSAderouteur ChaquerouteurduneairegnreunLSAderouteurquidcritltatainsiquelecotdesliensdurouteur(cest diredesesinterfaces)aveclaire.TouslesliensdurouteurdoiventtredcritsparunseulLSA.Pourmmoire,les LSAssontinondslintrieurduneseuleaire,celledontilssontissus.Unecommande show ip database router permetdevisualiserlensembledesLSAsderouteurdansuneLSD.
- 72 -
DanslentteduLSA:
G
LinkStateID:RIDdurouteurquiagnrceLSA.
DanslesdonnesduLSA:
G
V:Virtuallinkendpoint,cebitest1lorsquelerouteurestuneextrmitdeliaisonvirtuelle. E: Externalbit,1quandlerouteurquiagnrleLSAestunASBR(AutonomousSystemBoundary Router)cestdireunrouteurdeborduredusystmeautonome. B:Borderbit,1quandlerouteurquiagnrleLSAestunABR(AreaBorderRouter). Numberoflinks: nombredeliensdcritsdansleLSA.Touslesliensdurouteuraveclairedoiventtre prsents.
Leschampsquisuiventdcriventchaquelienetapparaissentdoncautantdefoisquilyadeliensdcrire(trois foisdanslexemplecidessus).LechampLinkTypedterminelafaondontilfautinterprterleschampsLinkID etLinkData,cestpourquoiilfautdbuterladescriptionparcechamp:

G
LinkType:fournitunebrvedescriptiondulien.Lesvaleurspossiblessontlessuivantes:
G
Type1:connexionpointpointavecunautrerouteur Type2:connexionunrseaudetransit Type3:connexionunrseaudextrmit Type4:liaisonvirtuelle.
- 73 -
LinkID:identifiantdulien.Identifielobjetauquellelienconnecte.Quandlelienconnecteunrouteur ouunrseaudetransit,deuxobjetsquignrentunLSA(danslecasdurseaudetransit,cestlerledu DRquedegnrerceLSA), LinkIDestgalauchampLinkStateIDduLSAgnrparcevoisin.Ce chanageestmisprofitparleprocessusOSPFpourconstruirelatablederoutage,LinkIDfournissantla clafindeffectuerlarechercheduLSAduvoisindanslaLSD.LesvaleurspossiblessontfonctiondeLink Typeetrsumesdansletableaucidessous: LinkData:valeurgalementdpendantedeLinkTypeselonletableauciaprs:
Link Type 1
Description
Interprtationde Link ID RIDduvoisin
Interprtationde LinkData
Connexionpointpoint avecunautrerouteur Connexionunrseau detransit Connexionunrseau dextrmit Liaisonvirtuelle
AdresseIPsurlerseaupointpointde linterfacedurouteurquiagnrleLSA.
AdresseIPdelinterface AdresseIPsurlerseaudetransitde duDR linterfacedurouteurquiagnrleLSA. AdresseIPdurseau Masquederseau.
RIDduvoisin
AdresseIPdelinterfacedurouteurquia gnrleLSA.
Tableau2Interprtationde"LinkID"et"LinkData"
G
#TOS:spcifielenombredemtriquesTOS(TypeofService)listesdanscelienenexcluantlamtrique de lien requise, spcifie dans le champ metric . Le RFC 2328 ne prvoit pas le support de ces fonctionnalits TOS. Par consquent, ce champ ainsi que les champs TOS et TOS metric ne sont prsentsquepourpermettreunertrocompatibilitavecdesimplmentationsOSPFplusanciennes.Quand aucunevaleurTOSmetricnestassocieaulien,cechampreste0x00. metric:cotdulienetdoncdelinterface(reliresincessairelarubriquecotdelinterfaceprsente lasectionStructuredesdonnesdelinterfacedanscechapitre).
lintrieurdeladescriptiondunlien,leschampssuivantsnapparaissentquesi#TOSestdiffrentde0.Lexemple fourni dans lillustration cidessus montre un LSA trois liens dont le premier comporte deux mtriques TOS, le secondnencomportepasetletroisimeencomporteune.
G
TOS:spcifieletypedeserviceauquellamtriquefourniedanslechamp TOSmetricsappliqueselon letableaucidessous: Description CodageOSPF
ValeurdeTOSdfiniedansleRFC1349 2 4=16 0 0 0 0 0 0 0 0 2 3 =8 0 0 0 0 1 1 1 1 0 0 1 1 0 0 1 1 2 2 =4 0 1 0 1 0 1 0 1 2 1 =2
Servicenormal. Minimiselecotmontaire. Maximiselafiabilit.
0 2 4 6
Maximiseledbit.
8 10 12 14
- 74 -
1 1 1 1 1 1 1 1
0 0 0 0 1 1 1 1
0 0 1 1 0 0 1 1
0 1 0 1 0 1 0 1
Minimiseledlai.
16 18 20 22 24 26 28 30
Tableau3ValeursdeTOSduRFC1349 Pouraiderresituerlecontexte,voiciunextraitdelenttedudatagrammeIP,telquilavaitcoursquandleRFC 1349taitdactualit:
Le RFC 791 considrait les 3 bits du champ TOS comme mutuellement exclusifs, le bit Minimizemonetarycost nexistaitpasencore.LeRFC1349ajoutelebit Minimizemonetarycostetneconsidrepluscesbitscommeune collection de bits mais comme un entier exprim sur 4 bits. La consquence est que ces bits ne sont plus mutuellementexclusifs.LavaleurcodedanslechampTOSrsultedelaraffectationdespoidsbinaires2,4,8,16 aux4bits,cequipeutsexpliquerparlefaitquelebitdepoidsleplusfaiblentaitpasutilisetrestait0.
G
TOSmetric:mtriquequeleprocessusOSPFdoitassocierlavaleurTOS.
LeLSAderseau Chaque rseau diffusion ou en mode NBMA est reprsent par un LSA de rseau gnr par le DR. Ce LSA annoncelerseauainsiquetouslesrouteursconnectscerseau,DRinclus.DelammefaonquelesLSAsde routeur,lesLSAsderseausontinondslintrieurduneseuleaire,celledontilssontissus.
- 75 -
DanslentteduLSA:
G
LinkStateID:adresseIPdelinterfaceduDRsurlerseaudcritparceLSA.
DanslesdonnesduLSA:
G
NetworkMask:masquederseausurlerseaudcritparceLSA. AttachedRouter:listedesRIDderouteurspleinementadjacentsauDRsurlerseaudcritparceLSA.Le DRestinclusdanslaliste.
LesLSAdersum Ilenexistedeuxtypes,tousdeuxgnrsexclusivementparlesABRetinondsdansuneseuleaire:
G
Type3:NetworkSummaryLSA,dcritlesroutesverslesdestinationsendehorsdelaire(enincluantles routespardfaut),maislintrieurdusystmeautonome. Type4:ASBRSummaryLSA,dcritlesroutesverslesASBRsitusendehorsdelaire.
Lesdeuxtypesontlemmeformat:
Endehorsduchamptype,laseulediffrenceprovientdelinterprtationquilfautfaireduchampLinkStateID:
G
LinkStateID:pourletype3,lechampcontientladresseIPdurseauannonc.Quandletypeest4,le champcontientleRIDdelASBRannonc.
- 76 -
NetworkMask:pourletype3,lechampcontientlemasquedurseauannonc.Quandletypeest4,le champnapasdesignificationetcontient0.0.0.0.
Quandletype3estutilispourannonceruneroutepardfaut,leschamps LinkStateIDet Network Masksonttousdeuxcompltsavec0.0.0.0.
metric:cotdelarouteannonce. TOS,TOSmetric:djdcrit,voirLSAderouteur.
LesLSAexterneslAS LesASexternalLSAsontgnrsexclusivementparlesASBRetdcriventlesdestinationsexternesausystme autonomeoudesroutesexternesquipeuventtreutilisescommeroutespardfaut.CesLSAssontinondsdans toutlesystmeautonomelexclusiondesairesdebout.CesontdonclesseulsLSAsdontlinondationneconcerne pasuneaireetuneseule.
LinkStateID:pourletype5,lechampcontientladresseIPdurseauannonc. NetworkMask:pourletype5,lechampcontientlemasquedurseauannonc.
Quandletype5estutilispourannonceruneroutepardfaut,leschamps LinkStateIDet Network Masksonttousdeuxcompltsavec0.0.0.0.
EouExternalMetricbit:spcifieletypedemtriqueassocieladestinationannonce.Quandune routeexterneestredistribuedanslesystmeautonome,cestlerouteurfrontireASBRquifaitrentrerla routedanslesystmeautonomeetquiestenchargedeluiattribueruncot:

G
E=0,lamtriquequilfaututiliserpourcetterouteestdetype1cequisignifiequelecotpour atteindreladestinationexternedoittrecalculensommantlecotannoncparlASBRdansleLSA etlecotpouratteindrelASBR. E=1,lamtriquequilfaututiliserpourcetterouteestdetype2cequisignifiequelecotpour atteindre la destination externe est calcul en ignorant le cot pour atteindre lASBR et en ne prenantencomptequelecotannoncparlASBRdansleLSA.
- 77 -
Cest le motcl metrictype ajout la commande redistribute qui permet ladministrateur de configurer le type choisi. Ce rglage prend de limportance quand plusieurs routeurs frontires constituentdesalternativesversladestinationenquestion.
metric:cotversladestinationannoncetelquilestrglsurlerouteurASBR.Puisqueladestination est probablement connue de lASBR laide dun protocole de routage diffrent, cest ladministrateur qui configure la redistribution des routes apprises par ce protocole de routage vers OSPF, la mtrique quil convientdappliquerestrglecemomentdelaconfiguration. Forwardingaddress: letraficversladestinationannoncedoittretransmiscetteadresse.Quandle champestrgl0.0.0.0,lespaquetsdoiventtretransmislASBRluimme. ExternalRouteTag:tiquettede32bitsassocielarouteexterne.Cechampnestpasnormalisparle RFC 2328 et nest pas utilis par OSPF. Il permet lchange dinformations entre routeurs frontire du systmeautonome. LeschampsquisuiventsontnouveaudeschampsTOSoptionnels.Ceschampssontidentiquesceuxdj dcrits(voirLSAderouteur)lexceptiondelamtriqueTOSquicettefoisestassociesonproprebitde typedemtrique,sapropreadressedetransmissionetsapropretiquette.
- 78 -
ConfigurationOSPF
Nousprocderonsendeuxtemps.Dansunpremiertemps,nousproposonsaulecteurdelassisterpourreproduirela topologie de latelier 9a. Puis nous proposerons une modification dans latelier 9b, pour laquelle le lecteur sera en situationdautonomie.UnesolutionestbiensrproposeauchapitreAteliersetexercicescorrigs. Lillustrationdelatopologieadjtfourniemaislavoicinouveauafindviterdavoirfeuilletertropfrquemment louvrage:
HorsOSPF,laconfigurationdesseptrouteursestlasuivante: R8 hostname R8 enable secret 5 ccna interface FastEthernet0/0 ip address 10.0.8.8 255.255.255.0 interface Serial0/0 ip address 192.168.1.226 255.255.255.252 interface FastEthernet0/1 ip address 10.0.1.8 255.255.255.0 interface Serial0/1 ip address 10.0.2.8 255.255.255.0 line con 0 exec-timeout 0 0 logging synchronous end R16 hostname R16 enable secret 5 ccna interface FastEthernet0/0
- 1-
ip address 10.0.16.16 255.255.255.0 interface FastEthernet0/1 ip address 10.0.1.16 255.255.255.0 interface Serial0/1 ip address 10.0.2.16255.255.255.0 clock rate 64000 line con 0 exec-timeout 0 0 logging synchronous end R11 hostname R11 enable secret 5 ccna interface FastEthernet0/0 ip address 10.0.11.1 255.255.255.0 interface FastEthernet0/1 ip address 10.0.8.11 255.255.255.0 line con 0 exec-timeout 0 0 logging synchronous end R12 hostname R12 enable secret 5 ccna interface FastEthernet0/0 ip address 10.0.12.1 255.255.255.0 interface FastEthernet0/1 ip address 10.0.8.12 255.255.255.0 line con 0 exec-timeout 0 0 logging synchronous end R21 hostname R21 enable secret 5 ccna interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.0 interface FastEthernet0/1 ip address 10.0.16.21 255.255.255.0 line con 0 exec-timeout 0 0 logging synchronous end R22 hostname R22 enable secret 5 ccna interface FastEthernet0/0 ip address 10.0.22.1 255.255.255.0 interface FastEthernet0/1 ip address 10.0.16.22 255.255.255.0 line con 0 exec-timeout 0 0 logging synchronous end R9 hostname R9 enable secret 5 ccna interface FastEthernet0/0
- 2-
ip address 172.26.9.1 255.255.255.0 interface Serial0/0 ip address 192.168.1.225 255.255.255.252 clock rate 64000 line con 0 exec-timeout 0 0 logging synchronous end
a.Identifiantdurouteur
ReliresincessairelaterminologieRIDendbutdecechapitre.LIOSoffreunepremirepossibilitquiconsiste fixerdirectementleRIDdunrouteurlaidedelacommanderouteridenconfigurationderouteur: R8(config)#router ospf 1 R8(config-router)#router-id 1.0.0.8 Sicettepossibilitnapastmiseprofit,OSPFquiavraimentbesoindidentifiertoutrouteurdriveunidentifiant duneadressedeloopback,dfautduneadressedinterface.Unesecondesolutionconsistedonc,surchacundes routeursOSPF,creruneinterfacedeloopbackpuisluiaffecteruneadresseIP,adressequideviendraleRIDdu routeur: R8 interface Loopback0 ip address 1.0.0.8 255.255.255.255 R16 interface Loopback0 ip address 1.0.0.16 255.255.255.255 R11 interface Loopback0 ip address 1.0.0.11 255.255.255.255 R12 interface Loopback0 ip address 1.0.0.12 255.255.255.0 R21 interface Loopback0 ip address 1.0.0.21 255.255.255.0 R22 interface Loopback0 ip address 1.0.0.22 255.255.255.255 R9 interface Loopback0 ip address 1.0.0.9 255.255.255.0
b.CrationduprocessusOSPF
Les premires tapes dune configuration OSPF ressemblent celles dj exprimentes avec les protocoles de routageprcdents.IlfautcrerunprocessusOSPFpuislavertirdesrseauxqueleprotocoledevraprendreen compte.Unediffrencecependant:OSPFestunprotocolequipermetdehirarchiserlatopologieendeuxniveaux laidedesaires.Cecisoprelaidedelargumentarea.LeprocessusOSPFestdmarrdelammefaonquele processusEIGRPetncessiteunnumrodeprocessus.Pourmmoire,EIGRPdemandaitluiunnumrodesystme autonome encore quen ralit ce ne soit jamais quun numro de processus dguis. Simplement, le processus EIGRP dun routeur communique avec les autres routeurs EIGRP la condition dtre configur avec un mme numrodesystmeautonome.RiendetoutcelaavecOSPF,lenumrodeprocessusnaquunesignificationlocale
etnapasbesoindtreidentiquesurlensembledesrouteursdudomaineOSPF.Maisdansunsoucideclartoude cohrence,ladministrateurquinariendunfarfeluchoisiralemmenumrodeprocessuspourtouslesrouteurs: R8(config)#router ospf ? <1-65535> Process ID R8(config)#router ospf 1 R8(config-router)# LenumroattribuauprocessusOSPFdoitappartenirlespace[165535].Rienninterditdeconfigurerplusieurs processusOSPFsurunmmerouteurmaispourquoifaudraitillefaire?Dautantquechaqueprocessusactivva entranerlacrationpuislentretiendelensembledesstructuresdedonnesdontabesoinOSPF.
c.Lacommandenetwork
La seconde tape consiste activer le traitement des mises jour sur les interfaces adquates laide de la commandenetworkenconfigurationderouteur.Cefaisant,oncreaussilesairesdelatopologie: Router(config-router)# network @IP masque_gnrique area area_id Lensemble@IP/masquegnriquedfinitauchoix,uneadresseunique,uneplagedadressescontigusouenfin un ensemble dadresses compos de plusieurs plages non contigus. En effet, linverse du masque rseau, la disposition des bits du masque gnrique na pas tre continue. Le masque gnrique est trait de faon compltedanslasectionManipulationdesmasquesgnriquesduchapitreGestiondetraficparlistedaccs(ACL). Pour le moment, retenons que chaque bit 1 dans le masque signifie que le bit correspondant de ladressedoit tre ignor. Le tableau cidessous reprend les deux premires tapes, cration de processus OSPF puis renseignementdesinterfacesetcrationdesairespourlesseptrouteursdelatopologie: R8 router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.7.255 area 0 network 10.0.8.0 0.0.7.255 area 8 network 192.168.1.224 0.0.0.3 area 0 R16 router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.7.255 area 0 network 10.0.16.0 0.0.7.255 area 0 R11 router ospf 1 log-adjacency-changes network 10.0.8.0 0.0.7.255 area 8 R12 router ospf 1 log-adjacency-changes network 10.0.8.0 0.0.7.255 area 8 R21 router ospf 1 log-adjacency-changes network 10.0.16.0 0.0.7.255 area 0 R22 router ospf 1 log-adjacency-changes network 10.0.16.0 0.0.7.255 area 0 R9
- 4-
router ospf 1 log-adjacency-changes redistribute connected metric 10 subnets network 192.168.1.224 0.0.0.3 area 0 La commande logadjacencychanges a t ajoute de faon automatique par lIOS. Ainsi, par dfaut, des messagesSYSLOGavertissentdeltablissementoudeladisparitionderelationsdevoisinageoudeproximit: 04:30:51: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/0 from LOADING to FULL, Loading Done Cette configuration nest comprhensible quen disposant du plan dadressage. Le lecteur attentif aura remarqu que ce plan a dj servi de support dans louvrage Cisco Notions de base sur les rseaux dans la collection CertificationsauxEditionsENIpourexpliquerlesfondementsdeladressageVLSM:
TableauVLSMdichotomique1
R11, R12 appartiennent laire 8 qui est au Nord de la topologie, aire qui se voit affecte ltendue 10.0.8.0/21.Lacommandenetworkcorrespondanteestnetwork10.0.8.00.0.7.255area8. R21 et 22 appartiennent la zone Sud, partie de laire 0, qui se voit affecte ltendue 10.0.16.0/21. La commandenetworkcorrespondanteestnetwork10.0.16.00.0.7.255area0. R8estunABRplaclafrontiredesaires8et0.Deplus,ilestconnectlASBR.Cecijustifielestrois commandesnetwork. UneseulecommandenetworksuffitpourR9carLAN9nappartientpasaudomaineOSPF.
Pourlanecdote,onsesouvientquelidentifiantdaireestformatcommeuneadresseIP:
- 5-
R8(config)#router ospf 1 R8(config-router)#network 10.0.8.0 0.0.7.255 area ? <0-4294967295> OSPF area ID as a decimal value A.B.C.D OSPF area ID in IP address format R8(config-router)#network 10.0.8.0 0.0.7.255 area 0.0.0.8 R8(config-router)#^Z R8#sh run ......... router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.7.255 area 0 network 10.0.8.0 0.0.7.255 area 8 network 192.168.1.224 0.0.0.3 area 0 ......... R8# Astuce : pour plus de commodit, il est possible de renseigner la commande network avec ladresse IP affectelinterfaceetdoncrpterlacommandenetworkautantdefoisquilyadinterfacesparticipant auprotocoleOSPF.Lemasquegnriqueestdanscecas0.0.0.0quispcifieuneadressedhte.
d.Contrleetdpannage
Surchacundesrouteurs,uncertainnombredecommandesshowrenseignentsurlebonfonctionnementdOSPF: Commande show ip interface brief show ip ospf neighbor Commandeabrge sh ip int br sh ip o n Usage tatdesinterfaces,couche1et2. Listedesvoisinsavecpourchacun,sonRID, ltatdudiagrammedtatsdelinterface,ltat dudiagrammedtatsdelarelationde voisinage,ladresseIPdelinterfaceduvoisin surlerseauderattachement. Pourchaqueinterface,unebonnepartdes informationsOSPF:RID,airedappartenance, typederseau,cot,rglagedes temporisateurs... RID,typederouteurs,aires,typesdaires... LesroutesapprisesparOSPF. Yatiluneroutedanslatablederoutagevers cettedestination?
show ip ospf interface
sh ip oi
show ip protocols show ip route ospf Show ip route 10.0.16.1
Sh ip pro Sh ip ro os Sh ip ro 10.0.16.1
Pourdescasplusdifficiles,ladministrateurpeutsadjoindrelesservicesdelacommandedebug.Nepasoublierde commencer par une commande undebug all afin de pouvoir rappeler cette commande de faon simple depuis lhistoriquedecommandes: Commande undebug all debug ip ospf adj Commandeabrge u all deb ip o adj Usage Fairecessertoutprocessusdebug. Ledtaildeltablissementdesrelationsde voisinage. Informationssurchaquepaquetdutrafic dacheminementOSPF. Contenudechaquepaquetdutrafic dacheminementOSPF.
debug ip ospf events
deb ip o e
debug ip ospf packet
deb ip o p
- 6-
debug ip ospf hello
deb ip o h
InformationssurletraficdemessagesHello.
Letestultime:lacommande pingavaittlancedepuisPCL11versPCL22avantdedmarrerlesseptrouteurs delatelier9a,neboudonspasnotreplaisir:
a.Modificationdelabandepassantedunlien
LAN1quirelieR8etR16esthorsservice.WAN2maintientlaconnectivitdanslaire0maisquandladministrateur entreunecommandeshowiproutesurR8,ilconstateunproblme: R8#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP ......... O 10.0.16.0 [110/65] via 10.0.2.16, 00:01:40, Serial0/1 O 10.0.22.0 [110/66] via 10.0.2.16, 00:01:40, Serial0/1 O 10.0.21.0 [110/66] via 10.0.2.16, 00:04:05, Serial0/1 Lecotdelaroutevers10.0.16.0est65.PuisqueLAN16estdetypeFastEthernet,linterfacef0/0deR16auncot de1.Linterfaces0/0deR8adoncuncotde651=64cequilvrifielaidedunecommandeshowints0/0: R8#sh int s0/0 Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Internet address is 192.168.1.226/30 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, La raison en est que la bande passante sur linterface s0/0 est reste la valeur par dfaut, soit le dbit du T1 amricain. Il se trouve que les liens WAN entre R8 et R16 ainsi quentre R8 et R9 sont des liens 64 Kbps. Ladministrateurdcidedemettrejourlensembledesbandespassantesdesliensserial: R8 R8(config)#int s0/1 R8(config-if)#bandwidth 64 R8(config-if)#int s0/0 R8(config-if)#bandwidth 64
R8(config-if)#^Z R16 R16(config)#int s0/1 R16(config-if)#bandwidth 64 R16(config-if)#^Z R9 R9(config)#int s0/0 R9(config-if)#bandwidth 64 R9(config-if)#^Z Unevrificationdelatablederoutageconfirmelapriseencomptedesnouvellesbandespassantes: R8#sh ip route ......... O 10.0.16.0 [110/1563] via 10.0.2.16, 00:00:00, Serial0/1 O 10.0.22.0 [110/1564] via 10.0.2.16, 00:00:00, Serial0/1 O 10.0.21.0 [110/1564] via 10.0.2.16, 00:00:00, Serial0/1 .........
b.Trucagedeslections
LadministrateursouhaitequeR16soitDR,R21BDRetR22nonligible: R16 R16(config)#int f0/0 R16(config-if)#ip ospf priority 10 R16(config-if)#^Z R16# R22 R22(config)#intf0/1 R22(config-if)#ip ospf priority 0 R22(config-if)#^Z R22# LaconfigurationdeR21napastmodifie,saprioritreste1,soitlaprioritpardfaut. LersultatnestpasconformeceluiattenduparcequeR16atdmarraprsquellectiondeR21sesoitdj produite: R21#sh ip ospf n Neighbor ID 1.0.0.16 1.0.0.22 Pri 10 0 State FULL/BDR FULL/DROTHER Dead Time 00:00:31 00:00:32 Address 10.0.16.16 10.0.16.22 Interface FastEthernet0/1 FastEthernet0/1
UnredmarragedeR21rtablitlersultatsouhait: R22#sh ip ospf n Neighbor ID 1.0.0.16 1.0.0.21 Pri 10 1 State FULL/DR FULL/BDR Dead Time 00:00:35 00:00:35 Address 10.0.16.16 10.0.16.21 Interface FastEthernet0/1 FastEthernet0/1
c.Agrgationderoutes
SeulunABRpeutgnrerunLSArsumderseau.IlgnreuntelLSApourchaquedestinationaccessibleparlui endehorsdelaire.Ainsi,R8dansnotreatelierOSPFgnresixLSArsumsderseaupourannoncerdanslaire8 les six destinations quil connat dans laire 0, savoir les rseaux 10.0.1.0/24, 10.0.2.0/24, 10.0.16.0/24, 10.0.21.0/24,10.0.22.0/24et192.168.1.224/30:
- 8-
R11#sh ip ospf database database-summary OSPF Router with ID (1.0.0.11) (Process ID 1) Area 8 database LSA Type Router Network Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal ......... summary Count 3 1 6 1 0 0 0 11
Delete 0 0 0 0 0 0 0 0
Maxage 0 0 0 0 0 0 0 0
Lacommandeshowipospfdatabasesummaryconfirmelessixdestinations(extraits): R11#sh ip ospf database summary OSPF Router with ID (1.0.0.11) (Process ID 1) Summary Net Link States (Area 8) ... Link State ID: 10.0.1.0 (summary Network Number) Network Mask: /24 ... Link State ID: 10.0.2.0 (summary Network Number) Network Mask: /24 ... Link State ID: 10.0.16.0 (summary Network Number) Network Mask: /24 ... Link State ID: 10.0.21.0 (summary Network Number) Network Mask: /24 ... Link State ID: 10.0.22.0 (summary Network Number) Network Mask: /24 ... Link State ID: 192.168.1.224 (summary Network Number) Network Mask: /30 IlestpossiblederduirelenombredeLSAsrsumsderseauannoncsparR8danslaire8: R8(config)#router ospf 1 R8(config-router)#area 0 range 10.0.0.0 255.255.248.0 ! Agrger Rseau Centre R8(config-router)#area 0 range 10.0.16.0 255.255.248.0 ! Agrger Rseau Sud R8(config-router)#^Z VrifionsleseffetssurlaLSDdeR11: R11#sh ip ospf database database-summary OSPF Router with ID (1.0.0.11) (Process ID 1) Area 8 database LSA Type Router Network Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal summary Count 3 1 3 1 0 0 0 8
Delete 0 0 0 0 0 0 0 0
Maxage 0 0 0 0 0 0 0 0
LesLSAsrsumsderseausontpasssdesixtrois:
- 9-
R11#sh ip ospf database summary OSPF Router with ID (1.0.0.11) (Process ID 1) Summary Net Link States (Area 8) ... Link State ID: 10.0.0.0 (summary Network Number) Network Mask: /21 ... Link State ID: 10.0.16.0 (summary Network Number) Network Mask: /21 ... Link State ID: 192.168.1.224 (summary Network Number) Network Mask: /30 De la mme faon, il est possible dagrger les LSAs rsums de rseau correspondant aux trois destinations du rseauNord,afinqueR8nannoncequunseulLSArsumderseaudanslaire0: Avantlintervention,lABRR8annoncetroisLSAsrsumsderseaudanslaire0: R16#sh ip ospf database database-summary OSPF Router with ID (1.0.0.16) (Process ID 1) Area 0 database LSA Type Router Network Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal summary Count 5 2 3 0 0 0 0 10
Delete 0 0 0 0 0 0 0 0
Maxage 0 0 0 0 0 0 0 0
CestroisLSAssont: R16#sh ip ospf database summary OSPF Router with ID (1.0.0.16) (Process ID 1) Summary Net Link States (Area 0) ... Link State ID: 10.0.8.0 (summary Network Number) Network Mask: /24 ... Link State ID: 10.0.11.0 (summary Network Number) Network Mask: /24 ... Link State ID: 10.0.12.0 (summary Network Number) Network Mask: /24 Agrgons... R8(config)#router ospf 1 R8(config-router)#area 8 range 10.0.8.0 255.255.248.0 R8(config-router)#^Z VrifionsleseffetssurlaLSDdeR16: R16#sh ip ospf database database-summary OSPF Router with ID (1.0.0.16) (Process ID 1) Area 0 database LSA Type Router Network summary Count 5 2
Delete 0 0
Maxage 0 0
- 10 -
Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal
1 0 0 0 0 8
0 0 0 0 0 0
0 0 0 0 0 0
LesLSAsrsumsderseausontpasssdetroisun: R16#sh ip ospf database summary OSPF Router with ID (1.0.0.16) (Process ID 1) Summary Net Link States (Area 0) ... Link State ID: 10.0.8.0 (summary Network Number) Network Mask: /21 CQFD.
d.Airestub
R8 R8(config)#router ospf 1 R8(config-router)#area 8 stub R8(config-router)# 04:14:06: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/0 from FULL to DOWN, Neighbor Down: Adjacency forced to reset R11 R11(config)#router ospf 1 R11(config-router)#area 8 stub R11(config-router)# 04:15:06: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.12 on FastEthernet0/1 from FULL to DOWN, Neighbor Down: Adjacency forced to reset R12 R12(config)#router ospf 1 R12(config-router)#area 8 stub R12(config-router)# Puisque laire 8 est dsormais une aire de bout, lABR R8 gnre un LSA rsum de rseau afin dannoncer une routepardfautquipasseparlui,cequeconfirmeunecommandeshowiproute: R11#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.0.8.8 to network 0.0.0.0 1.0.0.0/32 is subnetted, 1 subnets 1.0.0.11 is directly connected, Loopback0 10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks 10.0.11.0/24 is directly connected, FastEthernet0/0 10.0.8.0/24 is directly connected, FastEthernet0/1
C C C
O O IA O IA
10.0.12.0/24 [110/2] via 10.0.8.12, 00:00:49, FastEthernet0/1 10.0.0.0/21 [110/2] via 10.0.8.8, 00:00:49, FastEthernet0/1 10.0.16.0/21 [110/3] via 10.0.8.8, 00:00:49, FastEthernet0/1 192.168.1.0/30 is subnetted, 1 subnets O IA 192.168.1.224 [110/1563] via 10.0.8.8, 00:00:49, FastEthernet0/1 O*IA 0.0.0.0/0 [110/2] via 10.0.8.8, 00:00:49, FastEthernet0/1
e.Airetotallystubby
On peut vouloir considrer que le seul LSA rsum de rseau utile est celui annonant la route par dfaut. Une interventionsurlABRR8suffitpourtransformerlairedeboutenairetotalementdebout: R8(config)#router ospf 1 R8(config-router)#no area 8 stub R8(config-router)#area 8 stub ? no-summary Do not send summary LSA into stub area <cr> R8(config-router)#area 8 stub no-summary R8(config-router)# ConstatonsleseffetssurR12cettefois: R12#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.0.8.8 to network 0.0.0.0 1.0.0.0/24 is subnetted, 1 subnets 1.0.0.0 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 3 subnets O 10.0.11.0 [110/2] via 10.0.8.11, 00:00:05, FastEthernet0/1 C 10.0.8.0 is directly connected, FastEthernet0/1 C 10.0.12.0 is directly connected, FastEthernet0/0 O*IA 0.0.0.0/0 [110/2] via 10.0.8.8, 00:00:05, FastEthernet0/1 C Ainsi, les routes vers 10.0.1.0/24, 10.0.2.0/24, 10.0.16.0/24, 10.0.21.0/24 et 10.0.22.0/24 ont disparu. La seule routeinterairesquisubsisteestlaroutepardfaut.CeciestcohrentaveclenombredeLSAsrsumsderseau prsentsenLSD: R12#sh ip ospf database database-summary OSPF Router with ID (1.0.0.12) (Process ID 1) Area 8 database LSA Type Router Network Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal summary Count 3 1 1 0 0 0 0 5
Delete 0 0 0 0 0 0 0 0
Maxage 0 0 0 0 0 0 0 0
LeseulLSArsumderseauquisubsisteest: R12#sh ip ospf database summary OSPF Router with ID (1.0.0.12) (Process ID 1) Summary Net Link States (Area 8)
- 12 -
... Link State ID: 0.0.0.0 (summary Network Number) Network Mask: /0
3.Conclusion
OSPFestplusdifficilemettreen uvrequeRIPmaisilestbeaucoupplusefficacedanslesphasestransitoiresetne crepasdebouclesderoutage.Deplus,cettecaractristiqueluiestnaturellealorsquellenestobtenuequcoups dartifices pour RIP. OSPF est fond sur plusieurs sousprotocoles, dont un qui permet une inondation fiable du rseau.Lesrouteurspossdentalorschacununecopiedelabasededonnestopologiquesdurseau,etpeuvent calculerindividuellementlepluscourtcheminpourallerverslensembledesdestinations. Pour rduire la dure des calculs et surtout pour viter un nouveau calcul des routes chaque changement de configuration,OSPFoffrelapossibilitdedcouperlerseauenaires.Uneaireprincipaleappelebackbonerelie touteslesautresaires.Lesrseauxtrouvsdansuneairedonnesontannoncsauxautresairesparlesrouteurs quisontplacsauxfrontiresdaire.
- 13 -
Atelier:MiseenuvreduneconfigurationOSPF
vousdejouercettefois,uncorrigestproposauchapitreAteliersetexercicescorrigs. Objectifs:
I
Votremission,sivouslacceptez,consistescinderlaire0defaoncrerundomaineRIPversion2.Latopologie modifiecomporteainsideuxrouteursASBR:R9etR16. ModifiezlaconfigurationderouteurOSPFsurR16afindesupprimerlacommande networkquiprenaitencomptele rseauSud. SupprimezleprocessusOSPFdesrouteursR21etR22. CrezunprocessusRIPv2surchacundestroisrouteursR16,R21etR22. SurR16,mettezprofitlacommandepassiveinterfaceafindenepasdiffuserdannonceRIPverslerseauCentre. SurR16etenvousinspirantdelacommande redistributeutilisesurR9,tentezderedistribuerlesroutesissues dOSPFversRIPavecunemtriquedetroissauts. Delammefaon,redistribuezlesroutesissuesdeRIPversOSPFentablissantuncotinvariable10.
Partoutmoyenvotreconvenance,vrifiezquelaconnectivitestmaintenue. Cetatelierestmaintenanttermin.
- 1-
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 CitezdeuxvnementsparmidautresquifontquunrouteurgnreunenouvelleinstancedesonLSAoude lundesesLSAs. 2 QuellessontlestroistablesentretenuesparunrouteurOSPF? 3 LeprocessusOSPFaabsolumentbesoindidentifierdefaonuniquechacundesrouteursparticipantau protocoledansundomainedonn.Commentunrouteurdterminetilsonidentifiant? 4 QuelleestltapeultimeduprocessusderoutageOSPF? 5 Uncollgueadministrateurvousdemandedelaideetvousditavoirentrlacommandedeconfiguration suivante: Router(config-router)# network 10.0.0.0 255.0.0.0 area 0 Leproblmeestquelatablederoutagerestevide.Queluiditesvous? 6 Observezlillustrationcidessous.LerouteurR12gnreunmessageLSUpdateporteurdesonLSAde routeur.Touteslesinformationsprsentessurlillustrationsontprsentesdanscemessagesaufune.Cherchez lintrus...
7 Surunrseaudiffusion,lesmessagesHellosontmisdefaonrguliresurtouteinterfaceOSPFconnecte aurseau.Quelleestlapriodeespaantdeuxmessages? 8 quoipourraitcorrespondreledlaide40secondeslorsquilestmaintenusavaleurpardfaut? 9 CitezlesdeuxrglesessentiellesquirgissentlepartagedelASenaires. 10 Selonvous,quellecaractristiqueduprotocoleOSPFleprotgequasinaturellementdelaformationdeboucles deroutage? 11 Observezlillustrationcidessous.QueltrajetOSPFfaitilemprunterautraficissude10.0.11.0etdestin 10.0.12.0?
12 UnrouteuretsonvoisinphysiquenepeuventtablirunerelationdevoisinageausensOSPFquesilssont daccordsuruncertainnombredeparamtres.Citezdeuxdecesparamtres.
- 1-
13 DfinissezlenumrodeprocessusOSPF. 14 Quelstypesderseauxentranentllectiondunrouteurdsignainsiquecelledunrouteurdsignde secours? 15 QuelleconditionindispensablefautilremplirpourtreassurquunrouteurOSPFconstruiseunarbreSPF exemptderreurs? 16 Citezunautreprotocolequi,commeOSPF,metprofitlalgorithmedeDijkstrapourtablirlarbredupluscourt chemin. 17 Observezlillustrationcidessous.QuefaitR8dumessageLSUpdatereudeR12etquiporteleLSAde routeurgnrparR12?
18 CommentOSPFdsignetiluneinterfacederouteur? 19 DonnezdeuxcritresessentielsquimiliteraientenfaveurdeladoptiondOSPF. 20 Observezlillustrationcidessous.DequelsrouteurslerouteurR12reoitildespaquetsHello?
21 QuesignifielamentionOE2associelaroutevers172.26.9.0danslextraitdecapturedunecommande showiproutecidessous? O E2 172.26.9.0 [110/10] via 10.0.8.8, 00:00:49, FastEthernet0/1
22 QuelleestladistanceadministrativedOSPF? 23 CitezdeuxcommandespermettantdedcouvrirleRIDdunrouteurOSPF. 24 CommentOSPFcalculetillecotduneroute? 25 UndomaineOSPFutiliseseptrouteurs.Ledomaineestoprationnel(ilaconverg).Lesconfigurationsontt sauvegardes.LaseulesourcederoutageestOSPF.Ladministrateurdoitredmarrerlundesrouteurs.Quelles informationsfigurentdanslatablederoutageunefoislefichierdeconfigurationchargmaisavantqueOSPF

naiteuletempsdeconverger? 26 Considrezlillustrationcidessous:
VoiciunextraitdelatablederoutagedeR9: R9#sh ip route ......... 10.0.0.0/24 is subnetted, 8 subnets O 10.0.8.0 [110/1563] via 192.168.1.1, 00:00:49, serial0/1 ......... R9# QuellecommandenetworkatilfalluentrersurR9pourobtenircersultat? 27 Considrezlillustrationcidessous:
Quesepassetilimmdiatementaprslexcutiondescommandescidessous: R16(config)#int f0/0 R16(config-if)#ip ospf priority 255
2.Rsultats
3.Rponses
1 CitezdeuxvnementsparmidautresquifontquunrouteurgnreunenouvelleinstancedesonLSAoudelunde sesLSAs.
G
Le changement dtat dune interface, cestdire un changement de topologie, qui ncessite de produire une nouvelleinstancedeLSAderouteur. Un changement de routeur dsign DR sur le rseau de rattachement qui ncessite galement de produire une nouvelleinstancedeLSAderouteur.Deplus,sicerouteurestluDR,ildoitproduireunnouveauLSAderseau.Si ce routeur tait DR et ne lest plus, le LSA de rseau quil a gnr par le pass doit tre supprim des LSDs de laire. LechampLSagedelundesLSAsatteintlavaleurLSRefreshTime(30minutes).Danscecas,quelquesoit le contenu du LSA modifi ou pas (cest le seul vnement parmi les dix inventoris imposer une nouvelle gnrationquelecontenuduLSAaitchangoupas),lerouteurloriginedelacrationdeceLSAdoitengnrer unenouvelleinstancedesonLSA.
(ReliresincessairelasectionLabasededonnesdtatsdeliensouLSDRafrachissementdesLSAs.) 2 QuellessontlestroistablesentretenuesparunrouteurOSPF? Parce quil est OSPF, un routeur entretient une base de donnes de relations de voisinage ainsi quune base de donnes topologiques(laLSD).Commetoutrouteur,lerouteurOSPFentretientlatablederoutage. 3 Le processus OSPF a absolument besoin didentifier de faon unique chacun des routeurs participant au protocole dansundomainedonn.Commentunrouteurdterminetilsonidentifiant? Parordredeprfrence:
G
Ladministrateur peut avoir fix directement lidentifiant laide dune commande router id en configuration de routeur. LerouteurchoisitladresseIPlaplusleve(ladresseestalorsconsidrecommeunnombre)parmilesadresses attribuessesinterfacesdeloopback.Attention,certainsouvragesnommentinterfaceslogiqueslesinterfacesde loopback. Pour le cas, peu probable, o ladministrateur naurait configur aucune interface de loopback, le routeur lui substitueladresseIPlaplusleveparmilesadressesaffectessesinterfacesphysiques.Linterfacephysique quiafourniladresseIPnapasncessairementbesoindtrelunedesinterfacesparticipantauprotocole.
(Relire si ncessaire la section Configuration OSPF Identifiant du routeur ainsi que la section Aperu du protocole Terminologie.) 4 QuelleestltapeultimeduprocessusderoutageOSPF? LaconstructiondelarbrederecouvrementensefondantsurlesdonnestopologiquesrecueilliesdanslaLSD.
G
UnefoislaLSDcomplte,chaquerouteurdroulelalgorithmeSPFpourconstruireunarbredcrivantlensembledes cheminsmeilleurcotverstouteslesdestinationsconnues.Chaquerouteurestlaracinedelarbrequilcalcule. ChaquerouteurdduitsatablederoutageenextrayantlesroutesdelarbreSPFquilacalcul.
(ReliresincessairelasectionAperuduprotocoleTerminologie.) 5 Uncollgueadministrateurvousdemandedelaideetvousditavoirentrlacommandedeconfigurationsuivante: Router(config-router)# network 10.0.0.0 255.0.0.0 area 0 Leproblmeestquelatablederoutagerestevide.Queluiditesvous? Lemasquegnriqueestincorrect(reliresincessairelasectionConfigurationdebaselacommandenetwork). 6 Observezlillustrationcidessous.LerouteurR12gnreunmessage LSUpdate porteurdesonLSAderouteur.
- 4-
Touteslesinformationsprsentessurlillustrationsontprsentesdanscemessagesaufune.Cherchezlintrus...
Le LSA de routeur du routeur R12 porte deux liens parce que R12 a deux interfaces. Le lien correspondant au LAN dextrmitestdetypestub,ilporteladresseIPdurseau10.0.12.0ainsiquesonmasque255.255.255.0.Lesecond lienestdetypetransitetporteladresseIPdelinterfaceduDRsoit10.0.8.12ainsiqueladresseIPsurlerseaude transit de linterface du routeur qui a gnr le LSA, soit nouveau 10.0.8.12. La seule information prsente sur lillustrationmaisabsenteduLSAestladresseIPduBDR10.0.8.11(reliresincessairelasectionFormatdesmessages OSPFFormatdesLSAs). 7 Sur un rseau diffusion, les messages Hello sont mis de faon rgulire sur toute interface OSPF connecte au rseau.Quelleestlapriodeespaantdeuxmessages? La priode qui spare deux messages Hello est HelloInterval , ce dlai est configurable par interface laide de la commandeipospfhello interval.LimplmentationOSPFdeCISCOutiliseunevaleurpardfautde10secondes. 8 quoipourraitcorrespondreledlaide40secondeslorsquilestmaintenusavaleurpardfaut? Unefoisajoutlatabledevoisinage,unvoisinfaitlobjetdunesurveillancergulire.SilesmessagesHelloquelerouteur sattendrecevoirneluiparviennentpluspendantuntempsdobservationsuffisant,levoisinestconsidrcommeperdu. CestledlaiRouterDeadIntervalquirgleladuredececomaprmortem.Ciscosentientlavaleursuggreparle RFC, soit 4 x HelloInterval, cestdire 40 secondes par dfaut. nouveau, cette valeur est modifiable laide de la commandeipospfdead interval. 9 CitezlesdeuxrglesessentiellesquirgissentlepartagedelASenaires.
G
Laire0ditebackboneesttoujoursprsente. Lesautresairessontconstruitesselonunetopologiehirarchiqueunniveauautourdelaire0.
(ReliresincessairelasectionPartagedelASenaires.) 10 Selon vous, quelle caractristique du protocole OSPF le protge quasi naturellement de la formation de boucles de routage? ChaquerouteurpartdelaLSDpourcalculerunarbrerecouvrantqui,paressence,nedonnequunseulcheminentretoute destinationetlerouteurquifaitlecalcul.Ilrestebiensassurerquelhypothsededpart,savoiruneLSDidentiquesur chaquerouteur,soitbienvrifie. 11 Observezlillustrationcidessous.QueltrajetOSPFfaitilemprunterautraficissude10.0.11.0etdestin10.0.12.0?
LecheminlemoinscoteuxestAGFED. 12 UnrouteuretsonvoisinphysiquenepeuventtablirunerelationdevoisinageausensOSPFquesilssontdaccord suruncertainnombredeparamtres.Citezdeuxdecesparamtres. Listenonexhaustive:lidentifiantdaire,lemasquederseau,lesdlaisHelloIntervaletRouterDeadInterval(relire sincessairelasectionFormatdesmessagesOSPFLemessageHello). 13 DfinissezlenumrodeprocessusOSPF. Contrairement EIGRP, le numro de processus na quune signification locale et na pas besoin dtre identique sur lensemble des routeurs du domaine OSPF. Mais dans un souci de clart ou de cohrence, ladministrateur fera bien de choisir le mme numro de processus pour tous les routeurs OSPF (relire si ncessaire la section Configuration OSPF CrationduprocessusOSPF). 14 Quelstypesderseauxentranentllectiondunrouteurdsignainsiquecelledunrouteurdsigndesecours? LerseaudiffusionbiensrmaisaussiunrseauNBMAquandladministrateurapulemaillercompltementetdoncle configurer en mode OSPF Broadcast (relire si ncessaire la section Linterface OSPF Reprsentation des rseaux LAN et NBMA). 15 Quelle condition indispensable fautil remplir pour tre assur quun routeur OSPF construise un arbre SPF exempt derreurs? La base de donnes LSD doit tre identique sur chacun des routeurs de la zone OSPF (relire si ncessaire la section ProcessusdinondationLesacquittements). 16 Citez un autre protocole qui, comme OSPF, met profit lalgorithme de Dijkstra pour tablir larbre du plus court chemin. OSPF nest pas le seul protocole de routage avoir adopt lalgorithme de Dijkstra. ISIS (Intermediate System to IntermediateSystem),protocoleIGPdfiniparlISO(normeinternationaleISO/IEC10589:2002)afaitdemme.LIETFa publilesspcificationsdISISdanslaRFC1142(reliresincessairelasectionAperuduprotocoleAlgorithmeDijkstradu pluscourtchemin). 17 Observezlillustrationcidessous.QuefaitR8dumessage LSUpdatereudeR12etquiporteleLSAderouteur gnrparR12?
R8extraitleLSAdumessageLSUpdatepuissontourcomposedeuxnouveauxmessagesLSUpdatedestins R21 et R22, et dans lesquels il encapsule le LSA de routeur du routeur R12 (relire si ncessaire la section Processus dinondationConceptsgnraux). 18 CommentOSPFdsignetiluneinterfacederouteur? Unlien(reliresincessairelasectionLinterfaceOSPFStructuredesdonnesdelinterface).
- 6-
19 DonnezdeuxcritresessentielsquimiliteraientenfaveurdeladoptiondOSPF.
G
Lacapacitprendreencomptedegrandsrseaux. OSPFestunprotocoleouvert.Sioutrelefaitdtregrand,lerseauesthtrogne,alorsOSPFpeutmmedevenir lechoixunique.
(ReliresincessairelasectionAperuduprotocolePrincipesgnraux.) 20 Observezlillustrationcidessous.DequelsrouteurslerouteurR12reoitildespaquetsHello?
Les paquets OSPF sont toujours changs entre voisins. Puisque deux voisins sont toujours directement connects, un paquetOSPFnestjamaisroutaudeldurseaudontilestissu. Lavaleur1attribueauchampTTLconfirmecechoix:puisquunpaquetOSPFnajamaisbesoindtreacheminaudeldu rseaudontilestissu,onestainsiassurquejamaislepaquetneffectueraunsautsupplmentaire. Enconsquence,R12reoitdesmessagesHellodeR11etR8(reliresincessairelasectionFormatdesmessagesOSPF). 21 QuesignifielamentionOE2associelaroutevers172.26.9.0danslextraitdecapturedunecommande showip routecidessous? O E2 172.26.9.0 [110/10] via 10.0.8.8, 00:00:49, FastEthernet0/1
IlsagitdunerouteappriseparOSPFetdetypeexterne.Letype2rappellequelecotverscettedestination,10danslecas prsent,estlecotannoncparlASBR.CecotnapastmodifiparOSPF(reliresincessairelasectionRemplissagede latablederoutageClassificationdesroutes). 22 QuelleestladistanceadministrativedOSPF? La distance administrative, cestdire le degr de confiance accord une route issue dOSPF est de 110. CISCO fait davantage confiance son protocole maison EIGRP crdit dune DA de 90. Sur un routeur qui ferait tourner les deux protocoles, une destination connue des deux protocoles ferait choisir et placer dans la table de routage la route issue dEIGRP, jusqu ce que ladministrateur dsactive EIGRP (relire si ncessaire la section Linterface OSPF Structure des donnesdelinterface). 23 CitezdeuxcommandespermettantdedcouvrirleRIDdunrouteurOSPF.
G
showipospfinterface showipprotocols.
(ReliresincessairelasectionConfigurationOSPFContrleetdpannage.) 24 CommentOSPFcalculetillecotduneroute? Lecotduneroutersulteducumuldescotsdesdiffrentsliensquicomposentlaroute.Lecotdunlienestfonctionde
- 7-
labandepassantedulien(reliresincessairelasectionRemplissagedelatablederoutage). 25 Un domaine OSPF utilise sept routeurs. Le domaine est oprationnel (il a converg). Les configurations ont t sauvegardes. La seule source de routage est OSPF. Ladministrateur doit redmarrer lun des routeurs. Quelles informationsfigurentdanslatablederoutageunefoislefichierdeconfigurationchargmaisavantqueOSPFnaiteu letempsdeconverger? Seuleslesroutesdirectementconnectessontprsentesetcecomportementnedpendpasduprotocolederoutagemis enuvresurlerouteur. 26 Considrezlillustrationcidessous:
VoiciunextraitdelatablederoutagedeR9: R9#sh ip route ......... 10.0.0.0/24 is subnetted, 8 subnets O 10.0.8.0 [110/1563] via 192.168.1.1, 00:00:49, serial0/1 ......... R9# QuellecommandenetworkatilfalluentrersurR9pourobtenircersultat? R9(config)#router ospf 1 R9(config-router)#network 192.168.1.0 0.0.0.3 area 0 (ReliresincessairelasectionConfigurationOSPFLacommandenetwork.) 27 Considrezlillustrationcidessous:
- 8-
Quesepassetilimmdiatementaprslexcutiondescommandescidessous: R16(config)#int f0/0 R16(config-if)#ip ospf priority 255 Rien.LeDRresteDR,leBDRresteBDR.Certeslavaleur255constituelaprioritmaximalemaisunrouteurdsignnest jamaisremisenquestion.Seulesadisparitionprovoquesonremplacement(reliresincessairelasectionLinterfaceOSPF Mcanismedlectiondunrouteurdsignetdunrouteurdsigndesecours).
- 9-
Prrequisetobjectifs
1.Prrequis
2.Objectifs
lafindecechapitre,vousserezenmesurede: Objectifsextraitsdumodule4duparcoursExplorationintitulAccsaurseautendu Dcrirelobjectifetlestypesdelistesdecontrledaccs. Configureretappliquerdeslistesdecontrledaccsenfonctiondesexigencesdefiltragedurseau. Vrifier,surveilleretdpannerleslistesdecontrledaccsdansunenvironnementrseau.
- 1-
Principesgnraux
Commenonsparunavertissement.LIOSCISCOfaitunusagetrsabondantdeslistesdecontrledaccsaupoint quun ouvrage ddi sur ce thme ne serait pas superflu. Nous ferons donc en sorte que ce chapitre couvre les attendusdelacertificationCCNAetmmedavantage,afinqueladministrateurpuisseexercersonactivitlaidede cetouvrage.Maisimpossibledeprtendrelexhaustivit. Continuonsparuneprcautionquantlaterminologie.ACLestlacronymede AccessControlListquilfauttraduire par Liste de contrle daccs. Nous nous permettrons dutiliser lacronyme ACL ou dutiliser la forme rduite liste daccscarlesrptitionsserontnombreuses. Lechoixdutermeaccssurprendcarlobjetdunelistedaccsestdedfinirletraficquidevraittreautorisou pastraverserunrouteur.Lalistedecontrledaccsauraitpusenommerlistedecontrledetrafic.Puisquilfaut bienconstaterquetouslesfluxdepaquetsnesontpaslgitimessurlerseau,lerouteurdoitpouvoirsupprimerles paquetsconsidrscommeillgitimes.Leslistesdaccssontloutilprivilgideladministrateurpourmettreenplace cefiltrage.Quelquesexemplesdapplications:
G
AutoriseroupasltablissementdunesessionTelnetsurunrouteur Autoriseroupaslaconnexionauserveurhttpdurouteur Empcherourduirelapropagationdemisesjourderoutage Rduire la porte de la commande debug ip packet et par suite, rduire la consommation de ressources machine IdentifierlespaquetsquijustifientlactivationdunlienWANcommut(DDR:DialOnDemandRouting) Authentifierlesutilisateurslorigineduntrafic Identifierlespaquetsdevantfairelobjetduncryptage...
Silfautclassercesapplications,onpeutremarquerquecertainesvisentcontenirletrafic.Labandepassantedes liensnestpasuneressourceillimiteetilconvientdenepaslagaspiller.Dautresvisentlascuritenprotgeantle routeuroulerseau.Leslogiquesquiprvalentdanslamiseenplacedeceslistessontgnralementinverses:

G
Unelistedaccsquifiltreletraficrejetteletraficillgitime. Unelistedaccsdontlobjetestlascuritautoriseletraficlgitime.
- 1-
Fonctionnement
Commesonnomlindique,lalistedaccsestcomposedunesuitedlments.Aucunvocablenestdfinipourchacun de ces lments que lon pourrait galement baptiser instruction ou test. Chaque lment comporte deux parties organisesainsi: SI condition__vrifier ALORS action Pour un lment, si la condition vrifier est avre, alors laction dfinie est entreprise. Seules deux actions sont possibles : PERMIT ou DENY. Laction PERMIT entrane que la liste cesse toute action, le paquet peut progresser commeillauraitfaitenabsencedeliste.LactionDENYenrevancheestuneactionvritableetmetlepaquetaurebus. Sipourunlment,laconditionvrifiernestpasavre,alorslIOSlitllmentsuivantquandilexiste.QuandlIOS apuistousleslmentssanstrouveraucuneconditionavre,ilmetlepaquetaurebus.Toutsepassecommesila liste comportait un dernier lment par dfaut, non affich, de rejet systmatique. Un rejet suite une condition avre dun lment quelconque de la liste est un rejet explicite. Puisquil ne correspond aucune ligne de configuration,cerejetsystmatique,fautedeconditionavredanslaliste,estappelrejetimplicite.
Comme le montreront les tudes de cas qui suivent, lordre choisi pour les lments qui composent la liste est essentiel.Eneffet,leslmentssontlusensquencemaisunlmentnestluquesilaconditionntaitpasavre lorsdelalecturedellmentprcdent.Ainsi,danslexemplecidessus,lepaquetnestpasconcernparlitem1,pas plusparlitem2maisillestparlitem3dontlactionestPERMIT.Cepaquetesttransmis.Queladministrateurinverse lesitems3et4etcemmepaquetestmisaurebusparcequilporteleprotocoleU. La condition vrifier est plus ou moins labore selon le type de liste daccs choisi. Le cursus CCNA envisage essentiellementleslistesdaccsIPstandardettendues.Pourunelistestandard,laconditionvrifierneporteque surladressesourcedespaquets.Unelistetenduecomportedesconditionsquiportentlafoissurdesinformations decouche3etdesinformationsdecouche4.Lesinformationsdecouche3sontlesadressessourceetdestination,le protocole de couche 4 encapsul. Les informations de couche 4 peuvent tre les numros de port TCP et UDP mais aussi par exemple, les drapeaux de TCP. Des listes encore plus labores permettent un filtrage selon des informationsextraitesdelacouchesession(couche5)despaquets. Unelisteestmiseen uvresurunfluxdepaquetsentrantsuruneinterfaceousurunfluxdepaquetssortantparune interface.ChaquepaquetdufluxestpassaucribleetneressortdecettepreuvequesilIOSapulireunecondition avre dans la liste dont laction tait PERMIT. Un paquet peut faire lobjet de deux filtrages quand une liste est associelinterfacequilaempruntepourentreretquanduneautrelisteestassocielinterfacequelerouteura choisiepourlefairesortir. Lorganigrammesuivanttentedesynthtiserlecheminementdunpaquetdansunelisteplacesurlinterfacedentre puisdansunelisteplacesurlinterfacedesortie:
- 2-
Identificationdeslistesdaccs
Ladministrateurpeutidentifierunelisteenluiattribuantunnomouunnumro.Quandildcidedelefairelaidedun numro, le numro choisi lui permet de dsigner le type de liste mettre en place. Au moment o ces lignes sont crites,lIOSconnatlesplagesdidentifiantssuivantes: Plage 199 13001999 100199 20002699 200299 700799 200299 700799 11001199 300399 400499 500599 600699 200299 700799 800899 900999 10001099 1100 101200 201300 Description ListedaccsIPstandard. ListedaccsIPstandard,plagelargiedepuisIOSv12.1. ListedaccsIPtendue. ListedaccsIPtendue,plagelargiedepuisIOSv12.1. Ethernettypecode. Ethernetaddress. Transparentbridging(protocoltype). Transparentbridging(vendorcode). Extendedtransparentbridging. DECnetandextendedDECnet. XNS. ExtendedXNS. AppleTalk. Sourceroutebridging(protocoltype). Sourceroutebridging(vendorcode). ListedaccsIPXstandard. ListedaccsIPXtendue. IPXSAP. StandardVINES. ExtendedVINES. SimpleVINES.
lintrieur dune plage donne, il nexiste aucune contrainte quant au choix du numro de liste. Par exemple, ladministrateurquitablitunepremirelisteIPstandardpeutindiffremmentluiattribuerlenumro1,10ou50.Dela mmefaon,lenumroattribuunesecondelistenapasbesoindesuivrelenumroattribulapremireliste. Tousleslmentsidentifisparunmmenumrofontpartiedelammelistedaccs. Ladministrateurquientreles diffrentslmentsdoitlefairedanslordreprvupourleurlecture. Observez le tableau cidessus, il arrive que des numros identiques identifient des types de listes diffrents, par exemplepourlesnumros199.Danscecas,cestleformatdelacommandequipermetlIOSdedistinguerquelle listeestmiseenplaceetdoncdeleverlambigut.
- 1-
Listedaccsnumrotestandard
1.Champdapplication
Unelistedaccsstandardconvientquandilsagitde:
G
filtreruntrafic limiterlaccsdessessionsTelnet limiterlaccsdessessionshttp filtrerdesmisesjourderoutage limiterlaportedelacommandedebugippacket.
2.Configurationdunelistedaccsnumrotestandard
LasyntaxedelacommandepermettantdecrerunlmentdelalisteACL_#estlasuivante: Router(config)# access-list ACL_# {permit | deny} {@IP_source [masq_gnrique] | any} [log[cookie_utilisateur]] Lesargumentsdecettecommandesont: ACL_# Unnombre(199ou13001999)quiidentifielensembledeslmentsdelaliste. Permit|Deny Choixdelaction,lepaquetdoitilvivreoumourir? Source|any CertainshtesouTousleshtes. Masq_gnrique UtilequandSourcenestpaslimitunseulhte,patientez. Log Activelajournalisationdvnementsliscetlmentdelalistedaccs. Cookie_utilisateur Chanedecaractresoptionnelle,ajoutelvnementjournalislaideloptionlogafindaiderladministrateur identifier llment de la liste daccs qui a provoqu lvnement. Des restrictions existent, la chane ne doit pas utiliserdemotsclsdeslistesdaccsetnedoitpasdmarrerparunenotionhexadcimale0x. Le numro ACL_# doit tre compris dans lune des deux plages [1 99] ou [1300 1999]. Ce mme numro est attribuchacundeslmentsquicomposentlaliste.Chaquenouvellmentcrvientsajouteraprsleslments djcrs(aubasdelalistedonc). Considrezlalisteciaprs: R80#conf t R80(config)#access-list 20 deny 10.0.1.30 0.0.0.0 R80(config)#access-list 20 deny 10.0.1.62 0.0.0.0
- 1-
R80(config)#access-list 20 permit 10.0.1.190 0.0.0.0 R80(config)#access-list 20 permit 10.0.1.180 0.0.0.0 R80(config)#access-list 20 permit 10.0.1.62 0.0.0.0 R80(config)# Cettelistecomportedeuxadressesdhtesfiltresetdeuxadressesdhtesautorises.Lecinquimelmentdela liste est certes valide intrinsquement mais nest daucune utilit car lhte en question est filtr ds la lecture de llment2.Typiquement,cepeuttreleproblmedunadministrateurquiadciddautoriserlhte10.0.1.62une date postrieure la mise en place de la liste. Llment ajout dans ce cas ne peut ltre quaprs les lments existants.Modifierlordredeslmentsncessitedesupprimerlalistepuisdelarecrer.Ladministrateurdiminuerala pnibilitdecettetcheensaidantdelafonctioncopier/colleretdunditeurdetexte(explicitlasectiondition deslistesdaccsdanscechapitre).
a.Lesadressessourcehostetany
Lidentifiant{@IP_source[masq_gnrique]|any}permetdedsignerun,plusieursoutousleshtes. Quand le masque gnrique est omis, lIOS conclut que ladresse source est celle dun hte. Autrement dit, le masque gnrique par dfaut est 0.0.0.0 (tous les bits doivent correspondre, voir Manipulation des masques gnriquesciaprs).Quandilestsaisi,lemasquegnrique0.0.0.0napparatpasdanslefichierdeconfiguration. CestainsiquelalisteprcdemmentcresurR80devientdanslefichierdeconfiguration: R80#sh run ......... access-list access-list access-list access-list access-list ......... R80#
20 20 20 20 20
deny 10.0.1.30 deny 10.0.1.62 permit 10.0.1.190 permit 10.0.1.180 permit 10.0.1.62
Ilestpossiblededsignerlensembledeshtesenremplaantlensembleadressesourceetmasquegnriquepar lemotclany.Lasectionsuivantemontreraquenfait,lemotclanyremplacelidentifiant0.0.0.0255.255.255.255. Lexemplemodificiaprsmontrelusagedelidentifiantany: R80#conf t R80(config)#access-list R80(config)#access-list R80(config)#access-list R80(config)#access-list R80(config)#access-list R80(config)#
20 20 20 20 20
deny 10.0.1.30 deny 10.0.1.62 permit 10.0.1.190 permit 10.0.1.180 permit any
Ledernierlmentautoriselespaquetsquellequesoitleurprovenance.Defait,lerejetimpliciteenfindelistenest plus sollicit. Ce dernier lment atil une influence sur les deux premiers ? Assurment non, quand lhte est 10.0.1.30ou10.0.1.62,lalecturedelalistecessedsllment1ou2.Quepensezdudernierlmentajouten laissant subsister les lments 3 et 4 ? Ces lments sont redondants et ladministrateur devrait supprimer les lments3et4.CelanemodifierapaslecomportementdelalistemaiselleconsommeramoinsderessourcesCPU. Quadviendraitil si lon ajoutait maintenant llment accesslist 20 deny 10.0.1.222 ? Strictement rien car la lecturedelalistenirajamaisaudel de llment accesslist 20 permit any.Unpaquetenprovenancedelhte 10.0.1.222seraautoris.
b.Manipulationdesmasquesgnriques
RFCutiles:
G
RFC792InternetControlMessageProtocolSeptembre1981 RFC1812RequirementsforIPVersion4RoutersJuin1995.
Souvenonsnousdaborddecequestlemasquerseau,dontlutilitestdextraireladresserseauduneadresse IP.EnralisantunETlogique,bitbit,entreladresseIPetunmotbinairede32bitscomposde1enfacedes bitsdeladresserseauconserver,de0enfacedesbitsdeladressehteignorer.Cemotbinaireestappel masquederseauoumasquedesousrseau.Lafigureciaprsillustrelamthodeemploye:
- 2-
Ilfautimaginer32fonctionslogiquesETdeuxentresetpourchacunedecesfonctions,uneentreconnecte unbitdeladresseIP,lautreentreconnecteaubitcorrespondantdumasque.Onobservequilfautautantde1 contigus gauche du masque que de bits affects ladresse rseau dans ladresse IP. Ainsi, la longueur de ladresserseauetlenombrede1dumasquedpendentduprfixeattribu(oudelaclassedadressespour unfonctionnementavecclasse). Lemasquegnrique(queCISCOdsigneparWildcard,littralementjoker)utiliseunelogiqueinverse.Quand unmasquedsignelesbitsquilfautretenir,lemasquegnriqueditquelssontlesbitsquilfautignorer.Lemasque taitassociladresseIPavecunETlogiquepourexprimerladresserseau.Lemasquegnriqueestassoci ladresseIPlaidedunOUlogiqueafindedterminersilaconditionestavreoupas.Pourmmoire,lasortiedun ET logique deux entres est 1 si et seulement si les deux entres sont simultanment 1. La sortie dunOU logiquedeuxentresest0sietseulementsilesdeuxentressontsimultanment0.Toutcecifaitquecertains auteursnommentmasqueinverslemasquegnrique,cestcomprhensiblemaisncessitequelquesprcautions. Lafigureciaprstentedillustrerlalogiqueutiliseavecunmasquegnrique:
Imaginonsunelistedaccsappliquesurlefluxsortantdelinterfacedunrouteur.Unpaquetissuduprocessusde routageestremislinterface.LIOSanalyseladressesourcecontenuedanscepaquetenlacomparantladresse sourcedfiniedanslepremierlmentdelalistedaccs.Pourcefaire,lIOSraliseunpremierOUlogiquebitbit entreladressesourcecontenuedanslepaquetetlemasquegnriquedellment.PuislIOSraliseunsecond OUlogiqueentreladressesourcedellmentetcemmemasquegnrique.Silesdeuxrsultatssontidentiques, cepaquetrpondaucritredellment1etlIOS applique lactionprvue.Observezquelesbits1dumasque gnriquesontlesbitsignorer. Un peu de logique combinatoire permet dapprhender le problme avec encore plus de prcision. Nommons les variablesenprsence:
G
Chaquepositionbinaire:ivariantde0(poidsfaible)31. @Sladressesourcecontenuedanslepaquetfiltrer,chaquebitdeladresse@S(i).
@SACLladressesourcecontenuedansllmentdelalistedaccs,chaquebitdeladresse@SACL(i). Wlemasquegnrique,W(i)chaquebitdumasque. COMP le rsultat de la comparaison de ladresse source contenue dans le paquet et de ladresse source contenuedansllmentdelalistedaccs,COMP(i)chaquebitdecemot.
Quelleestlafonctionlogiquequipermetdecomparer?LeXOR(Ouexclusif),dontlasortienevaut0quesilesdeux entressontdanslemmetat.Ilsagitdoncderaliserbitbitlafonctiondelogiquecombinatoiresuivante:
G
Ensesouvenantque
G
Ensesouvenantque
G
,ilreste:
Enfinal,ilvient:
G
Traitonslemmeexempleaveccettelogiquereconsidre:
Imaginonsunpaquetissuduneautresource:
- 4-
Ladministrateurdoittrecapabledersoudredeuxproblmatiquesdualesquiconcernentlemasquegnrique:
G
retrouverlaplagedadressesconcerneparuneassociation@IP/masq_gnrique exprimeruneplagedadressesdonnesousformeduneassociation@IP/masq_gnrique.
Mais la grande question est estce que la plage dadresses couverte par lassociation @IP/masq_gnrique est uneplagedadressescontigesoupas?.Avecunmasquederseau,cettequestionneseposepas.Lemasque derseauestobligatoirementcomposdunesuitedenbits1concatneavecunesuitede(32n)bits0 .Lassociation@IP/masquederseaufournitdefaoncertaineunespacedadressescontiges.Maisriennoblige unadministrateurcomposerunmasquegnriqueavecunesuitede0 concatneavecunesuitede 1. Les0etles1peuventtreimbriqusafindecouvrirdesplagesdadressesnoncontiges.Celacomplique videmmentlalecture.Unadministrateurbienchaudsurlesujetpeutfairepreuvedegnie,peuttre,maisil devraitpenserquecequiestclairaujourdhuisembleratrsobscurdanssixmois.Etpuisnousnetravaillonspas seulsetilfautconserverlespritquecesconfigurationsdoiventtreaccessibleslensembleducollectifdetravail. Bref,privilgionsdesespacesdadressescontigusetdoncdesmasquesgnriquesquirespectentlargle:rien quedes0suiviparrienquedes1.Appelonsmasquescontinusdetelsmasques. Masquegnriquecontinu Traitons un exemple pour nous en persuader. Soit dcouvrir la plage dadresses couvertes par lassociation 10.0.8.0/0.0.1.255.
G
Question1:lemasquegnriqueestilcontinu?
Exprimonslemasqueenbinaire:00000000.00000000.00000001.11111111 Larponseestouietnouspouvonsconclurequelaplagedadressesestcomposedadressescontiges.
G
Question2:ladresseIPdelassociationestelleladressededbutdubloc? =255.255.254.0
Pourledterminer,exprimonslemasquerseau:
Puisextrayonsladresserseau:10.0.8.0AND255.255.254.0=10.0.8.0 Larponseestgalementoui,ceblocdadressesestdonc10.0.8.0/23.
G
Question3:quelleestlaplagedadressescouverteparlassociation?
Lemasquegnriqueprendicidelintrtcarilsuffitdadditionnerladressededbutetcemasquepourexprimer ltendue.Ladressedefinest:10.0.8.0+0.0.1.255=10.0.9.255. Ainsi,laplagecouvre512adressesde10.0.8.010.0.9.255.Ladministrateurnestpasdpays,manipulermasque de rseau ou masque gnrique, peu importe. Dcomposons de faon dichotomique lespace 10.0.8.0/23 jusquau prfixedelongueur25:
- 5-
10.0.8.0/24 10.0.8.0/23 10.0.9.0/24
10.0.8.0/25 10.0.8.128/25 10.0.9.0/25 10.0.9.128/25
Appliquonslesespacesdadresses/25surlatopologiecidessous:
CronsunelistedaccssurRACL11adecettetopologieafindepermettrelaccsLAN12depuislesrseauxLAN11 etLAN8etdoncafindinterdirelaccsdepuislesrseauxLAN21etLAN22. Une premire faon de faire consiste crer une liste comportant deux lments, lun pour autoriser laccs au rseau 10.0.8.0/25, lautre pour autoriser laccs au rseau 10.0.9.0/25. Le masque gnrique est chaque fois 0.0.0.127danslequelles7bitsdepoidsfaiblesont1carcesbitsdoiventtreignorslorsdestestsdelACL.On peutobserverquilestfaciledexprimerlemasquegnrique:
G
eninversantlemasquerseau:
=0.0.0.127
ouenralisantlasoustractionoctetparoctet:255.255.255.255255.255.255.128=0.0.0.127.
Extraitdelaconfigurationavantcrationdelalistedaccs: RACL11a#sh run Building configuration... ! interface FastEthernet0/0 description LAN11 ip address 10.0.8.1 255.255.255.128 duplex auto speed auto ! interface FastEthernet0/1 description LAN21 ip address 10.0.8.129 255.255.255.128 duplex auto speed auto ! interface Ethernet1/0 description LAN12 ip address 10.0.1.193 255.255.255.224 full-duplex
- 6-
! interface Ethernet1/1 description LAN22 ip address 10.0.9.129 255.255.255.128 full-duplex ! interface Ethernet1/2 description LAN8 ip address 10.0.9.1 255.255.255.128 full-duplex RACL11a# ProfitonsdecettemiseensituationpourobserverlecomportementdelIOSquandunelistedaccsestapplique suruneinterfacesansquaucun lment naittcrdanslaliste.Cequelonpourraitappelerunelistedaccs vide(emptyACL): RACL11a#conf t Enter configuration commands, one per line. RACL11a(config)#int e1/0 RACL11a(config-if)#ip access-group 10 out RACL11a(config-if)#^Z RACL11a#
End with CNTL/Z.
Une commande ping lance depuis chacun des PC de test PCL110, PCL210, PCL80 et PCL220 vers PCL120 le confirme, toutes les requtes aboutissent. La liste vide est sans effet sur le flux de paquets qui transite par linterface e1/0 du routeur. On peut dduire que le rejet implicite en fin de liste daccs ne sapplique que silest prcddaumoinsunlmentexplicite. Cronslalistedaccs10avecdeuxlments: RACL11a#conf t Enter configuration commands, one per line. End with CNTL/Z. RACL11a(config)#access-list 10 permit 10.0.8.0 0.0.0.127 RACL11a(config)#access-list 10 permit 10.0.9.0 0.0.0.127 RACL11a(config)#^Z RACL11a# Mettons la liste lpreuve.Commeprvu,larequtepingaboutitquandelleestmisedepuisPCL110etPCL80, restesansrponsedepuisPCL210etPCL220.Enoutre,quandlarequtechoue,lapasserelleenvoieunmessage ICMP Communication administratively filtered . Une capture ralise laide de Wireshark sur LAN21 complte linformation(capturecap_2K_01.pcapdisponibleentlchargement):
Conformment aux prconisations du RFC1812 ( Requirements for IP Version 4 Routers, page 80), la passerelle gnreunmessageICMPdetype3Destinationunreachableassociaucode13 CommunicationAdministratively Prohibitedgeneratedifaroutercannotforwardapacketduetoadministrativefiltering.Aucundoutenesubsistequant lanaturedurejetdelarequte. Masquegnriquediscontinu
- 7-
Mais revenons notre masque gnrique car cest maintenant quil va pouvoir se diffrencier dun simple masque rseau invers. Les deux rseaux 10.0.8.0/25 et 10.0.9.0/25 ntant pas contigus, impossible de les agglomrer dansunereprsentationCIDRaveclemasquederseauquenousconnaissons.Etpourtant,ilestpossibledeles agglomreraveclemasquegnrique,laconditiondutiliserunmasquediscontinu:
Ainsi, 10.0.8.0/0.0.1.127 reprsente lagglomrat des rseaux 10.0.8.0/25 et 10.0.9.0/25. Nommer rseau cet agglomrat serait impropre, il faudrait inventer un mot nouveau. En attendant linspiration, crons une autre liste avecunseulitemgrcelutilisationdecemasquegnriquediscontinu: RACL11a#conf t Enter configuration commands, one per RACL11a(config)#access-list 20 permit RACL11a(config)#int e1/0 RACL11a(config-if)#no ip access-group RACL11a(config-if)#ip access-group 20 RACL11a(config-if)#^Z RACL11a#
line. End with CNTL/Z. 10.0.8.0 0.0.1.127 10 out out
Observezaupassageunmoyensimpledenepaslaisserlinterfacesansprotectionpendantunlapsdetempstrop long. Plutt que dditer la liste en cours dusage, ladministrateur a prfr plac llment corrig dans une nouvellelistepuisappliquercettenouvellelistelinterface.Ilresteraitsupprimerlalistedaccsn10.Mettonsla listen20lpreuve.Commeprvu,larequtepingaboutitquandelleestmisedepuisPCL110etPCL80,reste sansrponsedepuisPCL210etPCL220.Enmaintenantlesrservesfaitesausujetdelutilisationdecesmasques discontinus, nous pouvons tre satisfaits car limiter le nombre dlments contenus dans une liste daccs, cest aussilimiterlachargeCPU.Lacommande noipaccessgroup 10 outatentredansunbutdidactique.Sielle navaitpastentre,lacommandeipaccessgroup20outlauraitremplac(patientez). Cequilfautenretenir:
LassociationduneadresseIPetdunmasquegnriquepermetdedfiniruneplagedadressesrseau.
Laplagedadressesdfinieparlassociation@IP/masquegnriqueestuneplagecontinueetcorrespond unrseauquandlemasquegnriqueestcontinu,cestdirecomposdunesuiteininterrompuede0 suivie dune suite ininterrompue de 1 . Dans ce cas, le masque gnrique rsulte de la simple inversion du masquerseau.
Avecbeaucoupdeprcautions,ilestpossibledexprimerlagglomrationdeplusieursrseauxnoncontigus dans une seule association @IP/masque gnrique. Dans ce cas, le masque est discontinu, la seule rgle tantquelesbits1dumasquecorrespondentauxpositionsquiserontignoresdansladresse. Par exprience auprs de ses stagiaires, lauteur sait que les masques gnriques constituent gnralement un pointdur.Commesilefaitdtrefamiliarisaveclemasquerseaucompliquaitladoptiondecettenouvellelogique. Quelquesexercicessimposent... Exercicemasquegnrique Uneplagedadressespeutdsormaissexprimerdetroismaniresdiffrentes,correspondantauxtroiscolonnesdu tableau cidessous : @IP_dbut @IP_fin, @IP/masque de rseau, @IP/masque gnrique. Pour chaque cas proposdansletableau,compltezlesmodesdereprsentationmanquants: @IP/masquederseau Plagesdadresses @IP/masquegnrique
- 8-
192.168.1.16192.168.1.31 Le4 e octetenbinaire: 192.168.1.0001 0000192.168.1.0001 1111 192.168.96.0/23 192.168.96.0/19 192.168.96.0/18 192.168.75.0/0.0.0.255 172.26.0.0/0.0.255.255 210.1.10.0/0.0.1.255 209.10.25.128/0.2.0.31 0/0 Problmemasquegnrique
Considrezlafigurecidessus. 1)laidedumasquegnrique,estilpossibledagglomrerlesrseauxNWetNEdansunrseauNord? 2)Sivotrerponseestoui,exprimezdanscecas,queldevraittrelareprsentationdelagglomratSud. 3) Au vu des questions prcdentes, vous tes maintenant persuad quil est impossible dagglomrer les deux rseauxNordensemble,idempourlesdeuxrseauxSud.Enmaintenantlesquatrerseauxconfinsdanslespace global10.0.8.0/21,proposezunesolutionpourqueceladeviennepossible. LessolutionsdecesexercicesetproblmesontproposesauchapitreAteliersetexercicescorrigs.
- 9-
c.Applicationdunelistedecontrleuneinterface
Lalistedaccsn ACL_#,quicomportetousleslmentsdemmenumroACL_#,naaucuneffetsurletrafictant quellenapastactive.Ladministrateuractivelalisteenlappliquantuneinterfacelaidedelacommande: Router(config)#interface type [slot_#/]port_# Router(config-if)#protocol_name access-group ACL_# { in | out } Ledernierargumentdelacommandepermetdedistinguerquelfluxdoitsappliquerlalistedaccs:
G
En spcifiant in , lIOS utilise la liste daccs pour filtrer le flux de paquets entrants (reus) via cette interface. Enspcifiantout,lIOSappliquecettefoislalistedaccsafindefiltrerlefluxdepaquetssortants(mis) durouteurviacetteinterface.
Parexemple,pourappliquerlalisten20surlefluxdeprotocoleIPsortantdelinterfacee1/0,ladministrateurutilise lacommande: RACL11a(config)#int e1/0 RACL11a(config-if)#ip access-group 20 out LIOS accepte de nombreuses listes dans le fichier de configuration mais limite leur application sur les interfaces. ImpossibleparexempledappliquerdeuxlistesIPsurlefluxentrantdunemmeinterface.Attentioncependantau comportementdelinterfaceILCquinegnreaucunmessagederreurquandladministrateurappliqueunelistesur unfluxdinterfacequitaitdjdot.Linterfacesecontentederemplacerlanciennelisteparlanouvelle. Toujourspourunemmeinterface,ilestpossibleenrevanchedappliquerunelisteIPsurlefluxentrant,uneautre surlefluxsortant,ouunelisteIPetunelistedunprotocolediffrentsurlefluxentrant.Largleestlasuivante: PointclduCCNA:ladministrateurpeutappliquerunelistedaccsparinterface, parprotocoleet parsens deflux.CISCOnommecetterglelargledes3P. Soyons trs concret sur ce point en imaginant un routeur dot de deux interfaces, mettant en uvre les trois protocolesIP,IPXetAppleTalk.Cerouteurpeutsevoirappliquerjusqudouzelistesdaccs! Unautreusagedeslistesdaccsestderestreindrelesconnexionsunelignevirtuellevty,queleprotocolechoisi soitTelnetouSSH.Lacommandecorrespondantesappliqueenconfigurationdeligne: Router(config)#line type line_# Router(config-line)#access-class ACL_# { in | out } Enpremireapproche,ilpeutsemblercurieuxdevouloirfiltrerunfluxTelnetouSSHselonquilentreouquilsort.En ralit, ce nest pas le flux de paquets qui est contrl ici mais ltablissement de session. Quand il sagit de restreindre ltablissement dune session Telnet ou SSH sur cet quipement, cest largument in qui convient. Quand il sagit dinterdire ltablissementdune autre session Telnet ou SSH sur un second quipement depuis la sessionhteouvertesurlepremierquipement,cestlargument outquisapplique.Lagestiondesconnexions Telnetlaidedelistesdaccsfaitlobjetdautresdveloppementsdansunesectionddiedecechapitre. LacommandeaccessclassnaaucuneffetsurletraficTelnetquitransiteparlerouteur.Sonrelobjetest decontrlerlouverturedesessionsurlquipementoudepuislquipement.
d.Positionnementdelalistedaccsstandard
Nousappuieronsnotrepropossurlateliersuivant:
- 10 -
LastationdeFathiestplacesurlerseauLAN11.Fathidoitavoiraccslensembledesressourcesdecerseau lexceptionduserveurDEV.Ladministrateurveutrsoudreceproblmelaidedunelistedaccsstandard.Voicila listequilalintentiondecrer: Router(config)#access-list 1 deny 10.0.1.30 0.0.0.0 Router(config)#access-list 1 permit any Il lui faut maintenant choisir le routeur qui recevra cette liste. Comme on le voit sur le schma cidessus, six interfaces,numrotesde16sontplacessurunventuelfluxdepaquetsentrelastationdeFathietleserveur DEV. Plaons mentalement et successivement la liste sur chacune des interfaces et tentons dimaginer les consquencesquantauxlatitudesdeFathidanslerseau: Repre Routeur Interface In|Out MAIL 1 2 3 4 5 6 R110 R110 R80 R80 R120 R120 F0/0 S0/0 S0/0 S0/1 S0/1 F0/0 In Out In Out In Out NON OUI OUI OUI OUI OUI Accslaressource... WEB NON NON NON OUI OUI OUI FILE NON NON NON NON NON OUI DEV NON NON NON NON NON NON
Laconclusionestsansappel,pourrespecterlecahierdescharges,ilfautplacerlalistedaccsauplusprsdela destination, cestdire du serveur DEV, et sur le flux sortant. Ceci est la consquence du choix du type de liste daccs,savoiriciletypestandardquinepeutquecontrlerladressesourcecontenuedanslespaquets.Unetelle listeplaceauplusprsdelasourcefiltretout.Aufuretmesurequeladministrateurlloignedelasource,laliste sefaitdeplusenplusslective. PointclduCCNA:unelistedaccsstandardseplacesurletraficsortantdelinterfacederouteurlaplus prochedeladestination.
e.ditiondeslistesdaccs
- 11 -
Il est impossible de supprimer lun des lments dune liste daccs numrote. Tenter de supprimer un lment spcifiqueentranelasuppressiondelalistedaccsdanssonentier,ilfautdoncsemontrerprudent.Delamme faon,ilestimpossibledajouterunlmentquiviendraitsinsrerentredeuxlmentsexistants.Unnouvellment estajoutsystmatiquementaubasdelalisteencoursddition.Cenestquedepuisunepoquercente(depuis les versions 12.2(14)S et 12.3(2)T de lIOS) quil est possible de crer des listes daccs dites squences , dtaillesdansunesectionultrieure.PourlesversionsdelIOSnedisposantpasdecesfacilits,ladministrateur astucieuxprfrediterunelistedaccsendehorsdelinterfaceILC(unditeurdetextequelconquefaitlaffaire), puislinjecterdanslinterfaceILCparcopier/coller. LessavoirfaireacquisicirendentpossiblelditionhorsinterfaceILC,quilsagissedeprparerdeslistesdaccsou desconfigurationscompltesderouteurs,ilnyapasdediffrence. AssociationPUTTY+Notepad
Suivezlesnumrosdespastillessurcetteillustration: 1.UnesessionconsoleestouvertesurlerouteurRACL11a.Sielleatouvertelinstant,lammoirequePUTTY ddielactivitdelaconsole(toutesleslignesaffichessurlcranysontenregistres)estvide.Sicentaitpasle cas,ilestpossibledevidercettemmoireeneffectuantunclicdroitsurlabarredetitrepuisenslectionnantClear Scrollback.Ladministrateuraplaclinterfacedanslemodeprivilgietprovoqueunecommande showrun.Puis, ladministrateurfrappelabarredespacechaquefoisquilobtientlemessage More,ceafindobtenirlaffichage completdelaconfiguration.Puisquelatotalitdelaconfigurationataffichelcran,ellesetrouvegalement danslammoiredePUTTY. 2.Pourtransfrerlecontenudecettemmoiredanslepressepapiers,ladministrateureffectueunclicdroitdansla barredetitre... 3.Etdanslemenucontextuelquisaffiche,slectionneCopyAlltoClipboard. 4.LadministrateuraouvertuneinstancedeNotepadetsempressedycollerleprcieuxcontenu. 5. Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent rellementlaconfiguration.Parexemple,endbutdecapture,effacezleslignessuivantes: RACL11a#sh run Building configuration... Current configuration : 1226 bytes Delammefaon,enfindecapture,effacezlalignesuivante: RACL11a#
- 12 -
Danscettesituation,lelecteurseraitenpossessiondufichierdeconfigurationdecerouteur,quilestpossiblede modifierloisirpuisderinjecterdanslerouteur.Danslecasprsent,seulelaconfigurationdelalistedaccsn20 intresse ladministrateur, il a effac toutes les autres lignes et sauv le fichier texte rsultant sous le nom ACL20.txt. 6. Ladministrateur simpose dutiliser les fichiers texte de configuration en partant systmatiquement du mode privilgi. Il ajoute par consquent la commande conf t ncessaire pour passer en mode de configuration. La premirecommande noaccesslist20provoquelasuppressiondelalistedanssonentier,cequiestabsolument ncessairepourpouvoirrecrerleslmentsdelalistedanslordrechoisi.Observezllmentparticulierremarkqui nentrane pas de test par lIOS mais qui permet de documenter la liste daccs crer. Quand des lments prexistentdanslaliste,lacommande accesslist20remarktexteprovoquelajoutdellmentaubasdelaliste (cestbienpourquoiilfautparlerdlment).Observezenfinlacommande end,quivalentelacombinaison[Ctrl]Z, etquipermetdereveniraumodeprivilgiaprslinjectiondelalistemodifie. 7.LadministrateurslectionnelensembleducontenudufichierACL20.txtetleplacedanslePressepapiers. 8. De retour dans la session console ouverte sur le routeur RACL11a, le mode en cours est le mode privilgi. Un simpleclicdroitprovoquelecollageducontenuduPressepapiers. Avouezqucetinstant,onestpluttsatisfaitlidedutempsquilestpossibledegagnerentravaillanthorsde linterface ILC. Le second avantage tient la possibilit de grer de faon rationnelle, centralise et scurise les fichiersdeconfigurationdesquipements.Encoreunepierredansldificationdunepolitiquedescurit. AssociationHyperTerminal+Notepad HyperTerminalpermetautantdmulerunterminaletdoncdeseconnecterauportconsolequedtablirunesession Telnet. Au moment o ces lignes sont crites, il ne peut pas ouvrir de session SSH. La procdure dcrite ciaprs fonctionnequelquesoitlemodedtablissement,vialeportconsoleouviauneligneVTY.
1. nouveau, une session console est ouverte sur le routeur RACL11a. Ladministrateur la plac dans le mode privilgi.IlprovoqueensuitelacommandedemenuTransfertCapturerletexte... 2.Danslafentre Capturedetexte,ladministrateurfournitunnom,danslecasprsent RACL11a.txt,ainsiquun emplacement... 3. ... puis confirme laide du bouton Dmarrer. partir de cet instant, tout nouveau caractre affich est galementsauvdanslacapturecestdiredanslefichierRACL11a.txt. 4. De retour linvite de commandes, ladministrateur provoque une commande show run. Puis, ladministrateur frappe la barre despace chaque fois quil obtient le message More, ce afin dobtenir laffichage complet de la configuration.Puisquelatotalitdelaconfigurationataffichelcran,ellesetrouvegalementdanslacapture RACL11a.txt. 5.Ladministrateurcesseleprocessusdecapture. Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent rellementlaconfiguration.Lesaffichages MorequintaientpasprsentsdanslacapturePuTTYsesontinvits
- 13 -
danslacaptureraliseavecHyperTerminaletdoiventgalementtrets:
LadministrateurprparedelammefaonsonfichierdeconfigurationpourlafutureACLn20modifie:
Il reste injecter le fichier obtenu dans la configuration du routeur RACL11a. Mais ici, nul besoin de passer par le Pressepapiers:
1.DeretourlinvitedecommandedelinterfaceICL,enmodeprivilgi. 2.LadministrateurprovoquelacommandedemenuTransfertEnvoyerunfichiertexte... 3. La fentre Envoyer un fichier texte lui permet de slectionner le fichier texte dsir, savoir ici le fichier ACL20.txt. 4.Unefoislefichierconvenableslectionn,ladministrateurconfirme. 5.Etcommeparmagie,unadministrateurinvisibleetavisaentrlescommandessouhaites!
- 14 -
f.Loptionlog
Prrequis:lirelasectionJournalisation,leprotocoleSYSLOGduchapitreAdministrationetscurit. Pourmmoire,lasyntaxedelacommandepermettantdecrerunlmentdelalisteACL_#estlasuivante: Router(config)# access-list ACL_# {permit | deny} {@IP_source [masq_gnrique] | any} [log] Largument logpeuttreajouttoutlmentpourlequelladministrateursouhaiteraitensavoirunpeuplus.Bien sr,impossibledavertirladministrateurchaquefoisquunpaquetcorrespondautestdellment.Laconsommation enressourcesmachinesseraittropleveetlaffichageprobablementpeuexploitable.Unefoisloptionenplace,un premier message avertit ds quun paquet a t pass au crible de la liste et que ladresse source du paquet correspondait au test de llment. Puis, pour cette mme adresse source, lIOS compte le nombre de paquets subsquents pendant les cinq minutes qui suivent et affiche la valeur atteinte par le compteur au terme des cinq minutes.Tantquilsubsistedespaquets,lesmessagessesuiventcinqminutesdintervalle.Silefluxcesse,lenvoi de messages cesse galement. Sil recommence audel de cinq minutes, la procdure reprend avec un message gnraupremierpaquetpuisdesmessagespriodiquestouteslescinqminutes. Utilisonsnouveaulatelier11aquiavaitpermisdtudierlesmasquesgnriquesetmodifionslalistedaccsn20 afindetesterloptionlog: RACL11a#conf t Enter configuration commands, one per line. End with CNTL/Z. RACL11a(config)#no access-list 20 RACL11a(config)#access-list 20 remark LAN8 et LAN11 autorises RACL11a(config)#access-list 20 permit 10.0.8.0 0.0.1.127 log RACL11a(config)#end RACL11a# EnprovoquantquelquesrequtespingdepuislesmachinesautorisesPCL110etPCL80,voicilesmessagesconsole obtenus: RACL11a# 01:19:53: RACL11a# 01:20:48: RACL11a# 01:25:00: RACL11a# 01:26:00: RACL11a# 01:30:00: RACL11a#
%SEC-6-IPACCESSLOGS: list 20 permitted 10.0.8.126 1 packet %SEC-6-IPACCESSLOGS: list 20 permitted 10.0.9.126 1 packet %SEC-6-IPACCESSLOGS: list 20 permitted 10.0.8.126 2 packets %SEC-6-IPACCESSLOGS: list 20 permitted 10.0.9.126 15 packets %SEC-6-IPACCESSLOGS: list 20 permitted 10.0.8.126 34 packets
Pour mmoire, les messages davertissement CISCO IOS se conforment au RFC 5424 qui tablit huit niveaux de svritde07,lagravitcrotquandleniveaudesvritdiminue.Letableaucidessousrpertorielesniveaux desvrit: Niveau 0 1 2 3 4 5 6 7 Motcl emergencies alerts critical errors warnings notifications informational debugging Objet SystemisunusableSystmeinexploitable. ActionmustbetakenimmediatelyIlfautagirsanstarder. CriticalconditionsContextecritique. ErrorconditionsErreurs. WarningconditionsAvertissements. Normalbutsignificantconditionvnementnormalmaisimportant. InformationalmessagesInformation. DebuglevelmessagesMessagesrsultantdunecommandedebug.
- 15 -
Les messages provoqus par largument log en fin dlment dACL sont classs au niveau 6 informational . Chaque message inclut le numro de liste daccs, le type daction autoris ou rejet, ladresse source qui correspondait au test de llment( match) ainsiquelenombredepaquets.Laffichage du message nestpas systmatique,leprocessusSYSLOGsupprimelemessagequandilatropfaire.Onnepeutdoncsefiertotalement aux valeurs de compteurs affichs, cet outil nest en aucun cas prvu pour devenir un outil de facturation par exemple.
3.Miseaupointetcomptage
Loutildemiseaupointleplusvidentestlacommandeshowrunoushowstartmaisellecontraintladministrateur extrairecequiatraitauxlistesdaccsdurestedelaconfiguration: RACL11a#sh run ......... ! interface Ethernet1/0 description LAN12 ip address 10.0.1.193 255.255.255.224 ip access-group 20 out full-duplex ! ip access-list extended ESSAI permit icmp any any reflect ICMP_REFLEX timeout 10 access-list 20 remark LAN8 et LAN11 autorises access-list 20 permit 10.0.8.0 0.0.1.127 log ! ......... Enrevanche,ladministrateurdisposedembledelintgralitdelinformationACLsavoirdunepartlecontenudes listesdaccs,dautrepartsurquellesinterfacessontappliquesceslistesdaccs. La commande show accesslist permet dafficher le contenu de lensemble des listes daccs. Ainsi, sur le routeur RACL11a,cettecommandepermetdapprendrequelaconfigurationcomprenddeuxlistes,unelistedaccsstandard etunelistetendue(patientez): RACL11a#sh access-list Standard IP access list 20 permit 10.0.8.0, wildcard bits 0.0.1.127 log (60 matches) Extended IP access list ESSAI permit icmp any any reflect ICMP_REFLEX Reflexive IP access list ICMP_REFLEX RACL11a# Ilestpossibledtreplusspcifiqueenprovoquantlaffichageducontenuduneliste: RACL11a#sh access-list 20 Standard IP access list 20 permit 10.0.8.0, wildcard bits 0.0.1.127 log (69 matches) RACL11a# Cettecommandeestprcieusepuisque,outrelecontenudelaliste,ondcouvrelenombredoccurrencescondition avre(celavamieuxenanglais:matches )parlment.Ainsi,loption logajouteenfindlmentnestpas absolumentindispensablepoursuivrelecontenudescompteursquelIOSassociechaquelment.Unautreintrt decettecommandeestdepouvoirclasserleslmentsselonlenombredoccurrences.Unelistedaccsconsomme des ressources machine (CPU et mmoire). On se souvient que quand une condition teste est avre, laction associe,permitoudeny,estentreprisepuislalecturedelalisteestabandonne.Ceconstatnousoffrelemoyende ranger les lments selon un critre de moindre consommation de ressources : il faut placer les lments les plus probablesenttedeliste.Considrezlalisteciaprs (cestunelistedaccstendue,patientez).Llmentleplus frquemmentsollicitestllmentdenyipanyany.Maiscestaussileseulquinesoitpasmobile.Enrevanche,auvu des compteurs associs aux autres lments, ladministrateur devrait rorganiser la squence afin de placer les lmentsdanscetordre:lmentftplment pop3lmentsmtp...Naturellement,lapriodedobservationdela listedoittresuffisammentlonguepourquelescompteurssoientsignificatifs. R100k#sh ip access-list 100 Extended IP access list 100 10 permit tcp 10.0.10.0 20 permit udp 10.0.10.0 30 permit tcp 10.0.10.0 40 permit tcp 10.0.10.0
- 16 -
0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255
any eq www (6 any eq domain host 10.0.8.3 host 10.0.8.3
matches) (9 matches) eq pop3 (14 matches) eq smtp (13 matches)
50 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp (20 matches) 60 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp-data established (3 matches) 70 deny ip any any (30 matches) R100k# Uncompteurestencoreplusutileladministrateurquandilpeutleremettrezro.Pourlenombredoccurrences,la commandeestclearipaccesslistcounters: RACL11a#clear ip access-list counters 20 RACL11a#sh ip access-list 20 Standard IP access list 20 permit 10.0.8.0, wildcard bits 0.0.1.127 RACL11a# Ladministrateurpeutprciserdavantagesademandeenstipulantquilsouhaiteobserverlecontenudeslistespour leprotocoleIP.Maispuisquenotreconfigurationnecomportequedeslistesdaccspourceprotocole,laffichagenest pasdiffrent: RACL11a#sh ip access-list Standard IP access list 20 permit 10.0.8.0, wildcard bits 0.0.1.127 (10 matches) Extended IP access list ESSAI permit icmp any any reflect ICMP_REFLEX Reflexive IP access list ICMP_REFLEX RACL11a#sh ip access-list 20 Standard IP access list 20 permit 10.0.8.0, wildcard bits 0.0.1.127 (10 matches) RACL11a# Pourchaquesensdeflux,entrantetsortant,unecommande show ip interfacepermetdapprendresiunelisteest applique.Attention,cettecommandeesttrsbavarde,unepartiedursultatatomisdanslacapturecidessous: RACL11a#sh ip int e1/0 Ethernet1/0 is up, line protocol is up Internet address is 10.0.1.193/27 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 20 Inbound access list is not set ......... RACL11a# En ces temps dinscurit ressentie, ladministrateur sera heureux dapprendre quil est possible de traquer les paquetsrefussparunelistedaccs.Pourcefaire,laconfigurationdinterfacesurlaquellelalisteestapplique,il convientdajouterlacommandeipaccountingaccessviolations: RACL11a#conf t Enter configuration commands, one per line. End with CNTL/Z. RACL11a(config)#int e1/0 RACL11a(config-if)#ip accounting ? access-violations Account for IP packets violating access lists on this interface mac-address Account for MAC addresses seen on this interface output-packets Account for IP packets output on this interface precedence Count packets by IP precedence on this interface <cr> RACL11a(config-if)#ip accounting access-violations RACL11a(config-if)#^Z RACL11a# 12:48:06: %SYS-5-CONFIG_I: Configured from console by console RACL11a# LIOS entretient alors une base de donnes pour tous les paquets refuss, quelle que soit la liste daccs qui a provoquleurrejetsurcetteinterface.Lacommande show ip accounting accessviolationsprovoquelaffichagedu
- 17 -
contenudecettebasededonnes: RACL11a#sh ip accounting access-violations Source Destination 10.0.9.254 10.0.1.222 10.0.8.254 10.0.1.222 Accounting data age is 01:03 RACL11a# Pourchaquefluxrefus,onapprendquellestaientlesadressessourceetdestinationetquelleestlalistedaccs responsabledurejet.Pourtrecomplet,noublionspaslacommande clear ip accountingquipermetderemettre zrolescompteursdepaquetsrefuss: RACL11a#clear ip accounting RACL11a#sh ip accounting access-violations Source Destination Accounting data age is 0 RACL11a# Cette dernire commande ip accounting accessviolations est rserver aux spcialistes car elle oblitre certains modesdecommutation,lesplusperformants,durouteur.Maisdanslecadredunatelier,aucuneraisondesepriver.
Packets 10 30
Bytes 840 2520
ACL 20 20
Packets
Bytes
ACL
4.Scnariostypes
Cest une habitude bien tablie maintenant, les scnarios proposs sont, comme ceux des chapitres prcdents, reproductibleslaidedelensemblelogicielVMware,GNS3,PuTTY,Wireshark,lamachinedetestLINUXdisponibleen tlchargement, liste non exhaustive. La topologie propose ciaprs a pour ambition doffrir un environnement suffisamment riche pour mettre lpreuve tout type de liste daccs standard. Avant de songer installer une quelconque ACL, on aura vrifi que la connectivit est totale, chaque station sait pinguer chacune des autres stations:
Laplateformeutilisetaitlerouteur1751dotdunIOS12.3.
a.ContrlerlouverturedesessionTelnet
Objectifs:
G
Permettre louverture de session Telnet sur R100j depuis le rseau LAN10b, linterdire depuis le rseau
- 18 -
LAN10a.
G
DepuisunesessionouvertesurR100j,permettrelouverturedesessionversR120j,linterdireversR8j.
Lepremierobjectifestrsolulaide de la liste daccsn10quiautoriseleseulrseauLAN10b,lerejetimplicite interditlerestedumonde.PuiscettelisteestappliqueenentresurleslignesVTY: R100j#conf t Enter configuration commands, one per line. End with CNTL/Z. R100j(config)#access-list 10 permit 10.0.10.128 0.0.0.127 R100j(config)#line vty 0 4 R100j(config-line)#access-class 10 in R100j(config-line)#^Z 00:19:25: %SYS-5-CONFIG_I: Configured from console by console R100j# EssaideconnexiondepuislamachinePCL100surlerseauLAN10a: ubuntu@ubuntu-a:~$ telnet 10.0.10.1 Trying 10.0.10.1 telnet: Unable to connect to remote host : Connection refused ubuntu@ubuntu-a:~$ EssaideconnexiondepuislamachineVMWKS01surlerseauLAN10b: User Access Verification Password: R100j> Le second objectif est rsolu laide de la liste daccs n20 qui ne permet que lhte 10.0.13.1. Cette liste est appliqueensortiesurleslignesVTYdeR100j: R100j#conf t Enter configuration commands, one per line. End with CNTL/Z. R100j(config)#access-list 20 permit 10.0.13.1 R100j(config)#line vty 0 4 R100j(config-line)#access-class 20 out R100j(config-line)#^Z 00:19:25: %SYS-5-CONFIG_I: Configured from console by console R100j# Ladministrateurprovoqueunecommande showlinevty04afindevrifierqueleslistesdaccsn10etn20sont bienappliquesauxlignesVTY.Observezlescolonnes AccO(ACLoutbound)et AccI(ACLinbound)quiindiquentles numrosdelistesappliqus: R100j#sh line Tty Typ Tx/Rx * 0 CTY 5 AUX 9600/9600 * 6 VTY 7 VTY 8 VTY 9 VTY 10 VTY
A Modem -
Roty AccO AccI 20 10 20 10 20 10 20 10 20 10
Uses 0 0 1 0 0 0 0
Noise 1 0 0 0 0 0 0
Overruns 0/0 0/0 0/0 0/0 0/0 0/0 0/0
Int -
Line(s) not in async mode -or- with no hardware support:1-4 R100j#sh line vty 0 4 Tty Typ Tx/Rx * 6 VTY 7 VTY 8 VTY 9 VTY 10 VTY R100j#
A Modem -
Roty AccO AccI 20 10 20 10 20 10 20 10 20 10
Uses 1 0 0 0 0
Noise 0 0 0 0 0
Overruns 0/0 0/0 0/0 0/0 0/0
Int -
- 19 -
DepuislamachineVMWKS01,ladministrateurouvreunesessionsurR100jetdepuiscettesession,tentedouvrirsur R8j,sanssuccs,puisparvientouvrirsurR120j: User Access Verification Password: R100j>telnet 10.0.11.2 Trying 10.0.11.2 ... % Connections to that host not permitted from this terminal R100j>telnet 10.0.13.1 Trying 10.0.13.1 ... Open User Access Verification Password: R120j> Ladministrateur est satisfait mais le lecteur attentif devrait tre surpris par la liste daccs n20. En effet, nous avonsaffirmquunelistestandardnecontrlaitqueladressesource.Lalisten20montrequecetterglesouffre uneexception.Danslecasduncontrledouverturedesessionappliquauxtentativessortantes,cestladressede destinationquiestcontrle. Lorsque la commande accessclass est applique sur les tentatives douvertures de session sortantes, ladressecontrleparlalistedaccsstandardestladressededestination.
b.Limiterlaccsauxsessionshttp
Unelignedelaconfigurationglobaledenosrouteursdatelierestpeuttrepasseinaperuejusquici,ilsagitdela commande ip http server. Cette commande indique que ces routeurs comme beaucoup dquipements CISCO, offrentlaccsauxmodesutilisateuretprivilgiviaunnavigateurweb.Commenonsparobserverlecomportement pardfautententantdenousconnecterR100jdepuisunnavigateurouvertsurVMWKS01:
1.IlfautsaisirenbarredadresseslunedesadressesIPdurouteurR100j,ilestlogiquedechoisirladresselaplus procheduPCutilispourseconnecter,soitcelledelinterfaceF0/1(E0/0sirouteur1700)10.0.10.129. 2.Latentativedeconnexionentraneimmdiatementunedemandedauthentification.DanslammefentreMotde passerseau,lerouteurfournitunepisteenprcisant level_15_access.Unefoisdeplus,ilfautadmettrela difficultavancerdansdessavoirsdefaonparfaitementlinaire,squentielle.Eneffet,ceniveau15correspond

enfaitaumodeprivilgimaiscesnotionsdeniveauxdeprivilgeetdauthentificationneserontdtaillesquedans lechapitresuivantAdministrationetscurit.Sillesouhaite,lelecteurpeutdoncfaireundtourparcechapitre,ily dcouvriraquunrouteurproposequatremthodesdauthentification:{enable|Local|AAA|TACACS}.Lamthode enable est celle que nous avons pratique jusqu prsent, cest aussi la plus modeste hlas puisque tous les administrateurs amens travailler sur le routeur doivent connatre le mot de passe associ au passage vers le mode privilgi. Ce nest pas une relle authentification puisquon ne peut pas savoir qui est intervenu ou qui intervient.Ilyabienuneclmaiscestunpeulaclsouslepaillasson! 3. Toujours dans la fentre Mot de passe rseau, laissons le champ Nom dutilisateur vide et tapons le mot de passeenabledanslechampMotdepasse. 4.LarequteaboutitetladministrateurdcouvrebahiquilexisteunmondeendehorsdelinterfaceILC. Lapolitiquedescuritduneentreprisepourraitrecommanderdedsactiverceservicelaidedelacommande no ip http server. Pourquoi se priver de cette facilit quand une liste daccs standard permet de limiter laccs aux personneshabilites. Objectifs:
G
PermettrelouverturedesessionhttpsurR100jdepuislerseauLAN10b,linterdiredepuistouslesautres rseauxetnotammentlerseauLAN12a.
Pourquoi avoir mentionn le rseau LAN12a dans le cahier des charges ? Parce que si le lecteur a reproduit la topologiepropose,lastationVMSRV01estlaseulequipermettedevrifierquelalistedaccsmiseenplaceest oprationnelle. En effet, cette machine dispose dun OS fentr et donc dun navigateur. Dans un premier temps, vrifionsquilestgalementpossibledouvrirunesessionhttpdepuislastationVMSRV01,ladressesaisieestcette fois10.0.11.1,cestdireladressedeR100jlaplusprochedelastationVMSRV01:
La liste daccsquiautoriselerseauLAN10bnest pas crer, elle existe dj sous le n10, nous lavionscr pourcontrlerlesouverturesdesessionTelnetpendantlamiseensituationprcdente: R100j#sh run Building configuration... ......... ! access-list 10 permit 10.0.10.128 0.0.0.127 ! ......... Ilestparfaitementpossibledappliquerlammelisteplusieursinterfaces: R100j#conf t Enter configuration commands, one per line. R100j(config)#ip http access-class 10 R100j(config)#^Z R100j#
End with CNTL/Z.
Il reste vrifier que lobjectif est atteint en tentant une ouverture de session http depuis VMWKS01, elle doit aboutir,uneautredepuisVMSRV01,elledoitchouer:
- 21 -
Le lecteur qui estime avec raison la mthode dauthentification enable insuffisante pourra mettre profit la commandesuivante: Router(config)#ip http authentication {aaa | enable | local | tacacs} Mais ceci sort du cadre de ce chapitre, le lecteur est encourag mettre en uvre cette commande dans latelier RADIUSproposauchapitresuivant.
c.Limiterlaportedelacommandedebugippacket
Dansunprcdentatelier,nousavionsappelcettecommandecommandedelamorttantlactivitquiconsiste afficherlensembledespaquetsIPtransitantparlerouteur,tantcetteactivitestconsommatricederessources. cesujet,ilincombeladministrateurdesurveillerletauxdutilisationdesressourcesdurouteur,ilpeutlefaire laidedelacommandeshowprocesses: R100j#show processes ? <1-4294967295> Process Number cpu Show CPU use per process history display ordered Process history memory Show memory use per process | Output modifiers <cr> R100j#show processes CPU utilization for five seconds: 12%/3%; one minute: 10%; five PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY 1 Cwe 8001B34C 0 1 0 5788/6000 0 2 Csp 802EB364 4 572 6 2744/3000 0 3 M* 0 4532 159 2850310120/12000 0 4 Lst 8001AB48 1872 319 5868 5768/6000 0 5 Cwe 8001F8A8 20 6 3333 5544/6000 0 6 Lwe 8059DE44 0 1 0 5784/6000 0 7 Mst 805C745C 0 2 0 5704/6000 0 8 Lwe 803BD9F8 864 469 1842 4964/6000 0 9 Mwe 80416F18 0 2 0 5712/6000 0 10 Mwe 80598CF0 0 2 0 5708/6000 0 11 Mwe 805E937C 0 1 011744/12000 0 12 Mwe 80670208 0 3 0 5708/6000 0 13 Lwe 806BBAEC 24 2 12000 5624/6000 0 14 Mwe 80C58CB0 0 2 0 5716/6000 0 15 Msp 80612CC8 88 2848 30 5748/6000 0 16 Mwe 80694730 0 2 011712/12000 0 17 Mwe 80C5E7B4 0 1 0 5784/6000 0 18 Mwe 80EC6E84 4 2 200011728/12000 0 19 Cwe 80DE8340 0 1 0 5800/6000 0
minutes: 5% Process Chunk Manager Load Meter Exec Check heaps Pool Manager AAA_SERVER_DEADT Timers ARP Input ATM Idle Timer AAA high-capacit Policy Manager DDR Timers Entity MIB API Serial Backgroun GraphIt Dialer event SERIAL Adetect XML Proxy Client Critical Bkgnd
- 22 -
20 Mwe 80109390 21 Lwe 805B84B4 --More
320 8
1158 8
276 9988/12000 0 Net Background 100011352/12000 0 Logger
Deux chiffres sont fournis quant lutilisation CPU dans les cinq dernires secondes : le premier chiffre exprime lutilisationabsolueduprocesseur,lesecondexprimelapartdetempspasstraiterlesinterruptions.Exemple: 12 %/3 %signifie12 %surlescinqderniressecondesdont3 %enmodeinterruption.Fixonsquelquesordresde grandeur:
CPU<30 %:lesfeuxsontauvert. 30 %<CPU<50 %:quecesoitsur5secondesou5minutes,onsinquite! CPU>50 %:panique,dysfonctionnementsprvoir!!!
PeuttreunesageprcautionconsistevrifierlaconsommationCPUavantdentamerunequelconquecommande debug.Quantlacommande debugippacket,unelistedaccsstandardoffreopportunmentlemoyendelutiliser en limitant son champ dintervention et donc en limitant le risque denterrer le routeur ou de submerger la consoledemessagesinexploitables. Objectifs:
G
SurR100j,visualiserlensembledutraficissudurseauLAN10b,linterdiredepuistouslesautresrseauxet notammentlerseauLAN10a.
R100j#conf t R100j(config)#access-list 10 permit 10.0.10.128 0.0.0.127 R100j(config)#^Z R100j# R100j#debug ip packet ? <1-199> Access list <1300-2699> Access list (expanded range) detail Print more debugging detail <cr> R100j#debug ip packet 10 IP packet debugging is on for access list 10 R100j# 01:07:14: IP: s=10.0.10.252 (Ethernet1/0),d=10.0.10.255 (Ethernet1/0),len 78,rcvd 3 01:09:01: IP: s=10.0.10.254 (Ethernet1/0),d=10.0.10.255 (Ethernet1/0),len 96,rcvd 3 01:10:21: IP: s=10.0.10.129 (local), d=10.0.10.254 (Ethernet1/0), len 56, sending R100j#undebug all All possible debugging has been turned off R100j#
- 23 -
LancezquelquescommandespingdepuislerseauLAN10aafindevrifierlavaliditdelasolution.
5.AtelierListedaccsstandard
G
Interdire tout type de trafic destin LAN8 ds lors quil est issu des 16 dernires adresses de la plage dadressesaffecteLAN12a. LetraficissudeLAN12aetdestinauxautrespartiesdurseaudoitresterpossible.
Appliquez une liste daccs standard linterface convenable. Testez latteinte de lobjectif par tout moyen votre convenance. Cetatelierestmaintenanttermin.
- 24 -
Listesdaccstendues
La liste daccsstandardnecontrlaitqueladresse source. Une liste daccstenduepermetuncontrlebeaucoup plusfindutraficenoffrantlemoyendetesterunensembledeconditionsdontlesadressessourceetdestination,les protocoles utiliss en couche transport et en couche application, certains drapeaux de lentte transport. Attention, cetavantageauncot,laconsommationderessourcesmmoireetCPUestvidemmentlavenantdespossibilits offertes et ladministrateur doit surveiller ltat de sant de lquipement porteur dune nouvelle liste tendue laidedecommandes showprocessescpuou showprocessesmemory.Encontrepartie,ladministrateurpeutplacer lalisteauplusprsdelasourcedutraficfiltreretainsiviterdegaspillerdelabandepassante.Pourmmoire,la listestandard,elle,estplaceauplusprsdeladestinationetlaissechemineruntraficquiserafinalementfiltrenfin deparcours. Une liste daccs standard est conome en ressources machine mais entrane un gaspillage de bande passante. Une liste daccs tendue est optimale quant lutilisation de la bande passante du rseau mais consommedavantagederessourcesmmoireetCPU.
1.Configurationdunelistetendue
Prrequis:reliresincessairelechapitreLeroutageInitiationdelouvrageCiscoNotionsdebasesurlesrseaux danslacollectionCertificationsauxEditionsENIetnotammentlespartiesquiconcernentledatagrammeIP,lechamp TOS(TypeOfService),lanotiondeDSCP(DifferentiatedServicesCodePoint). La syntaxe de la commande doit tre adapte en fonction du protocole encapsul dans IP. Commenons par la syntaxelaplusgnrique. LasyntaxedelacommandepermettantdecrerunlmentdelalisteACL_#tendueestlasuivante: Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit | deny} protocol {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps] [fragments] [log [cookie_utilisateur] | log-input [cookie_utilisateur]] Lesargumentsdecettecommandesont: ACL_# Unnombre(100199ou20002699)quiidentifielensembledeslmentsdelaliste. Dynamicdynamic_name[timeoutminutes] Identifieunelistedaccsdynamique,galementappele Lockandkey danslesdocumentsCISCO.Faitlobjet dunesectionparticulire. Permit|Deny Choixdelaction,lepaquetdoitilvivreoumourir? Protocol TestduchampProtocoldelentteIP.DanslentteIP,cechampoccupe8bits.Leprotocoleencapsulestdonc identifi par une valeur comprise entre 0 et 255. Pour quelques protocoles importants, il existe un motcl que ladministrateurpeutsubstituerlavaleurdcimaledanslebutderendrepluslisiblelefichierdeconfiguration.Ces valeurssontinventoriesdansletableaucidessous: R8j(config)#access-list 100 permit ? <0-255> An IP protocol number ahp Authentication Header Protocol (51) (RFC4302) eigrp Ciscos EIGRP routing protocol (88) esp Encapsulation Security Payload (50) (RFC4303) gre Ciscos GRE tunneling icmp Internet Control Message Protocol (1) (RFC792) igmp Internet Gateway Message Protocol (2) (RFC1112) ip Any Internet Protocol ipinip IP in IP tunneling (4) (RFC2003)
- 1-
nos ospf pcp pim tcp udp
KA9Q NOS compatible IP over IP tunneling (94) OSPF routing protocol (89) Payload Compression Protocol (108) (RFC2393) Protocol Independent Multicast (103) Transmission Control Protocol (6) (RFC793) User Datagram Protocol (17) (RFC768)
LesvaleursattribuesauxdiffrentsprotocolesencapsulsdansIPsontgresparlIANAetsontaccessiblessurle sitehttp://www.iana.org/assignments/protocolnumbers. Source|any CertainshtesouTousleshtes. Dans une liste daccs standard, quand le masque gnrique tait omis, lIOS concluait que ladresse tait une adresse hte. Exemple : 10.0.8.3 reprsente ladresse 10.0.8.3 0.0.0.0. Dans une liste tendue, lomission du masque gnrique nest plus possible. Mais il est possible de dsigner un hte laide du motclhost.Exemple: host10.0.8.3reprsenteladresse10.0.8.30.0.0.0. Destination|any CertainshtesouTousleshtes. Masq_gnrique Appliqu ladresse source ou ladresse destination, permet de spcifier quelles sont les plages dadresses concernes par cet lment de liste daccs. Description complte dans la section Manipulation des masques gnriquesdecechapitre. R8j(config)#access-list 100 permit ip any any ? dscp Match packets with given dscp value fragments Check non-initial fragments log Log matches against this entry log-input Log matches against this entry, including input interface precedence Match packets with given precedence value time-range Specify a time-range tos Match packets with given TOS value <cr> precedenceprecedence Priorittellequelleestdfiniesurlesbits0,1et2duchampTOSoriginelduRFC791(leRFCquidcritIP). R8j(config)#access-list 100 permit ip any any precedence ? <0-7> Precedence value critical Match packets with critical precedence (5) flash Match packets with flash precedence(3) flash-override Match packets with flash override precedence (4) immediate Match packets with immediate precedence(2) internet Match packets with internetwork control precedence (6) network Match packets with network control precedence (7) priority Match packets with priority precedence(1) routine Match packets with routine precedence(0) tostos LeRFC791originelneconnaissaitquelestroisbitsD(DelayDlai),T(ThroughputDbit)etR(ReliabilityFiabilit), respectivement les bits 3, 4 et 5 du champ TOS (Type of Service). Le RFC1349 met jour le RFC 791 en crant la facilitTOSexprimesurquatrebits(bits3,4,5et6deloctetTOS):
G
1000minimizedelay
- 2-
0100maximizethroughput 0010maximizereliability 0001minimizemonetarycost 0000normalservice
Le motcl tos optionnel ajout llment de la liste daccs permet de filtrer le paquet selon la valeur TOS quil portedanslentteIP: R8j(config)#access-list 100 permit <0-15> Type of service max-reliability Match packets max-throughput Match packets min-delay Match packets min-monetary-cost Match packets (1) normal Match packets dscpdscp TestelavaleurdeprioritDSCPcontenuedanslechampDS(ex:champTOS): R8j(config)#access-list 100 permit ip any any dscp ? <0-63> Differentiated services codepoint value af11 Match packets with AF11 dscp (001010) af12 Match packets with AF12 dscp (001100) af13 Match packets with AF13 dscp (001110) af21 Match packets with AF21 dscp (010010) af22 Match packets with AF22 dscp (010100) af23 Match packets with AF23 dscp (010110) af31 Match packets with AF31 dscp (011010) af32 Match packets with AF32 dscp (011100) af33 Match packets with AF33 dscp (011110) af41 Match packets with AF41 dscp (100010) af42 Match packets with AF42 dscp (100100) af43 Match packets with AF43 dscp (100110) cs1 Match packets with CS1(precedence 1) dscp cs2 Match packets with CS2(precedence 2) dscp cs3 Match packets with CS3(precedence 3) dscp cs4 Match packets with CS4(precedence 4) dscp cs5 Match packets with CS5(precedence 5) dscp cs6 Match packets with CS6(precedence 6) dscp cs7 Match packets with CS7(precedence 7) dscp default Match packets with default dscp (000000) ef Match packets with EF dscp (101110) timerangeplage_de_temps Permet dtablir des critres fonds sur le temps absolu (heure, date) ou selon une priode donne (tous les lundis).Dtailldansunesectionparticuliredecechapitre. fragments Un datagramme IP peut avoir t fragment par un routeur quand le MTU du prochain saut ne permettait pas dacheminerledatagrammeenunseulenvoi.Lemotclfragmentspermetdedistinguerlesfragmentssubsquents du premier fragment. Attention, si ce motcl est ajout llment, le fragment initial qui rsulterait dune fragmentationneseraitpastraitparcetlment. log|loginput Activelajournalisationdvnementsliscetlmentdelalistedaccs.Quandloginputestchoisi,lemessagequi porte lvnement est enrichi des informations interface dentre du paquet ainsi que adresse source de couche 2 (adresseMACouidentifiantDataLinkConnectionIdentifierdeFrameRelayouidentifiantVirtualConnectionNumberde ip any any tos ? value with max reliable TOS (2) with max throughput TOS (4) with min delay TOS (8) with min monetary cost TOS with normal TOS (0)
(001000) (010000) (011000) (100000) (101000) (110000) (111000)
- 3-
ATM). Cookie_utilisateur Chane de caractres optionnelle, ajoute lvnement journalis laide loption log ou loginput afin daider ladministrateur identifier llment de la liste daccs qui a provoqu lvnement. Des restrictions existent, la chanenedoitpasutiliserdemotsclsdeslistesdaccsetnedoitpasdmarrerparunenotionhexadcimale0x.
a.ListetendueTCP
Prrequis:reliresincessairelechapitreLacoucheTransportdeTCP/IPdelouvrageCiscoNotionsdebasesur lesrseauxdanslacollectionCertificationsauxEditionsENIetnotammentlespartiesquiconcernentleformatdu segmentTCP. Pour mmoire, comme UDP, TCP permet une mme machine dentretenir plusieurs communications simultanes. Une application manifeste son souhait de communiquer en rservant un numro de port auprs du systme dexploitation. Le couple [@IP Numro de port TCP] est appel socket, une connexion ncessite la mise en placededeuxsockets.Lassociationcomplte,composedesadressesIPsourceetdestination,desnumrosde ports source et destination, du protocole utilis, identifie sans ambigut quelle communication participe un segmentTCP. Exempledassociation:[tcp,192.168.1.141400,196.21.132.121]. Outrelemotcl tcpquisesubstituelavariableprotocol,deuxapportssignificatifsdiffrencientlacommandede listetendueTCP.Enpremierlieu,llmentcomparelundesportsoulesdeuxportssourceetdestinationdelen tteTCP.Unlmentdelistetenduetcpestdonccapabledefiltreruneouplusieurscommunicationstcp(unou plusieurs circuits virtuels). En second lieu, le motcl established optionnel permet de tester ltat des drapeaux ACK ou RST de lentte TCP. Avec ce motcl, il devient possible de filtrer un circuit virtuel tcp selon le sens de ltablissementducircuit:autoriserlouverturesilinitiativeatprisesurunemachineinterne,linterdirequandla tentativeprovientdurseauexterne. LasyntaxedelacommandepermettantdecrerunlmentdelistetendueTCPestlasuivante: Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit | deny} tcp {@IP_source [masq_gnrique] | any} [operator [port]] {@IP_destin [masq_gnrique] | any} [operator [port]][established] [precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps] [fragments] [log [cookie_utilisateur] | log-input [cookie_utilisateur]] Lesargumentssupplmentairesdecettecommandesont: Operator Optionnel,oprateurchoisirparmilesoprateurssuivants: lt gt eq neq lessthan greaterthan equal notequal Pluspetitque Plusgrandque gal Diffrentde Plageinclusive
range range
Unoprateurplacaprsladressesourcetesteleportsource. Unoprateurplacaprsladressedestinationtesteleportdestination. Loprateur range attend deux arguments, exemple : range 1000 2000 fournit un rsultat vrai pour tout port comprisentre1000incluset2000inclus.Lesautresoprateursnattendentquunargument. UnedemandedaidedanslinterfaceILCconfirmecesinformations(IOS12.3): R8j(config)#access-list 100 permit tcp any ? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt Match only packets with a greater port number
host lt neq range port
A single destination host Match only packets with a lower port number Match only packets not on a given port number Match only packets in the range of port numbers
Optionnel. Quil sagisse du protocole UDP ou du protocole TCP, les champs ports source et destination sont exprimssur16bits.Lenumrodeportstenddoncde065535.Lacommandedelistetendue tcpadmetun numro de port ou, pour quelquesuns des ports connus, un motcl qui peut venir se substituer au numro et augmenterlalisibilitdelaconfiguration: R8j(config)#access-list 100 permit tcp any eq ? <0-65535> Port number bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) daytime Daytime (13) discard Discard (9) domain Domain Name Service (53) echo Echo (7) exec Exec (rsh, 512) finger Finger (79) ftp File Transfer Protocol (21) ftp-data FTP data connections (20) gopher Gopher (70) hostname NIC hostname server (101) ident Ident Protocol (113) irc Internet Relay Chat (194) klogin Kerberos login (543) kshell Kerberos shell (544) login Login (rlogin, 513) lpd Printer service (515) nntp Network News Transport Protocol (119) pim-auto-rp PIM Auto-RP (496) pop2 Post Office Protocol v2 (109) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) sunrpc Sun Remote Procedure Call (111) syslog Syslog (514) tacacs TAC Access Control System (49) talk Talk (517) telnet Telnet (23) time Time (37) uucp Unix-to-Unix Copy Program (540) whois Nicname (43) www World Wide Web (HTTP, 80) Lesnumrosalloussontaccessiblessurlesitehttp://www.iana.org/assignments/portnumbers established Optionnel. Ce motcl ne peut sappliquer quaux listes tendues tcp. En effet, seul TCP fonctionne en mode connect et ncessite ltablissement du circuit virtuel (en trois temps, SYN, SYN/ACK, ACK) avant lchange de donnes proprement dit. Quand le motcl established est utilis, la condition fournit un rsultat vrai si lun des deuxdrapeauxACKouRSTestpositionndanslentteTCP.Pourmmoire,seulletoutpremiersegmentdecequi nest ce moment quune tentative dtablissement porte un drapeau ACK ltat 0 cestdire non positionn. TouslessegmentsquisuiventsurcecircuitvirtuelontundrapeauACKpositionn,cestdireltat1.
b.ListetendueUDP
Beaucoupdesimilitudesaveclalistedaccstcp,nouveaulemotcl udpquisesubstituelavariableprotocol, nouveaullment compare lundesportsoulesdeuxportssourceetdestinationdelentteUDP.Enrevanche, puisqueUDPfonctionneenmodenonconnect,lemotclestablisheddisparat. LasyntaxedelacommandepermettantdecrerunlmentdelistetendueUDPestlasuivante: Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit |
- 5-
deny} udp {@IP_source [masq_gnrique] | any} [operator [port]] {@IP_destin [masq_gnrique] | any} [operator [port]] [precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps] [fragments] [log [cookie_utilisateur] | log-input [cookie_utilisateur]] Les arguments de cette commande sont les arguments dune liste daccs tendue gnrique auxquels il faut ajouterlesargumentssuivants: Operator Optionnel,oprateurchoisirparmilesoprateurssuivants: lt gt eq neq lessthan greaterthan equal notequal Pluspetitque Plusgrandque gal Diffrentde Plageinclusive
range range
Unoprateurplacaprsladressesourcetesteleportsource. Unoprateurplacaprsladressedestinationtesteleportdestination. Loprateur range attend deux arguments, exemple : range 1000 2000 fournit un rsultat vrai pour tout port comprisentre1000incluset2000inclus.Lesautresoprateursnattendentquunargument. port Optionnel. Quil sagisse du protocole UDP ou du protocole TCP, les champs ports source et destination sont exprimssur16bits.Lenumrodeportstenddoncde065535.Lacommandedelistetendue udpadmetun numro de port ou, pour quelquesuns des ports connus, un motcl qui peut venir se substituer au numro et augmenterlalisibilitdelaconfiguration: R8j(config)#access-list 100 permit udp any eq ? <0-65535> Port number biff Biff (mail notification, comsat, 512) bootpc Bootstrap Protocol (BOOTP) client (68) bootps Bootstrap Protocol (BOOTP) server (67) discard Discard (9) dnsix DNSIX security protocol auditing (195) domain Domain Name Service (DNS, 53) echo Echo (7) isakmp Internet Security Association and Key Management Protocol(500) mobile-ip Mobile IP registration (434) nameserver IEN116 name service (obsolete, 42) netbios-dgm NetBios datagram service (138) netbios-ns NetBios name service (137) netbios-ss NetBios session service (139) non500-isakmp Internet Security Association and Key Management Protocol(4500) ntp Network Time Protocol (123) pim-auto-rp PIM Auto-RP (496) rip Routing Information Protocol (router, in.routed, 520) snmp Simple Network Management Protocol (161) snmptrap SNMP Traps (162) sunrpc Sun Remote Procedure Call (111) syslog System Logger (514) tacacs TAC Access Control System (49) talk Talk (517) tftp Trivial File Transfer Protocol (69) time Time (37) who Who service (rwho, 513) xdmcp X Display Manager Control Protocol (177)
- 6-
Lesnumrosalloussontaccessiblessurlesitehttp://www.iana.org/assignments/portnumbers
c.ListetendueICMP
Lemotcl icmpquisesubstituelavariableprotocol.Llmentestcapabledetesterleseulchamptypeoules deuxchampstypeetcodecontenusdanslenttedumessageICMP. LasyntaxedelacommandepermettantdecrerunlmentdelistetendueICMPestlasuivante: Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit | deny} icmp {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [icmp-type [icmp-code]|icmp-message] [precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps] [fragments] [log [cookie_utilisateur] | log-input [cookie_utilisateur]] Les arguments de cette commande sont les arguments dune liste daccs tendue gnrique auxquels il faut ajouterlesargumentssuivants: icmptype Optionnel.LesdeuxpremierschampsdelentteICMPsontletypeetlecode,chacuncodsurunoctet.Icmptype estdoncunnombrecomprisentre0et255. icmpcode Optionnel.Fournituneinformationplusavanceenrelationaveclinformationicmptype.Parexemple,siletypedit destinationnonjoignable,lecodeditparcequelaccscethteestprohib. icmpmessage Optionnel.Pluttquedecrerunlmentdelistedaccsquitesteletypeoulensemble(type/code),ilestpossible detesterselonunmotclquivalentuntypeouquivalentunensemble(type/code).Parexemple,silsagitde tester lensemble icmptype=3, destination unreachable, associ au code icmpcode= 3, port unreachable, ladministrateurpeutsubstituercetensemblelemotclportunreachable.VoicilesmotsclsautorissavecunIOS 12.3: R8j(config)#access-list 100 permit icmp any any ? <0-255> ICMP message type administratively-prohibited Administratively prohibited alternate-address Alternate address conversion-error Datagram conversion dod-host-prohibited Host prohibited dod-net-prohibited Net prohibited echo Echo (ping) echo-reply Echo reply general-parameter-problem Parameter problem host-isolated Host isolated host-precedence-unreachable Host unreachable for precedence host-redirect Host redirect host-tos-redirect Host redirect for TOS host-tos-unreachable Host unreachable for TOS host-unknown Host unknown host-unreachable Host unreachable information-reply Information replies information-request Information requests mask-reply Mask replies mask-request Mask requests mobile-redirect Mobile host redirect net-redirect Network redirect net-tos-redirect Net redirect for TOS net-tos-unreachable Network unreachable for TOS net-unreachable Net unreachable network-unknown Network unknown no-room-for-option Parameter required but no room option-missing Parameter required but not present packet-too-big Fragmentation needed and DF set parameter-problem All parameter problems
- 7-
port-unreachable precedence-unreachable protocol-unreachable reassembly-timeout redirect router-advertisement router-solicitation source-quench source-route-failed time-exceeded time-range timestamp-reply timestamp-request traceroute ttl-exceeded unreachable <cr>
Port unreachable Precedence cutoff Protocol unreachable Reassembly timeout All redirects Router discovery advertisements Router discovery solicitations Source quenches Source route failed All time exceededs Specify a time-range Timestamp replies Timestamp requests Traceroute TTL exceeded All unreachables
La liste complte des types et codes ICMP est disponible sur le site http://www.iana.org/assignments/icmp parameters.Envoiciunextrait: Icmptype 0 1 2 3 Dsignation EchoReply Unassigned Unassigned Destination Unreachable 0 1 2 3 4 NetUnreachable HostUnreachable ProtocolUnreachable PortUnreachable FragmentationNeededandDont FragmentwasSet SourceRouteFailed DestinationNetworkUnknown DestinationHostUnknown SourceHostIsolated CommunicationwithDestination NetworkisAdministratively Prohibited RFC792 RFC792 RFC792 RFC792 RFC792 0 Icmpcode Nocode Dsignation Rfrence RFC792
5 6 7 8 9
RFC792 RFC1122 RFC1122 RFC1122 RFC1122
10
CommunicationwithDestinationHost RFC1122 isAdministrativelyProhibited DestinationNetworkUnreachablefor RFC1122 TypeofService DestinationHostUnreachablefor TypeofService RFC1122
11
12
- 8-
13
CommunicationAdministratively Prohibited HostPrecedenceViolation Precedencecutoffineffect Nocode
RFC1812
14 15 4 5 SourceQuench Redirect 0 0
RFC1812 RFC1812 RFC792 RFC792
RedirectDatagramfortheNetwork (orsubnet) RedirectDatagramfortheHost RedirectDatagramfortheTypeof ServiceandNetwork RedirectDatagramfortheTypeof ServiceandHost AlternateAddressforHost
1 2
AlternateHost Address Unassigned Echo Router Advertisement
7 8 9
Nocode RFC1256
0 16
Normalrouteradvertisement Doesnotroutecommontraffic
RFC3344 RFC3344
d.Applicationdunelistetendueuneinterface
Aucunchangementdesyntaxeparrapportlacommandeutilisepourappliquerunelistedaccsstandardune interface.Parcontre,puisquunelistetenduecontrlelafoislesadressessourceetdestination,lacontraintequi consistaitdevoirplacerlalistestandardauplusprsdeladestinationdisparat.Etlalogiquereprendsesdroits: autantbloqueruntraficauplusprsdesasourceafindviterdegaspillerdelabandepassante. Point cl du CCNA : une liste daccs tendue devrait se placer sur le flux entrant de linterface la plus prochedelasourcedutraficcontrler.
2.Scnariostypes
Nous fonderons nos scnarios sur la topologie suivante, un peu plus simple mais plus adapte aux tests de listes tendues:
- 9-
La cration dunetelletopologieestassezcomplexeethorssujet,elleaparconsquenttreporteenannexe, mercidevousreporterauchapitreAnnexesPrparationduncontextedestintesterleslistesdaccstendues. Ladministrateuracrunezonedmilitarise(DMZoudemilitarizedzone,lesousrseauentrelesdeuxrouteurs) etyaplaclensembledesservicesrseau,savoirunserveurFTP,unserveurdecourrier,unserveurDNSetun serveurWeb.Enralit,lesquatreservicesonttimplmentssurlammemachinevirtuelleVMSRV01quipede lOS Windows 2000 Server. Les services DNS, FTP et WWW sont raliss laide des composants du systme dexploitation,seulleserveurdecourrierestralislaidedunproduittiers,HMAILserverenloccurrence,excellent etgratuitquioffretoutelasouplessencessairepourmonterrapidementunatelier.
a.AutoriserletraficissudunMTAinterne
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPSMTP,POPetIMAPdelouvrage CiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Le plus urgent dans cette circonstance consiste bien cerner le type de trafic provoqu par le service que lon souhaite mettre en place. Dans le cas prsent, un utilisateur du domaine interne eni1@ccna.fr envoie un courrier lectronique. Quand il le fait vers un autre utilisateur du domaine, le message ne quitte pas le domaine et ne provoqueaucuntraficsurlerouteurdebordure.Quandillefaitversuneadresseexterneaudomaine,lemessage estdabordremissonMTA(MailTransferAgent)derattachement,danslecasprsent,smtp.ccna.fr(hbergparla machineVMSRV01).PuisceMTAfaitprogresserlemessageversleMTAhbergeantledomainedudestinataire. Pourlesbesoinsdelamiseensituation,nousavonscrunsecondMTAexternequihbergeundomaineappel ccie.fr.Quandeni1@ccna.frenvoieuncourrierlectroniqueedieni1@ccie.fr,lemessagetransiteparsmtp.ccna.fr qui le transmet au MTA du domaine ccie.fr, soit 10.0.12.12. Un analyseur de protocole (Wireshark) plac sur le rseaudelaDMZafournilacapturecap_2K_02.pcapdisponibleentlchargementetdontvoiciunextrait:
- 10 -
Lacolonnedegaucheillustreletrafic,interne,provoquparlastationVMWKS01versleMTAinterne10.0.8.3.Ce traficnedoitfairelobjetdaucunfiltrage.LacolonnededroiteillustreletraficsubsquentduMTAinterneversle MTAexternedudomaineccie.fr.Lecahierdeschargesestdoncsimple:

G
Installer une liste de contrle daccs tendue qui permette ce trafic SMTP du MTA interne vers le MTA externelexclusiondetoutautretrafic.
(Dans un premier temps... la scurit gagne quand on ferme totalement pour ensuite nouvrir que le ncessaire, nouspratiqueronsdautresouverturesaufuretmesuredelavancedanslesmisesensituation). Puisquelalistedaccsquenousnousapprtonsmettreenplacedoitcontribuerlascuritdurseauinterne visvisdurseauexterne,ladministrateurdcidedeplacercettelistedaccssurlefluxentrantdelinterfacef0/0 durouteurdebordureR120k.Letraficautoriserpourmaintenirleservicedemessagerieatreprsentparles flchesrougesentraitsinterrompusdanslillustrationcidessus.Commentcaractrisercetrafic?
G
LensembledutraficSMTPesttransportlaideduprotocoledecouchetransportTCP(tiquette1). LadressesourcenepeutpastrepriseencomptecardautresMTApeuventavoirbesoinderelayerdes courrierslectroniquesversledomaineccna.fretdoncversleMTAinternesmtp.ccna.fr. Leportsourceestleport25quiidentifieunserveurSMTP(tiquette2).Biensr,llmentdelistedaccs en cours de construction utilisera le port source mais il faut observer que la protection offerte est assez modeste.Eneffet,ilestfacileunpiratedemodifierleportsourcedunpaquetpourpasseroutreunfiltre fondsurceport. Ladressededestinationestuniquesoit10.0.8.3(tiquette3). Le port destination ne peut tre pris en compte puisque choisi alatoirement par le MTA interne lorsquil initielaconnexionTCP(tramen30delacapture). Tous les segments entrants de ce trafic (trames n36, 39, 41, 44...) ont le drapeau ACK positionn (tiquette 4). En fait, le drapeau ACK nest 0 que dans le tout premier segment de la connexion TCP (trame n30). Une liste daccs tendue de type TCP peut tester ce drapeau, il suffit dajouter le motcl
- 11 -
establishedllmentencoursdecration.Ainsi,unetentativedeconnexiontcpdepuislerseauexterne verslhte10.0.8.3seraitignoreparllment(etdoncrejeteparllmentsuivant,patientez)quelque soit le port de destination. Loption established aide rduire le risque dun type dattaque classique de piratequiconsistenoyerledestinataireavecdestentativesdtablissementrptes(requteTCPSYN). Fortdeceslments,nousvoilprtscrirellmentdelistedaccsadquat: R120k#conf t R120k(config)#access-list 125 permit tcp any eq smtp host 10.0.8.3 established R120k(config)#access-list 125 deny ip any any R120k(config)#int f0/0 R120k(config-if)#ip access-group 125 in R120k(config-if)#^Z R120k# Lepremierlmentdelalistedaccsn125permetletraficprcdemmentcaractris.Lesecondlmentdela listerefusetoutautretraficentrantsurlinterface.Cetlmentpeutsemblerinutilepuisquilestsuiviparlerejet implicite.Maisilpermetdesavoircombiendepaquetsonttrejetsparlaliste: R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established 20 deny ip any any (16 matches) R120k# Unecommandeshowipintf0/0montrelapplicationdelalistelinterface: R120k#sh ip int f0/0 FastEthernet0/0 is up, line protocol is up Internet address is 10.0.12.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 125 ......... R120k# cestade,ilfauttesterlalistedaccsenseposantdeuxquestions: 1.Letraficquidoittreautorislestilencore? eni1@ccna.fr envoie un nouveau courrier lectronique edieni1@ccie.fr. Le message parvient son destinataire. Cestparfait.UnecommandeshowipaccesslistsurR120kfournitlersultatsuivant: R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established (11 matches) 20 deny ip any any (73 matches) R120k# Les11matchescorrespondentaux11paquetsentrantsquelalistenapasrejets. 2.Letraficquidoittrerejetlestileffectivement? UnecommandepingmisedepuisVMWKS01versladresseduMTAexternedoitrestersansrponse.Lecompteur nombredoccurrencesassocillmentdenyipanyanydoitavoiraugmentaprslessai.
b.AutoriserletraficSMTPissudunMTAexterne
Certes,lutilisateureni1@ccna.frapuenvoyeruncourrierlectroniqueuneadresseexternemaiscetteadresse estelleencorecapabledeluirpondre? PlaonsnoussurleclientdemessagerieinstallsurVMSRV02etrpondonsaumessagereudeeni1@ccna.fr.Clic sur Envoyer/Recevoir et voil le message envoy. Lutilisateur Edieni1 est satisfait, lutilisateur eni1 beaucoup moinscarlarponseneluiparvientpas.Oestpasscecourrier? Ladministrateursollicitutiliseloutildadministrationdehmailserver...
- 12 -
...etdcouvreainsiquelemessageesttoujoursstocksurleMTAdudomaineccie.fr.Ilfautconclureunchecde la premire tentative denvoi. Loutil informe galement quune prochaine tentative est programme une minute aprslapremiretentative. Encasdchec,leMTAatconfigurpourtenterdmettrelemessagedixfoisconscutives,lestentativessont espacesduneminute.Aprsdixtentativesinfructueuses,leMTAsupprimelemessageeteninformelexpditeur:
Heureusement,ladministrateuravaitprissoindeprovoquerunecapturesurlaDMZlorsduntransfertrussientre le MTA externe et le MTA interne, capture cap_2K_03.pcap disponible en tlchargement. Avec cette capture, caractrisonsletraficquilfaudraitautoriser:
- 13 -
nouveau,lalistedaccsquenousnousapprtonstablircontribuelascuritdurseauinternevisvisdu rseauexterne.Cestpourquoiladministrateurdcidedecomplterlalistedaccsn125djenplacesurleflux entrant de linterface f0/0 du routeur de bordure R120k. Le trafic autoriser pour maintenir le service de messagerie a t reprsent par les flches rouges en traits interrompus dans lillustration cidessus. Comment caractrisercetrafic?
G
LensembledutraficSMTPesttransportlaideduprotocoledecouchetransportTCP(tiquette1). LadressesourcenepeutpastrepriseencomptecardautresMTApeuventavoirbesoinderelayerdes courrierslectroniquesversledomaineccna.fretdoncversleMTAinternesmtp.ccna.fr. LeportsourcenepeuttreprisencomptepuisquechoisialatoirementparleMTAexternelorsquilinitiela connexionTCP(tramen4delacapture). Ladressededestinationestuniquesoit10.0.8.3(tiquette2). Leportdestinationestleport25quiidentifieunserveurSMTP(tiquette3).
Autotal,voicillmentquilfautajouterlalistedaccsn125: R120k(config)#access-list 125 permit tcp any host 10.0.8.3 eq smtp Imaginonsqueladministrateursentiennedansunpremiertempsuneditionclassiqueenlignedecommande: R120k#conf t R120k(config)#access-list 125 permit tcp any host 10.0.8.3 eq smtp R120k(config)#^Z R120k# *Mar 1 00:07:26.183: %SYS-5-CONFIG_I: Configured from console by console R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established (11 matches) 20 deny ip any any (151 matches)
- 14 -
30 permit tcp any host 10.0.8.3 eq smtp R120k# Cela a dj t dit, lajout dun lment sopre au bas de la liste aprs les lments existants. Dans le cas prsent, notre nouvel lment intervenant aprs le rejet explicite de tout trafic (deny ip any any) ne sera jamais sollicit. La prsentation des listes daccs standard avait donn loccasion de montrer comment diter une liste daccs hors ILC. Le cas prsent offre une bonne opportunit de montrer les possibilits offertes par les listes squences,fonctionnalitintroduiteparCISCOdanslesversionsdIOS12.2(14)Set12.3(2)T.
c.Listesdaccssquences
Une liste daccs est lue en squence par lIOS. Mais jusqu prsent, les latitudes de ladministrateur pour intervenirsurlordredeslmentsquicomposentlalistetaientdespluslimites.Bouleverserlordredeslments impliquaitdesupprimerlalistepourlaremplacerparunelistenouvelleaveclasquencesouhaite.Dansuneliste dite squence , chaque lment est associ un numro qui rappelle le placement de llment dans la squence.Etgrcecesnumros,ildevientpossibledinsrerunnouvellmentunendroitchoisidansuneliste existanteouencoredesupprimerunlmentsanssupprimerlalisteentire.Dmonstration: R120k(config)#ip access-list extended 125 R120k(config-ext-nacl)#no 30 R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established (11 matches) 20 deny ip any any (163 matches) R120k(config-ext-nacl)#15 permit tcp any host 10.0.8.3 eq smtp R120k(config-ext-nacl)#^Z R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established (11 matches) 15 permit tcp any host 10.0.8.3 eq smtp 20 deny ip any any (178 matches) R120k# Lacommande ipaccesslistextendedplacelinterfacedansunmodedeconfigurationdelistedaccstendue,ce querappellelinvitedecommandes R120k(configextnacl)#.Lacommandeno30permetdesupprimerllment ajouttortaubasdelaliste.AutrenouveautpermiseparcetteversiondIOS,lacommandedoquivitedavoir ressortir du mode de configuration en cours pour observer les effets de commandes dj entres. Dans le cas prsent,sansquitterlemodedeconfigurationdelistetendue,ladministrateur vrifie le nouveau contenu de la listen125etconstatesatisfaitquellmentnumro30abiendisparu.Ilresterintroduirellmentmaiscette foisentrellmentn10etllmentn20.Toutnaturellement,ladministrateurluiaffectelenumro15. PlaonsnoussurleclientdemessagerieinstallsurVMSRV02etrpondonsunefoisdeplusaumessagereude eni1@ccna.fr.DeretoursurleclientdemessagerieVMWKS01,onpeutconstatercettefoislabonnearrivedela rponse de edieni1@ccie.fr. Une commande show ip accesslist confirme que llmentajoutbientsollicit (message15matches): R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established(11 matches) 15 permit tcp any host 10.0.8.3 eq smtp (15 matches) 20 deny ip any any (178 matches) R120k# Enfait,cetteversiondIOSutilisaitleslistessquencesmmequandladministrateurentraitleslmentsdefaon conventionnelle,cestdireenmodedeconfigurationglobale.Cequeconfirmelescommandesshowipaccesslist entressurlerouteurR120k,observezlescapturesetconstatezqueleslmentsysontassocisunnumro. cesujet,mettrejourunrouteuravecuneversionrcentedIOS et faire dmarrer ce routeur avec un fichier de configurationcomportantdeslistesdaccsprovoquelaffectationautomatiquedunnumrochaquelment.Par dfaut, le premier lment est associ au numro 10 et le pas dincrmentation rgl 10, ce qui donne une squence10,20,30... Imaginons que dans la liste daccs n125 sur le routeur R120k, ladministrateur doive introduire plus de quatre nouveauxlmentsentrellmentn10actueletllmentn15actuel.Laplacemanquemaisfortheureusement, CISCOaprvuunecommandepermettantuneremiseensquencedunelisteexistante.Dmonstration: R120k(config)#do show ip access-list 125 Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established(11 matches) 15 permit tcp any host 10.0.8.3 eq smtp(15 matches) 20 deny ip any any (179 matches)
- 15 -
R120k(config)#ip access-list resequence 125 10 10 R120k(config)#do show ip access-list 125 Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established(11 matches) 20 permit tcp any host 10.0.8.3 eq smtp(15 matches) 30 deny ip any any (182 matches) R120k(config)# Lessecondettroisimeargumentsdelacommandeipaccesslistresequenceimposentrespectivementlenumro associ au premier lment puis le pas dincrmentation. Tout autre premier numro ou pas dincrmentation conviennent.Dmonstration: R120k(config)#ip access-list resequence 125 100 20 R120k(config)#do show ip access-list 125 Extended IP access list 125 100 permit tcp any eq smtp host 10.0.8.3 established 120 permit tcp any host 10.0.8.3 eq smtp 140 deny ip any any (94 matches) R120k(config)# Il existe une limite cependant sur le plus grand numro de squence qui ne doit pas excder 2 31 1 = 2 147 483 647.Ajouterunlmentunelisteenmodedeconfigurationglobalerestepossiblebiensrmais cetlmentestajoutaubasdelaliste,associunnumroincrmentde10parrapportaunumrodudernier lmentavantlajout. Tenter dajouter un lment qui existe dj dans la liste en lui associant un numro de squence diffrent est ignorparlIOS.Dmonstration: R120k(config)#do show ip access-list 125 Extended IP access list 125 100 permit tcp any eq smtp host 10.0.8.3 established 120 permit tcp any host 10.0.8.3 eq smtp 140 deny ip any any R120k(config)#ip access-list extended 125 R120k(config-ext-nacl)#150 permit tcp any host 10.0.8.3 eq smtp R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 100 permit tcp any eq smtp host 10.0.8.3 established 120 permit tcp any host 10.0.8.3 eq smtp 140 deny ip any any R120k(config-ext-nacl)# De mme, lajout dun lment distinct (non dj existant dans la liste) mais avec un numro de squence dj attribuestignorparlIOSetprovoqueunmessagederreur.Dmonstration: R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 100 permit tcp any eq smtp host 10.0.8.3 established 120 permit tcp any host 10.0.8.3 eq smtp 140 deny ip any any (141 matches) R120k(config-ext-nacl)#140 permit ip any any % Duplicate sequence number R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 100 permit tcp any eq smtp host 10.0.8.3 established 120 permit tcp any host 10.0.8.3 eq smtp 140 deny ip any any (207 matches) R120k(config-ext-nacl)# Enconclusion,certeslalistesquenceestunapportnonngligeablequidoitaiderladministrateurdanssatche. CelanedmodepourtantpaslditiondeslistesdaccshorsinterfaceILC.
d.AutoriserletraficDNS
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPDNSdelouvrageCiscoNotions debasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Objectif:
- 16 -
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursDNSdurseauexterne.
Prparationducontexte: Pourlesbesoinsdutest,unserveurDNSatinstallsurlamachineVMSRV02.Ceserveurhbergeledomaine ccie.fr.Ladministrateuryacrunaliaswwwpointantsurlamachine10.0.12.12. Dans un premier temps, ladministrateur sr de lui se souvient que les requtes DNS sont transportes par le protocole UDP et quun serveur DNS actif se traduit par le port UDP 53 ouvert, ce quil vrifie laide dune commandenetstatansurleserveur.Ilsagittoujoursdecomplterlalistedaccsn125placesurlefluxentrant durouteurdebordureR120k.Caractrisonsletrafic:
G
LetraficDNSesttransportlaideduprotocoledecouchetransportUDP. Ladresse source ne peut pas tre prise en compte car tout serveur DNS du rseau externe peut tre sollicit. LeportsourceestleportUDP53affectlapplicationDNS. Ladressededestinationestlerseauinterne10.0.10.0/24,lemasquegnriqueest0.0.0.255. Leportdestinationnepeuttreprisencomptepuisquechoisialatoirementparleclientinternelorsquil provoqueunerequteDNS.
Autotal,voicillmentquilfautajouterlalistedaccsn125: R120k(config)#access-list 125 permit udp any eq 53 10.0.10.0 0.0.0.255 nouveau, cet lment doit tre plac avant le refus explicite de tout trafic et ladministrateur utilise les fonctionnalitsdeslistessquences: R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 40 deny ip any any (91 matches) R120k(config-ext-nacl)#35 permit udp any eq 53 10.0.10.0 0.0.0.255 R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 35 permit udp any eq domain 10.0.10.0 0.0.0.255 40 deny ip any any (104 matches) R120k(config-ext-nacl)# Observez que lIOS a remplac le port source 53 par le motcl domain. Il tait dailleurs possible dentrer la commandedirectementaveclemotcl. Trsfierdelui,ladministrateurseplacesurlastationVMWKS01danslebutdetesterlabonneexcutionducahier descharges: C:\>nslookup Serveur par dfaut : Address: 10.0.8.1
vmsrv01.ccna.fr
>server 10.0.12.12 DNS request timed out.timeout was 2 seconds. Serveur par dfaut : [10.0.12.12] Address: 10.0.12.12 >set q=a >www.ccie.fr Serveur : [10.0.12.12] Address: 10.0.12.12 Nom : vmsrv02.ccie.fr Address: 10.0.12.12
- 17 -
Aliases:
www.ccie.fr
Jusquel, tout va bien et notre administrateur est rassur. Il dcide un ultime essai qui consiste demander la totalitdesenregistrementsdelazone: > ls -d ccie.fr ls: connect: No error *** Impossible de fournir la liste du domaine ccie.fr: Unspecified error > Et patatras, voil le bel difice qui scroule. Ladministrateurveutcomprendre,placeunanalyseursurleserveur VMSRV02, lance une capture et provoque nouveau la mme squence dessais, capture cap_2K_04.pcap disponibleentlchargement,illustrecidessous:
La trame 6 correspond la requte DNS et pose la question Qui est www.ccie.fr ? . La trame 7 apporte la rponsewww.ccie.frest10.0.12.12.LeprotocoledetransportestUDP,lautorisationajoutelalistedaccs n125aparfaitementjousonrle. Entrame9,lacommande lsdccie.frentreenmode nslookupinteractifprovoqueunetentativedtablissement de circuit TCP vers le port TCP 53, port galement affect lapplicationDNS.Ilarriveeneffetquun service bien connuutilisetanttUDP,tanttTCP.DNSenfournitunexemple,larequtedunclientDNSetlarponseduserveur DNS utilisent UDP et le numro de port UDP 53. Un change de base de donnes entre serveurs DNS, appel Transfertdezone,utiliseTCPetlenumrodeportTCP53.Ilsetrouvequelacommandelsdentraneunerequte similairelaquestionposelorsdunvritabletransfertdezoneentredeuxserveurs(QTYPEAXFRquisignifieque larponsedoitfournirtouslesenregistrementsdelazone).Entrame10,ladeuximephasedeltablissementde cecircuitvirtuelchouecarleportsourceestTCP53etquaucunlment permitnestprvudanslalistepource flux.Lerouteurdeborduresenexpliqueentrame11laidedunmessageICMPtype3Destinationunreachable , code 13 Communication administratively filtered. Les trames qui suivent sont dautres tentatives suite ce premieressaiinfructueux. Notreadministrateurpeutserassrner,aucuneraisondemodifierlalistedaccsdurouteurdebordurepour agrandirencoreletrou.Lecahierdeschargesestrespectpuisquilstipulaitautoriserletraficdesutilisateurs et que, jusqu nouvel ordre, les utilisateurs ne provoquent pas de transfert de zone. Si ladministrateur dcide pourtantderevoirsacopieparcequedevritablestransfertsdezoneentreunserveurDNSinterneetunserveur DNSexternesontprvus,alorsilconviendraitdajouterlalisten125llmentsuivant: R120k(config)#access-list 125 permit tcp any eq 53 10.0.8.0 0.0.3.255 Laplagedadressesdfiniepar10.0.8.00.0.3.255correspondaurseau10.0.8.0/22quienglobelafoislerseau interne10.0.10.0/24etlerseaudelaDMZ10.0.8.0/24.Ladministrateurautravail:
- 18 -
R120k(config)#ip access-list extended 125 R120k(config-ext-nacl)#36 permit tcp any eq 53 10.0.8.0 0.0.3.255 R120k(config-ext-nacl)#do sh ip access-list 125 Extended IP access list 125 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 35 permit udp any eq domain 10.0.10.0 0.0.0.255 (2 matches) 36 permit tcp any eq domain 10.0.8.0 0.0.3.255 40 deny ip any any (198 matches) R120k(config-ext-nacl)#exit R120k(config)#ip access-list resequence 125 20 10 R120k(config)#do sh ip access-list 125 Extended IP access list 125 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 40 permit udp any eq domain 10.0.10.0 0.0.0.255 (2 matches) 50 permit tcp any eq domain 10.0.8.0 0.0.3.255 60 deny ip any any (207 matches) R120k(config)#exit NouveautestdepuislastationVMWKS01durseauinterne: > ls -d ccie.fr [[10.0.12.12]] ccie.fr. 3600) ccie.fr. ccie.fr. PCL120 VMSRV02 www ccie.fr. 3600) >
SOA NS MX
vmsrv01 administrateur. (5 900 600 86400
vmsrv01 10 vmsrv02.ccie.fr A 10.0.12.120 A 10.0.12.12 CNAME vmsrv02.ccie.fr SOA vmsrv01 administrateur. (5 900 600 86400
UnedernirecommandeshowpourvrifierquellmentTCP53estsollicit: R120k#sh ip access-list 125 Extended IP access list 125 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 40 permit udp any eq domain 10.0.10.0 0.0.0.255 (2 matches) 50 permit tcp any eq domain 10.0.8.0 0.0.3.255 (5 matches) 60 deny ip any any (210 matches) R120k#
e.AutoriserletraficWWW
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPHTTPetWWWdelouvrageCisco NotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. Objectif:
G
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursWEBdurseauexterne.
Prparationducontexte: Pour les besoins du test, le service IIS a t install sur la machine VMSRV02. Reportezvous si ncessaire la prparationducontexteplaceenannexe. Cette fois, ladministrateurbienentrantentedecaractriserletraficsanscapturepralableaveclanalyseurde protocole. Il sagit toujours de complter la liste daccs n125 place sur le flux entrant du routeur de bordure R120k.Caractrisonscetrafic:
G
LetraficWEBesttransportlaideduprotocoledecouchetransportTCP.
- 19 -
Ladresse source ne peut pas tre prise en compte car tout serveur WEB du rseau externe peut tre sollicit. LeportsourceestleportTCP80affectlapplicationHTTP. Ladressededestinationestlerseauinterne10.0.10.0/24,lemasquegnriqueest0.0.0.255. Leportdestinationnepeuttreprisencomptepuisquechoisialatoirementparleclientinternelorsquil provoqueunerequteHTTP. TouslessegmentsentrantsdecetraficontledrapeauACKpositionn.Enfait,ledrapeauACKnest0que dansletoutpremiersegmentSYNdelaconnexionTCPinitiparunestationdurseauinterne.Uneliste daccstenduedetypeTCPpeuttestercedrapeau,ilsuffitdajouterlemotclestablishedllmenten cours de cration. Ainsi, une tentative de connexion TCP depuis le rseau externe vers lundeshtesdu rseauinterneseraitignoreparllmentquelquesoitleportdedestination.
Autotal,voicillmentquidoittreajoutlalistedaccsn125: R120k(config)#access-list 125 permit tcp any eq 80 10.0.10.0 0.0.0.255 established nouveau, cet lment doit tre plac avant le refus explicite de tout trafic et ladministrateur utilise les fonctionnalitsdeslistessquences: R120k(config)#ip access-list extended 125 R120k(config-ext-nacl)#10 permit tcp any eq 80 10.0.10.0 0.0.0.255 established R120k(config)#^Z R120k#sh ip access-list 125 Extended IP access list 125 10 permit tcp any eq www 10.0.10.0 0.0.0.255 established 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 40 permit udp any eq domain 10.0.10.0 0.0.0.255 (1 match) 50 permit tcp any eq domain 10.0.8.0 0.0.3.255 (10 matches) 60 deny ip any any (124 matches) R120k# Vrifier la bonne excution du cahier des charges peut soprer depuis un navigateur ouvert sur la station VMWKS01.Enbarredadresse,ladministrateurentre10.0.12.12etnormalement,lapagesouvre:
Unedernirecommandeafindevrifierquelenouvellmentabientsollicit: R120k#sh ip access-list 125 Extended IP access list 125 10 permit tcp any eq www 10.0.10.0 0.0.0.255 established (3 matches) 20 permit tcp any eq smtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eq smtp 40 permit udp any eq domain 10.0.10.0 0.0.0.255 50 permit tcp any eq domain 10.0.8.0 0.0.3.255 60 deny ip any any
- 20 -
R120k#
3.AtelierListedaccstendue
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPFTPdelouvrageCiscoNotions debasesurlesrseauxdanslacollectionCertificationsauxEditionsENI. vousdejouercettefois,uncorrigestproposauchapitreAteliersetexercicescorrigs. Objectifs:
I
Sur R120k, compltez la liste daccs n125 afin dautoriser le trafic issu dInternet et destin au serveur Web interne www.ccna.fr. Ce premier point sera vrifi laide dun navigateur ouvert sur la machine VMSRV02. On saisiraenbarredadresse,ladresse10.0.8.4. Sur R120k, compltez la liste daccs n125 afin dautoriser les requtes DNS issues dInternet et destines au serveurDNS10.0.8.1.CesecondpointseravrifilaidedelacommandeNSLOOKUPexcuteenmodeinteractif surlamachineVMSRV02.Onsinterdiralacommandelsdquivalenteautransfertdezones. Sur R100k, crez une liste daccs tendue sur le flux entrant de linterface f0/0 afin dautoriser le trafic vers le serveur FTP 10.0.8.2. Le trafic FTP pourra tre provoqu laidedun navigateur sur la station VMWKS01 ou en modeinteractifdepuisunefentredecommandeouenfindepuislastationLINUXPCL100.Touslesautrestrafics devront tre rejets lexclusiondestraficsautorissparleserveurdebordure,traficsquinedevrontpastre empchsparlanouvelleliste.LecircuitTCPpourlesdonnesdeFTPdevratretablienmodenormal(etnonen modepassif).
Cetatelierestmaintenanttermin.
- 21 -
Listesdaccsnommes
1.Configurationdunelistenomme
Depuislaversion11.2delIOS,ilestpossibledecrerunelistedaccsenlanommantpluttquenluiaffectantun numro connu de lIOS. La syntaxe est un peu modifie puisque lIOS doit se passer du numro qui lui permettait jusqueldedterminersilalistetaitdetypestandardoutendue. Syntaxedunelistenommestandard: Rtr(config)#ip access-list standard {access-list-name} Rtr(config-std-nacl)# [sequence-number] {permit|deny} @IP_source [masq_gnrique] Syntaxegnriquedunelistenommetendue: Rtr(config)#ip access-list extended {access-list-name} Rtr(config-ext-nacl)#[sequence-number] {permit|deny} protocol {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [option option-name] [precedence precedence] [tos tos] [ttl operator value] [time-range time-range-name] [fragments] [log [word]] SyntaxedunelistenommetenduedetypeICMP: Rtr(config)#ip access-list extended {access-list-name} Rtr(config-ext-nacl)# [sequence-number] {permit|deny} icmp{@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [icmp-type [icmp-code] | icmp-message][precedenceprecedence] [tos tos] [ttl operatorvalue] [time-range timerange-name] [fragments] [log [word]] SyntaxedunelistenommetenduedetypeTCP: Rtr(config)#ip access-list extended {access-list-name} Rtr(config-ext-nacl)#[sequence-number] {permit|deny} tcp {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [operator [port]] [established | {match-any | match-all} {+ | -} flag-name] [precedence precedence] [tos tos] [ttl operatorvalue] [time-range time-range-name] [fragments] [log [word]] SyntaxedunelistenommetenduedetypeUDP: Rtr(config)#ip access-list extended {access-list-name} Rtr(config-ext-nacl)#[sequence-number] {permit|deny} udp {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [operator [port]] [precedence precedence] [tos tos] [ttl operatorvalue] [time-range time-range-name] [fragments] [log [word]] Observezdanscescaptureslapparitiondedeuxnouveauxsousmodesdeconfiguration(configstdnacl)et(config extnacl).Lesargumentssupplmentairesdecescommandessont: accesslistname Chanealphanumriquequiidentifielalistedaccs.Lachanenedoitcontenirniespaceniguillemetetdoitdbuter paruncaractrealphabtiqueafindviterlambigutavecleslistesnumrotes. optionoptionname Optionnel. Pour mmoire, chaque option prsente dans lentte IP prsente comporte un code option sur un octet suivi dun champlongueuretdesdonnespropresloption.IlestpossibledefiltrerlespaquetsIPenfonctiondesoptionsIP prsentesdanslepaquetsoitenspcifiantloptionfiltrerparsoncode(de0255puisquelecodedeloptionest exprimsurunoctet)soitparsonnom.Lescodesetnomsexistantssontrappelsdansuntableauactualissurle sitedelIANA:http://www.iana.org/assignments/ipparameters ttloperatorvalue
- 1-
Optionnel, compare la valeur TTL contenue dans le paquet et la valeur TTL spcifie dans llment de la liste. LoprateurestidentiqueceluiutilisparunlmentTCPouUDP.Laoulesvaleursutilisesdoiventtrecomprises entre0et255: lt gt eq neq lessthan greaterthan equal notequal Pluspetitque Plusgrandque gal Diffrentde Plageinclusive,lesdeuxvaleurs sparesparunespace
range range
{match-any | match-all} Optionnel,neconcernequeleslmentsdunelisteTCP.Unecorrespondanceseproduitquandcertainsdrapeauxdu segmentTCPsont1ou0.Lemotclmatchanypermetdetesterlaprsencedundrapeauparmiplusieurs. Lemotclmatchallpermetdevrifierquelensembledesdrapeauxspcifisdansllmentsontprsents. {+ | -}flagname Optionnel, ne concerne que les lments dune liste TCP. Le signe + entrane la correspondance quand le segmentTCPcontientlesdrapeauxspcifisdanslargument flagname.Lesigne entrane la correspondance quandlesegmentTCPnecontientpascesdrapeaux.Lesdrapeauxsont urg, ack, psh, rst, synet fin.Ilseraplus commodepourladministrateurderemplacermentalementlessymboles+etparlesmotsavecetsans .Observezlquivalenceentrelemotclestablishedetloptionmatch any +ackrst.
a.Applicationdunelistenommeuneinterface
Peudechangementsignalersurlacommande ipaccessgroup.Lasyntaxecompltedecettecommandeesten ralitlasuivante: ip access-group {access-list-name | access-list-number} {in | out} Elleacceptedoncindiffremmentunnumroouunnomdeliste.
2.Intrtdeslistesnommes
Dans lhistoire de lIOS, la liste daccs nomme a prcd la liste daccs squence. Sans liste squence, supprimer un lment de liste numrote entranait la suppression de la liste dans son entier. La seule parade consistaitcrerunelistedaccsnomme. Unelistedaccsnommeautoriseuneidentificationaisedelalisteenluidonnantunnomvocateur.
Contrairementlalistenumrote,lalistenommeautoriselasuppressiondunlmentsansremettreen questionlalistedanssonentier. Onpourraitajouterqueleslistesnommespermettentdoutrepasserlaquantitdelistesquilestpossibledecrer aveclesnumrosconnusdelIOS.CetargumentpouvaitpeuttreentreunquandlIOSnepermettaitquela crationdelistesnumrotesstandardde199etdelistestenduesde100199.Depuislaversion12.1delIOS, avec la possibilit de crer 800 listes numrotes tendues et 799 listes numrotes standard, avec la facilit ddition des listes squences, avec la possibilit de placer des commentaires dans une liste (motcl remark), lintrtdeslistesnommesestdevenuplusrelatif,peuttrecantonnlarponsequelquesquestionsdesQCM delacertification.Onnepeutpourtantsedispenserdelestudiercarellessontncessaireslamiseen uvredes listesdaccsrflexives(patientez).
- 2-
Listesdaccscomplexes
Ciscoentendparcomplexeslestroistypesdelistessuivantes:
G
Listesdaccsdates:ceslistesfondentlefiltragesurdescritresdetemps. Listesdaccsdynamiques:lefiltrageralisdpenddudegrdhabilitationdelutilisateur. Listesdaccsrflexives:letraficentrantnestautorisquenrponseuntraficsortant.
Ces trois types de listes sont apparus, de faon trs dulcore, dans la version 4 du parcours CCNA. Clairement, configurer lune de ces listes ne fait pas partie des objectifs de la certification. Pourtant, ces listes ne sont pas plus complexesquelesprcdentes.Ltudiantpeutregretterquunefoisencore,lecontenudesoncartablesesoitalourdi maisladministrateurserjouitdesfacultsmisesdispositionparcestroistypesdelistesdelIOS.
1.Listesdaccsdates
Depuis la version 12.0 de lIOS, CISCO propose des listes Timed ACLs . Comment traduire ? La traduction des dclinaisons possibles du mot time occupe une page complte de lexcellent dictionnaire Hachette Oxford. Lauteur proposelistedaccsdatemaisresteouvertunemeilleuresuggestion.Unelistedatepermetderestreindrele trafic sur des critres de temps ou de date, ce peut tre lheure de la journe, le jour de la semaine, les jours du weekend,listenonexhaustive.Autoriseruntraficlaidedunelistedaccs,cestcreruntroudansunfiltre.Ilpeut trerassurantquecetrounesoitpasouvertindfiniment.Etpourladministrateurquiadcidde,alternativement, crer puis supprimer le trou la main en crant ou supprimant llment de la liste certaines heures de la journeoudelasemaine,voillemoyendautomatisersatche. Pourmmoire,voiciunesyntaxepartielledelacommandepermettantdecrerunlmentdelalisteACL_#tendue, dotdeloptiontimerange: Router(config)# access-list ACL_# {permit | deny} protocol {@IP_S [masq_gn] | any} {@IP_D [masq_gn] | any} time-range plage_de_temps Ainsi, un lment fond entre autres sur le temps utilise en argument une plage de temps qui doit tre dfinie au pralable.Ilsetrouvequelacommandepermettantdecreruneplagedetempsutiliselemmemotcltimerange.
a.Dfiniruneplagedetemps
Troiscommandesconcernentladfinitionduneplagedetemps:
G
timerange periodic absolute
R100m(config)#time-range ? WORD Time range name R100m(config)#time-range Acces_WEB R100m(config-time-range)#? Time range configuration commands: absolute absolute time and date default Set a command to its defaults exit Exit from time-range configuration mode no Negate a command or set its defaults periodic periodic time and date R100m(config-time-range)# La commande timerange cre la plage de temps et lui attribue un nom. Lexcution de la commande fait entrer danslesousmodedeconfiguration(configtimerange).Danscemode,lescommandesperiodicetabsolutesont
- 1-
utilisespourdfinirouajouterdeslapsdetempsdanslaplage.Uneplagepeutassocier:
G
ouuneouplusieurscommandesperiodic ouunecommandeabsolute ouuneouplusieurscommandesperiodicetunecommandeabsolute.
Quand une plage associe des valeurs issues dune commande absolute associe une ou plusieurs commandes periodic, les lments periodic ne sont valus que pendant le laps de temps dfini laide de la commande absolute. Linstant est valu laide de lhorloge locale au routeur. Les plages de temps dfinies ne seront observes de faonexactequesilhorlogedurouteurestlheure,lemieuxtantsansdoutedajusterlhorlogesystmesur un serveur NTP. Relire si ncessaire le chapitre Tches de configuration des routeurs Configuration des paramtresglobauxDateetheure. Lacommandeperiodic Lacommande periodicestutilequandilfautdfiniruneplagedetempssereproduisantdefaonrcurrente.La syntaxegnraledecettecommandeest: periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm ...dontlesargumentssont: daysoftheweek La premire occurrence de largument marque le dbut de la plage de temps en cours de dfinition. La seconde occurrenceenmarquelafin.Lesmotsclsdelacommandepermettentdespcifierunjourouunecombinaisonde jours:
G
Unjour:Monday,Tuesday,Wednesday,Thursday,Friday,SaturdayetSunday Unecombinaisondejours:
G
Chaquejour,delundidimanche,rcurrencequotidienne:daily Chaquejourdelasemaine,dulundiauvendredi:weekdays Chaquejourduweekend,samedietdimanche:weekend.
Si le jour prcis dans la seconde occurrence est identique celui de la premire occurrence, il peut tre omis. hh:mm Premireoccurrence:heurededbutchaquejourdelacombinaisonouheurededbutlejourdedbut. Secondeoccurrence:heuredefinchaquejourdelacombinaisonouheuredefinlejourdefin. hhestexprimsur24heures. Quelquesexemplesdevraientclairerlusagedelacommandeperiodic: Voussouhaitezcetteplagedetemps: Dulundiauvendredi,de8hlematin6hlaprsmidi(soit10 heuresparjour). Chaquejourdelasemaine,de8hlematin6hlaprsmidi (soit10heuresparjour). Alorsentrezcettecommande: periodicweekday8:00to18:00.
periodicdaily8:00to18:00.
- 2-
Lapsdetempsininterrompuentrelundi8hetvendredi18h,qui serptechaquesemaine.
periodicMonday8:00toFriday20:00.
Touslesweekends,pendanttouteladureduweekend,cest periodicweekend00:00to23:59. diredesamedi0hdimancheminuit. Touslessamedisettouslesdimanches,demidiminuit. periodicweekend12:00to23:59.
Une commande timerange peut inclure une ou plusieurs plages de temps priodiques dfinies laide de la commandeperiodic. Danslundenosscnariosprcdents,nousavionsajoutunlmentlalistedaccsn100surleserveurR100k de faon autoriser le trafic issu des utilisateurs du rseau interne et destin aux serveurs WEB du rseau externe.Modifionsunpeulobjectif. Objectifrevisit:
G
Autoriser le trafic issu des utilisateurs du rseau interne et destin aux serveurs WEB du rseau externe chaquejourdelasemainede12h13h.Lesautrescritresdefiltragesontmaintenus.
Ilfautdansunpremiertempsconfigureruneplagedetemps,nowebdanslecasprsent: R100k(config)#time-range no-web R100k(config-time-range)#periodic weekdays 12:00 to 13:00 R100k(config-time-range)#exit Pourvarierlesplaisirs,ladministrateursubstituelalistedaccsn100unelistedaccsnommestrychn: R100k(config)#no access-list 100 R100k(config)#ip access-list extended strychn R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 R100k(config-ext-nacl)#permit udp 10.0.10.0 0.0.0.255 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 established R100k(config-ext-nacl)#deny ip any any R100k(config-ext-nacl)#exit R100k(config)#
any eq 80 time-range no-web any eq domain host 10.0.8.3 eq pop3 host 10.0.8.3 eq smtp host 10.0.8.2 eq ftp host 10.0.8.2 eq ftp-data
Ilresteappliquerlalistestrychnsurlefluxentrantdelinterfacef0/0durouteurR100k: R100k(config)#int f0/0 R100k(config-if)#ip access-group strychn in R100k(config-if)#^Z R100k# DeretourlastationVMWKS01,unetentativedaccsversleserveur10.0.12.12resteinfructueuse.Cestnormal, notrerouteurGNS3estfchaveclemaintiendelhorloge: R100k#sh clock 00:15:25.839 UTC Fri Mar 1 2002 R100k# Admettonsquilsoitenvironmidi: R100k#clock set 12:01:00 23 march 2010 Cettefois,latentativedaccsausiteWeb10.0.12.12russit. CetautreexemplesanslienavecnotreplateformedetestpermettraitletraficTelnetleslundi,mardietvendredi de9hlematin17hlaprsmidi: Router# show start ......... time-range testing periodic Monday Tuesday Friday 9:00 to 17:00
- 3-
! ip access-list extended chapelsixt permit tcp any any eq telnet time-range testing ! interface f0/0 ip access-group chapelsixt in Lacommandeabsolute Lacommande absolutedfinitunlapsdetempsuniquebornparunedatededbutet/ouparunedatedefin.En voicilasyntaxe: absolute [start time date] [end time date] ...dontlesargumentssont: starttimedate Optionnel, date et heure de prise deffet de llment permit ou deny qui utilise la plage de temps. Lheure est exprimesur24heures,dansleformathh:mm.Ladateestexprimesouslaforme{day}{ month}{ year}:
G
dayexprimelejourde131 monthestlenomdumois yearexprimelannesur4chiffres.
endtimedate Optionnel,dateetheuredecessationdeffetdellment permitou denyquiutiliselaplagedetemps.Ladatede findoittrepostrieureladatededbut. MettonsnouveaucontributionnotrescnariodefiltragedaccsauWEB: Objectifrevisit:

G
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursWEBdurseauexterne partirdu1e rjanvier2011,troisjoursparsemainedulundiaumercredide9h17h.Lesautrescritresde filtragesontmaintenus.
Laseulemodificationdelaplagedetempsnowebsuffit: R100k(config)#no time-range no-web R100k(config)#time-range no-web R100k(config-time-range)#absolute start 00:00 1 january 2011 R100k(config-time-range)#periodic monday tuesday wednesday 9:00 to 17:00 R100k(config-time-range)#^Z R100k# Lacommande absolutenementionnepasdedatedefin.Unadministrateurattentionndevraitsongersupprimer laligneunefoispasseladatedu1 e rjanvier2011maisilnyapasdecaractredurgence. Lacommandeshowtimerange Unecommandeshowtimerangepermetdevrifierltatactuelduneplagedetemps: R100k#sh time-range time-range entry: no-web (inactive) absolute start 00:00 01 January 2011 periodic Monday Tuesday Wednesday 9:00 to 17:00 used in: IP ACL entry R100k#clock set 10:00:00 3 january 2011 ! Comment vivre en avance sur son temps R100k#sh time-range time-range entry: no-web (active) absolute start 00:00 01 January 2011 periodic Monday Tuesday Wednesday 9:00 to 17:00
used in: IP ACL entry R100k# Lacommande showtimerangeprsenteunsecondintrt:ladministrateurpeutvrifierquelaplagedetemps creestbienutiliseparunelistedaccs: R100k#show time-range time-range entry: NOSURF (active) periodic weekdays 9:00 to 17:00 time-range entry: NoSurf (active) used in: IP ACL entry time-range entry: no-web (active) absolute start 00:00 01 January 2011 periodic Monday Tuesday Wednesday 9:00 to 17:00 used in: IP ACL entry R100k# Danslacapturecidessus,ladministrateuracruneplagedetempsnommeNOSURF.Maislorsdelditiondela liste daccs, il a utilis largument timerange NoSurf. LIOS vrifiant la casse des noms attribus aux plages de temps, on constate que la plage de temps NOSURF est bien dfinie (elle comporte une commande periodic)mais nestpasutilise.linverse,laplagedetemps NoSurfestbienutilise( usedin:IPACLentry)maisnestpas dfinie.Allezadministrateur,ilesttempsdevousreconcentrer!
b.Exercicelistedaccsdate
Proposez une configuration qui cre une liste daccs NOSURFING et dont lobjet est de refuser laccs au WEB chaquejourdelasemainede9h17hmaisgalementderefusertouttraficTelnetchaquejourdelasemainede 17h9hlelendemain. SolutionauchapitreAteliersetexercicescorrigs.
2.Listesdaccsdynamiques
Jusquprsent,leslistesdaccsmisesenplacetestentdeslmentsdinformationplacsdanslenttedecouche 3(adresses,protocoleencapsul)ainsiquelenttedecouche4(numrosdeports).Lefiltrageainsimisenplace sappliquequellequesoitlapersonnequicherchebnficierdesservicesoffertsparlerseauprotg.Lobjetdes listes dynamiques est doffrir davantage de souplesse en ajustant laccs des personnes authentifies. Conceptuellement,leslistesdynamiquessontplacersurlacouche5dumodleOSIRMsoitlacoucheSession. Un scnario classique est celui de lutilisateur distant qui se connecte au site de lentreprise laide dun tunnel scuris VPN (Virtual Private Network)autraversdelInternet mais qui une fois connect, a accs lensembledes ressources internes. Ladministrateur peut souhaiter limiter lamplitude de laccs laide dune liste de contrle daccsmaiscettelistesappliqueraitalorslensembledesutilisateursquiaccdentlaressource. Lalistedaccsdynamiqueouliste Lockandkey,(littralementverrouetcl,traduitparlisteverrousurlaplate formeCISCO)offreunesolution.Lalistedaccsdynamiquerequiredelutilisateurquilsauthentifiesurlerouteur,il peutlefairelaideduneconnexionTelnetouSSH.Dansunsecondtemps,lerouteurquiaauthentifilutilisateur activeunouplusieurslmentsdunelistedaccsappliquelinterfaceadquate.Ceslmentsrestentactifsun laps de temps convenu puis expirent. Pendant ce laps de temps et grce ces lments, lutilisateur a accs aux ressourcesquiluisontncessairessurlerseaudelentreprise. Tout se passe comme si un administrateur zl se tenait prt tout moment tablir sur demande le ou les lmentsdunelistedaccspermettantunutilisateur,connudeladministrateur,daccdersesressourcespuis refermerlaccsunefoisquelutilisateurnenapluslusage.Lalistedaccsdynamiqueautomatisecettesquence doprations. Elle est trs diffrente des listes daccs standard ou tendue, qui elles, sont fondamentalement statiques.Ladministrateurpeutgalementrglerlaccsdelutilisateurdistantlaidedunelistestatiquemaiscette listeprsentequelquescaractristiquesfcheuses.Dunepart,ellerestetablieenpermanenceetdautrepart,elle estsouventdimensionnetroplargement,parexempleparcequeladministrateurignoreladresseIPdelamachine utilisateuretsevoitdonccontraintdutiliserdesplagesdadresses. Cisco a introduit les fonctionnalits de listes dynamiques dans la version 11.1 de lIOS. lorigine, il sagissait de procder une double authentification des utilisateurs qui se connectaient via une liaison commute. Les listes daccsdynamiquestendentlesfonctionnalitsdeslistesdaccstendues:
G
Lutilisateurdoitfournirunnometunmotdepasseafindesauthentifier. Lauthentification peut tre centralise sur un serveur AAA (aspects approfondis dans le chapitre AdministrationetScuritdecetouvrage).
- 5-
Unefoisauthentifi,unouplusieurslmentstemporairesdunelistedaccssontactivs.
Quelquesbnficesesprer:
G
Leslmentsissusdunelistedynamiquenesontajoutsquaumomentdeleurutilisation,lalistersultante estpluscourteetparsuite,consommemoinsderessourcesCPU. Letrououvertdanslaplaquenerestepasouvertindfiniment,lerseaunestdoncpasindfiniment exposdventuelsagresseurssusceptiblesdemettreprofitlafaillequeconstitueletrou.
a.Configurerunelistedaccsdynamique
Unefoisencore,nousmettronsprofitlamiseensituationdcritepourcrerlesscnariosdelistestendues:
Objectif:
G
Autoriser le trafic issu des utilisateurs distants, brett et danny, et destin aux serveurs WEB du rseau interne.
tape1:crationdelabasedecomptes La liste daccs dynamique exige lauthentification des utilisateurs. Il faut donc crer une base de comptes. Lauthentification (qui nest pas un objectif du CCNA) est traite dans le chapitre Administration et scurit. Deux mthodessontpossibles: 1.Grerlesidentifiantslocalement.Cesidentifiantssontstocksdanslesfichiersdeconfigurationdurouteur. 2.Grerlesidentifiantsdefaoncentralisesurunouplusieursserveurs.LIOSsupportedeuxtechnologies,lune normalise par lIETF est RADIUS (Remote Authentication DialIn User Service), lautre propritaire est TACACS+ (TerminalAccessControllerAccessControlSystemPlus). Lobjectif prsent est de configurer une liste dynamique, on sen tiendra une base de comptes locale. La liste dynamique doit tre place sur le routeur de bordure R120m. Plaonsy notre modeste base de comptes, elle ne comportequedeuxutilisateurs: R120m(config)#username brett password tamajeste R120m(config)#username danny password fulton R120m(config)#^Z R120m# tape2:crerlarelationentrelvnementutilisateurauthentifietlajoutdunlmentdeliste
- 6-
Nousavonsbesoindesdeuxcommandesaccessenableetautocommand:
G
La commande accessenable a pour objet de crer un lment temporaire dans une liste daccs dynamique.Envoicilasyntaxe:
access-enable [host] [timeout minutes] ...dontlesargumentssont: host Optionnel,provoqueleremplacementdeanydansllmentdynamiqueparladresseIPdelutilisateurdistant:

G
Quandlalisteestplacesurlefluxsortantdelinterface,cestleanydedestinationquiestremplac. Quandlalisteestplacesurlefluxentrantdelinterface,cestleanysourcequiestremplac.
timeoutminutes Optionnel, spcifie un temps dinactivit audel duquel llment temporaire expire. Par dfaut, llment dynamique nexpire jamais (il est donc permanent). Cisco recommande dajuster ce temps lidentique avec le tempsdinactivitquiprovoquelaretombedulienWAN(danslecasdunlienWANcommut,cestdireunlien tablilademande,interrompuaudeldunecertainepriodesansactivit).
G
La commande autocommand, en mode configuration de ligne, provoque lexcutiondefaonautomatique dune commande EXEC lors de ltablissement dune connexion via une ligne du routeur (console, aux ou vty).Lacommande accessenabledoittreassocielacommande autocommandafindeprovoquerson excutionlorsdelouverturedunesessionTelnetouSSH.Lasyntaxeenestlasuivante:
autocommand [no-suppress-linenumber] command-text dontlesargumentssontlessuivants: nosuppresslinenumber Optionnel,provoquelaffichagedunumrodeligneutilis.Lemessagenumrodeligneutilispermetlutilisateur de dcouvrir quel numro de ligne il utilise dans la connexion quil a tablie sur le routeur. Cest la commande servicelinenumber en mode de configuration globale qui permet cet affichage. Mais la commande autocommand provoque le plus souvent llimination de ce message. Ladministrateur peut souhaiter le conserver, il lobtient laidedelargumentnosuppresslinenumber. commandtext NimportequellecommandeEXEC. Associonscesdeuxcommandespourrsoudrelecahierdeschargesprsent: R120m(config)#line vty 0 4 R120m(config-line)#login local R120m(config-line)#autocommand access-enable host timeout 5 R120m(config-line)#exit R120m(config)# tape3:crerlalistedaccsdynamique Nousavonsbesoindelacommandedynamicquinestjamaisquuneoptiondelacommandepermettantlacration dunelistetendue.Pourmmoire,lasyntaxeestlasuivante: Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit | deny} protocol {@IP_source [masq_gnrique] | any} {@IP_destin[masq_gnrique] | any} [precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps] [fragments] [log [cookie_utilisateur] | log-input [cookie_utilisateur]] Lesargumentsnonencoreexplicitsdecettecommandesont:
- 7-
[timeoutminutes] Optionnel,exprimenminutes,spcifieuntempsabsoludactivationdellmenttemporairedanslalistedaccs. Le temps par dfaut est infini, le maintien de llment par dfaut est donc permanent (mais quel serait lintrt danscecasdebtirunlmentdynamique?). Onpeutmaintenantcrerlalistedaccstendueetyplacerllmentdynamique: R120m(config)#ip access-list extended 125 R120m(config-ext-nacl)#? Ext Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject dynamic Specify a DYNAMIC list of PERMITs or DENYs evaluate Evaluate an access list exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment R120m(config-ext-nacl)#10 permit tcp any host 10.0.12.1 eq telnet R120m(config-ext-nacl)#20 dynamic ? WORD Name of a Dynamic list R120m(config-ext-nacl)#20 dynamic item_dynamiq timeout 120 permit tcp any host 10.0.8.4 eq www R120m(config-ext-nacl)#exit R120m(config)# Observez le premier lment de la liste ncessaire pour permettre la connexion Telnet et donc lauthentification. Observez galement le dlai absolu dexpiration de llment dynamique, tabli 120 minutes. Cest donc deux temporisateursquiassurentlexpirationdellmentdynamique:
G
Le temporisateur de la commande accessenable fait expirer llment audel du temps sans activit spcifi. Quoiquil arrive, le temporisateur de la commande dynamic fait expirer llment parvenu au temps dexistencespcifi.
tape4:appliquerlalistedaccsdynamique Ilresteappliquerlaliste125surlefluxentrantdelinterfacef0/0durouteurR120m: R120m(config)#int f0/0 R120m(config-if)#ip access-group 125 in R120m(config-if)#^Z R120m# tape5:test
- 8-
1. Depuis la machine VMSRV02 qui fait office de station distante, lutilisateur tente de se connecter sur le site 10.0.8.4. 2....sanssuccs. 3.Surlammemachine,lutilisateurutilisePUTTYafindtabliruneconnexionTelnetsurlerouteurR120m. 4.Phasedauthentification,lutilisateurmetprofitlenometlemotdepasseattribusparladministrateur. 5. De retour sur la fentre du navigateur, un clic sur le bouton Rafrachir et cette fois, la page daccueil du site apparat.
I
SurlerouteurR120mporteurdelalistedynamique,unecommandeshowaccesslistfaitapparatrelesdiffrents lmentsdelalisteainsiquelenombredecorrespondancespositivespourchaquelment. Dans le cas de llment dynamique, observez linformation time left qui prcise le temps restant avant expirationdellment:
R120m#show access-lists Extended IP access list 125 10 permit tcp any host 10.0.12.1 eq telnet (84 matches) 20 Dynamic item_dynamiq permit tcp any host 10.0.8.4 eq www permit tcp host 10.0.12.12 host 10.0.8.4 eq www (8 matches) (time left 281) R120m#show access-lists Quelquessecondesplustard: Extended IP access list 125 10 permit tcp any host 10.0.12.1 eq telnet (84 matches) 20 Dynamic item_dynamiq permit tcp any host 10.0.8.4 eq www permit tcp host 10.0.12.12 host 10.0.8.4 eq www (9 matches) (time left 82) R120m# Aprsunrafrachissementdelapagedaccueildusite10.0.8.4:
- 9-
R120m#show access-lists Extended IP access list 125 10 permit tcp any host 10.0.12.1 eq telnet (84 matches) 20 Dynamic item_dynamiq permit tcp any host 10.0.8.4 eq www permit tcp host 10.0.12.12 host 10.0.8.4 eq www (14 matches) (time left 286) R120m# Deretoursurlastationdistante,unenouvelletentativedeconnexionTelnetprovoquecemessage: User Access Verification Username: danny Password: % List#125-item_dynamiq already contains this IP address pair Voillutilisateurprvenu:cettenouvelleconnexiontaitinutile. Hlas,onsesouvientquelorsdelouverturedesessionTelnet,lemotdepasseestvhiculenclairsurlerseau (relire si ncessaire le chapitre correspondant de louvrage Cisco Notions de base sur les rseaux dans la collection Certifications aux Editions ENI). En conditions relles, ladministrateur gagnerait substituer une connexion SSH la connexion Telnet propose dans ce scnario. La mise en uvre dune telle connexion est explicitedanslechapitreAdministrationetscurit.
3.Listesdaccsrflexives
Nous avions soulign dans louvrage Cisco Notions de base sur les rseaux dans la collection Certifications aux EditionsENIlimportanceduprotocoleTCP,rappeleparlenomTCP/IPquidsignelapiledeprotocolesdelInternet. LaplusgrossepartiedutraficdelInternet,Web,fichiers,courrierlectronique,transitepardescircuitsTCP,seules lesapplicationstempsrelluichappent.AppuyonsnotrepropossurunchangeTCP:
- 10 -
Lchange est de type clientserveur:leprocessusclientgnredesrequtes,leprocessusserveurrpondces requtes.Leprocessusclientestdonclinitiativedelchange. 1)Leprocessusclientrserveunnumrodeportauprsdusystmedexploitationquiluiassigneunportaudelde 1023. Le processus serveur se manifeste galement auprs du systme dexploitation pour provoquer louverture dunportmaisilimposelenumrodeport.Eneffet,pourtrejoignable,leportdunserveurdoittreconnu(ports de102449151)oubienconnu(ports01023). 2)Lapplicationclientmetunecommandedouvertureactive.TCPcreuneinstance,metunsegmentSYN,cest direunsegmentdanslequelledrapeauSYNestpositionn(mis1). 3)Depuislouverturepassive,linstanceTCPdelapplicationserveurtaitdansltatLISTEN.Cetteinstancereoitle segment SYN du client et rpond par un segment dans lequel les drapeaux SYN et ACK sont positionns. Il faut comprendrecemessagecommetantlasuperpositiondedeuxmessages:Jacceptedouvriruneliaisondetoivers moidrapeauACKetjesouhaitemoiaussitabliruneliaisonverstoidrapeauSYN. Louverture dun port par le client est phmre puisque la rservation ne dure que le temps de lchange client serveur.Louvertureduportserveurestplusprennepuisquelledureautantquelapplicationserveur,cestdire tant que le service correspondant est offert, tant entendu que le serveur rpond toutes les requtes de ses clients. Tout comme UDP, TCP permet le multiplexage cestdire permet une mme machine dentretenir plusieurs communicationssimultanes.Lecouple[@IPNumrodeportTCP]estappelsocket,uneconnexionncessite lamiseenplacededeuxsockets. Lassociation complte, compose des adresses IP source et destination, des numros de ports source et destination,duprotocoleutilis,identifiesansambigutquellecommunicationparticipeunsegmentTCP.
Exempledassociations:
[TCP,192.168.1.141400,196.21.132.121] [TCP,10.0.8.41052,10.0.12.1280].
Le raisonnement qui suit vaut quel que soit le protocole encapsul dans IP. Quatil manqu aux listes tendues misesenplacedepuisledbutdecechapitrepoursemontrertotalementefficaces,cestdireraliserunfiltrage quisadaptetrsexactementlassociationdcritecidessus? La rponse est : il manque une capacit adaptative. Imaginons le cas classique dutilisateurs internes qui doivent accder des services externes. Cest seulement quand le client interne initie la communication que londcouvre quels sont les sockets utiliss, cestdire quel est le couple source [@IP Numro de port] et quel est le couple destinationconvoit[@IPNumrodeport]. Unfiltretotalementefficacedoit:
G
scruterlepaquetinitiateurissudelinterne(trame1delacapturecidessus) dduireleprotocoleencapsuldansIP(TCPdanslexemplecidessus) dduirelessocketssourceetdestination(10.0.8.41052,10.0.12.1280danslexemple) mettre en place un lment de liste daccs temporaire de type permit qui sadapte trs prcisment lassociation [TCP, 10.0.8.4 1052, 10.0.12.1280]observeenautorisantlespaquetsduserveurversle client,issusdelexternedonc(trames2,5,6...delacapturecidessus)
G
leprotocoleautorisparllmentestceluiobservdanslepaquetinitiateur(TCPouUDPouautre, TCPdanslecasprsent) lesadressessourceetdestinationdellmentetcellesdupaquetinitiateursontinverses.
danslecasleplusprobableduntraficTCPoudanslecasduntraficUDP:
G
lesportssourceetdestinationdellmentetceuxdupaquetinitiateursontgalementinverss.
danslecasduntraficICMP:
G
siletypeobservdanslepaquetinitiateurest8(Echo),llmentautoriseletype0(Echo Reply).
Crerdefaonautomatiqueuntellmenttemporairedansunelistetendueenfaitunelistedaccsditerflexive. On aurait galement pu lappeler dynamique car llment permit temporaire est mis en place la demande et sadapteaufluxentrantissudelexterne.Maiscettedsignationestdjaffecte.Commepourunelistedynamique, lalistedaccsrflexiveestconceptuellementplacerauniveaudelacoucheSessiondumodleOSIRM. Ces notions devraient rapidement sclaircir avec un exemple concret. Sans plus tarder, mettons en place notre premirelistedaccsrflexive...
a.AutoriserletraficWWW
Objectif:
G
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursWEBdurseauexterne.
Prparationducontexte: Cescnarioayantdjtutilispourmontrerlusagedeslistesdaccstenduesetdates,ladministrateurat toutelistedaccsencoreprsentesurR120,sansomettrelescommandes ipaccessgroupdapplicationdeslistes auxinterfaces. Choixstratgiques:ladministrateurdcidedemettreenplaceunelistedaccsrflexivesurlerouteurdebordure R120m.LalistequiscruteletraficinitiductinterneseraplacesurlinterfaceinternedeR120m,fluxentrant.La listerflexivequicomportellmenttemporairedestinpermettreletraficmiroirseraplacsurlinterfaceexterne
- 12 -
deR120m,fluxentrant. tape1 En configuration globale, la commande ip reflexiveliste timeout permet de spcifier un temps dinactivit de la session (pas de paquets observs dans cette session) audel duquel llment temporaire issue de la liste rflexiveexpire.Cetempsesttablipardfaut300secondes,cequiestsansdouteunpeulong.Ladministrateur prudentaprfrramenercetemps60secondes: R120m(config)#ip reflexive-list ? timeout Timeout value for reflexive ACL entries R120m(config)#ip reflexive-list timeout ? <1-2147483> timeout in seconds R120m(config)#ip reflexive-list timeout 60 R120m(config)# Ladministrateur peut ensuite appliquer un temps spcifique chaque lment rflexif mis en place (patientez). Quandilnelefaitpas,cestletemporisateurglobalquisapplique.Quelquesvaleursconseilles:3060secondes pouruntrafichttp,10secondespouruntraficicmpoudns. tape2:crerlalisteinterne La commande permit (reflexive), en mode de configuration de liste daccs, est utilise pour scruter un trafic IP. Cettecommandeassocielacommande evaluateprovoquelacrationdunlmenttemporairedelistedaccs quiautoriserauniquementletraficenrponseautraficscrut. Lasyntaxedelacommandeestlasuivante: permit protocol source source-wildcard destination destination-wildcard reflect name [timeout seconds] ...dontlesargumentsnouveauxsont: reflect Identifieunlmentdelistedetyperflexif. name Nomattribulalistedaccsrflexive.Cenomnepeutpascontenirdespaceoudeguillemetsetdoitdbuterpar un caractre alphabtique afin de prvenir lambigut avec les listes daccs numrotes. La longueur ne peut excder64caractres. Ladministrateur avis devrait mettre en place un lment permit (reflexive) par type de trafic, le nom devrait rappelerletraficfiltr.Cecirevientcrerunelistedaccsrflexivepartypedetrafic.Lesphasesdemiseaupoint etdemaintenancesentrouverontfacilites. timeoutseconds Optionnel, permet de spcifier un temps dinactivit de la session spcifique cet lment (pas de paquets observs dans cette session) audel duquel llment temporaire issu de la liste rflexive expire. La valeur est exprimeensecondessur32bitsetdoitdoncappartenirlaplage[0,2 32 1]. Quandcetempsdinactivitnestpasspcifi,cestletempsglobaldinactivitdesessionquisapplique(voirtape 1). Attention:lordrechoisipourleslmentsquicomposentlalisteestencoreplusimportantquedanslecasdune liste tendue sans commande permit (reflexive). Imaginez un paquet qui pourrait correspondre un lment permit(reflexive).Ilsetrouvequun autre lment permitou denyplacplushautdanslalistelaissepasserou purgelepaquet.Llmentpermit(reflexive)nestdoncpasluetparsuite,llmenttemporairequiauraitpermisle traficmiroirnestpascr! Quelques caractristiques de llment temporaire cr par laction conjugue des deux commandes permit (reflexive)etevaluate:
G
Llment temporaire est cr linstant o un paquet fait lobjet dune correspondance positive avec un
- 13 -
lmentpermit(reflexive).
G
Llmentestdetypepermit. Llment autorise le mme protocole encapsul dans IP que celui observ dans le paquet initiateur du trafic. LadresseIPsourceautoriseestladressededestinationdupaquetinitiateur. LadresseIPdestinationautoriseestladressesourcedupaquetinitiateur. Si le paquet initiateur encapsule TCP ou UDP, le port source autoris est le port destination du paquet initiateur. Si le paquet initiateur encapsule TCP ou UDP, le port destination autoris est le port source du paquet initiateur. Si le paquet initiateur encapsule ICMP, le type ICMP autoris est le mme type contenu dans le paquet initiateur une exception cependant : si le paquet initiateur porte le type 8 (Echo), le type autoris par llmenttemporaireest0(EchoReply). Un paquet IP qui correspond tous les critres prsents dans llment temporaire est transmis au processus de routage. Un paquet IP qui ne correspond pas est valu par llment suivant de la liste daccs. Llment temporaire expire quand plus aucun paquet de la session nest observable depuis un temps configurable par ladministrateur. Chaque nouveau paquet de la session rinitialise le temporisateur dinactivit.
Appliquonslacommandeaucahierdeschargesprsent: Attention, la liste daccs interne comprendra sans doute plusieurs lments qui peuvent tre au choix des lments de liste tendue ou des lments permit (reflexive). Par consquent, inutile de lui donner un nom qui laisserait penser quelle est exclusivement ddie la cration dlments rflexifs (ce qui est clair aujourdhui paratratrsobscurdanssixmois!): R120m(config)#ip access-list extended internal_ACL R120m(config-ext-nacl)#10 permit tcp any any eq 80 reflect WEB_ONLY_RACL R120m(config-ext-nacl)#20 permit ip10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 R120m(config-ext-nacl)#30 deny ip any any R120m(config-ext-nacl)#exit Observezllment20quimriteuneexplication(ayezlatopologiesouslesyeux):quandunemachinedurseau interneLAN10initieuntraficversunemachinedurseauDMZLAN8,larponsedelundesserveursdecerseau doit transiter par lune des passerelles 10.0.8.253 ou 10.0.8.254 selon la configuration IP tablie par ladministrateursurcesserveurs.
G
Silapasserellechoisieest10.0.8.254,lerouteurR120mnestconcernniparlarequte,niparlarponse. Silapasserellechoisieest10.0.8.253,lerouteurR120mreoitlarponseetlafaitprogresserversR100m puis envoie un message ICMP redirect vers la source afin que la suite du trafic transite directement par R100m.EncorefautilquecepremierpaquetderponseparvienneauprocessusderoutagedeR120met nesoitpasfiltrparlalisteinternal_ACLquenousnousapprtonsmettreenplacesurlinterfaceinterne fluxentrantdeR120m.
Toujoursdanslacapturecidessus, observez cidessusllment10dontlobjetestdescruterletraficwebiniti parquiconquesurlefluxentrantdelinterfaceinternedurouteurdebordure. tape3:crerlalisteexterneetyrfrencerllmentrflexif Lacommandeutiliseestevaluateenmodedeconfigurationdelistedaccs.Sonobjetestdenicheruneliste daccsrflexiveauseindunelistedaccsIPtendue.Sasyntaxeestdesplussimples: evaluate name
- 14 -
Luniqueargumentest: name Nomattribulalisterflexivedanslacommandepermit(reflexive). Appliqueaucasprsent: R120m(config)#ip access-list extended external_ACL R120m(config-ext-nacl)#evaluate WEB_ONLY_RACL R120m(config-ext-nacl)#exit tape4:appliquerleslistesleursinterfacesrespectives Lalisteinterneestappliquesurlefluxentrantdelinterfaceinternedurouteurdebordure: R120m(config)#int f0/1 R120m(config-if)#ip access-group internal_ACL in Lalisteexterneestappliquesurlefluxentrantdelinterfaceexternedurouteurdebordure: R120m(config-if)#int f0/0 R120m(config-if)#no ip access-group 125 in R120m(config-if)#ip access-group external_ACL in R120m(config-if)#exit R120m(config)#^Z R120m# tape5:test Vrifier la bonne excution du cahier des charges peut soprer depuis un navigateur ouvert sur la station VMWKS01.Enbarredadresse,ladministrateurentre10.0.12.12etnormalement,lapagesouvre:
Unedernirecommandeafindevrifierquellmenttemporaireabientcr: R120m#sh access-lists Reflexive IP access list WEB_ONLY_RACL permit tcp host 10.0.12.12 eq www host 10.0.8.4 eq 1052 (10 matches) (time left 53) Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any any eq www reflect WEB_ONLY_RACL (8 matches) Observez la prsence de la liste WEB_ONLY_RACL. Cette liste, de type rflexive, na pas t cre par ladministrateurmaisparlIOS.Aumomentdelobservation,ellecomporteunlmenttemporaire,quisilinactivit delasessionperdurait,disparatraitdans53secondes. Ladministrateuratoutlieudtresatisfait,letroucrdanslaplaquenepeutpastrepluspetitcarilprciseune adresse IP source, un port source, une adresse IP destination et un port destination. De plus, llment est temporaire.
- 15 -
Unpeuplustard: R120m#sh access-lists Reflexive IP access list WEB_ONLY_RACL permit tcp host 10.0.12.12 eq www host 10.0.8.4 eq 1052 (10 matches) (time left 33) Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL Extended IP access list internal_ACL_WEB 10 permit tcp any any eq www reflect WEB_ONLY_RACL (8 matches) R120m#
b.AutoriserletraficDNS
Objectifrevisit:
G
laidedunelistedaccsrflexive,autoriserletraficissudesutilisateursdurseauinterneetdestinaux serveursDNSdurseauexterne.
Prparationducontexte: Pour mmoire, un serveur DNS a t install sur la machine VMSRV02. Ce serveur hberge le domaine ccie.fr. Ladministrateuryacrunaliaswwwpointantsurlamachine10.0.12.12. Dansunpremiertemps,ladministrateursesouvientquelesrequtesDNSsonttransportesparleprotocoleUDP etquunserveurDNSactifsetraduitparleportUDP53ouvert,cequilvrifielaidedunecommandenetstatan surleserveur. tape1:complterlalisteinterne R120m(config)#ip access-list extended internal_ACL R120m(config-ext-nacl)#15 permit udp any any eq 53 reflect DNS_ONLY_RACL timeout 10 R120m(config-ext-nacl)#exit R120m(config)#ip access-list resequence internal_ACL 10 10 R120m(config)#do sh access-list Reflexive IP access list DNS_ONLY_RACL Reflexive IP access list WEB_ONLY_RACL Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any any eq www reflect WEB_ONLY_RACL 20 permit udp any any eq domain reflect DNS_ONLY_RACL 30 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (3 matches) 40 deny ip any any (400 matches) R120m(config)# Observezquellment permit(reflexive)estcettefoisassociuntemporisateurdinactivitdesessionrgl 10secondes.Cetempssesubstitueautempsglobaldinactivitdesessionquilui,avaittrgl60secondes. tape2:complterlalisteexterne R120m(config)#ip access-list extended external_ACL R120m(config-ext-nacl)#20 evaluate DNS_ONLY_RACL R120m(config-ext-nacl)#^Z R120m# tape3:observerlalisterflexive SurlastationVMWKS01,ladministrateurprovoqueunerequteDNSdestineauserveurDNSexterne10.0.12.12: C:\>nslookup Serveur par dfaut : Address: 10.0.8.1 >server 10.0.12.12
vmsrv01.ccna.fr
- 16 -
DNS request timed out. timeout was 2 seconds. Serveur par dfaut : [10.0.12.12] Address: 10.0.12.12 > set q=a > www.ccie.fr Serveur : [10.0.12.12] Address: 10.0.12.12 Nom : vmsrv02.ccie.fr Address: 10.0.12.12 Aliases: www.ccie.fr Puis, ladministrateur a 10 secondes pour afficher les listes daccs et donc apercevoir llment temporaire qui a autorislefluxentrantissuduserveurDNSexterne: R120m#show ip access-lists Reflexive IP access list DNS_ONLY_RACL permit udp host 10.0.12.12 eq domain host 10.0.10.254 eq 1125 (2 matches) (time left 4) Reflexive IP access list WEB_ONLY_RACL Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL 20 evaluate DNS_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any any eq www reflect WEB_ONLY_RACL 20 permit udp any any eq domain reflect DNS_ONLY_RACL (12 matches) 30 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (6 matches) 40 deny ip any any (531 matches) R120m# Observez la cration dune nouvelle liste daccs rflexive DNS_ONLY_RACL. Au moment de lobservation, elle comporteunlmenttemporairequiautoriseletraficDNSentrantmiroirdutraficinitiparlutilisateurinterne.Sans nouvelleactivitdanscettesession,llmenttemporairedisparatradans4secondes. Observez galement la liste WEB_ONLY_RACL. Cette liste na pas disparu. Simplement, depuis au moins 60 secondes,ilnyapaseudetentativedaccsversunserveurWEBexterne.Lalisteestdoncvide. Ainsi,aumomentdelobservation,leseultraficissudelexterneetautorisentrersurlerseaudelentreprise doitcorrespondrellmenttemporaire: permit udp host 10.0.12.12 eq domain host 10.0.10.254 eq 1125 Etdans4secondes,cetlmentdisparatra.Lerouteurdebordureseraalorstotalementhermtiquetouttrafic issudelexterne.Avouezquelatchedupiratedevienttrscomplique(moinsquelevernesoitdanslefruit).
c.AtelierListedaccsrflexive
Prrequis : mettre en place le service serveur Telnet sur la machine VMSRV02. Sil sagit dun serveur Windows 2000commeprconispournosmisesensituation,ilsuffitdactiverleservice:
I
EffectuezunclicdroitsurPostedeTravailGrer. DvelopperllmentServicesetapplicationsServices. EffectuezunclicdroitsurleserviceTelnetpuisDmarrer.
I
SurR120m,compltezleslistesdaccsinternal_ACLetexternal_ACLafindemettreenplaceunenouvelleliste daccs rflexive dont lobjet est de permettre ltablissement dune session Telnet vers un serveur externe quandelleestinitieparunutilisateurinterne.
- 17 -
Synthse
1.Lescaractristiquesretenir
Lesnotionssuivantesmritentdtreancrestrssrieusement:
G
Une ACL ou liste de contrle daccs est compose de un ou davantage dlments, chaque lment comporteuneactionDENYouPERMIT. Deslmentsquiportentlemmenumroappartiennentlammeliste. Pardfaut,uneinterfacederouteurautorisetouttraficdanslesdeuxdirections.Mettreenplaceunelistede contrle daccs sur une interface revient bloquer tout trafic dans une direction spcifie (entrant ou sortant)lexceptiondutraficfaisantlobjetduneautorisationexplicitedanslaliste. Pourunelistedonne,quandlaconditiondunlmentestavre,lIOSentreprendlactioncorrespondante, autorisationourejet,etcesselalecturedelaliste. Quandaucundeslmentsnadonndeconditionavre,cestledernierlmentinvisiblederejetimplicite quisapplique.CestpourquoiuneACLdoitaumoinscomporterunlmentdontlactionestPERMIT.Dansle cascontraire,ellebloquelintgralitdutrafic. UneACLvideestuneACLappliqueuneinterfacemaispourlaquelleilnexisteaucunlment.Unetelle listeautorisetoutletrafic.Lerejetimpliciteenfindelistenesapplique que silestprcddau moins un lment. Lammelistedaccspeuttreappliqueplusieursinterfaces.Enrevanche,uneinterfacenepeutrecevoir quune liste par protocole et par sens de flux. Impossible par exemple dappliquer deux listes IP sur le flux entrant dune interface. Mais lIOS accepte pour une mme interface quune liste IP sur le flux entrant cohabiteavecuneautresurlefluxsortant. Une liste daccs standard se place sur le trafic sortant de linterface de routeur la plus proche de la destination. linverse,unelistedaccs tendue devrait se placer sur le trafic entrant de linterface de routeur la plus prochedelasource. Leslmentsdunelistedaccsdevraienttrerangsparordredeprobabilit,leplusprobable(celuidont loccurrenceestlaplusfrquente)enttedeliste. Unelistedaccsdatepermetdajusterletraficselondescritresdetemps.Lespossibilitsoffertesnese limitentpasdesquestionsdescurit.Onpeutvouloirparexempleprivilgieruntraficsensiblecertaines heuresdelajourneaudtrimentdetraficsjugssecondaires. Une liste daccs dynamique rgle le cas des utilisateurs distants, externes au rseau de lentreprise, auxquels ladministrateur doit offrir des accs au rseau interne sans pour autant ouvrir des brches immensesdansleslistesdaccsplacessurlerouteurdebordure. Unelistedaccsrflexiveoffrelemoyendautoriserletraficquandilestinitidepuislerseaudelentreprise toutenbloquantlestentativesdouverturesdesessioninitiesdepuislextrieurdelentreprise.
2.Lescommandesretenir
a.ListesdaccsIPstandard,configuration
Commande Mode Description
- 1-
accesslistACL_#{ permit|deny} { @IP_source[masq_gnrique]| any}[log[cookie_utilisateur]] ipaccessgroup{ accesslistname| ACL_#}{ in|out} accessclass{ accesslistname| ACL_#}{ in|out}
Configurationglobale
CreunlmentdelalistenACL_#.
Configurationdinterface
AppliquelalistenACL_#auflux entrantousortantdelinterface. Restreintlesconnexionsentrantes ousortantesentreuneligneetles adressesIPdelalistedaccs. Creunelistedaccsstandard nommeousquence.
Configurationdeligne
ipaccessliststandard{ accesslist name|ACL_#}
Placelinterfacedanslemode deconfigurationdeliste standard Modedeconfigurationdeliste standard
[sequencenumber]{permit|deny} @IP_source[masq_gnrique]
Creunlmentdelistestandard nommeousquence.
b.ListesdaccsIPtendues,configuration
Commande Mode Description Creunlmentdelaliste tenduenACL_#.
accesslistACL_#[dynamicdynamic_name Configurationglobale [timeoutminutes]]{permit|deny} protocol{@IP_source[masq_gnrique]| any}{@IP_destin[masq_gnrique]|any} [precedenceprecedence][tostos][dscp dscp][timerangeplage_de_temps] [fragments][log[cookie_utilisateur]|log input[cookie_utilisateur]] ipaccessgroup{ accesslistname| ACL_#}{ in|out} Configurationdinterface
AppliquelalistenACL_#au fluxentrantousortantde linterface. Restreintlesconnexions entrantesousortantesentre uneligneetlesadressesIPde lalistedaccs. Creunelistedaccstendue nommeousquence.
accessclass{ accesslistname|ACL_#} { in|out}
Configurationdeligne
ipaccesslistextended{ accesslistname| Placelinterfacedanslemode ACL_#} deconfigurationdeliste tendue [sequencenumber]{permit|deny}protocol Modedeconfigurationdeliste {@IP_source[masq_gnrique]|any} tendue {@IP_destin[masq_gnrique]|any} [optionoptionname][precedence precedence][tostos][ttloperatorvalue] [timerangetimerangename] [fragments][log[word]] permitprotocol{@IP_destin [masq_gnrique]|any}{@IP_destin [masq_gnrique]|any}reflectname [timeoutseconds] evaluatename Modedeconfigurationdeliste tendue
Creunlmentdeliste tenduenommeou squence.
ScruteuntraficIP.Doittre associlacommande evaluate.
Modedeconfigurationdeliste tendue
Nicheunelistedaccsrflexive auseindunelistetendue.
c.Commandestransverses
- 2-
Commande remarktext_string
Mode Modedeconfigurationdeliste
Description Ajouteuncommentaireune listesousformedunpseudo lment. Squenceleslmentsaupas spcifi.
ipaccesslistresequence{ accesslist name|ACL_#}startingsequencenumber increment timerangenom_de_la_plage_de_temps
Configurationglobale
Placelinterfacedanslemode deconfigurationdeplagede temps
Creuneplagedetemps.
periodicdaysoftheweekhh:mmto[days Modedeconfigurationdeplage Dfinituneplagedetemps oftheweek]hh:mm detemps rcurrent. absolute[starttimedate][endtimedate] Modedeconfigurationdeplage Dfinituneplagedetemps detemps uniqueborne.
autocommand[nosuppresslinenumber] Modedeconfigurationdeligne Excutionautomatiquedela commandtext commandespcifie ltablissementdela connexion. ipaccountingaccessviolations Modedeconfiguration dinterface Mmorise.
d.Listesdaccs,commandesexec
Commande accessenable[host][timeoutminutes Description Creunlmenttemporairedansunelistedaccs dynamique. Afficheentreautres,lecaschant,laouleslistes appliqueslinterface. Dtailssurleslistesconfigurespourtousles protocoles. DtailssurleslistesconfigurespourIP. RAZdescompteursdoccurrencedelistesdaccs. Vrifiequelaconsommationderessourcesmachines resteacceptable. Vrifieltatactueldesplagesdetempsdfiniessur cerouteur. Informationsausujetdespaquetsrefussparles listesdaccsaccessibles(silacommandeip accountingaccessviolationsatentreen configurationdinterface). RAZinformationsausujetdespaquetsrefusspar leslistesdaccsaccessibles(silacommandeip accountingaccessviolationsatentreen configurationdinterface).
showipinterface{ type}{ numro}
showaccesslist{ accesslistname|ACL_#}
showipaccesslist{ accesslistname|ACL_#} clearipaccesslistcounters showprocesses
showtimerange
showipaccountingaccessviolations
clearipaccounting
- 3-
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 LinterfaceF0/0estdjdotedunelistedaccsIPappliquesurlefluxentrant.Quelestlecomportementde linterfaceILCquandladministrateurtentedappliquerunesecondelistesurlammeinterfaceetlemmeflux? 2 Dcrivezlarglequirgitlapplicationdeslistesdaccsauxinterfaces. 3 Rappelezlesdeuxprincipesquirgissentlepositionnementdunelistestandardainsiqueceluiduneliste tendue. 4 ProposezlacommandepermettantlacrationdunlmentdelistedaccsIPstandarddontlobjetest dautorisertouttraficissudurseau192.168.1.0/24. 5 ProposezlacommandepermettantlacrationdunlmentdelistedaccsIPtenduedontlobjetest dautorisertouttraficICMPissudurseau172.26.0.0/16etdestinaurseau172.27.0.0/17. 6 ProposezlacommandepermettantlapplicationdunelistedaccsnommeRUNABsurlefluxsortantdune interface. 7 Quelmasquegnriqueprovoquelarecherchedecorrespondancesurchaquepositiondebitdeladresse? 8 UnespacedadressesIPcontigusestdfinilaidedumasquederseau255.255.248.0.Quelmasque gnriquefautilassocierladresserseaupourenglobercetespacedadressesdansunecommandedeliste daccs? 9 Observezlacapturecidessous.Commentladministrateurpourraitilajoutercettelisteuncommentaireafin derappelersonobjet? R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established (11 matches) 20 permit tcp any host 10.0.8.3 eq smtp 30 deny ip any any (151 matches) R120k# 10 Citezaumoinsdeuxavantagesoffertsparlutilisationdelistesnommes. 11 Observezlacapturecidessous.Commentlalistedaccsn30traitetelleunpaquetdontladressesourceest 10.0.12.112? R8j#conf t R8j(config)#access-list 30 permit 10.0.12.96 0.0.0.15 R8j(config)#int f0/0 R8j(config-if)#ip access-group 30 out R8j(config-if)#^Z R8j# 12 Observezlacapturecidessous.Unutilisateurseplaintdenepasparvenircherchersoncourriersurle serveur10.0.8.3.Quefaitesvousetqueluiditesvous? R100k(config)#time-range no-web R100k(config-time-range)#periodic weekdays 12:00 to 13:00 R100k(config-time-range)#exit R100k(config)#time-range no-mail R100k(config-time-range)#periodic weekend0:00 to 23:59 R100k(config-time-range)#exit R100k(config)#ip access-list extended strychn R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 any eq 80 time-range no-web R100k(config-ext-nacl)#permit udp 10.0.10.0 0.0.0.255 any eq 53 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 110 timerange no-mail R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp-data established R100k(config-ext-nacl)#deny ip any any R100k(config-ext-nacl)#exit
R100k(config)#
2.Rsultats
3.Rponses
1 Linterface F0/0 est dj dote dune liste daccs IP applique sur le flux entrant. Quel est le comportement de linterfaceILCquandladministrateurtentedappliquerunesecondelistesurlammeinterfaceetlemmeflux? La seconde liste est applique linterface sans autre forme de procs. Elle remplace donc la premire liste (relire si ncessairelasectionApplicationdunelistedecontrleuneinterface). 2 Dcrivezlarglequirgitlapplicationdeslistesdaccsauxinterfaces. Ladministrateurpeutappliquerunelistedaccs parinterface, parprotocoleet parsensdeflux.CISCOnommecettergle largledes3P(reliresincessairelasectionApplicationdunelistedecontrleuneinterface). 3 Rappelezlesdeuxprincipesquirgissentlepositionnementdunelistestandardainsiqueceluidunelistetendue.
G
Unelistedaccsstandardseplacesurletraficsortantdelinterfacederouteurlaplusprochedeladestination. Unelistedaccstenduedevraitseplacersurlefluxentrantdelinterfacelaplusprochedelasourcedutrafic contrler.
(Relire si ncessaire les sections Positionnement de la liste daccs standard et Application dune liste tendue une interface.) 4 ProposezlacommandepermettantlacrationdunlmentdelistedaccsIPstandarddontlobjet est dautoriser touttraficissudurseau192.168.1.0/24. access-list 1 permit 192.168.1.0 0.0.0.255 Tout numro de liste convient dans les plages 1 99 ou 1300 1999 (relire si ncessaire la section Liste daccs IP standard,configuration). 5 Proposez la commande permettant la cration dun lment de liste daccs IP tendue dont lobjet est dautoriser touttraficICMPissudurseau172.26.0.0/16etdestinaurseau172.27.0.0/17. access-list 100 permit icmp 172.26.0.0 0.0.255.255 172.27.0.0 0.0.127.255 Tout numro de liste convient dans les plages 100 199 ou 2000 2699 (relire si ncessaire la section Liste daccsIP tendue,configuration). 6 ProposezlacommandepermettantlapplicationdunelistedaccsnommeRUNABsurlefluxsortantduneinterface. ip access-group runab out (ReliresincessairelasectionApplicationdunelistenommeuneinterface.) 7 Quelmasquegnriqueprovoquelarecherchedecorrespondancesurchaquepositiondebitdeladresse? 0.0.0.0.(reliresincessairelasectionManipulationdesmasquesgnriques). 8 UnespacedadressesIPcontigusestdfinilaidedumasquederseau255.255.248.0.Quelmasquegnrique
- 2-
fautilassocierladresserseaupourenglobercetespacedadressesdansunecommandedelistedaccs? 0.0.7.255.(reliresincessairelasectionManipulationdesmasquesgnriques). 9 Observez la capture cidessous. Comment ladministrateur pourraitil ajouter cette liste un commentaire afin de rappelersonobjet? R120k#sh ip access-list Extended IP access list 125 10 permit tcp any eq smtp host 10.0.8.3 established (11 matches) 20 permit tcp any host 10.0.8.3 eq smtp 30 deny ip any any (151 matches) R120k# Ilyadeuxfaonsdefairemaisuneseuledesdeuxconvientlnonc:
G
Remplacerlalistenumroteparunelistenomme,lenomattribulalisterappelantsonobjet,maiscelaoblige supprimerlalisten125puisrecrerlalistenomme Ajouteruncommentairelaidedupseudolmentremark,seulerponseconvenablepuisquelnoncstipulait Ajoutercetteliste.
(Reliresincessairelasectionditiondeslistesdaccs.) 10 Citezaumoinsdeuxavantagesoffertsparlutilisationdelistesnommes. Unelistedaccsnommeautoriseuneidentificationaisedelalisteenluidonnantunnomvocateur. Contrairementlalistenumrote,lalistenommeautoriselasuppressiondunlmentsansremettreenquestionlaliste danssonentier. Pourmmoire,leslistesnommessontncessaireslamiseenuvredeslistesdaccsrflexivesmaiscest plus une caractristiquequunavantage. (ReliresincessairelasectionManipulationdesmasquesgnriques.) 11 Observez la capture cidessous. Comment la liste daccs n30 traitetelle un paquet dont ladresse source est 10.0.12.112? R8j#conf t R8j(config)#access-list 30 permit 10.0.12.96 0.0.0.15 R8j(config)#int f0/0 R8j(config-if)#ip access-group 30 out R8j(config-if)#^Z R8j# Lespace 10.0.12.96 0.0.0.15 comporte toutes les adresses comprises entre 10.0.12.96 et 10.0.12.111. Le paquet dadressesource10.0.12.112nestpastraitparllmentpermitdelalisten30.Cestlerejetimplicitequiprovoquesa miseaurebus(reliresincessairelasectionManipulationdesmasquesgnriques). 12 Observez la capture cidessous. Un utilisateur se plaint de ne pas parvenir chercher son courrier sur le serveur 10.0.8.3.Quefaitesvousetqueluiditesvous? R100k(config)#time-range no-web R100k(config-time-range)#periodic weekdays 12:00 to 13:00 R100k(config-time-range)#exit R100k(config)#time-range no-mail R100k(config-time-range)#periodic weekend0:00 to 23:59 R100k(config-time-range)#exit R100k(config)#ip access-list extended strychn R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 any eq 80 time-range no-web R100k(config-ext-nacl)#permit udp 10.0.10.0 0.0.0.255 any eq 53 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 110 timerange no-mail R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25 R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp-data
- 3-
established R100k(config-ext-nacl)#deny ip any any R100k(config-ext-nacl)#exit R100k(config)# Vrifiez lheure systme du routeur R100k. Si le routeur est lheure, dites votre utilisateur que jusqu prsent, les heuresdetravailnecomprenaientpasleweekend(reliresincessairelasectionManipulationdesmasquesgnriques).
- 4-
Prrequisetobjectifs
1.Prrequis
MatriserlusageordinaireduPCdansunenvironnementWindows.
2.Objectifs
lafindecechapitre,vousserezenmesurede: Mettreenplaceuneauthentificationlocalesurunrouteur,fondesurlutilisationdecouples{nomdutilisateur/mot depasse}. MettreenplaceuneauthentificationcentraliselaidedunserveurRADIUS. MettreenplaceunserveurSYSLOG. tabliruneconnexionscuriseviaSSH. ObjectifsextraitsducoursAccsaurseautendu(Atteintepartielle) Dcrirelesmenacesdescuritcourantespourlerseauetexpliquercommentmettreenplaceunestratgiede scuritcompltepermettantdefairefaceauxmenaceslespluscourantessurlespriphriques,leshtesetles applicationsdurseau. Dcrirelesfonctionsdesappareilsetdesapplicationsdescuritlespluscourants. Dcrirelespratiquesdescuritrecommandespourlascurisationdespriphriquesrseau.
- 1-
Identificationdesutilisateurs
LelecteurdsireuxdesentenirstrictementauxattendusdelacertificationCCNApeutignorercechapitre.
1.Lesniveauxdeprivilge
Lanotiondemodesdurouteurexposeprcdemmentdanscetouvrageestenralitassocieraveccettenouvelle notiondeniveauxdeprivilge.LIOSsupporteseizeniveauxdeprivilge,numrotsde015.chaquecommande de lIOS est associ un niveau de privilge. Par dfaut, lIOS rpartit lensemble de ses commandes sur les trois niveaux[0,1,15]:
G
Leniveau0necomportequecinqcommandes:disable,enable,exit,helpetlogout. Le niveau 1 correspond ce que nous avons appel mode utilisateur et comporte un large ensemble de commandesquiontencommundenepouvoiraffecterquelaconfigurationdurouteur. Leniveau15correspondcequenousavonsappelmodeprivilgiouenableetdonneaccslensemble descommandesdelIOS.
La commande show privilege que lon peut abrger par sh priv confirme le niveau de privilge de la session en cours:
Ainsi,laconnexionvialesportsconsole,auxiliaireouvty,aprsventuelleentredunmotdepasse,placelasession au niveau de privilge 1 par dfaut. Les commandes enable et disable peuvent tre associes un argument spcifiantleniveaudeprivilgecible,suprieurauniveauencoursdanslecasdelacommandeenable,infrieurau niveauencoursdanslecasdelacommandedisable:
Dans les versions actuelles de lIOS, seuls les trois niveaux 0, 1 et 15 sont utiliss. Il est parfaitement possible de crerdesniveauxdeprivilgeintermdiairesentreleniveau1etleniveau15:
- 1-
Lasquencedecommandesdecettecaptureprovoquelacrationdesdeuxniveauxdeprivilgesupplmentaires5et 10.Leniveau5estassociaumotdepasse ccent,leniveau10estassociaumotdepasse ccie.Observezquune lvation du niveau de privilge en cours rclame le mot de passe correspondant. Une diminution du niveau de privilgeencoursseffectuesansdlai.Observezgalementquelinvitedecommandesrestelammequelquesoitle niveaudeprivilgedsquilestsuprieur1:
G
ModeutilisateurNiveaudeprivilge1Invitedecommandes:Nantes> ModesprivilgisNiveauxdeprivilge215Invitedecommandes:Nantes#.
OnpeutsansdouteregretterquelIOSnerappellepasleniveaudeprivilgeencoursdanslinvitedecommandes,un affichagedutypeNantes#5#parexempleauraittbiencommode. Venonsenlavritableutilitdecesdiffrentsniveauxdeprivilge.Ilsvontpermettrederaliserunedlgationdes privilges de ladministrateur granularit fine. Ladministrateur peut donner un administrateur dlgu laccs touslesoutilsdontcedlguabesoinmaispasplus.Ladministrateurparvientcersultatenassociantlundes niveauxdeprivilgeinfrieur15aveclesousensembledecommandesadquat.Imaginonsparexempleappartenir un fournisseur daccs Internet. Une quipe de techniciens a pour activit principale le dploiement de routeurs daccs chez les clients. Ces techniciens ont besoin de configurer des interfaces serial (cestdireleuraffecterune adresse IP). Ils doivent donc disposer des commandes configure terminal, interface et ip address. De plus, ils doivent pouvoir tester la connectivit du routeur et ont besoin pour ce faire des commandes ping et trace. Ladministrateurdcidedaffectercescommandesauniveaudeprivilge5:
Maiscommentsassurerquelestechniciensdisposerontbiendecescommandesmaispasplus?Fortpropos,laide contextuellevientausecoursdeladministrateur:
- 2-
Ladministrateur, rassur sur la porte de sa dlgation, provoque une commande show run afin de visualiser le rsultatdescommandespassesdanslebutdedlguer.Unepetitesurpriselattend:
En effet, il ne sattendait pas trouver les lignes privilege interface level 5 ip et privilege exec level 5 configure.Cenesttrangequenpremireapproche.Pourquelacommande ipaddresspuissetreauniveaude privilge5,ilfautquelacommande iplesoitgalement.Defaonglobale,quelacommande aaabbbcccsoitau niveaudeprivilgexsupposequelacommandeaaabbblesoitgalement.
2.Questcequelauthentification?
Pourmmoire,lidentificationrpondlaquestionquiestil?.Pourviterquelaquestionnesetransformeen Quiprtendiltre?,ilfautaccompagnerlidentificationduneauthentificationquirpondlaquestionEstcebien lui?.Lenomdutilisateurestncessairementaccompagndunmotdepasse,quijouelerledepreuvevisvisde lidentitnumrique. Malgrnosefforts,lascuritmiseenplacejusquprsentestsommetouteassezlimite.Ilymanqueprcisment un aspect essentiel : lauthentification. Les mots de passe affects aux lignes ainsi quau passage vers le mode privilgi doivent tre confis toute personne appele intervenir sur lquipement. Si ladministrateur dcide de mettreenplaceunserveurSYSLOGenvuedecollecterlesvnementsquiaffectentlerouteur,chaquevnement provoqu par un intervenant reste anonyme dans le journal dvnements. Les messages se bornent restituer quelle est la ligne qui a servi lintervenant. Cest ainsi que jusqu prsent, nous avons d nous contenter des messagesconsoledecetype: *Nov *Nov 6 19:13:43.115: %SYS-5-CONFIG_I: Configured from console by vty0(172.31.1.104) 6 20:04:19.271: %SYS-5-CONFIG_I: Configured from console by console
Les hommes ntant que des hommes, lanonymat dresponsabilise, une relle politique de scurit doit minima attribuerchaqueutilisateurunensemble[identifiant/motdepasse].Biensr,lIOSoffrecettepossibilitetpropose ladministrateurdeuxalternatives: 1. Grer les identifiants localement. Ces identifiants sont stocks dans les fichiers de configuration du routeur. Linconvnientestquelaprocduredoittrerpteautantdefoisquelerseaucomportederouteurs.Imaginezla
- 3-
somme de travail que peut reprsenter le simple ajout dun utilisateur ou le changement de mot de passe pour un utilisateurexistant. 2. Grer les identifiants de faon centralise sur un ou plusieurs serveurs. LIOS supporte deux technologies, lune normalise par lIETF est RADIUS (Remote Authentication DialIn User Service), lautre propritaire est TACACS+ (TerminalAccessControllerAccessControlSystemPlus).
a.LemodleAAA
Authentifierunutilisateursurlerseaunestpassuffisant.LaquestionglobalenepeutsersumerQui?mais doittreQuipeutfairequoi,quandlatilfaitetpendantcombiendetemps?.CISCOprendencomptecestrois questions, qui, quoi, quand en proposant un modle de scurit baptis AAA ( Authentication, Authorization, Accounting/Auditing): Authentication:cestlepralableincontournablecarautoriserunutilisateurentreprendreuneactionouprofiter dunservicesupposedtrecertaindesonidentit.Delammefaon,ilneserviraitriendenregistrerlesfaitset gestesdunutilisateurdansunjournalsiundoutepesaitsursonidentit.LemodleAAAidentifieuncertainnombre de mthodes dauthentification. Ladministrateur cre des listes nommes dans lesquelles il place la ou les diffrentes mthodes quil souhaite utiliser. Il reste ensuite appliquer la liste convenable une ou plusieurs interfaces du routeur. LIOS appliquera la premire mthode linterface puis la seconde si la premire choue et ainsidesuite. Authorization : autoriser devrait tre traduit par contrler laccs, cestdire autoriser un utilisateur accder une entit ou un service, de faon plus ou moins partielle ou complte, le niveau daccs tant modul selon le niveaudeprivilgedudemandeur.Exemplesdautorisations:affectationduneadresseIP,restrictiondaccsselon lheuredujour,tempsdeconnexionmaximal,qualitdeservice,bandepassante... Accounting:ilsagiticiderendretraablelesfaitsetgestesdelutilisateur,lesobjectifssontmultiples,cepeuttre datteindrelanonrpudiation,cestdirelincapacitpourunutilisateurdenieruneactionquilaeffectue,cepeut tregalementlesouhaitdecomptabiliserdestempsdaccsoudesvolumeschangsdansunbutdefacturation (billing).
3.Mthodedauthentificationlocale
Nantes(config)#username ycousin password sangria Nantes(config)#username avaucamps password fantasia Nantes(config)#aaa new-model Nantes(config)#aaa authentication login auth_locale local Nantes(config)#^Z Nantes# Enmodedeconfigurationglobale,lacommande aaa newmodeltablitlauthentificationselonlemodleAAAsurle routeur Nantes. La commande aaa authentication login cre la liste nomme auth_locale. Cette liste ne comporte quuneseulemthodedauthentification appele local.Lamthodedauthentification locale sappuie sur la base de compteslocalepourassurersafonction. Attentioniciaurisquedtreintefatale.Defaongnrale,trevictimedunetreintefatale,cestavoirverrouillun mcanismesanspossibilitdeledverrouiller.Exempledtreintefatale:joublielesclsdemavoituredanslecoffre puismachinalement,jerefermelecoffrealorsquemavoitureestdjverrouille.Danslecasprsent,ltreintefatale consisteraitentrerlacommandedeconfigurationglobale aaanewmodelsansavoiraupralablecrdecompte utilisateurlaidedelacommandeusername.Puisparmaladresseouparaccident,mettrefinlasessionencours. Peuttreestilprudentlorsdecedlicatpassageaumodle aaa,douvrirdeuxsessionsdinterfaceILC.Ainsi,sipar
- 4-
erreurladministrateurprovoqueunverrouillagelorsdesesessaissurlasession1,ilpeutrtablirlasituationlaide delasession2.Endernierrecours,ilrestelapossibilitdentameruneprocdurederecouvrementdemotdepasse.
Observez leffet de la commande aaa authentication login qui contraint lIOS effectuer une double demande nom dutilisateur puis mot de passe lors de louverture de session via une ligne vty. La commande show user permet dafficherlessessionsactivessurlerouteurNantes.Lasessionaccompagnedunetoileestcelledepuislaquelleon aentrcettecommande. Nous nous tions plaints de lanonymat qui rgnait dans les vnements rapports par les messages console. Dsormais,cetanonymatnexisteplus,cequeconfirmelobservationdesquelquesmessagesconsolecidessous:
Depuislaversion12.0(18)SdelIOS,ilexisteuneversionencryptedelacommandeusername:
Unecommandeshowrunconfirmelecryptageobtenu: ! username ycousin secret 5 $1$TKN1$7EpYz5pTBLW.0B9nKo71/0 username avaucamps secret 5 $1$WGjm$XRCQXBc0GYi1gbxPJmhqr1 ! Toutcommepourlacommande enablesecret,cestlalgorithmeMD5quiestutilis.nouveau,lesrecommandations delongueuretdecomplexitsappliquent.Danslexemplequiprcdeetdansceluiquisuit,unadministrateurhabilit modifierlaconfigurationdurouteurdoitsaisirunmotdepassedeuxfoisconscutivement:lepremiermotdepasse estassocisonnomdouverturedesession,cestceluidelauthentification,lesecondmotdepasseestncessaire pourpasseraumodeprivilgi.AveclamiseenplacedelauthentificationlaidedumodleAAA,lemotdepassedu passage au mode privilgi ne se justifie plus (ou se justifie moins). Une solution consiste associer le niveau de privilge15laconfigurationdeslignesvty:
VrifionslersultatenouvrantnouveauunesessionviaTelnet:
Immdiatement aprs streidentifietavoirtauthentifi,lasessionsouvredanslemodeprivilgiainsiquele rappellelinvitedecommandes.Unecommandeshprivconfirmeleniveaudeprivilgeencours.
4.Mthodedautorisationlocale
Trsmodestement,ilsagiticidemontreraulecteurcequepeuttrelintrtdusecondAdanslemodleAAA.Cet exemplecreunutilisateurseulefindexcuteruneetuneseulecommande: Nantes#conf t Enter configuration commands, one per line. End with CNTL/Z. Nantes(config)#username run nopasswordnoescape Nantes(config)#username run autocommand show ip interface brief Nantes(config)#aaa authorization exec default local Nantes(config)#^Z Nantes# Pour ce faire, on adjoint la commande username, le paramtre autocommand qui provoque lexcution de la commande spcifie aprs ce motcl, ce ds la connexion de lutilisateur dsign, dans le cas prsent run . Puisquunecommandeestdelongueurquelconqueetpeutcomprendredesespaces,lacommandespcifielaide du motcl autocommand doit tre la dernire option de la commande username. Le motcl nopassword entrane quelorsquelenomdutilisateurest run,lIOSnedemandepasdemotdepasse.Lemotcl noescapeviteque lutilisateurrunnepuissereveniraumodeutilisateurentapantlatouche[Echap],cequiluipermettraitensuitede taper dautres commandes. Observez galement que ladministrateur a utilis plusieurs instances de la commande usernamepourspcifierplusieursoptionsquiconcernentlemmecompteutilisateurrun. Une fois la commande spcifie laide du motcl autocommand excute, show ip interface brief dans le cas prsent,lerouteurmetfinlasession.IlfautconfigurerPuttyafindviterquilnefermelafentredslexcution termineempchantainsilalecturedursultat:
- 6-
Lacapturesuivantemontrelersultatdelaconnexionaveclenomdutilisateurrun:
Opportunment,observezlersultatdelacommandeshowipinterfacebrief,quilestpossibledagrgerenshipint br : cette commande fournit un rsum qui renseigne sur ltat des interfaces du routeur. Chaque interface est concerne par la couche daccs du modle TCP/IP, cestdire les couches 1 et 2 du modle OSIRM. La colonne Status du rsum renseigne sur ltat de la couche physique : dans le cas prsent, seule linterface fa1/0 a t active par ladministrateur laidedelacommande noshutdown, ce qui explique ltat administratively downsur linterface fa0/0.Lacolonne ProtocolrenseignesurltatdelacoucheLiaison.Quandlacouche1estltatdown, lacouche2nepeutqueltregalement.Quandlacouche1estup,lacouche2estupsileprotocoleassociapu tablirlelienaveclacouche2delinterfaceenvisvis.
5.MthodedauthentificationRADIUS
Puisque nous sommes dj largement hors cadre du CCNA, nous nous en tiendrons ces quelques lments sur RADIUS,normalisparlIETF,etngligeronsTACACS+,technologiepropritairedeCISCO.Commelerappellesonnom (Remote Authentication DialIn User Service), RADIUS a t conu pour rsoudre un problme qui se posait aux fournisseursdaccsInternet.Eneffet,lesFAIdevaientauthentifierdesutilisateursdistantsquiseconnectaientpar modems via le rseau tlphonique commut. Les serveurs taient multiples mais il fallait que la base de comptes dutilisateurs soit unique. Cette base de comptes doit permettre lauthentification, cestdire la vrification des couples {nom dutilisateur/mot de passe} mais doit galement pouvoir fournir des informations de configuration qui prciserontletypedeservicedontdoitbnficierlutilisateur.RADIUSestdcritdansdeuxRFC:
G
RFC2865RADIUSJuin2000traitedelauthentification
- 7-
RFC2866RADIUSAccoutingJuin2000traitedelacomptabilitetdelajournalisationdesconnexions.
LafiguresuivantedtaillelesdispositifsclsdunearchitectureRADIUS:
Lusagerfaitunedemandedouverturedesessionsurunserveurdaccsrseau,retenonslacronymeanglaisNAS.Le NASnetraitepasdirectementlademandemaislasoustraiteauprsduserveurRADIUS.Leserveurdaccsrseau est donc client de RADIUS, ce client est charg de transmettre les informations dutilisateur un serveur ou un groupe de serveurs RADIUS dsigns, puis dagirenfonctiondelarponseretourne.UnserveurRADIUS,quandil reoit une demande de connexion dusager, demande transmise par un NAS, authentifie lusager (ou rejette la demande)puisretournelesinformationsdeconfigurationncessairesafinqueleclientlivreleserviceconvenable lusager. aucun moment lusager ne dialogue directement avec le serveur RADIUS et il peut parfaitement ignorer que son authentificationatpriseenchargeparcedernier.Toutquipementrseaususceptibledouvrirdessessionspeut confierlauthentificationmaisaussilesautorisationsetlacomptabilitdeconnexionunserveurRADIUS.Ildevient alors serveur daccs NAS et client RADIUS. Ladministrateur dun interrseau compos de plusieurs routeurs peut ainsicentraliserlagestiondesidentifiants.SilesrouteursdesoninterrseauproviennentexclusivementdeCISCO, alorsilpeutmettreenplaceunserveurTACACS+.Danslecascontraire,unouplusieursserveursRADIUSsontune solution. RADIUSsappuie sur le protocole de transport UDP, il y a dexcellentes raisons pour avoir fait ce choix, raisons bien expliquesdansleRFC.LafiguresuivantedtailleleformatdupaquetRADIUSencapsuldanslechampdedonnes du datagramme UDP. Les premiers dveloppements de RADIUS utilisaient le numro de port UDP 1645 mais actuellement,leportofficiellementallouest1812:
- 8-
LechampCodesurunoctetidentifieletypedepaquetRADIUS. Le champ Identifiant sur un octet permet de faire correspondre demandes et rponses.La valeur du champ nest pas modifie dans le cas dune retransmission, le serveur RADIUS peut ainsi dtecter une demande duplique. Le champ Longueur, sur deux octets, indique la longueur du paquet RADIUS en incluant les champs Code, Identifiant,Longueur,AuthentifiantetAttribut.Lesoctetsquiseraientreusaudeldelalongueurindique doiventtreignorslarception.linverse,silepaquetestpluscourtquindiqudanslechampLongueur, alorslepaquetestliminensilence. LauthentifiantestunlmentcldelascuritfournieparRADIUS.LeNASetleserveurRADIUSpartagentun secret.Lorsqueleclientgnreunedemandedaccs,ilgnreunnombrealatoiresur16octets(aussilong quuneadresseIPv6!)appelauthentifiantdedemandeetdontlavaleurdevraittreimprvisibleetunique, pendant la dure de vie du secret partag. En effet, une rptition dun mme authentifiant de demande conjuguunmmesecretpermettraitunattaquantdejouerunefausserponseavecunauthentifiantde rponse prcdemment intercept. Le serveur RADIUS qui reoit une demande gnre une rponse (accs accept, accs rejet, preuve daccs) dans laquelle lauthentifiant de rponse contient un hachage MD5 calculsurlensemble{code,identifiant,longueur,authentifiantdedemande,attributs,secretpartag}.
Le secret partag doit tre aussi long et imprvisible quun mot de passe convenablement choisi. Il est conseilldadopterunelongueurgaleaumoins16octets.
a.TypedepaquetDemandedaccs
LademandedaccsenvoyeunserveurRADIUSportelesinformationsncessaireslauthentificationmaisaussi les services particuliers demands pour cet usager. Si le client est valide, le serveur doit rpondre. La demande daccsdevraitcontenirlattributnomdutilisateur(Type1)etdoitcontenirlattributAdresseIPdeNAS(Attributtype 4)oulattributIdentifiantdeNAS(Attributtype32)oulesdeux.Lademandedaccsdoitgalementcontenirunmot de passe utilisateur (Attribut type 2) ou un mot de passe CHAP (ChallengeHandshake Authentification Protocol) (Attribut type 3). Quand le NAS distingue ses diffrents accs, la demande daccs devrait contenir lattributLigne daccs de NAS (type 5) ou lattribut Type daccs de NAS (type 61) ou les deux. Lorsque le mot de passe est prsent,ilestcryptselonunemthodefondesurMD5.
b.TypedepaquetAccsaccept
Laccs accept envoy par le serveur RADIUS fournit les informations spcifiques de configuration dont le NAS a besoin pour dbuter la livraison du service lusager. Quand toutes les valeurs dattributs reues dans une demande daccs sont acceptables, le serveur RADIUS doit transmettre ce paquet dont la valeur Code est
- 9-
positionne2(Accsaccept).
6.AtelierRADIUS
NotreobjectifnestvidemmentpasdeconstruireunserveurRADIUSdenverguremaisdobservercommentconfigurer le routeur pour que, dans le cadre du modle AAA, il fasse appel un serveur RADIUS quand il doit authentifier un administrateurquisouhaiteouvrirunesession.SilfallaitprogresserdansledomainedesserveursRADIUS,lelecteur pourraitsereportersurlesite: http://freeradius.org Maispourcetatelier,lauteurproposeunealternativebienplusabordablenommeRADL: http://www.loriotpro.com/Products/RadiusServer/FreeRadiusServer_EN.php ToujoursensaidantdeVMwareetdeGNS3,lauteurvousproposedereproduirelateliersuivant:
Effectuezunsnapshot(unephotographieinstantane)devosmachinesvirtuellesavanttouteinstallation.Ainsi, ilestfacilederestaurerltatantrieur. Tlchargez le logiciel RADL (radlv150ab.exe, 218 Ko au moment o ces lignes sont crites) et installezle sur la machinevirtuelleVMWKS01quiferaofficedeserveurRADIUS. UnefoisRADLlanc,configurezleserveurconformmentlacapturecidessous:
- 10 -
Silfallaitrevenirauxnumrosdeportsofficielsquisont1812et1813,ilseraitfaciledelefaireici.Patientonsjusqu avoirconfigurlerouteur.
I
ToujoursdansRADL,configurezleclientconformmentlacapturecidessous:
LeserveurRADIUSconnatdsormaisladresseIPduNAS172.31.1.1etlesecretpartageraveclui:macleradius.
I
PourenfiniraveclaconfigurationdeRADIUS,ajoutezlabasedecomptes,lusagerycousin,motdepasse sangriaconformmentlacapturecidessous:
videmment, cette configuration est trs sommaire, RADL est capable de faire plus mais ce nest pas lobjet de cet atelier.
I
OuvrezunesessionconsolesurlerouteurNantespuisentrezlasquencedecommandessuivante:
- 11 -
LacommandeaaanewmodelnestpeuttrepasutilesilemodleAAAadjtactivaucoursdunatelier prcdent mais entrer nouveau une commande dj prsente dans le fichier de configuration est sans consquence. La commande aaa authentication login cre une liste de mthodes dauthentification nomme liste_eni et place dans cette liste les deux mthodes radius et local. Ainsi lors dune ouverture de session, si le ou les serveurs radius sont injoignables, lIOS tente une authentification avec la seconde mthode de la liste. La mthodelocaleestcellequifaitappellabasedecompteslocale,cestdirelabasedecomptesalimente laide des commandes username. La liste de mthode peut comprendre jusqu quatre mthodes dauthentification,onpourraitajouterlamthode enablequiutiliselemotdepasseassociaupassageen modeprivilgisilexisteet/oulamthodenonequiautoriseralaccssansauthentification. LacommanderadiusserverhostinformelIOSdelexistencedunserveurradiusladresse172.31.1.101. Lacommanderadiusserverkeyconfigurelesecretpartag.Danscetexemple,ilnestnisuffisammentlong, nisuffisammentcomplexe. Il reste affecter la liste de mthodes dauthentification une ou plusieurs lignes, cest lobjet de la commandeloginauthenticationensousmodedeconfigurationdelignesvty.
Unecommandeshowrunningconfig(extrait)confirmelersultatobtenu: ! aaa authentication login liste_eni group radius local ! usernameycousin secret 5 $1$TKN1$7EpYz5pTBLW.0B9nKo71/0 usernameavaucamps secret 5 $1$vy6K$arNsNrc9CZ.LtEvf0jzSJ. ! radius-server host 172.31.1.101 auth-port 1645 acct-port 1646 radius-server key macleradius ! Linevty 0 4 privilege level 15 login authentication liste_eni ! end ObservezquelIOSacompltlalignedecommande radiusserverhostenajoutantlesnumrosdeportsUDPquil utiliserapourjoindreleserviceauthentificationduserveurRADIUS(port1645)etpourjoindreleservicedecomptage (Accounting,port1646).Nousaurionsdoncpucomplterlacommandeetentrercesparamtressilavaitfalluimposer les ports UDP 1812 et 1813. Mais dans le cas prsent, nous pouvons en rester l car cette configuration est galementcelledenotreserveurRADL. Observez que lIOS a ajout le motcl group devant la mthode radius. Cela signifie que la mthode utilisera lensemble des serveurs RADIUS dclars dans le fichier de configuration pour authentifier. Une autre faon de procderauraittdecrerungroupedeserveursRADIUS,groupenomm:
- 12 -
Lexemple cidessus cre le groupe de serveurs RADIUS nomm grp_radius puis utilise ce groupe dans la liste de mthodesdauthentificationnommeliste_eni.IlesttempsdevrifierquelauthentificationselonlamthodeRADIUS fonctionne:
I
SiWiresharkestinstallsurlunedesmachinesvirtuelles,lancezlepuisdmarrezunecapture. RevenezlamachinehtepuisdmarrezunesessionTelnet172.31.1.1laidedePuTTY:
StoppezpuisanalysezlacaptureWireshark(cettecapturecap_2L_01.pcapestdisponibleentlchargementsurle sitedesEditionsENI):
- 13 -
laide du format de paquet RADIUS fourni prcdemment, portez notamment votre attention sur le paquet de demandedaccsentramen94.
- 14 -
Journalisation,leprotocoleSYSLOG
RFCutiles:
G
RFC5424TheSyslogProtocolmars2009 RFC5425TransportLayerSecurity(TLS)TransportMappingforSyslogmars2009 RFC5426TransmissionofSyslogMessagesoverUDPmars2009.
Parmi les multiples tches accomplies par lIOS, lune delles intresse particulirement ladministrateur parce quelle lui permet de dcouvriroumieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdurseau.Ilsagitdelactivitde journalisationdesvnements.Enlamatire,CISCOcommeunemajoritdeconstructeursseconformeauprotocoleSYSLOGnormalis dansleRFC5424.Pardfaut,lamanifestationdeSYSLOGsurunrouteurselimitelmissiondesmessagesdvnementsversleport console.Queladministrateuraucoursdesontravaildepuislaconsolenapastagacparlarriveimpromptuedecesmessagesqui viennentperturberlasaisieencours?Problmefacilersoudredailleurscarilexisteunecommandedeconfigurationdelignelogging synchronous qui peut tre applique la console ainsi quaux lignes vty et qui modifie le comportement de lIOS quand il envoie un message : si une commande est en cours de saisie, alors lIOS raffiche le contenu de la ligne saisie dans ltat o elle se trouvait immdiatementavantlenvoidumessage. LIOSgnredesmessagesSYSLOGlissonactivitdefaonnaturellemaisladministrateurpeutsusciteruneproductionbeaucoup plus intense de ces messages lorsquil provoque une commande debug. Cette commande constitue lun des outils majeurs dans la rsolutiondeproblmessurunrouteuretdisposedoptionsplthoriquesquipermettentdajusterlersultatselonletypedactivit surveiller.cesujet,rappelonsquilfauttreprudentcarcertainesoptionspeuvententraneruneproductiondemessagestellequelle consommelamajeurepartiedesressourcesprocesseurdelamachineempchantlerouteurdaccomplirsatchenormale. Lacommande undebugallou nodebugall dsactive toutes les commandes debugquiseraientencoursdetraitement.Une mesure sage consiste entrer cette commande de faon systmatique avant dentrerunequelconquecommande debug.La commandeundebugallsetrouvealorsdanslhistoriquedecommandesetilsuffitduneactionsurlatouche[Flcheenhaut]puisde valider par la touche [Entre] pour la provoquer. Ladministrateur peut ainsi esprer arrter une commande debug malheureuse mmeavecunprocesseurnoy. LafigureciaprsrsumelescinqfluxpossiblesdemessagesSYSLOG:
Pardfaut,lIOSenvoielensembledesmessagessurleportconsole,cequicorrespondlacommandeconsolelogging. Depuis le mode privilgi, la commande Terminal monitor provoque laffichage des messages SYSLOG, messages debug compris,surlasessionencours.Cettecommandeestutilepourobtenirlesmessagesdepuisunesessionouverteviauneligne vty.Puisquilnesagitpasdunecommandedeconfiguration,cettecommandenestpasmmoriseetsoneffetcesselorsquela sessionprendfin(ceciestvraipourtouteslescommandesTerminal). Plus intressante encore est cette facult qui consiste mmoriser les messages dans un tampon, ce qui permet ladministrateur de les consulter quand bon lui semble laide dune commande show logging. Le tampon, cr par la commande de configuration globale logging buffered, est circulaire, les vnements les plus rcents remplacent les plus anciens.Lacommandeadmetdeuxparamtresimportants:
G
Ilestpossibledeprciserlatailledutamponde40962147483647octets,lataillepardfautdpenddelaplate
- 1-
forme. Entrer la commande default logging buffered pour revenir la taille par dfaut. 4000 octets permettent de mmoriser environ 50 messages. Un dimensionnement 16000 octets et donc la possibilit de mmoriser 200 messagessembleunboncompromis,attentionnepasapprocherleslimitesdelaplateformecequeladministrateur pourravrifierlaidedunecommandeshowmemory.
G
Il est possible de filtrer les vnements mmoriss dans le tampon selon un critre de svrit. En la matire, les messages davertissement CISCO IOS se conforment au RFC 5424 qui tablit huit niveaux de svrit de 0 7, la gravitcrotquandleniveaudesvritdiminue,ilestquasiimpossibledobtenirunmessagedesvrit0puisquece niveaucorrespondunsystmeinexploitable.Letableaucidessousrpertorielesniveauxdesvrit: Niveau 0 1 2 3 4 5 6 7 Motcl emergencies alerts critical errors warnings notifications informational debugging Objet SystemisunusableSystmeinexploitable. ActionmustbetakenimmediatelyIlfautagirsanstarder. CriticalconditionsContextecritique. ErrorconditionsErreurs. WarningconditionsAvertissements. Normalbutsignificantconditionvnementnormalmaisimportant. InformationalmessagesInformation. DebuglevelmessagesMessagesrsultantdunecommandedebug.
Exemple:lacommande loggingbuffered16384criticalentranequeseulslesvnementsdesvrit0,1et2sont mmorissdansletamponfixici16Ko.
DelammemanirequenousavionssouhaitcentraliserlagestiondescomptesutilisateuraveclamthodeRADIUS,ilpeut tre intressant de centraliser la gestion des messages SYSLOG. Un serveur SYSLOG mmorise sur des supports disques, dimportantes quantits dvnementsenprovenancedquipementstrsdiffrentspourvuquilsseconformentauRFC5424 (*).Lesavantagessontnombreux:leshistoriquespeuventremontersurdelonguespriodesenvitantdemprunterdela mmoirevivepourstockerlesmessages,onnepnalisepaslefonctionnementdesquipementsildevientpossibledefiltrer les vnements de faon fine selon diffrents critres de date, de svrit, de type Le protocole SYSLOG sappuie sur le protocoledetransportUDP,leserveurSYSLOGestlcoutesurleportUDP514,ilnexistepasdacquittementsdemessages SYSLOG. Une commande de configuration globale logging host @IP_serveur_syslog provoque lenvoi des messages vers le serveurdontladresseIPest@IP_serveur_syslog.LatelierSYSLOGproposdanscechapitrefourniraloccasiondetesterune miseen uvremaislacommande logginghost admet de nombreux paramtres et il est prfrable de se reporter loutil CommandLookupTooldeCISCOpourdesmisesen uvrepluscomplexesdecettecommande. Pour tre complet, citons la possibilit dmettre les messages SYSLOG sous forme dinterceptions SNMP (SNMP traps) une stationdadministrationSNMP.Lacommande snmpserverenabletrapsindiquelIOSdetransmettrelesinterceptionsSNMP, notificationsSYSLOGincluses,conditionbiensrqueSNMPaittconfiguraupralable.
(*)cesujet,ilfautserappelerquelaloisurlascuritquotidienne,diteLSQetpromulguele26mars2006,comporteentreautres obligations,cellefaiteauxoprateursdecommunicationslectroniques(dontlesFAI)deconserverpendantunanlesactivitsdeleurs clients. Ceci comprend lidentification de lutilisateur du service et du terminal utilis, les destinataires de la communication, la date, lheureainsiquelesservicescomplmentairesutilissetleursfournisseurs.
1.AtelierSYSLOG
Pourcetatelier,lauteurproposedemettreprofitlaplateformecrepourtesterleslistestenduesduchapitreprcdent:
- 2-
Objectifs
G
InstallerleserveurSYSLOGsurlamachineVMSRV01 ConfigurerlesrouteursR100metR120mafindecentraliserlesmessagesSYSLOGdesdeuxrouteurssurleserveurSYSLOG:
G
LerouteurR100menverralesmessagesSYSLOGlaideduprotocoledetransportpardfaut,soitUDP,port514. LerouteurR120menverralesmessagesSYSLOGcommeleferaitunbotierPIXdeCisco(PrivateInterneteXchange,le botierparefeudeCISCO),cestdirelaideduprotocoledetransportTCPsurleport1468.
LesmessagesDEBUGdevraienttreexclusdesmessagesSYSLOGenregistrssurleserveur.
tape1:installationduserveurSYSLOG
I
TlchargezlaversiongratuiteoumieuxlaversiondvaluationdeKiwiSYSLOGquipendant30joursoffrelesfonctionnalitsdela versionpayantepuisbasculesurlesfonctionnalitsdelaversiongratuite.Aumomentoceslignessontcrites,laversion9est disponible,lefichiertlchargeroccupe28784Ko.Rendezvoussurlesitedelditeur:http://www.kiwisyslog.com/ Par tout moyen votre convenance, transfrez le fichier dinstallation sur la machine virtuelle VMSRV01. Exemple : par les fonctionnalitsSharedFoldersdeVmware. InstallezKiwiSYSLOG.Leprogrammedinstallationproposedinstallerlelogicielentantqueserviceouentantqueprogramme.Pour uneinstallationquiviseraitcrerunserveurdeproduction,ladministrateurdevraitprfrerlinstallationentantqueservice.Mais pournotrephmreatelier,uneinstallationentantqueprogrammeconvientparfaitement. LancezKiwiSYSLOGpuisconfigurezledefaoncequilsoitlcoutedesmessagessur:
G
ladresse10.0.8.1etleportUDP514 ladresse10.0.8.1etleportTCP1468.
- 3-
tape2:configurationdeR100m
I
Vrifiezquaucunelistedecontrledaccsnestappliquesurlinterfacef0/1durouteurR100m:
R100m#sh run Building configuration... ......... ! interface FastEthernet0/1 ip address 10.0.8.254 255.255.255.0 duplex auto speed auto ......... R100m# ProvoquezlmissiondesmessagesSYSLOGversleserveur:
R100m#conf t Enter configuration commands, one per line. End with CNTL/Z. R100m(config)#logging ? Hostname or A.B.C.D IP address of the logging host ......... R100m(config)#logging host ? Hostname or A.B.C.D IP address of the syslog server R100m(config)#logging host 10.0.8.1 ? filtered Enable filtered logging transport Specify the transport protocol (default=UDP) vrf Set VRF option xml Enable logging in XML <cr> R100m(config)#logging host 10.0.8.1 transport ? tcp Transport Control Portocol udp User Datagram Protocol R100m(config)#logging host 10.0.8.1 transport udp ? filtered Enable filtered logging port Specify the UDP port number (default=514) xml Enable logging in XML
- 4-
<cr> R100m(config)#logging host 10.0.8.1 transport udp port ? <1-65535> Port number R100m(config)#logging host 10.0.8.1 transport udp port 514 ? filtered Enable filtered logging xml Enable logging in XML <cr> R100m(config)#logging host 10.0.8.1 transport udp port 514
Rglezleniveaudesvritpourqueseulslesmessagesde06soientenvoysauserveur:
R100m(config)#logging trap ? <0-7> Logging severity level alerts Immediate action needed (severity=1) criticalCritical conditions (severity=2) debuggingDebugging messages (severity=7) emergencies System is unusable (severity=0) errors Error conditions (severity=3) informational Informational messages (severity=6) notifications Normal but significant conditions (severity=5) warnings Warning conditions (severity=4) <cr> R100m(config)#logging trap 6 R100m(config)#^Z R100m# tape3:configurationdeR120m
I
Cettefois,imposezletransportviaTCP:
R120m(config)#logging host 10.0.8.1 transport ? tcp Transport Control Portocol udp User Datagram Protocol R120m(config)#logging host 10.0.8.1 transport tcp port ? <1-65535> Port number R120m(config)#logging host 10.0.8.1 transport tcp port 1468 R120m(config)#logging trap 6 R120m(config)#^Z R120m# tape4:test
I
ProvoquezsurchacundesrouteursquelquesvnementsgnrantdesmessagesSYSLOG.Exemples:
G
Entrezenmodedeconfigurationpuisrevenezaumodeprivilgi. Effacezlescompteurs(commandeclearcounters). Ajoutezloptionlogquelqueslmentsdelistesdaccspuisprovoquezdutraficafindesolliciterleslistesdaccs.
VousdevriezobservercesdiffrentsvnementscollectsparKiwi.Lcranpourraitalorsressemblerlacapturesuivante:
- 5-
LoutilserveurKiwireclesansdoutedestrsorsdingniositpourextrairelinformationutiledesmessagesbrutsSYSLOG.Maisleur dcouvertesortducadredelouvrageetdeplus,nuldoutequeloutilquisembledutilisationtrsintuitiveselaisseraprendreenmain sansautreassistancequelaideintgre. Cetatelierestmaintenanttermin.
- 6-
AdoptezSSH
1.Contexte
QuelquesRFCutilesautourdeSSH:
G
RFC4250TheSecureShell(SSH)ProtocolAssignedNumbersJanvier2006 RFC4251TheSecureShell(SSH)ProtocolArchitectureJanvier2006 RFC4252TheSecureShell(SSH)AuthenticationProtocolJanvier2006 RFC4253TheSecureShell(SSH)TransportLayerProtocolJanvier2006 RFC4254TheSecureShell(SSH)ConnectionProtocolJanvier2006 RFC4255UsingDNStoSecurelyPublishSecureShell(SSH)KeyFingerprintsJanvier2006 RFC4256GenericMessageExchangeAuthenticationfortheSecureShellProtocol(SSH)Janvier2006 RFC4335TheSecureShell(SSH)SessionChannelBreakExtensionJanvier2006 RFC4344SecureShell(SSH)TransportLayerEncryptionModesJanvier2006 RFC4345ImprovedArcfourModesfortheSecureShell(SSH)TransportLayerProtocolJanvier2006 RFC4419DiffieHellmanGroupExchangefortheSecureShell(SSH)TransportLayerProtocolMars2006 RFC4432RSAKeyExchangefortheSecureShell(SSH)TransportLayerProtocolMars2006 RFC4716TheSecureShell(SSH)PublicKeyFileFormatNovembre2006
LeRFC4253estdisponibleenfranaissurlesitehttp://abcdrfc.free.fr/. SSH et TLS (Transport Layer Security) sont deux protocoles qui proposent une rponse au manque de scurit des protocoles de communication de lInternet. Ils intercalent une couche de scurit entre TCP et les protocoles applicatifs.SSHpermet,entreautres,ladministrationdemachinesdistancetandisqueTLSestplusgnralement chargdescuriserleschangesdansuncontexteWeboumail. Telnet(TeletypeNetwork)estlapplicationhistoriquedelapileTCP/IPquipermetlaprisedemaindistance.Hlas,les changes de Telnet se font en clair et labsence totale de scurit dune telle prise de main est devenue quasi rdhibitoire.SecureShell(SSH)offreunesolutionalternativedontlusageestappelstendredepuissonadoption parlIETF. La premire version de SSH (dsormais appele SSH1) date de 1995 et on la doit M. Tatu Ylnen, chercheur de luniversitdHelsinki.Pourlanecdote,M.Ylnenavaitdfairefaceuneattaquetypedcouvertedemotdepasse par sniffer. M. Ylnen a ensuite fond sa socit SSH communications Security dans le but de dvelopper et commercialiserSSH. Enjanvier2006,legroupedetravailsecshdelIETFapublilestandardSSH2Cetteversionestcompatibleavec les premires implmentations fondes sur le brouillon (draft) de SSH2. M. Ylnen fait partie des auteurs des RFC 42514254. Attention,cetouvragenestniddilascurit,niddiltudeduprotocoleSSH.Unouvrageentiernesuffirait pas couvrir ces deux sujets. Soyons pragmatiques et limitons notre ambition la mise en uvre de SSH sur nos platesformesCISCOafinquilpuissesesubstituerTelnet.
2.Lesbasesduchiffrement
Un texte lisible et comprhensible sans intervention particulire est un texte en clair. Le chiffrement est la mthode
permettant de transformer ce texte en clair en charabia inintelligible que lon appelle texte chiffr. Seules les personnesauxquelleslemessageestdestindoiventpouvoirraliserloprationinverse,leretourautextedorigine, cestdireledchiffrement.LauteurconfesseuneapproximationcommisedanslouvrageprcdentCiscoNotions de base sur les rseaux dans la collection Certifications aux Editions ENI qui consiste confondre dcryptage et dchiffrement.Lesdfinitionssuivantesonttextraitesdusitehttp://www.larousse.fr/dictionnaires/francais/:
G
Chiffrer:transformerunmessageparunprocddechiffrement. Chiffrement : opration qui consiste transformer un message transmettre, dit messageclair , enun autre message, inintelligible pour un tiers, dit message chiffr , en vue dassurer le secret de sa transmission. Dchiffrer : rtablir dans sa forme primitive un texte chiffr en utilisant en sens inverse le procd de transformationadoptparlechiffreuretconnududchiffreur. Dcrypter:retrouverlesensclairdunmessagechiffrencrituresecrte,sansconnatrelaclefayantservi letranscrire.
a.Lesobjectifsduchiffrement
Paressence,lesinformationsmisesdispositionsurInternetsontpubliques(siellesnelesontpas,leurpublication estillgale).Lacommunicationentreunnavigateuretlundessitesquimetcesinformationsdispositionnapas besoindtrescurise.Posezvouslaquestion:quellesinformationsouquelschangesmritentdtrescuriss? Lapremirerponsequivientspontanmentestlascurisationdestransactionscommerciales.Validerunachatsur un site de ecommerce suppose que lacheteur envoie en ligne des informations bancaires (numro de carte de crdit, date de fin de validit...). Imaginez le dsastre si un pirate parvient rcuprer ces informations en coutantlerseau.Pourcequinousconcerne,leschangesavecnosmatrielsrseauxenvuedelesadministrer mritentautantdevigilance.Imagineznouveaulacatastrophesiunpirateparvenaitprendrelamainsurunou plusieursdenosrouteurspourensuiterefaireuneconfigurationsurmesures. Notrebellepoquevoitunebonnepartiedexpertsinformaticiensoumathmaticiensquisingnientproposerdes solutionsdechiffrementdeplusenpluslaborespendantquuneautrepartiesingnietrouverdesfaillesdans lesdispositifsmisenplace,motivsparlargent,legotdedtruireoulavanit,chaquepirateseprenantpourun petitgnieinjustementmconnu. Lechiffrementpoursuitquatreobjectifsessentiels: Lauthentification Lusurpationdidentitestunetechniquetrsaccessibleetdonctrsapprciedespirates.Lesoutilssontlgion quipermettentdcouterlerseaupuisdusurperlidentitdunemachine,dunservicerseau,leplusgravetant naturellementdusurperlidentitdunepersonne.Lauthentification,cesttresrdelidentitdeceluiavecquion sapprtecommuniqueretdavoirpulerassurersurnotrepropreidentit.Uneauthentificationrussiereposesur lechiffrementdesinformationssensiblesncessairessaralisation,parexemplelesmotsdepasse. Lintgrit Attention au risque de confusion. Lintgrit dont nous avons parl jusqu prsent garantissait quun flux de donnesreutaitidentiqueaufluxdedonnesmis.Cettegarantieestobtenueenajoutantdelaredondance linformationtransporte.Pourmmoire:
G
Lmetteur(lasource)segmentelefluxdebitsensquencesdebits. chaque squence, lmetteur ajoute de la redondance, cestdire un certain nombre de bits calculs partirdelasquencedebitsdinformation. Lmetteurexpdielenouveautrononainsiconstitu(bitsdinformation+bitsderedondance). Lercepteur(lepuits)reoitletrononetpartirdesbitsdinformationtelsquillesperoitcalculelesbits deredondancetelsquilsdevraienttre. Lercepteur(lepuits)comparelesbitsderedondancetelsquillesacalculsaveclesbitsderedondance quilareus.Silesdeuxsquencesderedondancesontidentiques,lemessageestintgre.
Cetteintgritestsuffisantepourprotgerdesaltrationsquepeutengendrerletransportdelinformationmaisne lestplusfaceaupiratage.Danslasquencedcritecidessus,rienninterditunpiratedemodifierlecontenude
linformationpuisdecalculerlasquencederedondanceadquate.Lintgritassureparlechiffrementvabienau del en garantissant que le fichier reu est bien tel quil tait lorsque son auteur la engendr et quaucune modificationnateffectueparunetiercepersonne.Onpeutraisonnerparcouches:lintgritassureparTCP est une intgrit de couche 4. Lintgrit assure par le chiffrement est une intgrit de couche 6 (couche Prsentation). Lintgritassureparlechiffrementpourraittreparticulirementutiledanslaluttecontrelesvirus.Silestpossible de garantir lorigine et lintgrit dun fichier, lutilisationdun logiciel antivirus est sans objet. Un fichier ayant fait lobjetdunchiffrementestunfichiersign,lutilisationdefichierssignsestcertainementappelestendre. Laconfidentialit Onlesait,impossibledefaireconfiancenotreinfrastructurerseauenimaginantnepouvoirtrecout.Puisquon nepeutempcherlcoutefrauduleuse,rendonslasansintrtenchiffrantlesinformationstransportes. Signaturelectronique Si lauthentification avait rpondu la question : mon destinataire estil bien celui quil prtend tre ? , la signature rpond la question lauteur ou lexpditeur de ce message ou de ce document estil bien celui annonc?Lechiffrementestmisprofitparlasignaturelectroniquededocumentsafindegarantirformellement lidentitdelexpditeuroudelauteur. Il arrive que la sensibilit du message luimme ne justifie pas vraiment un chiffrement. Mais le destinataire peut vouloirlagarantiequelesdonnessontdistribuesdansleurformeoriginaleetquellesnontpastenvoyespar unimposteur.Etsicesdeuxgarantiessontobtenues,onobtientnaturellementunecaractristiqueimportantedite denonrpudiation.Puisquonestcertaindelidentitdelexpditeuretducontenudesonmessage,impossible pour lui de nier en tre lauteur. La nonrpudiation, cest redonner du sens au mot engagement, le contraire de lanonymat. Exemple de secteur o lusage de la signature lectronique apporterait un bnfice indniable : celui du courrier lectroniquelheureonosbotescourriersontinondesdecourriersnonsollicits( Spam).Unpremierpasvers lerglementdeceproblmeseraitdegnraliserlasignaturelectroniquepuisderefuserlescourriersanonymes.
b.Lesalgorithmesdechiffrement
Chiffrementsymtrique galementappelchiffrementclsecrte,lechiffrementsymtriqueutiliseuneseuleclpourchiffreretdchiffrer les donnes. Les deux parties doivent donc partager la cl et cest bien l le point faible du dispositif car un momentdonn,lesdeuxcorrespondantsvontdevoirschangerlacl,parunmoyensrdeprfrence.
Lintrt du chiffrement symtrique rside dans le fait quil est peu consommateur de ressources et quilsexcute rapidement.Soninconvnientestquechaquenouvellepairedecorrespondantsncessiteunenouvellecletque rapidementunmatrielrseaupeutavoirgrerungrandnombredecls.Sarobustesseestvidemmentliesa longueur,unsecondpointfaibledudispositif.ClaudeShannonadmontrdanslesannes1980quepourquecette mthode de chiffrement soit totalement sre, il faudrait que la longueur de cl utilise soit au moins gale la longueurdumessageencoder.Sansallerjusquel,unemthodemiseprofitparlaversion2deSSHconsiste changerdeclsymtrique(lacldesession,patientez)defaonrgulireparexempleaprsuneheuredutilisation ou1Modedonneschanges.Noussommessurunmilieumouvantetunelongueurdonneestlieunstadede technologiedonn.SilvolutiondesprocesseursetmmoiresestmodlisablelaidedelafameuseloideMoore,il estprobablequelvolutiondelalongueurdesclsdechiffrementsuituneprogressionsemblable. Quelquesexemplesdalgorithmesdechiffrementsymtriquedusagecourantlheureoceslignessontcrites:
G
DES (Data Encryption Standard) issu dun logiciel dIBM nomm Lucifer et modifi par la NSA (National SecurityAgency), organisme gouvernemental amricain, DES fut publi en 1977. Il manipule des cls de 56 bits.
- 3-
3DES(ouTripleDES)enchanetroisapplicationssuccessivesdeDESavecdeuxoutroisclsdiffrentes.Quel que soit le nombre de cls diffrentes utilises, la longueur effective de cl et donc la robustesse du chiffrementestde112bits. RC2(RivestCipher) conuparRonaldRivesten1987.DveloppementfinancparlditeurLotusquiavait besoindunchiffrementpersonnalispoursonproduitdemessagerieLotusNotes.Longueurdecl64bits. RC4cldetaillevariablede40256bits. RC5cldetaillevariablejusqu2048bits. IDEA(InternationalDataEncryptionAlgorithm)clde128bits. Blowfish conuparBruceSchneieren1993.Cldetaillevariablede32448bits.Cinqfoisplusrapide queTripleDES,demeuretrssolide,laversioncompltenayantcejourpasmontrdefaille.Utilisdans denombreuxlogicielsdontdeslogicielsdumondelibre(notammentOpenSSH). AES (Advanced Encryption Standard) choisi en novembre 2000 par le NIST (National Institute of Standards andTechnology)pourdevenirlestandarddechiffrementdugouvernementdesEtatsUnisetdoncremplacer DES.AESestissudunappelcandidatureslancen1977.LeNISTareuquinzepropositions,RC6faisait partiedescandidats.LecandidatretenuatconupardeuxcryptologuesbelgesJoanDaemenetVincent Rijmen.Lalongueurdeclpeuttrechoisieparmi128,192ou256bits.
Chiffrementasymtrique galementappelchiffrementclpublique,unutilisateurquidsiremettreprofitcechiffrementdoitdisposerdun coupledeclscomposduneclpubliqueetduneclprive.Commesonnomlindique,laclpubliqueestdestine tre diffuse le plus largement possible tandis que la cl prive doit rester connue de son seul propritaire. On peutchiffrerlesdonnessoitaveclaclpublique,soitaveclaclprive:
G
Lesdonneschiffresaveclaclpubliquenepeuventtredchiffresquaveclaclprivecorrespondante. Exemple : Brett envoie un message confidentiel Danny. Brett chiffre le message avec la cl publique de Danny.Dannydchiffrelemessageavecsaclprive. Rciproquement,lesdonneschiffresaveclaclprivenepeuventtredchiffresquaveclaclpublique. Exemple:BrettsouhaiteenvoyerunmessageDannyenluidonnantlacertitudequilenestbienlauteur, cestdireensignantlemessage.Brettchiffrelemessageavecsaclprive.SiDannyparvientdchiffrer lemessageaveclaclpubliquedeBrett,alorsBrettestbienlauteurdumessage. Brett souhaite envoyer un message Danny en signant le document et en garantissant la confidentialit. Brettprocdeundoublechiffrement:lesdonnessontdabordchiffresavecsaclprive(signature)puis unesecondefoisaveclaclpubliquedeDanny(confidentialit).
Enthorie,ilnestpaspossiblededevinerlaclprivepartirdelaclpublique.Quelquesexemplesdalgorithmes dechiffrementclasymtrique:
G
DSA(DigitalSignatureAlgorithm)standardduNISTquandlalgorithmeRSAtaitencorebrevet.DSApeut treutilisgratuitement. RSA(dunomdesesauteursRivest,Shamir,Adleman)dcriten1977,protgparunbrevetdpos parleMITen1983,brevetquiaexpirle21septembre2000.Certainementlesystmeclpubliqueleplus
- 4-
utilis,exemples:ecommerce,cartesbancaires,SSH... GnrationdesclsRSA Cestentendu,ilnesagitquedesatisfaire,humblement,unpeudecuriositintellectuelle:

G
Choisirdeuxnombrespremierstrsgrandspetq(plusde100chiffres) Calculern =pxq,n estlemoduloduchiffrement Choisirunnombre epluspetitque n etpremieravec(p1)(q1).Pourmmoire,unnombre aestpremier aveclenombrebsiaetbnepartagentaucunfacteurpremierautreque1 Calculerdtelquedxe=1mod[(p1)x(q1)].destcalcullaidedelalgorithmeditdEuclidetendu.Cet algorithmepermetdexprimerlinversedunnombremodulon .
destdonclinversedeedanslarithmtiquemodulo[(p1)(q1)].
G
Laclpubliqueestdonneparlecouple( n ,e)etlaclpriveestd Dcouperlemessageenblocsdelongueuridentique(200octetsouplus) Chiffrerenappliquantlaformulec=(m)emodn Dchiffrerenappliquantlaformulem=(c)dmodn=(m)demodn=m.
Oncomprendpourquoilamthodeestcoteuseenressourcesmachine.Ilestdifficiledetrouverdegrandsnombres premiers et les oprations dans larithmtique modulo n sont difficiles raliser. La scurit de lalgorithme reste assuretantque:
G
Lesnombrespetqquiontservilagnrationdunepairenesontpasdivulgus Factoriserdegrandsnombresresterauneoprationdifficile Calculerlaclprivedpartirdelaclpublique(n ,e)resterasansmthodedersolution.
Lestentatives,nombreuses,pourcasserlalgorithmedechiffrementasymtriquesontpourlemomentmisesen checsilesclssontdelongueursuffisante.Onfrmitlidequelensembledelascuritrseaudelaplante reposesurlepariqueleschosesresterontainsi. Combinaisonasymtriquesymtrique En termes de consommation de ressources machine, les algorithmes cl asymtrique sont beaucoup moins performantsqueleurshomologuesclsymtrique.Lesprotocolesrseaudontlobjetestlascuritlesutilisent par consquent dans les phases de ngociation et dauthentification pralables ltablissement duneconnexion scurise. Une fois en accord pour ouvrir un circuit scuris, les deux parties mettent profit la phase chiffre laide du chiffrement asymtrique pour schanger une cl de session qui servira de cl de chiffrement symtrique pour la totalit des changes dans la suite de la connexion. On peut mme imaginer changer de cl de session de faon rgulire, les cls prissables expirant aprs un certain temps dactivit ou un certain volume dinformations transport. AttaqueManinthemiddle Lesalgorithmesdechiffrementdcritsempchentlcoutefrauduleusemaisrestentsusceptiblesauxattaquesdites dumilieuouattaquesparinterception.
- 5-
Le pirate a intercept la cl publique du serveur. Il envoie au client sa propre cl publique. Le client utilise ses informations de connexion pour tablir une session avec ce quil crot tre le serveur. Le pirate rcupre ces informations quil peut dchiffrer avec sa cl prive. Il lui reste encoder ces informations avec la cl publique du serveur.Lepirateestlafoisclient(illgitime)duserveuretserveur(illgitime)duclient.Clientetserveurcroient tredirectementconnects. Oestlafaillequiarenducetteattaquepossible? Lescertificats Le problme nat du fait que le client a accept la cl publique du pirate comme tant celle du serveur. En fait, la questionestCommenttablirlaconfianceavecuninconnu?Unefoisdeplus,lecomportementquenousfaisons adopternosmachinessecalquesurnosproprescomportements.Onabordequedifficilementuninconnudansla rue.Maissiuntiersdeconfiancevousprsenteuninconnu,alorslaconfiancepeutstablirsansdlaietselonla formulelesamisdemesamissontmesamis. Lquivalentdutiersdeconfianceenmatirederseauxestlautoritdecertification.Cetteautoritrendleservice attenduendlivrantdescertificats.Uncertificatdeclpublique,gnralementappelsimplementuncertificat,est undocumentlectroniquesignnumriquementquilielavaleurduneclpubliquelidentitdelapersonne,dela machineouduservicequicontientlaclprivecorrespondante. LaplupartdescertificatscommunmentutilisssontbasssurlanormedecertificatX.509v3:
Uncertificatcontientlesinformationssuivantes:
G
Laclpubliquedusujet. Desinformationsidentifiantlesujet,parexemplesonnometsonadressedemessagerie. Lapriodedevalidit(durependantlaquellelecertificatestvalide). Desinformationsidentifiantlautoritdecertification. La signature numrique de lautorit de certification qui atteste de la validit de la liaison entre la cl publiquedusujetetlesinformationsdidentificationdecedernier.
Ledemandeurduncertificatenvoielesinformationsdemandesdontlaclpubliquequilutiliseunorganismede certification (VeriSign par exemple). Lorganisme vrifie ces informations puis y ajoute ses propres informations. Il signeensuitelecertificatcestdirequilajouteunrsumdesinformationscontenuesencodavecsaclprive. Il reste au client qui rcupre le certificat dcoder la signature laide de la cl publique de lorganisme de
- 6-
certification(uneclbienconnueenquelquesorte). UncertificatnestvalidequepourladurespcifielintrieurchaquecertificatcontientlesdatesValidepartir du et Valide jusquau qui dfinissent les limites de la priode de validit. Une fois que la priode de validit dun certificatestdpasse,unnouveaucertificatdoittredemandparlesujetducertificatexpir.
3.LeprotocoleSSH
LemodleproposparSSHestcommeTelnetunmodleclientserveur,leportaffectauserveurSSHestleportTCP 22:
LeprotocoleSSHcouvrelauthentification,laconfidentialitetlintgritdesdonnes.
a.SSHversion1
LtablissementduneconnexionscuriseenSSHversion1comportelesphasessuivantes:
G
LeclientinitieunesessionTCPavecleserveur,portserveur22,portclientxxx. LeserveurannoncelaversionduprotocolequilreconnatparexempleSSH1.99Cisco1.25. LeclientfaitdemmeetannonceparexempleSSH1.5PuTTY_Release_0.60.

G
Ces annonces se font en clair. SSH1.99Cisco1.25 signifie protocole SSH version 1.99 implment par Cisco version 1.25. La version de limplmentation est un commentaire facultatif parfois mis profit par certaines implmentations afin de contourner des bogues connus. Si les versionsclientetserveursontcompatibles,alorsltablissementdelaconnexionsepoursuit.Dansle cas prsent, le serveur annonce quil supporte la fois les versions 1 et 2, le client annonce 1, la connexionstabliraenversionSSH1.
ce stade, si ltablissement se poursuit, les deux extrmits basculent vritablement sur le protocole SSH
encapsuldansIP.LeformatdespaquetsSSHestlesuivant:
Lalongueurdubourrageestalatoirede18octets.LeCRC32portesurleschampsbourrage,typedepaquetet donnes.Lepolynmegnrateurest0 xEDB88320.

G
Leserveursidentifieauprsduclientetfournituncertainnombredeparamtresdesession:
G
Sacldhte( HostKey),cestuneclpubliqueRSAquiauthentifieleserveur. Sacldeserveur(ServerKey),cestnouveauuneclpubliqueRSAmaisrgnretouteslesdeux heures. Unesquencealatoirede8octetsappele( Check bytes).Leclientdoitinclurecesoctetsdanssa prochaine rponse. Lobjet de ce cookie alatoire est de rendre plus difficiles les attaques en usurpationdidentit. Desinformationscomplmentairescommelalistedeschiffrementssymtriquessupportsainsique lalistedesauthentificationssupportes.
Parvenucestade,chacundesdeuxcorrespondantsgnreunidentifiantdesessionexprimsur128bitsetqui permettradedistinguerdanslespaquetsquisuiventceuxappartenantlasessionSSHencours.Lidentifiantde sessionestobtenuparunhachageMD5delensemblecldhte+cldeserveur+les8octetscheckbytes. Unpointintressantestlecomportementduclientquandilreoitlacldhte.Leclientsinterroge:cetteclmest elleconnue?Leclientconsulteunebasededonnesdeshtesconnus.Silpeutrpondreoui,toutvabien.Dansle cas contraire, on peut imaginer deux possibilits. Le serveur peut tre inconnu, ou tre connu mais avec une cl dhte diffrente. Dans les deux cas, il est probable que le client sollicite lintervention de ladministrateur pour dcidersilfautfaireconfianceoupaslanouvellecl.ExempleavecPuTTYentantqueclient:
Lasquencedtablissementdelaconnexionscurisesepoursuit:
G
Leclientgnreunecldesession(256bits)etlachiffredeuxfoisenutilisantlapairedeclsRSAissuesdu serveur(cldhte+cldeserveur)puisenvoiecetteclchiffreauserveuraccompagnedelalgorithme
- 8-
dechiffrementsymtriqueretenuainsiqueducookiede64bits.
G
Lesdeuxextrmitsbasculentenmodechiffrsymtriqueenutilisantlalgorithmechoisi.
partirdecemoment,lecanalestchiffrcequienfaituntunneletilpourraitservirbienautrechosequelesimple transportdun shell cestdire dunesessiondeterminalvirtuel,cequenousapprtonsenfaire.Laphase dtablissementdutunnelSSHesttermine,laphasedauthentificationduclientpeutcommencer. Plusieursmthodesdauthentificationsontpossiblesmaisletempsetlespacemanquent,nousnvoqueronsquela mthode dsigne SSH_AUTH_PASSWD. Il sagit dune identification classique la Telnet avec utilisation du couplenom/motdepasse.Leclientenvoielemotdepassesousformetexte(maisilestchiffrparletunnel),motde passeludirectementdepuislentreauclavierdelutilisateur. UnteltablissementatcapturlaidedeWireshark,lecontextetaitlesuivant:Lastation10.0.8.10tablit une connexion SSH sur le serveur SSH 10.0.8.254 (un routeur). La capture est disponible sur le site ENI (cap_2L_02.pcap). La version 1 de SSH nest pas un standard de lIETF et prsente certaines failles de scurit. Il est recommand dutilisersipossiblelaversion2.
b.SSHversion2
LacouchedescuritdeSSH2comportetroissouscouches:
G
UnpremierniveauTransporttablitlacommunicationscuriseentreclientetserveur.Ceniveauestcharg delamanipulationdespaquetsSSH,duchiffrementetdelintgritdesdonnes. Unsecondniveauauthentifielesutilisateurs(lepremierniveauaauthentifilesmachines). Un troisime niveau offre un service de gestion des connexions, ces connexions peuvent comprendre le transfertdeports.
SouscoucheTransport Le standard recommande dencapsuler SSH2 dans un protocole de transport fiable. En effet, toute erreur de transmissionestdtecteparSSHetprovoquelacoupureimmdiatedelaconnexion.CestdoncTCPquiestutilis, lIANAaaffectleportTCP22auserveurSSH. UnefoislasessionTCPtablie(SYN,SYNACK,ACK),lesdeuxpartieschangentunechanedidentificationdontle formatest: SSH-protoversion-softwareversion SP comments CR LF protoversionannoncelaversionduprotocole.DanslecasdeSSH2,lachaneest2.0. softwareversionannoncelaversiondelimplmentationlogicielle. commentsoptionnel,sparparlecaractreEspace(ASCII32).
La taille maximale de cette chane est 255 caractres en incluant les caractres CR LF (Retour chariot et saut de ligne). Unserveurpeutsupporterlesdeuxversionsduprotocolemaisdanscecas,ilannonce1.99.Unserveurstrictement compatible avec la version 2 annonce 2.0. Un client SSH2quiseconnecteunserveurSSH1.99 interprte cette versioncommetantla2.0.Quellessoientattribuesauclientouauserveur,laversion1estincompatibleavecla version2. StructuredupaquetSSH LeformatdupaquetSSH2estlesuivant:
- 9-
Lalongueurdupaquetninclutpaslecodedauthentificationdesmessages.Lesdonnespeuventtrecompresses maisellesnelesontpasinitialement.Lalongueurdubourragenepeutexcder255octets.Latailledunpaquetne peut excder 35000 octets, valeur choisie arbitrairement par SSH2 pour tre suprieure la charge utile non compresseprvueinfrieureougale32768octets. Compression Quandclientetserveurontngociunalgorithmedecompression,cettecompressionsexerceexclusivementsurles donnes.Chaquesensdefluxpeututiliserunemthodedecompressiondiffrentemaislestandardrecommande dutiliserlammemthodepourlesdeuxsensdeflux.Lesmthodesdecompressionsuivantessontactuellement dfinies:
G
Aucuneexige zlibfacultative,compressiondcritedanslesRFC1950et1951.
Chiffrement Le chiffrement sopre laidedunalgorithmengocilorsdelchangedescls.Quandildevienteffectif,toutle contenudupaquetlexceptionducodedauthentificationdemessageestchiffr.Lechiffrementintervienttoujours aprs la compression. Les champs concerns sont longueur de paquet, longueur de bourrage, charge utile et bourrage. nouveau, chaque sens de flux peut utiliser un algorithme diffrent mais nouveau le standard recommande dutiliser le mme algorithme pour les deux sens de flux. Le standard numre les algorithmes suivants: Dsignation 3descbc blowfishcbc twofish256cbc twofishcbc Requis/nonrequis EXIG FACULTATIF FACULTATIF FACULTATIF Description 3DEStroisclsenmodeCBC. BlowfishenmodeCBC. TwofishenmodeCBC,avecuneclde256bits. aliaspour"twofish256cbc"(nefigurequepourdes raisonshistoriques). Twofishavecclde192bits. Twofishavecclde128bits. AESenmodeCBC,avecclde256bits. AESavecclde192bits. AESavecclde128bits. SerpentenmodeCBC,avecclde256bits. Serpentavecclde192bits. Serpentavecclde128bits. chiffrementdefluxARCFOURavecclde128bits. IDEAenmodeCBCmode.
twofish192cbc twofish128cbc aes256cbc aes192cbc aes128cbc serpent256cbc serpent192cbc serpent128cbc arcfour ideacbc
FACULTATIF FACULTATIF FACULTATIF FACULTATIF RECOMMAND FACULTATIF FACULTATIF FACULTATIF FACULTATIF FACULTATIF
- 10 -
cast128cbc aucun
FACULTATIF FACULTATIF
CAST128enmodeCBC. NONRECOMMAND.
Lestandardrecommandeunchiffrementdontlalongueurdeclsoitsuprieureougale128bits. CBCsignifieCipherBlockChaining.Ilsagitdumodeopratoireutilisparlalgorithmedechiffrementpourtraiter lesblocsdoctetsenclairetlesblocschiffrs.LetermechainingrappellequelemodeCBCfaitintervenirdansle chiffrementdublocencourslersultatduchiffrementdublocprcdent:
Le chiffrement "3descbc" est le tripleDES trois cls (chiffrementdchiffrementchiffrement), o les huit premiers octets de la cl sont utiliss pour le premier chiffrement, les huit octets suivants pour le dchiffrement, et les huit octetssuivantspourlechiffrementfinal.Celaexige24octetsdedonnesdecl(dont168bitssontenfaitutiliss. Dans la mesure o cet algorithme a seulement une longueur effective de cl de 112 bits, il ne satisfait pas lexigence de longueur de cl du standard. Cependant, cet algorithme est toujours exig pour des raisons historiques. En effet, lessentieldesmisesen uvre connues au moment de la rdaction du RFC 4253 prenait en chargecetalgorithme,etilestcourammentutilisparcequilestlalgorithmeinteroprablefondamental.Lestandard prvoitpourtantdeledconseillerdsquunalgorithmeplusfort(AES)pourraprtendrelammeuniversalit. Intgritdesdonnes Chacun des deux participants la session SSH effectue un comptage des paquets et donc entretient de manire secrteunnumrodesquencedepaquet.Cenumrodesquenceestassociaucontenudupaquetainsiquun secretpartagpourcalculerleMACoucodedauthentificationdupaquet(MAC: MessageAuthenticationCode)dont lobjetestdevrifierlintgritdesdonnes. LeMACestlacoucheSSHcequelasommedecontrleestlacoucheTCP. Lalgorithmedauthentificationdemessageetlaclsontngocisdurantlchangedecls.Audpart,aucunMAC nestactiv(longueurzro).Unefoisactiv,leMACdupaquetestcalculavantchiffrementdelafaonsuivante: mac = MAC(cl, numro_de_squence || paquet_non_chiffr) paquet_non_chiffrestlepaquetentiersanssquencemac numro_de_squence est le numro du paquet connu grce au comptage des paquets. Ce numro est initialis0pourlepremierpaquetpuisincrmentsystmatiquementchaquepaquetetjamaisremis0. Puisquelecomptageseffectuesur32bits,lenumrorevientnaturellement0aprs232 paquets.
La valeur mac issue de lalgorithme MAC est transmise sans chiffrement la queue du paquet SSH. Sa longueur dpenddelalgorithmechoisi.Lestandardnumrelesalgorithmessuivants: Dsignation hmacsha1 Requis/Nonrequis EXIG Description HMACSHA1(longueurdursum=longueurdecl= 20). 96premiersbitsdeHMACSHA1(longueurdersum =12,longueurdecl=20).
hmacsha196
RECOMMAND
- 11 -
hmacmd5
FACULTATIF
HMACMD5(longueurdersum=longueurdecl= 16). 96premiersbitsdeHMACMD5(longueurdersum= 12,longueurdecl=16). pasdeMACNONRECOMMAND.
hmacmd596
FACULTATIF
aucune
FACULTATIF
Mthodesdchangedecls La mthode dchange de cl spcifie comment les cls de session utilisation unique sont gnres pour le chiffrementetpourlauthentification,etcommentlauthentificationduserveurestfaite. Lestandarddfinitdeuxmthodesdchangesdecls:
G
diffiehellmangroup1sha1EXIG diffiehellmangroup14sha1EXIG.
Algorithmesdeclspubliques Le standard prvoit de fonctionner avec la plupart des formats, nombreux, de cls publiques. Plusieurs aspects dfinissentuntypedeclpublique:
G
Leformatdecl:commentlaclestcodeetcommentsontreprsentslescertificats(eneffet,lesformats declsduprotocoleSSHpeuventcontenirdescertificatsenplusdescls). Lesalgorithmesdesignatureet/ouchiffrement:certainstypesdeclspeuventnepasprendreencharge lafoislasignatureetlechiffrement. Le codage des signatures et/ou donnes chiffres. Cela inclut, sans sy limiter, le bourrage, lordre des octets,etlesformatsdedonnes.
Lesformatsdeclpubliqueet/oudecertificatsuivantssontdfinisactuellement: Dsignation sshdss sshrsa pgpsignrsa pgpsigndss Requis/Nonrequis EXIG RECOMMAND FACULTATIF FACULTATIF Signature? signature signature signature signature Description clDSSbrute. clRSAbrute. certificatsOpenPGP(clRSA). certificatsOpenPGP(clsDSS).
Lesdeuxcorrespondantsannoncentlesformatssupportspuischoisissentunformatcommunmentsupport. SouscoucheAuthentificationdelutilisateur LeprotocoledauthentificationSSHoffresonserviceensappuyantsurleserviceoffertparleprotocoledetransport SSH. changeinitial LauthentificationestprovoqueparleclientlaidedunpaquetSSH_MSG_USERAUTH_REQUEST.Lemotdepasse nest pas inclus dans ce premier message. la rception de ce message, le serveur doit rpondre par lun des messagessuivants:
G
SSH_MSG_USERAUTH_SUCCESSacceptelauthentification SSH_MSG_USERAUTH_FAILURErefuselauthentification
- 12 -
SSH_MSG_USERAUTH_INFO_REQUEST demande dinformation supplmentaire afin de poursuivre lauthentification.
Le standard conseille de ne pas rpondre le message SSH_MSG_USERAUTH_FAILURE au premier message dauthentification par nom dutilisateur. Le comportement prfrer est de rpondre par un message SSH_MSG_USERAUTH_INFO_REQUEST puis de faire suivre ce message par un message SSH_MSG_USERAUTH_FAILUREdiffrdequelquessecondes.Onviteainsidefaciliterlatchedesalgorithmesdits attaque en force brute qui parviendraient autrement valider un nom dutilisateur par un message unique envoyauserveur. Demandesdinformations Le serveur peut demander des informations dauthentification au client laide du message SSH_MSG_USERAUTH_INFO_REQUEST. Un serveur qui gnre ainsi une requte en attend la rponse avant de gnrerventuellementunenouvellerequte.Leclientdoitaccepterunnombrederequtesindfini.Lemessage dinterrogationdfinituntableaudevaleursrcuprer.chaquevaleursontassocisuneinvitedecommandes afficher lutilisateurainsiquunboolenquiprcisesiouiounonlarponseentreparlutilisateurdoitsafficher (pasdchodistant,leboolenditcholocaloupasdcholocal). Une fois collectes les rponses de lutilisateur, le client gnre un message de rponse SSH_MSG_USERAUTH_INFO_RESPONSE. Le message doit contenir autant de rponses que demandes dans le messagederequteetdeplus,lesrponsesdoiventtredisposesdansunordreidentiqueceluidesquestions respectivesposesdanslemessagederequte. Leserveurquireoitlemessagederponsedoitrpondrelaide de lunedestroisrponsespossibles:succs, chec ou demande dinformations supplmentaires. En cas dchec, le standard recommande de nenvoyer le message dchec quaprs quelques secondes dattente (gnralement 2 secondes) ce, toujours dans le but de compliquerlatchedesalgorithmesdattaque. SouscoucheConnexion La version 2 de SSH dfinit un troisime protocole qui sappuie sur le protocole dauthentification prcdent. Son objetestdepermettrelexcutiondecommandesdistance,letransfertdeconnexionsTCPetdeconnexionsX11 (prisedemaindistancedansunenvironnementgraphique).Chaquefonctionnalitofferteprovoqueltablissement decanauxSSH,chaquecanalpeuttreinitilaidedemessagesparlunouparlautrecorrespondant. UntablissementSSH2atcapturlaidedeWireshark,lecontextetaitlesuivant:Lastation10.0.8.10tablit une connexion SSH sur le serveur SSH 10.0.8.254 (un routeur). La capture est disponible sur le site ENI (cap_2L_03.pcap).
4.Miseenuvre
Objectifs
G
LamiseensituationrutiliselecontextepropospourlatelierSYSLOG,contextequiavaittprparpour ltudedeslistesdecontrledaccs. OnseproposedeprendrelamainviaSSHsurR100mdepuisunestationconnecteLAN8.Pourmmoire, dans le tout premier chapitre de louvrage, nous avions ajout sur la machine hte un adaptateur rseau virtuelconnectVMnet8etdoncLAN8.PuTTYexcutsurlamachinehtepermettracetteconnexionSSH. DepuislasessionSSHouvertesurR100m,onseproposedeprendrelamainviaSSHsurlerouteurR120m.
tape1:adopterlabonneversiondIOS
I
Assurezvous que lIOS utilis supporte SSH. Sil sagit de prendre la main sur un routeur depuis une station, le routeurdoitdisposerdeSSHserver,etparsuiterequiertlesupportdeIPsecetdesesalgorithmesdechiffrement (DESou3DES).CestlecasquandlenomdelimagecomportelalettreK(SupportdeIPsecetdeSSH),lemieux tantencoredadopteruneversionquiportelesymboleK9(Supportdelacryptographiefortesavoir3DESet AES).ReliresincessairelechapitreGestiondelaplateformelogicielleCISCOIOS. Sil sagit de prendre la main sur un routeur R2 depuis un autre routeur R1, alors lIOS de R1 doit avoir la fonctionnalitSSHclient,cestlecasdepuislaversion12.1(3)T. Pournotrepart,laplateformeutiliserestele2621dotdelimagec2600advipservicesk9mz.12418a.bin.
- 13 -
tape2:crerlabasedecomptes
I
moinsquecenaitdjtfaitdansunatelierprcdent,crezlesdeuxcomptesutilisateur:
R100m(config)#username brett password tamajeste R100m(config)#username danny password fulton R100m(config)#^Z R100m# tape3:activerlamthodedauthentificationlocale
I
Sincessaire,relisezlasectioncorrespondantedanscechapitre. ActivezlemodleAAA:
R100m(config)#aaa new-model R100m(config)#aaa authentication login auth_locale local tape4:doterlerouteurdunnompleinementqualifi(FQDN) Lamiseen uvredeSSHrequiertdecrersurlerouteurunepairedecls(publique/prive)RSA.Laclpriveest conserveparlerouteuretinscritedanslapartitionNVRAM.Laclpubliqueserafournieauclientafindechiffrerla phase de ngociation et dauthentificationpralablelchange proprement dit. La paire est identifie par un nom. Ladministrateurpeutauchoixgnrerunepairenommeetdanscecasluiattribuerunnomougnrerunepaire sanslanommeretdanscecaslIOSnommelapairehostname.domain_name.
I
Nommezlerouteurpuisrenseignezlenomdedomaineauquelilappartient(reliresincessairelasectionRsolution denomsduchapitreTchesdeconfigurationdesrouteurs):
Router(config)#hostname R100m R100m(config)#ip domain-name ccna.fr R100m(config)#^Z R100m# tape5:doterlerouteurdunepairedeclsRSA Lacommandemettreen uvreestcryptokeygeneratersadontlasyntaxeestlasuivante: crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:][redundancy][on devicename:] Lesargumentsmajeursdelacommandesont: generalkeys Optionnel,creunepairedeclsusagegnral,cestlechoixpardfaut. usagekeys Optionnel,credeuxpairesdeclsdontuneddieauchiffrement,lautrelasignature. signature Optionnel,creunepairedeclsddielasignature. encryption Optionnel,creunepairedeclsddieauchiffrement. labelkeylabel
- 14 -
Optionnel,nommelaclcequiestncessairesiladministrateursouhaitelexporter.Quandaucunnomnestspcifi, lIOSutiliselenompleinementqualifidurouteur. exportable Optionnel,rendlapaireexportableversunautrequipementCISCO. modulusmodulussize Optionnel,spcifielatailledelacl. Pardfaut,latailleduneclissueduneautoritdecertification(CA)est1024bits.Lataillerecommandeest2048 bits.Lacommandeacceptetoutetailledeclcompriseentre350et4096bits. Attention:gnreruneclde512bitssuruneplateforme4700prendunesecondemaisgnreruneclde2048 bitssuruneplateforme2500prenduneheure! storagedevicename: Optionnel,spcifielapartitionsurlaquelleseraenregistrelapairedecls. Silerouteurdisposedjdunepaire(oudeux)declsRSA,lexcutiondelacommandeprovoqueunavertissement avantderemplacerla(oules)paireexistanteparlapaireencoursdecration.Outrelapairedusagegnraloules deuxpairesddiesauchiffrementetlasignature,lexcutiondelacommandeprovoquelacrationdunepairede clsddieSSH.CettepaireestexclusivementutiliseparSSHetlIOSlanommehostname.domain_name.server La commande nest pas rellement une commande de configuration mme sil faut la provoquer en mode de configuration globale. Cest pourquoi elle nest pas sauvegarde dans le fichier de configuration runningconfig. Cependant, les cls gnres par la commande sont sauvegardes en NVRAM (dans un fichier cach et non transfrable vers un autre dispositif) en mme temps que ladministrateur provoque une sauvegarde de la configurationcourante.Hlas,cefonctionnementnestpasreproduitparlaplateformemulelaidedeDynamips. Lamanipulationrestepossiblemaisencasderedmarragedelatopologie,ilfaudragnrernouveaulescls. Les cls ne font pas partie de la configuration mais cest pourtant la commande de sauvegarde de la configurationquiprovoquegalementlasauvegardedescls.
Si la configuration nest pas sauvegarde, les cls gnres seront perdues au prochain rechargement du routeur! Appliqueaucasprsent: R100m(config)#crypto key generate ? rsa Generate RSA keys <cr> R100m(config)#crypto key generate rsa ? general-keys Generate a general purpose RSA key pair for signing and encryption usage-keys Generate separate RSA key pairs for signing and encryption <cr> R100m(config)#crypto key generate rsa general-keys ? exportable Allow the key to be exported label Provide a label modulus Provide number of modulus bits on the command line <cr> R100m(config)#crypto key generate rsa general-keys modulus ? <360-2048> size of the key modulus [360-2048] R100m(config)#crypto key generate rsa general-keys modulus 1024 ? exportable Allow the key to be exported <cr> R100m(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: R100m.ccna.fr
- 15 -
% The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R100m(config)# *Mar 1 01:59:15.531: %SSH-5-ENABLED: SSH 1.99 has been enabled R100m(config)#^Z R100m# *Mar 1 02:00:23.391: %SYS-5-CONFIG_I: Configured from console by brett on console R100m#copy run start Destination filename [startup-config]? Building configuration... [OK] R100m# Observez dans la capture cidessus, la cration de la paire de cls saccompagne de lactivation de SSH sur le routeur.OnapprendgalementquelaversionsupportedeSSHestlaversion1.99,cequisignifiequeleserveur SSHenplaceacceptelesconnexionsquellessoientissuesdeclientsSSH1ouSSH2. Vrifiezquelesclssonteffectivementcres:
R100m#sh crypto key ? mypubkey Show public keys associated with this router pubkey-chain Show peer public keys R100m#sh crypto key mypubkey ? rsa Show RSA public keys R100m#sh crypto key mypubkeyrsa % Key pair was generated at: 01:59:15 UTC Mar 1 2002 Key name: R100m.ccna.fr Usage: General Purpose Key Key is not exportable. Key Data: 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D1D6C4 DC64DBC9 11C786FF 9794310C 587121DE 623804E2 053FCC82 09200431 041C47A9 68F7ED05 BEF2332E 1E55A63F 48159085 52E87745 B6BAB5B4 61696FAC 14374CEB 0BE0FEBC 8C9BCD46 C9BD943A 49959014 F0173B81 E3533B22 5167388A 61B7781C AC45EE7F 57103E87 C63638DE 7282E702 D4378418 6390055D 908976D2 01020301 0001 % Key pair was generated at: 01:59:15 UTC Mar 1 2002 Key name: R100m.ccna.fr.server Usage: Encryption Key Key is not exportable. Key Data: 307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00B042AA FDE95871 EE6DDB3F DE2DFF1C 3518882D 14E41865 6625997D 6F264B1E B9809261 C0D7B152 89CDFA98 BA8F9B0D 3997C9A7 BA700F5D 990402BB 6DA1974A DFFC7F08 1D9F7473 A0A15799 8E86EE47 BFA3387F 4E8868EC FF5CD9A8 ACEBC1E2 A3020301 0001 R100m# Ainsi,lacommandecryptokeygeneratersaaengendrdeuxcls,luneprvuepourunusagegnral,lautreddie SSH. tape6:rglerlesparamtresdelauthentificationssh Enmettantprofitlacommandeipsshenmodedeconfigurationglobale: ipssh [timeout seconds | authentication-retries integer] ...dontlesargumentssontlessuivants: timeout Optionnel, rgle le temps dattentedelarponseduclientparSSHServer.Cetempsneconcernequelaphasede ngociationdeSSH.Unefoislasessionouverte,cestletemporisateurtimeoutappliquauxlignesvtyquisapplique galementlasessionSSH.Cetemporisateurexpirepardfaut10minutesaprsledmarragedesession. seconds
- 16 -
Optionnel,exprimenseconds.Tempsmax=Tempspardfaut=120s. authenticationretries Optionnel,nombredetentativesdouverturesdesessionadmises. integer Optionnel,nombredetentatives,5maxi,3pardfaut.

I
Rglezlesparamtresdelauthentificationsshcommesuit:
R100m(config)#ip ssh time-out 120 R100m(config)#ip ssh authentication-retries 4 R100m(config)#^Z R100m# Vrifiezlaconfigurationobtenue:
R100m#sh ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 4 R100m# Commentvrifierlessessionsencours?:
R100m#sh ssh %No SSHv2 server connections running. %No SSHv1 server connections running. R100m# La rponse cette commande show est riche denseignements puisquon y dcouvre comment limplmentation de CISCOsupportelafoislesversions1et2duprotocoleSSH.Ciscoasimplementprvudeuxserveursetunsystme daiguillageversleserveuradquat.LadministrateurpeutimposerlaversiondeSSHutiliser.Dmonstration: R100m(config)#ip ssh version ? <1-2> Protocol version R100m(config)#ip ssh version 2 R100m(config)#^Z R100m#sh ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 4 R100m#sh ssh %No SSHv2 server connections running. %No SSHv1 server connections running. Passageparlaversion1,puisretouraucomportementpardfaut: R100m(config)#ip ssh version 1 R100m# R100m#sh ip ssh SSH Enabled - version 1.5 Authentication timeout: 120 secs; Authentication retries: 4 R100m#conf t Enter configuration commands, one per line. End with CNTL/Z. R100m(config)#no ip ssh version R100m(config)#^Z R100m#sh ipssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 4 Cestuneconfirmation,ilfautconclurequelaffichageversion1.99doittreinterprtcommelapossibilitpourle routeurdouvririndiffremmentunesessionSSH1quunesessionSSH2.
tape7:imposerletransportdelasessiondeterminalvtyparssh Sinouslaissionslaconfigurationdanscettat,louverturedesessionparTelnetresteraitpossible: R100m(config)#line vty 0 4 R100m(config-line)#tra R100m(config-line)#transport ? input Define which protocols to use when connecting to the terminal server output Define which protocols to use for outgoing connections preferred Specify the preferred protocol to use R100m(config-line)#transport input ? all All protocols mop DEC MOP Remote Console Protocol none No protocols pad X.3 PAD rlogin Unix rlogin protocol ssh TCP/IP SSH protocol telnet TCP/IP Telnet protocol udptn UDPTN async via UDP protocol v120 Async over ISDN R100m(config-line)#transport input ssh ? mop DEC MOP Remote Console Protocol pad X.3 PAD rlogin Unix rlogin protocol telnet TCP/IP Telnet protocol udptn UDPTN async via UDP protocol v120 Async over ISDN <cr> R100m(config-line)#transport input ssh R100m(config-line)#^Z R100m# Observez quen fait, la commande transport admet une liste de protocoles potentiels. Ainsi, entrer la commande transportinputsshtelnetpermettraitautantuneouverturedesessionparSSHqueparTelnet. tape8:testdelouverturedesessionsurR100mviaSSH IlesttempsdexplorerlespossibilitsdePuTTYencedomaine:
- 18 -
tiquettes1,2et3 LadministrateurindiqueladresseIPdurouteurobjetdelaprisedemainpuiscochele protocoledetransportSSH.ObservezleportTCPcorrespondantsoit22. tiquettes 4, 5 et 6 Ladministrateur peut souhaiter ou imposer une version du protocole SSH. Naturellement, en production, la version 2 est prfrer quand elle est supporte. Adoptons un comportementexploratoireenprfrantdansunpremiertempslaversion1duprotocole. tiquettes7,8LadministrateurrglelecomportementduclientSSHPuTTYdanslerenouvellementdescls desession.CecineconcernequelessessionsouvertesavecSSHversion2.
Ouvrezlasession(tiquette9). VrifiezlaidedunecommandeshowsshlaversiondeprotocoleSSHutiliseetparsuitequelatlalgorithme dechiffrementchoisipourcrerletunnelscurisSSH.LalgorithmeAESnepeuttreutilisqueparSSH2,PuTTYa tentdengocierBlowfishsanssuccs,letroisimealgorithmedelalistetait3DES,cetalgorithmeconvenait auxdeuxparties:
login as: danny Sent username "danny" danny@10.0.8.254s password: R100m>en Password: R100m#sh ssh Connection Version Encryption 66 1.5 3DES %No SSHv2 server connections running. R100m#
State Session started
Username danny
- 19 -
FermezcettesessionpuisconfigurezPuTTYafindeprfrerSSH2laprochaineouverture. Ouvreznouveaulasessionetobservezquecettefois,lalgorithmedechiffrementestAES:
login as: danny Using keyboard-interactive authentication. Password: R100m>sh ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication R100m>en Password: R100m#sh ssh Connection Version Mode Encryption Hmac 66 2.0 IN aes256-cbc hmac-sha1 66 2.0 OUT aes256-cbc hmac-sha1 %No SSHv1 server connections running. R100m#
retries: 4
State Session started Session started
Username danny danny
Observezgalementlapparitiondunecolonnesupplmentairequirenseignesurlecontrledintgritchoisi,hmac sha1danslecasprsent.Autrediffrencenotableaveclaversion1:Ilfautdeuxlignespourdcrirelasessionen cours.Eneffet,puisquilestpossibledimposerunalgorithmedechiffrementetunalgorithmedintgritdiffrents pourchaquesensdeflux,lacommandeafficheuneligneparsensdeflux(IN,OUT).
tape9:activerSSHsurR120m UneautrefacultdelIOSestdepouvoircrerdesclsRSAnommes.Danscecas,ltapepralablequiconsistait doterlerouteurdunnompleinementqualifinestpasindispensable: R120m(config)#ip domain-name ccna.fr R120m(config)#^Z R120m# SurR120m,gnrezunepairedeclsnommecle_RSA_pour_SSH:
R120m(config)#crypto key generate rsa general-keys label cle_RSA_pour_SSH ? exportable Allow the key to be exported modulus Provide number of modulus bits on the command line <cr> R120m(config)#$generate rsa general-keys label cle_RSA_pour_SSH modulus 1024 The name for the keys will be: cle_RSA_pour_SSH % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R120m(config)# Mar 1 00:05:25.139: %SSH-5-ENABLED: SSH 1.99 has been enabled R120m(config)#^Z R120m# ObservezlemessageSYSLOGquiavertitdelactivationdeSSH1.99.
I
Vrifiezquelesclssonteffectivementcres:
R120m#sh crypto key mypubkey rsa % Key pair was generated at: 00:05:25 UTC Mar 1 2002 Key name: cle_RSA_pour_SSH Usage: General Purpose Key Key is not exportable. Key Data: 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E2BBDB
- 20 -
B50E39F6 309CFBF0 03C03121 C59C60D5 F32D717A A49EA7B9 2B0E7CCC 3DE7CB6A 09E46CF4 4FA7B9BE 49851696 6179DF1F 63E18693 79C15F42 4E17D5A5 1904D948 % Key pair was generated at: 00:05:25 Key name: cle_RSA_pour_SSH.server Usage: Encryption Key Key is not exportable. Key Data: 307C300D 06092A86 4886F70D 01010105 D72C474A 7FDEB6A0 4909511B 92E53AC1 002AA4F5 671E3FE0 6AD7B8E3 60903D5D D053E6AA 3072DB55 E7B3D1A1 39535D0C
C593E2A7 F3FBE2D8 8BBDCB93 58F82743 D6B28C8E CE3271F8 97AA3EB9 F94E8748 UTC Mar 1 2002
ADECA102 5A006F6C 1D4E33E1 04D85DB5
47228EE1 94CE6B3C 42F81B7D 2D020301 0001
00036B00 C9A83CA8 BC0B3D86 BF49890C
30680261 CE195ACF FDF7F74D 4E7C96DB
00DF4136 08505544 C02BCFF8 21020301
259E7A4E E1AAC8B6 FC90542F 0001
tape10:rglerlesparamtresdelauthentificationssh
I
AjustezcesparamtreslidentiqueavecR100m:
R120m(config)#ip ssh time-out 120 R120m(config)#ip ssh authentication-retries 4 R120m(config)#^Z R120m# tape11:imposerletransportdelasessiondeterminalvtyparssh Sinouslaissionslaconfigurationdanscettat,louverturedesessionparTelnetrestepossible: R120m(config)#line vty 0 4 R120m(config-line)#transport input ssh R120m(config-line)#^Z R120m# Observez quen fait, la commande transport admet une liste de protocoles potentiels. Ainsi, entrer la commande transportinputsshtelnetpermettraitautantuneouverturedesessionparSSHqueparTelnet. tape12:attribuerlaclnommessh
I
CommenonsparuneerreurvolontaireafindobserverlecomportementdelIOS:
R120m(config)#ip ssh rsa keypair-name cle_RSA_pour_SSH.server Please create RSA keys to enable SSH. R120m(config)# Mar 1 00:08:56.655: %SSH-5-DISABLED: SSH 1.99 has been disabled LenomdeclnapastreconnuparlIOSquienconclutqueladministrateurdoitencorecrercettepaire(Please createRSAkeystoenableSSH).Enattendant,SSHestdsactiv.
I
AttribuezlapaireenlanommanttellequattendueparlIOS:
R120m(config)#ip ssh rsa keypair-name cle_RSA_pour_SSH R120m(config)# Mar 1 00:09:41.759: %SSH-5-ENABLED: SSH 1.99 has been enabled R120m(config)#^Z Mar 1 00:10:16.207: %SYS-5-CONFIG_I: Configured from console by danny on console R120m#copy run start Destination filename [startup-config]? Building configuration... [OK] R120m# tape13:ouvrirunesessionSSHdepuisR100msurR120m
I
La commande ssh permet douvrir une session vers un serveur SSH (cette commande active donc un client SSH).
- 21 -
Observezquelleadmetdenombreuxargumentsquipermettentdtablirunesessionsurmesures: R100m#ssh ? -c Select encryption algorithm -l Log in using this user name -m Select HMAC algorithm -o Specify options -p Connect to this port -v Specify SSH Protocol Version WORD IP address or hostname of a remote system R100m#ssh -c ? 3des triple des SSHv2 only cipher list: aes128-cbc AES 128 bits aes192-cbc AES 192 bits aes256-cbc AES 256 bits R100m#ssh -l ? WORD Login name R100m#ssh -m ? SSHv2 Hmac list: hmac-md5-128 hmac-md5 MD5 based HMAC(128 bits) hmac-md5-96 MD5 based HMAC(96 bits) hmac-sha1-160 hmac-sha1 SHA1 based HMAC(160 bits) hmac-sha1-96 SHA1 based HMAC(96 bits) R100m#ssh -o ? numberofpasswordprompts R100m#ssh -p? -p WORD R100m#ssh -v? -v WORD R100m#ssh -v ? 1 Protocol Version 1 2 Protocol Version 2 Utilisezcettedclinaisondelacommande:
Specify number of password prompts
R100m#ssh -l danny 10.0.8.253 Password: R120m>sh ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 R120m>sh ssh Connection Version Mode Encryption Hmac State 66 1.99 IN aes128-cbc hmac-sha1 Session started 66 1.99 OUT aes128-cbc hmac-sha1 Session started %No SSHv1 server connections running. R120m>exit [Connection to 10.0.8.253 closed by foreign host] R100m# Cetatelierestmaintenanttermin.
Username danny danny
- 22 -
1.Questions
LaplupartdesthmesexpossdanscechapitrenesontpasrellementdesattendusdelacertificationCCNAetont pour but daider le lecteur devenir un administrateur surentran. Les quelques questions qui suivent ont donc surtoutpourobjetdedonnerlenviedelirelechapitre: 1 QuelestlobjetdumodleAAAdeCISCO? 2 UnadministrateurvientdecrerunepairedeclsRSAsurunrouteur.Ilreoitunmessagedavertissement %SSH5ENABLED:SSH1.99hasbeenenabled.Quepeutilconclure? 3 QuellecommandedelinterfaceILCfautilutiliserpourprovoquerlaffichagedesmessagesSYSLOGsurla sessiondeterminalvirtuelencours? 4 UnefoislemodleAAAmisenplacesurunrouteur,lesidentifiantsdescomptesutilisateurssontilsstockssur lerouteurousurunserveurcentralistypeRADIUSouTACACS? 5 Pourquoiestilindispensablededfinirqueldomaineappartientunrouteuravantdegnrerunepairede clsRSA? 6 LespairesdeclsRSAgnressurunrouteurnefontpaspartiedufichierdeconfiguration.Comment ladministrateursassuretildeleursauvegarde? 7 UnadministrateurdevosamissouhaitesubstituerSSHTelnetquilutilisaitjusquicipouradministrerses routeurs.Unecommandeshowversionsuraumoinslundesquipementsdontilalachargeluiconfirmequela versiondIOSencoursdusageestc2600imz.12326.bin.Queluiditesvous?
2.Rsultats
3.Rponses
1 QuelestlobjetdumodleAAAdeCISCO? Proposer un modle de scurit qui prenne en compte trois lments fondamentaux : lauthentification, les autorisationsetlatraabilit(Accounting)(reliresincessairelasectionLemodleAAA). 2 UnadministrateurvientdecrerunepairedeclsRSAsurunrouteur.Ilreoitunmessagedavertissement %SSH5ENABLED:SSH1.99hasbeenenabled.Quepeutilconclure? Le serveur de lquipement supporte autant SSH version 1 que SSH version 2 (relire si ncessaire la section Le protocoleSSH). 3 QuellecommandedelinterfaceILCfautilutiliserpourprovoquerlaffichagedesmessagesSYSLOGsurla sessiondeterminalvirtuelencours? Router#terminal monitor (ReliresincessairelasectionJournalisation,leprotocoleSYSLOG). 4 UnefoislemodleAAAmisenplacesurunrouteur,lesidentifiantsdescomptesutilisateurssontilsstockssur lerouteurousurunserveurcentralistypeRADIUSouTACACS? LemodleAAAdeCiscopermetindiffremmentdentretenirlescompteslocalementousurunserveurcentralis.La seconde solution est prfrer puisquainsi, chaque compte nest crer quune seule fois (relire si ncessaire la sectionQuestcequelauthentification). 5 Pourquoiestilindispensablededfinirqueldomaineappartientunrouteuravantdegnrerunepairede clsRSA? Ladministrateurpeutauchoixgnrerunepairenommeetdanscecasluiattribuerunnomougnrerunepaire sans la nommer et dans ce cas lIOSnommelapairehostname.domain_name .Maiscettesecondefacultaun prrequis : le routeur doit tre dot dun nom de domaine (relire si ncessaire la section Adoptez SSH Mise en uvre).
6 LespairesdeclsRSAgnressurunrouteurnefontpaspartiedufichierdeconfiguration.Comment ladministrateursassuretildeleursauvegarde? Quand le routeur est dot de paires de cls RSA, la commande copy running config startup config est une commandedoubleeffet:lepremiereffetestconnu,ilconsistesauvegarderlefichierdeconfigurationcourante,le secondeffetnesemanifestequencasdeprsencedepairesdeclsRSAquisontalorssauvegardesetcachesen NVRAM(reliresincessairelasectionAdoptezSSHMiseenuvre). 7 UnadministrateurdevosamissouhaitesubstituerSSHTelnetquilutilisaitjusquicipouradministrerses routeurs.Unecommandeshowversionsuraumoinslundesquipementsdontilalachargeluiconfirmequela versiondIOSencoursdusageestc2600imz.12326.bin.Queluiditesvous? Vous lui dites que SSH nest support qu la condition de disposer dun IOS dot des fonctionnalits cryptographie forte,cequilestfaciledidentifierparlaprsencedusymbolek9danslenomdelimageIOS(reliresincessairela sectionAdoptezSSHMiseenuvreainsiquelechapitreGestiondelaplateformelogicielleCISCOIOS).
- 2-
Chapitre4Leroutagestatique
Propositiondetopologie
1.Tche1:Conceptionduplandadressage
Tableaudedocumentationdesadresses: Affectation Rseau Premireadresse Dernireadresse Adressede diffusion 10.0.1.127 10.0.1.191 10.0.1.223 10.0.1.227 10.0.1.231
LAN11 LAN8 LAN12 WANR80R110 WANR80R120
10.0.1.0/25 10.0.1.128/26 10.0.1.192/27 10.0.1.224/30 10.0.1.228/30
10.0.1.1 10.0.1.129 10.0.1.193 10.0.1.225 10.0.1.229
10.0.1.126 10.0.1.190 10.0.1.222 10.0.1.226 10.0.1.230
Tableaudedocumentationdesinterfaces: quipement R80 Interface F0/0 S0/0 S0/1 R110 F0/0 S0/0 R120 F0/0 AdresseIP 10.0.1.129 10.0.1.226 10.0.1.230 10.0.1.1 10.0.1.225 10.0.1.193 Masque 255.255.255.192 255.255.255.252 255.255.255.252 255.255.255.128 255.255.255.252 255.255.255.224 Passerelle Sansobjet Sansobjet Sansobjet Sansobjet Sansobjet Sansobjet
- 1-
S0/1 PCL80 PCL110 PCL120 PCHte VMnet8 VMnet1 VMnet2 VMnet8
10.0.1.229 10.0.1.190 10.0.1.126 10.0.1.222 10.0.1.189
255.255.255.252 255.255.255.192 255.255.255.128 255.255.255.224 255.255.255.192
Sansobjet 10.0.1.129 10.0.1.1 10.0.1.193 10.0.1.129
LadministrateuraremplicestableauxsansdifficultgrceauprcieuxconcoursdutableauVLSMdichotomiquequila construitaupralablepoursegmenterlespacedadressage10.0.1.0/24:
- 2-
2.Introductionderoutesstatiques
a.Routesstatiquesavecadressedesautsuivant
LetableaucidessousimaginequelquespaquetsparvenusR110.Pourchacundespaquets,indiquezcommentse comporteralerouteur,vatiltransfrerourejeter?Quelleestlinterfaceutilisequandiltransfre? Paquet 1 2 3 4 5 AdresseIPdedestination 10.0.1.229 10.0.1.190 10.0.1.226 10.0.1.222 10.0.1.126 RejetouTransfert? Rejet Transfert Transfert Rejet Transfert Interfacedesortie Sansobjet S0/0 S0/0 Sansobjet F0/0
b.Routestatiqueavecinterfacedesortie
Cettesecondepartiedatelierestmoinsguidedessein.Lelecteuracertainementhtedtreautonome.Alors, jetonsnousleau...
I
SurlaconsoledeR80,tentezunecommandepingversPCL120.
Cettecommandedoitchouer,R80nedisposantpasderouteverslerseauLAN12.
- 3-
SurR80,ajoutezuneroutestatiquedetypeinterfacedesortieverslerseauLAN12.
R80#conf t Enter configuration commands, one per line. End with CNTL/Z. R80(config)#ip route 10.0.1.192 255.255.255.224 s0/1 R80(config)#^Z R80# 00:09:49: %SYS-5-CONFIG_I: Configured from console by console R80#copy run start Destination filename [startup-config]? Building configuration... [OK] R80# SurlaconsoledeR80,tenteznouveauunecommandepingversPCL120.
R80#ping 10.0.1.222 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/66/108 ms R80# Ladministrateur souhaite vrifier la connectivit de PCL80 PCL120 sans se dplacer, cestdire en restant devantlaconsoledeR80.
I
SurlaconsoledeR80,utilisezunecommandepingtendueafindevrifierlaconnectivitdePCL80PCL120.
R80#ping 10.0.1.222 source 10.0.1.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.129 ..... Success rate is 0 percent (0/5) R80# LacommandechoueparcequeR120neconnatpasderouteverslerseauLAN8.
I
SansvousdplacersurlaconsoledeR120,enrestantsurR80donc,ouvrezunesessionTelnetsurR120puis ajoutezuneroutestatiquepardfautdetypeadressedesautsuivant.FermezlasessionTelnetafinderevenir lasessionconsolesurR80.
R80#telnet 10.0.1.229 Trying 10.0.1.229 ... Open User Access Verification Password: R120>en Password: R120#conf t Enter configuration commands, one per line. End with CNTL/Z. R120(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230 R120(config)#^Z R120#copy run start Destination filename [startup-config]? Building configuration... [OK] R120#exit [Connection to 10.0.1.229 closed by foreign host] R80#
- 4-
SurlaconsoledeR80,utiliseznouveauunecommandepingtendueafindevrifierlaconnectivitdePCL80 PCL120.
R80#ping 10.0.1.222 source 10.0.1.129 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds: Packet sent with a source address of 10.0.1.129 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/426/1840 ms R80# LesrequtesICMPobtiennentleursrponses.Bravo,vousnignorezplusgrandchoseduroutagestatiqueetavez encoreprogressdanslemaniementdelinterfaceILCetdescommandesdelIOS.
- 5-
Chapitre5LeprotocolederoutagetypevecteurdedistanceRIPv1
1.Atelier:MiseenuvreduneconfigurationRIP
Vousvoilpromuadministrateurdurseausuivant:
Vous remarquez que le lien de secours WAN33 est une ressource dormante et souhaitez tablir un partage de charge cot gal sur trois routes entre LAN12 et LAN21. Les trois routes sont constitues des deux routes existantesauxquellesdevraitsadditionnerlarouteparWAN33. ModifiezlaconfigurationdeR120etdeR210enconsquence,sansremettreencauselechoixduprotocoleRIP. LideconsistemettreprofitlacommandeoffsetlistdjenplacesurchacundesdeuxrouteursR120etR210.En ajoutantunoffsetdevaleur2lamtriqueannoncedesrseauxLAN12etLAN21,lecotdelarouteparWAN33 atteignait 3, soit une valeur suprieure celle des routes alternatives par R110 et R220. Mais en se contentant dajouterunoffsetdevaleur1,laroutersultanteparWAN33voitsoncotramenunevaleuridentiquecelle desdeuxroutesalternatives.
I
SurR120:
R120(config)#router rip R120(config-router)#offset-list 1 in 1 s0/2 R120(config-router)#^Z R120# SurR210:
R210(config)#router rip R210(config-router)#offset-list 1 in 1 s0/2 R210(config-router)#^Z R210# RecettesurR120:
R120#sh ip route ......... Gateway of last resort is 172.16.34.22 to network 0.0.0.0 172.16.0.0/24 is subnetted, 8 subnets 172.16.43.0 [120/1] via 172.16.34.22, 00:00:04, Serial0/1
- 1-
R C C R
C C R R* R120#
[120/1] via 172.16.33.21, 00:00:22, Serial0/2 172.16.32.0 [120/1] via 172.16.23.11, 00:00:17, FastEthernet0/1 [120/1] via 172.16.33.21, 00:00:22, Serial0/2 172.16.33.0 is directly connected, Serial0/2 172.16.34.0 is directly connected, Serial0/1 172.16.21.0 [120/2] via 172.16.34.22, 00:00:04, Serial0/1 [120/2] via 172.16.23.11, 00:00:17, FastEthernet0/1 [120/2] via 172.16.33.21, 00:00:22, Serial0/2 172.16.23.0 is directly connected, FastEthernet0/1 172.16.12.0 is directly connected, FastEthernet0/0 172.16.11.0 [120/1] via 172.16.23.11, 00:00:17, FastEthernet0/1 0.0.0.0/0 [120/1] via 172.16.34.22, 00:00:06, Serial0/1
RecettesurR210:
R210#sh ip route ......... Gateway of last resort is 172.16.43.22 to network 0.0.0.0 172.16.0.0/24 is subnetted, 8 subnets 172.16.43.0 is directly connected, Serial0/0 172.16.32.0 is directly connected, Serial0/1 172.16.33.0 is directly connected, Serial0/2 172.16.34.0 [120/1] via 172.16.43.22, 00:00:21, Serial0/0 [120/1] via 172.16.33.12, 00:00:01, Serial0/2 172.16.21.0 is directly connected, FastEthernet0/0 172.16.23.0 [120/1] via 172.16.33.12, 00:00:01, Serial0/2 [120/1] via 172.16.32.11, 00:00:03, Serial0/1 172.16.12.0 [120/2] via 172.16.43.22, 00:00:21, Serial0/0 [120/2] via 172.16.32.11, 00:00:03, Serial0/1 [120/2] via 172.16.33.12, 00:00:01, Serial0/2 172.16.11.0 [120/1] via 172.16.32.11, 00:00:03, Serial0/1 0.0.0.0/0 [120/1] via 172.16.43.22, 00:00:19, Serial0/0
C C C R C R R
R R* R210#
Vous aussi pouvez observer trois routes RIP cot gal entre LAN12 et LAN21, peuttre avec une solution diffrente.Quoiquilensoit,bravo,votrematrisedeRIPnefaitaucundoute.
- 2-
Chapitre7LeprotocolederoutagetypevecteurdedistanceRIPv2
1.TP:MiseenuvreduneconfigurationRIPv2
Biensr,rienninterditaulecteurdereproduirelensembledestopologiesduchapitre7dansGNS3maisilfautbien avouerquefairefonctionnerlessixrouteursdesateliers7Aet7Bnestpasuneminceaffaire,lensembleamanqu cruellementdestabilitsurlamachinedelauteur,malgrsesefforts. Plus modestement, proposonsnous dutiliser la topologie cidessous qui avait servi illustrer les limites dun protocole de routage avec classe. Le domaine couvert par le rseau 10 est scind en deux parties. Par ailleurs, le masqueadoptpourdcouperlerseau192.168.9.0estuniquecequiconduitunimportantgaspillagedadresses surlesliensserial.Lobjectifestdoncdouble:
G
Remplacer les sousrseaux /26 des liens serial par des sousrseaux /30 du mme rseau majeur 192.168.9.0 AppliquerleprotocoleRIPv2.
ConfigurationdeR110: R110#sh run Building configuration... ......... ! hostname R110 ! enable secret 5 $1$7VWa$54CP2goqJ7nQwn152lU4b. ! Memory-sizeiomem 15 ip subnet-zero ! call rsvp-sync ! interface FastEthernet0/0 ip address 10.0.11.1 255.255.255.0 duplex auto speed auto !
interface Serial0/0 bandwidth 64 ip address 192.168.9.2 255.255.255.252 ! interface FastEthernet0/1 ip address 192.168.9.66 255.255.255.192 duplex auto speed auto ! router rip version 2 network 10.0.0.0 network 192.168.9.0 no auto-summary ! Ipclassless ......... ConfigurationdeR80: R80#sh run Building configuration... ......... hostname R80 ! enable secret 5 $1$l652$eM7qlHN9OeZK87Tf9GzUT. ! Memory-sizeiomem 15 ip subnet-zero ! call rsvp-sync ! interface FastEthernet0/0 ip address 192.168.8.1 255.255.255.128 duplex auto speed auto ! interface Serial0/0 bandwidth 64 ip address 192.168.9.1 255.255.255.252 clock rate 64000 ! interface FastEthernet0/1 ip address 192.168.9.65 255.255.255.192 duplex auto speed auto ! interface Serial0/1 bandwidth 64 ip address 192.168.9.193 255.255.255.252 clock rate 64000 ! interface FastEthernet1/0 ip address 192.168.9.129 255.255.255.192 duplex auto speed auto ! router rip version 2 network 192.168.8.0 network 192.168.9.0 no auto-summary ! Ipclassless ......... ConfigurationdeR120: R120#sh run
Building configuration... ......... hostname R120 ! enable secret 5 $1$joNT$9qqIcFuwkyBAlJ8Oh891D0 ! Memory-sizeiomem 15 ip subnet-zero ! call rsvp-sync ! interface FastEthernet0/0 ip address 10.0.12.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 bandwidth 64 ip address 192.168.9.194 255.255.255.252 ! interface FastEthernet0/1 ip address 192.168.9.130 255.255.255.192 duplex auto speed auto ! Router rip version 2 network 10.0.0.0 network 192.168.9.0 no auto-summary ! ip classless ExtraitlimitauxroutesapprisesparRIPdelatablederoutagedeR110: R110#sh iproute rip 192.168.8.0/25 issubnetted, 1 subnets R 192.168.8.0 [120/1] via 192.168.9.1, 00:00:24, Serial0/0 [120/1] via 192.168.9.65, 00:00:24, FastEthernet0/1 192.168.9.0/24 isvariablysubnetted, 4 subnets, 2 masks R 192.168.9.192/30 [120/1] via 192.168.9.65, 00:00:24, FastEthernet0/1 [120/1] via 192.168.9.1, 00:00:24, Serial0/0 R 192.168.9.128/26 [120/1] via 192.168.9.65, 00:00:24, FastEthernet0/1 [120/1] via 192.168.9.1, 00:00:24, Serial0/0 10.0.0.0/24 issubnetted, 2 subnets R 10.0.12.0 [120/2] via 192.168.9.1, 00:00:24, Serial0/0 [120/2] via 192.168.9.65, 00:00:24, FastEthernet0/1 R110# Cetatelierestmaintenanttermin.
- 3-
Chapitre9LeprotocolederoutagetypetatsdeliensOSPF
1.JeuConstruireunarbreSPF
Vousavezcertainementtrouvunarbrequi,avecunpeudimagination,doitrappelerlestroislettresSPF.
2.Atelier:MiseenuvreduneconfigurationOSPF
TablederoutagedeR11: RTR11#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 1.0.0.0/32 is subnetted, 2 subnets 1.0.0.9 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1 1.0.0.11 is directly connected, Loopback0 172.26.0.0/24 is subnetted, 1 subnets O E2 172.26.9.0 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1 10.0.0.0/24 is subnetted, 8 subnets C 10.0.11.0 is directly connected, FastEthernet0/0 C 10.0.8.0 is directly connected, FastEthernet0/1 O 10.0.12.0 [110/2] via 10.0.8.12, 00:11:26, FastEthernet0/1 O IA 10.0.2.0 [110/1563] via 10.0.8.8, 00:11:26, FastEthernet0/1 O IA 10.0.1.0 [110/2] via 10.0.8.8, 00:11:26, FastEthernet0/1 O E2 10.0.16.0 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1 O E2 10.0.22.0 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1 O E2 10.0.21.0 [110/10] via 10.0.8.8, 00:11:27, FastEthernet0/1 192.168.1.0/30 is subnetted, 1 subnets O IA 192.168.1.224 [110/1563] via 10.0.8.8, 00:11:27, FastEthernet0/1 RTR11# O E2 C ConfigurationdeR16: RTR16#sh run ... hostname RTR16 ! ... !
- 1-
interface Loopback0 ip address 1.0.0.16 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.1.16 255.255.255.0 duplex auto speed auto ! interface Serial0/0 bandwidth 64 ip address 10.0.2.16 255.255.255.0 ! interface FastEthernet0/1 ip address 10.0.16.16 255.255.255.0 duplex auto speed auto ! Routerospf 1 log-adjacency-changes redistribute rip metric 10 subnets network 10.0.0.0 0.0.3.255 area 0 ! router rip version 2 redistribute ospf 1 metric 3 passive-interface FastEthernet0/0 passive-interface Serial0/0 network 10.0.0.0 ! ip classless ip http server ! ! dial-peercor custom ! line con 0 exec-timeout 0 0 passwordeni logging synchronous login line aux 0 linevty 0 4 login ! End RTR16# ConfigurationdeR21: RTR21#sh run ... hostname RTR21 ! ... interface Loopback0 ip address 1.0.0.21 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.16.21 255.255.255.0 duplex auto speed auto ! router rip version 2
- 2-
network 10.0.0.0 ! ip classless ip http server ! dial-peercor custom ! line con 0 exec-timeout 0 0 passwordeni loggingsynchronous login line aux 0 line vty 0 4 login ! End RTR21# TablederoutagedeR21: RTR21# sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 1.0.0.0/8 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1 1.0.0.21/32 is directly connected, Loopback0 172.26.0.0/16 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1 10.0.0.0/24 is subnetted, 8 subnets R 10.0.11.0 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1 R 10.0.8.0 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1 R 10.0.12.0 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1 R 10.0.2.0 [120/1] via 10.0.16.16, 00:00:24, FastEthernet0/1 R 10.0.1.0 [120/1] via 10.0.16.16, 00:00:24, FastEthernet0/1 C 10.0.16.0 is directly connected, FastEthernet0/1 R 10.0.22.0 [120/1] via 10.0.16.22, 00:00:15, FastEthernet0/1 C 10.0.21.0 is directly connected, FastEthernet0/0 R 192.168.1.0/24 [120/3] via 10.0.16.16, 00:00:00, FastEthernet0/1 RTR21# R C R
- 3-
Chapitre10Gestiondetraficparlistedaccs(ACL)
1.Exercicemasquegnrique
Uneplagedadressespeutdsormaissexprimerdetroismaniresdiffrentes,correspondantauxtroiscolonnesdu tableau cidessous : @IP_dbut @IP_fin, @IP/masque de rseau, @IP/masque gnrique. Pour chaque cas proposdansletableau,lesmodesmanquantssontcomplts: @IP/masquederseau 192.168.1.16/28 Plagesdadresses 192.168.1.16192.168.1.31 Le4 e octetenbinaire: 192.168.1.0001 0000 192.168.1.0001 1111 192.168.96.0/23 192.168.96.0 192.168.97.255 Lesdeuxderniersoctetsenbinaire: 192.168.0110 0000.0000 0000 192.168.0110 0001.11111111 192.168.96.0/19 192.168.96.0 192.168.127.255 Lesdeuxderniersoctetsenbinaire: 192.168.0110 0000.0000 0000 192.168.01111111.11111111 192.168.96.0/18 Cestunpigecarlapremireadressede ceblocnestpas192.168.96.0mais 192.168.64.0cequelondcouvreen conservantles18bitsdepoidsfortde ladresse(3 e octetenbinaire)... 192.168.96.0=192.168.01100000.0 Laplageestdonc: 192.168.64.0 192.168.127.255 192.168.75.0/24 172.26.0.0/16 210.1.10.0/23 209.8.25.128/27 et 209.10.25.128/27 192.168.75.0192.168.75.255 172.26.0.0172.26.255.255 210.1.10.0210.1.11.255 Octets2et4enbinaire,Xpourlesbits ignorer: 209.000010X0.25.100XXXXX Cetensemblecouvrelesdeuxrseaux: 209.0000100 0.25.10000000/27 209.0000101 0.25.10000000/27 Lesplagessontdonc: 209.8.25.128 209.8.25.159 209.10.25.128 209.10.25.159 0/0 0.0.0.0255.255.255.255 0.0.0.0/255.255.255.255 ouany 192.168.75.0/0.0.0.255 172.26.0.0/0.0.255.255 210.1.10.0/0.0.1.255 209.10.25.128/0.2.0.31 192.168.64.0/0.0.63.255 192.168.96.0/0.0.31.255 192.168.96.0/0.0.1.255 @IP/masquegnrique 192.168.1.16/0.0.0.15
- 1-
2.Problmemasquegnrique
Considrezlafigurecidessus. 1)laidedumasquegnrique,estilpossibledagglomrerlesrseauxNWetNEdansunrseauNord?
2)Sivotrerponseestoui,exprimezdanscecasqueldevraittrelareprsentationdelagglomratSud.
- 2-
3) Au vu des questions prcdentes, vous tes maintenant persuad quil est impossible dagglomrer les deux rseauxNordensemble,idempourlesdeuxrseauxSud.Enmaintenantlesquatrerseauxconfinsdanslespace 10.0.8.0/21,proposezunesolutionpourqueceladeviennepossible.
Lassociation10.0.8.0/0.0.7.255nereprsentenilagglomratNord,nilagglomratSudmaislaglobalitdurseau 10.0.8.0/21.Onpeutpourtantparvenirnosfinsenredistribuantlesaffectationsdelafaonsuivante:
- 3-
Aveccettedistributiondelespace,lesmasquesgnriquesdeviennent:
Ceciconfirmelancessitdtreprudentenmanipulantdesmasquesgnriquesexotiques. Ceproblmeestmaintenanttermin. VousvenezduchapitreGestiondetraficparlistedaccs(ACL)Manipulationdesmasquesgnriques.
3.AtelierListedaccsstandard
Objectifs:
G
Interdire tout type de trafic destin LAN8 ds lors quil est issu des 16 dernires adresses de la plage dadressesaffecteLAN12a. LetraficissudeLAN12aetdestinauxautrespartiesdurseaudoitresterpossible.
laconditiondelaplacerauplusprsdeladestination,unelistestandardconvient.Cestdonclefluxsortantde linterfacef0/0durouteurR8jquidoitsevoirappliquerlaliste. Calculdeladressesource:
- 4-
CrationetapplicationdelalistesurR8j: R8j#conf t R8j(config)#access-list 30 deny 10.0.12.112 0.0.0.15 R8j(config)#access-list 30 permit any R8j(config)#int f0/0 R8j(config-if)#ip access-group 30 out R8j(config-if)#^Z R8j# Vrificationdelaprsencedelaliste: R8j#sh ip access-list 30 Standard IP access list 30 10 deny 10.0.12.112, wildcard bits 0.0.0.15 20 permit any R8j# Vrificationdelapplicationdelalistelinterface(extrait): R8j#sh ipint f0/0 FastEthernet0/0 is up, line protocol is up Internet address is 10.0.8.129/26 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 30 Inbound access list is not set Proxy ARP is enabled ......... --More Observez une prsentation lgrement modifie dans le rsultat de la commande sh ip accesslist. Les diffrents lmentsapparaissentassocisunetiquette10,20...Ceciestdladoptionduneplateforme1700enlieuet place de la plateforme 2600 utilise dans les ateliers qui ont prcd. Mais surtout, lIOS est une version 12.3 et disposedoncdecettefacultnommelistessquencesetdtailledansunesectionultrieure. Vrificationsurlatopologiepropose: TouteslesstationslexceptiondeVMSRV01peuventjoindrePCL80. Cetatelierestmaintenanttermin.
- 5-
4.AtelierListedaccstendue
Prrequis : relire si ncessaire le chapitre La couche Application de la pile TCP/IP FTP, TFTP de louvrageCisco NotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
a.Objectif1
G
Sur R120k, compltez la liste daccs n125 afin dautoriser le trafic issu dInternet et destin au serveur Web interne www.ccna.fr. Ce premier point sera vrifi laide dun navigateur ouvert sur la machine VMSRV02.Onsaisiraenbarredadresse,ladresse10.0.8.4.
Caractrisonscetraficcommenousavonsprislhabitudedelefairepourleslistestendues:
G
LetraficWEBesttransportlaideduprotocoledecouchetransportTCP. LadressesourcenepeutpastrepriseencomptecartoututilisateurpeuttenterunaccsauserveurWeb interne. Le port source ne peut tre pris en compte puisque choisi alatoirement par le client externe lorsquil provoqueunerequtehttp. LadressededestinationestlecelleduserveurWebinternesoit10.0.8.4. LeportdestinationestleportTCP80affectlapplicationHTTP. Letraficestinitiparlerseauexterne.IlnestpaspossibledetesterledrapeauACKlaidedumotcl established.
Autotal,llmentquidoittreajoutlalisten125estlesuivant: R120k(config)#access-list 125 permit tcp any host 10.0.8.4 eq 80
b.Objectif2
G
SurR120k,compltezlalistedaccsn125afindautoriserlesrequtesDNSissuesdInternetetdestines au serveur DNS 10.0.8.1. Ce second point sera vrifi laide de la commande NSLOOKUP excute en mode interactif sur la machine VMSRV02. On sinterdira la commande ls d quivalente au transfert de zones.
Aveclammemthode:
G
LesrequtesetrponsesDNSsonttransporteslaideduprotocoledecouchetransportUDP. LadressesourcenepeutpastrepriseencomptecartoututilisateurpeuttenterunaccsauserveurDNS interne. Le port source ne peut tre pris en compte puisque choisi alatoirement par le client externe lorsquil provoqueunerequtedns. LadressededestinationestlecelleduserveurDNSinternesoit10.0.8.1. LeportdestinationestleportUDP53affectlapplicationDNS.
Autotal,llmentquidoittreajoutlalisten125estlesuivant: R120k(config)#access-list 125 permit udp any host 10.0.8.1 eq 53
- 6-
Ladministrateurautravail: R120k(config)#ip access-list extended 125 R120k(config-ext-nacl)#do show ip access-list 125 Extended IP access list 125 10 permit tcp any eq www 10.0.10.0 0.0.0.255 established 20 permit tcp any eqsmtp host 10.0.8.3 established 30 permit tcp any host 10.0.8.3 eqsmtp 40 permit udp any eq domain 10.0.10.0 0.0.0.255 50 permit tcp any eq domain 10.0.8.0 0.0.3.255 60 deny ip any any (3 matches) R120k(config-ext-nacl)#5 permit tcp any host 10.0.8.4 eq 80 R120k(config-ext-nacl)#6 permit udp any host 10.0.8.1 eq 53 R120k(config-ext-nacl)#exit R120k(config)#ip access-list resequence 125 10 10 R120k(config)#do show ip access-list 125 Extended IP access list 125 10 permit tcp any host 10.0.8.4 eq www 20 permit udp any host 10.0.8.1 eq domain 30 permit tcp any eq www 10.0.10.0 0.0.0.255 established 40 permit tcp any eqsmtp host 10.0.8.3 established 50 permit tcp any host 10.0.8.3 eqsmtp 60 permit udp any eq domain 10.0.10.0 0.0.0.255 70 permit tcp any eq domain 10.0.8.0 0.0.3.255 80 deny ip any any (16 matches) R120k(config)#^Z R120k# DepuislenavigateurdelamachineVMSRV02,vrificationdelaccsauserveurWebinterne:
DepuisuneinvitedecommandessurlamachineVMSRV02,vrificationdelaccsauserveurDNSinterne: C:\>nslookup Serveur par dfaut : Address: 127.0.0.1
localhost
>server 10.0.8.1 DNS request timed out. timeoutwas 2 seconds. Serveur par dfaut : [10.0.8.1] Address: 10.0.8.1 > set q=mx >fr. Serveur : [10.0.8.1] Address: 10.0.8.1 fr primary name server = vmsrv01
- 7-
responsible mail addr = administrateur serial = 19 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) > ccna.fr. Serveur : [10.0.8.1] Address: 10.0.8.1 ccna.fr MX preference = 10, mail exchanger = vmsrv25.ccna.fr vmsrv25.ccna.fr internet address = 10.0.8.3 >
c.Objectif3
G
SurR100k,crezunelistedaccstenduesurlefluxentrantdelinterfacef0/0afindautoriserletraficvers leserveurFTP10.0.8.2.LetraficFTPpourratreprovoqulaidedunnavigateursurlastationVMWKS01 ouenmodeinteractifdepuisuneinvitedecommandesoudepuislastationLINUXPCL100.Touslesautres traficsdevronttrerejetslexclusiondestraficsautorissparleserveurdebordurequinedevrontpas tre empchs par la nouvelle liste. Le circuit TCP pour les donnes de FTP devra tre tabli en mode normal(etnonenmodepassif).
AvantmmedesongerrglerlaccsauserveurFTP,lefaitdeplacerunelistesurlefluxentrantdeR100k,ct rseau interne, oblige reconsidrer lensemble des flux que nous avions autoris sur le routeur de bordure et pourchacundecesflux,tablirllmentpermitcorrespondantdanslanouvelleliste. LetraficissudunMTAinterneversunMTAexternenetransitepasparlerouteurR100kmaisletraficissudunMUA interneversleMTAinternedoittreprvu,revoirsincessairelafigureillustrantlacapturecap_2k_02.pcap: R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25 Demme,letraficissudunMTAexternenetransitepasparR100k,maispourquunclientMUApuissercuprer soncourrier,ilfautbienpenserautoriserletraficpop: R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 110 Letroisimescnarioenvisagconsistaitautoriserletraficissudesutilisateursdurseauinterneetdestinaux serveursDNSdurseauexterne.Pourquilrestepossible,ilconvientdajouter: R100k(config)#access-list 100 permit udp 10.0.10.0 0.0.0.255 any eq 53 Lequatrimeetdernierscnariodelistetendueavaitautorisletraficissudesutilisateursdurseauinterneet destinauxserveursWEBdurseauexterne.Pourmaintenircetrafic: R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 any eq 80 EtpuisquilestprobablequelesaccsWebconstituentlessentieldutrafic,cetlmentdoittreplacenttede liste. On se souvient en effet que, ds quun lment fournit une condition avre ( matche ), laction correspondante, permitou deny,estentrepriseetlalecturedelalistecesse.Toutcequicontribuediminuerle tempspasstraiterunelisteestbonprendre. Venonsen ce qui nous proccupe, cestdire autoriser un trafic FTP depuis le rseau interne vers le serveur 10.0.8.2.ExtraitedelouvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditions ENI,lafiguresuivanterappellecequesontlesmodesnormaletpassifdeFTP:
- 8-
Danslemodeditnormal,leclientinitieuncircuitTCPversleport21afindouvrirlaconnexiondecontrleFTP.Par cetteconnexion,leclientinformeleserveurduportquilutiliserapourlafutureconnexiondedonnes.Maiscestle serveurquiprendlinitiativedouvrircetteconnexiondepuisleportsourceTCP20versleportdestinationpropos parleclient.Cemodedefonctionnementnestpastoujoursbientolrdesparefeuquiquipentlesstationscaril corresponduneconnexionentrante(vuedelastation).Danslemodepassif,leclientinitiedelammefaonla connexiondecontrlemaisdemandeensuiteauserveurdeluifournirunnumrodeportafinquecesoitlui,client, qui initie galement la connexion de donnes. En mode passif, cest donc le client qui ouvre les deux circuits ncessaireslasessionFTP. Le problme est que filtrer une connexion de donnes ouverte en mode passif avec une liste tendue revient ouvrirungrostroudanslemodesteparefeuquenoustentonsdemettreaupoint.Eneffet,onnematrisenile port source, ni le port destination de la connexion. Cest pourquoi le cahier des charges impose de sen tenir au modenormaldeFTP. Caractrisonslesdeuxtraficsautoriser... Letraficdelaconnexiondecontrle:
G
LetraficFTPesttransportlaideduprotocoledecouchetransportTCP. Ladressesourceestuneadressedurseau10.0.10.0/24. Leportsourcenepeuttreprisencomptepuisquechoisialatoirementparleclientinternelorsquilinitiela connexiondecontrleFTP. LadressededestinationestcelleduserveurFTPinternesoit10.0.8.2. LeportdestinationestleportTCP21affectlaconnexiondecontrleFTP. Letraficestinitiparlerseauinterne.IlnestpaspossibledetesterledrapeauACKlaidedumotcl established.
Letraficdelaconnexiondedonnes:
G
LetraficFTPesttransportlaideduprotocoledecouchetransportTCP. Ladressesourceestuneadressedurseau10.0.10.0/24. Leportsourcenepeuttreprisencomptepuisquechoisialatoirementparleclientinterneetproposau serveurlaidedelaconnexiondecontrle. LadressededestinationestcelleduserveurFTPinternesoit10.0.8.2. LeportdestinationestleportTCP20affectlaconnexiondedonnesFTP. Letraficestinitiparleserveur.Letoutpremiersegmentnestpastestparcetteliste.Touslessegments de cette connexion, lorsquils sont issus du client, ont le drapeau ACK positionn. Il est donc possible de resserrerunpeupluslefiltreenajoutantlemotclestablished.
Permettreletraficdecesdeuxconnexionsncessitedecrerlesdeuxlmentssuivants:
- 9-
R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq 21 R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq 20 established Ladministrateuraucharbon: R100k(config)#ip access-list extended 100 R100k(config-ext-nacl)#10 permit tcp 10.0.10.0 0.0.0.255 any eq 80 R100k(config-ext-nacl)#20 permit udp 10.0.10.0 0.0.0.255 any eq 53 R100k(config-ext-nacl)#$cp 10.0.10.0 0.0.0.255 10.0.8.3 0.0.0.0 eq 110 R100k(config-ext-nacl)#40 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25 R100k(config-ext-nacl)#50 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq 21 R100k(config-ext-nacl)#$.0 0.0.0.255 host 10.0.8.2 eq 20 established R100k(config-ext-nacl)#70 deny ip any any R100k(config-ext-nacl)#exit R100k(config)#do show ip access-list 100 Extended IP access list 100 10 permit tcp 10.0.10.0 0.0.0.255 any eq www 20 permit udp 10.0.10.0 0.0.0.255 any eq domain 30 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq pop3 40 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eqsmtp 50 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp 60 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp-data established 70 deny ip any any R100k(config)#int f0/0 R100k(config-if)#ip access-group 100 in R100k(config-if)#^Z R100k# Ilrestevrifierquelensembledestraficsquipouvaientstabliravantapplicationdelalistesontencorepossibles puisvrifierlaccsauserveurFTP:
Unedernirecommandeshowpermetdesassurerqueleslmentsonttoustsollicitspendantlestests: R100k#sh ip access-list 100 Extended IP access list 100 10 permit tcp 10.0.10.0 0.0.0.255 20 permit udp 10.0.10.0 0.0.0.255 30 permit tcp 10.0.10.0 0.0.0.255 40 permit tcp 10.0.10.0 0.0.0.255 50 permit tcp 10.0.10.0 0.0.0.255 60 permit tcp 10.0.10.0 0.0.0.255 matches) 70 deny ip any any (30 matches) R100k# Cetatelierestmaintenanttermin.
any eq www (6 any eq domain host 10.0.8.3 host 10.0.8.3 host 10.0.8.2 host 10.0.8.2
matches) (9 matches) eq pop3 (14 matches) eqsmtp (13 matches) eq ftp (20 matches) eq ftp-data established (3
- 10 -
5.ExerciceListedaccsdate
Proposez une configuration qui cre une liste daccs NOSURFING et dont lobjet est de refuser laccs au WEB chaquejourdelasemainede9h17hmaisgalementderefusertouttraficTelnetchaquejourdelasemainede 17h9hlelendemain. R100m(config)#time-range NOSURF R100m(config-time-range)#periodic weekdays 9:00 to 17:00 R100m(config-time-range)#exit R100m(config)#time-range NOTELNET R100m(config-time-range)#periodic weekdays 17:00 to 9:00 Ending time must be greater than starting time R100m(config-time-range)#periodic weekdays 0:00 to 9:00 R100m(config-time-range)#periodic weekdays 17:00 to 23:59 R100m(config-time-range)#exit R100m(config)#ip access-list extended NOSURFING R100m(config-ext-nacl)#deny tcp any anyeq www time-range NOSURF R100m(config-ext-nacl)#deny tcp any anyeq telnet time-range NOTELNET R100m(config-ext-nacl)#permit ip any any R100m(config-ext-nacl)#end R100m# Observezquilafallucrerlaplagedetempsde17h9hlelendemainendeuxcommandesperiodiccarlaseconde occurrencedoitfourniruneheurepostrieurecelledelapremireoccurrence. Cetexerciceesttermin.VousvenezduchapitreGestiondetraficparlistedaccs(ACL).
6.AtelierListedaccsrflexive
Prrequis:mettreenplaceleserviceserveurTelnetsurlamachineVMSRV02.SilsagitdunserveurWindows2000 commeprconispournosmisesensituation,ilsuffitdactiverleservice:
I
EffectuezunclicdroitsurPostedeTravailGrer. Dveloppezlen udServicesetapplicationsServices. EffectuezunclicdroitsurleserviceTelnetpuisDmarrer.
Objectif:
G
Sur R120m, compltez les listes daccs internal_ACL et external_ACL afin de mettre en place une liste daccsrflexivedontlobjetestdepermettreltablissementdunesessionTelnetversunserveurexterne initieparunutilisateurinterne.
tape1:compltezlalisteinterne:
R120m(config)#ip access-list extended internal_ACL R120m(config-ext-nacl)#do show access-list Reflexive IP access list DNS_ONLY_RACL Reflexive IP access list WEB_ONLY_RACL Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL 20 evaluate DNS_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any anyeq www reflect WEB_ONLY_RACL 20 permit udp any anyeqdomain reflect DNS_ONLY_RACL (12 matches) 30 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (6 matches) 40 deny ip any any (890 matches) R120m(config-ext-nacl)#15 permit tcp any anyeq 23 reflect TELNET_ONLY_RACL timeout 30 R120m(config-ext-nacl)#exit R120m(config)#ip access-list resequenceinternal_ACL 10 10 R120m(config)#do sh access-list Reflexive IP access list DNS_ONLY_RACL
- 11 -
Reflexive IP access list TELNET_ONLY_RACL Reflexive IP access list WEB_ONLY_RACL Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL 20 evaluate DNS_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any anyeq www reflect WEB_ONLY_RACL 20 permit tcp any anyeq telnet reflect TELNET_ONLY_RACL 30 permit udp any anyeqdomain reflect DNS_ONLY_RACL (12 matches) 40 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (6 matches) 50 deny ip any any (911 matches) R120m(config)# tape2:compltezlalisteexterne:
R120m(config)#ip access-list extended external_ACL R120m(config-ext-nacl)#15 evaluate TELNET_ONLY_RACL R120m(config-ext-nacl)#exit R120m(config)#ip access-list resequenceexternal_ACL 10 10 R120m(config)#do sh access-list Reflexive IP access list DNS_ONLY_RACL Reflexive IP access list TELNET_ONLY_RACL Reflexive IP access list WEB_ONLY_RACL Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL 20 evaluate TELNET_ONLY_RACL 30 evaluate DNS_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any anyeq www reflect WEB_ONLY_RACL 20 permit tcp any anyeq telnet reflect TELNET_ONLY_RACL 30 permit udp any anyeqdomain reflect DNS_ONLY_RACL (12 matches) 40 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (9 matches) 50 deny ip any any (999 matches) R120m(config)#^Z R120m# tape3:observezlalisterflexive. Sur la station VMWKS01, depuis une invite de commandes, tentez une ouverture de session Telnet vers 10.0.12.12:
C:\>telnet 10.0.12.12 Microsoft (R) Windows 2000 (TM) version 5.00 (numro 2195) Client Telnet Microsoft Client Telnet numro 5.00.99206.1 Le caractre dchappement est CTRL+$
Vous allez envoyer votre mot de passe vers un ordinateur distant dans la zone In ternet. Cette opration nest peut-tre pas sre. Voulez-vous tout de mme lenv oyer (o/n) : Inutiledallerplusloin,revenezlasessionconsoleouvertesurR120m,vousavez30secondespourapercevoir llmenttemporairequiautoriselefluxentrantTelnet:
R120m#sh ip access-lists Reflexive IP access list DNS_ONLY_RACL Reflexive IP access list TELNET_ONLY_RACL permit tcp host 10.0.12.12 eq telnet host 10.0.10.254 eq 1129 (8 matches) (time left 24) Reflexive IP access list WEB_ONLY_RACL Extended IP access list external_ACL 10 evaluate WEB_ONLY_RACL
- 12 -
20 evaluate TELNET_ONLY_RACL 30 evaluate DNS_ONLY_RACL Extended IP access list internal_ACL 10 permit tcp any anyeq www reflect WEB_ONLY_RACL 20 permit tcp any anyeq telnet reflect TELNET_ONLY_RACL (16 matches) 30 permit udp any anyeqdomain reflect DNS_ONLY_RACL (12 matches) 40 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (9 matches) 50 deny ip any any (1023 matches) R120m# Cetatelierestmaintenanttermin.VousvenezduchapitreGestiondetraficparlistedaccs(ACL).
- 13 -
Liaisonssriesynchrone/asynchrone
LajonctionRS 232estentraindedisparatredesinterfacesduPC,lebusUSBestpassparl.Lesnotionsquisuivent sontdoncencoursdobsolescence.Ilsubsistepourtantunejonctionsurtoutquipementrseauquipermetdeffectuer la premire configuration ou qui permet de reprendre la main dans les cas de dysfonctionnements les plus graves. Hlas,pourenprofiter,ilvadornavantfalloirsquiperdunconvertisseurUSB/RS 232.
1.Contexte
Linterface entre ETTD et ETCD, appele jonction, doit permettre la gestion par lETTD du droulement dune communication.Lasquencecomprendgnralementquatrephases: 1.tablissementduncircuitentrelesdeuxcorrespondants
G
Silsagitduneligneloue,cettephaseselimitelaconnexion. Silsagitdunrseaucommut(RTCouRNIS),cettephasecomprendlanumrotationsuiviedelaconnexion.
2.Initialisationdelatransmission
G
Dans le cas dune ligne analogique, elle permet aux modems de sadapter la ligne elle comprend alors lmission en ligne de la porteuse, sa dtection lautre extrmit (CAG : contrle automatique de gain, apprentissagedelgaliseuretdelannuleurdchoautoadaptatifs),lareconstitutiondelaporteuselocale...
3.Transmission
G
Phasedurantlaquellelesinformationsutilessonteffectivementchanges.
4.Librationdelaliaison
G
Cettephaseterminelacommunicationunefoislatransmissionacheveetlibrelecircuit.
CetenchanementncessiteundialogueentrelETTD(donnelesordres)etlETCD(excuteetrendcompte),dialogue oprvialajonction.Lastandardisationdelajonctionrecouvretroisfamillesdecaractristiques: 1.Lescaractristiquesfonctionnellesdfinissentlanatureetlafonctiondesinformationschanges. 2.Lescaractristiqueslectriquesconcernentlesspcifications(tension,courant,impdance...)descircuitsmetteurs etrcepteursdesignauxainsiquelestolrancesassocies. 3.Lescaractristiquesmcaniquesdfinissentleconnecteurutilisainsiquelaffectationdessignauxauxbrochesde laprise. Les organismes de normalisation impliqus dans la standardisation de la jonction sont lEIA (Electronic Industrie Association), lUITT et lISO. LEIA fournit des recommandations RS (Recommended Standard) traitant des trois aspects, lectriques, fonctionnels et mcaniques, lUITT offre des recommandations distinctes pour les aspects lectriques et fonctionnels, lISO quant elle, ne traite que de laspect mcanique. Les recommandations de lUITT relatives aux jonctions se trouvent dans la srie V (transmission de donnes sur lignes tlphoniques) ou dans la srieX(rseauxpublicsdedonnes). Le tableau cidessous distingue le partage des caractristiques pour la jonction la plus ancienne et la plus utilise, cestdirelajonctionRS 232(pourlEIA)ouV24/V28(pourlUIT): EIA UITT ISO
- 1-
lectrique Fonctionnel Mcanique
RS232D cration:1962 RS232C:1969 dernirervision:1987
V28 V24 DP2110
2.Transmissionsynchrone
Louvrage Cisco Notions de base sur les rseaux dans la collection Certifications aux Editions ENI introduisait la notion de signal numrique : le signal numrique qui intresse lexpert rseau est un signal synchrone, cestdire dontlesintervallesdetempsallouschaquesymbolesontgaux(aumoinsductdelmetteur)etcorrespondent auxpriodessuccessivesdunsignalpriodiquefourniparlhorlogeoulabasedetemps:
Cecirevientdirequelasuitenumriqueatcomposeductmetteurensquenantlessymboleslaidede lhorloge. Le signal numrique ainsi cr est composite : certes il contient linformation mais il contient galement lhorloge dans ses transitions. Lespace qui spare deux transitions est toujours multiple de la priode de cette horloge.Ductdurcepteur,lefluxnumriquearrivesanstreaccompagndusignalHorloge.Etpourtant,ceflux nestcomprhensiblequconditiondedisposerdecettebasedetempsafindelireltatdusymboleaumoment leplusfavorablecestdireaumilieudunepriode. Lapremiretchedurcepteurnestdoncpasdelirelefluxmaisbiendereconstituerlabasedetempsquiaservi lmetteurpourcadencerceflux.Onparledextractiondhorlogeetilvadesoiquelecircuitdextractionnefonctionne convenablementquesilefluxdesymbolescomportesuffisammentdetransitions.Ductmetteur,lesoucidoitdonc tredecomposerunfluxnumriqueprsentantdestransitionsrpartiesdefaonrgulire. Dansunetransmissionsynchrone,letempsquisparedeuxtransitionsquelconquesesttoujoursmultipledu tempslmentaire.
3.Transmissionasynchrone
Dansunetransmissionasynchrone,lmetteurtransmetunesuccessiondetrainssynchrones,chaquetrainreprsente uncaractre,lespacequisparedeuxcaractresestquelconque:
- 2-
Danscesconditions,commentlercepteurparvientilreconstituerlescaractres?
Ilfautbiensrquelercepteurchantillonnelesbitsaumomentleplusfavorable,cestdireaumilieudechaque tempsbit.Maispluttquedutiliserunehorlogeextraitedufluxreu,lercepteurutiliseunehorlogelocale.Lideest de resynchroniser cette horloge au dbut de chaque train synchrone puis desprer que sur le dernier bit du train, cette horloge ne soit pas suffisamment dcale pour provoquer une erreur. Pour ce faire, le premier bit dun train synchrone nest pas un bit dinformation, il sagit du bit de START. Ce bit est systmatiquement prcd dun tat repos et cest ce passage de ltatreposltat travail que recherche en permanence le rcepteur. Ds que cette transition se prsente, le rcepteur resynchronise son horloge puis chantillonne chaque bit du caractre reu. Afin dtre sr que le bit de START est effectivement prcd par un tat repos, lmetteur ajoute au minimum un bit ltatreposlafindetoutcaractre(parfoisunbitetdemivoiredeuxbits).CeoucesbitssontappelsbitsdeSTOP. Il faut bien comprendre que ce ne sont pas les bits de START et STOP qui sont importants mais le fait que leur succession entrane une transition toujours dans le mme sens repos travail dtectable par le rcepteur et comprisecommeledbutduncaractre. Hlas, cette transition, si elle permet bien au rcepteur de dtecter le dbut dun caractre, ne lui permet pas de prjugerquelestledbit,cestdirequelleestlhorlogechoisieparlmetteur.Delammefaon,chaquecaractre estexprimsuruncertainnombredebits,gnralement7ou8,dansuncodequileplussouventestlASCIImais dontlechoixductmetteurdoitgalementtreconnuparlercepteur.Enfin,lesbitsdecaractrepeuventtre suivis ou pas par un bit de parit dans le but de constituer un premier niveau de dtection derreur. Et quand on choisitdelemettreen uvre,ilfautencorechoisirparmiparitpaire(lebitdeparitadoptelavaleurquiconvientde faon ce que le nombre de bits 1 dans le caractre soit pair) ou impaire (le bit de parit adopte la valeur qui convientdefaoncequelenombredebits1danslecaractresoitimpair).Enfinal,silatransitionrepos travail dune transmission asynchrone permet de se passer dune coteuse extraction dhorloge, elle impose de rgler le rcepteurlidentiqueavecleschoixoprsctmetteur. Exemplederglage: 9600S81,codeASCII Ilestfrquentderencontrercettefaonabrgedenoterlesrglagesduneliaisonasynchrone.
G
9600rappelleledbitchoisi,soit9600bits/s.Lesdbitspossiblesappartiennentlensemble{150,300,600, 1200, 2400, 4800, 9600, 14400, 19200, 38400, 57600, 115200}. Sans rapport avec le choix dune transmission asynchrone, le dbit maximal prvu par le standard RS 232 est 19200 bps. Il est rare quune jonctionsupportedesdbitsaudelde115200bps. Lalettre Srappellelechoixoprpourlebitdeparit,danslecasprsentSansparit .Lesautres choixsontPpourparitpaire,Ipourparitimpaire,forc0,forc1.Enanglais,lestroislettresS ,PetIdeviennentrespectivementNpourNoparity,EpourEvenquisignifiepairet OpourOddquisignifieimpair.UnmoyenmnmotechniqueconsisteobserverqueEvencomporte quatrelettrestandisqueOddnencomportequetrois.Ltatforc0estnotspacetandisque ltatforc 1est notmark. Lauteurvouslivrecetautremoyenmnmotechnique: Uninvitde marque. 8signifiequechaquecaractreestexprimsur8bits.Leschoixpossiblessont7et8.
1rappelleenfindenombredebitsdeSTOPquelmetteurdoitajouterlafindechaquecaractremis. Leschoixpossiblessont1,1,5ou2bitsdeSTOP.
Sil faut comparer transmission synchrone et asynchrone, lefficacit est lapanage de la liaison synchrone. En effet, chaquecaractredunetransmissionasynchroneestencadrpardeuxbitsquinesontpasdesbitsdinformationet cestainsi20%(8bitsdedonne,unSTART,unSTOP,8bitsutilessur10)voire30 %(7bitsdedonne,unSTART,un STOP)delabandepassanteconsommepourassurerlasynchronisationbit.
4.Aspectsfonctionnels,larecommandationV24
LaphilosophiequisoustendlarecommandationV24consistematrialiserchaquecommandeousignalisationparun circuitphysiquedistinct.Cescircuitsserpartissentendeuxgroupes:
G
Legroupedelasrie100concernelutilisationgnraleetcomporte39circuits. Legroupedelasrie200rservlappelautomatiqueencomporte13.
Les chiffres du numro du correspondant taient successivement prsents en BCD sur les circuits 206 209. Il sagissaitdoncdunetransmissionenmodeparallle.Lasrieestdevenuedsutedsquunconstructeurproposa unmoyenastucieuxdenumroterenutilisantlescircuitsdelasrie100(HAYESetsescommandesAT). Restentlescircuitsdelasrie100.Tousvhiculentdesinformationsbinaires.Enpratique,unepartieseulementdes circuitsdinterfacesfigurantdanslarecommandationV24estutiliselafois.Onpeutclasserlescircuitsdemultiples manires: 1.Selonlaphasedecommunicationoilssontutiliss:
G
tablissementdelaliaison,initialisation,transmission,libration.
2.Selonlescatgoriessuivantes:
G
Donnes,horloges,commandes,masses.
Parmiles39circuitsdelasrie100,matriserlajonctionncessitedeconnatrelusagedesdouzecircuitsdcritsci aprs.
a.Lesdouzecircuitsessentiels
Lafigurecidessousreprsenteleschmasynoptiquedunmodem:
- 4-
ImaginonsquelETTDrelilETCDcidessusdsiretablirunecommunicationavecuncorrespondantetobservons lesvnementsdurantlesquatrephases:tablissementinitialisation,transmissionetlibration. Lesdeuxcircuits108et107sontutilisslorsdelaphasedtablissementdelaliaison: 1.LeterminalfaitmonterCPD(Connecterpostededonnes,cequisignifielittralementconnectezlemodemsurla ligne). 2.LETCDrpondparlecircuit107(PDP,PostedeDonnesPrt)quilaprislaligne(lindicationcontrairesignifieque laligneestconnecteaupostetlphonique). La phase tablissement est maintenant termine (on passe sous silence la numrotation sur RTC). La phase initialisationpeutcommencer. 3. Pour ce faire, le terminal fait monter le circuit 105 (DPE : Demande Pour Emettre)... Ceci oblige le modem se mettre en position mission puis transmettre sa porteuse afin que le modem distant puisse entamer sa phase dinitialisation (on suppose que lui aussi a termin la phase tablissement et que le circuit est tabli). Le cas chant,outrelaporteuse,lemodemmetlasquencedesignauxdinitialisationncessairelasynchronisationdu modemdistant.Leffetleplusvisibledelenvoidelaporteusesurlemodemdistant,lesymptmepourlutilisateur ctdistant,estlamonteducircuit109(DP:DtectiondePorteuse). 4. La commande 105 (DPE) provoque galement le lancement dune temporisation sur le modem local. Cette temporisation,appeleDlai DPE/PAEdoittresuffisantepourquelemodemdistantpuisseacheversaphase dinitialisationavantderecevoirlesdonnesutilesproprementdites. 5.Pourquecetteconditionsoitralise,leterminallocalnepeutmettresesdonnesquaprslamonteducircuit 106(PAE:PrtAEmettre),vnementquiseproduitlorsquelatemporisationestacheve... Laphasedinitialisationestmaintenanttermineetlaphasedetransmissionpeutdmarrer. Leterminalmetsesdonnesparlecircuit103(ED:EmissiondeDonnes).Ilsagitdunetransmissionsrie.Une transmissionsriepeutsoprersuivantdeuxmodesdiffrents:
G
modedetransmissionsynchrone modedetransmissionasynchrone
Rglonsdabordlecasleplussimplepourcequiestdelajonction,cestdirelemodedetransmissionasynchrone. Danscemode,chaquecaractreestsquencindividuellementetundispositifquireoituncaractreasynchrone resynchronisesonhorlogelaidedubitdeSTART.Danscesconditions,lecircuit103(ED)sesuffitluimmeetles circuits113(HET)et114(HEM)restentinutiliss. Danslemodedetransmissionsynchrone,lesdonnesnesontcomprhensiblesqulaidedelhorlogequiaservi

les squencer. Le technicien qui configure une liaison doit souvent oprer un choix : qui confier la fourniture de lhorloge?
G
au terminal : dans ce cas la jonction doit comporter le circuit 113 (HET : Horloge Emission Terminal). Le terminalsquencelesdonnesmiseslaidedesonhorlogeinterneettransmetcesdonnessurlecircuit 103ainsiquelhorlogequipermettradelesexploitersurlecircuit113.Lemodemreoitlesdonnessurle circuit103etlescomprendlaidedelhorlogequilreoitsurlecircuit113.Enfinal,danscettesituation,le terminalatconfigurenhorlogeinternetandisquelemodematconfigurenhorlogeexterne. aumodem:danscecas,lajonctiondoitcomporterlecircuit114(HEM:HorlogeEmissionModem).Leterminal squence les donnes mises laide de lhorloge modem quil reoit sur le circuit 114 et transmet ces donnes sur le circuit 103. Le modem reoit les donnes sur le circuit 103 et les comprend laide de sa propre horloge. En final, dans cette situation, le terminal a t configur en horloge externe tandis que le modematconfigurenhorlogeinterne.
Ainsidanslemodesynchrone,lecircuit103nestcomprhensiblequlaideducircuit113ouducircuit114selon laconfigurationquiatchoisie.Cestpourquoisurlesfiguresreprsentantlajonction,lestroiscircuits103,113et 114sontvoisins. Il faut noter que le mode de transmission synchrone ne concerne pas le PC car les ports srie dont il dispose nativementsontdesportsasynchrones(moinsvidemmentdavoirquiplePCdecartesspcialessynchrones). Du ct distant, les donnes reues sont mises disposition du terminal sur le circuit 104 (RD : Rception des Donnes).nouveauseposelaquestion:modesynchroneouasynchrone? Enmodeasynchrone,lecircuit104sesuffitluimme.Enmodesynchrone,lunedestchesdumodemconsiste extraire du signal reu en ligne, lhorloge qui a servi squencer les donnes du ct mission. Cette horloge extraiteestmisedispositionduterminaldistantsurlecircuit115(HRM:HorlogeRceptionModem)delajonction distante. Ainsi dans le mode synchrone, le circuit 104 nest comprhensible qu laide du circuit 115. Cest pourquoisurlesfiguresreprsentantlajonction,lesdeuxcircuits104et115sontvoisins. Pourentermineraveclescircuits103et104,notonsquendehorsdespriodesdetransmission,cescircuitssont maintenusltat1(ltat1estdoncltatderepos). Imaginonsquelaphasedetransmissionsoitacheve.Deuxcassontenvisager: 1.Ilsagitduntat jenairiendirepourlemoment.LETTDpeutalorsfaireretomberlecircuit105(DPE),ce nestpassystmatique.Ilnyesteneffetobligquedanslecasolesupportphysiquedelatransmission(laligne) estpartagparplusieursETTD.Danscecas,faireretomberlecircuit105quivautlaisserlaparoleauxautres, cestdirepermettreunautreETTDquidsiretransmettredelefaireaprsavoirmontsonproprecircuit105. DanslecascontraireolesupportdetransmissionestlusageexclusifdunETTD,celuicipeutlaisserlecircuit105 mont.Ainsi,chaquefoisquilsouhaitetransmettre,ilpeutlefairesansattendrelcoulementdelatemporisation 105/106(lecircuit105restantmont,lecircuit106(PAE)lerestegalement). 2.Ilsagitduntatdfinitifdefindetransmission.LETTDfaitalorsretomberlescircuits105et108,cequiquivaut raccrocher.LaligneestalorslibreetlesETCDsontdansuntatderepos.
b.Affectationdesbroches
Circuit UITT 101 102 103 104 105 106 107 108/1 Nbroche (25pts) 1 7 2 3 4 5 6 20 5 3 2 7 8 6 4 Nbroche(9 pts) AbrviationUITT AbrviationEIA ETTD ETCD
TP TS ED RD DPE PAE PDP CPD
PG SG TD(TransmittedData) RD(ReceivedData) RTS(RequestToSend) CTS(ClearToSend) DSR(DataSetReady) DTR(DTEReady)
- 6-
108/2 109 110 111 113
20 8 21 23 24
4 1
TDP DP QS SDT/SDM HET
DTR CD SQD RS TSTE(TransmitterSignal TimingDTESource) TST(TransmitterSignal TimingDCESource) RCT(ReceiverSignal TimingDCESource)
114
15
HEM
115
17
HRM
116/1
14
Passageensecours(LSsurRC)provoquparle terminal Passageensecours(LSsurRC)linitiativedu modem Indicateurdepassageensecours 9 IA RI
116/2
14
117 125 140 141 142
16 22 21 18 25
Commandedeboucle2distante Commandedeboucle3 IT TI
Le connecteur normalement utilis pour une interconnexion de type V28 correspond la norme ISO 2110, connecteurcourammentdsignparCANNON25pointsouSUBD25points(SUB:subminiature,Dparceque laformeduconnecteurrappellelalettreD)ouDB25,lalettreBrappelantlatailleduconnecteur. La firme IBM na pas intgr la totalit de la spcification V24 sur ses PC. Les ports srie de cette machine ne permettaientlacommunicationquenmodeasynchrone.Cestpourquoilescircuitsdhorloge(HEM,HET,HRM)taient inutiles et il fut possible dintgrerlensemble des circuits restants sur un port 9 broches, le connecteur adopt tantalorsleCANNON9pointsouDE9. Laseulecertitudeestlasuivante: SurlamachinePCquiendisposeencore,leportsrieestidentifiableparsonconnecteurDE9mle.
5.Aspectslectriques,larecommandationV28
Le fonctionnement lectrique prvu par V28 est rudimentaire. Linterface est asymtrique (unbalanced) avec un conducteur par circuit et un retour commun pour tous les signaux quelle que soit leur direction ETTD vers ETCD ou ETCDversETTD.Deplus,leslignesnesontpasadaptesenimpdance.Enfin,chaquecircuitchemineauvoisinagede touslesautrescircuitsquicomposentlajonctionetladiaphonieestimportante.Defait,lesperformancessonttrs limiteslafoisendbit(20Kbits/s)etdistance(15mtres):
- 7-
a.PerformancesdemandeslmetteurV28
Courtcircuitdesortie. Lasortiedoitpouvoirsupporteruncourtcircuitla massedelalimentation,outoutconducteurdu cbledinterface.Lecourantdesortiedoitrester infrieur500mA. > 300 25V > 5 V et < 15 V
Rsistancedelasortieenlabsencedalimentation. Tensiondesortiemaximaleencircuitouvert. Tensiondecommandedelasortiepourunechargede 30007000. Vitessedetransitiondesortie( slewrate). Tempsdemonteetdedescentedelasortiedansles limitesdetransitionde3Vet3V. Vitessemaximaledesdonnes.
30V/s Laplusfaibledesdeuxvaleurssuivantes: 1 ms ou 3 %deladuredutempsbit. 20000bits/s
b.PerformancesdemandesaurcepteurV28
Rsistancedentre. Chargecapacitivelentre,cblecompris. Limitesdelatensiondentre. Tensiondentreencircuitouvert. Vitessemaximaledesdonnes. Compriseentre3000et7000 < 2500pF 25V < 2V 20000bits/s
c.V28:cequilfautenretenir
Ladministrateur peut ajouter le tableau suivant au prcieux calepin dans lequel il consigne les savoirfaire importants:
- 8-
Silescommandessontexprimesenlogiquepositive(un+VcorrespondunecommandeON),lesdonneselles, sontexprimesenlogiquengative(untat1estexprimlaidedunetensionV).
6.UnexempledetransmissionasynchroneRS 232
Un oscilloscope numrique mmoire a t plac sur lun des deux circuits ED ou RD. La squence capture correspondaucaractreA.Lmetteurestrglsur110P71(110bitsparseconde,caractreexprimsur7bits, paritpaire,1bitdeSTOP).Pourmmoire,lecodeASCIIducaractre Aest0x41,soitlasquencebinaire100 0001.
7.ContrledefluxviauneliaisonsrieRS 232
a.Contrledefluxmatriel
Lexemple de limprimante se prte particulirement bien lexplication qui suit mais tout priphrique peut tre concern ds lors quil dispose dun tampon de mmoire susceptible de se remplir plus vite quil ne se vide. ImaginonsdoncuneimprimanterelieunPCviaunportsrieasynchrone.Premierproblme:atonaffaireun ETTDouunETCD?Siladocumentationnapaspermisdeledcouvrir,ilrestelasolutiondeconnecterauportsrie delimprimanteunejonctionclatepuisdevrifierquelestlecircuitgnrateur(ausenslectrique)parmilesdeux circuits ED et RD. Si le voyant de test sallume sur le circuit ED, alors il doit rester teint sur le circuit RD et le priphriqueestETTD.SicestlevoyantdetestassociaucircuitRDquisillumine,celuiassociaucircuitEDdoit resterteintetlepriphriquesecomportecommeunETCDsurlajonction. Danslexempleobjetdelillustrationcidessus,lesdonnesimprimerparviennentvialecircuitRDquiestdoncune entrepourlepriphrique(unrcepteurausenslectrique).LimprimanteestETTDsursajonction. Une imprimante est ncessairement un priphrique lent, ce qui signifie que le dbit des donnes du PC vers le priphriquedimpressionpeuttresuprieur,voiretrssuprieuraudbitdesdonnesverslattedimpression. Cestpourquoitouteimprimanteestdoteduntampondemmoirequireoitenentrelesdonnesimprimeret envoieensortielesdonnesverslattedimpression.Letamponpeutcontenir,selonlescapacitsdelimprimante, plusieurslignes,plusieurspagesvoireplusieursdocumentsenattentedimpression.Quoiquilensoit,lacapacitde cetamponestfinieetpasquestiondadmettre quilseremplisse100 %puisquecelaentraneraitdescaractres perdusetuneimpressionerrone.Lasolutionconsistemettreen uvreuncontrledefluxcestdirelemoyen pourlepuits(danslecasprsentletampon)dasservirlasource(danslecasprsentlePC).Parvenuparexemple 80 % du remplissage maximal, le tampon demande lmetteur de cesser son mission. Le tampon peut alors se vider vers la tte dimpression. Parvenu 20 % de remplissage, le tampon fait savoir lmetteur que lmission peutreprendre. Deuxchoixsoffrentladministrateurchargdemettreenplaceuntelcontrledeflux:lecontrledefluxmatriel etlecontrledefluxlogiciel.Aveclecontrledefluxmatriel,lideestdersumerltat de limprimanteprteou pas prte, cestdoncuntatlogique,binaire,surlundescircuitsdelajonction.Ordinairement,danslecasdune imprimante quipe dune jonction type ETTD, on confie ce rle au circuit DPE (RTS, broche 4 sur le DB25) ou au circuit CDP (DTR, broche 20 sur le DB25). Quelques constructeurs vont jusqu proposer des imprimantes pour lesquelleslechoixdececircuitfaitlobjetduneconfiguration.Siladministrateurignorequelestleboncircuit,illui resteledcouvrirlaidedunejonctionclateplacesurleportsriedelimprimante.Ensuite,chaqueappuisur leboutonOnLine/OffLinedelimprimanteprovoquelechangementdtatduvoyantassociaucircuitrecherch. Unefoislecircuitconnu,ilrestelerelierlundescircuitsdelajonctionduPC,circuitauquelestsensiblele logiciel charg denvoyer les documents imprimer sur le port srie. La jonction du PC est ETTD, le circuit est ncessairementuneentre,cepeuttrelecircuitPAE(CTS,broche5surleDB25)oulecircuitPDP(DSR,broche6 surleDB25). Enfinal,laliaisonquedoitconstruireladministrateurpourraitressemblerlasuivante:
- 10 -
Bien sr, les appellations des circuits DPE/PAE (RTS/CTS) ou CPD/PDP (DTR/DSR) nont de signification que dans le contexte dune transmission via modems et il faut se souvenir quen fait le circuit tabli de la broche 20 ct imprimantelabroche5ctPCreflteltatdelimprimanteprteoupasimprimerlesdonnes.
b.Contrledefluxlogiciel
- 11 -
Vousaveztrouvlecontrledefluxmatrielparticulirementindigeste!Alorslecontrledefluxlogicieldevraitvous convenir.Pluttquederechercheravecdifficultsquelestlecircuitquireprsenteleremplissagedutamponct rcepteurpuisquelestlecircuitquipermettradasservirlmetteur,ilsagitdeconstruireuneliaisonbidirectionnelle simultane(fullduplex)puisdeprovoquerlenvoidecaractresdecommandequitraduirontltatdelimprimante. On se souvient (voir table ASCII ciaprs) que les deux premires colonnes de la table du code ASCII sont des caractresdecontrle.Cescaractressontditsnonvisualisablescarlorsquilssontreusparunquipement,celuici nelesaffichepasmaislesinterprtecommedescommandes. Parmices32caractres,lescaractresDC1DC4(DC = Device Control)sontddislagestiondepriphriques connects. Il a t dcid daffecter deux de ces caractres au contrle de flux logiciel, ce sont le caractre DC1 (0x11)devenuXON(TransmitON=Reprendreleflux)etlecaractreDC3(0x13)devenuXOFF(TransmitOff= Suspendre le flux). Parvenue par exemple 80 % de remplissage de son tampon, limprimante gnre un ou plusieurscaractresXOFF.Lelogicielmetteurcesselenvoidedonnesimprimercequipermetautampondese vider vers la tte dimpression. Parvenue 20 % de remplissage, limprimante gnre un ou plusieurs caractres XONquiserontinterprtsparlelogicielmetteurcommeuneautorisationdmettrenouveau. Lasimplicitducordonraliserentrelesdeuxquipementssepassedecommentaire:
- 12 -
c.Comparaisondescontrlesdefluxmatrieletlogiciel
Avantages Contrledeflux matriel Lefournisseurdedonnesestinformen permanencedeltatdelimprimante. Inconvnients Lajonctionraliserestpluscomplexeet pastoujourssymtrique(onnepeutpas retournerlecordonralispourfairela jonctionentrelesdeuxquipements). Lajonctionraliseresttoujourssimple etsymtrique(onpeutretournerlecordon ralispourfairelajonctionentrelesdeux quipements).
Contrledeflux logiciel
Lefournisseurdedonnesnestinform quedeschangementsdtatde limprimante.Celasupposequil entretienneluimmeunemmoire refltantcettatetquilsoitattentif
- 13 -
lorsquilreoitlinformationdechangement dtat.
8.LeportsrieRS 232etlePC
Prsenten1981,lePCdIBMestdotdunportsrieasynchrone.IBMchoisitlestandardRS 232etledbarrasse descircuitsdhorlogencessaireslaralisationdunetransmissionsynchrone.Jusqulaprsentationdesesmicro ordinateurs PS/2, le seul moyen de communication bidirectionnel avec le monde extrieur intgr dans le PC et reconnuofficiellementparIBMestceportdecommunicationdedonnesasynchrone.lorigine,leportsrieestpar consquentutilispourdespriphriquesquidoiventcommuniquerenmodebidirectionnelaveclordinateur.Cestle caspourdesquipementsaussidiversque:
G
lesmodems lessouris lesscanners lestablettesnumriser lestraceurs lesimprimantesquandellesnesontpasplacesproximitimmdiatedelordinateurhte,etc.
Parcequesurlesdouzecircuitsindispensables,ilnenrestequeneufunefoistslestroiscircuitsdhorloge,IBMa pu,en1983,prsentersonPCATdotdunportsrieDE9enlieuetplaceduDB25delanormeRS 232,privilgiant ainsi la compacit. Beaucoup dquipementsrseauxsontgalementdotsdunportsriedestinpermettreleur configurationinitiale:commutateurs,routeurs Le circuit lectronique charg de la conversion parallle srie est appel UART (Universal Asynchronous Receiver/Transmitter). IBM avait choisi dquiper son PC/XT de la puce UART 8250. Ce circuit tait loin de jouir dune hauteconsidration.Eneffet,lapucetaitdpourvuedetampondmission/rceptionetsavraitdonctrslente.De plus, il fallait dplorer plusieurs bogues mineurs dont un qui fut corrig par le BIOS du PC/XT. Premire machine 16 bits,lePC/ATtaitdotduncircuitUART16450:cecircuitdisposaitdun tampon dmission/rceptionde1octetet les bogues du 8250 taient corrigs. partir du PS/2, IBM choisit la puce UART 16550, beaucoup plus rapide car quipeduntamponFIFO(FirstInFirstOutsoitpremierentrpremiersorti)de16caractres.Cestcecircuit quiapermisdatteindreledbit115200bits/ssurleportsrie(surdesdistancescourtesbiensr). LescartesmresdesPCsontdornavantquipesdunepucedesuperE/S(Entres/Sorties).Cettepuceintgre des circuits qui se prsentaient auparavant sous forme de cartes dextension distinctes. Par exemple, la puce de super E/S rfrence FDC37C777 de la firme SMC intgre un contrleur de disquettes, deux contrleurs de ports sriedetypeNS16550A,uncontrleurdeportparallle,uncontrleurdeclavieretdesouris. VoiciunexempledarchitecturedePCquidatedjmaislimportantestailleurs:
- 14 -
- 15 -
LatableASCII
Latabledbutepar32caractresdecontrle.Cescaractressontditsnonvisualisablescarlorsquilssontreusparun quipement,celuicinelesaffichepasmaislesinterprtecommedescommandes. Sur les terminaux compatibles tltype (TTY), il est possible dmettre un caractre des colonnes 0 et 1 par appui simultandelatouche[Ctrl]etdelatouchecorrespondantaucaractredemmerangdanslescolonnes4et5.Ce querappellelacolonnekeydutableaucidessousquifaitrfrencelacombinaisondetouchesadquate. La combinaison 000 0000 nest pas associe un caractre ni une commande et na donc pas de signification particulire.Ainsi,unsystmeenrceptionconnecteuneligneaureposnerisquepasdinterprterles 0 non significatifs. LescaractresTC1TC10(TC=TransmissionControl)onttpendantuntempsutilissafindedfinirdesprotocoles decommunication.Certainscaractres,telsSTXetETX,servaientdedlimiteursauxblocsdedonnes,dautres,tels ENQ ou ACK, servaient dans la procdure de dialogue. On peut citer le protocole BSC dIBM (Binary Synchronous Communications)annoncen1967.Lutilisationdecaractresdecommandepourcrerunprotocolegnredeuxtypes de problmes : 1> le protocole est li au code, on ne peut faire voluer lun sans faire voluer lautre 2> si les donnes comprises entre deux caractres dencadrement comportent des squences binaires susceptibles dtre confondues avec des caractres de commande, il faudra faire prcder ces squences par des caractres dchappement.Cestcequonappelleleproblmedelatransparenceaucode. Les caractres FE1 FE5 ( FE = Format Effector) sont ddis la mise en page de linformation, quil sagisse dune imprimante ou dun cran de terminal et comprennent le retour chariot, le changement de ligne, les tabulations horizontaleetverticale,lesautdepage. Les caractres DC1 DC4 (DC = Device Control) sont ddis la gestion de priphriques connects. Deux de ces caractressontclbrespuisquilssontutilissdanslecontrledefluxlogiciel,cesontlescaractresXON(=Reprendre leflux)etXOFF(=Suspendreleflux). LescaractresIS1IS4(IS=InformationSeparators)permettentdehirarchiserlinformationenfichiers,articles,sous articles Enfin,ilrestelescaractresinclassables,tellecaractreBELquientranelmissiondunsignalaudibleparlquipement quilereoit. Hex 00 01 Dec 0 1 Key ^@ Â NUL TC1/SOH Name Null StartofHeader
Description
02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F
- 2-
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
^B ^C ^D Ê ^F ^G ^H Î ^J ^K ^L ^M ^N Ô ^P ^Q ^R ^S ^T Û ^V ^W ^X ^Y ^Z ^[ ^\ ^] ^^ ^_
TC2/STX TC3/ETX TC4/EOT TC5/ENQ TC6/ACK BEL FE0/BS FE1/HT FE2/LFouNL FE3/VT FE4/FF FE5/CR SO SI TC7/DLE DC1/XON DC2 DC3/XOFF DC4 TC8/NAK TC9/SYN TC10/ETB CAN EM SUB ESC IS4/FS IS3/GS IS2/RS IS1/US
StartofText EndofText EndofTransmission Enquiry Acknowledge Bell Backspace HorizontalTab LineFeedouNewLine* VerticalTab FormFeed CarriageReturn ShiftOut ShiftIn DataLinkEscape DeviceControl1 DeviceControl2 DeviceControl3 DeviceControl4 NegativeAcknowledge SynchronousIdle EndTransmissionBlock Cancel EndofMedium Substitute Escape FileSeparator GroupSeparator RecordSeparator UnitSeparator
*Certainsappareilsnecomportentquuneseulecommandepourloprationcombinederetourchariotetdesautde ligne,lafonctionFE2prendalorslasignificationNL(NewLine).
- 3-
Numrotationdesinterfacesdesrouteursdelasrie2800
Danslecasdurouteur2801,lanumrotationstablitainsi: Numrodeslot Portsembarqus 0 1 Typedeslot FastEthernet VIC/VWIC(voixseulement) HWIC/WIC/VIC/VWIC(*) tenduedenumrotation 0/0et0/1. De0/0/00/0/3. De0/1/00/1/3danslecasdunmoduleHWIC simplelargeur. De0/1/00/1/7danslecasdunmoduleHWIC doublelargeur. 2 3 WIC/VIC/VWIC(*) HWIC/WIC/VIC/VWIC(*) De0/2/00/2/3. De0/3/00/3/3danslecasdunmoduleHWIC simplelargeur. De0/3/00/3/7danslecasdunmoduleHWIC doublelargeur. (*) Un module VWIC plac dans lun des slots 1, 2 ou 3 peut fonctionner indiffremment dans les modes donne et voix.Cemmemoduleplacdansleslot0nepeutfonctionnerquedanslemodevoix. Danslecasdesrouteurs2811,2821et2851,lenommagestablitainsi: Emplacementduport Embarqu,faceavant. Formatdelanumrotation Interfacetype port usb usb Embarqu,facearrire. Interfacetype 0/port 0 1 0/x 0/x 0/x/y 0/x/y Exemples
Interface Interface
fa gi serial
Surunecartedinterface Interfacetype (HWIC,HWICD,WIC, VWIC,VIC)installe directementdansunslot HWICduchssis.
0/slot/port
interface interface line
async 0/x/y fa
interface voiceport Surunecartedinterface Interfacetype 1/slot/port (WIC,VWIC,VIC) 1identifielemoduleNMsurtousles installedansunslot appartenantunmodule routeursdelasrie2800. NM. controller voiceport interface interface line Embarqudirectement surlemoduleNM(NME, NMEX,NMD,NMDXD). Interfacetype 1/port
0/x/y 0/x/y 1/x/y 1/x/y
t1
serial
async 1/x/y gi serial async
1/x/y 1/x/y
interface interface interface line 1/x
1/x
1identifielemoduleNMsurtousles routeursdelasrie2800.
1/x 1/x
PortFXSouFXOinstall Interfacetype
2/0/port
voiceport
2/0/x
- 1-
surunmoduleEVM (voix).
2identifielemoduleEVMsurtousles routeurs2821et2851(autresrouteurs nonconcerns). FXS/DID,lesports07sontembarqus directementsurlemoduleEVM. FXS/FX0,lesports815appartiennent aumoduledextension0. FXS/FX0,lesports1623appartiennent aumoduledextension1. Lechiffre0audeuximerangdu nommageestrequisparlasyntaxe imposepourunmoduleEVMmais nidentifiepasunslotsurlemodule.
Portsvoixdansune extensionBRI(Basic RateInterface,lunedes interfacesdurseau RNIS)placedansun moduleEVM.
Interfacetype
2/0/port
interface
bri
2/x
2identifielemoduleEVMsurtousles routeurs2821et2851(autresrouteurs nonconcerns). Lesports811appartiennentaumodule dextension0. Lesports1619appartiennentau moduledextension1. Lechiffre0audeuximerangdu nommageestrequisparlasyntaxe imposepourunmoduleEVMmais nidentifiepasunslotsurlemodule.
Unepartiedesacronymescontenusdanscetableauestcertainementdjconnuecestade.touthasard: WIC HWIC VWIC VIC NM NME BRI RNIS FXS WANInterfaceCard. HighSpeedWIC. VoiceWIC. VoiceInterfaceCard. NetworkModule. NetworkModuleEnhanced. BasicRateInterface. RseauNumriqueIntgrationdeServices. ForeigneXchangeSubscriber.Portquiamnelalignetlphoniquedelabonn.Cette interfacefournitnotammentlatonalit,lecourantdumodedcroch,latensiondumode raccroch,latensiondesonnerie.Untlphoneanalogiqueclassique,branchsurcette interface,reoitleservicetlphonique. ForeigneXchangeOffice.Extrmitducblepermettantderelierunappareil,telun tlphoneouuntlcopieur,auportFXS.OnparlesouventdepriphriqueFXO.FXOetFXS vonttoujoursdepair.
FXO
- 2-
Prparationduncontextedestintesterleslistesdaccstendues
Nousfonderonsnosscnariossurlatopologiesuivante,avecmoinsderouteursquelestopologiesdestinestester lesprotocolesderoutagemaisavecplusdeservicesrseauetdoncplusadapteauxtestsdelistestendues:
Pourlelecteurquisouhaitereproduirececontexte: Ladministrateur a cr une zone dmilitarise (le sousrseau entre les deux routeurs) et y a plac lensemble des services rseau, savoir un serveur FTP, un serveur de courrier, un serveur DNS et un serveur Web. En ralit, les quatreservicesonttimplmentssurlammemachinevirtuelleVMSRV01quipedelOSWindows2000Server. Les services DNS, FTP et WWW sont raliss laide des composants du systme dexploitation, seul le serveur de courrier est ralis laide dun produit tiers, HMAILServer en loccurrence, excellent et gratuit qui offre toute la souplessencessairepourmonterrapidementunatelier.
1.Prparationducontextederoutage
Pour mmoire, GNS3 fonctionne toujours dans la machine virtuelle VMWKS02 des ateliers prcdents. Pour ce contexte,deuxrouteurs,troisnuagesetuncommutateursuffisent:
LenuageVMWKS01estconnectladaptateurvirtuelNIC11etparsuiteauconcentrateurVMnet1.
- 1-
LenuageVMSRV01estconnectladaptateurvirtuelNIC8etparsuiteauconcentrateurVMnet8. LenuageVMSRV02estconnectladaptateurvirtuelNIC12etparsuiteauconcentrateurVMnet2.
CiaprsunextraitdelaconfigurationdurouteurR100k: R100k#sh run Current configuration : 929 bytes ......... ! interface FastEthernet0/0 ip address 10.0.10.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.8.254 255.255.255.0 duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 10.0.8.253 ......... end R100k# CiaprsunextraitdelaconfigurationdurouteurR120k: R120k#sh run Current configuration : 1048 bytes ......... ! interface FastEthernet0/0 ip address 10.0.12.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.8.253 255.255.255.0 duplex auto speed auto ! ip route 10.0.10.0 255.255.255.0 10.0.8.254 ......... end R120k# Vrifiezlaconnectivittotaledelatopologie.
2.PrparationdelamachinevirtuelleVMSRV01
Caractristiques de la machine : RAM 256 Mo, HDD 8 Go, Windows 2000 Server. Quatre adaptateurs rseau tous connects sur le concentrateur VMnet8 de VMware, adresse de passerelle 10.0.8.253, adresse de serveur DNS 10.0.8.1. LaconfigurationIPdesmachinesdelaDMZposeunproblmeintressantpuisquilexistedeuxpasserelles,lunevers le rseau interne, lautre vers le rseau externe. La configuration IP de ladaptateur rseau nadmetquune seule passerelle. Que faire ? Souvenonsnous de la logique de routage dune machine dextrmit : mettre un datagramme revient pour la station se poser une seule question, ladresse du destinataire estelle directement connecteoupas?Danslepremiercas,ledatagrammeestenvoydirectementaudestinataire.Danslesecondcas, ilestconfilapasserelle,chargeelledelefaireprogresserverssadestination.Cettelogiquequiaboutitun rsultatbinairesaccommodemalaucasdunemachineplacesurlaDMZpourlequelunpaquetquinestpasdestin aurseaudelaDMZpeuttredestinsoitaurseauinterne,soitaurseauexterne. SiR120kestchoisientantquepasserelle,pasdeproblmepourlesdatagrammesissusdelaDMZetdestinsau rseauexterne.Lesdatagrammesdestinsaurseauinterneeux,seraientmoinsbienlotispuisquedabordconfis aurouteurR120kquinepeutquelesfaireprogresserversR100k.LesautentreR120ketR100k,inutile,estvitable fortheureusementlaidedumessageIndicationderedirection(RedirectMessage)duprotocoleICMP.R120k,quand
il reoit un datagramme destin au rseau interne, peut avertir lmetteur que R100k constitue une meilleure passerelle,nousobserveronscemessageICMPdansdeprochainescapturesraliseslaidedeWireshark.
a.PrparationduserveurDNS
I
SurVMSRV01,consoleMMCouvertesurDNS(menu DmarrerProgrammesOutilsdadministrationDNS), crez une nouvelle zone de recherche directe fr. ,en conservant tous les paramtres proposs par dfaut. Danscettezone,reproduisezlaconfigurationcidessous:
TestduserveurDNSdepuislastationVMWKS01:
C:\>nslookup Serveur par dfaut : Address: 10.0.8.1
vmsrv01.ccna.fr
>ls Serveur : vmsrv01.ccna.fr Address: 10.0.8.1 >ls -d fr. [vmsrv01.ccna.fr] fr.SOA vmsrv01 administrateur. fr. NS ccie.fr. MX ccna.fr. MX ftp.ccna.fr. CNAME pop.ccna.fr. CNAME smtp.ccna.fr. CNAME vmsrv01.ccna.fr. A vmsrv20.ccna.fr. A vmsrv25.ccna.fr. A vmsrv80.ccna.fr. A www.ccna.fr. CNAME
vmsrv01 10 10.0.12.12 10 vmsrv25.ccna.fr vmsrv20.ccna.fr vmsrv25.ccna.fr vmsrv25.ccna.fr 10.0.8.1 10.0.8.2 10.0.8.3 10.0.8.4 vmsrv80.ccna.fr
- 3-
ObservezlesdeuxenregistrementsMX,lunpourleMTA(MailTransferAgent)dudomaineccna.fr,MTAinternedonc, lautrepourleMTAdudomaineccie.fr,externe.
b.PrparationduserveurMAILinterne
I
HMAILSERVER est tlchargeable depuis http://www.hmailserver.com/ installez hmailserver sur la machine VMSRV01. Ouvrez la console dadministration de HMAILSERVER (menu Dmarrer Programmes hmailserver hmailserverAdministrator). SlectionnezlitemBienvenueetajoutezundomaineccna.fr. Dans le domaine nouvellement cr ccna.fr, slectionnez litem Comptes et crez 3 comptes dutilisateur eni1@ccna.freni3@ccna.fr,motdepassecisco. Slectionnez litem Protocoles dans litem Paramtres et vrifiez que les deux cases SMTP et POP sont bien coches. Slectionnez litem SMTP et dans longlet Gnral, personnalisez le message de bienvenue. Dans longlet Distributiondesemails,compltezlechampNomduserveuravecsmtp.ccna.fr. SlectionnezlitemPOP etpersonnalisezlemessagedebienvenue. SlectionnezlitemPortsTCP/IPetvrifiezlesportsTCPattribusauxdeuxserveurs,25pourSMTPet110pour POP3. Slectionnez litem Chemins sous litem SMTP. Cliquez sur Ajouter. Longlet Gnral est slectionn. Tapez ccie.fr dans le champ Domaine puis compltez le champ Serveur SMTPaveclavaleur 10.0.12.12, port 25 . LaissezactivleboutonradioTraitercechemincommeundomaineexterne.Ainsi,toutcourrierdestinlune desadressesdudomaineccie.frseratransmisparceMTAauMTAexterne10.0.12.12. EnregistrezvosmodificationsdelaconfigurationdeHMAILSERVER. Ouvrez une invite de commandes puis vrifiez laide dunecommande netstatan que les nouveaux services SMTPetPOPsontbienactifs,lesportsTCP25et110doiventtredansltatLISTENING.
c.Prparationdumailexterne
I
VMSRV02atobtenuparclonagedeVMSRV01.Aprsloprationdeclonage,ilfautmodifiersonnomainsique sa configuration IP : VMSRV02, 10.0.12.12/24, passerelle 10.0.12.1. Ladaptateur rseau est connect au concentrateurVMnet2deVmware. ProcdezcommepourlinstallationdehmailserversurVMSRV01aveclesvariantessuivantes... Crezledomainedemessagerie ccie.fr.Danscedomaine,crezuncomptedemessagerieedieni1@ccie.fr,mot depassecisco. Slectionnez litem Chemins sous litem SMTP. Cliquez sur Ajouter. Longlet Gnral est slectionn. Tapez ccna.fr dans le champ Domaine puis compltez le champ Serveur SMTP avec la valeur 10.0.8.3, port 25 . LaissezactivleboutonradioTraitercechemincommeundomaineexterne.Ainsi,toutcourrierdestinlune desadressesdudomaineccna.frseratransmisparceMTAauMTA10.0.8.3.
3.PrparerlesclientsMUA(MailUserAgent)
a.PrparerleclientMUAsurVMWKS01
- 4-
adapterselonvotrecontexte,leclientMUAesticiOutlookExpress.
I
SurlamachineVMWKS01,dmarrezOutlookExpressetslectionnezlacommandedemenuOutilsComptes... Cliquezsurlebouton Ajouteretdanslemenucontextuelquisaffiche, slectionnez Courrier.Unassistantest lanc,danslechampNomcomplet,tapezeni1.DanslechampAdressedemessagerie,saisissezeni1@ccna.fr. DanslafentreNomsdesserveurs,laissezlechoixdutypedeserveurdecourrierentrantsurPOP3.Compltez lechamp Serveurdecourrierentrantavec pop.ccna.fr.Compltezlechamp Serveurdecourriersortantavec smtp.ccna.fr. Danslafentre Connexionlamessagerie,compltezlechamp Nomducompteaveceni1@ccna.fretlechamp Motdepasseaveccisco.LacaseMmoriserlemotdepasseestcoche. CliquezsurTerminerpourconfirmerlacrationducompteetmettezfinlassistant. RptezlensembledecesoprationssurlastationVMWKS02enattribuantcettefoislecomptedemessagerie eni2@ccna.fr.
b.PrparerleclientMUAsurVMSRV02
Pourconomiserlesressourcesdelamachinehte,leclientMUAexternencessairelaralisationdestestsat placsurlamachinevirtuelleVMSRV02.
I
SurlamachineVMSRV02,dmarrezOutlookExpressetslectionnezlacommandedemenuOutilsComptes... Cliquer sur le bouton Ajouter et dans le menu contextuel qui saffiche,slectionnez Courrier.Unassistantest lanc, dans le champ Nom complet, tapez edieni1. Dans le champ Adresse de messagerie, saisissez edieni1@ccie.fr. DanslafentreNomsdesserveurs,laissezlechoixdutypedeserveurdecourrierentrantsurPOP3.Compltez lechamp Serveurdecourrierentrantavec 10.0.12.12.Compltezlechamp Serveurdecourriersortantavec 10.0.12.12. Dans la fentre Connexion la messagerie, compltez le champ Nom du compte avec edieni1@ccie.fr et le champMotdepasseaveccisco.LacaseMmoriserlemotdepasseestcoche. CliquezsurTerminerpourconfirmerlacrationducompteetmettrefinlassistant.
c.Testerlamessagerie
I
DepuislastationVMWKS01,provoquezlenvoidunmessageversedieni1@ccie.fr. DepuisleclientMUAsurlastationVMSRV02,vrifiezlarrivedumessage.Rpondezcemessage. nouveaudepuislastationVMWKS01,vrifiezlarrivedelarponsedelutilisateuredieni1@ccie.fr.
4.PrparerlesserveursWEB
PourchacunedesdeuxmachinesVMSRV01etVMSRV02:
I
TlchargezdepuislesiteENI,lesfichiersCCNA2.aspainsiquelogo_eni.gifetlesplacerdanslerpertoire C:\Inetpub\wwwroot. Ouvrez la console IIS (menu Dmarrer Programmes Outils dadministration Gestionnaire des services Internet).
- 5-
Dans la fentre Services Internet (IIS), dployez les items jusqu voir apparatre litem Site Web par dfaut. EffectuezunclicdroitsurcetitempuisslectionnezProprits. Danslafentre PropritsdeSiteWebpardfaut,slectionnezlongletDocuments.VrifiezquelacaseActiver le document par dfaut est coche puis cliquez sur le bouton Ajouter..., saisissez ccna2.asp et confirmez. Cliquezautantdefoisquencessairesurleboutonestampillavecuneflcheascendanteafinque ccna2.asp apparaisseenttedeliste.CliquezsurOKpourfermerlafentredeproprits. Ouvrezuneinvitedecommandespuistapezlacommande: netstatan
ObservezqueleserviceWebactifsetraduitparuneinstanceTCPdansltatdcoutesurleport80.
5.UtiliserlamachinevirtuelleLINUX
a.Configurationrseauenlignedecommande
Linvitedecommandesestmatrialiseparlecaractre$.
I
Un certain nombre de commandes ncessitent de disposer du niveau de privilge root (quivalent au niveau privilgidanslIOSCISCO).Pourobtenirceniveau,utilisezleprfixesudo: $ sudo <commande>
Silacommandesuatactivepourlesdroits root (sudopasswdroot),utilisezlacommande su@pouraccder aucompteroot. Pourdcouvrirlesinterfacesphysiquesinstalles:
$ ifconfig -a
I
CommandequivalentelacommandeipconfigdeWindows:
$ ifconfig
I
Pourvrifierlaconfigurationduneinterfacerseauspcifique:
$ ifconfig eth0
I
Configurationdesinterfacesrseau:
$ sudo nano /etc/network/interfaces Exempledeconfigurationstatique: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.8.3 netmask 255.255.255.0 gateway 192.168.8.1 Exempledeconfigurationdhcp:
- 6-
auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp Quittezpar[Ctrl]X,acceptezlelieuetlenomdesauvegardeentapantYpuisconfirmezparlatouche[Entre]. Provoquezunredmarragedurseauafindeprendreencompteunemodificationdelaconfiguration:
$ sudo nano /etc/init.d/networking restart

I
ConfigurationDNS:
$ sudo nano /etc/revolv.conf

I
PourajouterunserveurDNSdanslefichierresolv.conf:
nameserver 10.0.8.1
I
Pouractiveruneinterface:
$ sudo ifup<interface>
I
Pourdsactiveruneinterface:
$ sudo ifdown<interface> Exemple: $ sudo ifdown eth0 Pourditerunfichiertexte: $ nano <chemin du fichier> Pourquitternano,utilisezlacombinaisondetouches[Ctrl]X,puisentrezYpoursauvegarderlefichier.
Exempledeconfiguration: a)Ladministrateurdsactivelinterface: $ sudo ifconfig eth0 inet down b)Ladministrateurconfigureetractivelinterface: $ sudo ifconfig eth0 inet up 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 c)Ladministrateurajoutelapasserelleencrantuneroute: $ sudo route add default gw 192.168.0.1
b.Envoyeruncourrierlectroniqueenlignedecommande
Si le serveur DNS est bien renseign dans le fichier resolv.conf (sinon remplacer smtp.ccna.fr par ladresse IP du serveurSMTP): $ telnet smtp.ccna.fr 25
- 7-
220 Hello client, heureux de vous rencontrer Helo ccna.fr 250 Hello. mail from:eni1@ccna.fr 250 OK rcpt to:edieni1@ccie.fr 250 OK data 354 OK, send. subject: Test du serveur hmailserver BlaBlaBlaBla BlaBlaBlaBla BlaBlaBla . 250 Queued (84.391 seconds) quit 221 goodbye $
c.Recevoiruncourrierlectroniqueenlignedecommande
Si le serveur DNS est bien renseign dans le fichier resolv.conf (sinon remplacer pop.ccna.fr par ladresse IP du serveurPOP): $ telnet pop.ccna.fr 110 +OK Bienvenue sur le serveur POP CCNA user edieni1@ccie.fr +OK Send your password pass cisco +OK Mailbox locked and ready stat +OK 3 643 list +OK 3 messages (643 octets) 1 177 2 188 3 278 . retr 3 +OK 278 octets return-Path: eni1@ccna.fr received: from ccna.fr(10.0.8.3) By smtp.ccna.fr With hMailServer ; Mon, 9 Feb 2009 18:02:22 +0100 message-ID: B264287C-CFB9-4717-AFA7-0B4E987FBBB7@smtp.ccna.fr subject: Test du serveur hmailserver BlaBlaBlaBla BlaBlaBlaBla BlaBlaBla . dele 1 +OK msg deleted dele 2 +OK msg deleted quit +OK POP3 server saying goodbye
d.OuvrirunesessionSSH
IlsagitdelapplicationOpensshclientaccessiblevialacommande: $ ssh<username>@<ipaddress> -p <num_port> Varianteavecnomdemachine: $ ssh<username>@<nom_machine> -p <num_port>
- 8-
6.PrparationdunserveurFTP
I
Sur le serveur VMSRV01, si ce nest dj fait, activez le service FTP (Panneau de configuration Ajout/SuppressiondeprogrammesAjouter/SupprimerdescomposantsWindows). Danslafentre AssistantComposantsdeWindows,slectionnezlitemServiceInternet(IIS)puiscliquezsurle boutonDtails. DanslafentreServicesInternet(IIS),cochezlacaseServeurFTPpuisconfirmez. DeretourdanslafentreAssistantComposantsdeWindows,cliquezsurSuivant. Leservicesinstalle.cemoment,leCDWindowsServerdoittreprsentdanslelecteurouencoremullaide desonimageISO.Unefoislinstallationacheve,cliquezsurTerminer. Ouvrez la console MMC sur le Gestionnaire des services Internet (menu Dmarrer Programmes Outils dadministrationGestionnairedesservicesInternet). Dployezlitemvmsrv01.EffectuezunclicdroitsurlitemSiteFTPpardfautpuisslectionnezProprits. Danslonglet SiteFTP, ne modifiez pas le port TCP rgl 21 . Nous savons maintenant quil sagitduportTCP correspondantaucanaldecontrle.Vouspouvezmodifierladescriptiondusite,parexempleSiteFTPCCNA. DanslongletMessages,renseignezlemessagedebienvenueavecparexempleBienvenuesurleserveurFTPdu CCNA.RenseignezlemessageQuitteravecAbientotsurleserveurFTPduCCNA. Danslonglet Rpertoiredebase,observezquelerpertoirepardfautest C:\inetpub\ftproot. Cliquez sur OK pourfermerlafentrePropritsdeSiteFTP... Placez deux ou trois fichiers de taille infrieure au Mga octet dans le rpertoire de base de FTP. Si vous le souhaitez,lauteuraprvudeuxfichierstlchargeablesdepuislesitedesEditionsENI,ccna.pdfetccna.txt .Maistoutfichierconvientbiensr.PlacezlesdanslerpertoireC:\Inetpub\wwwrootduserveurVMSRV01. Pourle fun,etsicenestpasdjfait,laidedelaconsoleDNS,crezunaliassupplmentaire ftpqui pointe,toutcommelaliaswww,verslamachineVMSRV01. Vrifiez laidedune commande netstat an que notre nouveau serveur FTP est en service, le port TCP 21 doit tredansltatLISTENING.
- 9-
Quelquesnotionssurlareprsentationbinairesigne
1.Codecomplment1oucomplmentrestreint
Cecodenadautreutilitquecelledintroduirelecodecomplment2.
G
Lecomplment1de0est1. Lecomplment1de1est0.
Pourexprimerlecomplment1dunmotbinaire,ilsuffitdoncdecomplmenterchaquebitdumot. Exemple:lecomplment1de10010est01101. La ncessit dintroduire les codes complment 1 et complment 2 provient de la solution choisie pour reprsenter les nombres ngatifs ou de la solution choisie pour raliser une soustraction binaire. Si la plus petite entitmanipulableparunemachineinformatiqueestlebit,laseuleoprationarithmtiqueralisableestladdition. Pourfaireunesoustraction,onadditionnelenombrengatifcorrespondantaunombrequelonvoulaitsoustraire.La questionseposerestdonccommentreprsenterlesnombresngatifsenbinaire? Supposonsunnombrebinairex=0101 Notonssoncomplment1
Ralisonsladditiondexetdesoncomplment1:
Onconstateque . Cefaisant,onaintroduitlesignemoinscequiestsatisfaisantmaisonagalementintroduituneconstante(15(10) ) dontilfautsedbarrasser,cequepermetlecodecomplment2.
2.Codecomplment2oucomplmentvrai
Lecomplment2estgalaucomplment1 + 1. Ajoutons1aucomplment1dexetnotons lersultat:
Puis,additionnonsxetsoncomplment2 :
- 1-
Onconstateque .
Laconstanteesttoujourslmaissilonadmetqueledomainededfinitiondesmotsbinairesestceluidesmots4 bits(pourcetexemple),ilfautignorerlecinquimebitcequirevientignorerlaconstante.Cefaisant,onobtient: . Exemple Supposonsquelondsireraliserloprationbinairecorrespondantloprationdcimalesuivante:
Sur4bits,lemotbinairereprsentant5est0101. Soncomplment1est1010.Lenombrengatif reprsentant5estdonc1011(1010+1). Ilresteadditionnerlemotbinairereprsentant7etlemotbinairereprsentant5:
Enignorantlecinquimebit,lersultatest0010cequiestbienlemotbinairereprsentant2. Lorsquelecomplment2estutilis,ilfautimprativementconnatreleformat(nombredebits)utilis.En effet,lecomplment2dunmotbinaireneserapaslemmeselonqueleformatest4,8,16ou32bits. Toujourssur4bits,essayonsdenvisagercequedeviennentles16combinaisonspossiblesencomplment2: Pour ce faire, construisons un tableau quatre colonnes. Les deux premires colonnes contiendront les nombres positifsenreprsentationdcimaleetbinaire.Pourchaquemotbinairereprsentantunnombrepositif,onplacedans lesdeuxdernirescolonnes,soncomplment2ainsiquelenombrengatifcorrespondant: Nombrepositif 0 1 2 3 4 Motbinairepositif 0000 0001 0010 0011 0100 Complment2 0000 1111 1110 1101 1100 Nombrengatif 0 1 2 3 4
- 2-
5 6 7
0101 0110 0111
1011 1010 1001 1000
5 6 7 8
Onconstateainsiquesur4bitsetencomplment2,ilestpossibledereprsenterlesnombresdcimauxde8 +7. On pourrait penser que les nombres ngatifs sont privilgis mais si lon veut bien admettre que 0 est positif, alorsilyaautantdenombrespositifsquedenombresngatifs. Sansquecelaprteconsquence,lecomplment2desmotsbinairesreprsentantlesnombresngatifsdonne nouveaulesnombrespositifs(lecomplment2de11102est0010 +2)saufdanslecasdunombrengatif8 carlecomplment2de1000est1000. Enfin, il faut constater que le code complment 2 est toujours un code pondr. Pour trouver les poids correspondantchaquebit,ilsuffitdobserverlesquatrecasounseulbitestvrai:0001,0010,0100et1000.On remarque ainsi que si les poids binaires des trois bits de poids faible sont toujours 1, 2, 4, le poids binaire du quatrimebitest8. Ncessairement,puisque0111 7et1000 8,lorsquelequatrimebitest1,onpeutconclurequelenombre reprsentestngatif.Ceciapparatclairementdansletableauordonnsuivant: POIDS 8 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 4 0 0 0 0 1 1 1 1 0 0 0 0 1 1 1 1 2 0 0 1 1 0 0 1 1 0 0 1 1 0 0 1 1 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 0 1 2 3 4 5 6 7 8 7 6 5 4 3 2 1 NOMBREDCIMAL
Cecifaitparfoisappelerlebitdepoidsfortbitdesigne. Surquatrebits,enbinairenaturel,onpouvaitreprsenterlesnombresdcimauxde015.Encomplment2,les nombresdcimauxstendentde8+7.Essayonsdimaginerltenduedereprsentationlorsquonpasse8,16

ou32bits: Format 4bits 8bits 12bits 16bits 32bits Binairenaturel 015 0255 04095 065535 04.294.967.295 Complment2 8+7 128+127 2048+2047 32768+32767 2.147.483.648 +2.147.483.647 2 n1 +2n1 1
nbits
02 n 1
- 4-
Adressesdemultidiffusionmulticast
Lebloc 224.0.0.0/4,exadressesdeclasseDde224239,estddiauxadressesdemultidiffusion.lintrieurde cebloc,lasubdivisionenpartierseauetpartiehtedeladresseestsansobjet:les4premiersbitssont1110et les28bitsrestantsdsignentlegroupe.SansfournirleniveaudedtailduRFC3171,ilestutiledeconnatrelebloc LocalNetworkControlBlock: 224.0.0.0/24 La traduction est dangereuse, le bloc est rserv par lIANA sous le nom Local Network Control Block.Cesadressessontallouesauxprotocoleschargsdelagestiondurseau,telslesprotocolesderoutage, desprotocolesdedcouvertedetopologies,desprotocolesdemaintenance.Toutcommedanslecasdesadresses localesliens,lespaquetsmisversdesadressesdubloc224.0.0.0/24lesontavecuneduredeviede1etrestent donc locaux. Exemples dadresse dans ce bloc : 224.0.0.0 est rserve 224.0.0.1 dsigne toutes les interfaces prsentes sur le rseau local ( All systems on this subnet) 224.0.0.2 dsigne toutes les interfaces de routeurs prsentessurlerseaulocal( Allroutersonthissubnet).Lesautresaffectationspeuventtreconsultessurlesitede lIANA:http://www.iana.org/assignments/multicastaddresses/multicastaddresses.xml CommentreconnatrelatramequiencapsuleunpaquetenvoyversuneadresseIPmulticast?Ilfautsesouvenirque la carte Ethernet en rception, ne se saisit que des trames qui lui sont destines (dont ladresse de destination correspond ladresse MAC de la carte) et des trames qui sont mises en diffusion (dont ladresse de destination correspondFFFFFFFFFFFF. Donc pour envoyer un paquet vers une adresse multi diffusion, la premire possibilit consistait lencapsuler dans une trame dont ladresse de destination est ladresse de diffusion de couche 2. Linconvnient est quune interface nappartenant pas au groupe ne le dcouvrira quen couche 3, imposant une surcharge inutile du processeur de la machine. Lidal serait de pouvoir rpercuter lappartenance un groupe de multi diffusion sur la couche 2. Il se trouve que lIANAdisposaitduneplagedadressesIEEE(unOUI):00005EXXXXXX.Ilfutdciddenrserverlamoiti(23bits sur 24) pour le multicast, les valeurs retenues sont 01005E000000 01005E7FFFFF. Le premier octet peut sembler diffrent, il sagit simplement du bit I/G qui est positionn 1 pour rappeler que lon a affaire une adressedegroupe.LepassagedeladressedegroupeIPladressedegroupeMACseffectuedelafaonsuivante:
Les 23 bits de poids faible de ladresse de groupe IP sont placs dans les 23 bits de ladresse de groupe MAC. On objectera que sur les 32 bits de ladresse IP dun groupe, 28 dsignent le groupe et que par consquent plusieurs groupesIPpourraientavoirlammeadressedegroupeMAC.Eneffet,laconsquenceestquemmesilacouche2 faitremonterlepaquetparcequelleareconnuladressedegroupe,lacouche3doitquandmmevrifierquelleest effectivementconcerneparlepaquetenquestion.
- 1-
ConfigurationOSPFdesmodesNBMAetPointmultipoint
1.Rseauphysiquediffusion,modebroadcast
a.Contexte
b.CapturesdanslinterfaceILC
R1100b# 00:01:07: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.21 on FastEthernet0/1 from LOADING to FULL, Loading Done R1100b# 00:01:09: OSPF: Neighbor change Event on interface FastEthernet0/1 00:01:09: OSPF: DR/BDR election on FastEthernet0/1 00:01:09: OSPF: Elect BDR 1.0.0.21 00:01:09: OSPF: Elect DR 1.0.0.22 00:01:09: DR: 1.0.0.22 (Id) BDR: 1.0.0.21 (Id) R1100b#sh ip ospf database router 1.0.0.11 OSPF Router with ID (1.0.0.11) (Process ID 1) Router Link States (Area 0) LS age: 166 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 1.0.0.11 Advertising Router: 1.0.0.11 LS Seq Number: 80000002 Checksum: 0x347A Length: 48 Number of Links: 2 Link connected to: a Transit Network (Link ID) Designated Router address: 10.0.8.22 (Link Data) Router Interface address: 10.0.8.11 Number of TOS metrics: 0 TOS 0 Metrics: 1 Link connected to: a Stub Network (Link ID) Network/subnet number: 10.0.11.0
(Link Data) Network Mask: 255.255.255.0 Number of TOS metrics: 0 TOS 0 Metrics: 1 R1100b#sh ip ospf database router 1.0.0.12 OSPF Router with ID (1.0.0.11) (Process ID 1) Router Link States (Area 0) LS age: 220 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 1.0.0.12 Advertising Router: 1.0.0.12 LS Seq Number: 80000002 Checksum: 0x4763 Length: 48 Number of Links: 2 Link connected to: a Transit Network (Link ID) Designated Router address: 10.0.8.22 (Link Data) Router Interface address: 10.0.8.12 Number of TOS metrics: 0 TOS 0 Metrics: 1 Link connected to: a Stub Network (Link ID) Network/subnet number: 10.0.12.0 (Link Data) Network Mask: 255.255.255.0 Number of TOS metrics: 0 TOS 0 Metrics: 1 R1100b#sh ip ospf database OSPF Router with ID (1.0.0.11) (Process ID 1) Router Link States (Area 0) Link ID 1.0.0.11 1.0.0.12 1.0.0.21 1.0.0.22 ADV Router 1.0.0.11 1.0.0.12 1.0.0.21 1.0.0.22 Age 540 541 541 541 Seq# 0x80000002 0x80000002 0x80000002 0x80000002 Checksum 0x00347A 0x004763 0x00EBCA 0x00E9C9 Link count 2 2 1 1
Net Link States (Area 0) Link ID 10.0.8.22 ADV Router 1.0.0.22 Age 541 Seq# Checksum 0x80000001 0x006E3E
R1100b#sh ip ospf database network 10.0.8.22 OSPF Router with ID (1.0.0.11) (Process ID 1) Net Link States (Area 0) Routing Bit Set on this LSA LS age: 597 Options: (No TOS-capability, DC) LS Type: Network Links Link State ID: 10.0.8.22 (address of Designated Router) Advertising Router: 1.0.0.22 LS Seq Number: 80000001 Checksum: 0x6E3E Length: 40 Network Mask: /24 Attached Router: 1.0.0.22 Attached Router: 1.0.0.21 Attached Router: 1.0.0.12
- 2-
Attached Router: 1.0.0.11 R1100b#sh ip ospf neighbor Neighbor ID 1.0.0.22 1.0.0.21 1.0.0.12 Pri 1 1 1 State FULL/DR FULL/BDR 2WAY/DROTHER Dead Time 00:00:39 00:00:37 00:00:32 Address 10.0.8.22 10.0.8.21 10.0.8.12 Interface FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
R1200b#sh ip ospf neighbor Neighbor ID 1.0.0.11 1.0.0.22 1.0.0.21 Pri 1 1 1 State 2WAY/DROTHER FULL/DR FULL/BDR Dead Time 00:00:36 00:00:34 00:00:31 Address 10.0.8.11 10.0.8.22 10.0.8.21 Interface FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
R2100b#sh ip ospf neighbor Neighbor ID 1.0.0.12 1.0.0.11 1.0.0.22 Pri 1 1 1 State FULL/DROTHER FULL/DROTHER FULL/DR Dead Time 00:00:36 00:00:35 00:00:34 Address 10.0.8.12 10.0.8.11 10.0.8.22 Interface FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
R2200b#sh ip ospf neighbor Neighbor ID 1.0.0.21 1.0.0.12 1.0.0.11 Pri 1 1 1 State FULL/BDR FULL/DROTHER FULL/DROTHER Dead Time 00:00:34 00:00:38 00:00:37 Address 10.0.8.21 10.0.8.12 10.0.8.11 Interface FastEthernet0/1 FastEthernet0/1 FastEthernet0/1
c.CapturesWireshark
LesquatrerouteursmontsquasisimultanmentdanslordreR1100,R1200,R2100,R2200.
G
Cap_2I_01.pcap
Capturesurplusde30minutespourvrifierlchangedeLSDtoutesles30minutes:
G
Cap_2I_02.pcap
2.ModeNBMAcompltementmaill
Maisconfigurennonbroadcast.
a.Contexte
- 3-
LaconfigurationducommutateurFrameRelaysousGNS3:
b.Lesconfigurationsderouteurs
R1100c: R1100c#sh run ......... interface Loopback0 ip address 1.0.0.11 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.11.1 255.255.255.0 ip ospf network non-broadcast duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.11 255.255.255.0 encapsulation frame-relay ip ospf network non-broadcast frame-relay map ip 10.0.8.12 110
- 4-
frame-relay map ip 10.0.8.21 111 frame-relay map ip 10.0.8.22 112 ! router ospf 1 log-adjacency-changes network 10.0.8.0 0.0.31.255 area 0 neighbor 10.0.8.22 priority 1 neighbor 10.0.8.21 priority 1 neighbor 10.0.8.12 priority 1 ! ......... R1100c# R1200c: R1200c#sh run ......... interface Loopback0 ip address 1.0.0.12 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.12.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.12 255.255.255.0 encapsulation frame-relay ip ospf network non-broadcast frame-relay map ip 10.0.8.11 212 frame-relay map ip 10.0.8.21 214 frame-relay map ip 10.0.8.22 213 ! router ospf 1 log-adjacency-changes network 10.0.8.0 0.0.31.255 area 0 neighbor 10.0.8.22 priority 1 neighbor 10.0.8.21 priority 1 neighbor 10.0.8.11 priority 1 ! ......... R1200c# R2100c: R2100c#sh run ......... interface Loopback0 ip address 1.0.0.21 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.21 255.255.255.0 encapsulation frame-relay ip ospf network non-broadcast frame-relay map ip 10.0.8.11 221 frame-relay map ip 10.0.8.12 220 frame-relay map ip 10.0.8.22 222 ! router ospf 1 log-adjacency-changes network 10.0.8.0 0.0.31.255 area 0 neighbor 10.0.8.22 priority 1 neighbor 10.0.8.12 priority 1
- 5-
neighbor 10.0.8.11 priority 1 ! R2100c# R2200c: R2200c#sh run ......... ! interface Loopback0 ip address 1.0.0.22 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.22.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.22 255.255.255.0 encapsulation frame-relay ip ospf network non-broadcast frame-relay map ip 10.0.8.11 222 frame-relay map ip 10.0.8.12 223 frame-relay map ip 10.0.8.21 224 ! router ospf 1 log-adjacency-changes network 10.0.8.0 0.0.31.255 area 0 neighbor 10.0.8.21 priority 1 neighbor 10.0.8.12 priority 1 neighbor 10.0.8.11 priority 1 ! .........
c.CapturesdanslinterfaceILC
LactivitmontrelaidedunecommandedebugipospfadjsurR1100c: 00:01:13: to up 00:01:13: 00:01:13: 00:01:13: 00:01:13: 00:01:47: 00:01:52: 00:01:56: 00:02:04: 00:02:04: 00:02:04: 00:02:04: 00:02:04: 00:02:04: 00:02:04: 00:02:05: 00:03:13: 00:03:13: 00:03:13: 00:03:13: 00:03:13: 00:03:13: 00:03:18: 00:03:18: 00:03:23: 00:03:23: 00:03:26: 00:03:26: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: OSPF: Interface Serial0/0 going Up Starting 0.0.0.0 address 10.0.8.22 on Serial0/0 Starting 0.0.0.0 address 10.0.8.21 on Serial0/0 Starting 0.0.0.0 address 10.0.8.12 on Serial0/0 2 Way Communication to 1.0.0.12 on Serial0/0, state 2WAY 2 Way Communication to 1.0.0.21 on Serial0/0, state 2WAY 2 Way Communication to 1.0.0.22 on Serial0/0, state 2WAY end of Wait on interface FastEthernet0/0 DR/BDR election on FastEthernet0/0 Elect BDR 1.0.0.11 Elect DR 1.0.0.11 Elect BDR 0.0.0.0 Elect DR 1.0.0.11 DR: 1.0.0.11 (Id) BDR: none No full nbrs to build Net Lsa for interface FastEthernet0/0 end of Wait on interface Serial0/0 DR/BDR election on Serial0/0 Elect BDR 1.0.0.22 Elect DR 1.0.0.22 DR: 1.0.0.22 (Id) BDR: 1.0.0.22 (Id) Send DBD to 1.0.0.22 on Serial0/0 seq 0xDA0 opt 0x4en Send DBD to 1.0.0.22 on Serial0/0 seq 0xDA0 opt 0x42 flag 0x7 len 32 Retransmitting DBD to 1.0.0.22 on Serial0/0 [1] Send DBD to 1.0.0.22 on Serial0/0 seq 0xDA0 opt 0x42 flag 0x7 len 32 Retransmitting DBD to 1.0.0.22 on Serial0/0 [2] Send DBD to 1.0.0.21 on Serial0/0 seq 0x2EE opt 0x42 flag 0x7 len 32 Rcv DBD from 1.0.0.22 on Serial0/0 seq 0x174E opt 0x42 flag 0x7
- 6-
len 32 mtu 1500 state EXSTART 00:03:26: OSPF: NBR Negotiation Done. We are the SLAVE 00:03:26: OSPF: Send DBD to 1.0.0.22 on Serial0/0 seq 0x174E opt 0x42 flag 0x2 len 52 00:03:26: OSPF: Rcv DBD from 1.0.0.21 on Serial0/0 seq 0x69B opt 0x42 flag 0x7 len 32 mtu 1500 state EXSTART 00:03:26: OSPF: NBR Negotiation Done. We are the SLAVE 00:03:26: OSPF: Send DBD to 1.0.0.21 on Serial0/0 seq 0x69B opt 0x42 flag 0x2 len 52 00:03:26: OSPF: Rcv DBD from 1.0.0.21 on Serial0/0 seq 0x69C opt 0x42 flag 0x3 len 52 mtu 1500 state EXCHANGE 00:03:26: OSPF: Send DBD to 1.0.0.21 on Serial0/0 seq 0x69C opt 0x42 flag 0x0 len 32 00:03:26: OSPF: Database request to 1.0.0.21 00:03:26: OSPF: sent LS REQ packet to 10.0.8.21, length 12 00:03:26: OSPF: Rcv DBD from 1.0.0.21 on Serial0/0 seq 0x69D opt 0x42 flag 0x1 len 32 mtu 1500 state EXCHANGE 00:03:26: OSPF: Exchange Done with 1.0.0.21 on Serial0/0 00:03:26: OSPF: Send DBD to 1.0.0.21 on Serial0/0 seq 0x69D opt 0x42 flag 0x0 len 32 00:03:26: OSPF: Synchronized with 1.0.0.21 on Serial0/0, state FULL 00:03:26: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.21 on Serial0/0 from LOADING to FULL, Loading Done 00:03:26: %OSPF: Rcv DBD from 1.0.0.22 on Serial0/0 seq 0x174F opt 0x42 flag 0x3 len 52 mtu 1500 state EXCHANGE 00:03:26: OSPF: Send DBD to 1.0.0.22 on Serial0/0 seq 0x174F opt 0x42 flag 0x0 len 32 00:03:26: OSPF: Database request to 1.0.0.22 00:03:26: OSPF: sent LS REQ packet to 10.0.8.22, length 12 00:03:26: OSPF: Rcv DBD from 1.0.0.22 on Serial0/0 seq 0x1750 opt 0x42 flag 0x1 len 32 mtu 1500 state EXCHANGE 00:03:26: OSPF: Exchange Done with 1.0.0.22 on Serial0/0 00:03:26: OSPF: Send DBD to 1.0.0.22 on Serial0/0 seq 0x1750 opt 0x42 flag 0x0 len 32 00:03:26: OSPF: Synchronized with 1.0.0.22 on Serial0/0, state FULL 00:03:26: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.22 on Serial0/0 from LOADING to FULL, Loading Done 00:03:27: OSPF: Build router LSA for area 0,router ID 1.0.0.11,seq0x80000004 00:03:47: OSPF: Neighbor change Event on interface Serial0/0 00:03:47: OSPF: DR/BDR election on Serial0/0 00:03:47: OSPF: Elect BDR 1.0.0.21 00:03:47: OSPF: Elect DR 1.0.0.22 00:03:47: DR: 1.0.0.22 (Id) BDR: 1.0.0.21 (Id) R1100c#sh ip ospf neighbor Neighbor ID 1.0.0.22 1.0.0.21 1.0.0.12 Pri 1 1 1 State FULL/DR FULL/BDR 2WAY/DROTHER Dead Time 00:01:36 00:01:57 00:01:52 Address 10.0.8.22 10.0.8.21 10.0.8.12 Interface Serial0/0 Serial0/0 Serial0/0
R1200c#sh ip ospf neighbor Neighbor ID 1.0.0.22 1.0.0.21 1.0.0.11 Pri 1 1 1 State FULL/DR FULL/BDR 2WAY/DROTHER Dead Time 00:01:56 00:01:32 00:01:52 Address 10.0.8.22 10.0.8.21 10.0.8.11 Interface Serial0/0 Serial0/0 Serial0/0
R2100c#sh ip ospf neighbor Neighbor ID 1.0.0.22 1.0.0.12 1.0.0.11 Pri 1 1 1 State FULL/DR FULL/DROTHER FULL/DROTHER Dead Time 00:01:30 00:01:39 00:01:57 Address 10.0.8.22 10.0.8.12 10.0.8.11 Interface Serial0/0 Serial0/0 Serial0/0
R2200c#sh ip ospf neighbor Neighbor ID 1.0.0.21 1.0.0.12 1.0.0.11 Pri 1 1 1 State FULL/BDR FULL/DROTHER FULL/DROTHER Dead Time 00:01:40 00:01:43 00:01:31 Address 10.0.8.21 10.0.8.12 10.0.8.11 Interface Serial0/0 Serial0/0 Serial0/0
R1100c#sh ip ospf int s0/0
- 7-
Serial0/0 is up, line protocol is up Internet Address 10.0.8.11/24, Area 0 Process ID 1, Router ID 1.0.0.11, Network Type NON_BROADCAST, Cost: 64 Transmit Delay is 1 sec, State DROTHER, Priority 1 Designated Router (ID) 1.0.0.22, Interface address 10.0.8.22 Backup Designated router (ID) 1.0.0.21, Interface address 10.0.8.21 Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5 Hello due in 00:00:25 Index 2/2, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 1 Last flood scan time is 0 msec, maximum is 4 msec Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 1.0.0.22 (Designated Router) Adjacent with neighbor 1.0.0.21 (Backup Designated Router) Suppress hello for 0 neighbor(s) R1100c#sh ip ospf database database-summary OSPF Router with ID (1.0.0.11) (Process ID 1) Area 0 database LSA Type Router Network Summary Net Summary ASBR Type-7 Ext Opaque Link Opaque Area Subtotal summary Count 4 1 0 0 0 0 0 5
Delete 0 0 0 0 0 0 0 0
Maxage 0 0 0 0 0 0 0 0
Process 1 database summary LSA Type Count Delete Router 4 0 Network 1 0 Summary Net 0 0 Summary ASBR 0 0 Type-7 Ext 0 0 Opaque Link 0 0 Opaque Area 0 0 Type-5 Ext 0 0 Opaque AS 0 0 Total 5 0 R1100c#sh ip ospf database
Maxage 0 0 0 0 0 0 0 0 0 0
OSPF Router with ID (1.0.0.11) (Process ID 1) Router Link States (Area 0) Link ID 1.0.0.11 1.0.0.12 1.0.0.21 1.0.0.22 ADV Router 1.0.0.11 1.0.0.12 1.0.0.21 1.0.0.22 Age 72 73 72 72 Seq# 0x80000004 0x80000004 0x80000004 0x80000004 Checksum 0x00A2CA 0x00B5B3 0x005A1B 0x00581A Link count 2 2 1 1
Net Link States (Area 0) Link ID 10.0.8.22 ADV Router 1.0.0.22 Age 73 Seq# Checksum 0x80000001 0x006E3E
R1100c#sh ip ospf database router 1.0.0.11 OSPF Router with ID (1.0.0.11) (Process ID 1) Router Link States (Area 0) LS age: 85
- 8-
Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 1.0.0.11 Advertising Router: 1.0.0.11 LS Seq Number: 80000004 Checksum: 0xA2CA Length: 48 Number of Links: 2 Link connected to: a Transit Network (Link ID) Designated Router address: 10.0.8.22 (Link Data) Router Interface address: 10.0.8.11 Number of TOS metrics: 0 TOS 0 Metrics: 64 Link connected to: a Stub Network (Link ID) Network/subnet number: 10.0.11.0 (Link Data) Network Mask: 255.255.255.0 Number of TOS metrics: 0 TOS 0 Metrics: 1 R1100c#sh ip ospf database network 10.0.8.22 OSPF Router with ID (1.0.0.11) (Process ID 1) Net Link States (Area 0) Routing Bit Set on this LSA LS age: 111 Options: (No TOS-capability, DC) LS Type: Network Links Link State ID: 10.0.8.22 (address of Designated Router) Advertising Router: 1.0.0.22 LS Seq Number: 80000001 Checksum: 0x6E3E Length: 40 Network Mask: /24 Attached Router: 1.0.0.22 Attached Router: 1.0.0.21 Attached Router: 1.0.0.12 Attached Router: 1.0.0.11
d.CapturesWireshark
G
Cap_2I_03.pcap
3.RseauphysiqueFrameRelaycompltementmaill
a.Contexte
Contexteinchangmaisconfigurationtabliedefaonfonctionnerenmodebroadcast.
b.Configurationderouteurs
R1100c R1100c#sh run ......... ! interface Loopback0 ip address 1.0.0.11 255.255.255.255 !
- 9-
interface FastEthernet0/0 ip address 10.0.11.1 255.255.255.0 ip ospf network non-broadcast duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.11 255.255.255.0 encapsulation frame-relay ip ospf network broadcast frame-relay map ip 10.0.8.12 110 broadcast frame-relay map ip 10.0.8.21 111 broadcast frame-relay map ip 10.0.8.22 112 broadcast ! Routerospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 ......... ! end R1200c R1200c#sh run ......... ! interface Loopback0 ip address 1.0.0.12 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.12.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.12 255.255.255.0 encapsulation frame-relay ip ospf network broadcast frame-relay map ip 10.0.8.11 212 broadcast frame-relay map ip 10.0.8.21 214 broadcast frame-relay map ip 10.0.8.22 213 broadcast ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 ......... end R2100c R2100c#sh run .......... ! interface Loopback0 ip address 1.0.0.21 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.21 255.255.255.0 encapsulation frame-relay ip ospf network broadcast frame-relay map ip 10.0.8.11 221 broadcast frame-relay map ip 10.0.8.12 220 broadcast frame-relay map ip 10.0.8.22 222 broadcast !
- 10 -
router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 ......... end R2200c R2200c#sh run ......... ! interface Loopback0 ip address 1.0.0.22 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.22.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.22 255.255.255.0 encapsulation frame-relay ip ospf network broadcast frame-relay map ip 10.0.8.11 222 broadcast frame-relay map ip 10.0.8.12 223 broadcast frame-relay map ip 10.0.8.21 224 broadcast ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 .........
Tabledevoisinage: R1100c#sh ip ospf neighbor Neighbor ID 1.0.0.22 1.0.0.21 1.0.0.12 R1100c# Pri 1 1 1 State FULL/DR FULL/BDR 2WAY/DROTHER Dead Time 00:00:30 00:00:37 00:00:33 Address 10.0.8.22 10.0.8.21 10.0.8.12 Interface Serial0/0 Serial0/0 Serial0/0
Tablederoutage(1sur4): R1100c#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ......... Gateway of last resort is not set 1.0.0.0/32 is subnetted, 1 subnets 1.0.0.11 is directly connected, Loopback0 10.0.0.0/24 is subnetted, 5 subnets C 10.0.11.0 is directly connected, FastEthernet0/0 C 10.0.8.0 is directly connected, Serial0/0 O 10.0.12.0 [110/65] via 10.0.8.12, 00:00:23, Serial0/0 O 10.0.22.0 [110/65] via 10.0.8.22, 00:00:23, Serial0/0 O 10.0.21.0 [110/65] via 10.0.8.21, 00:00:23, Serial0/0 R1100c# C
d.CapturesWireshark
CaptureralisesurS0/0deR1100c:
Cap_2I_04.pcap
4.RseauphysiqueFrameRelaypartiellementmaill
a.Contexte
LemaillagepartielimposedefonctionnerdanslemodePointMultipoint. Contextemodifi:
ConfigurationducommutateurFrameRelaysousGNS3:
b.Configurationderouteurs
R1100d R1100d#sh run ......... ! interface Loopback0 ip address 1.0.0.11 255.255.255.255 !
- 12 -
interface FastEthernet0/0 ip address 10.0.11.1 255.255.255.0 ip ospf network broadcast duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.11 255.255.255.0 encapsulation frame-relay ip ospf network point-to-multipoint ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 ! end R1200d R1200d#sh run ......... ! interface Loopback0 ip address 1.0.0.12 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.12.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.12 255.255.255.0 encapsulation frame-relay ip ospf network point-to-multipoint ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 ......... end R2100d R2100d#sh run ......... ! interface Loopback0 ip address 1.0.0.21 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.21 255.255.255.0 encapsulation frame-relay ip ospf network point-to-multipoint ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 ......... end R2200d R2200d#sh run .........
- 13 -
! interface Loopback0 ip address 1.0.0.22 255.255.255.255 ! interface FastEthernet0/0 ip address 10.0.22.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 10.0.8.22 255.255.255.0 encapsulation frame-relay ip ospf network point-to-multipoint ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.31.255 area 0 end
Quelquescommandesshowsurlehubrouter: R1100d#sh ip ospf neighbor Neighbor ID 1.0.0.12 1.0.0.22 1.0.0.21 Pri 1 1 1 State FULL/ FULL/ FULL/ Dead Time 00:01:39 00:01:39 00:01:39 Address 10.0.8.12 10.0.8.22 10.0.8.21 Interface Serial0/0 Serial0/0 Serial0/0
R1100d#sh ip ospf neighbor 1.0.0.12 Neighbor 1.0.0.12, interface address 10.0.8.12 In the area 0 via interface Serial0/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:01:46 Neighbor is up for 00:01:39 Index 2/2, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec R1100d#sh ip ospf neighbor 1.0.0.21 Neighbor 1.0.0.21, interface address 10.0.8.21 In the area 0 via interface Serial0/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:01:41 Neighbor is up for 00:02:13 Index 3/3, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec R1100d#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set
- 14 -
1.0.0.0/32 is subnetted, 1 subnets 1.0.0.11 is directly connected, Loopback0 10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks C 10.0.11.0/24 is directly connected, FastEthernet0/0 C 10.0.8.0/24 is directly connected, Serial0/0 O 10.0.12.0/24 [110/65] via 10.0.8.12, 00:02:12, Serial0/0 O 10.0.8.12/32 [110/64] via 10.0.8.12, 00:02:12, Serial0/0 O 10.0.8.22/32 [110/64] via 10.0.8.22, 00:02:12, Serial0/0 O 10.0.8.21/32 [110/64] via 10.0.8.21, 00:02:12, Serial0/0 O 10.0.22.0/24 [110/65] via 10.0.8.22, 00:02:12, Serial0/0 O 10.0.21.0/24 [110/65] via 10.0.8.21, 00:02:12, Serial0/0 R1100d# C QuelquescommandesshowsurunSpokeRouter,R1200d: R1200d#sh ip ospf neighbor Neighbor ID 1.0.0.11 Pri 1 State FULL/ Dead Time 00:01:50 Address 10.0.8.11 Interface Serial0/0
R1200d#sh ip ospf neighbor 1.0.0.11 Neighbor 1.0.0.11, interface address 10.0.8.11 In the area 0 via interface Serial0/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 0.0.0.0 BDR is 0.0.0.0 Options is 0x42 Dead timer due in 00:01:33 Neighbor is up for 00:09:27 Index 1/1, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission scan time is 0 msec, maximum is 0 msec R1200d#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 1.0.0.0/32 is subnetted, 1 subnets 1.0.0.12 is directly connected, Loopback0 10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks 10.0.11.0/24 [110/65] via 10.0.8.11, 00:09:20, Serial0/0 10.0.8.0/24 is directly connected, Serial0/0 10.0.12.0/24 is directly connected, FastEthernet0/0 10.0.8.11/32 [110/64] via 10.0.8.11, 00:09:20, Serial0/0 10.0.8.22/32 [110/128] via 10.0.8.11, 00:09:20, Serial0/0 10.0.8.21/32 [110/128] via 10.0.8.11, 00:09:20, Serial0/0 10.0.22.0/24 [110/129] via 10.0.8.11, 00:09:20, Serial0/0 10.0.21.0/24 [110/129] via 10.0.8.11, 00:09:20, Serial0/0
C O C C O O O O O
R1200d#sh ip ospf database OSPF Router with ID (1.0.0.12) (Process ID 1) Router Link States (Area 0) Link ID 1.0.0.11 1.0.0.12 1.0.0.21 1.0.0.22 ADV Router 1.0.0.11 1.0.0.12 1.0.0.21 1.0.0.22 Age 584 584 585 585 Seq# 0x80000004 0x80000004 0x80000002 0x80000002 Checksum 0x006CEB 0x00C98E 0x00AC80 0x00E146 Link count 5 3 3 3
- 15 -
R1200d#sh ip ospf database router 1.0.0.11 OSPF Router with ID (1.0.0.12) (Process ID 1) Router Link States (Area 0) LS age: 593 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 1.0.0.11 Advertising Router: 1.0.0.11 LS Seq Number: 80000004 Checksum: 0x6CEB Length: 84 Number of Links: 5 Link connected to: another Router (point-to-point) (Link ID) Neighboring Router ID: 1.0.0.12 (Link Data) Router Interface address: 10.0.8.11 Number of TOS metrics: 0 TOS 0 Metrics: 64 Link connected to: another Router (point-to-point) (Link ID) Neighboring Router ID: 1.0.0.22 (Link Data) Router Interface address: 10.0.8.11 Number of TOS metrics: 0 TOS 0 Metrics: 64 Link connected to: another Router (point-to-point) (Link ID) Neighboring Router ID: 1.0.0.21 (Link Data) Router Interface address: 10.0.8.11 Number of TOS metrics: 0 TOS 0 Metrics: 64 Link connected to: a Stub Network (Link ID) Network/subnet number: 10.0.8.11 (Link Data) Network Mask: 255.255.255.255 Number of TOS metrics: 0 TOS 0 Metrics: 0 Link connected to: a Stub Network (Link ID) Network/subnet number: 10.0.11.0 (Link Data) Network Mask: 255.255.255.0 Number of TOS metrics: 0 TOS 0 Metrics: 1
d.CapturesWireshark
CapturesurS0/0deR1100d,dmarragedanslordredesrouteursR1100,R1200,R2100,R2200:
G
Cap_2I_05.pcap
FindelannexeConfigurationOSPFdesmodesNBMAetPointmultipoint.
- 16 -

Tnhitech Cisco

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tnhitech Cisco

Uploaded by

Copyright:

Available Formats

CISCO

Protocoles, concepts de routage et scurit - CCNA 640-802

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

Lescandidatscertifissontprqualifisetdisposentdecomptencesavancesdanslestechnologiesles plusrcentes. LoffredecertificationCISCOfournituncadresupportdudveloppementdecarriredesemploys. Lentreprisesecrdibilisevisvisdesesclients,cestuncritrelorsquilfautrpondredesappelsdoffres.

Configurer,installeret maintenirdesPC,desserveurset desbaiesdecblage. Optimisationdebasedurseau. Formerlesutilisateurs.

ENI Editions - All rigths reserved - Noba Mafiza

typesderseau,mdiasrseau principesdebaseduroutageetdelacommutation TCP/IPetOSI adressageIP technologieWANdebase configurationetexploitationdelIOSdesquipementsCISCO wirelessdebaseetconceptslislascurit configurationderseauxsimples.

descriptiondufonctionnementdesrseauxdedonnes miseen uvredunpetitrseaucommut miseen uvreduplandadressageIPetdesservicesIPadaptsaubesoindurseaudunepetiteagence miseen uvredunpetitrseaurout

ENI Editions - All rigths reserved - Noba Mafiza

Danslesdeuxcas,lenumroduvoucherapparatdansleprofildeltudiant. Ltudiantdoitutilisersonidentifiantetmotdepasse(ceuxquiluipermettentlaccsausitedelacadmie, quandparexemple,ilpasselestestsenligne)poursenregistrerchezVUE.

ENI Editions - All rigths reserved - Noba Mafiza

ContacterdirectementunagentPearsonVUE(http://www.pearsonvue.com/contact/vuephone/). SinscrirevialesiteWebPearsonVUE(www.pearsonvue.com). Appelerdirectementouserendredansuncentredetest.Pourlocaliseruncentredetest,consultezlesite dePearsonVUEetutilisezloptionLocateaTestCenter.

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

Semestre1:Notionsdebasesurlesrseaux Semestre2:Protocolesetconceptsderoutage Semestre3:Commutationderseaulocaletrseaulocalsansfil Semestre4:Accsaurseautendu

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

Routage. Commutation(switching). ConnexionscuriseviaVPNs. Fonctionsdescurittoujoursplusimportantes:

Applicationsditescollaboratives:tlphoniesurIP,intgrationvoixvido,vidoconfrence. OptimisationdelabandepassanteconsommesurleWAN(techniquesdecompressiondelachargeutiledes paquets,demultiplexagedessessionsTCP,dliminationdelaredondancedesenttes). Priseencomptedelamobilitaveclesapplicationssansfil.

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

RoutageentreLANetWAN PasserelleVoixsurIP Scurit Qualitdeservice

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

IlexisteunsiteCISCOquirpertoriepourlensembledesproduitsCISCO,localisationetformatdunumrodesrie: http://tools.cisco.com/Support/CPI/index.do. LaccscetoutildemanderaaulecteurdesenregistrersilnedisposepasencoredecomptesurCisco.com.

CISCO2801 CISCO2811 CISCO2821 CISCO2851

ENI Editions - All rigths reserved - Noba Mafiza

CarteCompactFlash. 64Mopardfaut. 128ou256Mo possible.

Secteuravecalimentation48VDC120W 100240VAC5A pourlestlphonesIP

2801(lalim.48Vpeutfournir120 W) 2811(lalim.48Vpeutfournir160 W) 2821,2851(lalim.48Vpeutfournir 240 W)

DCsanspossibilitdalimenterdes tlphonesIP DCsanspossibilitdalimenterdes tlphonesIP

ENI Editions - All rigths reserved - Noba Mafiza

Ambre teint AUX/PWR Vert

Sielleestinstalle,lalimentationdestlphones IPestendfaut. Ou Sielleestinstalle,lalimentationredondanteest endfaut.

LalimentationdestlphonesIPetlalimentation redondantenesontpasinstalles. Destransfertsdepaquetssontencours.

Vertclignotantou fixe Vert

AllumquandlammoireFlashestoccupe.Dans cecas,ilnefautpasterlacarteCompactFlash desonlogement. ActivitsurlesportsFEouGE. Facearrire

Vertclignotantou fixe Vert teint

IndiqueunfonctionnementenFullduplex. IndiqueunfonctionnementenHalfduplex. DbitdesinterfacesFEetGE10Mbps.

1flashsuividune pause 2flashssuivis dunepause 3flashssuivis dunepause

DbitdesinterfacesGE1000Mbps(ne concernequelesplatesformes2821et2851). LelienFEouGEesttabli. UnmodulePVDMestprsentdansleslotxet initialis.

L(=Link) PVDMx x=0,1(ou2si 2821ou2851)

UnmodulePVDMestdtectdansleslotxmais noninitialis. Pasdemoduleinstalldansleslotx. LemoduleAIMdansleslotxestinitialis.

teint AIMx x=0,1 Ambre Vert

LinitialisationdumoduleAIMprsentdansleslot xsestsoldeparuneerreur. PasdemoduleinstalldansleslotAIMx.

ENI Editions - All rigths reserved - Noba Mafiza

Leportconsole. LesportsFastEthernetainsiqueleursvoyantsassocisLINK,100etFDX. LesvoyantssystmeSYSPWR,SYSACT. LevoyantAUX/PWR. LeportUSB,repre7. LesvoyantsAIMetPVDM. Leportauxiliaire.

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

leprocesseur,lecontrleurdecommunications lammoireRAMsoudelacartemresurcerouteur leconnecteurdextensionDIMMrepre12 lalimentationrepre13

ENI Editions - All rigths reserved - Noba Mafiza

Ilnestpasconseillderaliseruntelcordonlamain.Eneffet,quandlesennuissurviennent,ledoutequant aucordoncroisquevousavezpniblementrussiconfectionnerrevientdefaonobsdante. Croisementdulienen1000BaseT Laspcificitdecestandardestdutiliserlesquatrepairesducblerseau:

ENI Editions - All rigths reserved - Noba Mafiza

LesportsembarqusFastEthernetdesrouteurs2801et2811. LesportsembarqusGigabitdesrouteurs2821et2851. LesportsEthernetroutsdesmodulesHWIC1FEetHWIC2FE. LesportsEthernetdesmodulesdecommutationHWIC4ESWetHWICD9ESW.

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza

ENI Editions - All rigths reserved - Noba Mafiza