Professional Documents
Culture Documents
AndrVAUCAMPS
Rsum
Ce livre sur la prparation la certification CCNA couvre le second module du cursus CCNA Exploration "Protocoles et concepts de routage" et la
partie du module 4 traitant de la scurit. Le cursus complet comporte 4 modules et aboutit la certification CISCO CCNA 640-802.
Ce livre sera galement utile aux candidats ayant opt pour le cursus CCNA Discovery et une certification en deux tapes avec les examens ICND1
(640-822) et ICND2 (640-816).
Le premier module du cursus est couvert par le livre CISCO : Notions de base sur les rseaux - 1er module de prparation la certification
CCNA 640-802 dans la mme collection aux Editions ENI.
Pour vous aider vous prparer efficacement, le livre couvre le programme officiel, tant dun point de vue thorique que dun point de vue pratique.
Il a t rdig en franais (il ne sagit pas dune traduction) par un formateur professionnel reconnu. Ainsi, les savoir-faire pdagogique et
technique de lauteur conduisent une approche claire et visuelle, dun excellent niveau technique.
Chapitre aprs chapitre, vous pourrez valider vos acquis thoriques, laide de questions-rponses (159 au total) mettant en exergue aussi bien
les lments fondamentaux que les caractristiques spcifiques aux concepts abords.
Certains chapitres sachvent par des travaux pratiques ou ateliers (19 au total) avec lesquels vous aurez les moyens de mesurer votre
autonomie.
la matrise des concepts, sajoute une prparation spcifique la certification : vous pourrez accder gratuitement 1 examen blanc en ligne,
destin vous entraner dans des conditions proches de celles de lpreuve.
L'auteur met galement disposition du lecteur un certain nombre de ressources en tlchargement sur le site www.editions-eni.fr (captures
ralises avec l'analyseur de protocole Wireshark, fichiers de configuration, machine virtuelle de test).
Les chapitres du livre :
Introduction - Protocoles et concepts de routage Les routeurs Tches de configuration des routeurs Gestion de la plate-forme logicielle
CISCO IOS Le routage statique Protocoles de routage type vecteur de distance RIPv1 Abandon des classes dadresses - Protocoles de
routage type vecteur de distance RIPv2 Protocole de routage propritaire EIGRP Protocole de routage type tats de liens OSPF Gestion de
trafic par liste daccs (ACL) Administration et scurit Ateliers et exercices corrigs Annexes
L'auteur
Ancien Responsable de Formation en Centre AFPA, Andr VAUCAMPS enseigne aujourd'hui dans les sections de Techniciens Suprieurs
en Rseaux Informatiques et Tlcommunications d'Entreprise. Depuis de nombreuses annes il prpare des candidats aux examens
CISCO avec toujours, au-del de l'obtention de la certification, le souci de leur employabilit.
Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars
1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines
une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale,
ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI
Ce livre numrique intgre plusieurs mesures de protection dont un marquage li votre identifiant visible sur les principales images.
- 1-
LejourdemonexamenCCNA
SelonM.PhamHuuduc,leconsultantformateurquinousaprpars,lexamendevraitcomprendre6080questions,
moins si lexamen comporte plusieurs simulateurs (galement dnomms labs dans ce document). Lexamen
comporteauminimumunsimulateur,maiscelapeutallerjusququatreoucinq.Onnepeutplusrevenirenarriresur
lesquestions.
Noussommesquatreformateursnousprsentercematindu9juillet2004aucentredetestPEARSONParis.La
personnequinousreoitnousmetengardeCestlexamenleplusdurquejeconnaissecarilestenanglaisetvous
tes en temps limit, sans la possibilit de revenir en arrire, sans documents, avec des labs... et il faut obtenir au
minimum849pointssur1000 .Nousvoilprvenus!Ilfautdisposerdune pice didentit.Onnousfaitsignerun
certain nombre de documents. Le papier brouillon est prohib et on remet chaque participant une ardoise type
Velldaetunfeutre.Enfin,onnousamneensalledexamen.Nouschoisissonsnosplaces.
Lorganisateurintervientnouveau:Lexamendurenormalement90minutesmaisvousdisposezdunbonusde30
minutesparcequilestenanglaisplus5minutespourrpondreauquestionnairededpart.Puisilnousassistepour
rpondre ce questionnaire ainsi quaux quelques questions dessai qui prcdent le vritable examen. Le
questionnaire est tonnant car Cisco nous demande de nous situer dans lchelle dbutant expert sur diffrents
aspectsdumtier.Querpondre?Sinoustionsdesdbutants,nousneserionspasl!Maisquellespourraienttre
lesquestionsposesunexpert!QueferaCiscodecesrponses?
Vientensuitelexamenproprementdit.Lorganisateurdisparatetnousnelereverronsplus,noussommesseulsdans
lasallemaispeuttredisposaitelledunecamracache.Detoutemanire,cestchacunpoursoi.Dansnotrecas,
lexamencomportait48questionsdontdeuxsimulateurs.Jamaispendantlecoursdelexamen,jenaieulesentiment
derussircoupsr.Contrairementcequemesstagiairesquilavaientpassmavaientaffirm,letempsnapas
constitu un problme et au fur et mesure que javanais, je recalculais mentalement le temps qui me restait par
question, tant et si bien qu un moment, je dcidais de ralentir et de consacrer plus de rflexion aux questions. Et
mme ainsi, jai encore termin avec 10 minutes davance. Quand enfin on clique pour valider la dernire rponse,
immdiatementuneimprimantesemetcrpiterdanslefonddelasalle:cestlersultat!JemeprcipiteOUF,jai
obtenu947sur1000maiscetteexprienceatloccasionpourmoideredcouvrirlestressdunexamen,unecure
dejouvenceenquelquesorte!Surlestroispersonnesquimaccompagnaient,seuleunelobtientgalement!Fichtre!
- 1-
Lemploidanslesecteurinformatique
SelonlacommissionSocialeemploiformationduSyntecInformatique,ChambreprofessionnelledesSSII,desditeurs
de logiciel et des socits de conseil en technologie, le secteur de linformatique est, depuis 2005, en croissance
continue de 6 7 % par an. Ce taux, suprieur la croissance nationale, se traduit par un nombre important de
recrutementstoutesexpriencesconfondues.Lacommissioncomptabiliseenviron50000recrutementsparanetprs
de 55 000, en 2007, pour une cration nette de 20 000 emplois. Le tiers de ces recrutements concernent les
dbutants. Les jeunes diplms nont pas trop de souci se faire dautant plus que le chmage de la population
informaticiensapprocheles2%(cechiffrefaitpolmique,dautressourcesannoncentdeschiffrespluslevs,par
exemple, 3,8 % selon lAPEC) et ne cesse de diminuer depuis plus de deux ans. Invitablement, 2008 marque un
tassement,lacrisefinancireestpasseparl,avecunecrationnettedemploisquiselimiterait17000ou18000,
maiscombiendesecteurspeuventseprvaloirdecrationnettedemplois?Desonct,CISCOprvoit3millionsde
postes pourvoir dici 2012 dans le domaine Rseau et pour lensemble de la plante. Le contexte social de la
brancherestedoncparticulirementdynamiqueetattractif:91%dessalarissontrecrutsenCDI,plusde90%des
salaris sont employs temps plein. La branche emploie une proportion trs leve de cadres (62 %) contre 8 %
pourlensembledelapopulationactive.
- 1-
LacadmieCISCO,lescertificationsCISCO
1.Vuedensemble
Laformationresteleplussrmoyendaccderlemploietladtentiondundiplmeouduntitreprofessionnelest
indispensable. Toujours selon le SYNTEC, plus de 90 % des personnes travaillant dans le secteur informatique
disposent dun niveau suprieur ou gal au BAC+2. Ces dernires annes ont vu merger des certifications
professionnellesproposespardegrandsditeursoudegrandsconstructeurs,lesplusconnuessontcertainement
cellesproposesparCISCOdanslemondedesrseauxetparMicrosoft(MCP:MicrosoftCertifiedProfessional)dansle
mondedessystmes.
AjoutersursonCVunecertificationprofessionnelleassurelefuturemployeurdunevritableexpertisetechniqueet
augmentelacrdibilitprofessionnelledesondtenteur.
CISCO,leaderdansledomainedesrseauxetdelInternet,avaitprofondmentrvissonoffredecertificationen
2007 en ajoutant un niveau dentre supplmentaire CCENT, ce qui portait quatre le nombre de niveaux de sa
nouvelle hirarchie de certification. Lanne 2009 a vu se complexifier encore davantage loffre de certification en
ajoutantausommetdelapyramideleniveauCCA(CiscoCertifiedArchitect)ouenaccolantauxcertificationsexistantes
des certifications de designers (la lettre D des acronymes CCDA au niveau Associate, CCDP au niveau
Professionnel). Ne nous laissons pas dconcentrer par lactivit (ou lagitation ?) de CISCO dans le domaine de
lingnieriedeformation.LepinacleCCAdelacertification(cestlemotemployparCISCO)tientprobablementplus
deloprationdeprestigequedunerellencessitpratique:
La certification CCENT peut constituer un objectif elle seule en offrant la possibilit doccuper le premier niveau
demploidanslesecteurinformatique,oupermetdecrerunjalonnementintermdiairedanslecursusquimnela
certificationCCNA.Siltudiantviselemploi,lacertificationCCENTattestequesontitulairematriselescomptenceset
connaissancesattenduespourconfigurer,exploiteretmaintenirlerseaudunepetiteentrepriseoulerseaudune
agence dentreprise. Il sagit du premier niveau de qualification permettant la tenue demplois de type support en
informatique et rseau, tel lemploi de Technicien dassistance. Ltudiant accde la certification CCENT en
russissantlexamenICND1640822.SiltudiantviselacertificationCCNA,ltapedelacertificationCCENTnestque
facultative.Ilestpossiblederactualisercesinformationssurlesitewww.cisco.com/go/ccent.
La certification CCNA (Cisco Certified Network Associate) est videmment un peu plus ambitieuse et atteste que son
titulaire matrise les comptences et connaissances attendues pour installer, configurer, exploiter et dpanner des
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
rseaux de taille intermdiaire mixant routeurs et commutateurs et incluant des portions sans fil. Le spectre du
nouveau contenu CCNA est plus large, insiste davantage sur des notions qui ont pris de limportance ces dernires
annes (la scurit) et intgre de nouvelles technologies (sans fil). Des comptences associes la notion de
performancedurseauontgalementtajoutes.Lesprotocolessuivantssonttudis(listenonexhaustive):IP,
EIGRP (Enhanced Interior Gateway Routing Protocol), SLIP (Serial Line Interface Protocol), Frame Relay, RIP V2 (Routing
Information Protocol Version 2), VLANs (Virtual LANs), Ethernet, ACLs (Access Control List). Ltudiant accde la
certification CCNA soit en russissant les deux examens ICND1 640822 puis ICND2 640816, soit en russissant
lexamencompositeCCNA640802.Ilestpossiblederactualisercesinformationssurlesitewww.cisco.com/go/ccna.
2.LesparcoursmenantlacertificationCCNA
Selonsesacquis,sonpassscolaireouprofessionnel,ltudiantquisouhaiteobtenirlacertificationCCNApeutchoisir
sonparcoursparmitroiscursuspossiblescomposspartirdesdeuxcontenusCCNADiscoveryetCCNAExploration:
Le cursus Discovery est moins exigeant que le cursus Exploration, ltudiant doit disposer de la comptence
Utilisation de base dun PC .Ce cursus peut tre suivi de faon indpendante ou incorpor un cours ou des
tudespluslarges.
Le cursus Exploration exige de ltudiant de bonnes comptences danalyse et de rsolution de problmes.
Typiquement, il sadresse des personnes disposant dun niveau BAC. Ce peut tre de jeunes tudiants dans le
domaine informatique ou hors domaine puisque, selon le SYNTEC, la branche professionnelle est galement la
recherchedeprofilsquinesontpastechniquespriori.Cepeuttredespersonnesenreconversion,parexemplede
jeunesdiplmsdanslimpasse parce que leur diplme concerne un secteur non pourvoyeur demploi.Cepeuttre
des techniciens en reconversion, on pense notamment toutes les personnes qualifies dans le domaine des
tlcommunicationsmaisdontlescomptencestypestlphoniesontenvoiedobsolescence.LecursusExploration
peut tre intgr un programme de formation plus large menant un titre professionnel du ministre charg de
lemploi TSSI (Technicien Suprieur de Support en Informatique), TSGRI (Technicien Suprieur Gestionnaire Exploitant de
Ressources Informatiques) ou TSRIT (Technicien Suprieur en Rseaux Informatiques et Tlcommunications). Il peut
galementfairelobjetdunprogrammedeformationcontinue,parexempledestindespublicsCIFouencontrats
deprofessionnalisation.
Sontconcerns:touslestudiantsengagsdansuncursusuniversitaireoudansunBTSdudomaineinformatique,
tous les stagiaires de la formation professionnelle dans les titres TAI (TechniciendAssistance en Informatique),TRTE
(Technicien Rseaux et Tlcommunications dEntreprise) (Niveau IV, privilgier le parcours Discovery), TSSI, TSGRI,
TSRIT, enfin tous les stagiaires de la formation professionnelle engags dans les CQP (certificats de qualification
professionnelle)ARE(AdministrateurdeRseauxdEntreprises)etASY(AdministrateurSystmesInformatiques)(Niveau
II,doncsanshsitation,ilfautconseillerleparcoursExploration).Enfin,lesprofessionnelsdusecteur,djenposte,
maisquiontbesoinderemettrejourleurscomptences,parexempleaveclarriveinluctabledIPv6.
3.Lescertificationsetlesemplois
Pourlemployeurlarecherchedunprofilrseauxinformatiques,laformationetlacertificationCISCOprsententde
nombreuxavantages:
- 2-
Lescandidatscertifissontprqualifisetdisposentdecomptencesavancesdanslestechnologiesles
plusrcentes.
LoffredecertificationCISCOfournituncadresupportdudveloppementdecarriredesemploys.
Lentreprisesecrdibilisevisvisdesesclients,cestuncritrelorsquilfautrpondredesappelsdoffres.
CertificationCCENT
Comptencescertifies
Tchesdelemploi
Installer,exploiteretdpanner
lesrseauxcommutsetroutsde
moinsde100postes.
Configurer,installeret
maintenirdesPC,desserveurset
desbaiesdecblage.
Optimisationdebasedurseau.
Formerlesutilisateurs.
Intitulsdelemploi
Techniciendassistance
dbutant.
Techniciensupportdbutant.
Techniciencoordonnateurdu
Support:Assistancetechnique, systmedinformation.
traitementdesappelset
Technicieninformatique
diagnosticdesincidents.
Installerunpetitrseausansfil.
dbutant.
Exploitation:utilisationdoutils
Identifierlesmenacesdebase
desurveillancerseau.
surlascuritetlesmthodesde
dfense.
Interconnecterlerseau
dautresrseaux(LANetWAN).
CertificationCCNA
Comptencescertifies
Installer,exploiteretdpanner
lesrseauxcommutsdetaille
moyenne.
Tchesdelemploi
Intitulsdelemploi
Contribuerlaconception,
installer,configureretmaintenir
desrseauxcommutsetrouts
detaillemoyenne(100500
postes).
Techniciendassistance
spcialis.
Technicienrseau.
Mettreen uvreetdpanner
Spcialisterseau.
desprotocolesdiverspourgrer
ladressage,raliserlquilibragede
Identifierlesproblmesrseau.
Administrateurrseau.
chargesetlauthentification.
Assisterlesutilisateurs(Help
Techniciensupportspcialis.
Mettreenplaceetdpannerla
Desk)pourlesquestionsdetype
connexionWANauFAI(Fournisseur matriel,logicieletrseau.
Technicieneningnierie
daccsInternet).
rseau.
Assurerlexploitationdurseau
enlesurveillantlaidedoutilsde
contrle.
- 3-
4.Optionsdexamendecertification
a.ExamenICND1
LexamenICND1(640822)estlundesdeuxexamensdequalificationpropossauxcandidatsquiontoptpourune
certificationCCNAendeuxtapes.Cetexamenvaluelapprentissagecorrespondantauxdeuxpremiersmodulesde
CCNADiscovery:
typesderseau,mdiasrseau
principesdebaseduroutageetdelacommutation
TCP/IPetOSI
adressageIP
technologieWANdebase
configurationetexploitationdelIOSdesquipementsCISCO
wirelessdebaseetconceptslislascurit
configurationderseauxsimples.
Lescomptencessuivantessonttestespendantlexamen:
- 4-
descriptiondufonctionnementdesrseauxdedonnes
miseen uvredunpetitrseaucommut
miseen uvreduplandadressageIPetdesservicesIPadaptsaubesoindurseaudunepetiteagence
miseen uvredunpetitrseaurout
ENI Editions - All rigths reserved - Noba Mafiza
argumentationetchoixdestchesadministrativesappropriesrequisespourunWLAN
identification des menaces sur la scurit dun rseau et description des remdes prconiss les plus
courants
testdesliensWAN.
b.ExamenICND2
Lexamen ICND2 (640816) est le second examen de qualification propos aux candidats qui ont opt pour une
certificationCCNAendeuxtapes.Cetexamenvaluelesapprentissagessuivants:
choix,interconnexion,configurationetdpannagedesquipementsrseauCisco
extensionVLANderseauxcommuts
dterminationderoutesIP
gestiondutraficIPlaidedelistesdecontrledaccs
liaisonspointpoint
liaisonsFrameRelay
configuration,testetdpannageOSPFetEIGRP
configurationNATetDHCP
configuration,testetdpannageRSTP,VTP,routageentreVLANdunpetitenvironnementcommut.
Lescomptencessuivantessonttestespendantlexamen:
configuration, test et dpannage dun commutateur dot de VLAN et assurant des communications inter
commutateurs
miseen uvreduplandadressageIPetdesservicesIPdanslecadredunrseaudetaillemoyenne
configurationcouranteetdpannagedesquipementsCISCOetduroutage
configuration,testetdpannageNATetACLdunrseaudetaillemoyenne
testdesliensWAN.
c.ExamenCCNA
LexamenCCNA640802qualifielecandidatayantoptpourlacertificationCCNAenuneseuletape.Cetexamen
value les apprentissages correspondant indiffremment lensemble du parcours Discovery ou du parcours
Exploration.
Lescomptencessuivantessonttestespendantlexamen:
descriptiondufonctionnementdunrseau
configuration, test et dpannage dun commutateur dot de VLAN et assurant des communications inter
commutateurs
- 5-
miseen uvreduplandadressageIPetdesservicesIPdanslecadredunrseaudetaillemoyenne
configurationcouranteetdpannagedesquipementsCISCOetduroutage
argumentationetchoixdestchesadministrativesappropriesrequisespourunWLAN
identification des menaces sur la scurit dun rseau et description des remdes prconiss les plus
courants
configuration,testetdpannageNATetACLdunrseaudetaillemoyenne
testdesliensWAN.
5.Procduresdobtentiondesremises(vouchers)
Cestlunedesrarescontraintes,hormisletravailfournir,quisimposechaquetudiant:lepassagedunexamen
seffectue dans un centre indpendant quil faut bien rmunrer, et nest donc pas gratuit. CISCO attnue la
contrainte en attribuant des remises sous certaines conditions. Une seule remise est attribue par examen, pour
chaqueexamendiffrent.Parexemple,ltudiantquichoisitdetenterlacertificationendeuxtapespeutobtenirdeux
remises.Lesremisesnesontattribuesquelorsquelescoreobtenuaupassagedelexamenfinalduderniermodule
atteint ou dpasse 75 %. Un voucher ne peut sutiliserquune seule fois et doit tre utilis dans les trois mois qui
suiventsadatedobtention.
a.CCENT
LtudiantachvelesdeuxpremiersmodulesduparcoursDiscoveryetobtientunenotesuprieure75%
lorsdesapremiretentativelexamenfinaldumodule2.
LeformateursaisitPdanslegradebook(feuilledersultatsdelaclasse,enligne).
UnlienDemandeVoucherICND1apparatsurlapagedaccueildeltudiant.
LtudiantcliquesurcelienafindobtenirlevoucherVUE,lenumroduvoucherapparatdansleprofilde
ltudiant.
Ltudiantdoitutilisersonidentifiantetmotdepasse(ceuxquiluipermettentlaccsausitedelacadmie,
quandparexemple,ilpasselestestsenligne)poursenregistrerchezVUE.
b.CCNA
- 6-
Ltudiantachvelesquatremodules,peuimporteleparcourschoisi,etobtientunenotesuprieure75%
lorsdesapremiretentativelexamenfinaldumodule4.
LeformateursaisitPdanslegradebook(feuilledersultatsdelaclasse,enligne).
LesliensDemandeVoucherICND1,ICND2etDemandeVoucherCCNAcompositeapparaissentsurla
pagedaccueildeltudiant.partirdici,deuxchoixpossibles:
LtudiantcliquesurlelienDemandeVoucherICND1,ICND2afindobtenirlevoucherVUE.
LtudiantcliquesurlelienDemandeVoucherCCNAcompositeafindobtenirlevoucherVUE.
Danslesdeuxcas,lenumroduvoucherapparatdansleprofildeltudiant.
Ltudiantdoitutilisersonidentifiantetmotdepasse(ceuxquiluipermettentlaccsausitedelacadmie,
quandparexemple,ilpasselestestsenligne)poursenregistrerchezVUE.
c.Oetcommentsinscrire?
LesexamensCISCOsontassursparlescentresdetestParsonVUE(www.pearsonvue.com).Poursinscrire,trois
mthodespossibles:
ContacterdirectementunagentPearsonVUE(http://www.pearsonvue.com/contact/vuephone/).
SinscrirevialesiteWebPearsonVUE(www.pearsonvue.com).
Appelerdirectementouserendredansuncentredetest.Pourlocaliseruncentredetest,consultezlesite
dePearsonVUEetutilisezloptionLocateaTestCenter.
d.Ordresdegrandeurdeprix
Lesprixsontfixslocalementparlescentresdetest.
Examen
Dure
Prix
ICND1640822
90mn
$125USD
ICND2640816
75mn
$125USD
CCNA640802composite
90mn
$250USD
Misejour:Avril2010.
- 7-
Modalitsdapprentissage
LaplateformelectroniquedeformationCISCOpermetlindividualisationdesparcourspuisqueltudiantprogresse
son rythme. Cette individualisation est partielle car pour quelle soit totale, il faudrait mesurer les connaissances de
ltudiant sur les thmes considrs, comparer avec les objectifs du CCNA puis raliser une prescription qui
comprendrait les thmes devant tre approfondis et escamoterait ceux dj matriss. Si une telle dmarche est
possible,ellerestelinitiativeduformateur.Classiquement,leformateurcertifiCISCOquireoitunnouveltudiant
ouunnouveaugroupedtudiantsvacrerunenouvelleclassepuisyinscrirelaoulespersonnesetenfinlesenrler
dansunparcours.AdmettonsquilsagisseduCCNA1puisquecestlethmedecetouvrage.
Ltudiantestalorsengagdansunealternanceapprentissagesthoriquesvalidationsenlignetravauxpratiques.
Les phases dapprentissage thorique peuvent tre abordes individuellement, la plateforme de formation a t
conuepourcela.Rapidementltudiantressentlebesoindemesurersesacquis.Fortheureusement,laplateforme
prvoit un jalonnement trs fort, cest pourquoi chaque squence du CCNA fait lobjet dun test en ligne. Ltudiant
lorsquilestprtsurunesquencelefaitsavoirauformateurquicreunesessiondexamen(datededbut,datede
fin, inscrits, langue utilise...). Ltudiant ouvre une session sur le site de elearning CISCO et passe le test qui est
toujoursunQCM(QuestionnaireChoixMultiples).Pourchaquequestion,sixrponsessontproposes.Lescases
cocher obissent aux rgles bien acceptes aujourdhui. Sil y a une seule bonne rponse, alors les diffrentes
rponsessontassociesdesboutonsradio.Quandlabonnerponsedemandecocherplusieurslments,alors
ces lments sont associs des cases cocher. De plus, lnonc stipule le nombre dlments qui doivent tre
cochs.Pasdepigedonc.Ilestpossibledepasserletestenfranaismaisvoyezsilnestpasprfrabledelepasser
enanglais.Eneffet,souvenezvousquelorsdelacertification,lechoixnestpasproposetlanglaisestimpos.
Il faut considrer un rsultat infrieur 80 % comme insuffisant et un rsultat 90 % normal pour esprer se
prsenterdansdebonnesconditionslacertification.Pourmapart,jenelaissaisprogressermestudiantsdansle
cursusquesichaquetestdemoduletaitrussiaudelde80%.
Quandilsagissaitderouteurs,louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsaux
EditionsENIsentenaitdessimulationsraliseslaidedelexcellentPacketTracerdeCisco.Cetouvragefranchit
unpalierlaidedunensemblelogicielnommGNS3/Dynamips/Dynagen.Lestravauxpratiquesouateliersproposs
dans cet ouvrage ont t intgralement tests dans un environnement virtualis laide de cet ensemble, ce afin
dtre certain que le lecteur pourra les reproduire sur son PC. Ceci ne retire rien lintrtdune plateformerelle.
Entendonsnousbien,siltudiantdoitraliserunatelierquimeten uvretroisrouteursetsilalachancededisposer
decesrouteurs,alorspasdhsitation,quillesutilise.Danslecascontraire,trsprobablementleplusfrquent,cet
environnement virtualis permet des miracles (avec beaucoup de patience et de pugnacit car les plantages sont
frquents).
Cest bien pourquoi CISCO impose chaque organisme de formation candidat pour adhrer lacadmie, outre la
certificationdunouplusieursdesesformateurs,lachatdunbundlematriel,packagedelensembledesmatriels
ncessaires la bonne ralisation des travaux pratiques prvus dans le cursus. chaque cursus, son bundle. Un
organismedeformationdjmembredelacadmieetquisouhaitedlivrerlecursusWirelessdoitpermettrelun
desesformateursdacqurirlacertificationcorrespondantepuisacqurirlebundleWireless.
LorsquuntudiantaachevlensembledestestsdemodulesetdoncvalidsoncursusdanslundessemestresCCNA
(quatresemestresquicorrespondentauxquatrechapitresdecettesriedouvrages),illuifautraliserunepreuve
pratiqueappele skilltest (skill=habilet).Cestunevritablemiseensituation,leformateurdoitreproduirele
contexte prvu pour lpreuve puis observer ltudiant pendant lpreuve. Si lessai est satisfaisant, le formateur
dlivrelanotecorrespondantesurlaplateformeetvalidelesemestre.Ilresteltudiantremplirunquestionnaire
desatisfactionenligne.Cestseulementalorsquildevientligibleetqueleformateurpeutlenrlerpourlesemestre
suivant.CeprocessusserenouvellequatrefoispourlensembleduparcoursCCNA.
Une fois les quatre semestres valids, il reste sinscrire dans un centre dpreuves Vue. En esprant que cette
possibilit existe toujours au moment o vous lirez ces lignes, le bon achvement du parcours CCNA permettait
dobteniruneremisede50%surletarifdelinscriptionquirestaitainsisouslabarredes100(cherchezVoucher,
littralementchquesurlesiteeLearning).
Pour les personnes qui le souhaitent, il existe galement des tests QCM dentranement sur PC et sur PDA ! Pour y
avoirgotavantlepassageduCCNA,lauteurpeutvousdirequeleurusagetournerapidementladpendanceau
dtrimentdunvritableapprentissage.Lintrtestpeuttredeserassureravantlpreuve.
- 1-
Portedecetouvragedanslecursus
Cet ouvrage est conu pour aider les tudiants dans leur progression vers lobtention de la certification CCNA.
LouvrageserautiletantauxtudiantsayantfaitlechoixducursusDiscoveryquceuxayantprfrlecursus
Exploration . Mais il est probable que ce dernier rassemble davantage de suffrages et il pourrait tre utile de
comparerlaprogressionquiyestproposecelleadoptedanscetouvrage.
Le cursus Exploration comporte quatre parties que nous appellerons semestres pour viter la confusion avec les
termesdjtrssollicitsdechapitresouparagraphes:
Semestre1:Notionsdebasesurlesrseaux
Semestre2:Protocolesetconceptsderoutage
Semestre3:Commutationderseaulocaletrseaulocalsansfil
Semestre4:Accsaurseautendu
Lecontenudusemestre1estunprrequispouraborderlestroisautressemestres.Lessemestres2et3sontdes
prrequispouraborderlesemestre4.Enrevanche,lessemestres2et3sontindpendants,cequientranequilest
possibledelesaborderensquence2puis3,ouensquence3puis2voiremmeenparallle.MaispourCISCO,le
parcoursprivilgierrestequandmmeleparcours1,2,3et4danscetordre.Lesautrespossibilitspeuventaider
lorganismedeformationdanssagestiondesressourcesmatrielles.
Le tableau suivant place en visvis les thmes abords dans cet ouvrage et le programme du cursus CCNA
Exploration:
Vouloirtraiterlatotalitdessujetsabordsparlecursusdansunseulouvragetaitunegageureetauraitcontraint
lauteurtropdesuperficialit.Lesthmesabordslesontdemaniresuffisammentapprofondie,souventtrsau
del de ce qui serait immdiatement utile pour la certification, de faon ce que le lecteur puisse se construire une
solidereprsentationdesprotocolesettechnologieslisauxrseaux.Lapyramidenepeutmonterhautquesielleest
construitesurunelargebase.
Dans louvrage, les rfrences au cursus sont nombreuses mais pourtant, le dcoupage propos par CISCO na eu
quuneinfluencemarginale.Aprstout,ledcoupagedelaversion3aujourdhuiobsoltetaittrsdiffrentetpeut
tre que le dcoupage propos dans une future version du cursus dmodera nouveau le dcoupage actuel. Le
- 1-
premierouvragedecettesriesentenaitlapprocheclassiquequiconsisteaborderlesrseauxensappuyantsur
lemodleOSIdestructurationencouches.Ledcoupageduprsentouvrageestplusconformeceluipropospar
CISCO parce quil ny a rien inventer en la matire. Il est naturel de commencer par le routage statique puis de
prsenter les protocoles de routage dynamique. De la mme faon, il est naturel et mme conforme lhistoire de
prsenterdabordleroutagevecteurdedistancepuisceluitatsdeliens.
Il reste souhaiter que cet ouvrage remplisse son office en aidant le lecteur passer les points durs . Soyez
courageux,ilfautdutempsetdelapatience.Soyezcurieux,refusezdenepascomprendre.Soyezopinitres,testez,
tentez, recommencez. Ne ngligez pas la langue anglaise, car il faut bien admettre que sa matrise permet de
progresser beaucoup plus vite parmi les nombreux documents disponibles (dont les RFC). Le projet nest pas
inventer,ilexiste:ilsagitdexercerunmtier,certesexigeantpuisquilnousplacedansuntatdapprentipermanent
maiscombienpassionnant!
- 2-
Lerouteurdanssonenvironnement
Le vocable routeur peut recouvrir des ralits bien diffrentes selon que lon a affaire un routeur dagence ou de
succursale,unrouteurdentrepriseoudecampusouenfinunrouteurdefournisseurdeservices.Pourrpondreces
diffrentsbesoins,CISCOasegmentsonoffreentroisfamillesdquipements:
Branch traduisible par agence, succursale, site distant. Les routeurs proposs par le constructeur pour
rpondre aux problmes spcifiques de lagence sont dits services intgrs, ou routeurs ISR (Integrated
ServicesRouters).
WAN : les routeurs de cette gamme affichent videmment de grandes ambitions en matire de
performances, dintgration de la scurit, de communications temps rel. Le routeur WAN propose bien
davantage que le simple transport de donnes fiable et peut devenir une plateforme de convergence de la
communicationdentreprise.
Service Provider (Fournisseur de services) : les routeurs de cette gamme, outre des performances
exceptionnelles, doivent galement offrir un degr de disponibilit trs lev, une trs grande longvit ainsi
quelapossibilitdefairevoluerentaillelesdispositifssansremiseenquestiondelexistant.
1.Lerouteurdagenceoudesuccursale
UnrouteurquisecontenteraitdassurersafonctionpremirecestdirelacheminementdesdatagrammesIP,aurait
peu de chances de pouvoir satisfaire les attentes des clients. Le contexte des communications est en mouvance
rapide, acclre encore par des accs toujours plus fluides vers lInternet ainsi que par les possibilits toujours
accruesoffertesparllectronique.Ainsiparexemple,untlphoneportableauraitpeudechancesdesevendreavec
lunique fonction tlphone. Il est galement devenu lecteur MP3, appareil photo, camscope, navigateur Web,
supportdestockage,dispositifdauthentificationetsansdoutedemain,seratilmmedesatisfairedautresbesoins
quenousnavonspasencoreimagins.
De mme, un ordinateur nest plus la machine de calcul des temps hroques mais une machine World Gate
ouvertesurlemonde,multimdia,capableautantdelireoudenregistrerunDVDquedeservirdetlphoneVoIP,de
TVetpresqueaccessoirementdeparticiperquelquetravailencours.
De 2006 2009, CISCO a coul plus de 5 millions de routeurs ISR et doit ce succs son analyse de ce quest
devenuelactivitconomique.Uneentreprise,cenestplusunsigeoseconcentrelexcutifetquipilotedefaon
autocratique des sites de production. Lentreprise moderne rsulte du maillage de nombreux sites (CorporateBranch
quelonpeuttraduireparsuccursale)etdetellesinfrastructuressontefficaceslaconditionquelaprisededcision
puisse tre galement dcentralise sans perdre la cohrence avec le reste du groupe, ce qui suppose une
architecturerseaudisponibleetfiable.Aprsdiffrentesenqutesmenesauprsdesesclients,CISCOrecenseles
besoinssuivants:
Routage.
Commutation(switching).
ConnexionscuriseviaVPNs.
Fonctionsdescurittoujoursplusimportantes:
Parefeu.
Dtection/Prventiondintrusions.
Attnuationdelagravitdesattaquespardnideservicedistribues(cestdiredesattaquespar
dni de service dans lesquelles le serveur cible est attaqu de faon simultane par plusieurs
ordinateurs).
Protectioncontrelesvirus.
Translationdadresses.
Mcanismespermettantdevrifierlerespectparlespostesclients,desrglesdescuritimposes
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
parlentreprise(tatdelaprotectionantivirus,misesjourdescurit,prsenceduncertificat)et
regroupsdanslanotiondecontrledaccsaurseau(NAC:NetworkAdmissionControl).
FiltragedURL...
Applicationsditescollaboratives:tlphoniesurIP,intgrationvoixvido,vidoconfrence.
OptimisationdelabandepassanteconsommesurleWAN(techniquesdecompressiondelachargeutiledes
paquets,demultiplexagedessessionsTCP,dliminationdelaredondancedesenttes).
Priseencomptedelamobilitaveclesapplicationssansfil.
UnrouteurISRintgreoutreleroutage,toutoupartiedesfonctionscites.LagammederouteursISRcomprendles
sries800,1800,2800,3200et3800.Cequiestbonpourunrouteurdagencenelestpasncessairementdansle
cadre dun apprentissage des fondements des rseaux. Cest pourquoi pour le CCNA, CISCO maintient lusage de
routeursetcommutateursspars.
2.LesrouteursWAN
CISCOrangedanscettecatgorielesrouteursdessries7200,7300,ASR1000,6500et7600.
3.LesrouteursServiceProvider
CISCO classe dans cette catgorie les sries ASR1000, ASR9000, 7600, 10000 et XR12000 ainsi que la plateforme
CRS1(CarrierRoutingSystem).
- 2-
Lerouteur:unordinateurspcialis
1.Architecture
Dcouvronslesprincipauxblocsfonctionnelsquiconstituentunrouteuretdistribuonslesrles:
Sisurunrouteurdentredegammelaplupartdescomposantssontsoudssurlacartemre,aufuretmesureque
lonmonteengamme,laconceptionestdeplusenplusmodulaire.
Lesinterfacesrseauconnectentlerouteurdiffrentsrseaux.Untraficentrantparuneinterfaceestcommutpar
lerouteurverslinterfacesortante.CISCOproposevidemmentunevastegammedetypesdinterfacesetilestpeu
probablequuncahierdeschargesnepuissetretenu.Lerouteurdisposetoujoursdunoudeuxports,Ethernetou
FastEthernet, intgrs mais les autres interfaces, WAN notamment, sont ajoutes par lintermdiaire de cartes qui
viennentprendreplacedansdesemplacementsappelsslots.
Lunit centrale est base sur une architecture RISC (Reduced InstructionSet Computer ou microprocesseur jeu
dinstructions rduit). Classiquement on oppose ce type darchitecture larchitecture CISC (Complex InstructionSet
Computer)dontlesreprsentantslesplusfameuxsontlesprocesseursx86quiontquipnosPCaumoinsjusqula
gnration 486. Un processeur CISC dispose dun jeu dinstructions que lon a peuttre enrichi lexcs. En effet,
chacunedesinstructionscomplexesdecejeudinstructionsdemandeplusieurscyclesdelecturedelammoireROM
qui contient le microcode (mmoire intgre sur la puce du processeur). Cest la firme IBM qui en 1975, inventa le
processeur RISC dont le jeu dinstructions tait rduit de faon permettre lexcution dune instruction par cycle
dhorloge.Outrecetavantage,ledcodagedesinstructionstantplussimple,ilpeuttrecblpluttquemicrocod
et ainsi occuper moins despace sur la puce. Il semble que la polmique qui oppose les tenants de chacune de ces
architectures soit en passe de steindre, faute de combattants. En effet, partir du Pentium, INTEL a adopt une
architecturehybridedanslaquelleestenfouiunprocesseurRISC,lefonctionnementCISCtantconservmaismul.
CISCOtantpeudisertsurlesujet,difficiledesavoirquelssontlesprocesseursadoptsparlafirmepourquiperses
routeurs. Par exemple, sauf erreur, il nexiste aucune commande show qui permettrait dafficher le type de
processeur.Pourlespluscurieux,ilfautdoncsersoudreouvrirlesbotierspuisreleverlesrfrencesdescircuits
etentamerunerecherchepatientesurlenet.AinsiondcouvrequelerouteurISR(IntegratedServicesRouter)2801
embarque un processeur RM5261A250H, processeur RISC 64 bits conforme larchitecture MIPS (cestdire
architecture RISC dveloppe par la compagnie MIPS). Pour lanecdote, outre les routeurs CISCO, des processeurs
conformes cette architecture quipent galement des consoles de jeux type PlayStation. Les lecteurs insatiables
pourronttrouverdautresdtailssurlesite:
http://www.pmcsierra.com/products/details/rm5261a/#Features
Enfait,lemicroprocesseureffectuesansdoutelestchesgnriquescar,toujourssurlacartemredurouteur2801,
onremarquelaprsenceduncontrleurdecommunicationsdetypeGT96103Aetpourlequelquelquesdtailssont
fournissurlesite:
- 1-
http://www.marvell.com/products/communication/horizon/index.jsp
SelonlafirmeMARVELLquilaconu,cecontrleurrassemblelesfonctionnalitssuivantes:
RoutageentreLANetWAN
PasserelleVoixsurIP
Scurit
Qualitdeservice
Que le lecteur se rassure, le passage de lexamen CCNA ne requiert aucune connaissance en la matire. Ceci se
justifieparfaitement,carquelquesoitleprocesseurembarqu,lesystmedexploitationresteCISCOIOSetcestlui
queladministrateurdoitmatriser.
Danciens routeurs taient quips dans le pass de microcommutateurs qui participaient la configuration de
lquipement.CISCOaprennislespratiquesacquisesalorsenremplaantcesmicrocommutateursparunregistre
de16bitsappelconfigregister.Lavaleurstockedansceregistreestmaintenueenlabsencedalimentation.
De plus, la commande qui permet dcrire dans ce registre na pas besoin dtre suivie dune commande de
sauvegarde. Ce registre intervient notamment dans la squence de dmarrage, son utilit est dtaille dans la
sectionGestiondelaplateformelogicielleCISCOIOSLasquencededmarrage.
2.Lesportsdadministration
Le lecteur peu au fait du standard RS232 ou du mode de fonctionnement asynchrone gagnera lire la section
Liaisonssriesynchrone/asynchroneduchapitreAnnexesdecetouvrage.
Endehorsdesinterfacesrseau,lerouteurestpourvudedeuxinterfacesdetypesrieasynchrone,nommesport
console et port auxiliaire et ddies ladministration du systme. Le port console autorise un accs local et
ladministrateur lutilisera plutt pour raliser la configuration initiale du routeur. En effet, une fois configur et en
exploitation, le routeur est accessible par le rseau et ladministrateur peut en assurer la gestion laide dune
session TELNET ou SSH (Secure Shell, version scurise destine remplacer TELNET). La seconde interface srie,
nommeportauxiliairepermetunaccsdeladministrateurdistance.Unscnariopossibleestdereprendrelamain
surlquipementdistantquandladministrateurnyparvientplusparlerseau.Pourprofiterdecettepossibilit,ilfaut
avoirtprvoyant,cestdireavoirinstallunmodemauvoisinagedurouteuretavoiramenunelignedurseau
tlphoniquecommutsurcemodem,cequirevientattribuerunnumrodetlphoneaurouteur.Uneexception
cependant : les routeurs de la gamme 800 ne disposent que dun seul port srie asynchrone destin
ladministration. Appel console aux port, ce port est, selon le choix de ladministrateur, tantt un port console,
tanttunportauxiliaire.
Enfait,ilnyapasdediffrencedenatureentreleportconsoleetleportaux,lesdeuxportssontdesportssrie
- 2-
asynchrones. La diffrence vient du cblage quen fait CISCO sur la face avant de ses routeurs. Sil avait fallu se
conformerstrictementlanormeRS232,leportconsoleauraitdseprsentersouslaformedunportDB25femelle
etlextrmittredetypeETCD(enanglaisDCE)afindefairefaceauterminalncessairementETTD(DTE).Leport
auxiliairelui,auraitdadopterunportDB25mleetadopterletypeETTDpourfairefaceaumodemncessairement
ETCD.CestcequeCISCOafaitsurcertainsdesesrouteurs,parexemplequelquesrouteursdelasrie7200(7200
I/OFE,7200I/O,7200I/OFEMII).
MaisCISCO,surlaplupartdesesrouteurs,aprfrprivilgierlarecherchedecompacitetlesdeuxportsontt
cbls sur des sockets RJ45. Sur toute la gamme, il est facile de distinguer les deux sockets grce un code de
couleurs:lesocketattribuauportconsoleestreprablesacouleurbleuciel,lesocketattribuauportauxiliaire
estreprablesacouleurnoire.
Endehorsdelacouleur,lesportsconsoleetauxiliairesedistinguentgalementparleschoixquafaitleconstructeur
quantauxcircuitsdelanormeRS232prsentssurles8filsdessocketsetquantltatdecescircuits,oprationnel
ouforc.Eneffet,lescontraintesimposesparlaliaisonavecunterminalnesontpaslesmmesquecellesimposes
par une liaison via modems. moins davoir affaire un administrateur fou, aucun risque pour que les caractres
frappsauclavierduterminaletdoncreusparleportconsolenesaturentlacapacitderceptiondurouteursurce
port. De la mme faon, il est peu probable que les caractres gnrs par le routeur ne dpassent les capacits
daffichagelcranduterminal(quidpassentlargementlescapacitsdelecturedeladministrateuretplusencore
sescapacitsinterprterlesmessages).LecontrledefluxestdoncinutilesurceportetCISCOnenprvoitaucun,
ni logiciel ( laide des caractres XON/XOFF), ni matriel (fond sur ltat de lun des circuits de la jonction). En
revanche,leportauxiliairedisposedescircuitsncessaireslaralisationduncontrledefluxmatriel.
CISCOfournitgalementlescordonsetadaptateursncessaireslamiseen uvredecesports.Enparcourantles
guidesdinstallationdesdiffrentsmodlesdelagamme(toustlchargeablessurlesiteCISCO),onpeutdgager
troistypesdepackagings:
Packaging1>Concernelessries800,1800etlerouteur2801.Lerouteurestfourniavec:
Uncbleconsole(RJ45toDE9,couleurbleuciel)galementappelmanagementcable.
UnadaptateurDE9toDB25.
Packaging2>Concernelessries2800lexceptiondurouteur2801,3800,7200,etc.Lerouteurestfourni
avec:
Un cble console (RJ45toDE9, couleur bleu ciel) galement appel management cable ou
consoleadaptercble.
Uncblemodem(RJ45toDB25,couleurnoir)galementappelmodemadaptercable.
Packaging3>Concernelessries2600,3600,3700et3800.Lerouteurestfourniavecunkitcomprenant:
Uncbleinvers(RJ45toRJ45)appelrollovercabledansladocumentationCISCO.
Un adaptateur RJ45toDE9 femelle permettant la connexion du port console au port srie dun PC
mulantleterminal.CetadaptateurportelamentionTERMINAL.
Un adaptateur RJ45toDB25 femelle permettant la connexion du port console au port srie dun
terminal.CetadaptateurportegalementlamentionTERMINAL.
Un adaptateur RJ45toDB25 mle permettant la connexion du port auxiliaire au port srie dun
modem.CetadaptateurportelamentionMODEM.
Laphotocidessousrassembleleslmentsdukitfourniaveclessries2600,3600,3700et3800lexceptionde
ladaptateurmodem:
- 3-
Rglonslecasducbleinversrolloverquifaitdcidmentcoulerbeaucoupdencre.Cecblersultesimplement
du fait que CISCO utilise du cble en nappe pour raliser ses cordons destins aux ports dadministration. Dans ce
cbleennappe,les8filscheminentdefaonparallleetnesontpasorganissenpaires.Lescordonsralissavec
une telle nappe ne pourraient supporter les dbits des rseaux locaux. Fort heureusement, les dbits supporter
sontceuxduneliaisonsrieasynchroneRS232etnedevraientdoncjamaisdpasser19200bits/s(ilestpossiblede
rglerlajonction115200bits/smaiscesthorsstandard).IlfautobserverquelesertissagedunconnecteurRJ45
chaque extrmit dune nappe 8 fils produit naturellement un cble invers. Il ne faut pas y voir une volont
quelconqueduconstructeurmaissimplementuneconsquenceduchoixdelanappeenlieuetplacedunclassique
cblepairestorsades.Silelecteurdisposeduncbleinversproximit,cestlemomentdelevrifierenplaant
lesdeuxconnecteursRJ45envisvis:
LesfilsrelisPin1dunconnecteuretPin8delautreconnecteurontmmecouleur,puispin2etpin7etainside
suite.MmesilnesagitquedunavatardecordonRJ45toRJ45,ltudiantajouteralecbleinvers(rollover)la
panopliedetypesquildoitconnatre,quicomprenaitdjlecbledroit(straightthrough)etlecblecrois(crossover)
caronimaginebienquecesujetpeutfairelobjetdenombreusesquestionsdansunQCMduCCNA.
LertablissementdesconnexionsattenduesdefaonrelierconvenablementdeuxETTD(PortconsoleTerminal)ou
un ETTD et un ETCD (Port auxiliaire Modem) incombe ladaptateur RJ45toDBxx. Ainsi, lillustration suivante
inventorielescircuitsutilissdanslecasduneliaisonportconsoleterminal:
- 4-
ObservezquelescircuitsDTR(DataTerminalReady)etRTS(RequestToSend)duportconsolerestentenpermanence
monts.Onestainsiassurqueleterminal,quireoitcestatssursescircuitsDSR(DataSetReady)etCTS(ClearTo
Send) est satisfait et consentira afficher les caractres reus du routeur ainsi qu envoyer au routeur les
caractresfrappsauclavier.
Enfinal,ilnedevraitsubsisteraucuneambigitquandilfautrelierlePCmulantunterminalauportconsole,cestle
cbleconsoleRJ45toDE9quilfaututiliser(ousonquivalentreconstitulaideducbleinversbleucielassoci
ladaptateurRJ45toDE9),cecbleestdecouleurbleuciel,lesocketduportconsoleestgalementdecouleurbleu
ciel(lefilbleusurleboutonbleu...).LextrmitDE9ducbleconsoleestfemelle,leconnecteurDE9duportsriedu
PCestmle.
Le placement dune jonction clate lextrmitdun cble console confirme que cette extrmit est bien de type
ETCD.Eneffet,levoyantassociaucircuitRDestallumetconfirmequececircuitestgnrateur(ausenslectrique),
cequiestbienlefaitdunejonctionETCD.
Leschosessecompliquentpeinequandilfautrelierleportauxiliaireunmodemetquonalachancededisposer
ducblemodemdecouleurnoire.Quandcenestpaslecas,ilfautsersoudreutilisersoitlecbleconsoleassoci
son extrmit DE9 ladaptateur DE9toDB25 fourni, soit le cble rollover associ lune de ses extrmits
ladaptateur RJ45toDB25 mle marqu modem. La figure suivante recense les diffrents cas et inventorie des
circuitsmisen uvre:
ENI Editions - All rigths reserved - Noba Mafiza
- 5-
Il reste ajuster les paramtres de la transmission srie. Par dfaut, le port console est rgl 9600S81 ce qui
signifie9600bitsparseconde,sansparit,caractresexprimssur8bits,1bitdestop.Cerglage,not9600N81
dansladocumentationCISCO(Noparity)estmodifiablemaisilnyapasdintrtlefaire.Ilfautajustergalitles
paramtresdelajonctionduterminalouduPCmulantleterminal.Inutiledactiveruncontrledeflux.Dansderares
cas,leconstructeurprconise9600N82,quisignifiedeuxbitsdestop,ceciincombantsansdouteuncircuitUARTun
peuplusancienetayantbesoinduntempsdercuprationplusimportantentredeuxcaractres.Quantauport
auxiliaire,ilnyapasdautrecontraintequecellequiconsistelerglergalitaveclajonctiondumodem(vitesse
maximale115200bitsparseconde).
3.Lepartitionnementdelammoire
Le droulement normal du dmarrage dun routeur doit aboutir au chargement dun systme dexploitation appel
CISCO IOS (Internetworking Operating System). Muni de ce systme, le routeur est alors capable daccomplir les
tches pour lesquelles il a t conu dont le routage des datagrammes IP. En dehors de ce systme dexploitation
complet,lerouteurestgalementcapabledechargerdautressystmesdexploitationpartielsoudontlafinalitnest
pasdassurerleroutage.
Ainsi, le systme dexploitation nommRxBOOT offre un sousensemble des fonctionnalits de lIOS, suffisant pour
monterlesinterfacesrseauetpermettrelamisejourdesimagesIOScontenuesenmmoireFlash.Ilneconcerne
quelesrouteurs(srie2500)quiexcutentlIOSdirectementenmmoireFlashcarcommentmettrejourunfichier
en cours dutilisation ? RxBOOT intervient galement en cas de sinistre sur la mmoire Flash : si pendant son
initialisation,lerouteurnestpasparvenutrouveruneimageIOSvalideetsiildisposeduneimageRxBOOT,alorsil
tentedechargerRxBOOT.
Enfin, le systme ROMMON (ROM Monitor) intresse particulirement lexpert rseau puisquil permet un premier
niveaudedbogage,larcuprationdemotsdepasseperdusoulacopiedunfichierIOSvalideenmmoireFlash
quandcelleciatcorrompueoueffaceparmaladresse.ROMMONquipetouslesrouteursCISCO.Lechargement
deROMMONintervient:
Quandladministrateurinterromptlasquencedamoragenormale.
Quand ladministrateur a modifi le contenu du registre de configuration afin dinfluer sur cette squence
damorage.
EnultimerecoursquandlerouteurachoudanssestentativesdechargementdunIOScompletpuischou
galementdanslechargementdeRxBOOTsilendispose.
Cest la mmoire ROM (Read Only Memory) qui contient, outre le programme damorage, ce ou ces systmes
dexploitationalternatifs.
La mmoire RAM (Random Access Memory que lon traduit par Mmoire accs direct) est une mmoire volatile
- 6-
accessiblelafoisenlectureetencriture.Commepourtoutordinateur,lammoireRAMdunrouteurcontientla
foislecodedesapplicationsetlesdonnesobjetdutraitementralisparlecode.Danslecasdurouteur,lecodeest
constituparlesystmedexploitationCISCOIOSchargpendantledmarragedepuislammoireFlashouparun
systmedexploitationalternatif,RxBOOTouROMMON,chargdepuislammoireROM.Lesdonnescomprennentla
configuration courante du routeur, les structures de donnes lies aux protocoles de routage telles les tables de
routage, les tables ARP (Address Resolution Protocol, voir ouvrage Cisco Notions de base sur les rseaux dans la
collectionCertificationsauxEditionsENI),lestamponsdepaquetsassocisauxinterfaces.
Avantsonchargementenmmoirevive,lefichierIOSoccupeplusieursMgaoctetseteststockdansunezonede
mmoire semipermanente nomme Flash. Il sagit dune zone de mmoire ralise laide de dispositifs EEPROM
(ElectricallyErasableProgrammableReadOnlyMemory).UnemmoirePROMpeuttrelueindfinimentmaisnepeuttre
crite quune seule fois. Une mmoire EPROM peut tre efface mais ncessite pour ce faire dtre soumise un
rayonnement ultraviolet. La mmoire EEPROM est effaable laide dun banal courant lectrique. Il devient alors
possibledereproduirelefonctionnementdundisquedur(maintiendesdonneshorsalimentation,lecturevolont,
criturequasivolont)sanslinconvnientmajeurdudisquedur,cestdiresanspicemobile.
AinsistockenmmoireFlash,lIOSpeuttremisniveau(unenouvelleversionremplaceuneversionplusancienne)
ou modifi (une version aux capacits largies remplace la version existante). Cela a t dit, certains routeurs
permettentlexcutiondirectedelIOSdepuislammoireFlash,lespacedemmoireFlashappartientalorslespace
adressable par le processeur. Mais le plus ordinairement, lIOS est charg en mmoire vive pendant le boot de
lquipement.
Lammoire NVRAM est une mmoire RAM non volatile, cestdireunemmoiredontlecontenuestconservhors
alimentation.CISCOplaceenNVRAMlefichierdeconfigurationinitialedurouteurnommstartupconfig.Linitialisation
normaledunrouteursachveaveclechargementdecefichierenmmoirevive.Unefoischarg,lacopieestnomme
runningconfig.
La mmoire Flash offre un emplacement de stockage pour lIOS. Ladministrateur dispose de mcanismes
permettantlesmisesjour(tlchargementdenouvellesversionsviaTFTP).Parmilesquatrepartitionsdela
mmoire, ROM, RAM, FLASH et NVRAM, trois sont permanentes, cestdire conserves hors alimentation. Seul le
contenu de la RAM est perdu lors dun arrt ou dun redmarrage du routeur. CISCO nutilise aucun dispositif de
mmoire type disque ou disquette sur ses routeurs. La russite au CCNA suppose de bien connatre laffectation
desquatrepartitionsdemmoire.
4.Dcouvertephysique
Chaque modle de routeur CISCO fait lobjetdun guide dinstallationtrscompletetquil est vivement conseill de
sapproprier avant de sortir le nouveau routeur de son carton. Si les mandres du site CISCO rebutent le lecteur, il
suffit de laisser faire un quelconque moteur de recherche. Ainsi, la requte Cisco 2800 Series Routers Hardware
InstallationdansGooglefournitenpremirerponseunlienversladocumentationdemande(186pages!)quilest
possibleauchoixdeconsulterenligneoudetlchargerauformatpdf.Nousappuieronsnotrepropossurlerouteur
2801maisunebonnepartdeslmentsquisuiventesttransposableaurestedelagamme:
Ce routeur appartient la nouvelle gnration de routeurs dits services intgrs, ou routeurs ISR (Integrated
ServicesRouters).
a.Localisationdunumrodesrie
Cetidentifiantde11caractresestsitularrireduchssisdanslecasdu2801,surlafacedesinterfacesdansle
casdesautresrouteursdecettesrie:
- 7-
IlexisteunsiteCISCOquirpertoriepourlensembledesproduitsCISCO,localisationetformatdunumrodesrie:
http://tools.cisco.com/Support/CPI/index.do.
LaccscetoutildemanderaaulecteurdesenregistrersilnedisposepasencoredecomptesurCisco.com.
b.Lesinterfacesintgres
Le tableau suivant inventorie lensemble des interfaces disponibles sans quil ait fallu ajouter de modules
supplmentaires:
Modle
Ports100BaseT
Ports
FastEthernet
1000BaseT
(FE)RJ45
GigabitEthernet
(GE)RJ45
PortsUSB
(Universal
SerialBus)
PortConsole
(RJ45)
PortAuxiliaire
(RJ45)
CISCO2801
CISCO2811
CISCO2821
CISCO2851
c.Lammoire
Lesplatesformes2800disposentdesmmoiresphysiquessuivantes:
- 8-
DRAM:contientlapartitionRAMdurouteur.LammoireDRAMestuntypedemmoireRAMdontlasimplicit
structurellepermetdobtenirdesdensitsparticulirementleves.Lacontrepartieestquecettemmoire
ncessite dtre rafrachie de faon rgulire (priode de quelques millisecondes). La mmoire SRAM
(StaticRAM)neprsentepascetinconvnient,estplusrapideetconsommemoinsdnergie.Maissonprixla
cantonneauxmmoirescaches.LechoixderaliserlammoireRAMdunordinateurlaidedeDRAMestle
choixleplusfrquent.
Boot/NVRAM:raliselaidedunemmoireFlashinternecestdiresoudelacartemredurouteur.
ContientlafoislespartitionsROMetNVRAMainsiqueleregistredeconfiguration.
Flashmemory:encoreunemmoireFlashmaisexternecettefoisetraliselaidedunecarteauformat
CompactFlash.Ceformatdecartemmoire,crparlafirmeSanDisken1994,estprogressivementdevenu
le support privilgi des professionnels de la photographie. Son seul dfaut rsulte de lusage de broches
pntrantes qui induisent une certaine fragilit. Mais son utilisation dans un routeur ne devrait pas en
souffrircarlafrquencedesconnexions/dconnexionsrestelimite.Attentionaurisquedeconfusioncarla
plateforme CCNA voque cette carte comme tant une carte PCMCIA (Personal Computer Memory Card
InternationalAssociation).CequisexpliqueparlefaitquelanormeCompactFlashestconformelanorme
PCMCIA, en dehors du connecteur qui ne comporte que 50 broches contre 68 pour le format PCMCIA.
Lauteur confirme donc quil sagit bien dune carte CompactFlash de type CFI (les CFI font 3,3 mm
dpaisseur,lesCFIIfont5mmdpaisseur).CettecarteportelapartitionnommeFlashdurouteur.
Letableausuivantrecenselesquantitsdemmoireembarqueainsiquelesextensionspossiblesselonlesplates
formes:
Plateforme
CISCO2801
DRAM
Boot/NVRAM
MmoiretypeSDRAM(SynchronousDRAM).
128Mosurlacartemre.
4Modemmoire
Flashsurlacarte
mre.
Extensionpossiblejusque384Molaidedun
slotdextensionDIMM(DualInlineMemory
Module).
CISCO2811
MmoiretypeDDRECC(DoubleDataRate
errorcorrectingcode)SDRAM.
2slotsDIMM,aucunemmoiresurlacarte
mre.
FlashMemory
CarteCompactFlash.
64Mopardfaut.
128Mopossible.
2Modemmoire
Flashsurlacarte
mre.
CarteCompactFlash.
64Mopardfaut.
128ou256Mo
possible.
Barrettesde256ou512Mo.
Mmoirepardfaut256Mo.
Mmoiremax768Mo.
CISCO2821et Idem2811saufmmoiremax1024Mo.
2851
d.Alimentations
Pourchacundesrouteursdelasrie2800,deuxoutroischoixdalimentationsontpossibles:
Alimentation
Entre
Routeursconcerns
Secteursanspossibilitdalimenterdes
tlphonesIP
100240VAC2A
2801,2811
Secteursanspossibilitdalimenterdes
tlphonesIP
100240VAC3A
2821,2851
Secteuravecalimentation48VDC120W 100240VAC5A
pourlestlphonesIP
2801(lalim.48Vpeutfournir120 W)
2811(lalim.48Vpeutfournir160 W)
2821,2851(lalim.48Vpeutfournir
240 W)
DCsanspossibilitdalimenterdes
tlphonesIP
2460VDC8A
2811
DCsanspossibilitdalimenterdes
tlphonesIP
2460VDC12A
2821,2851
- 9-
Signalons galement la possibilit dquiper le chssis dune alimentation redondante RPS675 (Redundant Power
System).
e.LesvoyantsLED
Touslesvoyantsdurouteur2801sontplacsenfaceavant:
LED
Couleur
Description
SYSPWR
Vert
LerouteuraterminsasquencedinitialisationetlIOSestfonctionnel.
Cevoyantclignotependantlebootousilesystmedexploitation
chargestROMMON.
SYSACT
Vert
Clignotechaquefoisquedespaquetssontmisoureusouencoursde
traitementparlesystme.
CF
Vert
AllumquandlammoireFlashestoccupe.Danscecas,ilnefautpas
terlacarteCompactFlashdesonlogement.
AUX/PWR
Vert/Ambre
Allum,indiquelaprsencedudispositifdalimentation.Vert,indiquele
fonctionnementconvenabledecettealimentation.Ambre,indiqueun
dfautdelalimentation.
FExLink
Vert
AllumindiquequelerouterestconnectunLANEthernetvialeport
Ethernetx.
Fex100
Vert
Allumindiqueunlienfonctionnantaudbitde100Mbps.
teintindiqueunlienfonctionnantaudbitde10Mbps.
FexFDX
Vert
AllumindiqueunmodedefonctionnementFullduplex.
teintindiqueunmodedefonctionnementHalfduplex.
AIM0
Vert
AllumindiquelaprsencedunmoduleAIM(AdvancedIntegration
Module)dansleslotAIM0.
AIM1
Vert
AllumindiquelaprsencedunmoduleAIMdansleslotAIM1.
PVDM0
Vert
AllumindiquelaprsencedundispositifPVDM(PacketVoiceData
Module)dansleslotPVDM0.
PVDM1
Vert
AllumindiquelaprsencedundispositifPVDM(PacketVoiceData
Module)dansleslotPVDM1.
Pourlesautreschssisdelasrie,lesvoyantssontrpartissurlafaceavantetsurlafacearrire:
LED
SYSPWR
AUX/PWR
Couleur
Description
Vertfixe
Lesystmeestfonctionnel.
Vertclignotant
Bootencoursoulesystmedexploitationcharg
estROMMON.
Ambre
Dfautsystme.
teint
Pasdalimentationoucartemredfectueuse.
Vert
Sielleestinstalle,lalimentationdestlphones
IPestfonctionnelle.
Ou
Sielleestinstalle,lalimentationredondanteest
fonctionnelle.
- 10 -
Localisation
Faceavant
Ambre
Sielleestinstalle,lalimentationdestlphones
IPestendfaut.
Ou
Sielleestinstalle,lalimentationredondanteest
endfaut.
teint
LalimentationdestlphonesIPetlalimentation
redondantenesontpasinstalles.
SYSACT
Vertclignotantou
fixe
Destransfertsdepaquetssontencours.
CF
Vert
AllumquandlammoireFlashestoccupe.Dans
cecas,ilnefautpasterlacarteCompactFlash
desonlogement.
A(=ACT)
Vertclignotantou
fixe
ActivitsurlesportsFEouGE.
F(=FDX)
Vert
IndiqueunfonctionnementenFullduplex.
teint
IndiqueunfonctionnementenHalfduplex.
1flashsuividune
pause
DbitdesinterfacesFEetGE10Mbps.
2flashssuivis
dunepause
DbitdesinterfacesFEetGE100Mbps.
3flashssuivis
dunepause
DbitdesinterfacesGE1000Mbps(ne
concernequelesplatesformes2821et2851).
L(=Link)
Vert
LelienFEouGEesttabli.
PVDMx
Vert
UnmodulePVDMestprsentdansleslotxet
initialis.
Ambre
UnmodulePVDMestdtectdansleslotxmais
noninitialis.
teint
Pasdemoduleinstalldansleslotx.
Vert
LemoduleAIMdansleslotxestinitialis.
Ambre
LinitialisationdumoduleAIMprsentdansleslot
xsestsoldeparuneerreur.
teint
PasdemoduleinstalldansleslotAIMx.
S(=Speed)
x=0,1(ou2si
2821ou2851)
AIMx
Facearrire
x=0,1
f.HorlogeTempsrel
Commetoutordinateur,unrouteurestquipduncircuitassurantlafournituredeladateetdelheureausystme.
Limportant est que ce circuit ncessite toujours une batterie pour assurer son office. Ceci constitue un point de
fragilit et ncessite de la vigilance. Dans le cas des chssis 2811, 2821 et 2851, CISCO a prvu une batterie
monte vie , cestdire dont lesprance de vie est identique celle du routeur. Seul le chssis 2801 est
pourvudunebatterielithiumionremplaable.
- 11 -
g.Explorationduchssis
Observezlafaceavantdurouteur2801cidessous:
Reprezleslmentssuivants:
4emplacementsprvuspourrecevoirlescartesdinterface,notsslot0slot3.Slot0estsitudroite:
- 12 -
Slot0peutrecevoirexclusivementunecartedinterfaceprvuepourlavoixVIC(VoiceInterfaceCard)
ouVWIC(VoiceWanInterfaceCard).
Slot 1 et Slot 3 reoivent indiffremment tout type de carte dinterface parmi les types WIC (Wan
InterfaceCard),VIC,VWICetHWIC(HighSpeedWANInterfaceCard).
Slot2reoitunecartedinterfaceparmilestypesWIC,VICetVWIC.
Entreslot0etslot1(repre5)ainsiquentreslot2etslot3,unguidedecarteamoviblequilfaut
terpourinstallerunecarteHWICDdelargeurdouble(Doublewide).Ilestpossibledinstallerdeux
decescartes.
Slot1estdanslecasprsentoccupparunecartedetypeWIC2A/SquioffredeuxinterfacesWAN
Serial(voirplusavantlasectionconsacreauxinterfacesetleurnommage).
Leportconsole.
LesportsFastEthernetainsiqueleursvoyantsassocisLINK,100etFDX.
LesvoyantssystmeSYSPWR,SYSACT.
LevoyantAUX/PWR.
LeportUSB,repre7.
LesvoyantsAIMetPVDM.
Leportauxiliaire.
LemplacementCompactFlashetsonvoyantCFassoci,repre6.
Lafacearriredu2801estassezdpouillepuisquellenecomportequeleconnecteurdalimentation secteur, un
commutateurdemisesoustension,lenumrodesrieetunebornedestinelaconnexionlectriqueduchssis
mtalliquelaterre.
Surleschssis2811,2821et2851,lespossibilitsdimplantationdecartesdinterfacetantplustendues,CISCOa
d se rsoudre distribuer slots, connecteurs et voyants sur les deux faces avant et arrire des routeurs. Pour
exemple,voicilafacearrireduchssis2821:
LesportsEthernet,Gigabitdanscetteversiondurouteur,(repres1et2)ainsiquelesslots03descartesHWIC
(repres36)onttreportssurcetteface.CISCOyaajoutunslotpourmoduleEVM(ExtensionVoiceModule)
ainsiquunslotpourmoduleNME(NetworkModuleEnhanced,repre8).Enfait,ceslotestcapableautantderecevoir
unmoduleNM(NetworkModule)quunmoduleNME.
IlesttempsdesefaireuneidedeltenduedelagammedecartesdinterfacesetdemodulesEVM,NMouNME
propossparleconstructeurpourlasrie2800:
En remplaant xxxx par la srie objet de la recherche, 2800 dans le cas prsent, tapez dans un moteur de
recherche:CISCOxxxxRelevantInterfacesandModules
LunedestoutespremiresrponsesdevraittrelURLdusite:
https://www.cisco.com/en/US/products/ps5854/products_relevant_interfaces_and_modules.html
Lalongueurdulienexpliquelintrtdupassageparlemoteurderecherche.Impossiblederetranscrireladiversit
deloffreCISCOici(190rfrencesaumomentoceslignessontcrites).Ondcouvreainsiqueparmilesoffresde
modules NME figurent des modules de commutation jusqu 48 ports (Ethernet Switch Modules) ou des modules
permettantlecontrledeplusieurspointsdaccsWiFi.Pourchaquerfrence,lesiteproposedesliensversune
documentation,desquestions/rponses,plusdinformation.
h.Repragedesmoduleslintrieurduchssis
Lafigureciaprsdtaillelorganisationinterne:
- 13 -
Cemmerouteurmaiscettefoisphotographi:
Reprezleslmentssuivants:
- 14 -
leprocesseur,lecontrleurdecommunications
lammoireRAMsoudelacartemresurcerouteur
leconnecteurdextensionDIMMrepre12
lalimentationrepre13
deuxslotsdextensionprvuspourrecevoirdesmodulesPVDM.
5.Connecterlerouteursonenvironnement
Certainsouvragesdistinguentdeuxfamillesdinterfaces:lesinterfacesEthernetetlesinterfacessrie.Mmesicette
faon de classer trouve une explication dans le mode de nommage des interfaces adopt par CISCO, cest assez
gnant.Eneffet,lemodedetransmissionparallledesinformationsnexisteplusgurequentreleprocesseuretses
voisinsimmdiatsdontlammoire.Endehorsdecepetitmonde,touteslestransmissionssefontsousformesrie
cestdire sous forme dune succession de bits, cela concerne galement Ethernet. Par ailleurs, mme si Ethernet
rgnesanspartagesurlemondedesrseauxlocauxetatendusonhgmonieauxrseauxmtropolitains,ilnest
pasdhgmoniequinefinisseparscrouler.
Restonsprudentsdoncendistinguantdeuxfamillesdinterfaces,lesinterfacesLANetlesinterfacesWAN.
a.ConnecterlinterfaceLANdunrouteur
CasdesinterfacesEthernetetFastEthernet
CesujetadjttraitdanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsaux
Editions ENI. En forme de rappel donc, chaque dispositif reli un segment Ethernet est constitu dune partie
missionetdunepartierception.Laliaisonralisedoitncessairementrelierlapartiemissiondundispositifla
partie rception de lautre dispositif. On parle de croisement et les possibilits pour raliser ce croisement sont
nombreuses.UnportEthernetderouteurquinedisposepasdelafonctionAutoMDI/MDIX(dtailleplusavant)
estdetypeMDI(pasdecroisementralisparlquipement).RelieruntelportunquipementdetypeMDIX(qui
croise)permetdutiliseruncordonditdroit(Straighttrough),casnormalillustrparlafigurecidessous:
Le cas suivant est plus un cas dcole puisquil est question de relier directement un PC un port Ethernet de
routeur,detypeMDI.IlpeutgalementsagirderaliseruneliaisonEthernetentredeuxportsMDIderouteurs.Le
cordondoitalorstrecrois(Crossovercable),cequillustrelafiguresuivante:
Ilnestpasconseillderaliseruntelcordonlamain.Eneffet,quandlesennuissurviennent,ledoutequant
aucordoncroisquevousavezpniblementrussiconfectionnerrevientdefaonobsdante.
Croisementdulienen1000BaseT
Laspcificitdecestandardestdutiliserlesquatrepairesducblerseau:
- 15 -
Lecroisementraliserestdouble.Quandilnestpasralisparlundesdeuxquipements,lecordoncroisest
plus difficile confectionner. Dans le but dliminer le besoin de cbles croiss entre deux quipements similaires,
lIEEE propose une configuration MDI/MDIX automatique (section 40.4.4 de la norme 802.32008_section3
disponibleentlchargementsurlesitedelIEEE).Lemcanismemisen uvreintervientenamontdetoutautre
mcanisme,dontparexempleceluidelautongociation,afindefaciliterlacommutationde[DA+,DA]sur[DB+,DB
] ainsi que de [DC+, DC] sur [DD+, DD]. Une extrmit Auto MDI/MDIX ou Autocrossover dtermine de
faonalatoireunepremireconfigurationMDIouMDIX,adoptecetteconfigurationpuisattenduntempssuffisant
pour assurer une dtection normale des impulsions NLP ou FLP mises par lautre extrmit. Le temporisateur
correspondantestappelSample_timeretstablit62ms.Silen udreoitlesimpulsionsmisesparlen ud
distant, il reste dans la configuration adopte. Si la partie rception na pas dtect les impulsions, lalgorithme
prendunenouvelledcisionMDIouMDIXfondesurlebitsuivantduregistrersultatdutiragealatoire(quien
comprend 11) puis rarme le temporisateur dcoute des impulsions. On comprend que lautomatisme fonctionne
autantquilyaituneparmideuxoulesdeuxextrmitscapablesdautoconfigurationMDI/MDIX.
Limplmentationdecettepossibilitestfacultativepourle1000BaseTmaissemblelargementadopte.Enfait,cest
ce point pratique que certains constructeurs dotent dornavant les ports Fast Ethernet de cette facult. Il est
probablequterme,lebesoindecordonscroissdisparaisseetavecluilacomptencequiconsistedterminerle
cordon convenable. Dans le cas du constructeur CISCO, ladoption de cet automatisme est sans doute appel
stendre mais ne concerne, au moment o ces lignes sont crites, quune partie des quipements. Ainsi, en
explorantnouveauledocumentRelevantinterfacesandmodulesdelasrie2800,ondcouvrequelesports
suivantsensontdots:
LesportsembarqusFastEthernetdesrouteurs2801et2811.
LesportsembarqusGigabitdesrouteurs2821et2851.
LesportsEthernetroutsdesmodulesHWIC1FEetHWIC2FE.
LesportsEthernetdesmodulesdecommutationHWIC4ESWetHWICD9ESW.
MaisontrouvegalementdesportsnonencoredotstelslesportsdesmodulesdecommutationNME16S,NMEX
23ES,NMEXD24ES(listenonexhaustive).
b.ConnecterlinterfaceWANdunrouteur
Lentreprise monosite a vcu. Lentreprise moderne rsulte du maillage de plusieurs sites dont le sige.
Raccordercessitesentreeuxesthorsdeportedurseaulocal.Voillentreprisecontraintedenpasserpardes
servicesderseautendu,servicesfournisparunoprateurdetlcommunications.Loprateurdecommunications
lectroniquesestuneentreprisequifournitouestautorisefournirlaccsunrseaudecommunicationspublic.
Dtailler la diversit des services proposs par les oprateurs sort du cadre de ce chapitre mais quoiquil en soit,
laccs au service se fait systmatiquement par lintermdiaire dun dispositif nomm selon les cas botier ,
modemouDSU/CSU(DataServiceUnit/ChannelServiceUnit).Ilnyapashlasdetermegnriquequipermette
dedsignersansambigitceboitierdinterfaceavecleWAN.Cestqueleservicederseautendupeutrecouvrir
desralitstrsdiffrentes.Defaonglobale,lebotierconvertitlesnormesdecouche1et2delinterfaceWAN
durouteurennormesdecouches1et2ducircuitWANdeloprateur.Appuyonsnotreraisonnementsurlafigureci
- 16 -
dessous:
Ladministrateursouhaiterelierlesitenantaisetlesitelillois.Ilpeutignorerlesdtailsdimplmentationducircuit
WAN,cestlatambouilledeloprateur.Pourcetadministrateur,lelientablirlestentrelerouteurdeNantes
et le routeur de Lille. Pour ce faire, il faut rgler les problmes de couche physique puis les problmes de couche
Liaison.Encouchephysique,lerouteurdeNantesestraccordunbotierviauneliaisonsrie.Demme,lerouteur
de Lille est raccord son botier via une liaison srie. Dans chaque cas, il faut raliser la jonction entre un ETTD
(linterfaceWANdurouteur)etunETCD(linterfacectclientdubotier).Quellenormedeliaisonsriesupportele
botier?CettenormeestellegalementsupporteparlinterfaceWANdurouteur?
Lhistoire des tlcommunications, videmment lie lvolution des technologies, a engendr nombre de normes
diffrentes dont EIA232, EIA449, EIA530, EIA612/613, V35 ou X21. Chacune de ces normes fait lobjet dun
paragraphedanslechapitreAnnexesdecetouvrage.Lebesoindecrerunenouvellenormedeliaisonsrienenat
pas suite la fantaisie ou une crativit dbride des concepteurs mais peut tre dict par des besoins non
couvertsparlesnormesexistantes.cetgard,lhistoiredelanormeV35estdifiante.En1968,leCCITT(Comit
Consultatif International Tlphonique et Tlgraphique, devenu UIT (Union Internationale des Tlcommunications)
en 1992) sapprte publier lavis V35. Cette norme correspond en fait au premier modem standardis pour la
transmission trs haut dbit (48000 bits/s, dbit important pour lpoque) sur un canal qui, dans la hirarchie
analogiquedalors,taitappelgroupeprimaireetdontlacaractristiqueessentielletaitdeprsenterunebande
passantestendantde60108KHz.LinterfacenumriqueEIA232neconvenantpasunteldbit(sic),leCCITT
normalisalafoislemodem(Modulationdamplitude BandelatraleuniqueinfrieurePorteuse100KHz)etson
interface numrique. Naturellement le modem est tomb en dsutude, mais pas son interface que lon rencontre
encorefrquemment.
CISCOsadaptecettediversitdenormesenquipantsescartesdinterfacesWANdeportsgnriques,cest
direcapablesdesupporterplusieursnormesdeliaisonsrie.Ainsisurlesplatesformes2500,2600,3600,leport
gnriqueestappelport5en1parCISCOcariladmetlescinqnormesEIA232,EIA449,V35,X21etEIA530.
Cettefacultaunprix:ilfautqueleportphysiquedelacarteWICcomportesuffisammentdebrochespourcouvrir
lesbesoinsdechacunedescinqnormes,cequiexpliquequilenfaillesoixante.Ceportquipeparexemplelacarte
WIC1Tdisponiblepourlesplatesformesprcites:
LesexplicationsquisuiventsappuientpourpartiesurundocumenttrscompletmisdispositionparCISCOetqui
sintitule CISCO Modular Access Router Cable Specifications ,document de cinquante pages au moment o ces
ENI Editions - All rigths reserved - Noba Mafiza
- 17 -
lignessontcrites.Ilestpossibledetlchargerledocument:
http://www.cisco.com/en/US/docs/routers/access/hardware/notes/marcabl.pdf
Puisque le port WAN est gnrique, raliser la jonction avec le botier suppose de choisir le cordon convenable.
HormispourlanormeEIA530,CISCOprvoitsystmatiquementdeuxtypesdecordons,lunfournituneextrmit
ETTD (DTE), lautre fournit une extrmit ETCD (DCE). Pour EIA530, CISCO ne prvoit que le seul cordon de type
ETTD (DTE). Le point commun de ces neuf cordons est davoir une extrmit WIC ( WIC end ) destine tre
connecteauportWANctrouteur,dsignDB60.Lautreextrmit(networkend)dechacundecescordons
utilise le connecteur physique le plus communment rencontr pour la norme considre. Ainsi, dans le cas dEIA
232,lextrmitrseauducordonutiliseunportDB25M(Mpourmle)quandlecordonestdetypeETTD,DB25F(F
pourfemelle)quandlecordonestdetypeETCD.
Pour chacune des cinq normes, CISCO fournit le plan de cblage du cordon. Observez par exemple le circuit
Emissiondedonnes delajonction,dsignleplussouventparTxD(TransmitData).EnEIA232(page22
dudocument)ilcorrespondlabrocheJ141duportDB60.EnEIA449,X21etEIA530,ilestvhiculparunepaire
depuislesbrochesJ111etJ112duconnecteurDB60.EnV35enfin,ilestvhiculparunepairedepuislesbroches
J118 et J117duconnecteurDB60.Enfait,ilyaautantdesolutionsdiffrentesquedenormeslectriques.EIA
449, X21 et EIA530 utilisent les normes lectriques EIA422 et EIA423 (respectivement V11 et V10 lUIT) mais
EIA232 tout comme V35, couvrent la fois les aspects fonctionnels et lectriques de la liaison. Estil possible de
concevoirunportWANpluscompact?Ouilaconditionderduirelenombredebroches.Etpourcefaire,chaque
broche, ou chaque paire de broches dans le cas dun signal vhicul par une paire, doit pouvoir commuter dune
normelectriqueuneautreenfonctiondelanormedeliaisonsriechoisie.Leconnecteurendevientintelligent
etcest pourquoi CISCO a baptis son nouveau connecteur SmartSerial. Ceconnecteurcomporte26broches,
conserve la forme en D, et quipe par exemple la carte WIC2A/S (deux ports WAN Asynchrones ou Synchrones)
objetdelillustrationciaprs:
La carte de type WIC2A/S est dencombrement identique la carte WIC1T prcdente mais la compacit du
connecteurSmartSerialapermisdylogerdeuxports.EnpuisantnouveaudansladocumentationCISCOModular
AccessRouterCableSpecifications,observezlemmecircuitEmissiondedonnespourchacunedescinqnormesde
liaisonsrie.PourtouteslesnormeshormisEIA232,letransportseffectueenmodesymtrique(balanced,ncessite
unepaireparcircuit),lesignalestvhiculparunepairedepuislesbrochesJ101etJ114.EIA232utiliseunmode
asymtrique (unbalanced, signal entre un fil et la masse), le signal est vhicul par un circuit correspondant la
brocheJ101duconnecteurSS(SmartSerial).ObservezgalementquelesbrochesJ101etJ114setrouventtre
envisvissurlesdeuxrangesdebrochesduconnecteur,ceciafindviteraumieuxlescouplagesentrepaireset
doncladiaphonie.LafigurecidessousfournitlesrfrencesdescblesCISCOdanslecasleplusnormal,cest
direlorsquelonsouhaiteuneextrmitrseaudetypeETTD(DTE):
- 18 -
IlexisteunevariantedelanormeEIA530nommeEIA530A.Laprincipalediffrenceconcernelescircuitsdegestion
dumodem.EnEIA530,touslescircuitsdelajonctionsontenmodesymtrique(balanced).EnEIA530A,lescircuits
DTR (Data Terminal Ready), DSR (Data Set Ready) et DCD (Data Carrier Detect)sontasymtriques(unbalanced). Ceci
portesixlenombredecblesprvusparCISCOpourfourniruneextrmitETTD.Ilfautencoreyajouterquatre
cblesprvuslorsquelonsouhaiteuneextrmitrseaudetypeETCD(DCE).PourEIA232, V35, EIA449etEIA
X21,remplacezleslettresMTdelarfrenceparleslettresFCpourobtenirlecordonextrmitETCD(DCE)
correspondant.Leconnecteurdelextrmitrseauestunconnecteurfemelle.IlnexistepasdecordonEIA530
extrmitETCD.
IlrestetraiteruncaspeuutiledanslemondeprofessionnelmaistrsutileensituationdeTPoudetestpratique
lorsdpreuvesvisantunecertification,cequilfautappeleruncasdcole,celuidelasimulationdunlienWANsans
faireappelauxservicesdunoprateur.ParvenirsimulerunlienWANncessitedersoudreunproblmedhorloge
que lon pouvait ignorer (mais mieux vaut le connatre) dans le monde rel. Resituonsdabord le contexte dune
transmissionnumriquesynchronerellesurunlienWAN:
Parmi tous les circuits de jonction, la figure prcdente ne reprsente que les circuits de donnes ainsi que les
circuits dhorloge. Pour tre concret, on a imagin que les ETCD de cet exemple taient dots dun port srie
conforme la norme EIA232. Les cordons utiliss pour relier chaque ETTD lETCD correspondant sont donc de
rfrence CABSS232MT. Mais le raisonnement qui suit ne dpend pas de la norme de liaison srie choisie.
ENI Editions - All rigths reserved - Noba Mafiza
- 19 -
AppuyonsnotrepropossurlefluxdedonnesmisparlETTD11etdestinlETTD21.Chaqueoctetmettreest
prsentsurlesentresparalllesduregistredcalage.Rythmparunehorloge,ceregistreprsentelesbitsde
loctetununsursasortie.LETCD12reoitcesbitsmaisabesoindelhorlogequilescadencepourlesexploiter.
Quifournitcettehorloge?Deuxsolutionssoffrentgnralement:
1)OnconfielafournituredelhorlogeETTD11.Lquipementestdoncplacsursonrglage Horlogeinterne.
Lhorloge H11 dont il est quip lui sert cadencer le registre de srialisation. De plus, cette horloge est mise
disposition de ETCD12 via le circuit HET (Horloge Emission Terminal). ETCD12 est plac sur son rglage Horloge
externe et met profit cette horloge pour exploiter les bits reus. Le flux de donnes cod, et ventuellement
modul,estplacsurlaligne(lerseautendu).IlportelhorlogeH11ensonsein.ETCD22nepeutdmoduleret
dcoderquesildisposedelhorloge.Sapremiretcheconsisteextrairelhorlogedufluxreu,horlogequilmet
disposition de la circuiterie de dmodulation/dcodage mais galement disposition de ETTD21 via le circuit HRM
(HorlogeRceptionModem),ceafinqueETTD21puissecomprendreetexploiterlesbitsreussurlecircuitRD.
2)OnprfreconfierlafournituredelhorlogeETCD12,dontlerglagedhorlogeestplaccettefoissurHorloge
interne.CettehorlogeH12estgalementmisedispositiondeETTD11vialecircuitHEM(HorlogeEmissionModem).
Pourlereste,riennechange.
Il est vraiment important de comprendre que ce choix dhorloge ne concerne que la partie mission. En effet, en
rception, il ny a aucun choix possible. Le flux de donnes arrive porteur de lhorloge. Le second point important
consiste observer que si lETTD est rgl en Horloge interne , lETCD est obligatoirement rgl en horloge
externeetdesdeuxcircuitsHETetHEM,seullecircuitHETestutile.SilonprfrerglerlETCDenhorlogeinterne,
alorslETTDestrglsurHorlogeexterneetseullecircuitHEMestutile.IlsetrouvequeCISCOsurlesinterfaces
WAN de ses routeurs, ne donne pas le choix et prfre laisser la responsabilit de la fourniture de lhorloge aux
ETCD.LinterfaceWANdunrouteurestparconsquenttoujoursenhorlogeexterne,lhorlogeestrcupresurle
circuitHEM.
LapartiemissiondunETTDdoitncessairementtrerelielapartierceptiondelautreETTD,cestlanotionde
croisementdjexplicitelorsquilafalluconnecterlinterfaceLANdurouteur.Observezquedanscetteconfiguration
detransmissionnumriquesurunlienWAN,cestprcismentlapartierseautendu(lapartieligne)quiassurele
croisement:lmetteurctWANdeETCD12estreliaurcepteurdeETCD22etviceversa.
EnsituationdeTP,moinsdtretrsrichementdot,ilfautsimulerlelienWANsansavoirrecoursdesbotiers,
modemsouDSU/CSU.Fortheureusement,CISCOmetdispositiondescordonsextrmitETCD(DCE).Simulerun
lien WAN ncessite de relier les deux interfaces WAN des deux routeurs via deux cordons, lun extrmit ETTD,
lautreextrmitETCD.CequillustrelafigurecidessousenconservantlanormedeliaisonsrieEIA232:
nouveau,seulslescircuitsdedonnesetdhorlogesontreprsents.LefluxdeETTD11versET_D21transitepar
[ETTD11J101ED DB25broche2RD J105ET_D21]grceaucroisementintroduitparlecordonCABSS
232FC.Cefluxestcadencparunehorlogequitransitevialecircuit[ETTD11J102HETDB25broche24HRM
J104ET_D21].LefluxdeET_D21versETTD11transitepardescircuitssymtriques.
Il subsiste cependant un problme : ETTD11 est toujours en horloge externe et attend le cadencement sur son
circuitHEM.CISCOrsoutceproblmedefaonassezparticulireenplaantET_D21suruneconfiguration Horloge
interne puis en connectant cette horloge au circuit HEM qui devient par consquent une sortie (un gnrateur
lectrique).CecircuitnestpascroisparlecordonCABSS232FCetparvientdirectementlentreHEMdeETTD11.
- 20 -
Ainsi,linterfaceWANdurouteurdedroitenestniETTD(lecircuitHEMquisortcaractriseunETCD)niETCD(le
circuitHETquisortcaractriseunETTD),cestpourquoilauteurladsignET_D21.
Sur ET_D21, le passage en horloge interne ainsi que la fourniture de lhorloge sur le circuit HEM est provoqu par
linstructionclockrate enconfigurationdinterfaceWAN,ceciserarexpliqudanslesparagraphesquisuivent.
LimportantestqueET_D21associsoncordondetypeETCDetconvenablementconfigursimuleuneinterface
WANdetypeETCDenhorlogeinterne.OndsignesouventlassociationdedeuxcordonsETTDetETCDparcbles
backtoback(littralementdosdos).
HorscadreCCNAetpourtrecomplet,citonslanormedeliaisonsrieHSSI(HighSpeedSerialInterface)dveloppe
conjointement par les firmes CISCO et T3+ networking et depuis intgre dans les standards de lEIA. Cette
technologie rpond un besoin de bande passante qui couvre les dbits atteints par les liens WAN T3 (44,736
Mbps)etE3(34,368Mbps).
HSSI est une spcification ouverte et opre sur la couche physique du modle OSI. HSSI dfinit la fois les
caractristiquesphysiques(EIA613)etlectriques(EIA612)delinterface.Pouratteindredetelsdbits,lemodede
transmission est bien sr diffrentiel mais HSSI soctroielerenfortdunetechnologieparticulire,diteECL(Emitter
Coupled Logic), pour laquelle ltat satur des transistors est remplac par un tat intermdiaire non satur. La
vitesseygagneaudtrimentdelaconsommation.Leconnecteurutilisestlemmequeceluiutilisparlanorme
SCSI2. Le cble enfin doit utiliser des paires torsades dimpdance caractristique 110 . Saluons le souci des
concepteurs dviter le besoin en adaptateurs mlefemelle en imposant que les cordons HSSI soient
systmatiquementpourvusdeconnecteursmles.
c.ConnecterunPCenmulateurdeterminalauportconsole
Pour les ateliers de cet ouvrage, on se propose dutiliser lmulateur de terminal PuTTY bien connu des
professionnels. Lavantage de cet outil est quil permet autant lmulation dun terminal que ltablissement dune
connexionTelnetouSSHvialerseau.Aumomentoceslignessontcrites,lelogicielenestlaversion0.6.Le
fichier dinstallation putty0.60installer.exe pse 1719 Ko. Le logiciel, une fois install, occupe 3,23 Mo sur le
disquedur.
LienverslesitedetlchargementdePuTTY:
http://www.chiark.greenend.org.uk/~sgtatham/putty/
Unefoisinstalletexcut,ilresteconfigurerPuTTYpourunaccsviaunportsrie,leplusprobablementCOM1:
- 21 -
Biensr,encorefautilavoirlachancededisposerdunPCquipdunportsrieEIA232.Quandcestlecas,ilreste
connecterleportconsoledurouteurauportsrieduPClaideducbleconsole:
Quand PuTTY est prt, quand le port console du routeur est reli au port srie du PC, il reste lancer le terminal
mulencliquantsurleboutonOpenpuis,sicenestdjfait,mettrelerouteursoustension.Ensupposantque
lerouteurtaiteffectivementhorstension,sondmarragesaccompagnedelmissiondediffrentsmessagesvers
leportconsole.Onpeutainsisuivrelensembledelasquencededmarragesurlcranduterminal:
- 22 -
La squence de dmarrage fait lobjet dune description complte au chapitre Gestion de la plateforme logicielle
CISCOIOS,lacapturecidessuscorrespondaudmarragedunrouteurdontlefichierdeconfigurationstartupconfig
nestpasvide.Autrementdit,unadministrateuradjconfigur,peuttrepartiellement,cerouteur.Lasquence
sachve alors par le message Press RETURN to get started! . Si ladministrateur frappe la touche [Entre] du
terminalcemoment,etsaufconfigurationparticulire,linterfaceILCpassedanslemodeutilisateur.
QuefairequandlePCquelonalintentiondutiliserpourmulerunterminalnestpasquipdunportsrie?La
solutionlaplusvidenteestdacqurirunconvertisseurUSBEIA232.
UnefoisleprcieuxconvertisseurconnectsursonportUSBetlepiloteconvenableinstall,encorefautilidentifier
leportsrieassociauconvertisseur.Attention,dbrancherleconvertisseurdunportUSBpourlerebranchersurun
autreportUSBdelammemachineetvoilquelenumrodeportCOMassocichange.Leplussimplequandon
utilisergulirementcesuccdandeportsrieestencoredeleconnecterdefaonsystmatiquesurlemmeport
USB.SurunpostedetravailWindowsXPou7:
EffectuezunclicdroitsurPostedetravaildanslecasdeWindowsXP(surOrdinateurdanslecasdeWindows7)
puisdanslemenucontextuelquisaffiche,choisissezGrer.
Ceci provoque louverture dune console MMC (Microsoft Management Console) quipe du composant logiciel
enfichableGestiondelordinateur.Danslevoletgauche,dployezlen udGestionnairedepriphriques.Dans
- 23 -
le volet central, dployez Ports (COM et LPT). Le port COM affect par Windows au convertisseur apparat ici,
COM3danslecasprsent:
De retour dans la fentre de configuration de PuTTY, slectionnez le n ud Serial dans le volet Category puis
remplacezCOM1parCOM3danslechampSeriallinetoconnectto.
Ces convertisseurs ne grent gnralement que les circuits Emission de donnes et Rception de donnes, les
circuitsquipermettraientdegrerunmodemparexemplesontabsents.Maiscenestgnantenriendanslecas
prsent.
6.LIOS
Commetoutordinateur,unrouteurouuncommutateurnepeuventfonctionnersanssystmedexploitation.Dansle
casdesquipementsCISCO,leconstructeurledsigneparIOS(InternetworkingOperatingSystem)etilestembarqu
surlaplupartdesmatrielsduconstructeurindpendammentdeleurtailleoudeleurtype.
LIOSCISCOestunsystmedexploitationtrspuissantettrscomplexeassociunlangagedeconfigurationtout
aussicomplexe.Beaucoupdecommandes,beaucoupdoptionsetchaquenouvellecommandeentre,lerisquede
compromettrelebonfonctionnementdurseau,celapeutallerjusquisolervotreentreprisedurestedumonde.Ce
nestvidemmentpaslobjetdecetouvrage,maismmeconcevoirunouvragedemillecinqcentpages,ilestpeu
probablequilparviennecouvrirlensembledesfonctionnalitsdelIOS.Ilfautdoncaccepterdenepaspouvoirtre
exhaustifetsentenirdelamthode.
Pourleconfigurer,lexploiterouenassurersamaintenance,ladministrateuraccdelIOSviauneinterfaceenligne
decommande(ILCouCLI:CommandLineInterface).Lescommandesaccessiblesvarientvidemmentselonlaversion
dIOSainsiqueselonlafonctiondelquipementconsidr,routeur,commutateurouencorepointdaccssansfil.
LIOSeststockdanslapartitionmmoireFlash.Pendantledmarragedurouteur,lIOSestchargenmmoirevive.
CepointfaitlobjetdundveloppementcompletdanslechapitreGestiondelaplateformelogicielleCISCOIOS.
7.Lesinterfacesetleurnommage
Premierpointagrable:CISCOIOSemploiedefaonsystmatiqueletermeinterface,cequirendlescommandesde
configurationconnatretransposablesduneplateformeuneautre.Lenommageduneinterfacerespectelaforme
gnralesuivante:
- 24 -
interface
type-interface
(Attention,lecaractre
numro
matrialiselespaceafindesupprimertouteambigut).
ParmilesinterfacesLANnesubsistentgureactuellementquelesinterfacesEthernetmaislvolutiontechnologique
sepoursuitetlenomattribuparCISCOIOSrappelletoujoursleplushautdbitpossible:
interface
ethernet
interface
fastethernet
interface
gigabitethernet
QuandilsagitdelEthernethistorique10Mbps.
numro
Interfacecapabledesdbits10et100Mbps,dbitauto
ngoci.
numro
numro
Interfacecapabledesdbits10,100et1000Mbps,dbit
autongoci.
Le nommage dune interface WAN fait abstraction de la technologie employe en couche physique et de
lencapsulationmiseen uvreparlacoucheliaison:
interface
serial
numro
Hlas, cette belle recherche de systmaticit se brise un peu quand on passe au numro. En effet, la faon de
numroterlesinterfacesdunrouteurdpenddelasrieetdumodledanslasrie.Ilfautdoncserfrerauguide
dinstallation cit un peu plus haut. Le numro peut tre compos de un, deux ou trois chiffres spars par des
caractres/:
Pourlespetitsrouteurs,linterfacepeuttredsigneparunnumrocomposdunseulchiffre.
Quand le numro dinterface est compos de deux chiffres, le chiffre de poids fort dsigne par exemple le
numro de connecteur ( slot ) qui reoit la carte dinterface sur la carte mre, le chiffre de poids faible
dsignelenumrodeportsurcettecartedinterface.
Enfin, les configurations les plus importantes ncessitent une profondeur darborescence 3 niveaux. Le
chiffre de poids fort peut dsigner un module, le chiffre intermdiaire peut dsigner une carte fille, un
adaptateurdeports,unsousmodule,unslot.Lelecteurnoteraavecsoulagementquelonpeutparfaitement
ignorerlesdtailsphysiquesquijustifientcettearborescencedeuxoutroisniveaux.
Selonquelinterfaceestembarquesurlacartemredurouteurousurunmoduleinsrdanslerouteur,ellepeut
tredsigneparunnumrodeuxoutroischiffres.Quelquesoitlechiffreconsidr,lanumrotationdbute
zro.Letableausuivantfournitquelquesexemplesdenommage,correctssuraumoinsunmodlederouteurCISCO,
ainsique,enrfrenceavantpuisquelinterfaceenlignedecommandefaitlobjetduparagraphesuivant,lanotation
abrgedecesmmesnomsdinterface:
interface
ethernet
interface
fastethernet
interface
gigabitethernet
0/1
0/0
int
e0
int
fa0/1
int
gi0/0
Reprenons en exemple le cas de la srie 2800. CISCO nous explique que le format du numro estchssis/slot/port.
Pourlerouteur2801,chssisprendtoujourslavaleur0cartouslesslotssontconstruitsdanslechssis.Quantaux
routeurs2811,2821et2851,certainsslotsappartiennentauchssisetdanscecas,lechiffrechssisprendlavaleur
0.DautresappartiennentaumoduleNM(E)ouaumoduleEVMetdanscecas,lechiffrechssisprendrespectivement
lavaleur1oulavaleur2.
Pourancrercesnotionsdansleconcret,lelecteurpourrasereporterauchapitreAnnexessectionNumrotationdes
interfacesdesrouteursdelasrie2800quifournitunelisteexhaustivedesnumrosdinterfacedecerouteur.
- 25 -
Laconfigurationdurouteur
1.Sourcesdeconfiguration,fichiersdeconfiguration
Pour rsumer de faon lapidaire, lIOS CISCO peut faire, mais sans fichier de configuration ne saurait quoi faire.
Ladministrateurluidictesestcheslaidedecommandesregroupesdansdesfichiersdeconfigurationtoujoursau
nombrededeux:
Lefichierrunningconfig(fichierrundefaonabrge)estlefichierdeconfigurationcourantequelerouteur
utilisependantsonfonctionnement.
Le fichier startupconfig (fichier start de faon abrge), plac en NVRAM, sauvegarde la configuration du
routeurenlabsencedalimentation.
Lefichierrunningconfigestobtenuparcopie(clonage)dufichierstartupconfig,copieralisependantledmarrage
du routeur. Lorsque ladministrateur modifie la configuration du routeur par ajout ou suppression de lignes de
commande, cest le fichier de configuration courante qui est modifi. Les modifications apportes prennent effet
immdiatement,onparledeconfigurationincrmentale.
Entredeuxdmarragesderouteur,lesmodificationsapportesaufichierdeconfigurationcourantesontperduescar
celuici nexistequen mmoire vive. Si ladministrateur souhaite sauvegarder les modifications apportes et donc le
nouveltatdufichierdeconfiguration,ildoitcopierlefichierdeconfigurationcouranteverslefichierdesauvegarde
laidedunecommande:
Router# copy running-config startup-config
Oudefaonabrge:
Router# copy run start
Ladministrateur peut visualiser indiffremment le contenu de chacun de ces fichiers laide de commandes show.
Ainsi,pourvisualiserlefichierdeconfigurationcourante:
Router#show running-config
Quilestpossibledabrgeren:
Router#sh run
Pourvisualiserlefichierdeconfigurationdesauvegarde:
- 1-
Router#show startup-config
Quilestpossibledabrgeren:
Router#sh start
2.LinterfaceenlignedecommandeILC
Linterfaceenlignedecommande(ILCenfranais,CLIenanglais)estlacabinedepilotagedurouteur.laidedILC,
ladministrateurpeutajouterousupprimerdeslignesdecommandeauxfichiersdeconfiguration.Ilpeutaussivrifier
lefonctionnementattendudurouteuroudurseau.partirdelILCdunrouteur,ilpeutouvrirdautressessionsILC
surdautresrouteursviaTelnetouSSH.
CelaatditdanslasectionLerouteur:unordinateurspcialisLesportsdadministration,ladministrateuraccde
linterfaceILCsoitdefaonlocalevialeportconsole,soitparlerseauviaunesessionTelnetouSSH.Aupremier
abord, une telle interface peut sembler dsute. La plupart des configurations actuelles sacrifient la mode des
cliquodromes : des fentres, des onglets, des cases cocher, des boutons radio... Ces environnements,
videmmentattrayantsdansunpremiertemps,neprsententpasquedesavantages.Demandezunadministrateur
systmerompulusagedelinterfaceWindowsXPcequilapensdelanouvelleinterfacedeWindowsVista.Une
bonne part des savoirfaire perdus de faon instantane alors quils navaient t acquis quau prix dune longue
pratique.
Ladministrateuravis,pluttquedeprivilgierlectattrayantduneinterface,doitsinterrogersurlaprennitdes
savoirfairequildoitacqurir.Etdecepointdevue,lILCsortgagnante.Carlesmcanismesmisen uvresontpeu
ouproulesmmespourtouteslesgammesderouteursmaisaussipourtouteslesgammesdecommutateursCISCO.
Mieux, lusage de cette interface sest tellement rpandu quil arrive des constructeurs tiers de proposer leurs
matrielsdotsdinterfacesCISCOlike.
- 2-
LinterfaceILCdelexemplecidessusatouvertevialeportconsole.
3.Lesmodesdurouteur
Cestunefaondeprotgerlquipement,maisaussiderassurerlapersonnequiestenfacedelaconsoleILC,toutes
lescommandesdeconfigurationnesontpasimmdiatementaccessibles.LIOSprvoittroiscontextes,appelsmodes
parCISCO,etquilaissentplusoumoinsdelatitudesladministrateur:
Modeutilisateur (Usermode) : ladministrateur accde au routeur sans risque de corrompre son fonctionnement ou
celui du rseau. En effet, ce mode nautorise aucun changement dans la configuration et permet essentiellement
laffichage dinformations lmentaires. Au dmarrage de la connexion et sauf configuration particulire, lensemble
des moyens daccs linterface ILC, Console, Aux et Telnet/SSH placent linterface ILC dans ce mode. Linvite de
commanderappellequelinterfaceILCestdanslemodeutilisateurdelafaonsuivante:
Modeprivilgi(Privilegedmode):galementappelmodeenabledunomdelacommandequipermetdyentrer,ce
mode offre laccsdescommandesquipeuventremettreenquestionlefonctionnementdurouteuroudurseau.
Quelques exemples de commandes critiques : la commande reload qui provoque un redmarrage du routeur la
commandedebugutileaudpannageoulacomprhensiondephnomnescomplexesmaisquimalutilise,peut
consommer de la ressource processeur au point dempcher lquipement dassurer ses tches normales. Si
ladministrateur peut sinterroger sur lutilit dun mot de passe qui protgerait laccsaumodeutilisateur,ledoute
nest plus permis dans le cas du mode privilgi. Linvite de commande reflte le passage au mode privilgi de la
faonsuivante:
- 3-
Les deux modes utilisateur et privilgi sont parfois appels mode EXEC utilisateur et mode EXEC privilgi (mal
traduitsparmodedexcution),cequirappellesimplementquelIOSexcutelescommandessaisiesdanslinterface
ILCpuisyaffichedesmessagesquirendentcomptedesrsultats.
Mode de configuration globale (Global config mode) : aucun des deux modes utilisateur et privilgi ne permet de
modifierlaconfigurationdelquipement.Ilfautenpasserparlemodedeconfigurationglobaleoulundesessous
modes.Commesonnomlindique,cemodeacceptedescommandesdeconfigurationetcescommandesaffectentle
fonctionnementdurouteurdanssonentier.Laconfigurationfinaledunrouteurncessiteralasaisiedenombreuses
commandes de configuration, chaque commande saisie prend immdiatement effet ds la validation par la touche
[Entre]. On dsigne par configuration incrmentale cette faon de progresser vers la configuration dfinitive.
Lensembledescommandessaisiesdanslemodedeconfigurationglobaleoudanslundesessousmodesmodifiele
fichierdeconfigurationcouranterunningconfig.
Chaquecommandeetdoncgalementchaquecommandedeconfigurationprendeffetdslavalidationparla
touche[Entre],voildequoiinciterladministrateurlaprudence!
nouveau,linvitedecommanderefltelepassageaumodedeconfigurationglobale:
Observez au passage la possibilit offerte ladministrateurdutiliser des commandes abrges. Dans lexemple ci
dessus,ladministrateurprovoquedeuxfoislepassageenmodedeconfigurationglobale.Lapremirefois,illefaiten
utilisant la commande complte. La seconde fois, il obtient le mme effet en utilisant la commande abrge. Une
commande abrge comporte suffisamment de caractres pour permettre lIOS de reconnatre la commande sans
ambigit. Par exemple, la squence de caractres con ne peut pas abrger la commande configure car 44
commandes dIOS (version de lIOS 12.4T) dbutent par cette squence (configure, connect, controller). De la
mmefaon,ilexiste14commandesquidbutentparlasquenceconfavec7motsclsdiffrents:conferencejoin,conference-leave, config-cli,config-register, configuration,configure etconfreg. En revanche, une seule
commandedbuteparlemotclconfiguresuividumotclterminalquildevientpossibledabrgerenconf t.
Sousmodesdeconfiguration:partirdumodedeconfigurationglobale,ildevientpossibledaccderdemultiples
sousmodes,chacundecessousmodeslimiteleprimtredeconfigurationunchampparticulier,cepeuttrepar
exempleuneinterface,unprotocolederoutageouunemthodedaccsaurouteur.Lessousmodescorrespondants
sontrespectivementlessousmodesinterface,routeretline.Ensegmentantainsilaconfiguration,linterfaceILCse
veutstructurante,lobjectiftantbienvidemmentdaiderladministrateurdanssatche.cesujet,lecomportement
delaidefournieparlinterfaceILCestdifiant.toutmoment,ladministrateurpeutsolliciterdelaidedelafaonla
plussimplequisoit,entapantunpointdinterrogation.LarponsedelinterfaceILClimitetoujourslaidefournieau
contexteencours.
Commentons la squence de commandes ciaprs, ligne par ligne, afin de synthtiser ces notions de mode.
nouveau,ilsagitdunrouteursortiducartonetladministrateuraconnectunterminalauportconsole:
- 4-
1.Unappuisurlatouche[Entre]immdiatementaprslaconnexionphysiqueduterminalauportconsoleprovoque
lepassageenmodeutilisateur,cequerappellelinvitedecommandeRouter>.
2.LacommandeenablefaitpasserlinterfaceILCdanslemodeprivilgi,linvitedecommandedevientRouter#.
3. La commande abrge conf t fait passer linterface ILC dans le mode de configuration globale, linvite de
commandedevientRouter(config)#.
4.LinterfaceILCgnreunmessageinvitantentrerlescommandesdeconfigurationraisondunecommandepar
ligneetrappelantquelasquencedetouches[Ctrl]Zfaitsortirdumodedeconfiguration.
5. La commande de configuration hostname est utilise pour attribuer le nom Nantes au routeur en cours de
configuration. Il nyapasdobligation en la matire, mais cela va sans dire, organiser le rseau, cela commence en
nommantchaquerouteurdecerseaulaidedunnomuniqueetquiobisseuneloidenommageuniversellement
acceptedanslentreprise.LelecteurenrecherchedanscedomainepourrautilementsereporterauRFC1178intitul
Choosing a name for your computer . Observez leffet immdiat de la commande, linvite de commande devient
Nantes(config)#.
6. La commandeline console 0faitentrerdansunsousmodedeconfigurationdontlobjetestlaconfigurationde
laccslinterfaceILCvialeportconsole,linvitedecommandedevientNantes(config-line)#.
7.Lacommandepassword eniprotgelaccslinterfaceILCetpuisquelesousmodedeconfigurationestceluiqui
rglelaccsvialeportconsole,cestcetaccsquidornavantneserapossiblequenfournissantlemotdepasseeni.
8.Lacommandeexitfaitremonteraumodedeconfigurationglobale.
9. La commande interface fastethernet 0/0 fait passer linterface ILC dans un sousmode de configuration dont
lobjet est le rglage de tout ce qui trait lunique interface LAN fastethernet 0/0. Linvite de commande devient
Nantes(config-if)#.
10. La commande ip address affecte linterface ladresse IPv4 172.32.1.1/24. La commande no shutdown active
linterface.
11.Ensupposantquelaconfigurationsoitmomentanmentsuspendue,ladministrateurrevientdirectementaumode
privilgilaidedelacombinaisondetouches[Ctrl]Z.
12. Observez une premire manifestation de SYSLOG dont lobjet est de gnrer des messages dinformation ou
davertissement.Unparagraphedecechapitrefournitquelquesdtailscomplmentaires.Bornonsnouslessentiel,il
sagitdunmessagedeniveau5(%SYS5,normalmaisimportant)quipeutparatreambigupuisqueletermeconsole
revient deux fois. En fait, la premire occurrence from console fait rfrence linterface ILC, la seconde
occurrenceby consolefaitrfrencelamthodeouauportutilispourseconnecterlinterfaceILC,danslecas
prsent,leportconsole.
13. Ladministrateur, consciencieux, sauvegarde ensuite son travail de configuration en copiant le fichier de
configurationcouranteverslefichierdesauvegardestartupconfigplacenNVRAM.
14.Finprovisoire.
LelecteurdsireuxdedpasserlesattendusdelacertificationCCNAdanscedomainetrouveraavantage
lirelasectionIdentificationdesutilisateursLesniveauxdeprivilgeduchapitreAdministrationetscurit.
4.Limitationdelaccsauxrouteurs,lesmotsdepasse
Au sortir du carton, le routeur nest protg par aucun mot de passe ce qui ne signifie pas quil ne soit pas dj
protg.Eneffet,pardfaut,seulleportconsolepermetlaccslinterfaceILCetsesdiffrentsmodesutilisateur
puis privilgi et enfin de configuration. Les autres accs Aux et Telnet ne deviennent possibles quaprs leur avoir
associ un mot de passe, ce qui ncessite de la configuration. Ceci est cohrent avec lide que, puisquun accs
physique est ncessaire, la personne qui a obtenu cet accs (il a fallu entrer dans un local technique protg puis
connecter le terminal au port console) est galement qualifie et responsable et que par consquent, tout lui est
permissurlerouteur.
Chargecetadministrateur,cedevraittresapremiretche,deconfigurerlestroismotsdepassequiprotgeront
lestroisaccsConsole,AuxetTelnetpuisdeconfigurerlemotdepassequiprotgeralepassageaumodeprivilgi.
Ce mot de passe est particulier puisquil en existe deux dclinaisons, lune qui apparat en clair dans le fichier de
configuration,lautrequiestchiffreparlIOS.EnexcluantSSHquimriteunparagrapheluiseul,ceciportecinqle
nombredemotsdepassequilestpossibledeconfigurersurlerouteurdontquatreserventuninstantdonn.
a.Protectiondelaccsvialeportconsole
- 5-
Dans le sousmode de configuration de ligne, la commande login permet dactiver le test du mot de passe lors de
louverturedesessionvialeportconsole.Quandcettecommandeloginesttapedansparamtresupplmentaire
commecestlecasici,lemotdepasseestspcifilaidedelacommandepassworddanslemmesousmode.
Mettons profit la capture dcran cidessus pour observer une facult intressante de linterface ILC que lon
pourraitnommerautocompltion:siaucoursdelafrappedunecommande,lenombredecaractresentrsest
suffisantpourquelIOSreconnaisselemotclencoursdefrappesansambigit,alorslafrappedelatouche[Tab]
provoquelaffichagedecemotcldanssonentier.Lemotclpeuttrelacommandeproprementditeouseulement
unparamtreassocilacommande.Danslecasprsent,ladministrateuraentrlescaractrespasspuisfrappla
touche [Tab], lIOS a reconnu la commande password et la affich. Il a rest ladministrateur entrer le mot de
passedsir.Voilunprocdtrscommode,nonpaspourallervitecequiestlobjetdescommandesabrges,
maispourserassurerpendantlapprentissagedecertainescommandes.
b.ProtectiondelaccsvialeportAUX
Rappelonsdabord que si aucun mot de passe nestassociauportaux,louverturedunesessionviaceportest
impossible.Siladministrateurnapaslintentiondemettreleportauxenservice,alorsautantnepasallerplusloin,
cet accs est demble protg. Lorsquon configure un mot de passe sur ce port, lobjectif rel est de permettre
laccstoutenleprotgeant.
c.ProtectiondelaccsviaTelnet
Un accs via Telnet implique de disposer dune interface LAN ou WAN active. La configuration suivante provoque
lactivationdelinterfaceLANFa1/0etluiaffecteladresse172.31.1.1/24:
ce stade, imaginons tenter un accs Telnet via linterface LAN 172.31.1.1 depuis la station dadresse
- 6-
172.31.1.104/24directementconnecteaurseau172.31.1.0/24:
Ainsi,commedanslecasduportaux,louverturedesessionestimpossiblepardfaut.Ladministrateur,deretour
surlasessionILCouvertevialeportconsole,ajouteleslignessuivantes:
LemotclvtyrappellequilsagitdelaccsTelnet(VirtualTeletype).
Les deux arguments 0 4 indiquent que les ports 0 4 (soit cinq ouvertures de session simultanes
possibles)sontlobjetdecetteconfiguration.
Dans un but didactique et afin de dmontrer quil ne suffit pas dactiver ces ports pour rendre laccs possible,
ladministrateuradabordentrlacommandelogin.LIOSsemanifesteenprvenantque,fautedemotdepasse,
laccsrestaitimpossiblesurleslignes26(laligne0estoccupeparleportconsole,laligne1estoccupeparle
port aux, les ports virtuels vty dmarrent par consquent au numro de ligne 2). Si la commandepassword tait
intervenueavantlacommandelogin,ilnyauraitpaseudemessagesdavertissement.
TentonsnouveauunaccsviaTelnetdepuislastation172.31.1.104/24:
Cette fois, la tentative aboutit. Observez que, une fois le mot de passe accept, la session ouverte lest dans le
modeutilisateur.Maisunetentativepourpasserdanslemodeprivilgichoue:
Ceciconfirmequelemodeprivilginestaccessiblepardfautquedepuisunesessionouvertevialeportconsole.
PourrendrepossiblelepassageaumodeprivilgiquelquesoitlecanaldaccslinterfaceILC,portconsole,port
auxouportvty,ilfautcrerlemotdepasseenabledontlobjetestdeprotgercepassage.
- 7-
d.Protectiondupassageaumodeprivilgi
Unepremiremthodeconsistecrercemotdepasseenclairlaidedelacommandeenable password:
Maispuisquecemotdepasseestcritique,ilestsansdouteprfrablequilnapparaissepasenclairdanslesfichiers
deconfiguration.Lacommandeenable secretapportelasolutionenpermettantlasaisieenclairdunmotdepasse
quiapparatraensuitechiffrdanslefichierdeconfigurationcourante.Attentioncarunefoislacommandevalide,ce
mot de passe vient se substituer au mot de passe entr laide de la commande enable password. Au prochain
passageaumodeprivilgi,cestcemotdepassequilfaudraentrer:
ce stade, tentons nouveau un accs Telnet via linterface LAN 172.31.1.1 depuis la station dadresse
172.31.1.104/24directementconnecteaurseau172.31.1.0/24:
Le premier mot de passe saisi est eni ,qui autorise laccs linterface ILC via le port VTY. Le second mot de
passe saisi est cisco. Il choue puisque la commande enable secret sest substitue la commande enable
password. Le troisime mot de passe saisi est ccna , il provoque le passage de linterface ILC dans le mode
privilgi.
Ladministrateurenprofitepourlancerunecommandeshow running-configdontlobjetestdafficherlecontenudu
fichier de configuration courante. Cette commande pourrait tre abrge ensh run. Quand laffichage dpasse la
capacitdelcran,lIOSemplitlcranpuissuspendetaffichelemessage--More--.Ladministrateurpeutalorsau
choix, frapper la touche [Entre] pour obtenir laffichage de la ligne suivante ou frapper la touche [Espace] pour
obtenir laffichage de lcran suivant, ce tant quil reste des commandes du fichier de configuration non encore
affiches.
- 8-
Ilnaurafalluquequelquessecondesaulogicielpourtrouverlemotdepasseccnacorrespondantlasquence
chiffreenMD5.Maisquelelecteurnecdepaslapaniqueetneseprcipitepassurletlphonepourexigerdes
explications du constructeur. Lalgorithme utilis par le logiciel Can & Abel est confondant de simplicit. Il explore
toutes les combinaisons de caractres et pour chacune delles, calcule la squence MD5 correspondante jusqu
trouverlasquenceobjetdelarecherche.Cetalgorithmeestentamavecunelongueursupposede1caractre
(a,b,c...)puissepoursuitavecdeuxcaractres(aa,ab,ac...ba,bb,bc...)etainsidesuite.Cetypedattaqueest
appelattaqueparforcebruteetnadechancesdaboutirquesilemotdepasseestsimpleetcourt.
Imaginonsunmotdepassesur4caractresentrsenminusculeparmilescaractresdelalphabet.Lattaquepar
forcebrutedoitaupireexplorer264 =456976combinaisons.raisonde4000parseconde,performanceobserve
surlamachinedelauteuraumomentoceslignessontcrites,moinsdedeuxminutessuffisentpourparvenirla
solution.
Maismettonsenplaceunepolitiquedescuritetimposonsunelongueurminimalede9caractreschoisisparmiles
caractresaffichablesdelatableASCII.Cettetablecomporte128caractresmaislescaractres031ainsiquele
caractre 127 sont dits non visualisables. Il reste 95 caractres possibles. Lattaque par force brute ignore la
longueurdumotdepasseetilluifautexplorerlalongueur1puislalongueur2etainsidesuite.Calculonsletemps
passer si la machine est capable de 4000 essais par seconde. Rien que pour la longueur 9, il existe
95 9 = 630249409724609375 combinaisons qui rclameront
annes!
Hlasparsoucidecommodit(quinapascraintunjourdoublierunmotdepasse?),denombreusespersonnes
utilisent des mots du langage courant pour crer leur mot de passe. Lattaque par dictionnaire met ce constat
profitettesteunesriedemotsdepassepotentielscontenuedansuneliste.Detelleslistesexistentvidemment
surInternet,enrichiesaveclesmotsdepasseobservssurlaplante.Pourcontrercesattaques,ladministrateur
doitcettefoisimposerdesrglesdecomplexit:lemotdepassedoitcontenirlettresetchiffres,mixerminusculeset
majuscules, utiliser des caractres spciaux, viter les mots du dictionnaire, saler les mots utiliss sil y en a
(cestdireconcatnerlemotutilisavecunmotquiluifaitperdresonsenspremiersanstoutefoisperdrelintrt
de pouvoir tre retenu facilement), remplacer certains caractres par leur correspondance dans lalphabet Leet
(exemples:lalettreMpeuttreremplaceparlasquence(V),lalettreUparlasquence(_)...).
Enfinaletmoinsquedemain,lapuissancedesprocesseursnepermettedescalculsbeaucoupplusrapides,lemot
depasseconstruitensimposantdetellesrglesaencoredebeauxjoursdevantlui.
e.Lisibilitdelensembledesmotsdepasse
CitonscettepossibilitofferteparlIOSpourmieuxlvacuer.Pardfautethormislemotdepasseenablesecret,
lesdiffrentsmotsdepasseapparaissentenclairdanslesfichiersdeconfiguration.Ilestpossibledeprovoquerde
faon globale leur chiffrement laide de la commande de configuration globale service passwordencryption.
Observezlescapturesciaprsralisesavant,pendantetaprslamiseenplaceduservice:
ENI Editions - All rigths reserved - Noba Mafiza
- 9-
Lemotdepasseenablepasswordaffichenclairccnaatremplacparlasquence 020507550A,lIOS
nommemode7cechiffrementcequerappellelechiffre7placimmdiatementavantlasquencechiffre(lechiffre5
rappelaitluiunchiffrementMD5).
Hlas, il ne sagit pas proprement parler dun chiffrement mais dune simple logique combinatoire, comme le
dmontrelusagedeloutilGetpass(tlchargeableetgratuit),quiafficheleslettresdumotdepasseenclairaufur
et mesure que lon tape la squence chiffre. Le seul intrt de cette commande est de protger les mots de
passedesregardsindiscretspardessuslpauledeladministrateurlorsqueceluiciprovoquelaffichagedufichierde
configurationlaidedunecommandeshow runoushow start.
Un mot de passe, une fois chiffr par leservice password-encryption ne sera plus jamais affich en clair dans le
fichierdeconfiguration.Leffetdunecommandeno service password-encryptionsebornedsactiverleserviceet
donclechiffrementdetoutnouveaumotdepasseentr.
Entouttatdecause,ladministrateuravissegarderadestockeroudetransmettredesfichiersdeconfiguration
dIOSsansprcaution.Unemesuresagepeutconsisterpurgertoutecommandedemotdepassechiffrounon,le
fichier rsultant permettant malgr tout de configurer un matriel identique de faon quasi instantane,
ladministrateurcompltantensuitelaconfigurationenrtablissantlesmotsdepasseappropris.
LelecteurdsireuxdedpasserlesattendusdelacertificationCCNAdanscedomainetrouveraintrtlire
la section Identification des utilisateurs Mthode dauthentification locale et Mthode dauthentification
RADIUSduchapitreAdministrationetscurit.
f.CombiendeportsVTY?
BeaucoupdenotionserronescirculentausujetdelaconfigurationdesportsvtysurlesrouteursCISCO.Dabord,
mme si les ports 0 4 sont crs par dfaut (une ligne de commande line vty 0 4 existe dans le fichier de
configurationvierge),lenombredeportsnestabsolumentpaslimitcinqetdpenddelaplateforme.Poursen
convaincre,ilsuffitdedemanderdelaide au moment de la saisie du second nombre reprsentant la bute haute
desportsvtyencoursdeconfiguration:
Ainsi,danslecasdunrouteur2801associuneversion12.4delIOS,onapprendavecsurprisequilestpossible
de configurer 808 ports VTY. Cest probablement trs audel des capacits relles de la plateforme (au sens
ressourcesprocesseuretmmoire)maisaussitrsaudeldesbesoinsduneentreprisenormale.
5.Aide
- 10 -
a.Aidecontextuelle
Laide contextuelle, trs labore, fournie par linterface ILC contribue attnuer son austrit. Un peu comme la
cannesoutientlevieuxmonsieur,laidecontextuelleaideladministrateuraufuretmesurequilprogressedansla
configuration de lquipement. Impossible en effet de mmoriser la syntaxe de milliers de commandes, impossible
galementderesterconnectenpermanencesurlesiteCISCOpourvrifierlasyntaxedetelleoutellecommande.
Latouchemagiquequipermetdedemanderdelaideestsimplementlepointdinterrogation?,onpeutlefrapper
toutmoment,lersultatdiffreselonlecontextecourantdelinterfaceILC.Quelquescontextespossibles:
Commande
Usage
Prompt#help
Affichecommentobtenirdelaide.
Prompt#?
Affichelensembledescommandesadmisesdanslecontextecourant.
Prompt#commande?
Listedetouteslesoptionsadmisespourcettecommande(cepeuttredes
argumentsoudesmotscls).
Prompt#abc?
Listedetouteslescommandesdbutantparlachanedecaractresabc.
Prompt#abc[Tab]
Autocompltion:compltelacommandepartielleabcsilestpossibledele
faire.Exemple:linterfaceILCsubstitueshowlasquencesh[Tab].
Prompt#commandemotcl? Listedetouteslesprochainesoptionsadmisespourcettecommande
associecemotcl.
Enrsum,onpeutclasserlaidecontextuelleendeuxcatgories:
Dune part, laide type vocabulaire, utile quand un doute subsiste sur le motcl en cours de frappe, est
invoquelaidedupointdinterrogationnonprcddunespace.
Dautrepart,laidetypesyntaxe,utilequandilfautconnatrelalistedesmotsclsoudesargumentsadmis
danslecontexte,invoqueparlepointdinterrogationprcdcettefoisdunespace.
Quandlamention<cr>faitpartiedesrponsesfourniesparlaide(CRsignifieCarrierReturnouretourchariot,bref
latouche[Entre]),celasignifiequelacommandeencoursdditionpeutdjtreconsidrecomplte(maiselle
nelestpasobligatoirement)etquelunedeslatitudesdeladministrateurestdefrapperlatouche[Entre]pourque
lIOS excute la commande. Mais ldition de la commande en cours reste possible, soit pour y ajouter dautres
argumentsouoptions,soitpourcorrigerceuxdjentrs.
Commedanslecasdunecommandeshow,quandlalistedesoptionsproposesparlaidedpasselacapacitde
lcran, lIOS remplit lcran puis suspend laffichage de lignes supplmentaires en attente dune action de
ladministrateur.LadernireligneafficheestalorsMore.Deuxactionssontpossiblesdanscecas:
1.Uneactionsurlatouche[Entre]provoquelaffichagedunelignesupplmentaire.
2.Uneactionsurlabarredespace provoque laffichagedeslignessupplmentairesjusqucequun nouvel cran
soitrempli.
Cefaisant,lIOSpagineenquelquesortelaffichage.
b.Historiquedecommandes
LIOS maintient un historique des dernires commandes entres. Par dfaut, les dix dernires commandes sont
conserves, il est possible de modifier cette valeur laide de la commande terminal history size n, o n est le
nombredecommandesmaximalquedoitconserverlIOS:
R8#terminal history size ?
<0-256> Size of history buffer
R8#terminal history size 20
R8#
Les touches [Flche en haut] et [Flche en bas] permettent de se dplacer dans lhistorique des commandes. La
premireactionsur[Flcheenhaut]affichelacommandeprcdente,chaquenouvelleactionaffichelacommande
immdiatementantrieure.Latouche[Flcheenbas]permetderevenirverslescommandeslesplusrcentes.Sur
- 11 -
desterminauxquinesupporteraientpaslactionsurlesflches,ilestpossibledeleursubstituerlescombinaisons
[Ctrl] N (Next,laprochainecommande)et[Ctrl]P(Previous,lacommandeprcdente).Lacombinaisondetouches
[Echap] < fait revenir au dbut de lhistorique tandis que la combinaison [Echap] > fait repartir la fin. Pour tre
complet,mentionnonslapossibilitdafficherlensembleducontenudelhistorique:
R8#show history
copy run start
sh start
show adjacency
show loopback
show access-lists
show aaa
show aaa local
show aaa local user
show aaa local user lockout
show aliases
show cdp
show clock
show buffers
show conf
show controllers
conf t
terminal history size 20
show history
show history all
show history
R8#
c.Aideenligne
Undoutesurlasyntaxedunecommandeetlaidecontextuellevousalaisssurvotrefaim,outoutsimplementle
souhaitdobteniruneinformationdefondsurunecommandedelIOS,alorsrendezvoussurlesiteCLILookup
deCISCO.Ilfautdisposerduncompte,sicenestpaslecas,lapagedaccueilproposedelecrer:
1.Rendezvoussurlesite:https//tools.cisco.com/support/CLILookup/
2.Identifiezvousoucrezuncompte.
3.SlectionnezIOS.
4.SlectionnezlaversionIOSconcerne.
5.Entrezunouplusieursmotsclsdelacommanderecherche.
6.Confirmez.
- 12 -
7.Parmilesrsultatsproposs,slectionnezunrsultatquisemblepertinent.
8. Le site affiche les dtails de la commande recherche. Le boutonView/Print permet dafficher le rsultat dans
unenouvellepage,laprsentationdesdiffrentesrubriquesesttoujourslamme,cequi,avecunpeudhabitude,
rendlexploitationdursultatplusefficace:
- 13 -
6.LescapacitsdditiondelinterfaceILC
Puisque nous ne sommes pas dans une interface graphique, linterface ILC aide ladministrateur diter des
commandesensedotantduncertainnombrederaccourcisclavier.Lespagesquiprcdentontdjoffertloccasion
devrifierleffetdelacommandeexitoudelacombinaisondetouches[Ctrl]Z.Pourmmoire,quelquesoitlemode
courant, utilisateur, privilgi, de configuration, sousmode de configuration, la commande exit fait remonter dun
niveau, la combinaison [Ctrl] Z fait sortir directement de tout mode ou sousmode de configuration pour revenir au
modeprivilgi.
condition de les mmoriser, les raccourcis suivants, ddis aux dplacements dans la ligne en cours ddition,
peuventgalementservlerutiles:
Combinaisondetouches
- 14 -
Actionrsultante
ENI Editions - All rigths reserved - Noba Mafiza
[Ctrl]B
Dplacelecurseurduncaractreverslagauche(B=Backward).
[Ctrl]F
Dplacelecurseurduncaractreversladroite(F=Forward).
[Echap]B
Amnelecurseursurlapremirelettredumotcourant.
[Echap]F
Amnelecurseurimmdiatementaprslederniercaractredumotcourant.
[Ctrl]A
Amnelecurseurendbutdeligne(Atfirst).
[Ctrl]E
Amnelecurseurimmdiatementaprslederniercaractredelaligne(End).
Lesraccourcissuivantseffacentuncaractreouunepartiedemotouunepartiedeligne:
Combinaisondetouches
Actionrsultante
[Ctrl]D
Supprimelecaractresitusouslecurseur(Delete).
[Ctrl]H
Supprimelecaractrequiprcdelecurseur,mmeeffetquelatouche[Retour
arrire].
[Ctrl]W
Supprimetouslescaractresdumotcourantquiprcdentlecurseur.
[Echap]D
Supprimetouslescaractresdumotcourantquisuiventlecurseurainsiquele
caractresitusouslecurseur.
[Ctrl]K
Supprimelatotalitdescaractressitusentrelecurseuretlafindeligne,
caractresitusouslecurseurinclus.
[Ctrl]U
Supprimelatotalitdescaractressitusentrelecurseuretledbutdeligne.
Lescaractressontplacsdansuntamponquilestpossiblederappelerlaide
- 15 -
delacombinaison[Ctrl]Y.
7.Atelier:PriseenmaindelinterfaceILC
a.Dfinitionduncontextedatelier
Dslepremierouvragedecettesrie,lesoucidelauteuratdepermettreltudiantdeprogresserchezluiavec
sesmoyenspropres.LesatelierspropossdanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection
CertificationsauxEditionsENIfaisaientunabondantusagedeVMwareWorkstation.Pourmmoire,VMwareinstall
sur une machine hte, permet dy crer autant de machines virtuelles que ncessaire et que peut en supporter
lhte. Chaque machine virtuelle est un espace clos dans lequel il est possible dinstaller la plupart des systmes
dexploitation que connat le PC (lditeur en revendique deux cent). Si la machine hte dispose de plusieurs
processeurs(casdesmachinesdualcoreetquadcore,alorsilestpossibledeconfigurerlamachinevirtuelle
pour quelle profite dun, de deux ou de quatre processeurs, cela na videmment dintrt que si le systme
dexploitation install sur la machine virtuelle est conu pour tirer parti de plusieurs processeurs (Windows 2000
ProfessionnelouWindowsXPparexemplepeuventmettreprofitdeuxprocesseurs,maisilfautsetournerversdes
versions Serveur pour en supporter davantage). La quantit de mmoire disponible sur la machine hte est
dterminantemaissilesystmedexploitation,commecestencoreleplussouventlecasaumomentoceslignes
sontcrites,estuneversion32bits,alorslePChteembarqueaumaximum232 =4GodeRAM,limitequinesera
franchiequavecladoptiondessystmesdexploitation64bits.
Lessentiel est encore venir : chaque machine virtuelle peut tre dote dun ou plusieurs adaptateurs rseaux
virtuels.Ladministrateurdcideensuitedeconnecterchacundecesadaptateurslundesconcentrateursvirtuels,
VMwareWorkstationenfournitdixnotsVMnet0VMnet9.Chacundecesconcentrateurspeuttresontourreli
un adaptateur rseau virtuel install cette fois dans la machine hte (not VMware virtual ethernet adapter for
VMnetx . Parmi les nombreuses autres possibilits, notons celle qui consiste tablir un lien de type pont
( bridge )entre ladaptateur rseau physique de la machine hte et lundesconcentrateursvirtuelsVMnetx.En
final,touteconfigurationderseaulocalmlantmachinesvirtuellesetlamachinephysiqueestdoncfacileraliser.
Quant aux routeurs, le premier ouvrage proposait des mises en situation ralises laide de cet excellent outil
propos par CISCO et nomm Packet Tracer. Mais il ne sagissait que de simulations et ltudiant lecteur engag
dans le cursus CISCO pouvait regretter de devoir patienter jusqu une mise en situation relle propose par
lorganismedeformationpourprendrelamainsurdesrouteursphysiques.Cesecondouvrageproposedepasser
delasimulationlmulationlaidedeloutilGNS3(GraphicalNetworkSimulator)quilestpossibledetlchargersur
lesite:http://www.gns3.net/
GNS3sedfinitcommeunsimulateurderseaugraphique,maisenralit,ilsagitpluttduneinterfacequifacilite
la mise en uvre de Dynamips, logiciel qui permet dmulerunrouteurphysique.Dynamipsestaurouteurceque
VMwareestauPC.VMwarepermetdecrerunemachinevirtuelledanslaquelleladministrateurinstalleunsystme
dexploitationcommeilleferaitsurunPCrel.Delammefaon,Dynamipspermetdecrerunrouteurvirtuelsur
lequelladministrateurchargelimageIOSconvenablecommeilleferaitsurunrouteurrel.Etcestltoutlintrt
pdagogique.ApprendresurunPCvirtuelmuldansVMwarecrelesmmessavoirfairequapprendresurunPC
physique. De faon analogue, un routeur mul laide de Dynamips se comporte strictement comme le routeur
physique porteur de la mme image IOS, les apprentissages sont donc les mmes mais il devient possible de les
dlocaliser. Cest un peu comme si on permettait ltudiantdemmener le bundle (ensemble de matriels CISCO
que doit acqurir tout organisme de formation qui adhre lacadmie CISCO) sous le bras ! Merci donc son
crateurM.ChristopheFILLOTdelUniversitdeTechnologiedeCompigne.
Dynamips est associ Dynagen, une interface crite dans le langage de programmation Python et qui facilite
linterconnexion de plusieurs machines mules dune mme topologie. GNS3, galement crit en langage Python,
fournit une interface utilisateur graphique facilitant lexploitation de Dynamips/Dynagen. Dynamips est capable
dmuleractuellementlesplatesformes1700,2600,3600,3700et7200.
LensembledesateliersdecetouvrageatralissurunportablequipdunprocesseurIntelT9600DualCore
cadenc 2,8 GHz et qui embarquait 4 Go de RAM. Le systme dexploitation hte a t Windows 7 en version
dvaluation7100.VMwareWorkstationtaitenversion6.5(uneversion7estdisponible).GNS3pourWindowstait
enversion0.6.1.
LerouteurmulrsultedelassociationdeDynamipsetduneimageIOSvalide.Sicelaneposeaucunedifficult
pour un client CISCO, il en va en principe autrement pour ltudiant administrateur en devenir. Sans intention de
- 16 -
vouloir encourager lutilisation de licences illgitimes, lauteur rappelle quaucune des machines virtuelles, PC ou
routeur, de cet ouvrage ne sera jamais une machine de production. Tout au plus une construction didactique
phmre,supportdapprentissage.
b.PrparationdesmachinesvirtuellesVMware
Lesmachinesvirtuellesprparesparlauteurafindeservirdecadreauxateliersdecetouvragesontinventories
dansletableaucidessous:
VMSRV01
VMWKS02
VMWKS03
PC8,11,12,21,22si
Windows
PCL8,11,12,21,22si
Linux
Nombreprocesseurs
Mmoirevive
384Mo
1024Mo
128Mo
64MosiW2000
48MosiLinux
Disque
8Go
6Go
6Go
6Go
W2000SRV
XPProfSP3
W2000ProfSP4
W2000ProfSP4
NombreAdaptateurs
rseau
Systmedexploitation
OuUbuntu
Logicielsnotables
Services
rseau
GNS3
ServeurSYSLOG
(Kiwi)
ServeurRADIUS
(RADL)
PuTTY
Wireshark
Chacun des ateliers proposs ensuite ne ncessitera pas dactiver ensemble toutes ces machines fort
heureusement. chaque instant, le souci doit tre dconomiser la quantit de mmoire affecte aux diffrentes
machines. Cest ainsi que les machines PC8, PC11, PC12, PC21, PC22 qui ne servent qu tester la connectivit
doiventtredesmachinesWeightWatchers.Nhsitezpasdsactiverdesservicesinutiles(danscecontexte)
telsque:
Clientdesuivideliendistribu.
Misesjourautomatiques.
Planificateurdetches.
AgentdestratgieIpsec.
cesujet,lauteurutilisedepuispeulesservicesdeTuneUp2010surlamachinehte.Ilaainsittrsfacilede
dsactivertoutcequinesertquelapparenceauprofitdunemachinedevenuetrsfluide,ilfautsavoircequelon
veut.
PC11,PC12,PC21etPC22peuventtreobtenustrssimplementparclonagedelamachinePC8.Deplus,parmiles
optionsproposeslorsduclonage,lunedelles permet, en conservant un lien avec la machine dorigine,dobtenir
unenouvellemachineavectrspeudespacedisqueconsomm:
- 17 -
Les frus de Linux gagneront sans doute reproduire ces mises en situation sous leur systme dexploitation
prfr.Poursapart,lauteuravoueunecertainerticence,toujoursgnparlemilitantisme,quelquefoisassezpeu
professionnel,desporteursdelabonnenouvelledumanchot.Maislarecherchedefficacitetdecompacitprime.
Cest pourquoi nous avons plac en tlchargement sur le site ENI une machine virtuelle prte lemploi (merci
Gatandavoirprparcettemachine)danslarchivewm_ubuntu.zip.Unedocumentationestincluseauformatpdf.
SousVMware,ouvrezcettemachineUbuntupuisclonezlaafindeproduirelesmachinesPCL8,PCL11,PCL12,PCL21
et PCL22. Pour chacune des machines, voici la squence de commandes ncessaires afin dadapter la machine au
contexte:
Login : ubuntu
Mot de passe : sunrise
$ ifconfig
a
Linvitedecommandes(le prompt) estmatrialisparlesymbole$.Lesystmerenvoielalistedesinterfaces
rseauquilconnat,notezlenumrodordreaffectlinterfaceEthernet,parexempleeth4.
$ sudo
nano
/etc/network/interfaces
Nanoestunditeurdetexte.Sudoinformelesystmedexploitationquildoitexcuterlacommandeavecleniveau
de privilge root (administrateur). Le mot de passe root est galement sunrise. Le fichier ouvert contient la
configuration courante des interfaces. Sous le label # The primary network interface, remplacez les deux
occurrencesethxpareth4puisadaptezlaconfigurationIP.Sortezpar[Ctrl]X,Ypouryesetvalidezparlatouche
[Entre].Redmarrezlapartierseauafinderendreeffectivelanouvelleconfigurationlaidedelacommande:
$ sudo
/etc/init.d/networking
restart
Lesystmerpond:
* Reconfiguring network interfaces -
[OK]
Voil votre machine prte lemploi. Attention la commande ping qui, la diffrence des systmes Windows,
gnredesrequtesdefaoncontinue(unecommandepingtprovoqueraitlemmeeffetsousWindows)etdont
onsortlaidedelacombinaisondetouches[Ctrl]C.AttentiongalementaufaitquelesoutilsdeVMware( VM
Tools ) ne sont pas installs sur cette machine. Par consquent, une fois que la fentre correspondante cette
machine a le focus, la seule faon den sortir est la combinaison de touches [Ctrl][Alt]. La barre dtat de VMware
rappellecetteparticularit.
linverse des machines PC8 PC22 (ou PCL8 PCL22), la machine virtuelle nomme VMWKS02 accueille
GNS3/Dynamips et a lambition de parvenir faire fonctionner des topologies comprenant jusqu 6 routeurs. Ceci
justifieuneconfigurationplusmuscle:1GodeRAMetdeuxprocesseurs.LamachineVMWKS03neseraactiveque
pendant les ateliers organiss autour de SYSLOG (journalisation dvnements) et RADIUS (authentification des
utilisateurs).Enfin,lamachineVMSRV01hbergeunWindows2000Server,cequipeutsavrerutilesilfallaitmettre
enplaceunquelconqueservicerseau(DHCP,DNS...).
- 18 -
Nous ne dtaillerons pas toutes les tapes ncessaires la prparation dun tel ensemble de machines, laide
fournie par VMware est trs complte. Il peut tre agrable douvrir plusieurs instances de VMware, cest le cas
quand on a la chance de disposer de plusieurs crans sur la mme machine hte. Ceci sopre laide de la
commandedemenuVMwareFileNewWindow.Ainsi,danslexemplecidessous,uneinstanceestouvertesur
unetopologiederouteurscredansGNS3hbergparlamachinevirtuelleVMWKS02,lautreinstancedeVMware
estouvertesurunequipe(team)composedesmachinesPC8,PC11,PC12,PC21etPC22:
Rassemblerplusieursmachinesvirtuellesdansunequipeprocureuncertainnombredavantages:
Ladministrateurpeutprovoquerledmarragedelquipeparuneseuleaction.LordrededmarragedesPC
dans lquipe est prdtermin. De plus, ladministrateur peut ajuster le temps qui scoule entre le
dmarragedunPCetledmarrageduPCsuivant(10secondespardfaut).
LesmachinesvirtuellesdunequipepeuventtreconnectesunsegmentLANdontladministrateurpeut
lafoisrglerlabandepassanteetletauxderreur!
Le focus est port sur une machine de lquipe mais les autres machines apparaissant sous forme de
vignettesquireprsententlactivitrelledelcran.
c.PrparationdesrseauxvirtuelsVMware
Il sagit dassurer la connectivit convenable des machines virtuelles entre elles, des machines virtuelles avec la
machine hte voire des machines virtuelles avec le ou les adaptateurs rseau physique qui quipent la machine
hte. Le tableau cidessous tente dinventorier les connexions tablies, il semblera probablement nbuleux au
lecteur,maisilprendradusensmesuredelavancedanslatelier:
Hte
VMSRV01
VMWKS02
VMnet0
BRIDGE
VMnet1
NIC11
VMnet2
NIC12
VMnet3
NIC21
VMnet4
NIC22
VMWKS03
PC8
PC11
PC12
PC21
PC22
NIC11
NIC12
NIC21
NIC22
VMnet5
- 19 -
VMnet6
VMnet7
VMnet8
NIC8
NIC8
NIC8
VMnet9
ChacunedescinqmachinesPC(L)xestrelielamachinequihbergeGNS3.Lesnomsdonnsauxadaptateurs
rseau (NIC : Network Interface Card) le sont au sein du systme dexploitation qui quipe la machine
correspondante.DanslamachineVMWKS02,ilestconseilldajouterunseuladaptateurrseaulafois.Dtaillons
laprocduredajoutdunadaptateurrseaudanslamachineVMWKS02:
LamachinevirtuelleVMWKS02estactive.Commenonsparuntatdeslieux.Effectuezunclicdroitsurlongletde
lamachinevirtuellepuisslectionnezSettings:
DanslafentreVirtualMachineSettings,slectionnezllmentNetworkAdapter.Faisonslechoixdeconnecter
cettecartevirtuelleaurseauphysiquedelamachinehteenslectionnantleboutonradioBridged.
Surlebureaudelamachinevirtuelle,effectuezunclicdroitsurlicneFavorisrseauetslectionnezProprits:
- 20 -
RenommezladaptateurrseauBRIDGE(effectuezunclicdroitsurladaptateurpuisslectionnezRenommer)afin
dviterdeconfondrecetadaptateurexistantaveclesadaptateursvenir.
Revenez aux rglages de la machine virtuelle et cliquez sur Add. Ajoutez un adaptateur rseau virtuel et
connectezleauconcentrateurVMnet1:
Revenez au bureau de la machine virtuelle, effectuez un clic droit sur licne Favoris rseau et slectionnez
Proprits.RenommezladaptateurajoutenNIC11:
Renouvelez lensemble de la squence jusqu ce que la machine VMWKS02 dispose de ses cinq adaptateurs
NIC11, NIC12, NIC21, NIC22 et NIC8, chaque adaptateur tant connect au concentrateur VMnet convenable,
selonletableaudaffectationdesVMnetfourniendbutdeparagraphe:
DepuislemenuDmarrerdelastationhte,lancezlapplicationVirtualNetworkEditordeVMware.Attention,si
lastationhteestsousWindowsVistaouWindows7,celancementdoitsoprerenmodeadministrateurcequi
estobtenueneffectuantunclicdroitsurleraccourcidelapplication:
- 21 -
DelafentreVirtualNetworkEditor,slectionnezlongletNATetdsactiveztoutetranslationdadressesNAT:
Ilestpossibledtabliruneconnexionrseauentrelamachinehteetunouplusieursdesconcentrateursvirtuels
VMnet.Parexemple,imaginonsquelonsouhaitetablirunlienavecVMnet8:
- 22 -
De retour la machine hte, effectuez un clic droit sur licne Rseau ou Favoris rseau et slectionnez
Proprits.ConstatezlacrationdunouveladaptateuretrenommezleenNIC8afindenepasleconfondreavec
dautresadaptateursvenir:
Adaptez la configuration IP de NIC8 aux tests en cours. Imaginons par exemple quil faille ouvrir une session
TelnetsurunrouteurmuldansGNS3etdontleportf0/0dadresseIP10.0.8.1/24soitconnectVMnet8.Dans
cecas,ilfautaffecterlunedesadressesdurseau10.0.8.0/24ladaptateurNIC8delamachinehte.
Ouvrez nouveau Virtual Network Editor, slectionnez longlet Host Virtual Adapters et constatez que
ladaptateur virtuel New device est devenu ladaptateur NIC8. Slectionnez longlet DHCP. Otez tout rseau
virtuel,cliquezsurStoppourarrterleservicepuisconfirmezencliquantsurAppliquer:
- 23 -
FermezlapplicationVirtualNetworkEditor.
d.PrparationducontexteGNS3/Dynamips
Sicenestdjfait,tlchargezPuTTYsurlesite:http://www.chiark.greenend.org.uk/~sgtatham/putty/
InstallezPuTTYsurlamachinevirtuelleVMWKS02.VMwareoffredeuxpossibilitsquandilfautcopierdesfichiers
depuislamachinehteversunemachinevirtuelle:
1. Partager un rpertoire de la machine hte que la machine virtuelle voit comme un lecteur rseau. Cette
fonctionnalit, appele Shared folders dans VMware, sactive depuis longlet Options de la fentre Virtual
MachineSettings.
2.SilesoutilsVMware(VMTools) onttinstallssurlamachinevirtuelle,alorsloprationGlisserDposer
fonctionneentrelamachinehteetlesmachinesvirtuelles.
- 24 -
Lacommandepourleterminal(point3)permetdesubstituerPuTTYauTelnetintgrdusystmedexploitation.
Les diffrents rpertoires GNS3_Project, GNS3_IOS, GNS3_Work ont t crs au pralable. Respectez bien les
nomspropossafindeconserverlacohrenceaveclasuitedelouvrage(points5,6et8).Enfinal,cliquezsurle
boutonTesterpourvrifierlelancementdeDynamips.GNS3doitrpondreDynamipssuccessfullystarted.
Linstallation de GNS3 propose ensuite de renseigner limage IOS utiliser pour chaque plateforme quil lui est
possible dmuler. Diffrez ce paramtrage, nous y reviendrons ultrieurement car il reste accessible via la
commandedemenuEditerImagesIOSethyperviseurs.
Sur la machine hte, vous tes parvenu rcuprer une image CISCO IOS valide. Il est utile den vrifier les
fonctionnalitslaidedeloutilCiscoFeatureNavigator(entrerdansunmoteurderecherchepourtrouverle
lien):
Parmi les caractristiques fournies, lune intresse le fonctionnement de Dynamips : il sagit de la quantit de
mmoire RAM ncessaire pour assurer le bon fonctionnement de lIOS en question. Dans lexemple cidessus,
limage IOS est c2600ik9smz.12240a.bin destine faire fonctionner un routeur mul de type 2621. Loutil
CISCOFeatureNavigatorinformequelaplateformedoitdisposerde48ModeRAM.
Placez la prcieuse image dans le rpertoire GNS3_IOS de la machine virtuelle VMWKS02. Revenez GNS3 et
- 25 -
lancezlacommandedemenuEditerImagesIOSethyperviseurs.ParamtrezGNS3afinquilutilisepardfaut
cetteimagepourlaplateforme2600etenluiaffectant48Modemmoirevive:
Ouvrez le gestionnaire de symboles via la commande de menu Editer Gestionnaire de symboles. Dans les
symboles disponibles, slectionnez Computer et transfrez ce symbole du ct Nuds personnaliss. Double
cliquez sur Computer du ct N uds personnaliss (au point 4) puis remplacez le type Nud dcoratif par le
typeNuagedelalistedroulante.Appliquezetfermez:
- 26 -
Glissez/dposez un routeur C2600 sur la zone centrale de GNS3, zone destine recevoir votre topologie. Le
routeur est numrot automatiquement R0. Effectuez un clic droit sur R0 et slectionnez Configurer. Dans la
fentre Configurateur de nuds, observez sans modifier longlet Mmoires et disques et notamment le
dimensionnementdesdeuxpartitionsRAMetNVRAMdurouteur.DanslongletSlots,observezquepardfaut,le
seul slot occup lest par une carte deux ports Fast Ethernet. Nous aurons besoin galement de ports WAN.
DanslasousfentreWICs,ajoutezunecarteWIC2T(deuxportsdetypeserial).Appliquezetfermez:
Glissez/dposezunPCsurlatopologie.PourGNS3,ilsagitdunnuage(Cloud)cequiexpliquequilsoitnumrot
C0. Effectuez un clic droit sur C0 et slectionnez Configurer. Dans la fentre Configurateur de nuds,
slectionnez longlet NIO Ethernet. Droulez la liste des adaptateurs rseau ports par la machine virtuelle
VMWKS02.Vousdevezyretrouverlesadaptateursprcdemmentcrs,cestdireNIC8,NIC11,NIC12,NIC21,
NIC22.SlectionnezNIC8puiscliquezsurAjouter.Ainsi,cenuageseradsormaisconnectladaptateurvirtuel
NIC8etdoncauconcentrateurVMnet8.Appliquezetfermez:
- 27 -
CliquezsurleboutondebarredoutilsAjouterunlien.Danslemenucontextuelquisaffiche,slectionnezManual.
Le curseur devient une croix et le bouton de barre doutils reste rouge pour indiquer que GNS3 est en mode
ddition de liens. Cliquez sur R0 et slectionnez le port Ethernet f0/0. Une connexion apparat depuis R0.
EmmenezcetteconnexionjusquC0.ParvenuC0,GNS3proposeluniqueportaffectcenuage.Slectionnez
leportpropos.UneconnexionEthernetestmaintenanttablieentreVMnet8etf0/0deR0.Cliqueznouveau
surleboutondelabarredoutilsAjouterunlienafindesortirdumodeditiondeliens:
- 28 -
EffectuezunclicdroitsurR0etslectionnezChangerlenomdhte.RenommezR0enR8.Faitesdemmeafinde
renommerC0enPCL8.Observezgalementquilestpossibledemodifierlapositiondestiquettesafindviterle
chevauchement avec des liens. En final, vous devriez parvenir une topologie comparable celle propose au
point5delafigureciaprs:
Mettez en service puis rduisez en barre des tches le Gestionnaire de tches de Windows afin de surveiller
lactivitduprocesseurdelamachinevirtuelleVMWKS02:
Ilesttempsdeprovoquerledmarragedenotrenouveaurouteursortiducarton.EffectuezunclicdroitsurR8et
slectionnezDmarrer.Nefaitesrienpendantquelquesinstants.Ilestprobablequecedmarrageconsommela
plusgrandepartiedesressourcesdevotremachine.UnebizarreriedeprogrammationfaitqueDynamipsrclame
lexclusivitduprocesseurtantquaucunevaleurtempsmortnatcalcule.Effectuezunclicdroitnouveau
sur R8 et slectionnez IdlePC. Dynamips se lance dans une surveillance de lactivit du processeur jusqu
dtecter des boucles de programmation o le processeur est consomm vide . De cette surveillance,
Dynamipsdduituncertainnombredevaleurstemporelles(point6).Lesvaleursmarquesdunetoilesontcelles
qui prsentent une probabilit potentielle de relchement adquat de la ressource processeur par Dynamips. Si
vous nobservez aucune toile, relancez le calcul et ce, autant de fois que ncessaire. Si cest votre jour de
chance, une, voire plusieurs valeurs IdlePC avec toile apparaissent dans la liste. Slectionnez une de ces
valeursetconfirmez(point8).
- 29 -
VousdevriezobserverunebaissesignificativedelactivitprocesseurlafoispourlamachinevirtuelleVMWKS02
et pour la machine hte. Lancez la commande de menu Editer Images IOS et hyperviseurs. Dans la fentre
ImagesIOSethyperviseurs,doublecliquezsurlimageassocielaplateformeencoursdmulationpourR8.
Observez que la valeur IDLE PC est dornavant renseigne (comparez avec cette mme fentre au dbut de
latelier).Ainsi,toutenouvelleinstancederouteurissuedecetteplateformeetdposesurlatopologiedispose
dembledunevaleurIdePC,ladministrateurnapasprovoquerunnouveaucalcul:
- 30 -
ce stade, nous avons bien mrit de pouvoir lancer la console et ainsi taper nos premires commandes.
Effectuez un clic droit sur le routeur R8 et slectionnez Console. Si tout va bien, cest magique, nous voil aux
commandesdunrouteur2621.Rpondeznolapropositiondesetup,ilseratoujourstempsdyrevenirensuite.
Pressezlatouche[Entre]etaprsquelquesinstantsinterminables,R8consentafficherlinvitedecommandes.
LinterfaceILCestenmodeutilisateur.Passezenmodeprivilgipuisenmodedeconfigurationafindeconfigurer
linterfacef0/0,cestdirelinterfaceconnecteVMnet8doncPCL8:
Ilesttempsdesauvegardernotreprojet.CliquezsurleboutonSauverlatopologiedelabarredoutils.Saisissez
un nom qui vous convienne et confirmez. Cliquez sur le bouton Extract/Import all startupconfigs de la barre
doutils (point 5). Dans la fentre Configs,slectionnez Extracting to a directory et confirmez. Dans la fentre
Rechercherundossier,choisissezparexempleGNS3_Worketconfirmez.ObservezlepanneauConsolesituau
basdelafentreGNS3:unmessageconfirmequelexportationsestbienralise.Dsormais,chaquenouvelle
sauvegarde de la topologie entranera une extraction des fichiers de configuration startupconfigs vers le
rpertoireGNS3_Worksansinterventiondeladministrateur:
laconditionderglerlaconfigurationIPdeladaptateurvirtuelNIC8danslamachinevirtuelleVMWKS02,ilest
possibledepinguerlerouteurR8depuisVMWKS02:
- 31 -
IlsetrouvequesurleconcentrateurVMnet8,nousavonsgalementplacunadaptateurrseauvirtuelhberg
par la machine hte. Cet adaptateur a t nomm NIC8. la condition de rgler la configuration IP de
ladaptateurvirtuelNIC8danslamachinehte,ilestpossibledepinguerlerouteurR8depuislamachinehte:
- 32 -
NactivezladaptateurNIC8delamachinehtequaumomentdevousenservirdanslunedesmisesensituation
etdsactivezleensuite.Eneffet,quandcetadaptateurestactiv,lesystmedexploitationhtedisposededeux
passerelles (celle de ladaptateur rseau physique + celle de ladaptateur virtuel) ce qui nest une situation
acceptable que si les passerelles sont dans le mme rseau. Dans le cas contraire, il est fort probable que la
machinehtenepuisseplusparexemplesortirsurInternet.
Maisleplusintressantestencorevenir.OuvrezunesecondeinstancedeVMwarelaidedelacommandede
menuFileNewWindow.laidedecetteinstance,ouvrezlquipedePCdestineauxtests.Pourlemoment,
seul PCL8 est utile. Rglez la configuration IP de ladaptateur rseau virtuel NIC8 qui quipe PCL8 : {@IP
10.0.8.2/24Passerelle10.0.8.1}.TentezunpingversR8:
Voustesparvenucestade.Sincrement,flicitationsetbravodevosefforts.Lauteuraconsciencequelamise
enplacedececontextetaitlourde.Maisavouezquelesperspectivesouvertesaveccetteplateformemritent
quelonsacharne!
e.Lemodesetup
Aucun administrateur chevronn nutiliserait le mode setup pour paramtrer un routeur. Ce paragraphe na donc
pourseulobjetquedepouvoirrpondreauxquelquesquestionsqueltudiantestsusceptiblederencontrerdans
lespreuvesdecertification.Lemodesetupinverselesrlesenposantdesquestionsladministrateurdanslebut
debtiruneconfigurationminimale.LIOSproposedactiverlemodesetupquandiltrouveunfichierdeconfiguration
startupconfig vide pendant la squence de dmarrage. Cest toujours le cas dun routeur sorti du carton, cest
galementlecasdunrouteursurlequelladministrateurauraittaplacommandeerasestart:
R8#erase ?
/all
/no-squeeze-reserve-space
flash:
nvram:
pram:
startup-config
R8#erase startup-config ?
<cr>
Au cas peu probable o ladministrateur souhaiterait relancer le mode setup, cela reste possible laide de la
commandeEXECsetupentrerenmodeprivilgi.
nimporte quel moment du mode setup, la combinaison de touches [Ctrl] C permet de mettre fin au processus.
Naturellement,lesquestionsposesdiffrentselonletypedeplateformeetlaversiondIOS.Dansnotremiseen
situationsimulelaidedeGNS3(Plateforme2621,IOS12.2(40a)),lesquestionsonttlessuivantes:
Connected to Dynamips VM "R8" (ID 2, type c2600) - Console port
% Please answer yes or no.
Would you like to enter the initial configuration dialog? [yes/no]: yes
At any point you may enter a question mark ? for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets [].
Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system
- 33 -
IP-Address
unassigned
unassigned
NO
NO
unset
unset
up
up
interface? [yes]: no
- 34 -
up
up
interface FastEthernet0/1
shutdown
no ip address
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
End
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.
Enter your selection [2]:
Building configuration...
Use the enabled mode configure command to modify this configuration.
Press RETURN to get started!
Observez les choix proposs la fin du processus: le choix 0 ignore les rponses fournies et renvoie linvitede
commandedelinterfaceILC,lechoix1ignorelesrponsesetprovoqueunnouveauprocessussetup,enfinlechoix
2metenplacelaconfigurationbtielaidedumodesetupensauvegardantlefichierrsultantenNVRAM.
Il est intressant de constater que le choix 2 est le seul cas o lIOS crit la fois dans le fichier runningconfig
prsentenRAMetdanslefichierstartupconfigprsentenNVRAM.
Silelecteurnedisposepouruniqueressourcequeceseulouvrage,alorsilpeuttudierlexemplefourni.Biensr,il
gagnerareproduireaumoinsunefoisleprocessussurunrouteurreloumul.
f.Accderlinterfacepuispasserenmodeprivilgi
Profitonsdurouteurdontnousdisposonspournousentranerenprotgerlesaccs.
ReproduisezsurR8lessquencesdecommandessuivantes:
R8>en
R8#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R8(config)#line vty 0 4
R8(config-line)#logging synchronous
R8(config-line)#exec-timeout 0 0
R8(config-line)#password ccna
R8(config-line)#login
R8(config-line)#exit
R8(config)#enable secret ccna
R8(config)#^Z
*Mar 1 09:04:20.924: %SYS-5-CONFIG_I: Configured from console by console
R8#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
SauvegardezencliquantsurleboutonSauverlatopologiedelabarredoutilsdeGNS3.
g.Miseprofitdelautocompltion,deladtectionderreursdesaisie,delaide
Vousavezsansdouteobservdiffrentsmessagessurlaconsole,messagesquirapportentdesvnements.Ces
messagessontproduitsparleprocessusSYSLOG.Pardfaut,lamanifestationdeSYSLOGsurunrouteurselimite
lmissiondesmessagesdvnementsversleportconsole.Queladministrateuraucoursdesontravaildepuisla
console na pas t agac par larrive impromptue de ces messages qui viennent perturber la saisie en cours ?
Problmefacilersoudredailleurscarilexisteunecommandedeconfigurationdeligneloggingsynchronousqui
peuttreappliquelaconsoleainsiquauxlignesvtyetquimodifielecomportementdelIOSquandilenvoieun
message:siunecommandeestencoursdesaisie,alorslIOSraffichelecontenudelalignesaisiedansltato
ellesetrouvaitimmdiatementavantlenvoidumessage.DautresdtailssontfournisauchapitreAdministrationet
scuritJournalisation,leprotocoleSYSLOG.
Placezlinterfaceenconfigurationdeligneconsole.Tapezles4caractresloggpuisappuyezsurlatouche[Tab]
- 35 -
et constatez que lIOS complte la commande en affichant logging. Tapez les 2 caractres sy puis appuyez
nouveausurlatouche[Tab]etconstatezquelIOScompltelacommandeenaffichantloggingsynchronous.La
commandeestcomplteetvoussatisfait,ilrestevaliderparlatouche[Entre].Vousvenezdemettreprofitla
fonctionnalitdautocompltiondelinterfaceILC:
R8#conf t
Enter configuration commands, one per line.
R8(config)#line con 0
R8(config-line)#logg
R8(config-line)#logging sy
R8(config-line)#logging synchronous
R8(config-line)#
Aumoindrepetittempsmortdansnotreactivit(dixminutespardfaut),voillasessionconsolefermeparlIOS.
Dans un environnement de production, cette mesure de scurit se justifie pleinement. Mais dans notre
environnement didactique, que de temps perdu ouvrir des sessions. Ce problme est facilement lev grce la
commande de configuration de ligne exectimeout. Cette commande dfinit le dlai dattente maximal de
linterprteurdecommandesEXECjusqudtectionduneentrequelconquedelutilisateur.Parvenucedlai,la
sessionestinterrompue.
Placez linterface en configuration de ligne console. Tapez les 4 caractres exec puis appuyez sur la touche ?,
laidecontextuellefournittroiscommandesquiontencommundedbuterparexec.Compltezlacommandeen
cours ddition en tapant les caractres t puis la touche [Tab]. LIOS complte la commande et affiche exec
timeout suivi dunespace.Tapeznouveaulepointdinterrogation.Laide affiche largumentsuivantattendu,il
sagitduntempsexprimenminutes.Tapez0suividunespaceetnouveaulepointdinterrogation.Observez
quecettefois,deuxchoixsontpossibles:appuyezsurlatouche[Entre]pourvaliderlacommandetellequelle
estouentrezunsecondargumentpermettantdexprimeruntempsensecondes.Validezparlatouche[Entre].
Vousvenezdemettreprofitlafonctionnalitdaidesurlemotpuislafonctionnalitdaidesurlasyntaxe:
Voustestoujoursenconfigurationdeligneconsole.Simulezuneerreurdefrappeentapantlacommandeexec
tileout0puisvalidezparlatouche[Entre].ObservezquelIOSnesecontentepasderefuserlacommandemais
placeuncaractre^partirdelapositionincorrectedanslalignedecommande:
R8(config-line)#exec-tileout 0
^
- 36 -
Vous tes toujours en configuration de ligne console. Simulez une entre incomplte en tapant la commande
exectimeout sans arguments puis validez par la touche [Entre]. Observez la raction de lIOS. Cest
typiquementuncasolhistoriquedecommandesestprcieux:unappuisurlatouche[Flcheenhaut]etrevoici
la commande incomplte, un appui supplmentaire sur le point dinterrogation et ladministrateur comprend
largumentattenduparlIOS:
R8(config-line)#exec-timeout
% Incomplete command.
R8(config-line)#
R8(config-line)#exec-timeout ?
<0-35791> Timeout in minutes
R8(config-line)#exec-timeout 0
R8(config-line)#
h.Miseprofitdelhistoriquedescommandes
Voustestoujoursenconfigurationdeligneconsole.
Utilisezlestouchesdedplacement[Flcheenhaut]et[Flcheenbas]pourvousdplacerdanslhistoriquedes
commandesobservezqueseuleslescommandesvalidesdanslecontextesontrappeles.
Changez de contexte en revenant au mode privilgi. nouveau, rappelez les commandes prcdentes et
observezquecettefoislhistoriqueaffichelescommandesprcdemmententresdanscemodeprivilgi.
Cet atelier est prsent termin. Bien sr, le lecteur peut le prolonger loisir. Limportant est de disposer dun
contextefonctionnelpourlesateliersvenirdeschapitressuivants.
- 37 -
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Quelleinvitedecommanderappellequelemodecourantestlemodeprivilgi?
2 Quelseraitleboncomportementaprsavoirreulemessagederreur%IncompleteCommand?
3 Quellecombinaisondetouchespermetdesortirdumodesetupdefaonimmdiate?
4 Quellecommandepermetdafficherlecontenudufichierdesauvegardedeconfiguration?
5 QuellecommandeprovoqueleffacementducontenudelammoireNVRAM?
6 Commentinterprterlesvaleursentrecrochets[valeur]danslemodesetup?
7 UnadministrateureffacelammoireNVRAMdunrouteurpuisprovoquesonredmarrage.Quelestlemode
proposparlerouteurunefoisleredmarrageachev?
8 Citezlesdiffrentespartitionsmmoireutilisesparunrouteur.
9 QuellepartitionjouelerledudisquedursurunordinateurenoffrantunespacedestockagepourlIOS?
10 Quandunrouteurnestplusaccessiblevialerseau,quelportdoitsersoudreutiliserladministrateurpour
effectuerlesoprationsdemaintenanceetdeconfiguration?
11 Pardfaut,lepassageaumodeprivilginestprotgparaucunmotdepasse.Pourquoiestcesans
importance?
12 QuellesriedecommandesfaudraitilentrersurunrouteurpourenpermettrelaccsviaTelnetpuisdepuiscet
accs,lexcutiondelacommandedebug?
13 Leservicepasswordencryptionestactivsurunrouteur.Ladministrateurentrelasquencesuivante:
Router(config)#enable password ccna
Router(config)#no service password-encryption
Lemotdepasseccnaapparatilenclairdanslefichierdeconfigurationcourante?
14 Commentprotgerlesmotsdepassedesattaquesparforcebrute?
15 Commentprotgerlesmotsdepassedesattaquespardictionnaire?
16 CiteztroisdescinqnormesdeliaisonsriesupportesparleconnecteurgnriquedeCISCO,appelport5en
1,etquiquipelescartesdinterfaceWAN.
17 SurlescartesWIC,lancienport5en160brochesestdornavantremplacpar?
18 HorsCCNA.QuellenormedeliaisonsriefautiladoptersurunecarteWANdontlobjetseraitdaccderau
dbitoffertparunlienWANT3(44,736Mbps)ouE3(34,368Mbps)?
19 QuelleindicationprcieusefournitlenomattribuuneinterfaceLANparlIOS?
20 SurunrouteurCISCO,quelmomentlesmodificationsapporteslaconfigurationsontellesprisesen
compte?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/20
Pourcechapitre,votrescoreminimumdoittrede15sur20.
3.Rponses
1 Quelleinvitedecommanderappellequelemodecourantestlemodeprivilgi?
- 1-
Router#
2 Quelseraitleboncomportementaprsavoirreulemessagederreur%IncompleteCommand?
Rappelez la commande incomplte depuis lhistorique de commandes par un appui sur la touche [Flche en haut] puis
sollicitez laide contextuelle par un appui sur le point dinterrogation afin de dcouvrir largument attendu pour cette
commande.
3 Quellecombinaisondetouchespermetdesortirdumodesetupdefaonimmdiate?
[Ctrl]C
4 Quellecommandepermetdafficherlecontenudufichierdesauvegardedeconfiguration?
Router#show start
5 QuellecommandeprovoqueleffacementducontenudelammoireNVRAM?
Router#erase start
Ou
Router#erase nvram:
6 Commentinterprterlesvaleursentrecrochets[valeur]danslemodesetup?
Ilsagitduchoixcourantoudelavaleurpardfaut.
7 UnadministrateureffacelammoireNVRAMdunrouteurpuisprovoquesonredmarrage.Quelestlemodepropos
parlerouteurunefoisleredmarrageachev?
Lemodesetupquipermetdebtirdefaoninteractiveuneconfigurationminimale.Ilestgalementpossiblederelancerle
modesetuplaidedunecommandesetupentreenmodeprivilgi.
8 Citezlesdiffrentespartitionsmmoireutilisesparunrouteur.
ROM, RAM, FLASH et NVRAM. On pourrait y ajouter le registre de configuration confregister qui intervient dans la
squencededmarrage.SeullecontenudelapartitionRAMestperduenlabsencedalimentation.
9 QuellepartitionjouelerledudisquedursurunordinateurenoffrantunespacedestockagepourlIOS?
LapartitionFLASH.
10 Quand un routeur nest plus accessible via le rseau, quel port doit se rsoudre utiliser ladministrateur pour
effectuerlesoprationsdemaintenanceetdeconfiguration?
Si lentreprise a t prvoyante, un modem a pu tre connect sur le port AUX rendant le routeur accessible distance
malgr labsence de services rseau. Dans le cas contraire, il ne subsiste que le port console mais il contraint
ladministrateurtravaillerauvoisinagedurouteur.
11 Pardfaut,lepassageaumodeprivilginestprotgparaucunmotdepasse.Pourquoiestcesansimportance?
Enfaitlaprotectionestparfaitementassurecartantquelepassageaumodeenablenestpasprotgparunmotde
passe,cemodenestenralitaccessiblequedepuisleportconsole.Hors,leportconsoleestpardfinitionutilispardes
personneshabilitespuisquilsupposedaccderphysiquementaurouteur.
12 Quelle srie de commandes faudraitil entrer sur un routeur pour en permettre laccs via Telnet puis, depuis cet
accs,lexcutiondelacommandedebug?
Router(config)#enable secret ccna
Router(config)#line vty 0 4
Router(config-line)#password eni
- 2-
Router(config-line)#login
LacommandedebugnestaccessiblequedepuislemodeprivilgietcederniernestaccessibleviaunesessionTelnetque
silestprotgparunmotdepasse.
13 Leservicepasswordencryptionestactivsurunrouteur.Ladministrateurentrelasquencesuivante:
Router(config)#enable password ccna
Router(config)#no service password-encryption
Lemotdepasseccnaapparatilenclairdanslefichierdeconfigurationcourante?
Non,carilatentralorsqueleservicetaitfonctionnel.Ladsactivationduserviceneconcernequelesfutursmotsde
passeentrs.
14 Commentprotgerlesmotsdepassedesattaquesparforcebrute?
Enimposantdesrglesdelongueurminimale,parexemple9ou10caractres.
15 Commentprotgerlesmotsdepassedesattaquespardictionnaire?
Enimposantdesrglesdecomplexitdesmotsdepasse(mlerchiffresetlettres,majusculesetminuscules,caractres
spciaux).
16 CiteztroisdescinqnormesdeliaisonsriesupportesparleconnecteurgnriquedeCISCO,appelport5en1,et
quiquipelescartesdinterfaceWAN.
EIA232,EIA449,V35,X21etEIA530.
17 SurlescartesWIC,lancienport5en160brochesestdornavantremplacpar...?
LeportSSouSmartserialbeaucouppluscompactpuisquilnecomporteque26broches.
18 Hors CCNA. Quelle norme de liaison srie fautil adopter sur une carte WAN dont lobjet serait daccder au dbit
offertparunlienWANT3(44,736Mbps)ouE3(34,368Mbps)?
SeulelanormedeliaisonsrieHSSI(HighSpeedSerialInterface)dveloppeconjointementparlesfirmesCISCOetT3+
networkingconvient.
19 QuelleindicationprcieusefournitlenomattribuuneinterfaceLANparlIOS?
Ledbitmaximalsupportparlinterface.
20 SurunrouteurCISCO,quelmomentlesmodificationsapporteslaconfigurationsontellesprisesencompte?
Laconfigurationfinaledun routeur ncessitera la saisie de nombreuses commandes de configuration, chaque commande
saisieprendimmdiatementeffetdslavalidationparlatouche[Entre].Ondsigneparconfigurationincrmentalecette
faondeprogresserverslaconfigurationdfinitive.
- 3-
Prrequisetobjectifs
1.Prrequis
cestade,lorganisationmatrielleetlogicielledurouteur,sesportsdadministration,sesinterfaces,sonsystme
dexploitation,sonpartitionnementmmoiresontsuppossconnussoitlquivalentduchapitreLesrouteursdecet
ouvrage.
2.Objectifs
lafindecechapitreetduchapitresuivant,vousserezenmesurede:
Installer,configureretvrifierlefonctionnementdunrouteursortiducarton.
Matriser lusage de linterface en ligne de commande des routeurs et commutateurs CISCO. Cette interface est
commune lensemble des produits CISCO, routeurs et commutateurs, mais ce chapitre naborde ici que les
fonctionnalitsspcifiquesauxrouteurs.
HorsCCNA:configurerdeuxrouteursdansunlaboratoireouavoirenchargemillerouteursdanssonentreprisene
posevidemmentpaslesmmesproblmes.Lefardeauadministratifrsultantpeuttendreverslacceptablela
condition de configurer de faon cohrente et systmatique. Ce chapitre se propose de poser les premiers
fondementsdunetellemthodedeconfiguration.
- 1-
Miseensituation
Touteslescapturesdecechapitreonttralisessurlatopologiesuivante:
Les routeurs sont des 2600, lIOS est une version 12.4. Le serveur VMSRV01 est un serveur Windows 2000 utilis
chaquefoisquilestutilededisposerdeservicesrseau.Danslecasprsent,cestleserviceDNSquiestmisprofit.
Ladministrateuryacrunezoneccna.frainsiquedeuxenregistrementsR11etR12.Lelecteurgagnerareproduire
cettetopologiepuistesterlensembledeslignesdecommandesproposes.
- 1-
Configurationdesparamtresglobaux
1.Configurerlinvitedecommande
Pardfaut,linvitedecommandersultedelaconcatnationdetroisinformations:
1.Lenomdurouteur,Routerquandlenomnapasencoretconfigur.
2.LecontextequandlinterfaceILCquittelemodedexcution.Exemple(config)quandlemodedelinterfaceILCest
lemodedeconfigurationglobale.
3.Lecaractredeprompt>ou#quirappelleleniveaudeprivilge,>rappellelemodeutilisateur,#
rappellelemodeprivilgi.
Ilestpossibledecomplterlinformationfournielaidedelacommandepromptdontlasyntaxeestlasuivante:
promptstring
Modedeconfigurationglobale.
String est toute chane de caractres dans laquelle il est possible dinclure un certain nombre de
variables.Unevariabledepromptestprcdeducaractre%.Letableausuivantinventorieles
variablesdepromptpossibles:
Variablede
prompt
Interprtation
%h
Lehrappellehostname.LIOSremplacecettevariableparlenomdurouteur
ou Router quandlenomnestpasconfigur.
%n
NumrodeligneCON(n0),TTY(lignesphysiques),AUXouVTY.Pourmmoire,il
estpossibledobtenirdelinformationsurcesnumroslaidedunecommande
showusersoudunecommandeshowline.
%p
Lecaractredeprompt>ou#.
%s
Caractreespace.
%t
Tabulation.
%%
Caractre%.
Linvitedecommandepardfautcorrespondparconsquentlacommandeprompt%h%p.Voiciunepropositionde
promptmodifipourinclurelendeligneutilis:
R11(config)#prompt TTY%n@%h%s%p
R11(config)#^Z
TTY66@R11 #sh line
Tty Typ
Tx/Rx
A Modem Roty AccO AccI
Uses
*
0 CTY
0
65 AUX
9600/9600 0
*
66 VTY
1
67 VTY
0
68 VTY
0
69 VTY
0
70 VTY
0
Noise
Overruns
Int
1
0/0
0
0/0
0
0/0
0
0/0
0
0/0
0/0
0
0/0
-
- 1-
aattribulepremiernumroVTYdisponible,soitlenumro66.Lacapturesuivanteillustrelechangementdelinvite
decommandesurlasessionconsole:
*Mar 1 01:13:03.706: %SYS-5-CONFIG_I: Configured from console by vty0
(10.0.11.100)
R11#
TTY0@R11 #
2.Configurerunnomdhte
Lacommandeutiliserest:
hostnamename
Modedeconfigurationglobale.
Attributiondunnomdhteaurouteur.
LavaleurpardfautestRouter.
Le RFC1178 Name your computer peut servir de guide pour llaboration de noms valides : un nom dhte doit
dbuter par une lettre, se terminer par une lettre ou un chiffre et ne devrait pas prendre la casse en compte. La
longueur ne devrait pas dpasser 63 caractres. On se souvient que le nom dhte est rappel dans linvite de
commandeassociaucontexte.Ilsetrouvequelensembleconcatn{nomdhte+contexte}nepeutdpasser30
caractres.Audel,linterfaceILCtronquelenomoulecontexte.Or,cesinformationssontduneimportancemajeure
pour ladministrateur qui serait sans doute trs dsorient si linvite de commandes ne lui rappelait pas de faon
exhaustivelevraicontextecourant:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname LeNomDeMonRouteurEstTropLong
LeNomDeMonRouteurEst(config)#exit
LeNomDeMonRouteurEstTropLong#
Danslexemplecidessus,linterfaceatronqulenompourpermettrelaffichageducontexte.Lenomnerapparatau
complet quune fois sorti du mode de configuration. CISCO conseille par consquent de limiter le nom dhte 10
caractres:
LeNomDeMonRouteurEstTropLong#conf t
LeNomDeMonRouteurEst(config)#hostname R11
R11(config)#exit
R11#
Une ultime possibilit consiste modifier la longueur admise de la chane hostname. Nous la citons pour mieux
loublier,dautantque,sauferreur,ellenestpasdocumenteparlesiteCommandLookupTooldeCisco:
R11(config)#prompt config hostname-length ?
<0-80> maximum hostname length
R11(config)#prompt config hostname-length 50
R11(config)#hostname LeNomDeMonRouteurEstTropLong
LeNomDeMonRouteurEstTropLong(config)#
LeNomDeMonRouteurEstTropLong(config)#hostname R11
R11(config)#^Z
R11#
Uneentreprisebienorganiseaprobablementdjlaboruneconventiondenommagedesquipementsrseau.
Un administrateur nouvellement recrut doit senqurir de cette convention et doit en proposer une si elle nexiste
pas. Une bonne convention de nommage aide mmoriser les noms de routeurs et aide deviner un nom que
ladministrateurauraitoubli.Parexemple,onpeutimaginerfairedbutertouslesnomsderouteursparlasquence
rtrsuividunesquencerappelantlagolocalisationdelquipement,lesinitialesdelavillepeuventconvenirsur
unnombredelettreschoisiparavance,etterminerparunesquencededeuxchiffresafindeprvoirlecasoune
mme localisation accueille plusieurs routeurs. Ainsi, le premier routeur plac Dunkerque serait rtrdk01 . Ce
nomestfaciledevinerenneconnaissantquelaconventiondenommage.
- 2-
Le caractre underscore ( _) doit tre vit dautant quilnest pas admis par la rsolution de noms DNS. Si
lenvieprenddutilisercecaractre,alorsilestprfrabledeluisubstituerlecaractre.
3.Configurerunebannire
LIOSsupportetroistypesdebanniresetlesaffichedanscetordre:
1.Labanniremotd(MessageOfTheDay)sansdoutelamoinsutilise.Ladministrateurpeutlamettreprofitpour
avertir toute personne qui se connecterait sur lquipement dune actualit qui concerne lquipementoulerseau.
Exemple:cerouteurseraredmarrle01avril20100h00.
2. La bannirelogin est utilise pour afficher un message davertissementenvuedeprvenirlutilisateur des pires
dconvenues au cas o il persisterait vouloir se connecter alors quil ne fait pas partie des personnels autoriss.
vacuons,unebonnefoispourtoutes,lesmessagestypeBienvenuedunerareincongruitdanscescirconstances.La
bannireloginestunepierredansldificationdunepolitiquedescurit.
3.Labannireexecestlaplusintressantepuisquellepermetlaffichagedunmessageunefoislasessionouverte,
cestdireunefoislutilisateurauthentifi.Cestdoncunadministrateurquisadresseunautreadministrateur.
Cetteconfiguration...
R11#conf t
R11(config)#banner motd #
Enter TEXT message. End with the character #.
Ceci est la banniere motd
#
R11(config)#banner login #
Enter TEXT message. End with the character #.
Ceci est la banniere login
#
R11(config)#banner exec #
Enter TEXT message. End with the character #.
Ceci est la banniere exec
#
R11(config)#^Z
R11#
...provoquelaffichagedesmessages...
R11 con0 is now available
Press RETURN to get started.
Ceci est la banniere motd
Ceci est la banniere login
- 3-
**********************************************************************
#
R11(config)#^Z
R11#
Depuislaversion12.0(3)TdelIOS,ilestpossibledinsrerdesvariablessystmedansunmessagedebannire.Lors
delaffichage,lIOSsubstituelavaleurlavariable.AppelestokensparCISCO,cesvariablessontaunombrede
quatreaumomentoceslignessontcrites:
Token
Informationcorrespondante
$(hostname) Nomdhtedurouteur.
$(domain)
Nomdedomaineconfigursurlerouteur.
$(line)
Numrodelaligneactive.
$(linedesc) Descriptiondelaligneactive.
MettonsprofitcesvariablespourcrerunebannireexecsurR12:
R12(config)#banner exec #
Enter TEXT message. End with the character #.
Bienvenue, vous venez de vous connecter au routeur $(hostname).$(domain)
depuis la ligne $(line) situe $(line-desc).
#
R12(config)#^Z
R12#
SilaliaisonentreR11etR12estconvenablementconfigure,siaumoinsunelignevtyestconfigure,siunnomde
domaine a t configur sur R12 (objet des paragraphes suivants), une tentative de connexion Telnet depuis R11
donnelersultatsuivant:
R11#telnet 10.0.8.12
Trying 10.0.8.12 ... Open
User Access Verification
Password:
Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr
depuis la ligne 66 situe 44811 SAINT HERBLAIN.
R12>exit
[Connection to 10.0.8.12 closed by foreign host]
R11#
4.Protectiondupassageaumodeprivilgi
CommandesdjcommentesdanslechapitreLesrouteurs.
SurR11(reproduiresurR12):
R11(config)#enable secret ccna
R11(config)#^Z
R11#
Un cas rel ncessiterait de respecter des rgles de longueur et de complexit du mot de passe. Mais une vraie
politique de scurit consisterait mettre en place une authentification fonde sur lutilisation de couples {nom
dutilisateur/motdepasse}.Cetteauthentificationpeuttrelocale,lescouples{nomdutilisateur/motdepasse}sont
alorsmmorisssurlerouteur,oucentralise,lesidentifiantssontdanscecasconservsparunserveurRADIUSpar
exemple.DautresdveloppementssontpropossauchapitreAdministrationetscurit.
5.Rsolutiondenoms
- 4-
Cettesectionestplaceiciparcequelescommandesdeconfigurationdontilestquestionsontentrerenmodede
configurationglobale.Maislesdmonstrationsralisessurlatopologiedemiseensituationnepeuventfonctionner
quesilaconfigurationdesinterfacesatralise.Mercidoncaulecteurquiaprislapeinedereproduirelatopologie
debienvouloirsereporterlasectionConfigurationdesinterfaces,puisderevenirensuitecettesectionRsolution
denoms.
cestadedavancementdanslecursusCCNA,ilestinutiledinsisternouveausurlintrtdidentifierlesmachines
pardesnomspluttquepardesadresses.Ilestgalementpossibledutiliserdesnomsdhtessurlesrouteurs,ce
laconditiondeprvoirunersolutiondenoms,cestdirelapossibilitpourunemachinedetraduirelenomdhte
enidentifiantnumrique(ladresse).Deuxpossibilitssoffrentalors:
UnersolutiondynamiquequiconsisteinterrogerunserveurDNS.
Unersolutionstatiquequicontraintladministrateurrenseignerlescorrespondancesdanslaconfiguration
durouteur.
Larsolutiondenomsestactivepardfaut,cequipeutparfoisentranerquelquesdsagrments,commelillustrela
captureciaprs.LadministrateursurR11setrompeettapeR13aulieudeR12.AucunserveurDNSnestconfigur
surR11,quitentedersoudreR13endiffusantunerequteDNSversladressedediffusionlimite255.255.255.255.
Cette requte ne peut franchir R12, nest donc pas transmise au serveur DNS de notre topologie et reste sans
rponse.R11attenddelonguessecondesunerponsequinevientpaspuisritredeuxfoislarequte.
R11#R13
Translating "R13"...domain server (255.255.255.255)
Translating "R13"...domain server (255.255.255.255)
(255.255.255.255)
Translating "R13"...domain server (255.255.255.255)
% Unknown command or computer name, or unable to find computer address
Ainsi,causeduneerreurdefrappe,ladministrateurestprivdeconsolependantuntempsquisembletoujours
trop long. En conclusion, si ladministrateurna pas lintention dutiliser le service de rsolution de noms, alors il est
prfrabledeledsactiverlaidedelacommandenoipdomainlookup:
R11#conf t
Enter configuration commands, one per line.
R11(config)#no ip domain-lookup
R11(config)#^Z
R11#
Lammeerreurdefrappeestsimuleaprsavoirdsactivleservicedersolutiondenoms:
R11#R13
Translating "R13"
Translating "R13"
% Unknown command or computer name, or unable to find computer address
R11#
LIOSnegnreplusderequteversleserveurDNSetsecontentedeconsultersoncachelocal,ilnytrouvepasR13
etrendlamainpresqueimmdiatement.
Lescommandespermettantlaconfigurationdelarsolutiondenomssontlessuivantes:
hostnamename
Djexplicite,maisenfaitoui,enattribuantunnomdhteaurouteur,cettecommandeparticipela
configurationdelarsolutiondenoms.
iphost{hostname}[tcpportnumber]{@IP1}[@IP2@IP3...]}
Modedeconfigurationglobale.
Creuneentrestatiquedersolutiondenomdanslatabledhtes.
[tcpportnumber]:portTCPutiliserpouruneconnexionTelnet,23pardfaut.
- 5-
LacommandeaccepteplusieursadressesIPassociesunseuletmmenomdhte.
[no]ipdomainlookup
Modedeconfigurationglobale.
Active/Dsactivelarsolutiondynamiquedenoms(cestdirecellefaisantappelunserveurDNS).
ipnameserveur{@DNS1[@DNS2@DNS3...@DNS6]}
Modedeconfigurationglobale.
SpcifieleoulesserveursDNSquelerouteurdoitinterrogerpourrsoudrelesnoms.
Jusqu6serveursDNSdiffrents.
ipdomainname{name}
Modedeconfigurationglobale.
Quand ladministrateur cherche rsoudre un nom qui nest pas pleinement qualifi (FQDN, Fully
QualifiedDomainName),lIOScompltelenomrelatiffourniaveclenomdudomainetelquilestdfini
laidedecettecommande.Rappel:
Mettonscescommandesprofitendeuxtemps.Dansunpremiertemps,enconfigurantunersolutionstatiquesur
R11.Dansunsecondtemps,enconfigurantunersolutionDNSsurR11etR12.
a.Rsolutionstatique
R11(config)#no ip domain-lookup
R11(config)#ip host R12 10.0.8.12
R11(config)#^Z
R11#
*Mar 1 01:50:14.939: %SYS-5-CONFIG_I: Configured from console by console (59140
DUNKERQUE)
Dsormais,riendeplussimplequedeseconnecterR12:
R11#R12
Trying R12 (10.0.8.12)... Open
User Access Verification
Password:
Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr
depuis la ligne 66 situe 44811 SAINT HERBLAIN.
R12>exit
[Connection to R12 closed by foreign host]
R11#
Unecommandeshowhostpermetdeconsulterlatabledecorrespondancesnomsdhte/adressesIP:
R11#sh host
Default domain is not set
- 6-
(perm, OK)
Port Flags
IP
10.0.8.12
Age Type
Address(es)
Leschampsdecettetablesontexplicitsdansletableauciaprs:
Information
Description
Host
Nomdhtedechaquecorrespondanceprsentedanslatable.
Port
PortutilislorsduneconnexionTelnetsidiffrentde23.
Flags
Drapeauxdcrivantlamthodedapprentissagedecettecorrespondanceainsiqueson
degrdepertinence.
Permcorrespondancestatique,ajouteparladministrateur.
TempcorrespondanceacquiseviaunserveurDNS.
OKcorrespondancevalide.
EXcorrespondanceexpire.
Age
Exprimenheures,tempscouldepuislinstantolacorrespondanceatapprise.
Type
Typedadresse.
Address
Adresse(s)associe(s)cenomdhte.
b.Rsolutiondynamique
UnserveurDNSatajoutsurLAN12delatopologieencours.SonadresseIPest10.0.12.100.Ilhbergelazone
ccna.fretladministrateuryaajoutdeuxenregistrementsR11etR12:
SurR11(reproduiresurR12):
R11(config)#no
R11(config)#ip
R11(config)#ip
R11(config)#ip
R11(config)#^Z
R11#
- 7-
Port
Flags
Age Type
Address(es)
R11#
SollicitonslarsolutionententantuneconnexionTelnetsurR12:
R11#R12
Translating "R12"...domain server (10.0.12.100) [OK]
Trying R12.ccna.fr (10.0.12.1)... Open
Port
(temp, OK) 0
Flags
IP
Age Type
10.0.12.1
Address(es)
6.Dateetheure
ParmilesmultiplestchesaccompliesparlIOS,lunedellesintresseparticulirementladministrateurparcequellelui
permetdedcouvriroudemieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdu
rseau. Il sagit de lactivit de journalisation des vnements. En la matire, CISCO comme une majorit de
constructeursseconformeauprotocoleSYSLOGnormalisdansleRFC5424.Pardfaut,lamanifestationdeSYSLOG
sur un routeur se limite lmission des messages dvnements vers le port console. Ces vnements sont
horodats,maispourqueladateetlheureassociesunvnementprennentdusens,encorefautilquelhorloge
entretenueparchaquerouteursoitellemmemiselheure.Deuxmoyenssoffrentladministrateur:
1.Configurerlheureetladatedirectementsurlerouteur.Hlas,cecicontraintladministrateurintervenirsurchacun
desrouteursdontilalacharge.
2. Transformer lun des routeurs en serveur de temps et rgler les autres routeurs afin de rcuprer lheure sur le
serveurdetemps.
Notre topologie nous offre loccasion de tester les deux mthodes. Dans un premier temps, R12 sera mis lheure.
Dansunsecondtemps,R12seraconfigurpourtreserveurdetempspuisR11seraconfigurpourobtenirlheurede
- 8-
R12.Lescommandesncessairescetteconfigurationsontlessuivantes:
showclock
clockset{hh:mm:ss}{day}{month}{year}
Modeprivilgi.
hhexprimelheurede023.
dayexprimelejourde131.
monthestlenomdumois.
yearexprimelannesur4chiffres.
ntpmaster[#stratum]
Modedeconfigurationglobale.
Faitdecerouteurunserveurdetemps.
Afficheladateetlheuredusystme.
#stratum : optionnelle, le serveur de temps configur sur ce systme se rclame comme tant de
strate#stratum.Lavaleurdoittrecompriseentre1et15etvaut8pardfaut.
ntpserver{hostname|@IP}
Modedeconfigurationglobale.
Faitdecerouteurunclientduserveurdetempsidentifiparsonnom(siunersolutiondenomsest
enservicesurlerouteur)ouparsonadresseIP.
Le protocole NTP (Network Time Protocol) se fonde sur une architecture arborescente. Une heure de rfrence est
diffuse verticalement de proche en proche. Chaque n ud choisit parmi ses parents le n ud qui prsente les
meilleuresgarantiesdefiabilitethritedunattributappelstratum.Lesmachinesplaceslaracinesontsurle
stratum 1 et se synchronisent directement sur des dispositifs matriels donnant lheure. Pendant la descente,
chaque traverse dunn ud incrmente de 1 la valeur stratum. Les n uds placs sur la couche 2 (strate) se
synchronisentsurlesn udsdestrate1,lesn udsplacssurlacouche3sesynchronisentsurlesn udsdestrate
2etainsidesuite.Enfinal,lavaleur stratum mesureladistancedun n udauxmachinesracinesetpeuttre
considrecommeunindicateurdelaqualitdesynchronisationquunemachinedonnepeutoffrirauxn udsplacs
surlesniveauxinfrieurs.
UnrouteurpeuttreconfigurenNTPmatre.Danscecas,etsilneparvientpasjoindreunserveurNTPdestrate
infrieure (cestdire dun niveau plus lev dans la hirarchie), alors le systme se considre synchronis sur la
stratedenumro#stratumetlesautressystmespeuventleurtoursesynchronisersurcesystme.
MiselheuredeR12:
R12#sh clock
*03:09:49.089 UTC Fri Mar 1 2002
R12#clock set ?
hh:mm:ss Current Time
R12#clock set 10:38:00 ?
<1-31> Day of the month
MONTH
Month of the year
R12#clock set 10:38:00 21 ?
MONTH Month of the year
R12#clock set 10:38:00 21 february ?
- 9-
<1993-2035>
Year
R12(config)#ntp master ?
<1-15> Stratum number
<cr>
R12(config)#ntp master
R12(config)#^Z
R12#
FaisonsdeR11unclientduserveurdetempsR12:
R11(config)#ntp ?
access-group
authenticate
authentication-key
broadcastdelay
clock-period
logging
master
max-associations
peer
server
source
trusted-key
R11(config)#ntp server ?
Hostname or A.B.C.D IP address of peer
vrf
VPN Routing/Forwarding Information
R11(config)#ntp server R12
R11(config)#^Z
R11#
*Mar 1 03:21:48.521: %SYS-5-CONFIG_I: Configured from console by console (59140
DUNKERQUE)
R11#sh clock
03:21:57.992 UTC Fri Mar 1 2002
R11#sh clock
03:36:10.406 UTC Fri Mar 1 2002
R11#sh clock
.11:04:26.166 UTC Sun Feb 21 2010
R11#
Notre propos ntant pas ltude du protocole NTP, nous nirons pas plus loin, les lecteurs insatiables trouveront la
- 10 -
capture des changes NTP entre client et serveur tlchargeable sur le site ENI sous le nom cap_22_02.pcap.
Puisqueaucunevaleur #stratumnatconfigure,onpeutobserverlavaleur8danslesrponsesNTPdurouteur
R12.AprsquelqueschangesNTP,R11adoptelheurercupresurR12.
- 11 -
Configurationdesaccs
1.AccsconsoleetTelnet
SurR11(reproduiresurR12),accsconsole:
R11(config)#line con 0
R11(config-line)#location 59140 DUNKERQUE
R11(config-line)#logging synchronous
R11(config-line)#exec-timeout 0
R11(config-line)#password eni
R11(config-line)#login
R11(config-line)#^Z
R11#
SurR12(reproduiresurR11),accsTelnet:
R12(config)#line vty 0 4
R12(config-line)#exec-timeout 0
R12(config-line)#logging synchronous
R12(config-line)#password eni
R12(config-line)#login
R12(config-line)#location ?
LINE One text line describing the terminals location
R12(config-line)#location 44811 SAINT HERBLAIN
R12(config-line)#exit
CescommandesontdjtcommentesdanslechapitreLesrouteurs.Lemotdepassedelaccsconsolenest
pas absolument indispensable si lon considre quil sagit dun accs physique et quil suppose donc que
ladministrateuraitpntrdansunlocalscuris.Cetouvrageproposedeuxdveloppementsenrapportavecles
accsconsoleetTelnet:ContrlerlouverturedesessionTelnetdanslechapitreGestiondetraficparlistedaccs,
laccsviaSSHproposauchapitreAdministrationetscurit.
2.Accshttp
Pardfaut,lIOSactiveunserveurhttplaidedelacommandedeconfigurationglobale:
[no]iphttpserver
Modedeconfigurationglobale.
Active/dsactiveleserveurhttpinternedurouteur.
Actifpardfaut.
AccderceservicencessitededisposerdunnavigateurWebetdyentrerladresseIPduneinterfacedurouteur.
Lorsdelaconnexion,leserveurdemandelutilisateurdesauthentifier.moinsquuneauthentificationplusforte
nait t configure, il suffit de laisser le champ nom dutilisateur vide et de taper le mot de passe qui protge le
passageaumodeprivilgi.IlestdebontondeconsidrerlaccsauserveurHTTPcommeunefaillepotentiellede
scurit,cestpourquoicetaccsfaitlobjetdundveloppementpluscompletlasectionListedaccsnumrote
standardScnariostypesLimiterlaccsauxsessionshttpduchapitreGestiondetraficparlistedaccs.
- 1-
Configurationdesinterfaces
Enconnectantlerouteursonenvironnement,lesinterfacesLANetWANpermettentaurouteurdassurerlatchepour
laquelleilatconu,cestdirelacheminementdespaquets.Ilfautencoreyajouterlinterfacedeloopback,interface
virtuellequipeutrendredenombreuxservices:ladresseIPaffectelinterfacepeutfournirunidentifiantaurouteur,
linterfacepeutservirdedestinationauxpaquetsindsirables,linterfacevirtuellepeutsimuleruneinterfacerelle,liste
nonexhaustive.
Unecommande showinterfaces affiche une information trs complte sur chacune des interfaces embarques par le
routeur.PouruneinterfaceLAN:
R11#sh int
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is c801.02cc.0000 (bia c801.02cc.0000)
Description: LAN11
Internet address is 10.0.11.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:49, output 00:00:02, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
4 packets input, 526 bytes
Received 4 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
11 packets output, 1583 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
PouruneinterfaceWAN:
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Description: Lien loue 64K vers Nantes
Internet address is 10.0.8.11/24
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:01, output 00:00:03, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 48 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
12 packets input, 1329 bytes, 0 no buffer
Received 12 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
9 packets output, 1143 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
- 1-
0 carrier transitions
DCD=up DSR=up DTR=up
RTS=up
CTS=up
Onytrouvenotamment:
ladresseIPainsiquelemasquedesousrseau
ladressedecouche2
lencapsulationutilise
desstatistiquessurletraficquitransiteparlinterface
etleplusimportant:ltatdelinterfacelafoisencouchephysiqueetencoucheliaison.
En effet, les fonctionnalits de la couche 3 (le routage) sappuient sur les couches 1 et 2 et ne peuvent tre
oprationnellesquesilesinterfacessontactiveslafoisencouche1etencouche2.cesujet,lacommandeshowla
pluspertinenteestcertainementlacommandeshowipinterfacesbriefquelonpeutabrgerenshipintbr:
R11#sh ip int br
Interface
FastEthernet0/0
Serial0/0
FastEthernet0/1
Serial0/1
R11#
IP-Address
10.0.11.1
10.0.8.11
unassigned
unassigned
OK?
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
Status
Protocol
up
up
up
up
administratively down down
administratively down down
Ltatactifencouche1suppose:
Queladministrateuraitactivlinterfacelaide dunecommandenoshutdown.Danslecascontraire,
linterfacerestedansltatadministrativelydown.
Quilyaitbienuneconnectivitphysiqueentrecetteinterfaceetlinterfacedelquipementenvisvis.
Parexemple,uneinterfaceWANestconnectesonbotierCSU/DSUluimmeactif,uneinterfaceLAN
est connecte un port de commutateur actif, les cbles utiliss sont en bon tat et sont bien les
cbles attendus, liste trs peu exhaustive hlas. Dans le cas contraire, linterface reste dans ltat
down .
Uneinterfaceencouche1estdanslundestroistatsadministrativelydown,downou up .
Ltatactifencouche2suppose:
Quelacouche1soitactive.
ETquilyaitcompatibilitdeprotocolesurlescouches2respectivesdesinterfacesenvisvis.Dansle
casduneinterfaceLAN,pasdeproblmedepuislaprminencedEthernet.Danslecasduneinterface
WAN,ladministrateurdoitavoirconfigurlemmeprotocoledecouche2auxdeuxextrmitsdulien.
Pardfaut,lIOSraliseuneencapsulationHDLC(HighLevelDataLinkControl).
ETquelinterfacereoivelestramesKeepalive...
Uneinterfaceencouche2estdanslundesdeuxtatsdownouup.
DanslecasduneinterfaceLAN,chaqueinterfaceenvoiedestramesKeepaliveverssapropreadresse.Cestrames
- 2-
sontrepresLOOPdanslextraitdecapturecidessous:
Dans le cas dune interface WAN et dune encapsulation HDLC, CISCO met profit sa dclinaison de ce protocole, il
sagitpourlessentieldedistinguerleprotocoleencapsulenincluantdanslatrameHDLCunchampProtocolCode.
Parmi les autres extensions au protocole HDLC, CISCO a galement inclus la dfinition dun protocole appel SLARP
(Serial Line ARP). SLARP permet une interface de sattribuer une adresse IP en fonction de ladresse IP affecte
linterfaceplacelautreextrmitdulien.Encela,SLARPestsimilaireRARP.SLARPinclutgalementunetrame
Keepalivemisepardfauttoutesles10secondes.Lesdeuxextrmitsduliendoiventutiliserlemmeintervallepour
assurer un fonctionnement fiable. Les trames Keepalive sont numrotes en squence partir de 0. Les deux
extrmitsnumrotentdefaonindpendante.OutrelenumrodesquenceattribulatrameKeepaliveencours
deprparation,lesystmeplacegalementdanslatramelederniernumroreudelautresystme:
Immdiatement avant dmettre une trame Keepalive , un systme compare le numro de squence mis et le
derniernumrodesquenceacquittparlautreextrmit:
- 3-
Quandladiffrenceentrenumrodesquencemisetderniernumroacquittatteint3,lIOSconsidrequelaliaison
est ltat DOWN et ne peut plus servir lacheminement de paquets. Ainsi, 30 secondes au plus scoulent entre
lincidentquiaffectelabonnerceptiondestramesKeepaliveetsapriseencompteparlesprotocolesderoutage.
Voicilersultatdelammecommandeshipintbrquandlinterfaces0/0deR11estlaisserglesurlencapsulation
par dfaut HDLC alors que linterface s0/0 de R12 est configure pour adopter une encapsulation diffrente (en
loccurrencePPP,PointtopointProtocol):
R11#sh ip int br
Interface
FastEthernet0/0
Serial0/0
FastEthernet0/1
Serial0/1
R11#
IP-Address
10.0.11.1
10.0.8.11
unassigned
unassigned
OK?
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
Status
Protocol
up
up
up
down
up
up
administratively down down
1.ConfigurationdesinterfacesLAN
Lescommandesutilisersontlessuivantes:
interface{ethernet|fastethernet|gigabitethernet}{numro}
Modedeconfigurationglobale.
Lacommandeprovoquelepassageenconfigurationdinterface.
[no]shutdown
Modedeconfigurationdinterface.
Active/dsactivelinterface.
- 4-
ipaddress{@IP}{masque}[secondary]
Modedeconfigurationdinterface.
AffecteuneadresseIPlinterface.
Il est possible daffecter plusieurs adresses IP la mme interface. On ne change rien la faon
dassignerlapremireadresseIPlaidedelacommandeipaddressenconfigurationdinterface.La
seconde adresse (et les suivantes si ncessaire) sont affectes laide de la mme commande
laquelleonajoutelemotclsecondary.
description{string}
Modedeconfigurationdinterface.
Permet dassocier linterface tout commentaire susceptible daider ladministrateur selon ladage
Toutcequiparatclairaujourdhuisembleratrsobscurdanssixmois.
Nadesignificationquelocalement.Outreunecommandeshowrunoushowstart,ladescriptionest
galementafficheparunecommandeshowinterfaces.
Stringestlimite238caractres.
SurR11:
R11#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R11(config)#int f0/0
R11(config-if)#description LAN11
R11(config-if)#ip address 10.0.11.1 255.255.255.0
R11(config-if)#no shutdown
R11(config-if)#^Z
R11#
*Mar1 04:55:33.798: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar1 04:55:34.800: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up
SurR12:
R12(config)#int f0/0
R12(config-if)#description LAN12
R12(config-if)#ip address 10.0.12.1 255.255.255.0
R12(config-if)#no shutdown
R12(config-if)#^Z
R12#
*Mar1 01:04:52.060: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar1 01:04:53.061: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up
2.ConfigurationdesinterfacesWAN
Aux commandes utiles la configuration des interfaces LAN, il convient dajouter les commandes clock rate et
bandwidth:
interface{serial|async}{numro}
Modedeconfigurationglobale.
Lacommandeprovoquelepassageenconfigurationdinterface.
Le motcl async est utilis lorsque lon a affaire une interface srie fonctionnant en mode
asynchrone(marginal).
[no]shutdown
Djdcrit.
- 5-
ipaddress{@IP}{masque}[secondary]
clockrate{dbit}
Modedeconfigurationdinterface.
EnsituationdeTP,ilfautsimulerlelienWANsansavoirrecoursdesbotiers,modemsouDSU/CSU.
Fortheureusement,CISCOmetdispositiondescordonsextrmitETCD(DCE).SimulerunlienWAN
ncessitederelierlesdeuxinterfacesWANdesdeuxrouteursviadeuxcordons,lunextrmitETTD,
lautreextrmitETCDpuisdeconfigurerlinterfacectETCD(DCE)defaoncequellefournisse
lhorloge,cestlobjetdelacommandeclockrate.
Ledbitestexprimenbps(bitsparseconde).
bandwidth{bande_passante}
Djdcrit.
Modedeconfigurationdinterface.
Hlas,seuleslesinterfacesLANdesrouteursCISCOsontautomatiquementconfiguresaveclabande
passanteconvenable.LesinterfacesWANnepeuventpasltrecarledbitestenralitcadencpar
lhorloge fournie par le botier ETCD ou CSU/DSU. LIOS ntablit aucune corrlation entre le dbit
physique,cadencparlquipementdeterminaisondecircuitdedonnesetleparamtrebandwidth
delaconfigurationdinterface.Pardfaut,lIOSconsidrequelinterfaceserialestconnecteun
canal T1 de dbit 1,544 Mbps (Eh oui, CISCO est amricain !). Rparer cette lacune ncessite le
recourslacommandebandwidth.Attention,lesdeuxcommandesclockrateetbandwidthnutilisent
paslammeunit,bande_passanteestexprimenKbps(Kilobitsparseconde).
encapsulation{encapsulation_type}
Modedeconfigurationdinterface.
La valeur par dfaut dpend du type dinterface. Linterface WAN synchrone classique utilise un
protocole propritaire CISCO extrapol de HDLC et dj voqu, une interface WAN asynchrone
utiliseraitpardfautuneencapsulationSLIP(SerialLineInternetProtocol),protocolerudimentairedont
leseulobjetestprcismentdencapsulerIPsurdesliaisonssrie.
R11(config)#int s0/0
R11(config-if)#encapsulation ?
atm-dxi
ATM-DXI encapsulation
frame-relay Frame Relay networks
hdlc
Serial HDLC synchronous
lapb
LAPB (X.25 Level 2)
ppp
Point-to-Point protocol
smds
Switched Megabit Data Service (SMDS)
x25
X.25
R11(config-if)#encapsulation hdlc ?
<cr>
description{string}
Djdcrit.
Applicationnotremiseensituation,surR11:
R11(config)#int s0/0
R11(config-if)#ip address 10.0.8.11 255.255.255.0
R11(config-if)#no shutdown
R11(config-if)#description Lien loue 64K vers Nantes
R11(config-if)#bandwidth 64
- 6-
R11(config-if)#^Z
R11#
SurR12:
R12(config)#int s0/0
R12(config-if)#ip address 10.0.8.12 255.255.255.0
R12(config-if)#no shutdown
R12(config-if)#clockrate 64000
R12(config-if)#bandwidth 64
R12(config-if)#description Lien loue 64K vers Dunkerque
R12(config-if)#^Z
R12#
Noussommesdansuncasdcole,R12estlectDCEdulienWANcequiexpliquelaprsencedelacommandeclock
rate64000,commandeabsentedelaconfigurationdeS0/0surR11.
3.Configurationdesinterfacesdeloopback
Lesseulescommandesutilessont:
interface{loopback}{numro}
Modedeconfigurationglobale.
Lacommandeprovoquelepassageenconfigurationdinterface.
ipaddress{@IP}{masque}[secondary]
Djdcrit.
Dansnotremiseensituation:
R11(config)#interface loopback ?
<0-2147483647> Loopback interface number
R11(config)#interface loopback 0
R11(config-if)#ip address 1.0.0.11 255.255.255.255
R11(config-if)#^Z
R11#
Unecommandeshipintbrpermetdobserverquelinterfacedeloopbackpassedansltatupsansquilyaiteu
besoindentrerlacommandenoshutdown.linverse,unecommandeshutdownprovoqueraitsonpassageltat
administrativelydown:
R11#sh ip int br
Interface
FastEthernet0/0
Serial0/0
FastEthernet0/1
Serial0/1
Loopback0
IP-Address
10.0.11.1
10.0.8.11
unassigned
unassigned
1.0.0.11
OK?
YES
YES
YES
YES
YES
Method
NVRAM
NVRAM
NVRAM
NVRAM
manual
Status
Protocol
up
up
up
up
administratively down down
administratively down down
up
up
- 7-
Configurationdesprotocolesdeniveaurseau
Pour ce chapitre, nous nous en tiendrons la configuration des adresses IP. Les chapitres suivants prsentent les
diffrentsprotocolesderoutageetleurconfiguration.
- 1-
Commandesdevisualisationdtat
La multiplicit des commandes show impressionne et il est vrai que ladministrateur doit en connatre un nombre
suffisantpourprtendretreautonomedanslenvironnementILC.Biensr,chaquechapitredecetouvragepropose
un jeu de commandes en rapport avec lactivit du chapitre. On ne saurait trop conseiller ltudiantdenrichir un
petit carnet (un pensebte mais rien nempche den faire un penseintelligent) qui rpertorie les commandes
importantes, au moins pendant la phase de prparation la certification. En voici un premier aperu qui ne prtend
absolumentpastreexhaustif:
Commande
Frquence
dutilisation
showrunningconfig
*****
showstartupconfig
****
showversion
showprocesses
**
Affiche...
Lefichierdeconfigurationcourante.
Lefichierdesauvegardedelaconfiguration.
Laconfigurationmatrielledusystme,laversiondIOS,le
nometlasourcedelimageIOSquiaserviamorcerle
routeur,lavaleurduregistredeconfigurationconfreg...
Desinformationssurlesprocessusactifs.
showprocessescpu
**
LaconsommationderessourcesCPUdesprocessusactifs.
showprocessesmemory
**
Laconsommationderessourcesmmoiredesprocessus
actifs.
showmemory?
showstacks
showbuffers
Lesnombreusesoptionspossiblesdecettecommandequi
globalement,fournitdesstatistiquessurlammoiredu
routeur.
Lutilisationdespilesparlesprocessus.
Desstatistiquessurlesbuffers(mmoirestampons)du
routeur.
showarp
**
LecontenuducacheARP.Lacommandecleararpefface
lesentresdynamiquescontenuesdanslatable.
showhosts
**
Latabledersolutiondenoms.Lacommandeclearhost
effacelesentresdynamiquescontenuesdanslatable.
showflash
**
DesinformationssurlammoireFlash,quantitsutilise,
disponible,totale,fichiersprsents.
showinterface[typenumro]
**
Desinformationscouche2et3deconfigurationainsique
desstatistiquesdetraficpourchaqueinterfaceconfigure
surlerouteur.Lesstatistiquessontexploitablesla
conditiondeconnatregalementlacommandeclear
counters[typenumro]quipermetdelesremettre
zro.
showcontrollers[type
numro]
***
Desinformationscouche1pourchaqueinterface
configuresurlerouteur.Cettecommandeshowaffiche
notammentletypedextrmitconnectlinterfaceDTE
ouDCE.Elleintressedoncltudiantensituationdatelier
quandlemarquagedescblesadisparu.
showipinterface[type
numro][brief]
*****
DesinformationsIPsurlesinterfaces.
showiproute
*****
Latablederoutagedurouteur.Certainementla
commandelaplusutilise.Ilestpossibledecomplterla
commandeenajoutantdesargumentsquivontaffinerla
- 1-
demande.Cestmmencessairequandlatablede
routagecomportebeaucoupdentres.
showprotocols
***
Lenometltatdetouslesprotocolesdecouche3
configurssurlerouteur.
showipprotocols
***
Desinformationssurlaconfigurationdesprotocolesde
routagesurcerouteurainsiquelesinformationsde
rseau:sourcesdinformation,distancesadministratives.
showsessions
**
LalistedessessionsTelnetencours.
showusers
**
Lalistedesutilisateursactuellementconnects.En
ajoutantlargumentall,onobtientgalementde
linformationsurleslignesinactives.Ltoilemarquela
lignequiatutilisepourentrercettecommande.
showclock
showhistory
- 2-
**
Lheureetladate.Essayergalementshowclockdetail.
Lhistoriquedescommandesprcdemmententres.
Sauvegardeetrestaurationdesconfigurations
1.Sauvegarde/RestaurationviaTFTP
RFCutiles:
RFC1350TheTFTPProtocolJuillet1992
TouteslesapplicationsnontpasbesoindelatotalitdesfonctionsoffertesparFTP.LacomplexitdeFTPestacquise
au prix dune application au volume consquent. La pile de protocoles TCP/IP dispose dun second protocole de
transfertdefichiersappelTFTP(TrivialFileTransferProtocol,Trivial=simple),trssimple,sanscontrledaccs,sans
possibilit de lister les fichiers distants (il faut connatre le nom du fichier rcuprer). Les capacits de TFTP se
bornentlireoucriredesfichiersdepuisouversunserveurdistant.IlestdoncmoinsvolumineuxqueFTP,cequi
permetparexempledelembarquer en mmoire morte dunsystmeinformatiquequelconque,avecunprogramme
damorcequisenservirapourrapatrierunsystmedexploitationdepuisunserveurdistant.
TFTPsexcuteaudessusdUDP,leserveurTFTPoffresonservicesurleportUDP69.
LepremierdatagrammeUDPtransportelademandedetransfertdefichierquisertaussidedemandedeconnexion.
Sileserveurautoriselarequte,lefichierestenvoyparfragmentsdetaillefixede512octets.Lmetteurenvoieun
de ces fragments puis attend un accus de rception pour ce fragment avant denvoyer le suivant. Le rcepteur
acquittechaquefragmentdssarception.Unpaquetdedonnesdemoinsde512octetssignalelafindutransfert
etlafindufichier.
Lmetteurdun paquet N(donnesouacquittement)armeuntemporisateur.Sicetemporisateurexpireavant
quelepaquetsuivantneluisoitparvenu,alorslmetteurretransmetcepaquetN.Ainsi,lmetteurneconserve
en mmoire quun seul paquet dans lattente ventuelle dune retransmission. Les fragments du fichier sont
numrotssquentiellementpartirde1.Chaquepaquetdedonnescontientunenttequiindiquelenumrodu
fragment transport. Un message derreur peut remplacer un paquet de donnes ou un accus de rception. Il
provoquelaterminaisonimmdiatedutransfert.
Une fois demande la lecture ou lcriture du fichier, le serveur utilise ladresse IP et le port UDP du client pour
identifierleschangesdelasessionTFTP.Ainsi,lesmessagesdedonnesoudacquittementsnontpasbesoinde
prciserlenomdufichier.
TFTPdevraittrerservunusagesurrseaulocal.LesquipementsrseauxembarquentTFTPafindepermettre
lamisejourdeleurssystmesdexploitation.
Commenons par mettre en place un serveur TFTP sur la machine virtuelle VMSRV01. LInternet fourmille de petits
utilitairesgratuitspouvantremplircetoffice.DanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection
CertificationsauxEditionsENI,nousavionsdjmisprofitlexcellentTftpd32capableautantderaliserunserveur
DHCP quun serveur TFTP ou un serveur SYSLOG. vitons de nous disperser, il fera parfaitement laffaire. Pour
mmoire,ilestpossibledeletlchargerdepuislesite:http://tftpd32.jounin.net/
La figure cidessous illustre quelques tapes de la prparation dun serveur TFTP sur la machine VMSRV01. Un
rpertoireCONFIGSatcrdanslerpertoireracineduserveurTFTP.Leserveurestladresse10.0.12.100,
lcoutesurleport69:
- 1-
Dans linterface ILC, la commande utiliser est la commande copy dont la fonction est de copier tout fichier dune
source vers une destination. Une demande daide permet de se rendre compte de la quantit de sources et
destinationsconnuesdelIOS:
R11#copy ?
/erase
/error
/noverify
/verify
archive:
cns:
flash:
ftp:
http:
https:
ips-sdf
null:
nvram:
pram:
rcp:
running-config
scp:
startup-config
system:
tftp:
xmodem:
ymodem:
Lasyntaxedelacommandecopyestlasuivante:
Copy[/erase][/verify|/noverify]sourceurldestinationurl
Modeprivilgi.
/erase:effacelefichierdedestinationavantdeffectuerlacopie.
- 2-
/noverify : ne sapplique quaux fichiers dimages IOS, permet de dsactiver pour cette copie la
vrificationsystmatiquedescopiesdimagesIOS,vrificationentrepriseparcequeladministrateura
entrlacommandedeconfigurationglobalefileverifyauto.
Sourceurletdestinationurl:comprendlafoislalocalisationdufichierainsiquesonnom.Sourceet
destinationpeuventtrelocalesoudistantes.
Avanttoutemiseen uvre,testonslaconnectivitavecleserveurTFTP:
R11#ping 10.0.12.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.12.100, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 24/37/56 ms
R11#
Enversionuneseuleligne,lacommandesuivantepermetdecopierlefichierdeconfigurationcouranteverslefichier
R11confg.txtsitudanslesousrpertoireCONFIGSluimmeplaclaracineduserveurTFTP,cestdiredansle
rpertoireC:\TFTPdelamachineVMSRV01:
R11#copy run tftp://10.0.12.100/configs/R11-confg.txt
Address or name of remote host [10.0.12.100]?
Destination filename [configs/R11-confg.txt]?
.!!
1799 bytes copied in 7.752 secs (232 bytes/sec)
R11#
Le fichier de configuration courante peut indiffremment tre dsign par {run | runningconfig |
system:runningconfig}.
Lammecommandepeutfonctionnerdemanireinteractive:
R11#copy run tftp
Address or name of remote host []? 10.0.12.100
Destination filename [r11-confg]? configs/r11-confg.txt
!!
1799 bytes copied in 4.399 secs (409 bytes/sec)
R11#
Chaquepointdexclamationcorrespondautransfertdedixpaquetsde512octetschacunetindiquequeletransfert
sedroulenormalement.Unpointenlieuetplacedunpointdexclamationsignifiequeleprocessusdecopieasubi
untemporisateurchu(timedout).
Outrelintrtdedisposerdunesauvegardedelaconfigurationdurouteuretdepouvoircentraliserlessauvegardes
detouteslesconfigurationsdesquipementsrseau,lasauvegardesurserveurTFTPpermetlditionhorsinterface
ILC.Pournousenconvaincre,modifionslgrementlaconfigurationdeR11enditantlefichiertexteR11confg.txt:
- 3-
LamodificationportesurlenomdurouteurR11changenR11a.Ilresterinjecter lefichierdanslerouteur
mais plutt que den faire directement le fichier runningconfiguration, proposonsnous den faire le fichier startup
configuration.Ainsi,lamodificationneserapriseencomptequelorsduprochaindmarrage.
LacommandesuivantepermetdercuprerunfichierdeconfigurationsurunserveurTFTPetdenfairelefichierde
sauvegardedelaconfigurationdurouteur,cestdirelefichierStartupconfig:
R11#copy tftp://10.0.12.100/configs/R11-confg.txt start
Destination filename [startup-config]?
Accessing tftp://10.0.12.100/configs/R11-confg.txt...
Loading configs/R11-confg.txt from 10.0.12.100 (via Serial0/0): !
[OK - 1919 bytes]
[OK]
1918 bytes copied in 11.431 secs (168 bytes/sec)
R11a#
*Mar 1 00:01:53.770: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from
tftp://10.0.12.100/configs/R11-confg.txt by console (59140 DUNKERQUE)
R11a#
Lefichierdesauvegardedelaconfigurationpeutindiffremmenttredsignpar{start |startupconfig|
nvram:startupconfig}.
VrifionsquelamodificationestbienpriseencompteenredmarrantR11.Attention,sousGNS3biensauvegarder
latopologieavantdarrterR11(cequiprovoquelasauvegardesurdisquedelaNVRAMsimule).
Le redmarrage peut tre provoqu laide dune commande reload en mode privilgi. La syntaxe de cette
commandeestlasuivante:
reload[/verify|/noverify][line|in[hhh:mm|mmm[text]]|athh:mm[text]|cancel]
Modeprivilgi.
/verify:vrifielasignaturedufichierIOSquiserachargsuiteauredmarrage.
- 4-
redmarrer.
In : le routeur redmarrera dans hhh :mm ou dans mmm minutes. On peut ainsi diffrer le
redmarragejusqu24jours!
at:lerouteurredmarreralheureprogrammecejour(silheure programme est postrieure
lheure courante), le jour prochain (si lheure programme est antrieure lheure courante). Il est
galementpossibledespcifierunedate.00:00provoqueleredmarrageminuit.
cancel:annuleunredmarrageprogramm.
Sicettecommandeesttoutfaitdignedintrt,ilfautbienavouerquelleestassezmalaccepteparlaplateforme
mulelaidedeGNS3.OnsentiendradoncauclicdroitsurlerouteurquilfautredmarrersuividuchoixArrter
puisduchoixDmarrer.
**********************************************************************
**** Avertissement ! Acces aux seules personnes autorisees !
****
**** Vos activites au cours de cette session sont susceptibles
****
**** detre enregistrees. Toute activite illicite fera lobjet
****
**** dun recours en justice !
****
**********************************************************************
2.Sauvegarde/Restaurationparcopiercoller
Cettesecondefaondeprocderesttoutaussiintressante,particulirementquandlditiondelaconfigurationdu
routeurestlongueetfastidieuse.Ilsagit dditerlaconfigurationendehorsdelinterfaceILC,unditeurdetexte
quelconquefaitlaffaire,puisdelinjecterdanslinterfaceILCparcopier/coller.
Pour les ateliers de cet ouvrage, lauteur a propos dutiliser lmulateur de terminal PuTTY bien connu des
professionnels. Lavantage de cet outil est quil permet autant lmulation dun terminal que ltablissement dune
connexion Telnet ou SSH via le rseau. Ce chapitre dcrit une premire procdure qui consiste utiliser PUTTY
associlditeurdetexteNotepadprsentdanstouteslesversionsdeWindows.LechapitreconsacrlaGestion
detraficparlistedaccsproposeunesecondefaondefairequiutiliseloutilHyperTerminalfourniavecWindows,
nouveauassociNotepad.
- 5-
Suivezlesnumrosdespastillessurlesillustrations:
1. Une session console via le port console ou via Telnet est ouverte sur le routeur R11a. Si elle a t ouverte
linstant, la mmoire que PUTTY ddie lactivit de la console (toutes les lignes affiches sur lcran y sont
enregistres)estvide.Sicentaitpaslecas,ilestpossibledevidercettemmoireeneffectuantunclicdroitsurla
barredetitrepuisenslectionnant ClearScrollback.Ladministrateuraplaclinterfacedanslemodeprivilgiet
provoque une commande show run. Puis, ladministrateur frappe la barre despace chaque fois quil obtient le
messageMore,ceafindobtenirlaffichagecompletdelaconfiguration.Puisquelatotalitdelaconfigurationat
affichelcran,ellesetrouvegalementdanslammoiredePUTTY.
2.Pourtransfrerlecontenudecettemmoiredanslepressepapiers,ladministrateureffectueunclicdroitdansla
barredetitre...
3....etdanslemenucontextuelquisaffiche,slectionneCopyAlltoClipboard.
4.LadministrateuraouvertuneinstancedeNotepadetsempressedycollerleprcieuxcontenu.
5. Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent
rellementlaconfiguration.Parexemple,endbutdecapture,effacezleslignessuivantes:
R11a#sh run
Building configuration...
Current configuration : 1226 bytes
Delammefaon,enfindecapture,effacezlalignesuivante:
R11#
Dans cette situation, le lecteur est en possession du fichier de configuration de ce routeur, quil est prudent de
sauvegarder(R11.txtparexemple)etquilestpossibledemodifierloisiravantdelerinjecterdanslerouteur:
- 6-
6. Ladministrateur simpose dutiliser les fichiers texte de configuration en partant systmatiquement du mode
privilgi.Ilajouteparconsquentlacommandeconftncessairepourpasserenmodedeconfiguration.
7.Observezenfinlacommandeend,quivalentelacombinaison[Ctrl]Z,etquipermetdereveniraumodeprivilgi
aprslinjection de la configuration modifie. Non illustr : la commandeno shutdownnapparaissantpasdefaon
explicitelorsquuneinterfaceatactive,ilpeuttreutiledelajoutersurlesinterfacesconcernes(f0/0etS0/0
danslecasprsent).Ainsi,lefichierobtenuinjectdansunrouteursortiducartonpermettraitdereproduireunclone
deR11.
8.LadministrateurslectionnelensembleducontenudufichierR11.txt...
9....etleplacedanslePressepapiers.
10.DeretourdanslasessionconsoleouvertesurlerouteurR11a,lemodeencoursestlemodeprivilgi.Unsimple
clicdroitprovoquelecollageducontenuduPressepapiers.
11.R11aestredevenuR11.
SilfautcomparerlesdeuxmthodesdditionhorsinterfaceILC,remarquonstoutdabordquavecletransfertTFTP,
lasourceoulacibledelaconfigurationsontindiffremmentlefichierrunoulefichierstart.Lamthodecopier/coller
prsenteunpeumoinsdesouplesse.CertesquandoncapturelaconfigurationdanslePressepapiers,puisquelle
est issue dunecommandeshow,cepeuttreunecommandeshow runouunecommandeshowstart. Mais dans
lautresens,quandoninjectelaconfiguration,cenepeuttrequedanslefichierdeconfigurationcourante.Ilreste
nepasoublierdeconclureavecunecommandedecopiecopyrunstart.
3.Commenterlesfichiersdeconfiguration
Avouezqucetinstant,onestpluttsatisfaitlidedutempsquilestpossibledegagnerentravaillanthorsde
linterface ILC. Le second avantage tient la possibilit de grer de faon rationnelle, centralise et scurise les
fichiersdeconfigurationdesquipements.Encoreunepierredansldificationdunepolitiquedescurit.
Un avantage non document consiste commenter les fichiers de configuration. Le lecteur aura remarqu la
prsencedespointsdexclamationdanscesfichiersetlefaitquilsfontofficedecaractresdesparation.Lefichier
deconfigurationresteunfichiertextemaislesdiffrentesrubriquesquilecomposentsontaresparlespoints
dexclamation.Onpeutlessupprimerouenajouter,cestsansinfluencesurlinterprtationquefaitlIOSdeslignes
decommande.
Chose irralisable depuis linterface ILC, on peut donc galement ajouter du texte aprs lun de ces points
dexclamation,ilneserapasinterprtparlIOS:
- 7-
Supposonsquelonaittransfrlefichiercidessusverslefichierdeconfigurationstart.Pendantloprationdeboot
durouteur,lefichierrunatobtenuparclonagedufichierstart,ceciprsquelecommentaire,inconnudelIOSa
t ignor. En final, il est possible de visualiser le commentaire laide dune commande show start. Mais ce
commentaireresteabsentdursultatdunecommandeshowrun.Etuneseulecommandecopyrunstartaraisondu
commentaire.IlfautdoncsurtoutleconsidrercommeuncommentairehorsinterfaceILC.
4.TP:Cration,sauvegardeetrestaurationdunfichierdeconfiguration
a.Activitguide
En premier lieu, le lecteur est invit reproduire la topologie propose en dbut de chapitre puis y reproduire
lensembledesactivitsdecechapitre.
b.Activitnonguide
laide de lunedesdeuxmthodesproposes,TFTPoucopier/coller,extrayezlaconfigurationdurouteurR11
dansunfichierR11.txt.
ModifiezcefichierafinquildeviennelaconfigurationdeR12etsauvegardezdansR12.txt.
InjectezR12.txtdanslerouteurR12parTFTPoucopier/coller.
VrifiezlaconnectivitdePCL11avecPCL12.
tout hasard, les deux fichiers R11.txt et R12.txt ont t placs dans larchive Atelier2a.zip disponible en
tlchargement. Ces fichiers sont prvus pour tre injects dans les routeurs par la mthode copier/coller. Pour
quilspuissentgalementtrechargsparTFTPentantquefichiersdeconfiguration,ilconvientaupralabledter
lapremireligneconftdanschacundesdeuxfichiers.
Cetatelierestprsenttermin.
- 8-
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Ladministrateuraentrlescommandesdeconfigurationcidessous:
Router(config)#service password-encryption
Router(config)#enable password my_password
Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande
showrun?
2 Ladministrateuraentrlacommandedeconfigurationcidessous:
Router(config)#enable secret my_password
Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande
showrun?
3 Quellecommandepermettraitdesassurerdeltatdesinterfaceslafoissurlacouchephysiqueetsurla
coucheliaison?
4 LadministrateurtentedouvriruneconnexionTelnetsurlerouteurNANTES.Ilestcertainquelacorrespondance
Nom@IPexistesurleserveurDNS.LeserveurDNSestbienrenseigndanslaconfigurationdeR11laide
dunecommandeipnameserver.Quelpourraittreleproblme?
R11#NANTES
Translating "NANTES"
Translating "NANTES"
% Unknown command or computer name, or unable to find computer address
R11#
5 QuellecommandepermetdactiverlemodeapproprisurlerouteurpourconfigureruneinterfaceLANdetype
fastethernet?
6 Observezlatopologiecidessousetlaconfigurationassocie.
- 1-
9 Quellecommandepermettraitderedmarrerunrouteurminuitcejour?
10 QuellecommandepermetdesauvegarderlaconfigurationprsenteenRAMdanslapartitionNVRAM?
11 QuellecommandepermetdafficherlensembledescommandesvalidesdanslemodeactueldelinterfaceILC?
12 Quelpeuttrelesouciausujetduneinterfacepourlaquelleladministrateurareulemessagesuivanten
rponseunecommandeshowinterfaceserial0/0?
Router#sh int s0/0
Serial0/0 is administratively down, line protocol is down
13 Quelpeuttreleproblmeausujetduneinterfacepourlaquelleladministrateurareulemessagesuivanten
rponseunecommandeshowinterfaceserial0/0?
Router#sh int s0/0
Serial0/0 is down, line protocol is down
14 QuelleestlencapsulationralisepardfautsuruneliaisonWANdetypesynchrone?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/14
Pourcechapitre,votrescoreminimumdoittrede11sur14.
3.Rponses
1 Ladministrateuraentrlescommandesdeconfigurationcidessous:
Router(config)#service password-encryption
Router(config)#enable password my_password
Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande
showrun?
enable password 7 #######
Lasquence######correspondaumotdepassechiffrlaideduservicepassword encryption.
2 Ladministrateuraentrlacommandedeconfigurationcidessous:
Router(config)#enable secret my_password
Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande
showrun?
enable secret5 #######
Lasquence######correspondaumotdepassechiffrlaidedelalgorithmeMD5.
3 Quellecommandepermettraitdesassurer de ltatdesinterfaceslafoissurlacouchephysiqueetsurlacouche
liaison?
Router#sh ip int br
4 LadministrateurtentedouvriruneconnexionTelnetsurlerouteurNANTES.IlestcertainquelacorrespondanceNom
@IP existe sur le serveur DNS. Le serveur DNS est bien renseign dans la configuration de R11 laide dune
commandeipnameserver.Quelpourraittreleproblme?
- 2-
R11#NANTES
Translating "NANTES"
Translating "NANTES"
% Unknown command or computer name, or unable to find computer address
R11#
Larsolutiondenomsestdsactivelaidedelacommandenoipdomain lookup.
5 Quelle commande permet dactiver le mode appropri sur le routeur pour configurer une interface LAN de type fast
ethernet?
Router(config)#interface fastethernet 0/0
6 Observezlatopologiecidessousetlaconfigurationassocie.
- 3-
11 QuellecommandepermetdafficherlensembledescommandesvalidesdanslemodeactueldelinterfaceILC?
?
12 Quelpeuttrelesouciausujetduneinterfacepourlaquelleladministrateurareulemessagesuivantenrponse
unecommandeshowinterfaceserial0/0?
Router#sh int s0/0Serial
0/0 is administratively down, line protocol is down
Pourcetteinterface,lefichierdeconfigurationcomporteunecommandeshutdown.
13 Quel peut tre le problme au sujet dune interface pour laquelle ladministrateur a reu le message suivant en
rponseunecommandeshowinterfaceserial0/0?
Router#sh int s0/0
Serial0/0 is down, line protocol is down
Cettefois,ilsagitdunproblmequiaffectelacouchephysique:dfautdecble,pasdquipementactifenvisvis...
14 QuelleestlencapsulationralisepardfautsuruneliaisonWANdetypesynchrone?
HDLCmaisenralit,unHDLCrevisitparCISCO.
- 4-
Prrequisetobjectifs
1.Prrequis
cestade,lorganisationmatrielleetlogicielledurouteur,sesportsdadministration,sesinterfaces,sonsystme
dexploitation,sonpartitionnementmmoiresontsuppossconnussoitlquivalentduchapitreLesrouteursdecet
ouvrage.
De mme, le maniement de linterface ILC, les changements de contexte, les commandes de configuration
essentielles, les commandes de visualisation dtat les plus classiques ne sont plus dcouvrir, ceci a t fait
pendantlechapitreTchesdeconfigurationdesrouteurs.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Dcrirelasquencedvnementsquicomposentlamoragedunrouteur.
MettreniveaulesystmedexploitationCISCOIOS.
- 1-
LIOS
1.Introduction
Commetoutordinateur,unrouteurouuncommutateurnepeuventfonctionnersanssystmedexploitation.Dansle
casdesquipementsCISCO,leconstructeurledsigneparIOS(InternetworkingOperatingSystem)etilestembarqu
surlaplupartdesesmatriels,routeurs,commutateurs,pointsdaccssansfil,indpendammentdeleurtailleoude
leurtype.
LIOSeststockdanslapartitionmmoireFlashquiestaurouteurcequeledisquedurestauPC(quoiquelarrive
desdisquesSSDSolidStateDrivepourraitrapidementdavantagerenforcerlessimilitudesentrelesquipements).
Avantsonchargementenmmoirevive,lensembleCISCOIOSestfournisouslaformedunseulfichierdeplusieurs
Mgaoctets.Curieusement,ondsigneparimagecefichier,limagecontientlIOSentierpourunquipementdonn.
LIOSestchargenmmoirevivependantledmarrage.
Commetoutsystmedexploitation,lIOSdoitgrerlesressourcesmatriellesetlogiciellesdurouteur,celacomprend
lallocationdemmoire,lagestionmultitchesdesdiffrentsprocessus,lagestiondusystmedefichiers.Lacronyme
IOSestdevenugnriquemaisrecouvrepourtantdesralitstrsdiffrentes,cepouraumoinstroisraisons:
Denombreusesplatesformeslutilisent.
LaconceptiondelIOSestmodulaire,uneimageintgredesfonctionnalitsplusoumoinsnombreuses,cecia
une incidence directe sur la taille de la mmoire Flash qui doit accueillir limage ainsi que sur la quantit de
mmoirevivequelerouteurdoitembarquerpouresprerlafairetourner.
CISCOproposergulirementdenouvellesversions,ilpeutsagirdecorrectionsdeboguesoudelajoutde
nouvellesfonctionnalits.
Defait,ilexistedenombreusesimagesIOSetilestpeuprobablequunrouteurterminesonexistenceaveclIOSqui
lquipaitlasortieducarton.LesmotivationssubstituerunIOSunautresontdiverses,cepeuttrelesouhait
dedisposerdelaversionlaplusrcenteoudedisposerdelammeversionsurlensembledesrouteursdunrseau.
Lundessavoirfairedeladministrateurconsistechargerunenouvelleimagesurlerouteur.Nousenvisageronstrois
mthodes, deux qui supposent une interface rseau accessible, la troisime qui se cantonne lutilisation du port
console.
2.LesimagesIOS
CISCOdistinguedeuxtypesdimages:
1.LimagebootcontientunsousensembledelIOScomplet,suffisantcependantpourchargerunIOScompletdepuis
lerseauoupourchargeruneimageIOSsurlerouteur.Lerouteurmetgalementprofitlimagebootquandilnest
pasparvenutrouveruneimagesystmevalide.Limagebootestdsigne,selonlessystmes,image rxboot,
imagebootstrapouimagebootloader.
Sur certaines platesformes, limage boot est contenue en ROM, dans dautres, elle peut tre contenue en mmoire
Flashetdanscecas,unecommandebootbootldrenmodedeconfigurationglobalepermetdespcifierquelleimage
bootlerouteurdoitutiliser.
2.LimagesystmecontientlIOScomplet.Cetteimageestchargependantleboot.Leplusordinairement,lerouteur
estsouslecontrledunIOSissuduneimagesystme.
Surlaplupartdesplatesformes,limageestconservedanslapartitionFlash.Certainesplatesformesdisposentde
plusieurs partitions Flash (flash, boot flash, slot 0, slot 1...) et dans ce cas, limage peut tre stocke sur chacune
delles.Unecommandeshowfilesystemsfournitlalistedespartitionssupportesparlerouteur,untypeopaque
faitrfrenceunepseudopartition:
Router#show file systems
File Systems:
Size(b)
Free(b)
Type Flags Prefixes
opaque
rw
archive:
opaque
rw
system:
29688
29636
nvramrwnvram:
opaque
rw
null:
network
rwtftp:
opaque
roxmodem:
- 1-
16777212
-
Router#
16777212
opaque
opaque
flash
opaque
network
network
network
network
network
network
rocns:
roymodem:
rw
flash:
wo
syslog:
rwrcp:
rw
pram:
rw
ftp:
rw
http:
rwscp:
rw
https:
3.NommagedesimagesIOS<12.3
Laconventiondenommagedesfonctionnalitsdcriteicitaitcellequiprvalaitavantlaversion12.3delIOS.Lenom
attribuaufichierimagesystmerespecteleformatsuivant:
Platformfeaturesettype,exemple:c2600ik9smz.12240a.bin
Platform : identifie la plateforme matrielle pour laquelle limage a t conue. C2600 dans
lexemplecidessusidentifielaplateformeCisco2600.
featureset:laconceptiondelIOSestmodulaire,limageIOSrsultedelassemblagedediffrentes
briqueslogiciellesselonlesfonctionnalitsquelledoitintgrer.Ainsi,danslexemplecidessus, I
identifie la brique IP , K9 identifie IPSec ainsi que des fonctionnalits de cryptographie telle
3DES (Triple DES (Data Encryption Standard)), S identifie des fonctionnalits en rapport avec SRB
(SourceRouteBridging,technologiederoutageintroduiteparIBM).
type:renseignesuruneouplusieurscaractristiquesdelimage:
f:limagesexcutedirectementenmmoireFlash.
m:limagesexcuteenRAM.
r:limagesexcutedepuislaROM.
l : limage est relogeable. Reloger un excutable consiste modifier, sitt aprs son
chargement et avant son excution, les adresses quilrfrencepourquellescorrespondent
aux adresses physiques des lments, code excutable ou donnes, au moment de
lexcution.Eninformatique,relogerestdoncsynonymedetranslater.
z:limageestcompresseselonleformatzip.
x:limageestcompresseselonleformatmzip.
w:limageestcompresseselonleformatstac.
Letableaucidessousreproduitunepartiedessymboleslesplusfrquemmentrencontrs:
Symbole
- 2-
Interprtation
AppleTalk
Rseaunumriqueintgrationdeservices(RNIS(Rseau
NumriqueIntgrationdeServices)ouISDN(IntegratedServices
DigitalNetwork))
CaractristiquesIP,comprendSNMP(SimpleNetworkManagement
Protocol),IP,Bridging,WAN,RemoteNode,TerminalServices...
I2
IPpourlaplateforme3600
I3
IPrduitsansBGP/EGP/NHRP(NextHopResolutionProtocol)
CaractristiquesEnterprise(ajoutetouslesprotocolesde
routage)
Cryptographie,comprendIPSec,SSH(SecureShell)
K8
Cryptographiefaible,DES56bits
K9
Cryptographieforte,TripleDES,AES(AdvancedEncryptionStandard)
NovellIPX(InternetworkPacketExchange)
Firewall
O2
Firewall(3xx0)
O3
FirewallavecSSH(36x0,26x0)
CaractristiquesPlus,comprendNAT,VPN
S6
PlussansATM(AsynchronousTransferMode)
S7
Plussanslavoix
IPsurlesrouteursdelasrie1700
H323GateKeeper/Proxypour25003620,3640,MC3810
Quelquesexemplesdassemblagespossibles:
TapezdansunmoteurderechercheCiscoIOS12.3FeatureSetsforCisco2600XM.
VouspouvezbiensrremplacerCisco2600XMparlaplateformequivousconcerne.
Silelienexisteencoreaumomentovouslisezceslignes,cliquezsurlelienversledocument...
Aumomentoceslignessontcrites,CISCOproposelespackagessuivantspourcetteplateforme:
FeatureSet
ImageFilename
Packagesclassiques
ENTERPRISE/FW/IDSPLUSIPSEC3DES
c2600jk9o3smz
ENTERPRISEPLUSIPSEC3DES
c2600jk9smz
ENTERPRISEPLUS
c2600jsmz
- 3-
IP/FW/IDSPLUSIPSEC3DES
c2600ik9o3smz
IP/FW/IDSPLUSIPSEC56
c2600ik8o3smz
IPPLUSIPSEC3DES
c2600ik9smz
IPPLUS
c2600ismz
IP/IPX/APPLETALK/FW/IDSPLUS
c2600bino3smz
IP/IPX/APPLETALKPLUS
c2600binsmz
IP/IPX/APPLETALK
c2600binmz
IP/FW/IDS
c2600io3mz
IP
c2600imz
Packagesspciaux
ENTERPRISE/SNASWPLUSIPSEC3DES
c2600a3jk9smz
ENTERPRISE/SNASWPLUS
c2600a3jsmz
ENTERPRISEPLUS/H323MCM
c2600jsxmz
ENTERPRISE/SSG
c2600g4jsmz
ENTERPRISEPLUSIPIPGATEWAYIPSEC3DES
c2600jk9s2mz
ENTERPRISEPLUSIPIPGATEWAY
c2600js2mz
SS7SIGNALINGLINKTERMINATION
c2600ipss7mz
IP/H323
C2600ixmz
TELCOFEATURESET
C2600telcomz
Dtaillonsquelquesunsdecespackages:
- 4-
C2600ik9o3smz
iIP
k9Cryptographieforte(3DES,AES)
o3IOSParefeu,dtectiondintrusion
sFonctionnalitsPlus
C2600binmz
bAppleTalk(protocoledecommunicationdApple)
iIP
nIPX(protocoledecouche3deNovell)
C2600ik9smz
IdemC2600ik9o3smzsanslesfonctionnalitsdeparefeu.
<software-
<router-name> uptime is <w> weeks, <d> days, <h> hours, <m> minutes
System returned to ROM by reload at <time><day><date>
System image file is "<filesystem-location>/<software-image-name>"
Last reload reason: <reload-reason>
Cisco <platform-processor-type> processor (revision <processor-revision-id>) with
<free-DRAM-memory>K/<packet-memory>K bytes of memory.
Processor board ID <ID-number>
<CPU-type> CPU at <clock-speed>Mhz, Implementation <number>, Rev <Revision-number>,
<kilobytes-Processor-Cache-Memory>KB <cache-Level> Cache
Lesinformationsfourniessontdetroisordres:
1.Desinformationslogicielles:
versiondelIOS
capacitsdelIOS(featureset)
emplacementetnomdufichierdebootenROM.
2.Desinformationsspcifiqueslquipement:
Nomattribu.
Tempscouldepuislamisesoustension(Systemuptime,cestaussiletrapSNMPuptime).
Motifquiaprovoquledernierredmarrage(Systemreloadreason).Exemples:lacommande reload,lamise
soustension(poweron)...
Valeurcouranteduregistredeconfiguration.
Sidiffrente,lavaleurquadopteraleregistredeconfigurationauprochainredmarrage.
3.Desinformationssurquelquesaspectsphysiquesdelaplateforme:
typedeplateforme
typedeCPU
versionhardwareduCPU
quantitdemmoireprincipaleinstalle
- 5-
quantitdemmoireattribueauxentres/sorties
quantitdemmoireFlashinstalle
identifiantdecartemre.
Exempledecequepourraittrelersultatdunecommandeshowversion:
R11#show version
Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE
SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Mon 10-Sep-07 10:27 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
R11 uptime is 0 minutes
System returned to ROM by reload at 10:36:51 UTC Tue Mar 9 2010
System image file is "flash:c2801-ipbase-mz.124-16a.bin"
Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory.
Processor board ID FCZ113990F6
2 FastEthernet interfaces
2 Low-speed serial(sync/async) interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
R11#
Observeznotammentlespartiesengrasdelacapture.Lesdeuxnombresdonnsausujetdelaquantitdemmoire
vive mritent quelques explications. La premire valeur reprsente selon les cas la seule partie de mmoire vive
disponiblepourleprocesseurou latotalitdelammoireviveinstallesurlesystme.Lasecondevaleurreprsente
la quantit de mmoire ddie aux paquets. Cette mmoire est organise de faon optimiser le traitement des
paquets,concrtementenycrantdestamponsdepaquets.
LesplatesformeslespluspuissantesdelagammeCISCO(Cisco4000,4500,4700et7500)bnficientdemmoire
ddiecetusage,CISCOladsigneparI/OmemoryouFastmemory.Lepremiernombrefourniindiquedans
cecaslaquantittotaledemmoirevivedispositionduprocesseur.
LesplatesformesCisco2500,2600,2800,3600et7200quantellespartagentlammoireviveinstalle,afinden
mettreunepartiedisposition,pourconstituerlestamponsdepaquetsassocisauxinterfaces.Laconsquenceest
quil est ncessaire dadditionner les deux nombres fournis pour exprimer la quantit totale de mmoire vive
embarque par le routeur. Dans la capture cidessus, effectue sur une plateforme 2800, la somme des deux
nombresdonne131072K/1024=128Mo.
4.volutiondupackagingdesimagesIOS
Avec larrive de la version 12.3 de lIOS, CISCO dcide de refonder loffre logicielle en la simplifiant, le nombre de
packages possibles passant selon Cisco de quarantequatre huit ! Quatre de ces packages rpondent quatre
besoins reprs typiques : donnes IP, convergence voixdonnes,ScuritetVPNetprotocolesdentreprise.Trois
packagessupplmentairesoffrentdenouvellescombinaisonsdefonctionnalitsmmedesatisfairedesbesoinssur
des rseaux dune certaine complexit. Enfin, il est possible dacqurir une version premium, appele Advanced
EnterpriseServices etquiregroupelensembledesfonctionnalitsoffertesdefaonspareparlesautrespackages.
Une des caractristiques de la nouvelle offre est de fonctionner selon un systme dhritage : une fonctionnalit
introduite sur un niveau bas ou intermdiaire de loffre nest pas te sur un niveau suprieur, ce qui facile la
migration vers des packages de niveau plus lev, ladministrateur ayant la certitude de ne pas perdre des
fonctionnalitsparmicellesdontildisposaitdj.Lafiguresuivante,issuedeCISCO,illustrelanouvellehirarchiede
loffrelogicielleCISCO:
- 6-
PackageIPBase
Ensembledeservicesrequispouroprerdansunenvironnementdedonnes,comprendlaconnectivitDSL,
lesmodulesdecommutationEthernet,leroutage802.1q,letrunking surlesinterfacesEthernet.Toutes
ces fonctionnalits sont hrites et donc prsentes galement dans les sept autres packages. Limage IP
BaseestlimagepardfautsurlaplupartdesrouteursCISCO.
PackageIPVoice
CepackageajoutedesfonctionnalitstypesvoixauxfonctionnalitsdeIPBase.OutrelavoixsurIP,le
supportdelavoixsurFrameRelayestgalementprvu.Touteslesinterfacesvoixexistantesetleurprotocole
designalisationsontsupports(exemples:H323,MGCP:MediaGatewayControlProtocol).Enfin,IPVoice
intgre des services ddis la tlphonie tels Call manager Express ou SRST (Survival Remote Site
Telephony).
PackageAdvancedSecurity
Ce package ajoute des fonctionnalits de scurit aux fonctionnalits de IP Base , telles les VPN, des
fonctionnalitsdeparefeu,dedtectiondintrusion,lesupportdeSSHversion1,lesupportdeCiscoEasy
VPNClientandServer.CepackageintgrepourcefairelescapacitsdecryptographieAESet3DES.
PackageSPServices
Ce package ajoute aux fonctionnalits de IP Voice le support de la voix sur ATM, le support de MPLS
(MultiprotocolLabelSwitching)etSSHversion1.
PackageEnterpriseBase
CepackageajouteauxfonctionnalitsdeIPVoicelesupportdenombreuxprotocolestiers,telsAppletalk,
IPXdeNovell,desprotocolesoudestechnologiesissusdIBMtelsSDLC,SNA(SystemsNetworkArchitecture)
ouTokenRing.
PackageEnterpriseServices
CepackageregroupelesupportdIPX,dAppletalk,deDECnetetlesservicesIBMaveclesservicesvoixet/ou
lesservicesATM.IlcombinedonclesfonctionnalitsdesdeuxpackagesSPservicesetEnterpriseBase.
ENI Editions - All rigths reserved - Noba Mafiza
- 7-
IlconvientauxclientsquisouhaitentintgrerlesservicesvoixetlesservicesIBM.
PackageAdvancedIPServices
CepackageregroupedesfonctionnalitsdevoixetdonnesavecdescapacitsdescuritetVPN.Ilajoute
donc aux fonctionnalits de SP services le support de VPN, la dtection dintrusion, IPv6, le parefeu,
toutesfonctionnalitsissuesdupackageAdvancedSecurity.
PackageAdvancedEnterpriseServices
Ce package offre le support multiprotocoles (par exemple Appletalk, Novell IPX et DECnet) avec les services
voixetscurit.Cestvidemmentlasolutionlaplusriche.
LetableausuivantmontrecetteoffreIOSrduitehuitpourlammeplateforme2600XMdjutiliseenexemple
dansleparagrapheprcdent:
FeatureSet
ImageFilename
Flash
ncessaire
RAM
ncessaire
Packagesmultiplatesformes
IPBASE
c2600ipbasemz
16Mo
64Mo
IPVOICE
c2600ipvoicemz
32Mo
96Mo
ADVANCEDSECURITY
c2600advsecurityk9mz
16Mo
64Mo
ENTERPRISEBASE
c2600entbasemz
16Mo
64Mo
SPSERVICES
c2600spservicesk9mz
32Mo
96Mo
ENTERPRISESERVICES
c2600entservicesk9mz
32Mo
96Mo
ADVANCEDIPSERVICES
c2600advipservicesk9mz
32Mo
96Mo
ADVANCEDENTERPRISESERVICES
c2600adventerprisek9mz
32Mo
96Mo
Toujours pour cette mme plateforme 2600XM, CISCO suggre des migrations pour certaines de ses images IOS
retiresdelavente:
EndofSalesFeatureSet
Migrationsuggre
ENTERPRISE/SNASWPLUSIPSEC56
ENTERPRISE/SNASWPLUSIPSEC3DES
c2600a3jk8smz
c2600a3jk9smz
IPPLUSIPSEC56
IPPLUSIPSEC3DES
c2600ik8smz
c2600ik9smz
ADVANCEDSECURITY
c2600advsecurityk9mz
ADVANCEDIPSERVICES
c2600advipservicesk9mz
ENTERPRISE/FW/IDSPLUSIPSEC56
ENTERPRISE/FW/IDSPLUSIPSEC3DES
c2600jk8o3smz
c2600jk9o3smz
ADVANCEDENTERPRISESERVICES
c2600adventerprisek9mz
- 8-
ENTERPRISEPLUSIPSEC56
ENTERPRISEPLUSIPSEC3DES
c2600jk8smz
c2600jk9smz
ADVANCEDENTERPRISESERVICES
c2600adventerprisek9mz
5.Lecassettedesnumrosdeversion
Encoreunsujetdontilvafalloirrenoncerfaireletour.Unestimconfrrelafaitetlersultatestunouvragede308
pages ! Nous nous en tiendrons lindispensable. Les diffrentes versions de lIOS sont classifies en trains ,
chaque train contient un ensemble diffrent de fonctionnalits, chaque train suit sa voie. Parmi tous les trains
maintenus par CISCO, ladministrateur doit absolument connatre lexistence des deux trains Main Line et
Technology :
LetrainMainLine(littralementgrandeligne)offrelesversionslesplusstablesetnvoluejamaisentermesde
fonctionnalitscontenues(lastabilitestceprix),cependanttoutesavie.Lesmisesjourrguliresnontdonc
paspourobjetdeproposerdenouvellesfonctionnalitsoulesupportdenouveauxmatrielsmaisbiendapporterdes
correctionsdesproblmesidentifis.
Exemples:
Laversion12.4(1)estlepremierexemplairedelIOSproposdansletrainMainLine12.4.
La version 12.4(16) constitue une mise jour gnrale qui intgre tous les correctifs apports depuis la
version12.4(1).Cenestpourtantpasla16 e version,carlesnumrosdeversionlintrieurduntrainsont
certes croissants, mais ne se suivent pas ncessairement. Ainsi, dans le train Main Line , la version qui
prcdait12.4(16)tait12.4(13f).Lesnumrosdeversion(14)et(15)nepeuventappartenirautrainMain
LinecarilsonttattribusautrainTechnology.
Laversion12.4(16a)estuneversiontransitoire,destineraccourcirletempsderactiondeCISCOvisvis
dunproblmeidentifi.Uneautreversiontransitoire12.4(16b)asuivilaversion12.4(16a)avantdarriverla
misejourgnrale12.4(17).
Laversion12.4(2)TestlepremierexemplairedelIOSproposdansletrainTechnology12.4.
Laversion12.4(20)Tconstitueunemisejourgnrale.
Laversion12.4(20)T2estuneversiontransitoire.
Lafiguresuivanteillustrelecheminementparallledestrainsdeversions:
- 9-
ObservezsurlafigurecidessuslasuccessiondesversionsdutrainMainLinepourparvenirlaversion12.4(25c),
versionlaplusrcentedecetrainaumomentoceslignessontcrites.Delammefaon,observezquelaversionla
plus rcente du train Technology est la version 12.4(24)T2. Dans les deux cas, observez que les versions se
succdentmaisrestentsystmatiquementaffublesdunsuffixeplacentreparenthses(ED)ou(MD)dontlobjetest
dequalifierlaversion.Lessuffixespossiblessontlessuivants:
- 10 -
(DF):DeferralReleases,cemarquageannonceleretraitprochaindelimageconcerne(limageneferaplus
partie de loffre CISCO). Lditeur recommande vivement ses clients de migrer vers une image de
remplacement.
(ED):EarlyDeploymentReleases,lobjetduneversionEDestdetraduiresansdlaileseffortsdesquipes
dedveloppeurssurlemarch.LesversionsEDconnaissentdessouscatgories:
(CTED):ConsolidatedTechnologyEarlyDeploymentreleases,galementappelesversionsT.
(STED):SpecificTechnologyEarlyDeploymentreleases.
(SMED):SpecificMarketEarlyDeploymentreleases.
(XED):ShortLivedEarlyDeploymentreleases,galementappelesversionsX.
(MD):MaintenanceDeploymentreleases,lobjetduneversionMDestdefournirdescorrectifslogicielsdans
uncadredemaintenancelogiciellenormale.
(GD) : General Deployment releases ,ltape GD est un jalon important dans le cycle de vie de la version
dIOS. Une version majeure atteint le stade GD quand CISCO estime que la version convient pour un
dploiement dans tous les rseaux de ses clients. CISCO se fonde sur une quation complique o
interviennent entre autres le retour des commentaires clients et les rsultats des tests oprs avec cette
version.
(LD):LimitedDeploymentreleases,tatquiprcdeltatGDdanslecycledevieduneversion.
Quelquesrelationsentrecestypesdeversions:
LescorrectionsdesproblmeslogicielsidentifissontappliquesautrainMainLine.Rgulirement,ces
correctionssontgalementappliquesauxversions(CTED)etparsuiteauxversions(STED)quiontunliende
parentaveclesversionsCTED.
Une relation parentenfantlietouteversionSTEDouSMEDsoitavecuneversiondutrainMain Line,soit
avecuneversionCTED.LaversionSTEDouSMEDresteactivetantquelaversionparentedemeureactiveet
hritedesmmesdveloppements.
UneversionXtrouvesonoriginedansuneversionCTED.Elleoffreauxquipesdedveloppeurslemoyende
fournirtrsrapidementdenouvellestechnologiesaumarch.UnemisejourdeversionXestappeletre
galement applique rapidement sa racine CTED. Quand les fonctionnalits spcifiques qui ont justifi la
cration de cette version X se voient finalement intgres la version CTED racine, la version X devient
obsolteetpasseltatEoE(EndofEngineering).
Les technologies prouves introduites dans les six premires rvisions du train Technology sont
conservesafindefournirlabasedecequiconstitueraleprochaintrainMainLine(le12.5aumomento
ceslignessontcrites).
6.Cycledevie
Ilestbondeconnatrelesacronymesassocisauxgrandestapesquijalonnentlavieduneversion:
FCS:FirstCustomerShipment,laversionestmisedispositiondelaclientlesurlesiteCisco.com.
EoS:EndofSale,laversionnestplusvenduemaislesversionsdemaintenancerestentdisponiblessurle
sitedetlchargement.LannoncedufuturtatEoSintervientsixmoisavantsadateeffective.
EoE:EndofEngineering,CISCOneconstruitplusdenouvellesimagesIOS,lesquipesdedveloppement
ne produisent plus de correctifs logiciels et nintgrent plus de nouvelles fonctionnalits. Cependant, un
supportresteassurparleTAC(TechnicalAssistanceCenter).
EoL : End of Life , CISCO cesse tout support de cette version et recommande la mise jour vers une
versionplusrcente.
- 11 -
Lasquencededmarrage
1.Organigrammedelasquencededmarrage
Nouslavonsdit,unrouteurestavanttoutunordinateuretlessimilitudesvontjusquleurfaondedmarrer.Une
diffrence cependant tient au fait quun ordinateur ne dispose ordinairement que dun seul systme dexploitation
install.Unrouteuraucontrairepeutchargerunsystmedexploitationparmiplusieursissusdesourcesdiffrentes,
localesaurouteuroudistantes.
Lorganigrammeciaprstentederetracerlestapesdelasquencedamorage:
1. Comme tout ordinateur, le routeur effectue le test appel POST (PowerOn Self Test) et destin vrifier le bon
- 1-
fonctionnementdesdiffrentscomposantsmatrielsdurouteur.
2.LerouteurcopieenRAMetexcuteunprogrammedestincontrlerlasuitedudmarrage(bootstrap).Sagitil
dun programme spcifique (un picocode ) ou dj du minisystme dexploitation ROMMON comme le laissent
pensercertainesdocumentationsCISCO?(parexemple:"CiscoIOSConfigurationFundamentalsGuideRelease12.4
BootingProcess"),peuimporte.
3. Le programme damorage dtermine quelle image IOS doit tre utilise, charge cette image en RAM puis lui
transfrelecontrle.
4.Cest dsormais lIOSquicontrlelerouteuretunesquencenormalededmarragesepoursuitenchargeantle
fichierdeconfigurationstartupconfigquidevientalorsrunningconfig.
Ladministrateur na aucun contrle sur les deux premires tapes, tout au plus peutil interrompre la squence de
dmarragepourquellesachveautermedeltape2,ceengnrantunBreaksurleportconsolependantles
soixantepremiressecondesdudmarrage(combinaison[Ctrl][Pause]).
Cette squence de dmarrage ncessite dautres commentaires qui ne pourront tre faits quune fois expliqu le
registredeconfiguration...
2.Leregistredeconfiguration
Danciens routeurs taient quips dans le pass de micro commutateurs qui participaient la configuration de
lquipement.CISCOaprennislespratiquesacquisesalorsenremplaantcesmicrocommutateursparunregistre
de 16 bits appel registre de configuration. La valeur stocke dans ce registre est maintenue en labsence
dalimentation.Deplus,lacommandequipermetdcriredansceregistrenapasbesoindtresuiviedunecommande
de sauvegarde. La figure suivante peut rejoindre directement le petit carnet de notes quun administrateur devrait
constitueretconserversurlui:
PourleCCNA,ladministrateurdoitmatriser...
- 2-
Lusage du champ damorage : ce champ occupe les 4 bits de poids faible du registre. La squence de
dmarragetestecechamp,troisrsultatssontpossibles:
Lusagedubit6cebitplac1modifielecomportementdurouteurlafindelasquencedamorage,qui
ignoredanscecaslecontenudelaNVRAMetdonclefichierdesauvegardedelaconfigurationstartupconfig.
Cettefacultseramiseprofitdanslaprocdurederecouvrementdemotsdepassedcritedanscechapitre.
Pour luimme,ladministrateur devrait matriser lusage des trois bits 5, 11 et 12 qui permettent de rgler le dbit
numriqueduportconsole,cestutilequandparexempleonsouhaitedtournerleportconsoledesonusagepremier
pourtransfreruneimageIOSenFlash,laprocdureestgalementdcritedanscechapitre.
3.Lacommande"bootsystem"
La commande boot system admet plusieurs dclinaisons selon la localisation de limage charger. Les syntaxes
suivantesnousserontutiles:
bootsystemflash[flashfs:][partitionnumber:][filename]
UtilequandilfautchargeruneimagedepuisunepartitionFlash.
Modedeconfigurationglobale.
flashfs: optionnel, dsigne la partition Flash qui contient limage charger. Les valeurs possibles
sont:
flash:ilsagitdelammoireflashinternesurlesplatesformes1600et3600,cestaussila
partitionpardfautsurcesmmesplatesformes.
bootflash:mmoireFlashinternedesplatesformes7000.
slot0:premieremplacementPCMCIAsurlesplatesformes3600et7000,partitionpardfaut
desplatesformes7000.
slot1:secondemplacementPCMCIAdesplatesformes3600et7000.
partitionnumber: optionnel, numro attribu la partition qui contient limage systme charger.
Cet argument ne concerne que les systmes dont les partitions cres par construction acceptent
dtrepartitionnesparladministrateur.
filename optionnel avec la commande boot system flash, nom du fichier image charger au
dmarrage. Cet argument est sensible la casse. Quand il nest pas spcifi, le routeur charge le
premierfichiervalidelemplacementdsignparflashfs:partitionnumber:,danslapartitionflashpar
dfaut quand lemplacementestomis.Lanotiondepremierfichiervaliderenvoieaufaitquechaque
fichiercritdansunepartitionflashestaffubldun numro, chaque nouvelle criture incrmente ce
numro.Lepremierfichierestceluiportantlepluspetitnumro.
bootsystem{rcp|tftp|ftp}filename[ipaddress]
dontlesargumentsnonencoreexplicitssont:
- 3-
{rcp | tftp | ftp} outre la facult de charger depuis un serveur TFTP, le routeur peut
galementchargerdepuisunserveurFTPouunemachineUNIX(remotecopy).
[ipaddress]optionnel,adresseIPduserveurquicontientlimagesystmecharger.Quand
elleestomise,lerouteurluisubstitueladressedediffusion255.255.255.255.
bootsystem{fileurl|filename}
fileurllURLdelimagesystmecharger.
Exemple:bootsystemtftp://10.0.12.100/IOS/c2801ipbasek9mz.12425c.bin
Danscechapitre,cettetroisimeformeatprfrelaformebootsystemtftpcarellepermetde
spcifierunrpertoiresurleserveurTFTP.
4.Squencededmarrage,suiteetfin
Rien ninterdit dutiliser plusieurs commandes boot system dans le fichier de configuration. Le routeur tente la
premire commande boot system puis la seconde et ainsi de suite jusqu ce quune tentative aboutisse. Les
ventuellescommandesbootsystemsuivantessontalorsignores.
Quand le routeur nest pas parvenu charger une image laide des commandes boot system et que toutes
concernaientdestentativesverslerseau,alorslerouteurtentedechargeruneimagedepuislapartitionFlash.
QuandlerouteuracherchsanssuccsuneimagevalidedanslapartitionFlash,ilpoursuitsaqutesurlerseauen
diffusantdesrequteslarecherchedunserveurTFTPquidisposeraitduneimageIOS.Autantdirequilsagitdun
scnarioimprobableetaursultatassezalatoire.
Tous les systmes ne disposent pas ncessairement dune image boot (Rxboot) en ROM ou en Flash. La conclusion
dunesquencededmarragesesimplifiedanscecaspuisquelenombredesystmesdexploitationpossiblepasse
de trois (ROMMON, Rxboot, IOS) deux (ROMMON, IOS). Si le routeur na pas charg dIOS pour lun des motifs
suivants:
LadministrateurainterrompulasquencededmarragelaidedunBreak.
Ladministrateuravaitplac0x0danslechampdamorageduregistredeconfiguration.
LerouteurnestpasparvenutrouveruneimageIOSvalide.
... alors le routeur reste sous le contrle de ROMMON, un terminal connect au port console affiche linvite de
commandeROMMONn>.
Toujours dans le cas dun systme ne disposant pas dimage boot, le test du champ damorage ralis
immdiatementaprslechargementdeROMMONestlgrementmodifi:
Champ
damorage
Commandesboot
system
Effet
0x0
Ignore
ROMMON
0x1
Ignore
LepremierIOSenFlashestcharg,sinon
TFTP,sinonROMMON.
0x2
Aucune
0x2
Uneouplusieurs
Tentechaquecommandejusquceque
lunerussisse.
5.TP:Jaiperdulemotdepassedurouteur!Commentmensortir?
Contexte : une fois nest pas coutume, difficile de virtualiser cet atelier. Le lecteur est donc invit reproduire les
- 4-
manipulationsproposessurunrouteurCISCOquelconque.Noussupposonsquesilelecteuresttudiantinscritdans
lacadmieCISCO,ilaaccsauxrouteursdesbundlesprvuspourlesorganismesdeformationadhrents.Ilsagira
donc de 2600 ou 2800 pour lesquels la procdure dcrite ciaprs sapplique strictement. Si le lecteur devait avoir
affaire au plus ancien routeur 2500, alors il conviendrait dadapter les commandes ROMMON ce modle. Pour
lessentiel,lacommandeconfreg2142deviento/r0x2142etlacommandereloaddevientinitialize.
Lemotdepasseperdupeuttreunmotdepasseconsole,auxouvtyoupirelemotdepasseenable.Silsagitdun
mot de passe de ligne console par exemple, peuttre estil possible de tenter une connexion via Telnet ? Le plus
grave est videmment de ne plus pouvoir accder au mode privilgi puisque dans ce cas, toute modification de la
configurationestgalementinterdite:
R12>enable
Password:
Password:
Password:
% Bad secrets
R12>
Le mot de passe nest pas ncessairement perdu, il peut aussi tre inconnu. Imaginez par exemple que votre
entrepriseaitprofitduneopportunitallchanteenrachetantquelquesrouteurssurlemarchdeloccasion.
Laprocduredcriteiciconvientquelquesoitlemotdepasseperdu.Ellesupposelaccsauportconsoleautrement
ditlaccsphysiqueaurouteur.Puisque,bienentendu,lerouteurestplacdansunlocalscuris,obtenircetaccs
physique ne peut tre le fait que dune personne habilite. Lide est de modifier la valeur du bit 6 du registre de
configurationafinquelecontenudelapartitionNVRAM,etavecellelecontenudufichierstartupconfig,soientignors
pendantledmarragedurouteur.Unefoisledmarrageachev,ladministrateuradoncaffaireunrouteursortidu
cartonetpeutloisirchargerlaconfigurationetchangerleoulesmotsdepasse.
1. Ladministrateur a connect un PC quip dun logiciel dmulation de terminal au port console du routeur. La
jonctionestrgle9600S81(9600bps,pasdeparit,caractresexprimssur8bits,1bitdestop).
2. Si aucun accs nest possible, cestdiresilesmotsdepasseassocisauxlignes aux,con etvty sont perdus,
allezdirectementltape4etrangez2142dansleregistredeconfiguration(valeurlaplusprobable).
3.Unecommandeshowversion(Extrait)permetdedcouvrirlavaleuractuelleduregistredeconfiguration.Leplus
ordinairement,cettevaleurstablit0x2102:
R12>show version
Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE
.........
Configuration register is 0x2102
R12>
Fairepasserlebit61danscecasimpliquederanger0x2142dansleregistre.Maissilavaleurluedanslersultat
de la commandeshowversionavaitt0x3922parexemple,alorsilauraitfalluranger0x3962.Limportantestde
placerlebit61sansintervenirsurlesautresrglagesrangsdansleregistre.
4. ce stade, il faut redmarrer le routeur. On ne peut pas profiter de la commandereload qui ncessite le mode
privilgi. Ladministrateur met hors tension le routeur, compte mentalement jusqu dix (une vieille habitude
dlectronicien) et remet sous tension. partir de cet instant, il a 60 secondes pour provoquer une commande
Break defaoncequelasquencededmarragesinterrompeaprslechargementdeROMMONetaffichelinvite
decommandeROMMON.LeBreakestobtenulaidedelacombinaison[Ctrl][Pause]auclavier:
Readonly ROMMON initialized
program load complete, entry point: 0x8000f000, size: 0xcb80
monitor: command "boot" aborted due to user interrupt
rommon 1 >
5.Ladministrateurmodifielavaleurduregistredeconfigurationpuisredmarrelerouteur.Cettefois,ilpeutlefaire
laidedelacommanderesetdeROMMON:
rommon 1 >confreg 2142
You must reset or power cycle for new config to take effect
rommon 2 > reset
6. Le routeur achve le chargement de lIOS sans charger ensuite le fichier de configuration startupconfig, ce que
confirmelaquestionposepourentrerdanslemodesetuppuislinvitedecommandeRouter>:
rommon 2 > reset
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
- 5-
- 6-
- 7-
GestiondesimagesIOS
1.Sauvegarde/restaurationdesimagesviaTFTP
Contexte:surlerouteurR12,unmodle2801,ladministrateurdcidedemettrelIOSjourpourlaversionlaplus
rcente du mme train Main line. Son entreprise a souscrit un contrat de type Smartnet auprs de CISCO.
LimageIOSactuelleestc2801ipbasemz.12416a.bin.Lerouteurdisposede128Modemmoireviveetde64Mode
mmoireFlash:
Quelleestlapartitionactive(oupartitiondetravail)?
Free(b)
Type Flags Prefixes
opaque
rw
archive:
opaque
rw
system:
opaque
rw
null:
network
rw
tftp:
196600
194215
nvram
rw
nvram:
63995904
3837952
disk
rw
flash:#
opaque
rwxmodem:
opaque
rwymodem:
network
rwrcp:
network
rw
ftp:
network
rw
http:
opaque
rocns:
*
-
R12#
Lapartitionactive(marquedunetoile)estlapartitionNVRAM.LadministrateursouhaitefairedelammoireFlash
lapartitionactive.Pourcefaire,ilutiliselacommandecd(ChangeDirectory)suiviedunenouvellecommandeshow
filesystemsafindeconfirmerquelechangementestbienintervenu:
R12#cd flash:
R12#show file systems
File Systems:
Size(b)
*
-
Free(b)
Type Flags Prefixes
opaque
rw
archive:
opaque
rw
system:
opaque
rw
null:
network
rw
tftp:
196600
194215
nvram
rw
nvram:
63995904
3837952
disk
rw
flash:#
opaque
rwxmodem:
opaque
rwymodem:
- 1-
network
opaque
rwrcp:
network
network
rocns:
rw
rw
ftp:
http:
R11#
Une commandepwd, moins bavarde, permet dapprendre directement quelle est la partition active (wd : working
directory):
R12#pwd
flash:
R12#
Unecommandedirpermetdafficherlecontenudelapartitionactive:
R12#dir
Directory of flash:/
1
2
3
4
5
6
7
8
9
-rw-rw-rw-rw-rw-rw-rw-rw-rw-
16810060
1821
6036480
861696
1164288
1038
113152
1697952
416354
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
28
28
28
28
28
28
28
28
28
2007
2007
2007
2007
2007
2007
2007
2007
2007
02:32:00
02:49:02
02:49:40
02:50:00
02:50:22
02:50:42
02:51:02
02:51:32
02:52:02
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
+00:00
c2801-ipbase-mz.124-16a.bin
sdmconfig-2801.cfg
sdm.tar
es.tar
common.tar
home.shtml
home.tar
securedesktop-ios-3.1.1.45-k9.pkg
sslclient-win-1.1.3.173.pkg
- 2-
LadministrateurdcidedemettrelIOSjourpourlaversionlaplusrcentedummetrainMainlineetpource
faire,seconnectesurlesiteCISCO,sectionProducts&ServicesRouters,ongletAllproductsBranchRouters,
lienCisco2800SeriesIntegratedServicesRouters,lienSupportDownloadsoftwarepourfinalementparvenir
cettefentreDownloadsoftware:
DanslafentreDownloadSoftware,ladministrateurslectionnelelienverslemodlederouteurconvenable,ce
quiprovoquelepassageltapeSelectSoftwareType:
- 3-
- 4-
cette tape, ladministrateur slectionne le lien IOS Software, ce qui provoque le passage ltape 3 du
processusintituleSelectSoftware:
Linformationafficheiciesttrsriche,ondcouvreeneffetdefaonexhaustive,lensembledestrainsexistantsainsi
quelesversionssursitaires(Deferred Releases).Laffichagedbuteparunrsumdesversionslesplusrcentesde
quelquesunsdestrainsdontletrainMainline.
Ladministrateur, qui souhaite rester dans le train Main line , clique sur le lien 12.4.25c(MD) ce qui provoque
laffichagedetouslespackages(FeatureSet)decetteversion:
- 5-
Hlas,lesouhaitdeclarifieretsimplifierloffreIOSenramenantlenombredepackageshuit(versionsassocies
unrectangledanslillustrationcidessus)nauraprobablementpasrsistauxcontraintesmarketing.Maisenralit,
les versions ne sont pas aussi nombreuses que le laisse penser le tableau. Observez par exemple les quatre
premires versions toutes associes un seul et mme fichier c2801adventerprisek9mz.12425c.bin. On peut
stonner galement que la version la plus volue Advanced Enterprise Services , sense agglomrer les
fonctionnalitsdetouteslesversionsinfrieures,exigemoinsdemmoireRAM(128Mo)quelaplupartdesversions
immdiatementinfrieures(192Mo!).
- 6-
Ladministrateur, qui na pas de raison de changer de Feature set, dcide de tlcharger IPBASE ,soit le
fichierc2801ipbasek9mz.12425c.bin.IlabiennotquecetteversionnexigepasdavantagedeRAMquecellequi
quipeactuellementlerouteurcible.Deplus,lefichierdelimage noccupeque17 935 236octetsetpourradonc
treplacsurlapartitionFlashsansexigeraupralablededtruirelefichierIOSencoursdusage.Cestrassurant,
carsilanouvelleimagedevaitservlercorrompue,lerouteurchargeraitlancienneimage.Onestainsiassurde
limiter autant que faire se peut linterruption de service. Un clic sur le bouton Download Now adquat provoque
laffichageduneultimefentrersumantlepanier.
Unenouvelleconfirmationentranelaffichagedunefentredelicence:
Unefoislesrglesdetlchargementacceptes,
- 7-
ladministrateurobtiendratilenfinlefichierconvoit?Oui,cestenbonnevoie...
- 8-
LeprcieuxfichierestplacdansunrpertoireIOSlaracinedunserveurTFTP:
La mise en uvre de ce serveur a dj t dcrite dans le chapitre Tches de configuration des routeurs de cet
ouvrage.
Avantdesongertesterlanouvelleimage,ladministrateurdcidedesauvegarderlimageencoursdusage:
R12#copy flash:c2
R12#copy flash:c2801-ipbase-mz.124-16a.bin tftp://10.0.12.100/IOS/
Address or name of remote host [10.0.12.100]?
Destination filename [IOS/c2801-ipbase-mz.124-16a.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16810060 bytes copiedin 46.260 secs (363382 bytes/sec)
R12#
ObservezquelautocompltiondelinterfaceILCfonctionneycomprispourlenomdefichierquicontientlimageIOS.
AvantdechargerlanouvelleimagedanslapartitionFlash,ladministrateurdcidedeprovoquerundmarragedu
- 9-
routeurenmettantlanouvelleimageprofitdepuissonemplacementactuel,cestdiredepuisleserveurTFTP.
Pour ce faire, il ajoute une commande boot system au fichier de configuration. Observez la commande no boot
system entre en premier et qui donne lassurance que la commande boot system entre ensuite sera la seule
commandebootsystemprsentedanslefichierdeconfiguration:
R12(config)#no boot system
R12(config)#boot system tftp://10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin
R12(config)#^Z
R12#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R12#reload
Proceed with reload? [confirm]
R12#sh ver
Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE
SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Fri 12-Feb-10 00:29 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
ROM: Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE
SOFTWARE (fc2)
R12 uptime is 1 minute
System returned to ROM by reload at 13:10:08 UTC Wed Mar 10 2010
System image file is "tftp://10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin"
This product ..., return this product immediately.
Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory.
Processor board ID FCZ113990F6
2 FastEthernet interfaces
2 Low-speed serial(sync/async) interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration registeris 0x2102
LechargementdelanouvelleversiondepuisTFTPtantunsuccs,ladministrateurdcidequilesttempsdeplacer
lanouvelleimagedanslapartitionFlash:
Unevrificationdelimagesimpose:
R12#verify ?
/md5
Compute an md5 signature for a file
flash: File to be verified
nvram: File to be verified
R12#verify flash:c2801-ipbasek<<< Auto compltion
- 10 -
R12#verify flash:c2801-ipbasek9-mz.124-25c.bin
Verifying file integrity of flash:c2801-ipbasek9-mz.12425c.bin.........................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
.....Done!
Embedded Hash
MD5 : FFBDB4755D369150A308535CF52E810F
Computed Hash
MD5 : FFBDB4755D369150A308535CF52E810F
CCO Hash
MD5 : 5D268C75DB75EA817E388CCB5072EAA7
Embedded hash verification successful.
R12#
Dans un second temps, ladministrateur intervient nouveau sur la configuration afin de supprimer la ligne boot
system depuis TFTP et ajouter une lignebootsystem qui provoquera le chargement de la nouvelle image. Notez
bien quil aurait suffi de supprimer lancienne image de la partition Flash pour provoquer le chargement de la
nouvelle image au prochain redmarrage. Mais puisque la place ne manque pas en partition Flash, pourquoi se
priverdelapossibilitderevenirlimageprcdente(ceintureetbretellestoujours!)?
Une fois le redmarrage achev, une commande show version confirme que limage IOS charge provient
effectivementdelapartitionFlash(extrait):
R12#show version
Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version 12.4(25c), RELEASE
SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Compiled Fri 12-Feb-10 00:29 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
R12 uptime is 0 minutes
System returned to ROM by reload at 14:03:41 UTC Wed Mar 10 2010
System image file is "flash:c2801-ipbasek9-mz.124-25c.bin"
.........
R12#
Dansunfuturpassiloign,ladministrateursouhaiterarenouvelerlaprocdurepouruneversionplusrcentede
lIOS.Mais,moinsdechangerdemmoireFlash(cestsisimpleavecleformatCompactFlash),laplacemanquera
pour faire cohabiter trois fichiers dimages. Ladministrateur devra alors se rsoudre supprimer limage la plus
- 11 -
ancienne:
R12#dir
Directory of flash:/
1 -rw.........
10 -rw-
16810060
17935236
c2801-ipbase-mz.124-16a.bin
c2801-ipbasek9-mz.124-25c.bin
1821
sdmconfig-2801.cfg
17935236
c2801-ipbasek9-mz.124-25c.bin
a.Lacommandecopy
Lacommandecopydontnousnoussommesservisdanscescnariomritequelquesprcisions:
copy[/erase][/verify|/noverify]sourceurldestinationurl
Modeprivilgi.
/erase:optionnel,effacelapartitioncibleavantdeffectuerlacopie.Cetteoptionestpratiquesur
les platesformes dont lespace mmoire flash est limit et pour lesquelles la copie ncessite une
partitionciblevierge.
/verify : optionnel, ne sapplique quaux fichiers images IOS. Le systme qui a cr le fichier en a
calculunesignatureMD5quilaplacedanslefichier.Lesystmecibleeffectuelemmecalculet
compare le rsultat la signature embarque. En cas dchec, le fichier est effac de la partition
cible.
/noverify : optionnel, ne sappliquequaux fichiers dimages IOS, permet de dsactiver pour cette
copie la vrification systmatique des copies dimages IOS, vrification entreprise parce que
ladministrateuraentrlacommandedeconfigurationglobalefileverifyauto.
sourceurletdestinationurl:comprendlafoislalocalisationdufichierainsiquesonnom.Sourceet
destinationpeuventtrelocalesoudistantes.
LescnarioprcdentamisprofitdesURLavecunprfixetftp.NousaurionsgalementpuutiliserunserveurFTP,
ce choix offre videmment davantage de fiabilit et devrait tre prfr quand le serveur qui dispose du fichier
- 12 -
convoitestdistant(surunautresite).MaislaccsunserveurFTPpeutncessiteruneauthentificationparnom
dutilisateuretmotdepasse.LasyntaxedelURLestmodifiepourpermettrelentredecesinformations:
ftp:[[[//username[:password]@]location]/directory]/filename
LexemplesuivantcopieunfichierIOSdepuisleserveurFTPdontladresseest10.0.12.100.Lecompteutilispour
accderauserveurestnetadmindontlemotdepasseestftppass:
Router# copy ftp://netadmin:ftppass@10.0.12.100/IOS/c2801-ipbasek9-mz.124-25c.bin
flash:
2.Sauvegarde/RestaurationdesimagesviaXmodem
Le logiciel dmulation de terminal PUTTY nous a rendu beaucoup de services mais hlas, il nintgre pas les
fonctionnalitsdetransfertdefichiersviaunportsrie(version0.6).LauteurproposederevenirHyperTerminal,le
tempsderglerleproblmeduchargementdimageslaidedesprotocolesXmodemouYmodem.nouveauhlas,il
setrouvequeMicrosoftnestpaslauteurdecelogicieletquiladciddecesserdelintgrerdansWindows7,un
problme de royalties sans doute. Heureusement, ce logiciel reste disponible en tlchargement sur le site de son
vritablediteur:ftp://ftp.hilgraeve.com/htpe/htpe63.exe
Le contexte de cette section est donc lgrement modifi par rapport celui propos pour ce chapitre : le logiciel
dmulation de terminal est HyperTerminal et les manipulations sont effectues depuis le port console. Cest
videmmentunpirecas,ilfautuneraisonimprieusepourenarriveraccepterdetransfrerunfichiersurlerouteur
laide dun port asynchrone dont le dbit culmine 115200 bps. Mme sans IOS, le routeur sous le contrle de
ROMMON sait importer un fichier via TFTP. Donc il faut imaginer un tat de catastrophe qui prive ladministrateurde
touteressourcerseauetquiilnerestequelesportsdadministration:leportconsolepourunaccslocaletleport
auxpourunaccsdistantsionaprislapeinedeleconnecterunmodemreliunelignetlphonique.
Observezlafentredecapturecidessous.Elleretracelesvnementssuivants:
Unecombinaison[Ctrl][Pause]pendantlessoixantepremiressecondesdudmarrageprovoquelinterruptiondela
squencededmarrageetlaffichagedelinvitedecommandeROMMON.Laidealemritedexistersansprtendre
offrir les services de linterface ILC. On apprend quand mme quil existe une commande confreg permettant de
modifierlavaleurduregistredeconfiguration.Inutiledentrer le prfixe0xcarlavaleurattendueparconfreg
esthexadcimale.
Quandleregistredeconfigurationstockelavaleurnormale0x2102,lestroisbitsquifixentledbitsontzro,ceci
correspondundbitpardfautde9600bpssurleportconsole.Pourobtenirledbitmaximal,soit115200bps,
ilfautquecestroisbitssoient1,ceciestobtenuenplaant0x3922dansleregistredeconfiguration.
Lepassageaunouveaudbitnedevienteffectifquaprsunredmarrageobtenulaidedelacommanderesetde
ROMMON.
Observezlescaractresincomprhensiblesquisaffichentpendantunbrefinstant.Ilsagitdescaractresmispar
lerouteursurleportconsole115200bpsmaislus9600bpsparlelogicieldmulationdeterminal.Letemps
pourladministrateurderglerlelogiciel115200bpsgalementettoutrentredanslordre.
Unenouvellecombinaison[Ctrl][Pause]etvoilR12nouveauenmodeROMMON:
R12#reload
Proceed with reload? [confirm]
*Mar 10 15:37:23.879: %SYS-5-RELOAD: Reload requested by console. Reload Reason:
Reload Command.
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c2801 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
- 13 -
You must reset or power cycle for new config to take effect
rommon3> reset
0qz?,>Y3}VNllr&>p_v6nsl##############
############################################# [OK]
.........
Readonly ROMMON initialized
rommon 1 >
La commande ROMMON permettant de provoquer le transfert dun fichier vers la partition Flash est la commande
xmodem.Lechoixdelapartitionciblenestpasunargumentdelacommande,autrementditletransfertseffectue
obligatoirementverscettepartition.Largument cpermetdopterpourunCRCsur16bits,plusfiablequeleCRC
pardfautexprimsur8bits:
- 14 -
Lerouteurseplaceenattente.IlresteprovoquerletransfertdufichierdepuisHyperTerminal:
Arrivcestade,ladministrateurestassezdsappoint.Eneffet,letransfertneseraachevaumieuxquedansun
peu moins de trois heures et encore la condition quaucun incident ne se produise pendant ce laps de temps.
Xmodem utilise des paquets de 128 octets ce qui explique cette lenteur. Fort heureusement, ROMMON permet
galementuntransfertselonleprotocoleYmodemquimetprofituntransfertparpaquetsde1Ko.
Ladministrateur interrompt le transfert Xmodem et reprend la procdure son dbut. Observez la commande
xmodem qui reste la mme mais admet largument y quand on souhaite tablir le protocole Ymodem en lieu et
placeduprotocoleXmodem:
Cettefois,dansHyperTerminal,ladministrateurchoisitleprotocoleYmodem:
- 15 -
Ladministrateur constate avec soulagement que le mme transfert ne demandera avec Ymodem que quarante
minutesenviron.Unefoisletransfertachev,laconsoleaffiche:
Le routeur redmarre et charge limage IOS objet de ce transfert, ce que confirme une commandeshow version
(extrait):
R12#sh ver
Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE S
OFTWARE (fc2)
.........
System image file is "flash:c2801-ipbasek9-mz.124-25c.bin"
.........
Configuration registeris 0x3922
LalignedinformationSystemimagefileis"flash:c2801ipbasek9mz.12425c.bin"necorrespondpaslimageIOS
effectivementchargemaislimageIOSquelerouteuratentdechargersanssuccs.Eneffet,cetteimagenest
plusprsenteenFlash(suitelacommandexmodem)maisilsubsisteunecommandebootsystemdanslefichierde
configurationdontlobjetestdechargerlimageversion12.4(25c).
Unecommandeshowflash:confirmequilfallaitprendreausrieuxlavertissementdeROMMONavantdelancerla
commande xmodem. En effet, ne subsiste sur la partition Flash que le seul fichier image transfr laide de la
commandexmodem:
R12#show flash:
-#- --length-- -----date/time------ path
1
16810060 Feb 23 2010 20:15:44 +00:00 c2801-ipbase-mz.124-16a.bin
47198208 bytes available (16814080 bytes used)
R12#dir
- 16 -
Directory of flash:/
1 -rw16810060 Feb 23 2010 20:15:44 +00:00
64012288 bytes total (47198208 bytes free)
c2801-ipbase-mz.124-16a.bin
Observezlquivalencedelacommandeshowflash:etdelacommandedir(quandlapartitionactiveestlaFlashbien
sr).
Contrairement la commande copy de lIOS, la commande xmodem de ROMMON provoque le transfert de
fichiersmaisaussileffacementcompletdelapartitionFlash!
Observez la valeur actuelle 0x3922 du registre de configuration dans la capture de la commandeshow version ci
dessus. Attention, cette valeur doit nous rappeler que le dbit du port console est encore rgl 115200 bps.
Imaginez la surprise dun autre administrateur qui viendrait se connecter sur le port console de ce routeur en
ignorantqueledbitduportconsolenestpasceluipardfaut.
Ilestprudentdereplacerlavaleurpardfautsoit0x2102dansleregistredeconfiguration:
R12(config)#config-register 0x2102
R12(config)#^Z
R12#show version
Cisco IOS Software, 2801 Software (C2801-IPBASE-M), Version 12.4(16a), RELEASE
SOFTWARE (fc2)
.........
Configuration register is 0x3922 (will be 0x2102 at next reload)
R12#reload
Proceed with reload? [confirm]
Attention bien rgler le dbit ct logiciel dmulation de terminal la valeur 9600 bps, une fois le routeur
redmarr.
Pourlanecdote:
Sur un routeur 2801 qui a servi prparer ce chapitre, lauteur a eu les plus grandes difficults rtablir la valeur
0x2102duregistredeconfiguration.Cenestquaprsavoirtablilavitesseduportconsole9600bpslaidedela
commandespeedenconfigurationdelignequelerouteuraeffectivementconsentichangerlavaleurduregistrede
configuration. Aucun message derreur mais la commande configregister restait sans effet ou ne donnait pas le
rsultatescompt.Problmeapprofondirsansdoute...
3.TP:JaieffaclecontenudelaFlash,monrouteurnaplusdIOS!Commentmen
sortir?
Contexte : la capture ciaprs dcrit un genre de manipulations quaucun administrateur normalement constitu
noserait entreprendre sur un routeur en production. Mais pourquoi se priver sur un routeur dcole ? (certains
formateursvontmemaudire!)laconditionbiensrderendrelerouteurdansltatoonlatrouv.Cequisuppose
destreassurdedisposersurunemachinequelconqueduoudesfichiersimagesadquats.
Notez dabordqueffacer les fichiers dimage prsents en Flash nest pas toujours si simple et quil faut se montrer
persvrantetcestrassurant.Lecomportementobserviciestceluiduneplateforme2800quiutiliselesystmede
fichiers de classe C, il pourrait tre diffrent sur des routeurs utilisant dautres systmes de fichiers (CISCO met en
uvretroissystmesdefichiersdiffrentsditsdeclasseA,BouC,cepointfaitlobjetdunparagrapheddidansce
chapitre):
R12#erase flash:
^
% Invalid input detected at ^ marker.
R12#erase ?
/all
Erase all files(in NVRAM)
/no-squeeze-reserve-space Do not reserve space for squeeze operation
nvram:
Filesystem to be erased
startup-config
Erase contents of configuration memory
R12#delete flash:?
flash:c2801-ipbase-mz.124-16a.bin
flash:common.tarflash:es.tar
flash:home.shtmlflash:home.tar
flash:c2801-ipbasek9-mz.124-25c.bin
- 17 -
flash:sdm.tar
flash:securedesktop-ios-3.1.1.45-k9.pkg
flash:sdmconfig-2801.cfg
flash:sslclient-win-1.1.3.173.pkg
R12#delete flash:
Delete filename []?
Delete flash:/? [confirm]
%Error deleting flash:/ (Cant delete a directory that has files in it)
R12#
R12#delete flash:c2801-ipbaseR12#delete flash:c2801-ipbase-mz.124-16a.bin
Delete filename [c2801-ipbase-mz.124-16a.bin]?
Delete flash:/c2801-ipbase-mz.124-16a.bin? [confirm]
R12#delete flash:c2
R12#delete flash:c2801-ipbasek9-mz.124-25c.bin
Delete filename [c2801-ipbasek9-mz.124-25c.bin]?
Delete flash:/c2801-ipbasek9-mz.124-25c.bin? [confirm]
R12#reload
Proceed with reload? [confirm]
Ainsi, sur un systme de classe C, la commande erase flash: nexiste pas (la commandeerase est utilise sur les
systmes de classe B, la commande correspondante en classe C est la commande format). Quant la commande
delete, elle refuse de supprimer la partition tant que des fichiers y sont prsents. La seule possibilit consiste
supprimer les fichiers images un un, remarquez nouveau que lautocompltion fonctionne ce qui permet de ne
taper que quelques caractres du nom de fichier. Un redmarrage aboutit alors, faute dIOS charger, au mode
ROMMON:
boot: cannot load "flash:"
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
.........
c2801 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
Readonly ROMMON initialized
rommon 1 >
DanslapremirepartiedecettesectionddielagestiondesimagesIOS,nousavionsutilisTFTPmaislIOStait
fonctionnel.Dansunsecondtemps,nousavonsutilisXmodemetYmodemsouslecontrledeROMMONmaiscette
solutiondemandeunecertainepatience.Danslecasprsent,seulROMMONestdisponiblemaisnousexploreronsune
troisimepossibilitquiconsistemettreen uvreTFTPsoussoncontrle.
Lacommandeutiliseresttftpdnld.Aveclargumenth,ellefournitlaideindispensable:
- 18 -
Il faut saisir les paramtres ncessaires au transfert un par un. Attention, ROMMON nexerce aucun contrle de
syntaxeetvouslaissecrercesvariablesvotreguise.Ainsi,entrerip_address=10.0.12.1estaccept.Maisle
processus tftpdnld ne reconnatra pas ladresse IP et gnrera un message ILLEGAL ADDRESS. Les variables
doiventdonctrecresenrespectantlacasse:
rommon
rommon
rommon
rommon
rommon
2
3
4
5
6
>
>
>
>
>
IP_ADDRESS=10.0.12.1
IP_SUBNET_MASK=255.255.255.0
DEFAULT_GATEWAY=10.0.12.254
TFTP_SERVER=10.0.12.100
TFTP_FILE=IOS/c2801-ipbasek9-mz.124-25c.bin
Unecommandesetpermetunderniercontrledesvariablescres:
rommon 8 >set
PS1=rommon !>
WARM_REBOOT=FALSE
BOOT=flash:c2801-ipbasek9-mz.124-25c.bin,1;
BSI=0
RANDOM_NUM=948452295
RET_2_RTS=10:21:13 UTC Fri Mar 12 2010
RET_2_RCALTS=1268389276
IP_ADDRESS=10.0.12.1
IP_SUBNET_MASK=255.255.255.0
DEFAULT_GATEWAY=10.0.12.254
TFTP_SERVER=10.0.12.100
TFTP_FILE=IOS/c2801-ipbasek9-mz.124-25c.bin
?=0
rommon 9 >
Observez ladresse IP de la passerelle, entre uniquement pour satisfaire le processus tftpdnld. En effet, dans le
contexte utilis pour ce chapitre, le serveur TFTP est directement connect R12, ce sur le port f0/0. Le processus
tftpdnldpeututiliserleportf0/1maisilauraitfalludanscecascrerunevariablesupplmentaireFE_PORT=1.
Laphaseprparatoireesttermine,ildevientpossibledelancereffectivementlacommandetftpdnld:
rommon10>tftpdnld
IP_ADDRESS:
IP_SUBNET_MASK:
DEFAULT_GATEWAY:
TFTP_SERVER:
TFTP_FILE:
TFTP_MACADDR:
TFTP_VERBOSE:
TFTP_RETRY_COUNT:
TFTP_TIMEOUT: 7200
TFTP_CHECKSUM:
FE_PORT:
FE_SPEED_MODE:
10.0.12.1
255.255.255.0
10.0.12.254
10.0.12.100
IOS/c2801-ipbasek9-mz.124-25c.bin
00:1c:f6:d6:74:bc
Progress
18
Yes
0
Auto Detect
- 19 -
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
File reception completed.
Validating checksum.
Copying file IOS/c2801-ipbasek9-mz.124-25c.bin to flash:.
program load complete, entry point: 0x8000f000, size: 0xcb80
Format: Drive communication & 1st Sector Write OK...
Writing Monlib sectors.
...............................................................................
........................
Monlib write complete
Format: All system sectors written. OK...
Format: Operation completed successfully.
Format of flash: complete
program load complete, entry point: 0x8000f000, size: 0xcb80
rommon11>
Vousnobtenezpascersultat?
AvezvouspensdsactiverleparefeudelamachinequihbergeleserveurTFTP?
OuaumoinscrerunergleautorisantletraficUDPversleport69?
RevrifiezlesvariableslaidedelacommandesetdeROMMON.
VrifiezladisponibiliteffectiveduserveurTFTP(unecommandenetstatanopourvrifierleportUDP69).
IlesttempsderevenirlIOS:
TYPE
public buffer pools
public particle pools
Crypto module pools
Card in slot 1
Onboard USB
- 20 -
.........
User Access Verification
Password:
R12>en
Password:
R12#sh flash:
-#- --length-- -----date/time------ path
1
17935236 Feb 22 1907 17:31:44 +00:00 c2801-ipbasek9-mz.124-25c.bin
46075904 bytes available (17936384 bytes used)
R12#
ObservezlecontenudelapartitionFlash.Commedanslecasdelacommandexmodem,lecontenudelapartitiona
ttotalementeffac,leseulfichierquisytrouveestceluirsultantdutransfertralisparleprocessustftpdnld.
LacommandetftpdnlddeROMMONalemmecomportementquelacommandexmodem.Contrairementla
commande copy de lIOS, ces deux commandes provoquent le transfert de fichier mais aussi leffacement
completdelapartitionFlash!
Cettesancedatelierestmaintenanttermine.
- 21 -
LessystmesdefichiersCISCO
Au fur et mesure de la rdaction de ce chapitre, il est apparu de plus en plus vident quil devenait difficile de
totalementpassersoussilencelessystmesdefichiersutilissparCISCOsursesdiffrentesplatesformes.Alorsbien
sr,unefoisdeplus,noussommesaudeldesattendusdelacertificationCCNA.
1.LesdispositifsPCMCIA
Quandilafalludciderquelseraitledispositifquitiendraitlerledudisquedur,CISCOafaitlechoixdelammoire
Flash. Les platesformesplusanciennesintgraientcettemmoiredirectementsousformedemodulessurlacarte
mredusystme.Lespaceadressabledelammoireralisesouscetteformeestlinaire.Lorganisationdun
disque dur est trs diffrente puisque lespace est divis en secteurs, euxmmes regroups en clusters, et quun
contrleurcomplexeestchargdegrerlessecteurs.
LesplatesformeslesplusrcentesembarquentdelammoireFlashraliselaidedecartesauformatCompact
Flash. La norme Compact Flash est conforme la norme PCCard (ou PCMCIA). La mmoire Flash dune carte
CompactFlashpeuttreaccdededeuxmaniresdiffrentes:
1)Defaonclassique,cestdireenralisantunespaceadressablelinaire,CISCOparlealorsdecarteFlashoude
cartedemmoireFlash.
2)laideduncontrleurinterfacausystmeviauneinterfaceATA(ATAttachment)commeunclassiquedispositif
detypedisquedursurunPC,cequilafaitappelerdanscecasdisqueFlashoudisqueFlashATA.
Le disque Flash offre une utilisation plus souple que la mmoire Flash linaire parce que son contrleur mule le
fonctionnement dun disque dur et prend en charge la gestion des secteurs (qui nen sont plus dans le cas dune
mmoireFlash)defaontransparente.Unsecteurobservdfectueuxestmarquetlecontrleurnelutiliseplus.Le
contrleurgregalementleffacementdunfichieretilestcapabledcrireunfichiersurdesblocsnoncontigus.Ceci
liminelancessitdelacommandesqueezeutilisesurlammoireFlashlinairequandilfautrcuprerlespace
mmoireoccuppardesfichiersmarquseffacs.
Parmi les diffrences entre une mmoire Flash linaire intgre la carte mre et un dispositif PCMCIA, le fait
dajouterdelammoireFlashlinairepermetdaugmenterlespacedisponibleetdoncdycrireunfichierplusgrand.
Sur les platesformes qui peuvent recevoir plusieurs cartes Flash, ajouter une carte noffre pas cette facult. Cet
inconvnientestmineurparcequelescartesoudisquesFlashoffrentdesespacesmmoireaugments,couramment
de48128Mo.Ilspermettentainsilestockagedetoutfichierdontpourraitavoirbesoinlesystme,onpensebien
srauximagesIOSetauxfichiersdeconfigurationmaislalistenestpasexhaustive.
En gnral, mais ce nest pas systmatique, CISCO distingue les disques Flash ATA en nommant les partitions
ralisesdisk0:ou disk1:.LesespacesralisslaidedecartesFlashsontquanteuxdsigns slot0:ouslot1:.
Une commande show version permet de dcouvrir les types de mmoire Flash qui quipent le routeur et leur
nommageparlesystme:
7200# show version
IOS (tm) 7200 Software (C7200-JS-M), Version 12.0(22), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Mon 01-Apr-02 19:44 by srani
Image text-base: 0x60008900, data-base: 0x610E0000
ROM: System Bootstrap, Version 12.1(20000914:181332) [bwhatley-npe200 102],
DEVELOPMENT SOFTWARE
BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(5), RELEASE SOFTWARE (fc1)
cisco 7206 (NPE150) processor with 43008K/6144K bytes of memory.
R4700 processor, Implementation 33, Revision 1.0 (512KB Level 2 Cache)
Last reset from power-on
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
1 FastEthernet/IEEE 802.3 interface(s)
125K bytes of non-volatile configuration memory.
1024K bytes of packet SRAM memory.
46976K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
! Ci-dessus, voici un disque Flash !
- 1-
2.SystmedefichiersdeclasseA
Lesplatesformesconcernes:
ATMSwitch/ProcessorforLightStream1010etCatalyst5000/5500
MultiserviceSwitchRouteProcessorforLightStream1010
Catalyst5000/5500RouteSwitchModule(RSM)
Catalyst8500SwitchRouteProcessor(SRP)
Cisco6400UniversalAccessConcentrator
Cisco7000RouteSwitchProcessor(RSP)
Cisco7500SeriesRouteSwitchProcessors(RSP2,RSP4,RSP8)
Cisco12000SeriesInternetRouter.
LesystmedefichiersdeclasseAsupportelescommandessuivantes:
delete:lesfichierseffacssontmarqusmaissanslibrerlespacequilsoccupaientenmmoireFlash.Une
commandeundeleteestpossible.
squeeze:supprimedefaondfinitivelensembledesfichiersmarqussupprimsouenerreurdela
partitiondsigne.Lesfichiersnepourrontpastrercuprs.Cettecommandepeutncessiteruntemps
dexcutionimportant(plusieursminutes).
format:supprimetoutfichierdelapartitionetprpareledispositifafinquilpuissetreutilisparlaplate
forme.
verify:calculelasommedecontrledunfichieretlacompareavecunesommedecontrleprcdemment
calcule et stocke sur le dispositif. Les disques Flash ne peuvent stocker des sommes de contrle si bien
quecettecommandenestpassupporte.
QuelquesexemplesdecommandesenclasseA:
Unesuppressiondefichier:
C7513#delete slot0:rsp-jsv-mz.112-26.bin
Delete filename [rsp-jsv-mz.112-26.bin]? Y
Delete slot0:rsp-jsv-mz.112-26.bin? [confirm]y
Unercuprationdefichier:
C7513#undelete 1 slot0:
- 2-
Larcuprationestpossiblelaconditiondeconnatrelindexassociaufichier.Cetindexpeuttreobtenulaide
dunecommandeshow{device:}commeindiqucidessous:
C7513#show slot0:
-#- ED --type-- --crc--- -seek-- nlen -length- -----date/time------ name
1 .D image
10.S5
9CAA2A55
83C50C
19
La commandesqueeze utile quand il faut supprimer de faon dfinitive les fichiers marqus effacs sur les
cartes Flash (mmoire linaire). Cette commande nest pas utilise sur les disques Flash ATA. Avec une
commandesqueeze,touslesfichiersprsentssurlapartitionFlashconsidreetnonmarquseffacsouen
erreur sont rcrits depuis le dbut de la partition. La commande a donc un double effet : elle efface et
dfragmente:
C7513#squeeze slot0:
All deleted files will be removed. Continue? [confirm]y
Squeeze operation may take a while. Continue? [confirm]y
Squeezing...
Squeeze of slot0 complete
LacommandeformatIlarrivequeladministrateurdoivemettreenserviceunenouvellecarteFlashPCMCIA
afindyplacerdesimagesIOSoudysauvegarderdesfichiersdeconfiguration.Lanouvellecartenedevient
disponible pour le systme quaprs avoir t formate. La prudence recommande de formater la nouvelle
cartesurlaplateformemmequilutiliseraensuite.Onestainsiassurdepouvoirlancerundmarrageet
unchargementdIOSdepuiscettecarte(elleestbootable):
C7513#format slot0:
Format operation may take a while. Continue? [confirm]y
Format operation will destroy all data in "slot0:".Continue? [confirm]y
Formatting sector 160.....
Format of slot0: complete
3.SystmedefichiersdeclasseB
Lesplatesformesconcernes:
Cisco1000SeriesRouters
Cisco1600SeriesRouters
Cisco3600SeriesRouters
Cisco1800SeriesRouters
Cisco2801Router.
Lesrouteursdelasrie1600necomportentquuneseulecarteFlashPCMCIA.Lesmodles1601et1604excutent
lIOSdirectementenFlash.LaconsquenceestquesilacarteFlashestte,lerouteurcessedefonctionner.Les
modles1601Ret1605RexcutentlIOSenRAM.UnretraitdelacarteFlashempcheleprochainredmarrage.
- 3-
Lesrouteursdelasrie3600utilisentlesystmedefichiersdeclasseBmaisunemanipulationpermetdefaireen
sortequilsacceptentautantlescommandesdeclasseBquecellesdeclasseC.
LescommandesutilespourgrerunsystmedefichiersdeclasseBsont:
delete:lesfichierseffacssontmarqusmaissanslibrerlespacequilsoccupaientenmmoireFlash.
erase:supprimedefaondfinitivelensembledesfichiersprsentssurlapartition.
partition:diviselespacedemmoireFlash.Laformenodelacommandefaitrevenirunespacecompos
dunepartitionunique.
QuelquesexemplesdecommandesenclasseB:
Lacommandedeletenefaitquemarquerlesfichiers.AvantdecopierunfichiersurunepartitionenclasseB,ilest
bon de vrifier que lon dispose encore de suffisamment de place disponible laidedune commandedir{device:}.
Quandcenestpaslecas,ilfautsersoudreeffacerlammoireFlashlaidedunecommandeerase.Unefoisla
commande erase excute, le seul moyen de disposer nouveau dun fichier effac est de le charger nouveau
danslapartition,viaTFTPouFTPparexemple:
3640#delete slot1:c3640-i-mz.113-11c.bin
Delete filename [c3640-i-mz.113-11c.bin]? Y
Delete slot1:c3640-i-mz.113-11c.bin? [confirm]y
SurunsystmedefichiersdeclasseB,lacommandeerasepermetdercuprerlespaceencoreoccuppar
les fichiers marqus effacs. Mais il faut se souvenir quelle provoque galement la suppression de tout
fichierprsentdanslesystmedefichiers.
Unexempledecommandeeraseentresurunrouteur3640poureffacerlecontenudeslot1:...
3640#erase slot1:
Erasing the slot1 filesystem will remove all files! Continue? [confirm]y
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
Erase of slot1 complete
La commande partition, en mode de configuration globale, permet de diviser une mmoire Flash en partitions.
Exempledepartitionnementsurlesplatesformes1600et3600:
partition flash-filesystem: [number-of-partitions][partition-size]
Laformenodelacommandesupprimelepartitionnementetrestaureunepartitionunique:
no partition flash-filesystem:
Lutilisation de la commande partition ncessite deffacer la mmoire Flash au pralable laide dune
commandeerase.
La syntaxe gnrale de la commande permettant de partitionner sur les platesformes de classe B en dehors des
platesformes1600et3600est:
partition flash partitions [size1 size2]
Laformenodelacommandesupprimelepartitionnementetrestaureunepartitionunique:
no partition flash
Sur une plateforme 3600, lexemple suivant divise lespace de mmoire Flash Slot0: en trois partitions : deux
partitionsde8Moetunepartitionde4Mo.
3640(config)# partition slot0: 3 8 8 4
- 4-
Unecommandeshowslot0:faitdcouvriroupermetdevrifierlepartitionnementtablisurunemmoireFlash.Ainsi
dans lexemple suivant, ladministrateur observe que trois partitions existent, deux de 8 Mo et une de 4 Mo. La
premirepartitionestchargeavecuneimageIOS.Cetteimageancessairementtplacelaprsloprationde
partitionnement:
3640#show slot0:
PCMCIA Slot0 flash directory, partition 1:
File
Length
Name/status
2779832
c3640-i-mz.113-11c.bin
4.SystmedefichiersdeclasseC
Lesplatesformesconcernes:
AS5800DialShelfController
Catalyst5000/5500SupervisorIIIModule
Catalyst6000/6500SupervisorEngineI
Catalyst6000/6500SupervisorEngineII
Cisco7000RouteProcessor
Cisco7100SeriesRouters
CiscouBR7100SeriesRouters
Cisco7200SeriesNetworkProcessingEngine
CiscouBR7200SeriesRouters
Cisco7200VXRSeriesNetworkServicesEngine1
- 5-
Cisco7600SeriesInternetRoutersv
Cisco10000SeriesRouters(ESR)
CiscouBR10000SeriesRouters
Cisco2800SeriesRouters(lexceptiondurouteur2801)
Cisco3800SeriesRouters.
LescommandesutilespourgrerunsystmedefichiersdeclasseCsont:
format:formatelammoireFlashetparsuite,supprimedefaondfinitivelensembledesfichiersprsents.
mkdir:creunnouveaurpertoiredanslesystmedefichiersdeclasseC.
rmdir : supprime un rpertoire existant dans le systme de fichiers de classe C la condition que ce
rpertoireaittviddesesfichiers(ousousrpertoires)aupralable.
QuelquesexemplesdecommandesenclasseC:
Quandunecommandeshowflash:allfournitdesinformationsdegomtrieetdeformat,alorsonestassurdavoir
affaireunsystmedefichiersdeclasseC,cestlecasdanslacaptureciaprs:
R12>show flash: all
-#- --length-- -----date/time------ path
1
17935236 Feb 22 1907 17:31:44 +00:00 c2801-ipbasek9-mz.124-25c.bin
46075904 bytes available (17936384 bytes used)
******** ATA Flash Card Geometry/Format Info ********
ATA CARD GEOMETRY
Number of Heads:
8
Number of Cylinders
490
Sectors per Cylinder
32
Sector Size
512
Total Sectors
125440
ATA CARD FORMAT
Number of FAT Sectors
Sectors Per Cluster
Number of Clusters
Number of Data Sectors
Base Root Sector
Base FAT Sector
Base Data Sector
62
8
15628
125297
235
111
267
- 6-
1
2
-rw-rw-
17935236
1363
c2801-ipbasek9-mz.124-25c.bin
R12_cfg.txt
-rw-rwdrw-
17935236
1363
0
c2801-ipbasek9-mz.124-25c.bin
R12_cfg.txt
config
-rw-
1363
R12_cfg.txt
- 7-
R12#dir
Directory of flash:/config/
No files in directory
64012288 bytes total (46067712 bytes free)
R12#
Unenouvelletentativepoursupprimerlerpertoireconfigestcettefoiscouronnedesuccs:
R12#cd ..
R12#dir
Directory of flash:/
1
2
3
-rw-rwdrw-
17935236
1363
0
c2801-ipbasek9-mz.124-25c.bin
R12_cfg.txt
config
-rw-rw-
17935236
1363
c2801-ipbasek9-mz.124-25c.bin
R12_cfg.txt
- 8-
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Quellecommandeshowestutilepourvrifierlespartitionsconnuesdelaplateforme?
2 Querappellek9danslenomdimagec2600ik9smz.12240a.bin?
3 Parmilesinformationsfourniesparlersultatdunecommandeshowversion,ladministrateurveutinterprter
laligne:
Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory
Combiencetteplateformedisposetelledemmoirevive?
4 VousdisposezdesdeuxversionsdIOS12.4(23b)et12.4(24)T2.Ilvousfautfaireunchoixpourmettrejour
unepartiedevotreparcderouteurs.Onvousrecommandedeprivilgierlastabilit.Quelestvotrechoix?
5 Combiendetempsscouletilentrelamisedispositionduneversionsurlemarchetlafindetout
dveloppementdecetteversion?
6 Lavaleuractuelleduregistredeconfigurationest0x2122.VoussouhaitezignorerlecontenudelaNVRAMau
prochaindmarrage.Quellevaleurrangezvousdansleregistredeconfiguration?
7 QuelssontlesprotocolessupportsparleminiOSROMMONetquipermettentletransfertduneimageversla
partitionFlashdurouteur?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/7
Pourcechapitre,votrescoreminimumdoittrede6sur7.
3.Rponses
1 Quellecommandeshowestutilepourvrifierlespartitionsconnuesdelaplateforme?
Router#show file systems
Lapartitionactiveestmarquedunetoile.
2 Querappellek9danslenomdimagec2600ik9smz.12240a.bin?
CettefaondenommerlesimagesIOSaperdurjusqulaversion12.3.Chaquelettreoulettreassocieunchiffrefait
rfrence lunedesbriqueslogiciellesquicomposentlimage. Ainsi,k9 faitrfrencelaprsencedanslimagedes
fonctionnalitsdecryptographieforteAESet3DES.
3 Parmi les informations fournies par le rsultat dune commande show version, ladministrateur veut interprter la
ligne:
Cisco 2801 (revision 7.0) with 114688K/16384K bytes of memory
Combiencetteplateformedisposetelledemmoirevive?
La seconde quantit fait rfrence la mmoire ddie aux paquets (tampons associs aux interfaces). Sur les plates
formeslespluspuissantesdelagammeCISCO,unemmoireparticulireettrsrapideestddiecetusage.Quandcest
le cas, la premire quantit indique alors la quantit totale de mmoire RAM. La plateforme 2800 ne bnficie pas de
mmoireddieetpartagesammoirevive.Laconsquenceestquilfautadditionnerlesdeuxnombrespourexprimerla
quantitdemmoireRAMembarqueparlesystme,soit128Mo.
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
4 Vous disposez des deux versions dIOS 12.4(23b) et 12.4(24)T2. Il vous faut faire un choix pour mettre jour une
partiedevotreparcderouteurs.Onvousrecommandedeprivilgierlastabilit.Quelestvotrechoix?
LetrainTechnologyintgrergulirementdenouvellesfonctionnalitsoudenouveauxsupportsmatriels.Cesapports
nepeuventsefairequaudtrimentdelastabilit.LetrainMainLineintgreauplusdescorrectifslogiciels.Cestdonc
luiquilfautprivilgier,soitlaversion12.4(23b).
5 Combiendetempsscouletilentrelamisedispositionduneversionsurlemarchetlafindetoutdveloppement
decetteversion?
La mise disposition est le jalon FCS (First Customer Shipping). La fin du dveloppement est le jalon EoE (End of
Engineering).Ilscoule48moisentreFCSetEoE.
6 La valeur actuelle du registre de configuration est 0x2122. Vous souhaitez ignorer le contenu de la NVRAM au
prochaindmarrage.Quellevaleurrangezvousdansleregistredeconfiguration?
Ilsagitdefairepasserlebit61,cequirevientajouter4lacolonnedesseizaines.Lavaleurrangerestdonc0x2162.
7 Quels sont les protocoles supports par le miniOS ROMMON et qui permettent le transfert dune image vers la
partitionFlashdurouteur?
TFTPmaisilsupposelaconnectivitrseaudelundesdeuxportsEthernetembarqusparlerouteur.XmodemetYmodem
quinutilisentqueleportconsolemaisilfaudraalorscomposeravecunebandepassantelimite.
- 2-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Dcrirelobjet,lanatureetlefonctionnementdunrouteur(objectiftransverse).
Expliquerlerlecritiquequejouentlesrouteursdanslapriseenchargedescommunicationsauseinderseaux
multiples.
Dcrirelobjetetlanaturedestablesderoutage.
Dcriredequellemanireunrouteurdtermineuncheminetcommutelespaquetsdedonnes.
Expliquerleprocessusderecherchederouteetdterminerlecheminquempruntentlespaquetssurlerseau.
Dcrirelobjetetlaprocduredeconfigurationdesroutesstatiques.
Configureretvrifierleroutagestatiqueetpardfaut.
- 1-
Rappels,routagestatiqueoudynamique
Rappelons dabord ce qui arrive lorsquune trame est reue par lune des interfaces dun routeur. La couche Liaison
recherche ladresse de destination. Si cette adresse identifie linterface ou sil sagit dune adresse de diffusion, le
datagrammecontenudanslatrameestextraitetremisauprocessusdecoucherseauconvenable(dmultiplexagede
protocole laide du champ Type). La couche rseau examine ladresse IP de destination. Si cette adresse est, soit
ladresse IP de linterface, soit ladresse de diffusion limite (255.255.255.255), alors ce datagramme est arriv
destination (il nira pas plus loin). Sil sagitdun datagramme IP, le champ Protocol est utilis afin de remettre le
contenududatagrammeauprocessusconvenable(parexemple,1pourICMP,6pourTCP,17pourUDP...).
Touteadressededestinationdiffrenteindiquequeledatagrammedoittrerout.Ilpeutsagirdeladressedunhte
ouduneadressedediffusiondirige.Siladresseestcelledunhte,cethtepeutappartenirunrseaudirectement
connect(cerouteurestledernier,ledatagrammedoitmaintenanttreremislhte)ounondirectementconnect,le
routeurexaminealorssatablederoutagelarecherchedunerouteconvenable.
IlestindispensablederesituerlesquelquesnotionsquisuiventextraitesdelouvrageCiscoNotionsdebasesurles
rseauxdanslacollectionCertificationsauxEditionsENI.Cettecourtesectionestdoncdestineaulecteurquiaurait
acquisleprsentouvrageseul.
1.Notionderoute
Dans lexemple cidessous, le routeur passerelle se voit confier les datagrammes dont ladresse de destination est
extrieureaurseau.Chargeluidelesfaireprogresserversleurdestinationetpourcefaire,lerouteurconsultesa
tablederoutagelarecherchedunerouteverslerseauenquestion.Commentseprsenteuneroutedanscette
tablederoutage?
A minima, il sagit dune correspondance entre un rseau quil est possible datteindre et ladresse IP du prochain
routeur qui il faut confier les datagrammes pour sapprocher de ce rseau ou latteindre. Ainsi dans lexemple ci
dessus,lerouteurR11pouratteindrelerseau10.0.12.0/24doitconfierlespaquetsladresse10.0.8.12.Laroute
estdonclacorrespondance10.0.12.0/24via10.0.8.12.
Lapprentissagedecetterouteetparsuite,leremplissagedelatablederoutagepeuttrelefaitdeladministrateur,
on parle alors de routage statique. Il existe galement des protocoles de routage qui, par des changes rguliers
entrerouteurs,permettentchacundesrouteursdedcouvrirdesinformationsderouteoudetopologiederseau,
leremplissagedelatablederoutageestalorsautomatis,cequelondsigneparroutagedynamique.
2.Routagestatique
Uneroutestatiqueestlefaitdeladministrateur,ilfautlinscriremanuellementdanslatablederoutage.
Parmilesinconvnients:
Toute modification de topologie requiert lintervention de ladministrateur ce qui peut rapidement devenir
- 1-
pesant.
Lapannedunquipementouduneinterfaceestunemodificationdetopologieaccidentelle,nonplanifie.Le
tempsdindisponibilitestfonctiondudlaidepriseencomptedudfautparladministrateur.
Parmilesavantages:
Le routeur na pas consacrer une partie de ses ressources lentretien dun protocole de routage (CPU,
mmoire).
Lesdomainesdemploiduroutagestatiquesont:
Lespetitsrseaux.
LesrseauxprivsconnectslInternetviaunseulfournisseurdaccs.
3.Routagedynamique
laide dun protocole de routage, un routeur partage des informations concernant les rseaux quil connat avec
dautresrouteursquiutilisentlemmeprotocole.Chaquecorrespondance@rseaudistant@prochainsaut(chaque
route) mentionne le mode dapprentissage de la route (S pour statique, C pour directement connecte, R pour RIP
(RoutingInformationProtocol)...).
Les correspondances sont maintenues jour au fur et mesure de la vie du rseau. Cest mme lune des
performances attendues dun protocole de routage que de diminuer autant que faire se peut le temps qui scoule
entreunemodificationdetopologie,planifieouaccidentelle,etsapriseencomptedanslestablesderoutages.Ce
dlaiestappeltempsdeconvergence.
4.Latablederoutage
Routagestatiqueetdynamiquepeuventtreutilissconjointement,latablederoutagecomportealors:
desroutesdirectementconnectes:
lespremiresapparatredanslatable
leurprsenceestobligatoire(unrouteursansinterfacesnapasdesens)
uneroutedirectementconnectenapparatquelorsquelinterfacecorrespondanteestactive.
desroutesstatiques
desroutesdynamiques.
Seuleslesroutesstatiquesetdynamiquesconcernentlesrseauxdistants(nondirectementconnects).
LatablederoutageeststockeenmmoireRAMetdoitdonctrereconstruitechaqueinitialisationdelquipement.
5.Lesprotocolesderoutage
a.Notiondesystmeautonome
Vouloir propager linformation de topologie de chaque routeur sur lensemble de la plante est hors de porte
(consommationdebandepassante,difficultsdemaintenance,scurit).Lerseaumondialrsultedunassemblage
de systmes autonomes. Un systme autonome (AS : Autonomous System) est un ensemble de rseaux et de
routeurspartageantlemmeprotocolederoutageetgrparunemmeautoritadministrative.
- 2-
b.Protocolesderoutageinternes,externes
Les protocoles mis en uvre dans un systme autonome appartiennent la famille des IGP (Interior Gateway
Protocol).EntresystmesautonomesinterviennentlesprocolesEGP(ExteriorGatewayProtocol)maiscettefamillese
rsumeauseulprotocoleactuellementviableBGP(BorderGatewayProtocol).
- 3-
LesprotocolesIGPfondentleursdcisionssurdescritresdeperformances,dbit,fiabilit,nombredesauts...Le
protocole BGP intgre en plus des critres politiques. Imaginons que vous ayez tablir un plan de vol de
Compigne au nord de Paris Etampes au sud de Paris, un protocole IGP trace une route directe qui vous fait
survolerParis.LeprotocoleBGPvousferacontournerParisparcequelesurvoldelacapitaleestinterdit.
La famille des protocoles IGP est une famille nombreuse mais essentiellement fonde sur deux technologies : le
routagevecteurdedistanceetleroutagetatdeliens.
6.Cequicaractriseuneroute
Vous habitez Paris et prparez un itinraire afin de vous rendre Marseille, sur le boulevard de la Canebire au
numro 10. Votre destination est donc le Sud mais aussi la rgion PACA, plus encore les BouchesduRhne,
videmmentMarseille,laCanebireetenfinlen10.Touteslesdestinationsquenousvenonsdecitersontexactes
mais plus ou moins prcises. La premire caractristique dune route est sa destination, la seconde est son degr
dacuit.VousdcidezdutiliserunsitedeprparationditinrairetypeViaMichelinouMappy.Ilvousfautprciserun
choixparmi{Conseill|Plusrapide|Pluscourt|Dcouverte|Economique}.Cechoixestdterminantsurlecotdu
voyage,cettenotionexistegalementpourunerouterseau,onparledemtrique.Enfin,vousvousprcipitezsur
unepromotionencoursetachetezunGPSderniercri.Aprsquelquesheurespasseserrersurnosbellesroutes
franaises, vous voil au milieu dune cour de ferme. Quelle confiance fallaitil accorder la route propose par ce
GPS?Cedegrdeconfiancecaractrisenonpaslarouteenellemmemaislasourcedapprentissagedelaroute,on
lappelledistanceadministrative.
a.Mtriqueassocieuneroute
La mtrique est donc lune des caractristiques dun protocole de routage. La plus simple est sans doute celle du
protocolevecteurdedistanceRIP,galeaunombredesauts.Lunedesplussophistiquesestcelleduprotocole
propritaireEIGRP(EnhancedInteriorGatewayRoutingProtocol)puisquelleassociedlai,bandepassante,fiabilitet
charge. La mtrique dOSPF (Open Shortest Path First) additionne les cots des diffrents liens qui composent la
route,lecotdunlienestfonctiondesabandepassante.
Lexemplesuivant,classique,montrelesabsurditsauxquellespeutconduireunemtriquerudimentaire:
- 4-
SilestroisrouteursremplissentleurtablederoutageavecRIP,unpaquetmisparPC11etdestinPC22transite
par une route directe dont certes le nombre de sauts est moindre mais dont la bande passante nest que le
trentimedecelleofferteparlaroutequitransiteparR8.
Ilarrivequunprotocolederoutagefournisseplusieursroutespourunemmedestination.Danscecas,ilneplace
danssatablederoutagequelaroutelaplusfavorable.Pourunprotocolederoutagedonn,lameilleurerouteest
celledontlamtriqueestlaplusfaible.
uninstantdonnetpourunprotocolederoutagedonn,chaqueroutecontenuedanslatablederoutage
estlemeilleurcheminparmilesroutesconnuesversunedestination.Lesautresroutessontignores.
Attention,ignoresnesignifiepasperdues.Danslecasounemodificationdetopologieentraneraitlindisponibilit
dunerouteprsentedanslatableetdanslecasocetteroutersultaitdunchoixparmidesroutesmtriques
diffrentes,lunedesroutesignoresjusquelpourraitsesubstituerlaroutedfaillante.
Lexemple cidessus montre la table de routage dun routeur configur pour mettre en oeuvre le protocole EIGRP.
ChaqueroutedcouvertelaidedeceprotocoleestprcdedelalettreD(EIGRPestfondsurlalgorithme
DUAL:DiffusingUpdateAlgorithm).Observezleschampsprsentsimmdiatementdroitedurseaudedestination,
deux valeurs entre crochets et spares par un caractre / :la premire valeur est la distance administrative
(patientez...),lasecondevaleurestlamtrique.
Il arrive quun protocole de routage fournisse deux ou plusieurs routes vers une mme destination et avec des
mtriquesidentiques:
- 5-
Danslexemplecidessus,leprotocolederoutagemisen uvreestRIP.ParcequilexistedeuxliaisonsentreR8et
R16, R8 inscrit dans sa table de routage deux routes mtriques identiques vers les rseaux 10.0.16.0/24,
10.0.21.0/24 et 10.0.22.0/24. Observez la table de routage, chaque rseau de destination concern apparat
associauxdeuxsautspossibles.
Onparledanscecasdecheminscotgal,seulcasolerouteurnechoisitpasuneroutemaisprendlesdeux
routes(oudavantage)encomptepourfaireprogresserletraficverslerseaudedestinationenlerpartissantsur
lesdeuxliens,cequelondsigneparPartagedechargecotgal.
b.Ladistanceadministrative
Nousavonsditquelamtriqueestcaractristiqueduprotocolederoutage.Comparerdeuxmtriquesnadesens
quesiellessontissuestoutesdeuxdummeprotocolederoutage.Leplusordinairement,lesroutesdynamiques
installesdanslatablederoutagesontissuesdununiqueprotocolederoutagequilesachoisiesparceque,parmi
les routes connues, ces routes avaient la meilleure mtrique. Quelques cas rares obligent configurer plusieurs
protocoles de routage sur un mme routeur, ce qui peut se produire lorsquun routeur est plac sur la frontire
sparantdeuxdomainesdistincts,unprotocolederoutagedistincttantdploysurchacundecesdomaines.
Commentlerouteurpeutiloprerunchoixparmiplusieursroutespourunmmerseaudedestinationquandces
routessontissuesdeprotocolesderoutagediffrents?
Impossiblecettefoisdecomparerlesmtriques.Lechoixquiatfaitestdassocierundegrdeconfiancechacun
des protocoles de routage, degr de confiance appel distance administrative. Sa valeur est comprise entre 0 et
255,lerouteurprivilgielaroutedistanceadministrativelaplusfaible.
Il est possible dutiliser des valeurs autres que celles attribues par dfaut, mais il est conseill de connatre ces
valeurspardfaut:
- 6-
Routedirectementconnecte:DA=0(uneconfianceabsolue).
Routestatique:DA=1(cestladministrateurquientrelaroute,onconsidrequilsaitcequilfait).
RouteissuedeEIGRP:DA=90.
RouteissuedeIGRP:DA=100(normalementabandonnauprofitdeEIGRP).
RouteissuedeOSPF:DA=110.
RouteissuedeRIP:DA=120.
DA=255sourcenonfiable,laroutenestpasinstalledanslatablederoutage.
Revenezunpeuplushautlafigureillustrantlesmtriquesassociesauxroutes,danslersultatdunecommande
showiproute.chaqueroutesontassocieslesdeuxvaleurs[DA/Mtrique].PuisquilsagissaitduprotocoleEIGRP,
onretrouvelavaleurDA=90.
Quandlamtriquepermetdechoisirlaroutelapluspertinente,ladistanceadministrativepermetdtablirle
modedapprentissagederouteprfr.
- 7-
Rseauxdirectementconnects
Sansentrerderoutestatiqueetsansavoirmisen uvreunquelconqueprotocolederoutage,onpourraitpenserque
latablederoutagerestevide.Maischaqueinterfaceltatmontup etdoteduneconfigurationIPprovoque
lajout dune route dans la table de routage. Appuyons notre propos sur le contexte cidessous, reproductible dans
GNS3:
Uneroutedirectementconnecteestajoutelatablederoutagesilesdeuxconditionssuivantessontsatisfaites:
Linterfaceestdansuntatactiflafoisencouche1etencouche2.Ltatactifencouche1supposequily
aitbienuneconnectivitphysiqueentrecetteinterfaceetlinterfacedelquipementenvisvis.Parexemple,
uneinterfaceWANestconnectesonbotierCSU/DSUluimmeactif,uneinterfaceLANestconnecteun
portdecommutateuractif.Ltatactifencouche2supposequilyaitcompatibilitdeprotocolesurlescouches
2 respectives des interfaces en visvis. Dans le cas dune interface LAN, pas de problme depuis la
prminence dEthernet. Dans le cas dune interface WAN, ladministrateur doit avoir configur le mme
protocoledecouche2auxdeuxextrmitsdulien.Pardfaut,lIOSraliseuneencapsulationHDLC.
UneconfigurationIPatassignelinterface,soitparlefaitdeladministrateur(commandeipaddress),soit
obtenuedunserveurDHCP.
Ladministrateur peut confirmer ltat dune ou plusieurs interfaces laide de la commande show ip interface brief
(abrgeenshipintbr).ParexemplesurR110f:
R110f#sh ip int br
Interface
FastEthernet0/0
Serial0/0
FastEthernet0/1
R110f#
IP-Address
10.0.1.1
10.0.1.225
unassigned
OK?
YES
YES
YES
Method
manual
manual
unset
Status
Protocol
up
up
up
up
administratively down down
Lacommandeshowiprouteaffichelintgralitducontenudelatablederoutage.Maisavantdefournirlesdiffrentes
routes qui composent la table, linterface rappelle quelles sont les sources dapprentissage possible. Chaque source
est associe une lettre : S pour les routes statiques, I pour le protocole de routage IGRP, etc. Les routes
directementconnectesapparaissentaveclalettreCenregard:
R110f#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
S
10.0.1.192/27 [1/0] via 10.0.1.226
C
10.0.1.224/30 is directly connected, Serial0/0
R110f#
Il est galement possible de nafficher que les seules routes directement connectes en ajoutant le motcl
connected lacommandeshowiproute:
R110f#sh ip route connected
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
C
10.0.1.224/30 is directly connected, Serial0/0
R110f#
- 1-
Avec cette mme topologie, imaginons le routeur R120f hors service (sous GNS3, clic droit sur le routeur R120f puis
slectionnez Suspendre). Sur la console du routeur R110f, un message SYSLOG avertit de la tombe de linterface
s0/0:
00:58:01: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state
to down
ToujourssurlerouteurR110f,lacommandeshipintbrdonnecettefois:
R110f#sh ip int br
Interface
FastEthernet0/0
Serial0/0
FastEthernet0/1
R110f#
IP-Address
10.0.1.1
10.0.1.225
unassigned
OK?
YES
YES
YES
Method
manual
manual
unset
Status
Protocol
up
up
up
down
administratively down down
Unecommande show ip route confirme lvnement, la route directement connecte vers le rseau 10.0.1.224/30 a
disparu:
R110f#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/25 is subnetted, 1 subnets
C
10.0.1.0 is directly connected, FastEthernet0/0
R110f#
- 2-
Routesstatiques
1.Routestatiqueversladressedusautsuivant
Lacommandeiproute,enmodedeconfigurationglobale,doittreutiliseautantdefoisquilyaderoutesstatiques
crer.Voicisasyntaxelaplusglobale:
Router(config)#ip route @destination masque {@saut_suivant | interface_sortie}
[distance] [tag] [permanent]
Dontlesargumentssontlessuivants:
Motcl
Description
@destination
LadresseIPdurseaudistant.
Masque
Lemasquedurseaudistant.Plusleprfixeestlong,pluslarouteestprcise.
Plusleprfixeestcourt,pluslarouteagrgedesrseaux.
@saut_suivant
LadresseIPduprochainsaut.
Interface_sortie
Quandonfaitlechoixdepointeruneinterfacedecerouteurpluttqueladresse
IPdelinterfacedurouteursuivant.
Distance
Imposeunedistanceadministrativediffrentedeladistancepardfautpourune
routestatique(valeur1).
Tag
Marqueurutilispourlaredistributionderoutes.
Permanent
Laroutenestjamaiseffacedelatablederoutagemmeencasdetombede
linterface.
Appuyonsnouveaunotrepropossurlecontextecidessous,reproductibledansGNS3:
cet instant, les tables de routage des deux routeurs R110f et R120f ne contiennent que les routes directement
connectes.SurPCL110,unerequtepingmiseversPCL120estbienremiselapasserelledePCL110,cestdire
linterfacef0/0deR110f.SurR110f,ajoutonsuneroutestatiqueverslerseauLAN12:
R110f#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R110f(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.226
R110f(config)#^Z
R110f#
03:22:10: %SYS-5-CONFIG_I: Configured from console by console
R110f#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
Si R110f peut atteindre le saut suivant 10.0.1.226, il ajoute la route vers LAN12 la table de routage, ce que
confirmeunecommandeshiproute:
- 1-
R110f#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
S
10.0.1.192/27 [1/0] via 10.0.1.226
C
10.0.1.224/30 is directly connected, Serial0/0
R110f#
R120freoitlarequtepingmiseparPCL110etpeutlaremettresondestinatairepuisquePCL120estplacsur
unrseaudirectementconnect.PCL120rpondlarequte,ladressededestinationdelarponseest10.0.1.126,
placesurlerseauLAN11,larponseestremiselapasserelledePCL120,cestdireR120f.Ladministrateura
prissoindetaperunecommandedebugipicmpsurR120f,dontvoicilersultat:
R120f#debug ip icmp
ICMP packet debugging is on
R120f#
03:19:49: ICMP: dst (10.0.1.126) host unreachable sent to 10.0.1.222
03:19:50: ICMP: dst (10.0.1.126) host unreachable sent to 10.0.1.222
03:19:51: ICMP: dst (10.0.1.126) host unreachable sent to 10.0.1.222
R120f#
SurR120f,ajoutonslaroutemanquanteversLAN11:
R120f#u all
All possible debugging has been turned off
R120f#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R120f(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.225
R120f(config)#^Z
R120f#
04:14:57: %SYS-5-CONFIG_I: Configured from console by console
R120f#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
Si R120f peut atteindre le saut suivant 10.0.1.225, il ajoute la route vers LAN11 la table de routage, ce que
confirmeunecommandeshiproute:
R120f#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
S
10.0.1.0/25 [1/0] via 10.0.1.225
C
10.0.1.192/27 is directly connected, FastEthernet0/0
C
10.0.1.224/30 is directly connected, Serial0/0
R120f#
Cettefois,larequteICMPdePCL110aboutit.
a.Lacommandepingtendue
Toujoursennousappuyantsurlatopologieprcdente,imaginonscettefoisqueladministrateursetrouvedevant
unesessionconsolesurR110fetquesaufenvisagerdesdplacementscompliqus,ilsouhaiterglerlatotalit
de la configuration (tests compris) depuis cette session console. Pour rtablir le contexte tel quil tait avant
lintroductiondesroutesstatiques,utilisonslaformenodescommandesiproute.
SurR110f:
R110f#conf t
Enter configuration commands, one per line.
- 2-
- 3-
- 4-
Observez que, hormis pour les adresses source et destination, les questions poses proposent une rponse par
dfautquelonpeutaccepterenvalidantsimplementparlatouche[Entre].
2.Routestatiqueversuneinterfacedesortie
Jusquprsent,uneroutedirectementconnectetaituneroutequelIOSavaitdduitedelaconfigurationdune
interface.SIladresseIPdelinterfacefa0/0est10.0.1.1/25,ALORSlerseau10.0.1.0/25estdirectementconnect
cette interface . LIOS offre galement cette possibilit qui consiste, dans une route statique, indiquer une
interface de sortie plutt que ladresse de saut suivant. LIOS considre alors cette route comme galement
directement connecte. Ce qui amne se remmorer son comportement avec une route directement connecte.
Avec une telle route, lIOS considre toute adresse de destination appartenant au rseau directement connect
comme tant directement joignable. Il lui reste confier le datagramme au pilote de linterface afin quil compose
lultime trame qui encapsulera ce datagramme. Pour ce faire, le pilote doit disposer de ladresse physique de
destination.
ce stade, le comportement diffre selon le type dinterface de sortie, LAN ou WAN. Dans le cas dune interface
serial,linterfacedesortieestconnecteuneliaisonpointpoint.Pasdambigit,lepilotesaitquiilest etqui
estlautre,ilpeutcomposerlatrame.Ledatagrammeestdoncremislautreextrmitquiestaussilinterfacede
sautsuivant.LeschosessecompliquentquandlinterfacedesortieestuneinterfaceLAN.Ladressededestination
est une adresse de couche 3, le pilote doit disposer de ladresse de couche 2 correspondante. En IPv4, cest ce
momentquintervientlemcanismeARP.IlpeuttreutiledesereporterlouvrageCiscoNotionsdebasesurles
rseauxdanslacollectionCertificationsauxEditionsENIchapitreObtentionduneadresseIPsectionLeprotocole
ARP.Silacorrespondance@IP@MACestprsentedanslecacheARP,lepilotepeutcomposerlatrame.Danslecas
contraire,ledatagrammeestplacenfiledattenteetleprocessARPdiffuseunerequteafindapprendreladresse
physiquedudestinataire.
Raisonnonsnouveausurlaroutestatiquequiutiliseuneinterfacedesortie.Danslecasduneinterfaceserial,un
datagrammequiempruntecetterouteestremissansformalitsaupilotedelinterfacequipeutcomposerlatrame.Y
atil un intrt procder de la sorte ? Difficile de rpondre, il faudrait avoir une conversation srieuse avec les
personnes charges du dveloppement chez CISCO. Tout au plus, peutonremarquerquelIOS balaye la table de
routageuneseulefoisquandlaroutequildcidedutiliserestdirectementconnecte.Quandilchoisitunerouteavec
adressedesautsuivant,ildoitparcourirlatableunesecondefoislarecherchedelinterfaceconnecteaurseau
quicomprendladressedesautsuivant.
LecomportementavecuneinterfacedesortiedetypeLANestpluscommodeexpliquerensappuyantsuruncas
concret.Examinezlatopologieproposeciaprs:
Ce contexte a t test laide de GNS3. Sur le routeur R110d, la route statique cre pour rejoindre le rseau
LAN12estdetypeinterfacedesortie:
R110d#show run
Building configuration...
...
...
ip route 10.0.1.192 255.255.255.224 FastEthernet0/1
ip route 10.0.1.224 255.255.255.252 FastEthernet0/1
ip route 10.0.1.228 255.255.255.252 FastEthernet0/1
ip http server
...
end
- 5-
R110d#
UnecommandeshowiproutesurlerouteurR110ddonnelersultatsuivant:
R110d#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 5 subnets, 4 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
C
10.0.1.128/26 is directly connected, FastEthernet0/1
S
10.0.1.192/27 is directly connected, FastEthernet0/1
S
10.0.1.224/30 is directly connected, FastEthernet0/1
S
10.0.1.228/30 is directly connected, FastEthernet0/1
R110d#
SurR80d,unecommandeshowcontrollerf0/1permetdedcouvrirladresseMACdecetteinterface:
R80d#sh controller f0/1
Interface FastEthernet0/1
Hardware is AMD Am79c971
...
Promiscuous Mode Disabled, PHY Addr Enabled, Broadcast Addr Enabled
PHY Addr=C800.0764.0001, Multicast Filter=0x0000 0x0100 0x0000 0x0000
...
R80d#
LammecommandesurR70d:
R70d#show controller f0/1
Interface FastEthernet0/1
Hardware is AMD Am79c971
...
Promiscuous Mode Disabled, PHY Addr Enabled, Broadcast Addr Enabled
PHY Addr=C802.0764.0001, Multicast Filter=0x0000 0x0100 0x0000 0x0000
...
R70d#
Imaginons un datagramme en provenance de PCL110 destin PCL120. R110d considre la route statique vers
LAN12 comme une route directement connecte et peut remettre ce datagramme au pilote de linterface f0/1 en
mme temps quil sollicite le processus ARP, ce afin dobtenir ladresse physique correspondant ladresse de
destination 10.0.1.222. Cette correspondance nest pas encore prsente dans le cache ARP comme le confirme le
rsultatdunecommandeshowiparp:
R110d#sh ip arp
Protocol Address
Age (min) Hardware Addr
Type
Interface
Internet 10.0.1.1
c801.0764.0000 ARPA
FastEthernet0/0
Internet 10.0.1.129
c801.0764.0001 ARPA
FastEthernet0/1
R110d#debug arp
ARP packet debugging is on
R110d#
00:01:02: IP ARP: creating incomplete entry for IP address: 10.0.1.222 interface
FastEthernet0/1
00:01:02: IP ARP: sent reqsrc 10.0.1.129 c801.0764.0001,dst 10.0.1.222
0000.0000.0000 FastEthernet0/1
00:01:02: IP ARP: rcvd rep src 10.0.1.222 c802.0764.0001, dst 10.0.1.129
FastEthernet0/1
00:01:02: IP ARP: rcvd rep src 10.0.1.222 c800.0764.0001, dst 10.0.1.129
FastEthernet0/1
R110d#
00:01:03: IP ARP: creating incomplete entry for IP address: 10.0.1.126 interface
FastEthernet0/0
00:01:03: IP ARP: sent reqsrc 10.0.1.1 c801.0764.0000,dst 10.0.1.126 0000.0000.0000
FastEthernet0/0
00:01:03: IP ARP: rcvd rep src 10.0.1.126 000c.2953.c7b7, dst 10.0.1.1
FastEthernet0/0
- 6-
R110d#u all
All possible debugging has been turned off
R110d#sh iparp
Protocol Address
Age (min) Hardware Addr
Internet 10.0.1.1
c801.0764.0000
Internet 10.0.1.126
1
000c.2953.c7b7
Internet 10.0.1.129
c801.0764.0001
Internet 10.0.1.189
0
0050.56c0.0008
Internet 10.0.1.222
1
c800.0764.0001
Internet 10.0.1.170
0
c802.0764.0001
Internet 10.0.1.180
0
c800.0764.0001
R110d#
Type
ARPA
ARPA
ARPA
ARPA
ARPA
ARPA
ARPA
Interface
FastEthernet0/0
FastEthernet0/0
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
Ladministrateuraprissoindelancerunecommandedebugarp.Leprocessusdebugarpinformedeladiffusiondune
requte afin de dcouvrir ladresse physique associe ladresse distante 10.0.1.222. Les deux routeurs R70d et
R80d disposent chacun dune route vers ladresse objet de la requte. Chacun des deux routeurs rpond la
requte ARP je suis 10.0.1.222. LeprocessusARPfaitcequil fait toujours quand il reoit une correspondance
ARP:ilmetjourlacorrespondancedanslecacheARP.Danslecasprsent,lapremirerponsemanedurouteur
R70detpendantuntrscourtlapsdetemps,lacorrespondanceplacedanslecacheARPdeR110dest10.0.1.222
C802.0764.0001.Maisuneseconderponseintervientpresqueimmdiatement.EllemanedeR80detprovoque
unenouvellemisejourducacheARPquicontientdsormaislacorrespondance10.0.1.222C800.0764.0001.
R110dremettralesprochainsdatagrammesdestinsaurseauLAN12aurouteurR80d.Ilestdommagedeconstater
quecestlerouteurayantlaplusgrandelatencequidevrasechargerdefaireprogressercesdatagrammes.
Un routeur qui rpond ainsi une requte ARP avec sa propre adresse MAC se comporte en Proxy ARP,
comportementadoptpardfautparlIOS(ilestpossiblededsactiverleProxyARPenentrantlacommandenoip
proxyarpenconfigurationdinterface).Pourtrecomplet,citonslapossibilitdeffacerlecontenuducacheARPdun
routeur laide de la commande clear arpcache, en mode privilgi. Comment un administrateur (chevronn)
reconnatillecomportementProxyARP?EnobservantlecontenuducacheARP:unemmeadresseMACcorrespond
plusieursadressesIP.
En guise de conclusion, observons galement une lgre diffrence quant la distance administrative entre une
routestatiqueavecadressedesautsuivantetuneroutestatiqueavecinterfacedesortie.Ladistanceadministrative
pardfautduneroutestatiqueest1.Maisuneroutestatiqueavecinterfacedesortieestconsidreparlerouteur
commeuneroutedirectementconnecte,routedontladistanceadministrativeest0.
Une route statique avec interface de sortie vers un rseau LAN fonctionne la condition que le
comportement ProxyARP du ou des routeurs suivants nait pas t dsactiv. Mais quand cette route est
sollicite,lechoixdurouteursuivantoprparlemcanismeARPnestpaslepluspertinent.Onrserveradoncles
routesstatiquesinterfacedesortieauxliaisonspointpoint.
- 7-
Rsolutionduneroute,larecherchercursive
Pourleprocessusderoutage,uneseulequestionmritedtrepose:quelleinterfacedesortiefautil confier ce
paquet?Observezlatablederoutagecidessous:
R110b#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 5 subnets, 5 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
S
10.0.1.128/26 [1/0] via 10.0.1.226
S
10.0.1.192/27 [1/0] via 10.0.1.234
C
10.0.1.232/29 is directly connected, Serial0/1
C
10.0.1.224/30 is directly connected, Serial0/0
R110b#
ImaginonsqueR110bsevoitconfierunpaquetdestinlhte10.0.1.129.Lerouteurentameunpremierbalayagede
latablederoutageettrouveunesolutiondanslaroute10.0.1.128/26maishlas,cettesolutionpassepar10.0.1.226.
Et voil notre routeur contraint dentamer un second balayage de la table de routage la recherche cette fois de
10.0.1.226. Le routeur trouve une route 10.0.1.224. Notez bien que cette route aurait pu mener nouveau une
adressedeprochainsaut,adressequincessiteraitunbalayagesupplmentairemaisnotrerouteuraplusdechance
cette fois et la route fournit linterface de sortie S0/0. Ce mcanisme de recherche qui consiste enchaner des
balayages successifs de la table de routage jusqu trouver sur quelle interface acheminer le paquet est appel
recherchercursive.
Biensr,chaquenouvellelecturedelatablederoutagedgradeletempsdacheminementdupaquetetleprocessus
deroutageestdautantplusperformantquilpeuttrouverrapidementquelleestlinterfacedesortieadquate.ce
pointdevue,laroutestatiqueversuneinterfacedesortietrouveiciunejustificationsupplmentaire.
- 1-
tablissementduneroutestatiqueflottante
Voici une stratgie qui intressera certainement tous ceux pour qui la recherche de sret et de fiabilit frise
lobsession.Lecontexteestlesuivant:ladministrateuraconfileremplissagedestablesderoutagedelensemblede
sesrouteursauprotocolederoutageEIGRP.Maisilsouhaiteprvoirlecrashpossibledeceprocessus.Sicecrashse
produit, il doit assurer une connectivit minimale entre les deux routeurs R110e et R120e. Pour ce faire, il dcide
dutiliseruneroutestatique.CetteroutedoitresterinactiveentempsnormalmaisdoitsesubstituerlarouteEIGRP
entempsdecrise:
Le lecteur pourra reproduire le contexte propos sous GNS3. Les trois routeurs mettent en uvre le protocole de
routageEIGRP.LerseauaffectaulienentreR110eetR120enestpasprisencompteparEIGRP.Puisqueladistance
administrativedunerouteEIGRPest90,laroutestatiqueatdotedunedistanceadministrativede100.Quandles
routeursR110eetR120einstallentdanslatablederoutagelarouteprvueparEIGRP,cetteroutepasseparR80e.
ExtraitdelaconfigurationdeR110e,laroutestatiqueestengras:
R110e#sh run
Building configuration...
...
!
interface FastEthernet0/0
ip address 10.0.1.1 255.255.255.128
duplex auto
speed auto
!
interface Serial0/0
bandwidth 2000
ip address 10.0.1.225 255.255.255.252
!
interface Serial0/1
ip address 192.168.1.1 255.255.255.0
!
routereigrp 1
network 10.0.1.0 0.0.0.255
auto-summary
!
ip classless
ip route 10.0.1.192 255.255.255.224 192.168.1.2 100
ip http server
!
end
R110e#
ExtraitdelaconfigurationdeR120e:
R120e#sh run
Building configuration...
...
!
- 1-
interface FastEthernet0/0
ip address 10.0.1.193 255.255.255.224
duplex auto
speed auto
!
interface Serial0/0
ip address 192.168.1.2 255.255.255.0
clock rate 64000
!
interface Serial0/1
bandwidth 2000
ip address 10.0.1.229 255.255.255.252
!
routereigrp 1
network 10.0.1.0 0.0.0.255
auto-summary
!
ip classless
ip route 10.0.1.0 255.255.255.128 192.168.1.1 100
ip http server
!
end
R120e#
ExtraitdelaconfigurationdeR80e:
R80e#sh run
Building configuration...
...
!
interface Serial0/0
bandwidth 2000
ip address 10.0.1.226 255.255.255.252
clock rate 2000000
!
interface Serial0/1
bandwidth 2000
ip address 10.0.1.230 255.255.255.252
clock rate 2000000
!
router eigrp 1
network 10.0.1.0 0.0.0.255
auto-summary
!
end
R80e#
LatablederoutagedeR110eentempsnormal,EIGRPoprationnel:
R110e#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
D
10.0.1.192/27 [90/2306560] via 10.0.1.226, 00:16:11, Serial0/0
C
10.0.1.224/30 is directly connected, Serial0/0
D
10.0.1.228/30 [90/2304000] via 10.0.1.226, 00:16:11, Serial0/0
C
192.168.1.0/24 is directly connected, Serial0/1
R110e#
ReproduirelecrashdelarouteEIGRPestsimple,ilsuffitdesuspendrelerouteurR80e(sousGNS3,effectuezunclic
droit sur le routeur puis slectionnez Suspendre). Plusieurs messages SYSLOG sur les consoles de R110e et R120e
- 2-
informentdelapertedunvoisin(patientezjusqultudeduprotocoleEIGRP)puisdelatombedulienserial:
R110e#
00:19:54: %DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 10.0.1.226 (Serial0/0) is down:
holding time expired
R110e#
00:20:11: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state
to down
R110e#
Une nouvelle commande sh ip route fait apparatre la route statique espre. La route statique est revenue la
surface,cestuneroutestatiqueflottante:
R110e#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
S
10.0.1.192/27 [100/0] via 192.168.1.2
C
192.168.1.0/24 is directly connected, Serial0/1
R110e#
- 3-
Routesrsumes
Jusquprsent,danslesdiffrentesmisesensituationproposes,nousavonsentrautantderoutesstatiquesquil
y avait de rseaux de destination. lvidence, en procdant de la sorte, les tables de routage vont rapidement
salourdiretavecelles,latchedesIOS.Maispuisquelacommandepermettantdtabliruneroutestatiqueadmetle
masqueenparamtre,ilesttoutindiquchaquefoisquecest possible dagrgerplusieursroutesenuneseule.Le
chapitre ddi au dcoupage VLSM (Variable Length Subnet Mask) de louvrage Notions de base sur les rseaux
concluaitqulaconditiondadopteruneassignationdesprfixestopologique,ildevenaitpossibledagrgerlesroutes
etparsuitederduirelevolumedestablesderoutage.
Traitonsunexempleconcret:
Sans rsum de routes, inventorions les routes statiques ncessaires sur chacun des routeurs afin dassurer une
connectivittotale.
SurR110g:
R110g(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.98
R110g(config)#ip route 10.0.1.228 255.255.255.252 10.0.1.98
R110g(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.98
SurR80g:
R80g(config)#ip route 10.0.1.0 255.255.255.224 10.0.1.97
R80g(config)#ip route 10.0.1.32 255.255.255.224 10.0.1.97
R80g(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.229
SurR120g:
R120g(config)#ip
R120g(config)#ip
R120g(config)#ip
R120g(config)#ip
route
route
route
route
Ladministrateurenchargedecerseauaralisladivisiondelespacedadressage10.0.1.0/24laideduntableau
VLSMdichotomotiquedepuislalongueurdeprfixe24jusqulalongueurdeprfixemaximale,soit30:
- 1-
Avecunteltableau,trsvisuel,lagrgationdevientunjeudenfant.R110gnabesoinqueduneseulerouteversle
- 2-
rseauSudEst:
R110g(config)#ip route 10.0.1.128 255.255.255.128 10.0.1.98
R80gabesoindedeuxroutes,luneverslerseauOuest,lautreverslerseauLAN12:
R80g(config)#ip route 10.0.1.0 255.255.255.192 10.0.1.97
R80g(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.229
R120genfin,abesoindedeuxroutes,luneverslerseauLAN8,lautreverslerseauNordOuest:
R120g(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.230
R120g(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.230
Ainsi, de 10 routes statiques, nous sommes passs 5 routes. Attention aux consquences de ladressage
topologique.Parexemple,nousavonsdciddagrgerlerseauOuest10.0.1.0/26aveclerseauaffectaulien
serial 10.0.1.96/30 pour aboutir au rseau NordOuest 10.0.1.0/25. De fait, lensemble des adresses de lespace
10.0.1.0/25estplusvastequelensembleconstituparlerseauOuestadditionnaurseauduliensrie.Parmiles
espacesnonutiliss,lespace10.0.1.64/27estdisponible.Maisilnestdisponiblequepourunefutureaffectationdans
lespaceNordOuest.Ladministrateurquivoudraitrcuprercetespaceailleurs,devraitlimiterlagrgationaurseau
Ouest etmodifierlesroutessurR120g:
R120g(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.230
R120g(config)#ip route 10.0.1.0 255.255.255.192 10.0.1.230
R120g(config)#ip route 10.0.1.96 255.255.255.252 10.0.1.230
La plateforme Exploration de lacadmie propose une mthode dagrgation qui consiste chercher la plus longue
correspondance de prfixe pour exprimer la route agrge. Cette mthode est trs insuffisante devant le problme
pos.Imaginonsparexempledevoirexprimerlarouteagrgequimneraitauxrseaux10.0.1.0/30et10.0.1.64/30.
La plus longue correspondance de prfixe est 10.0.1.0/25. Mais 10.0.1.0/25 reprsente un espace de 128 adresses
alors que les deux blocs 10.0.1.0/30 et 10.0.1.64/30 nen reprsentent ensemble que 8. Ladministrateur doit
absolument mesurer ltendue dadresses effectivement couverte par une route agrge sous peine de graves
dconvenues.
- 3-
Routespardfaut
On se souvient que cest lIANA (Internet Assigned Numbers Authority) qui est en charge de la gestion de lespace
dadressageIP.DepuisCIDR(ClasslessInterDomainRouting),lIANAasegmentlespacedadressageen256blocsde
taille /8 numrots de 0/8 255/8. Chacun de ces blocs reprsente 16 millions dadresses (24 bits). Puis, lIANA
dlgueladministrationdecessegmentscinqRIR(RegionalInternetRegistry)selonlacartographiesuivante:
Les adresses alloues pour lEurope sont gres par le RIPE NCC (Rseaux IP Europens Network Coordination
Centre,www.ripe.net).LessegmentsdlgusparlIANAauRIPENCCsontaunombredetrente,onpeutdcouvrir
quels sont ces segments en consultant le document http://www.iana.org/assignments/ipv4addressspace/. Pour un
routeurdelInternetsituauxEtatsUnis,routerunpaquetverslEuroperevientdcouvrirquelepremieroctetde
ladresseIPdedestinationappartientlunedestrentevaleurspossiblespourlEurope(62,7795,141,145,151,
188,193195,212,213,217).
Cepetitprambuleafindeposerunequestion:quelleestlagrgationmaximaleetquelleestsareprsentation?
Parexemple,lebloc128/8reprsente16millionsdadressesetestaffectlARIN.Lebloc128/7comprendlesblocs
128/8et129/8.Lebloc128/6contientlesblocs128/8,129/8,130/8et131/8.Pluslalongueurdeprfixediminueet
pluslespacedadressescorrespondantestgrand.Quelssontlesprfixesdelongueur1?Ilssontaunombrededeux,
lespace0/1etlespace1/1.Chacunreprsentedeuxmilliardsdadresses.Commentagrger0/1et1/1?Parlespace
0/0.Ainsi,0/0reprsentelatotalitdelespacedadressageIPv4soit4milliardsdadresses(2 32 ). Ce nestpasune
reprsentation conventionnelle comme on peut le lire dans divers documents, mais bien la reprsentation CIDR de
lespacetotal.
Lerseau0/0estlerseautotal.Sonadresseest0.0.0.0masque0.0.0.0.
1.Routepardfautstatique
Puisquelerseau0/0reprsentelensembledesadresses,touteadressededestinationappartientcerseau.Une
routequipointeverslerseau0/0estuneroutequetouslesdatagrammespeuventemprunterfautededisposer
dunerouteplusspcifique.Quandlerouteurajoutecetteroutedanslatablederoutage,elleprendlenomderoute
pardfaut.
Une route par dfaut est toute indique quand un routeur est utilis pour connecter un rseau local au reste du
monde.Eneffet,danscecas,touterequtemiseparlundeshtesdurseaulocaletdestineaurestedumonde
doittransiterparcerouteur,lecheminestunique.Danslamiseensituationprcdente,lerouteurR120grpondau
critrerequispourtireravantageduneroutepardfaut.Ladministrateurdcidederemplacerlesroutesstatiques
agrgesparuneroutepardfaut:
R120g#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R120g(config)#no ip route 10.0.1.0 255.255.255.128 10.0.1.230
R120g(config)#no ip route 10.0.1.128 255.255.255.192 10.0.1.230
R120g(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230
R120g(config)#exit
R120g#
00:05:37: %SYS-5-CONFIG_I: Configured from console by console
R120g#copy run start
Destination filename [startup-config]?
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
Building configuration...
[OK]
R120g#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.1.230 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C
10.0.1.192/27 is directly connected, FastEthernet0/0
C
10.0.1.228/30 is directly connected, Serial0/1
S*
0.0.0.0/0 [1/0] via 10.0.1.230
R120g#
Danslersultatdelacommandeshow ip route,observezlechoixoprparlerouteurpourlirelapasserellede
dernierrecoursGatewayoflastresortassocieladresse10.0.1.230.Danslecasprsent,llectionestsimple
puisque la seule route candidate est celle entre de faon statique. Mais le routeur peut avoir connaissance de
plusieursroutespardfautapprises,pourpartieduneconfigurationstatique,pourpartiedunprotocolederoutage.
Les routes candidates sont marques par une toile dans la table de routage, la passerelle de dernier recours
choisieestcellecorrespondantlaroutecandidatedontladistanceadministrativeestlaplusfaible.
2.Lacommandeipdefaultgateway
LIOSproposedeuxautrescommandesenrapportavecltablissementduneroutepardfaut:ipdefaultnetwork
et ip defaultgateway. Rglons de suite le cas de la commande ip defaultgateway, trs diffrente des deux
commandesiprouteetipdefaultnetwork.Ilarrivequunrouteurdoivetreconsidr,temporairement,commeun
simplehte,cestdireunsystmedextrmit.Cestlecasparexemple,lorsquedanslemodeboot,ilfautcharger
uneimageIOSdepuisunserveurTFTP.Quelleestladiffrenceentrelecomportementdunhteetlecomportement
dun routeur ? Seul le second dispose dun processus de routage IP actif. Lhte quant lui, ne peut classer les
adressesdedestinationquendeuxcatgories:interneauquelcaslepaquetpeuttreremisdirectementexterne
et dans ce cas, le paquet doit tre confi la passerelle par dfaut. Cest prcisment le rle de la commande ip
defaultgatewayquedeconfigurerladressedecettepasserelle.
La commande ip defaultgateway permet de dfinir la passerelle par dfaut pour un routeur dont le
processusderoutageIPnestpasactif.
3.Lacommandeipdefaultnetwork
Montrerlamiseen uvredelacommandeipdefaultnetworkncessiteuncontexteunpeupluslabor.Examinez
latopologieproposeciaprs:
- 2-
LestroisrouteursR110h,R120hetR80hmettenten uvreunprotocolederoutage.Lobjectifestdtabliruneroute
par dfaut vers le routeur FAIh sur le routeur R80h. Ladministrateur serait videmment trs satisfait de voir cette
route par dfaut se propager de faon automatique sur les routeurs R110h et R120h. Le comportement des
protocolesderoutagevisvisdesroutespardfautrestetudier,dautresdtailsserontfournislorsdeltude
decesprotocoles.
ExtraitdelaconfigurationdeR80h:
!
interface Serial0/0
ip address 10.0.1.98 255.255.255.252
clock rate 64000
!
interface Serial0/1
ip address 10.0.1.230 255.255.255.252
clock rate 64000
!
interface Serial0/2
ip address 139.24.0.1 255.255.0.0
clock rate 64000
!
router rip
version 2
network 10.0.0.0
default-information originate
!
ip classless
ip default-network 172.26.0.0
ip route 172.26.0.0 255.255.0.0 139.24.0.2
ip http server
R80h#sh ip route
ExtraitdelaconfigurationdeFAIh:
!
interface Loopback0
ip address 172.26.41.1 255.255.0.0
!
interface FastEthernet0/0
ip address 200.200.200.1 255.255.255.0
duplex auto
speed auto
!
- 3-
interface Serial0/0
ip address 139.24.0.2 255.255.0.0
!
ip classless
ip route 10.0.1.0 255.255.255.0 139.24.0.1
ip http server
!
FAIh#
LatablederoutagedeR80h:
R80h#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is 139.24.0.2 to network 172.26.0.0
C
S*
R
C
R
C
R80h#
LatablederoutagedeR110h:
R110h#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is 10.0.1.98 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C
10.0.1.0/27 is directly connected, FastEthernet0/0
C
10.0.1.96/30 is directly connected, Serial0/0
R
10.0.1.192/27 [120/2] via 10.0.1.98, 00:00:09, Serial0/0
R
10.0.1.228/30 [120/1] via 10.0.1.98, 00:00:09, Serial0/0
R*
0.0.0.0/0 [120/1] via 10.0.1.98, 00:00:09, Serial0/0
R110h#
LatablederoutagedeR120h:
R120h#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is 10.0.1.230 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
R
10.0.1.0/27 [120/2] via 10.0.1.230, 00:00:05, Serial0/1
R
10.0.1.96/30 [120/1] via 10.0.1.230, 00:00:05, Serial0/1
C
10.0.1.192/27 is directly connected, FastEthernet0/0
C
10.0.1.228/30 is directly connected, Serial0/1
R*
0.0.0.0/0 [120/1] via 10.0.1.230, 00:00:05, Serial0/1
R120h#
LatablederoutagedeFAIh:
FAIh#ship route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
C
C
- 4-
S
FAIh#
Un point intressant est lutilisation de linterfacevirtuelle loopback sur le routeur FAIh. Cette facult de crer des
interfaces virtuelles rend de nombreux services dans la configuration des routeurs CISCO. Par sa nature
indpendantedesaspectsphysiques,uneinterfacevirtuelleestltatmonttantquelIOSestfonctionnel.Enlui
affectantuneadresseIP,oncreuneroutedirectementconnecte.Despaquetsdestinscerseaudirectement
connect seraient simplement limins par le routeur, voil un moyen de faire du filtrage peu de frais (peu de
consommationderessourcesmachine).Ilestgalementfrquentdemettreenplaceuneinterfacedeloopbackpour
queladresseIPaffectelinterfaceidentifielerouteur.
Danslecasprsent,ladministrateursouhaitesurR80hcreruneroutepardfautvialerouteurFAIh.Pourcefaire,
lacommandeipdefaultnetworkreoitenparamtreladressedurseauconnectlinterfacevirtuelledeFAIh,soit
172.16.0.0.PuisqueR80hconnatuneroutestatiqueverscerseau,ilfaitdecetterouteunecandidatepourlechoix
de la passerelle de dernier recours (voir ltoile dans la table de routage de R80h). Il ny a pas dautres routes
candidates,ladresse139.24.0.2devientpasserellededernierrecours.
4.Influenceduroutagesansclassesurlaroutepardfaut
Leroutageavecclasseestunhritagedupass.IPv4nauraitpaspusurvivresilesystmeavecclasseavaitt
maintenudeparlapnuriedesadressesetlexplosiondestablesderoutagedesrouteursdelInternet.Cesujetfait
lobjet dun expos srieux dans louvrageCisco Notions de base sur les rseaux dans la collection Certifications
aux Editions ENI La couche rseau, ladressage IP. Ladoption de CIDR (Classless Inter Domain Routing) en 1996
sest traduite par la ncessit pour les constructeurs de routeurs de proposer des matriels et donc des IOS
capables de contribuer au routage dans des rseaux avec classe (lexistant) et dans des rseaux sans classe
(migration). LIOS CISCO est capable de fonctionner suivant les deux modes, le choix soprant laide de la
commande,passeinaperuejusquici,ipclassless(observezlesextraitsdeconfigurationprcdents).
Plaonsnous sur R80h et imaginons que ce routeur doive traiter un paquet dont ladresse de destination est
10.0.1.65. Cette adresse appartient au bloc 10.0.1.64/27. R80h dispose de quatre routes vers des fragments de
lespace10.0.1.0/24quisont10.0.1.0/27,10.0.1.96/30,10.0.1.192/27et10.0.1.228/30.R80hnapasderoutevers
10.0.1.65,lacommande ipclasslessestactive,lerouteurdcidedefaireemprunterlaroutepardfaut,lepaquet
estconfilapasserellededernierrecours.
Mais si la commande no ip classless est entre, le comportement est diffrent et proche de ltrange. Puisque le
routeur connat des routes vers une partie de ladresse de classe A 10.0.0.0/8, un paquet destin ladresse
10.0.1.65 est mis au rebut. Le routeur utilise la route par dfaut la condition de ne rien connatre du rseau de
destination avec classe. Par exemple, un paquet destin ladresse 11.0.1.65 transiterait bien par la route par
dfaut,cetteadresseappartientaurseaudeclasseA11.0.0.0dontR80hnaaucuneconnaissance.
- 5-
Partagedechargeenroutagestatique
1.Questcequelepartagedecharge?
Lepartagedecharge(Loadbalancing)consisterpartirletraficversunemmedestinationsurplusieurschemins.
Unrouteurpeutautomatiquementraliserdupartagedechargelaconditiondedisposerdeplusieursroutesvers
lammedestinationdanssatablederoutage.
Entendonsnousbiensurlanotiondemmedestination:ilsagitdadressesdedestinationayantlemmeprfixe.
Ainsi, la destination 10.0.1.0/26 nest pas identique la destination 10.0.1.0/24. La premire est plus prcise, la
secondeplusagrge.
Lepartagedechargepeuttrecotgaloucotingal,letermecotfaitrfrencelamtriqueassociela
route:
cotgal:letraficestgalementrpartisurplusieursroutesdemtriquesidentiques.
cotingal:letraficestrpartisurplusieursroutesdemtriquesdiffrentes.Lapartdetrafictransporte
parchacunedesroutesestinversementproportionnellesamtrique(pluslamtriqueestfaible,synonyme
debandepassanteleve,pluslapartdetraficabsorbestimportante).
Ilfautrappelerlecomportementdesprotocolesderoutagedanscecontexte.Paressence,unprotocolederoutage
cherchedterminerlameilleureroutequisouventdevientlarouteunique,lobjectifduprotocoleestdoncunpeu
en contradiction avec la recherche de rpartition de charge. RIP, OSPF et ISIS ne supportent que le partage de
charge cot gal. Autrement dit, ces protocoles ninstallent plusieurs routes dans la table de routage que si ces
routesontmmemtrique.EIGRPetBGPadmettentquanteuxlepartagedechargecotingal.
Par principe, puisque toutes les routes statiques ont mme mtrique (mtrique nulle), le routage statique ne
supporte que le partage de charge cot gal. Nous verrons un peu plus loin comment contourner ce principe et
avec un peu dastuce, comment raliser un partage de charge cot ingal sur plusieurs routes statiques. Mais
attention,silelecteurestconfrontunequestionportantsurcesujetdanslundesnombreuxQCMquimaillentla
routeverslacertification,larponseestclaire:routesstatiquesimpliquentpartagedechargecotgal.
cestade,ilfautexpliciterminimaquelspeuventtrelesdiffrentscomportementsdurouteurquidoitraliserun
partage de charge. Par dfaut, le routeur adopte un comportement dit Partage par destination . Mais
ladministrateurquilesouhaitepeutreveniruncomportementditPartageparpaquet.
a.PartagedechargepardestinationetFastSwitching
La cl de rpartition est fournie par ladresse de destination. Imaginons deux routes pour le mme rseau de
destination.Touslesdatagrammesdestinsunepremireadressedecerseauempruntentlapremireroute,
tous les datagrammes destins une seconde adresse empruntent la seconde route, tous les datagrammes
destinsunetroisimeadresseempruntentnouveaulapremirerouteetainsidesuite.Cemodederpartition
estappelFastSwitchingparCISCO,cestlemodedecommutationpardfaut.
Plus dans le dtail, imaginons le premier paquet dun flux vers une nouvelle adresse de ce rseau pour lequel il
existedeuxroutes.Lerouteurconsultesatablederoutageetdtermineuneinterfacedesortie.Ledatagramme
est ensuite remis au pilote de linterface rseau afin dtre encapsul dans une nouvelle trame. Le pilote doit
disposerdeladressephysiquedelinterfaceenvisvis,pasdeproblmedanslecasduneliaisonserial(WAN,
point point), peuttre la ncessit de lancer une rsolution ARP dans le cas dune interface LAN. Une fois
ladresse physique de destination connue, le pilote compose la trame et la transmet. Cest l que le routeur se
montreintelligentenplaantdansuncache,appelonslecachedecommutationrapide,lacorrespondancequilvient
de trouver @destination Interface de sortie @physique du correspondant. Les paquets suivants vers la mme
destination sont identifis immdiatement grce une consultation du cache et confis directement au pilote de
linterfacedesortie,cest pourquoi on peut parler de commutation rapide. La recherche dans la table de routage
ainsiquelarecherchedanslecacheARPsontdevenuessuperflues.
Biensr,larpartitiondechargesurlensembledescheminsnepeutsoprerdefaonquitablequesilenombre
dedestinationsestsuffisant.
b.PartagedechargeparpaquetetProcessSwitching
Lalgorithme est confondant de simplicit : le premier paquet destin ce rseau objet de plusieurs routes
empruntelapremireroute.Lepaquetsuivantempruntelaroutesuivanteetainsidesuitepourobtenirunpartage
de charge cot gal. Mais le routeur peut aussi changer cette rpartition lorsquil faut raliser un partage de
chargecotingal.Parexemple,unpaquetsurlapremireroute,deuxpaquetssurlaseconde,nouveauunsur
la premire et ainsi de suite pour raliser une rpartition 1/3 2/3 ou toute autre rpartition pour sajuster au
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
proratadesmtriquesdechaqueroute.CISCOnommeProcessSwitchingcemodedecommutation.
Dans ce mode Process Switching , pour chacun des paquets, le routeur doit consulter la table de routage,
slectionneruneinterfacedesortiepuisretrouverladressephysiqueducorrespondant.Cecientranequunfluxde
paquetsdestinunemmeadresseemprunteplusieursinterfacesdesortie.
On peroit bien que la performance est du ct du mode de commutation Fast Switching . Mais notre souhait
dansunenvironnementdidactiqueestdevoirlarpartitiondechargesoprer,cequiestpossiblelaidedune
commande debug ip packet. Il faut au pralable dsactiver le mode de commutation rapide au profit du mode
Process Switching , ce laide de la commande no ip routecache en configuration dinterface. Attention la
commandedebug ip packetquiestunpeulacommande delamortcarellecontraintlIOSaffichertousles
paquets. Cette commande est quasi exclue dans un environnement de production. Dans tous les cas,
ladministrateurprendragardeentrerdabordlacommandeundebugall(ualldefaonabrge),cequilaplace
dans lhistorique de commandes. Le peu de ressources processeur encore disponible aprs lexcution de la
commande debug ip packet sera peuttre encore suffisant pour rappeler la commande u all depuis lhistorique
([Flcheenhaut]puis[Entre]).
2.Partagedechargecotgal
Nous appuierons notre propos sur le contexte suivant, nouveau ralis laide de GNS3, qui dcidment aura
rendubiendesservicestantilpermetdemultiplierlesmisesensituation:
Deux routes existent qui relient R110b et R120b, lune passe par R80b, lautre est directe. On dcide dtablir les
routesstatiquescorrespondantesafinderpartirlachargepourmoitisurlaroutedirecte,pourlautremoitisurla
routequipasseparR80b.
ExtraitdelaconfigurationdeR110b:
R110b#sh run
Building configuration...
...
!
interface FastEthernet0/0
ip address 10.0.1.1 255.255.255.128
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.1.225 255.255.255.252
noip route-cache
noipmroute-cache
!
interface Serial0/1
ip address 10.0.1.233 255.255.255.248
- 2-
noip route-cache
noipmroute-cache
!
ip classless
ip route 10.0.1.128 255.255.255.192 10.0.1.226
ip route 10.0.1.192 255.255.255.224 10.0.1.226
ip route 10.0.1.192 255.255.255.224 10.0.1.234
ip http server
!
...
end
R110b#
Ladministrateurnoubliepasdedsactiverlemodedecommutationrapidesurlesinterfacess0/0ets0/1deR110b:
R110b#conf t
Enter configuration commands, one per line.
R110b(config)#
R110b(config)#int S0/0
R110b(config-if)#no ip route-cache
R110b(config-if)#int s0/1
R110b(config-if)#no ip route-cache
R110b(config-if)#^Z
R110b#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
La configuration de R120b est calque sur celle de R110b. Ladministrateur lance le debug ip packet puis depuis
PCL110,lancelacommandepingversPCL120:
R110b#undebug all
All possible debugging has been turned off
R110b#debug ip packet
IP packet debugging is on
R110b#
00:22:10: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222
(Serial0/1),routed via RIB
00:22:10: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
g=10.0.1.234, len 84, forward
00:22:11: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222
(Serial0/0),routed via RIB
00:22:11: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),
g=10.0.1.226, len 84, forward
00:22:12: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
routed via RIB
00:22:12: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
g=10.0.1.234, len 84, forward
00:22:13: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222
(Serial0/0),routed via RIB
00:22:13: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),
g=10.0.1.226, len 84, forward
00:22:14: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
routed via RIB
00:22:14: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
g=10.0.1.234, len 84, forward
00:22:15: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222
(Serial0/0),routed via RIB
00:22:15: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),
g=10.0.1.226, len 84, forward
00:22:16: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
routed via RIB
00:22:16: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/1),
g=10.0.1.234, len 84, forward
00:22:17: IP: tableid=0, s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),
routed via RIB
00:22:17: IP: s=10.0.1.126 (FastEthernet0/0), d=10.0.1.222 (Serial0/0),
- 3-
3.Partagedechargecotingal
LaliaisondirecteentreR110betR120baunebandepassantede128Kbps.CellepassantparR80bnoffrequela
moiti de cette bande soit 64 Kbps. Rpartir le dbit en tenant compte des bandes passantes effectives des deux
cheminssupposequepourtroispaquets,deuxtransitentparlaroutedirecte,unseulparlarouteviaR80b.Puisque
le routeur se fonde sur les routes pour rpartir le trafic, lide est de crer deux routes directes et une route
seulement passant par R80b. Pour le routeur, il sagit toujours de partage de charge cot gal, mais pour
ladministrateur, le trafic est effectivement rparti au prorata des bandes passantes. La question devient :
Commentcrerplusieursroutessurunmmelienphysique?.
Lasolutionconsisteaffecternonpasune,maisdeuxadressesIPlammeinterface.Onnechangerienlafaon
dassigner la premire adresse IP laide de la commande ip address en configuration dinterface. La seconde
adresse(etlessuivantessincessaire)estaffectelaidedelammecommandelaquelleonajoutelemotcl
secondary.Ladministrateuraaffectlerseau10.0.1.232/29aulien serial reliantR110betR120b.Cerseau
comportequatreadresses.233,.234,.235,236dontdeuxonttaffecteslinterfaces0/1deR110betdeux
linterface s0/0 de R120b. Ceci permet ladministrateur de porter deux le nombre de routes statiques pointant
versLAN12surR110b.
VoicilesmodificationsapporteslaconfigurationdeR110b:
R110b#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R110b(config)#int s0/1
R110b(config-if)#ip address 10.0.1.235 255.255.255.248 secondary
R110b(config-if)#exit
R110b(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.236
R110b(config)#^Z
R110b#co
02:24:49: %SYS-5-CONFIG_I: Configured from console by console
R110b#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R110b#
PuiscellesapporteslaconfigurationdeR120b:
R120b#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R120b(config)#int S0/0
R120b(config-if)#ip address 10.0.1.236 255.255.255.248 secondary
R120b(config-if)#exit
R120b(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.235
R120b(config)#^Z
R120b#
02:27:21: %SYS-5-CONFIG_I: Configured from console by console
R120b#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R120b#
Uncoupd illatablederoutagedeR110bpermetdevrifierquilexistebiendsormaistroisroutesversLAN12,
deuxvialeliendirectentreR110betR120b,uneviaR80b:
R110b#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 5 subnets, 5 masks
- 4-
C
S
S
C
C
R110b#
DemmesurR120b:
R120b#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 5 subnets, 5 masks
10.0.1.0/25 [1/0] via 10.0.1.233
[1/0] via 10.0.1.230
[1/0] via 10.0.1.235
S
10.0.1.128/26 [1/0] via 10.0.1.30
C
10.0.1.192/27 is directly connected, FastEthernet0/0
C
10.0.1.232/29 is directly connected, Serial0/0
C
10.0.1.228/30 is directly connected, Serial0/1
R120b#
S
- 5-
- 6-
Synthse
Lesnotionssuivantesdevraienttretrssrieusementancres:
Lerouteurnajouteuneroutelatablederoutagequesilaconnaissancedeltatupdusautsuivant.Si
lesautsuivantnestplusjoignable(pannedurouteursuivant,problmedeliaison...),larouteestretiredela
table.
Desprfixesdiffrentsdonnentdesroutesdiffrentes.Parexemple,lerseau10.0.1.0/25estbieninclusdans
10.0.1.0/24. Pourtant, si loccasion est donne de dcouvrir une route vers chacun de ces prfixes, alors les
deuxroutessontajouteslatablequellequesoitleurdistanceadministrative.
Silexisteplusieursroutesverslammedestination(mmeprfixe),lerouteurajoutelatablelaroutedont
la distance administrative est la plus faible, les autres routes sont ignores mais pas perdues. Si la route
retenuevenaitdisparatre,lunedesroutesignoresjusquelpourraitsysubstituer.
Pour une mme distance administrative, cestdire un mme mode dapprentissage, la route prfre est
celledontlamtriqueestlaplusfaible.
Uneroutestatiquedetypeadressedesautsuivantestcaractriseparunedistanceadministrativede1et
unemtriquegale0.
Uneroutedirectementconnecteestcaractriseparunedistanceadministrativegale0.
Quand une route fournit une adresse de saut suivant, le processus de routage est contraint de balayer
nouveau la table de routage. Cette recherche dite "rcursive" dans la table de routage ne prend fin que
lorsquelaroutefournituneinterfacedesortie.
Quanddeuxroutesoudavantageexistentverslammedestination(mmeprfixe)etsontdotesdelamme
distanceadministrative,alorscesroutescoexistentdanslatablederoutage.Lerouteurrpartitletraficvers
cettedestinationsurlensembledesroutes,ralisantainsiunpartagedechargecotgal.
- 1-
TP:Miseenuvredunroutagestatique
Propositiondetopologie:
1.Tche1:Conceptionduplandadressage
Vous tes ladministrateur du rseau cidessus et avez obtenu le prfixe 10.0.1.0/24. Dterminez la division en
sousrseaux convenable afin de satisfaire les besoins des rseaux LAN11, LAN8 et LAN12 dans cet ordre. Pour
chaquerseau,affectezlapremireadressedisponiblelinterfacedurouteur,ladernireadressedisponibleau
PC de test. Dans le cas particulier du rseau LAN8, affectez lavantdernire adresse disponible ladaptateur
virtuelquiquipelePChte.
UnefoislaffectationdadressesralisepourlestroisrseauxLAN8,LAN11etLAN12,affectezlepremierespace
disponibleetsuffisantlaliaisonWANsparantR80etR110.AffectezlapremireadresseaurouteurR110.
Affectez lespace disponible et suffisant suivant la liaison WAN sparant R80 et R120. Affectez la premire
adresseaurouteurR120.
Compltezletableaudedocumentationdesadressesciaprs:
Affectation
Rseau
Premireadresse
Dernireadresse
Adressede
diffusion
LAN11
LAN8
LAN12
WANR80R110
WANR80R120
- 1-
Compltezletableaudedocumentationdesinterfacesciaprs:
Equipement
R80
Interface
AdresseIP
Masque
Passerelle
F0/0
S0/0
S0/1
R110
F0/0
S0/0
R120
F0/0
S0/1
PCL80
PCL110
PCL120
PCHte
2.Tche2:RalisationdelatopologiesousGNS3
NousvoussupposonsdjfamilierdelutilisationdeGNS3.Danslecascontraire,reportezvouslatelierPrise
enmaindelinterfaceILC.
CrezlatopologiesousGNS3.Placezvostroisrouteurs.LavaleurIDLEPCdesrouteursadjtcalcule,inutile
dyrevenir.ConfigurezchaquerouteurafinquildisposedeportsWAN.Silaplateformeutiliseestcelledu2600,
ajoutez la carte WIC2T. Placez les trois PC Nuage et configurezles afin que chacun deux soit connect
ladaptateur rseau convenable et donc au concentrateur VMnet convenable. tablissez les liens LAN et WAN.
Nommez les diffrents quipements afin de reflter la topologie propose. Sauvegardez la topologie sous
Atelier4.net.
Dmarrezchacundestroisrouteurs.
OuvrezunesecondeinstancedeVMwareetavecelle,crezunequipedetroisPCPC80,PC110etPC120.PC80
estobtenuparclonagesanslien(optioncreateafullclone)delamachineUbuntufourniesurlesitedesEditions
ENI.PC110etPC120sontobtenusparcloneaveclien(optionlinkedclone)dePC80.Nommezcettequipe3PCL,
faites en sorte que ladaptateur rseau virtuel de chacune des machines soit connect au concentrateur VMnet
convenable, respectivement VMnet8, VMnet1 et VMnet2. Dmarrez lquipe puis rglez chacune des trois
configurationsIP.
3.Tche3:Configurationminimaledesrouteurs
- 2-
Effectuez un clic droit sur R80 et slectionnez Console. Prenez garde bien dslectionner R80 avant de
slectionnerR110etdelancerlaconsolecorrespondante.RenouvelezloprationavecR120.Aufinal,vousdevez
disposerdestroisconsolesoprationnelles.
laidedelasessionconsoleouvertesurR80,saisissezlaconfigurationsuivante:
laidedelasessionconsoleouvertesurR110,saisissezlaconfigurationsuivante:
laidedelasessionconsoleouvertesurR120,saisissezlaconfigurationsuivante:
4.Tche4:GestiondesconnexionsTelnet
La configuration entre dans chacun des routeurs est suffisante pour pouvoir prendre la main distance laide
dune session Telnet. Ladministrateur satisfait peut rejoindre le confort douillet de son bureau et entamer une
configuration plus srieuse distance. En effet, pendant latelier Prise en main de linterfaceILC , nous avons
ajout la machine hte un adaptateur rseau virtuel plac sur le concentrateur VMnet8. Il suffit dattribuer cet
adaptateuruneadresseIPdurseauLAN8pourquuneconnexionTelnetdepuislamachinehtesurlerouteurR80
deviennepossible.Enrsum,lePChtejoueralerledelastationdeladministrateur.
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
ConfigurezladaptateurNIC8delamachinehte:
Ouimais...Aucunroutagenatconfiguretlaseuleconnexionpossibledepuislepostedeladministrateur(dansle
cas prsent la machine hte) lest sur le routeur R80 via VMnet8. Dans ces conditions, estil possible douvrir une
sessionTelnetsurR110etR120?R80connatlerseaudirectementconnectcorrespondantaulienWANjusqu
R110.DonclespaquetsremisparlePChteetdestinsR110vontaboutir.Cestleretourquiestimpossiblecar
R110etR120nedisposentpasencorederouteverslerseauLAN8.Quefaitladministrateurastucieux?Ilouvre
une session Telnet sur R80, puis depuis cette session ouvre deux autres sessions Telnet vers R110 et R120 (les
professionelsparlentderebond.R80accessibleapermisderebondirsurR110etR120):
Le problme consiste alors naviguer entre les sessions ouvertes sans se perdre. La seule information non
sollicite est linvite de commandes qui, si la commande hostname a t entre, permet de savoir quelle est la
sessionaffiche,maisriendeplus.
Depuislamachinehte,ouvrezunesessionTelnetsurR80.Depuiscettesession,ouvrezunesessionsurR110:
Attention,lasessionencourssurR80nestpasferme.CestellequihbergelasessionsurR110,cequelinvitede
commande ne rappelle pas. Comment revenir la session sur R80 ? Une premire solution consiste simplement
mettrefinlasessionsurR110:
Mais ladministrateur prfrera sans doute laisser la session ouverte et basculer dune session lautre selon les
besoins.Ilexisteunesquencedchappementprvuepourrevenirdelasessionhbergelasessionhtesans
mettrefinlasessionhberge.Ilsagitdelacombinaisondetouches[Ctrl][Flcheenhaut]6(pressezensemble
les trois touches) suivie de la touche X. En ralit, la squence [Ctrl][Flche en haut] 6 provoque lmission du
caractre0x1EdelatableASCII,appelRecordSeparator(RS).LasquencecomposeducaractreRSassoci
au caractre x est reprsente par ^^x. Mais parce quil nest jamais commode de frapper trois touches
simultanment,parcequgalementilpeutsavrerdifficiledefaireparvenircettesquencejusquaurouteurselonle
- 4-
clavier(QWERTYouAZERTY)oulelogicielclientutilis,ilpeuttreutiledechangerlasquencedchappementpar
dfaut.
OuvreznouveauunesessionTelnetsurR80,passezenmodeprivilgi,entrezlacommandeshowterminalafin
de vrifier la squence dchappement en cours, entrez la commande terminal escapecharacter 033 afin de
remplacer la combinaison [Ctrl][Flche en haut] 6 par la simple touche [Echap]. Provoquez nouveau une
commandeshowterminalpourvrifierlanouvellesquencedchappement:
LacommandeTerminalnestpasunecommandedeconfigurationpuisquelleestentreenmodeprivilgi.Soneffet
disparat avec la fin de la session en cours. Il est galement possible dentrer la commande escapecharacter en
modedeconfigurationdeligne,soneffetestalorsdfinitifpourtoutesessionouvertedepuislaligneenquestion.
CestanecdotiquemaisonpeutnoterquelacommandeadmetenparamtrelecodeASCIIducaractrechoisiquil
soitexprimendcimalouenoctaldanslaconventionIntel(lenombreestprcddunzro):
OuvrezunesessionTelnetsurR80puispartirdecettesession,ouvrezdeuxsessionssurR110etR120.Utilisez
lasquencedchappementpourrevenirlasessionhte:
- 5-
laidedelacommandewhere,quivalenteunecommandeshowsessions,inventoriezlessessionsencours.
Observez que chaque session est associe un numro dordre.Cest ce numro quil faut entrer en invite de
commande de la session hte pour afficher nouveau la session hberge correspondante. Ladministrateur
mticuleuxpeutallerjusqunommerunesessionlaidedelacommandenameconnection,commandetaper
sansargument.Eneffet,cettecommandeprovoqueunprocessusinvitantlutilisateurentrerdabordlenumro
delasessionquildsirenommer,puislenomquilsouhaiteattribuer.Ainsi,danslexemplecidessus,lessessions
1et2ontrespectivementtnommesR110etR120.
ParmilesmultiplestchesaccompliesparlIOS,lunedellesintresseparticulirementladministrateurparcequelle
luipermetdedcouvriroumieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdu
rseau. Il sagit de lactivit de journalisation des vnements. En la matire, CISCO comme une majorit de
constructeursseconformeauprotocoleSYSLOGnormalisdansleRFC5424.Pardfaut,lamanifestationdeSYSLOG
surunrouteurselimitelmissiondesmessagesdvnementsversleportconsole.Queladministrateuraucours
desontravaildepuislaconsolenapastagacparlarriveimpromptuedecesmessagesquiviennentperturber
lasaisieencours?Problmefacilersoudredailleurs,carilexisteunecommandedeconfigurationdelignelogging
synchronous qui peut tre applique la console ainsi quaux lignes vty et qui modifie le comportement de lIOS
quand il envoie un message : si une commande est en cours de saisie, alors lIOS raffiche le contenu de la ligne
saisie dans ltat o elle se trouvait immdiatement avant lenvoi du message. Dautres dtails sont fournis au
chapitreAdministrationetscuritsectionJournalisation,leprotocoleSYSLOG.
Par dfaut, lIOSenvoielensembledesmessagessurleportconsole,cequicorrespondlacommande console
logging . Depuis le mode privilgi, la commande Terminal monitor provoque laffichage des messages SYSLOG,
messagesdebugcompris,surlasessionencours.Cettecommandeestutilepourobtenirlesmessagesdepuisune
sessionouverteviaunelignevty.Puisquilnesagitpasdunecommandedeconfiguration,cettecommandenestpas
mmoriseetsoneffetcesselorsquelasessionprendfin(ceciestvraipourtouteslescommandesTerminal).
La session Telnet est toujours ouverte sur R80. Entrez la commandeterminal monitorpuisvrifiezsoneffeten
provoquantunmessagedeconsole:
- 6-
Nous sommes prsent plutt bien outills pour grer nos sessions Telnet. Reste cependant un problme. Au
moindre petit temps mort dans notre activit (dix minutes par dfaut), voil la session ferme par lIOS. Dans un
environnement de production, cette mesure de scurit se justifie pleinement. Mais dans notre environnement
didactique, que de temps perdu ouvrir des sessions. Ce problme est facilement lev grce la commande de
configuration de ligne exectimeout. Cette commande dfinit le dlai dattente maximal de linterprteur de
commandes EXEC jusqu dtection dune entre quelconque de lutilisateur. Parvenu ce dlai, la session est
interrompue.Lasyntaxeestlasuivante:
Router(config-line)#exec-timeout minutes [secondes]
Pourdsactivertouttemporisateurdinterruptiondesession,ilsuffitdesaisirlacommande:
Router(config-line)#exec-timeout 0 0
5.Tche5:Miseenuvredelacommandedebugiprouting
La commande debug ip routing permet de suivre en temps rel lvolution de la table de routage. Chaque route
ajoute,modifieousupprimefaitlobjetdunmessageSYSLOGdebug.Puisquenousnousapprtonsintroduire
desroutes,cettecommandepeutfortproposconfirmerleffetdescommandesentres.
Rappel:lacommandeundebugallounodebugalldsactivetouteslescommandesdebugquiseraienten
cours de traitement. Une mesure sage consiste entrer cette commande de faon systmatique avant
dentrer une quelconque commande debug. La commande undebug all se trouve alors dans lhistorique de
commandes et il suffit dune action sur la touche [Flche en haut] puis de valider par la touche [Entre] pour la
provoquer. Ladministrateur peut ainsi esprer arrter une commande debug malheureuse mme avec un
processeurnoy.
OteztoutecommandedeconfigurationdesinterfacesS0/0etS0/1durouteurR80.lexceptiondelacommande
shutdown,utilisezlaformenodescommandes(exemple:noipaddress).
SurR80,saisissezlacommandedebugiprouting:
R80#debug ip routing
- 7-
IP routing debugging is on
R80#
PassezenconfigurationdinterfaceetconfigurezladresseIPdelinterfaceS0/0:
R80#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R80(config)#int s0/0
R80(config-if)#ip address 10.0.1.226 255.255.255.252
R80(config-if)#
00:53:42: is_up: 0 state: 6 sub state: 1 line: 0
00:53:42: is_up: 0 state: 6 sub state: 1 line: 0
R80(config-if)#
Ds validation par la touche [Entre], SYSLOG signale la prsence dune nouvelle route mais cette route na pas
encoretplaceentablederoutage.
Introduisezlacommandeclockrate64000(cetteinterfaceestctDCE)puislacommandenoshutdown:
R80(config-if)#clockrate 64000
R80(config-if)#no shutdown
R80(config-if)#
01:03:32: is_up: 0 state: 4 sub state: 1 line: 0
R80(config-if)#
01:03:34: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
R80(config-if)#
01:03:34: is_up: 1 state: 4 sub state: 1 line: 0
01:03:34: RT: network 10.0.0.0 is now variably masked
01:03:34: RT: add 10.0.1.224/30 via 0.0.0.0, connected metric [0/0]
01:03:34: RT: interface Serial0/0 added to routing table
01:03:34: is_up: 1 state: 4 sub state: 1 line: 0
01:03:35: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state
to up
R80(config-if)#
01:03:35: is_up: 1 state: 4 sub state: 1 line: 0
R80(config-if)#
Latablederoutagecomportedsormaisuneroutesupplmentaire,cequeconfirmelapartieengrasdesmessages
SYSLOG cidessus. Quand cela ne se produit pas, ladministrateur troque sa casquette dadministrateur pour une
casquette denquteur, ce qui nest pas sans intrt. Lauteur conseille de raisonner par couche (attention : les
rflexions ciaprs sappliquent un environnement physique, certaines sont donc sans objet dans notre
environnementGNS3):
Que fautil pour que la liaison puisse stablir en couche 1 ? Une connectivit physique fonctionnelle ce dont
ladministrateurenquteurpeutsassurerenvrifiantlespointssuivants:
Estcebienlinterfaces0/0quiatcble?
Yatilunquipementfonctionnelenvisvis?(lesdeuxinterfacesenvisvisnepeuventquemonter
ensemble.Siluneestdown,lautrenepeuttrequedown).PouruneliaisonLAN,linterfaceenvis
visestcertainementunportdecommutateur:ceportestilbienactif?PouruneliaisonWAN,linterfaceWAN
envisvisatelledjtconfigure?
Une interface WAN convenablement cble puis convenablement configure nimplique pas ncessairement
lajoutduneroutelatablederoutage.Cenestlecasquesilexisteenvisvisuneinterfacegalement
cbleetconfigure.
Quedisentlesvoyantsdeliaison?
Dansunenvironnementdidactique,uneliaisonWANestraliselaidededeuxcblesrelisensemble,lun
DTE,lautreDCE.LacommandeclockrateatellebiententrectDCE?
Quefautilpourquelaliaisonpuissestablirencouche2?Unprotocoledecouche2identiquedepartetdautrede
- 8-
laliaisoncequiamnedenouvellesquestions:
Danslecasdune liaison LAN, le problme ne se pose pas (ou plus) sauf cas dcoleetdoncconfiguration
exotique. Estce quil viendrait lide dun administrateur srieux de forcer le mode full duplex alors que
lquipement en visvis est un concentrateur, cestdire un quipement fondamentalement halfduplex
(CSMA/CD) ? Dans un environnement commut, on profite aujourdhui des avances dEthernet dont lauto
ngociation et lauto MDI/MDIX qui doivent aboutir la monte du niveau 2 (si ncessaire, se reporter
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI).
DanslecasduneliaisonWAN,pardfaut,lIOSfaitlechoixduneencapsulationHDLC.Limportantestque
lencapsulationsoitrgledefaonidentiquechaqueextrmitdelaliaison.Estcelecas?
R80(config-if)#encapsulation ?
atm-dxi
ATM-DXI encapsulation
bstun
Block Serial tunneling (BSTUN)
frame-relay
Frame Relay networks
hdlc
Serial HDLC synchronous
lapb
LAPB (X.25 Level 2)
ppp
Point-to-Point protocol
sdlc
SDLC
sdlc-primary
SDLC (primary)
sdlc-secondary SDLC (secondary)
smds
Switched Megabit Data Service (SMDS)
stun
Serial tunneling (STUN)
x25
X.25
R80(config-if)#
Vousavezvrifilensembledecespointsetlinterfaces0/0nesttoujourspasmonte?Sansrire,ilfautycroireun
peu!
RptezsurlinterfaceS0/1lesoprationsralisespourlinterfaceS0/0:
R80(config-if)#int s0/1
R80(config-if)#ip address 10.0.1.230 255.255.255.252
R80(config-if)#
01:52:38: is_up: 0 state: 6 sub state: 1 line: 0
01:52:38: is_up: 0 state: 6 sub state: 1 line: 0
R80(config-if)#clockrate 64000
R80(config-if)#no shutdown
R80(config-if)#
01:52:58: is_up: 0 state: 4 sub state: 1 line: 0
01:53:00: %LINK-3-UPDOWN: Interface Serial0/1, changed state to up
R80(config-if)#
01:53:00: is_up: 1 state: 4 sub state: 1 line: 0
01:53:00: RT: add 10.0.1.228/30 via 0.0.0.0, connected metric [0/0]
01:53:00: RT: interface Serial0/1 added to routing table
01:53:00: is_up: 1 state: 4 sub state: 1 line: 0
01:53:01: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state
to up
R80(config-if)#
01:53:01: is_up: 1 state: 4 sub state: 1 line: 0
R80(config-if)#
Ilesttempsdevrifierltatdelatablederoutage.
Dsactivezlemodedebugiproutingpuisutilisezlacommandeshowiproute:
R80(config-if)#^Z
R80#
01:56:44: %SYS-5-CONFIG_I: Configured from console by vty1 (10.0.1.189)
R80#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R80#undebug all
- 9-
3 subnets,
connected,
connected,
connected,
2 masks
FastEthernet0/0
Serial0/0
Serial0/1
PuisqueR80disposedetroisinterfaces,ilestnormaldetrouvertroisroutesdirectementconnectesdanslatablede
routage,routesquelerouteuraapprisesdepuislaconfigurationdesinterfaces.
OuvrezunesessionsurR110puisvisualisezsatablederoutage.RptezloprationpourR120:
PourR110:
User Access Verification
Password:
R80>en
Password:
R80#terminal escape-character 033
"^[" is the escape character
R80#telnet 10.0.1.225
Trying 10.0.1.225 ... Open
User Access Verification
Password:
R110>ship route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
C
10.0.1.224/30 is directly connected, Serial0/0
R110>
PourR120:
R110#exit
[Connection to 10.0.1.225 closed by foreign host]
R80#telnet 10.0.1.229
Trying 10.0.1.229 ... Open
User Access Verification
Password:
R120>ship route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C
10.0.1.192/27 is directly connected, FastEthernet0/0
C
10.0.1.228/30 is directly connected, Serial0/1
R120>
- 10 -
6.Testsdeconnectivitentrequipementsadjacents
Plusriennesopposecequenoustestionslaconnectivitentrequipementsadjacents.Cecicomprendletestde
connectivit entre chaque PC et la passerelle correspondante puis le test entre les routeurs pris deux deux.
Naturellement,sivoustesdjparvenuprendrelamainsurR80laidedunesessionTelnetpuisprendrela
main sur R110 et R120 laide de sessions Telnet ouvertes depuis R80, la connectivit est dj assure sur un
certainnombredeliens.Enformedesynthsedonc:
1.DepuisPC80,tentezunerequtepingverssapasserellepardfaut10.0.1.129.
2.DepuisPC110,tentezunerequtepingverssapasserellepardfaut10.0.1.1.
3.DepuisPC120,tentezunerequtepingverssapasserellepardfaut10.0.1.193.
Pour mmoire, si vous avez adopt les machines Linux en ligne de commande, la commande ping provoque une
successionnoninterrompuederequtespinglaquelleladministrateurpeutmettrefinlaidedelacombinaisonde
touches[Ctrl]C.AutrespcificitVMwarecettefois:reprendrelefocusdunefentredePCLinuxafindafficherune
autrefentrencessitelafrappedelacombinaison[Ctrl][Alt].
Depuis chacun la console de chacun des trois routeurs, tentez une requte ping vers chacun des deux autres
routeurs.ExempledepuisR80:
- 11 -
Si cela ne se passe pas aussi bien que dans les captures cidessus, voil ladministrateurnouveauengagdans
uneprocdurededpannageetlesquestionsseposersonttoujourslesmmes.
Dansunesituationrelle:
ChaquePCestilbienphysiquementraccordaurouteurcorrespondant?
Lesvoyantsassocisauxdiffrentsportsrefltentilsuntatdelientabli(selonlescas,voyantsLINKou
CONN).Lesvoyantsdactivitclignotentils?
LaconfigurationIPdesPCestelleconformelaconfigurationprvuedansletableaudedocumentationdes
interfaces?
DansunesituationmulesousGNS3:
ChaquenuagedeGNS3estilconnectladaptateurrseauconvenableetdoncconnectauconcentrateur
VMnetconvenable?
Chaque adaptateur rseau virtuel de chacun des PC de test estil connect au concentrateur VMnet
convenable?
Dans cette situation, la commande utile sur un routeur est sans doute show ip interface brief que lon pourra
abrgerenshipintbr.Pourchacunedesinterfaces,cettecommandefournitltatupoudownlafoispour
lacouchephysiqueetpourlacoucheliaison.Ltatadministrativelydownestaffichlorsquilexisteunecommande
shutdowndanslaconfigurationdelinterface:
7.Testsdeconnectivitentrequipementsnonadjacents
DepuischacundesPCdetest,tentezunerequtepingverschacundesdeuxautresPC.
Aucune de ces requtes naboutit ! Estce normal ? Oui, rassurezvous. Chaque routeur ne connat que les routes
directement connectes. R80 ne connat pas lexistence des rseaux LAN11 et LAN12, R110 ne connat pas les
rseauxLAN8etLAN12,enfinR120neconnatpaslesrseauxLAN8etLAN11.
8.Introductionderoutesstatiques
a.Routesstatiquesavecadressedesautsuivant
Nousutiliseronscetteformedelacommande:
- 12 -
SurR110,introduisezuneroutestatiqueverslerseauLAN8enutilisantladressedesautsuivant:
R110#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R110(config)#ip route 10.0.1.128 255.255.255.192 10.0.1.226
R110(config)#^Z
R110#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
SurR110,provoquezunecommandeshowiprouteetobservezlarouteajoute.Remarquezquecetterouteest
prcdedelalettreSquirappellequilsagitduneroutestatique:
R110#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
C
10.0.1.0/25 is directly connected, FastEthernet0/0
S
10.0.1.128/26 [1/0] via 10.0.1.226
C
10.0.1.224/30 is directly connected, Serial0/0
R110#
Dsormais,touslespaquetsquiparviennentR110etdontles26bitsdepoidsfortdeladresseIPdedestination
correspondent aux 26 bits de poids fort du rseau 10.0.1.128 seront transfrs vers R80 via son interface
10.0.1.226.Pourcefaire,R110utilisesoninterfaces0/0.
LetableaucidessousimaginequelquespaquetsparvenusR110.Pourchacundespaquets,indiquezcommentse
comporteralerouteur.Vatiltransfrerourejeter?Quelleestlinterfaceutilisequandiltransfre?
Paquet
AdresseIPdedestination
10.0.1.229
10.0.1.190
10.0.1.226
10.0.1.222
10.0.1.126
RejetouTransfert?
Interfacedesortie
IlnesuffitpasquelerouteurR110transfreunpaquetversunedestinationpourlaquelleildisposeduneroute
pourquecepaquetparviennencessairementsadestinationfinale.
Sicenestdjfait,installezWiresharksurlamachinehtepuisprovoquezunecapturesurladaptateurvirtuel
installsurlamachinehte,connectVMnet8etquenousavionsnommdansunprcdentatelierNIC8.
RevenezPCL110etlancezlacommandepingsurlhte10.0.1.188.
Aprs une succession suffisante de requtes, arrtez la commande ping sur PCL110 puis cessez la capture de
Wireshark.
LacaptureestdisponibleentlchargementsurlesiteENI:cap_2D_01.pcap
- 13 -
Lhte 10.0.1.188 sil existe, appartient au rseau LAN8. PCL110 remet la requte sa passerelle. R110 dispose
dunerouteverslerseauLAN8(laroutestatiquequenousvenonsdintroduire)ettransfrelepaquetR80.
sontour,R80disposeduneroutedirectementconnecteLAN8maispourtransfrerlepaquet,ladresseMACdu
destinataire 10.0.1.188 lui est ncessaire. R80 ne trouve pas cette adresse dans son cache ARP et diffuse une
requteARPwhohas10.0.1.188?Tell10.0.1.129.Ilnobtientvidemmentpasderponse.Ceprocessusest
rptpourchaquerequteICMPenprovenancedePCL110.CeciexpliquelarptitiondesdiffusionsARPdansla
capture(trames1,3,4,5,6,8...).
Revenez PCL110 et lancez la commande ping vers PCL80. Revenez au PC hte et relancez une capture
Wireshark sur ladaptateur virtuel connect VMnet8. Aprs un nombre suffisant de requtes, arrtez la
commandepingsurPCL110etcessezlacaptureWireshark.
LacaptureestdisponibleentlchargementsurlesiteENI:cap_2D_02.pcap
CettefoisledestinataireexisteetpourtantPCL110nobtientpasderponseICMPsesrequtesICMP.Chaque
requteestbientransfreparR110R80,puisparR80PCL80(trames1,4,8,11,14...delacapture).Chaque
requteprovoqueunerponsedePCL80(trames2,5,9,12,15...).Maiscetterponseestdestine10.0.1.126
quiappartientaurseauLAN11.R80nedisposepasderouteverscerseauetragitentransmettantPCL80un
paquetICMPDestinationunreachable(trames3,6,10,13,16...delacapture).
SurR80,introduisezuneroutestatiqueverslerseauLAN11enutilisantladressedesautsuivant:
R80#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R80(config)#ip route 10.0.1.0 255.255.255.128 10.0.1.225
R80(config)#^Z
R80#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R80#
SurR80,provoquezunecommandeshowiprouteetobservezlarouteajoute.Remarquezquecetterouteest
prcdedelalettreSquirappellequilsagitduneroutestatique:
R80#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
..........
Gateway of last resort is not set
S
C
C
C
R80#
RevenezPCL110etlancezlacommandepingversPCL80.Aprsunnombresuffisantderequtes,arrtezla
commandepingsurPCL110.
Lesrequtesdoiventrussir.
b.Routestatiqueavecinterfacedesortie
Cettesecondepartiedatelierestmoinsguidedessein.Lelecteuracertainementhtedtreautonome.Alors,
jetonsnousleau.
SurlaconsoledeR80,tentezunecommandepingversPCL120.
Cettecommandedoitchouer,R80nedisposantpasderouteverslerseauLAN12.
- 14 -
SurR80,ajoutezuneroutestatiquedetypeinterfacedesortieverslerseauLAN12.
R80#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R80(config)#ip route 10.0.1.192 255.255.255.224 s0/1
R80(config)#^Z
R80#
00:09:49: %SYS-5-CONFIG_I: Configured from console by console
R80#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R80#
SurlaconsoledeR80,tenteznouveauunecommandepingversPCL120.
R80#ping 10.0.1.222
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/66/108 ms
R80#
Ladministrateur souhaite vrifier la connectivit de PCL80 PCL120 sans se dplacer, cestdire en restant
devantlaconsoledeR80.
SurlaconsoledeR80,utilisezunecommandepingtendueafindevrifierlaconnectivitdePCL80PCL120.
SansvousdplacersurlaconsoledeR120,enrestantsurR80donc,ouvrezunesessionTelnetsurR120puis
ajoutezuneroutestatiquepardfautdetypeadressedesautsuivant.FermezlasessionTelnetafinderevenir
lasessionconsolesurR80:
R80#telnet 10.0.1.229
Trying 10.0.1.229 ... Open
User Access Verification
Password:
R120>en
Password:
R120#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R120(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230
R120(config)#^Z
R120#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R120#exit
[Connection to 10.0.1.229 closed by foreign host]
R80#
SurlaconsoledeR80,utiliseznouveauunecommandepingtendueafindevrifierlaconnectivitdePCL80
PCL120:
- 15 -
- 16 -
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Quelleinformationeststockedanslatablederoutage?
2 Quellecommandeestutilisepourvisualiserlatablederoutage?
3 Quelleestlasignificationdesdeuxnombresencadrsdecrochets[X/Y]associschaqueroutenon
directementconnecte?
4 Quefautilpenserdunetablederoutagequidclarequunrseauestdivisdefaonvariable(variably
subnetted)?
5 Ladministrateurdcidedtabliruneroutestatiquedetypeinterfacedesortieenlieuetplaceduneroute
statiquedetypeadressedesautsuivant.Commentcettemodificationestelleperceptibledanslatablede
routage?
6 Quellesconditionsdoiventtresatisfaitespourquuneroutedirectementconnecteapparaissedanslatable
deroutage?
7 Questcequunerouteagrgeetquelleestsonutilit?
8 Quelleestladiffrenceentrepartagedechargecotgaletpartagedechargecotingal?
9 Questcequeladistanceadministrative?
10 Estilpossibledagrgerlesrseaux10.0.8.0/22et10.0.12.0/22?Sioui,quelestlerseaursultant?
11 Questcequuneroutestatiqueflottante?
12 Questcequunerecherchederoutercursive?
13 Quelleestlaconsquencedumodedecommutationchoisi(parmilesmodesFastSwitchingetProcess
Switching)surlafaondontseraliselepartagedecharge?
14 Proposezlacommandepermettantdtabliruneroutestatiqueverslerseau10.0.1.192/27vialeprochain
saut10.0.1.226.
15 Quelmasquefautilutiliserpourtabliruneroutepardfaut?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/15
Pourcechapitre,votrescoreminimumdoittrede12sur15.
3.Rponses
1 Quelleinformationeststockedanslatablederoutage?
Latablederoutagecontientdesroutes.Chaquerouteinclutunedestinationainsiquuneadressedeprochainsautou
lindicationduneroutedirectementconnecte.
2 Quellecommandeestutilisepourvisualiserlatablederoutage?
Lacommandeshowiproutequelonpeutabrgerenshiproute.Retenonsquilestpossibledaffinerlarecherche
dans une table de routage. Exemple : sh ip route connected permet de ne visualiser que les routes directement
connectesshiproute10.0.1.222quandilfautvrifiersilexisteunerouteverscethte.
3 Quelleestlasignificationdesdeuxnombresencadrsdecrochets[X/Y]associschaqueroutenon
directementconnecte?
Lepremiernombreestladistanceadministrativequicaractriselemodedapprentissagedelaroute,parexemple90
pourunerouteissueduprotocolederoutageEIGRP.Lesecondnombreestlamtriqueassocielaroute.
4 Quefautilpenserdunetablederoutagequidclarequunrseauestdivisdefaonvariable(variably
subnetted)?
- 1-
Cettementionestfourniechaquefoisquelerouteurconnatplusieursroutesavecplusieurslongueursdeprfixepour
unmmerseaumajeur.
5 Ladministrateurdcidedtabliruneroutestatiquedetypeinterfacedesortieenlieuetplaceduneroute
statiquedetypeadressedesautsuivant.Commentcettemodificationestelleperceptibledanslatablede
routage?
Une route statique qui pointe vers une interface de sortie apparat comme directement connecte dans la table de
routage.
6 Quellesconditionsdoiventtresatisfaitespourquuneroutedirectementconnecteapparaissedanslatable
deroutage?
Linterfacecorrespondantedoittreactivecequisupposequelinterfacedelquipementenvisvislesoitgalement.
Deplus,leprotocoledelignedoittreoprationnelcequisupposequeleprotocolechoisisoitlemmesurlesdeux
interfacesdesdeuxquipementsenvisvis.
7 Questcequunerouteagrgeetquelleestsonutilit?
Une route agrge (summary route) est une route vers un prfixe regroupant plusieurs prfixes de longueur
suprieure.CestlemoyenderduirelenombrederoutesconfigurerdansunrouteuretparsuitelachargedelIOS
(consommationmmoireetCPU).
8 Quelleestladiffrenceentrepartagedechargecotgaletpartagedechargecotingal?
Le partage de charge peut tre cot gal ou cot ingal, le terme cot fait rfrence la mtrique associe la
route:
cotgal:letraficestgalementrpartisurplusieursroutesdemtriquesidentiques.
cotingal:letraficestrpartisurplusieursroutesdemtriquesdiffrentes.Lapartdetrafictransportepar
chacunedesroutesestinversementproportionnellesamtrique(pluslamtriqueestfaible(synonymedebande
passanteleve)pluslapartdetraficabsorbestimportante).
9 Questcequeladistanceadministrative?
Cest le degr de confiance accord par lIOS une route selon le mode dapprentissage de cette route. Quand le
routeurdcouvreplusieursroutesverslammedestination,ilprivilgielaroutedontladistanceadministrativeestla
plusfaible.Lesroutesstatiques,considrescommelesplussresendehorsdesroutesdirectementconnectesse
voientattribuerlavaleur1.Lesroutesappriseslaidedunprotocolederoutagesevoientattribuerunevaleurselon
le degr de considration accord au protocole en question. Cest ainsi quEIGRP, protocole propritaire de CISCO,
obtient une meilleure valeur quOSPF. Naturellement, ladministrateur peut modifier les valeurs et abandonner les
valeurspardfaut.
10 Estilpossibledagrgerlesrseaux10.0.8.0/22et10.0.12.0/22?Sioui,quelestlerseaursultant?
Cesdeuxespacesdadressessontcontigusetlerseaursultantest10.0.8.0/21.
11 Questcequuneroutestatiqueflottante?
Uneroutestatiqueflottanteestuneroutedontladministrateuraaugmentladistanceadministrativedefaonce
quecetteroutenesoitplacedanslatablederoutagequencasdedfaillancedelarouteprfre.
12 Questcequunerecherchederoutercursive?
Une recherche rcursive survient lorsquun routeur nobtient pas toute linformation dont il a besoin pour faire
progresserunpaquet,enunseulpassagedanslatablederoutage.Parexemple,lepremierpassageafourniuneroute
versladestinationmaisilfautunsecondpassagepourtrouverleprochainsautquiconvientpourcetteroute.
13 Quelleestlaconsquencedumodedecommutationchoisi(parmilesmodesFastSwitchingetProcess
Switching)surlafaondontseraliselepartagedecharge?
DanslemodeFastSwitching,lapartageseralisepardestination:touslesdatagrammesdestinsunepremire
adresse du rseau de destination empruntent la premire route, tous les datagrammes destins une seconde
adresseempruntentlaseconderoute,touslesdatagrammesdestinsunetroisimeadresseempruntentnouveau
lapremirerouteetainsidesuite.DanslemodeProcessSwitching,lepremierpaquetdestincerseauobjetde
plusieurs routes emprunte la premire route. Le paquet suivant emprunte la route suivante et ainsi de suite.
LefficacitestductFastSwitchingcarlacorrespondanceadressededestinationinterfacedesortieadresse
physiquedusautsuivantestplaceencachelorsdelacheminementdupremierpaquet.Onviteainsilaconsultation
delatablederoutagepourlespaquetssuivantsdummeflux.
14 Proposezlacommandepermettantdtabliruneroutestatiqueverslerseau10.0.1.192/27vialeprochain
saut10.0.1.226.
Router(config)#ip route 10.0.1.192 255.255.255.224 10.0.1.226
15 Quelmasquefautilutiliserpourtabliruneroutepardfaut?
Uneroutepardfautesttablielaidedeladressequiidentifielensembledesadressessoit0/0(notationCIDR)ou
0.0.0.0 0.0.0.0(notationhrite).
- 2-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde
basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Dcrire le rle des protocoles de routage dynamique et agencer ces protocoles dans une conception de rseau
moderne(atteintepartielle).
Dcrire de quelle manire les mtriques sont utilises par les protocoles de routage et identifier les types de
mtriquesutilisesparlesprotocolesderoutagedynamique.
Identifierlescaractristiquesdesprotocolesderoutagevecteurdedistance.
Dcrire le processus de dcouverte de rseau des protocoles de routage vecteur de distance au moyen du
protocoleRIP(RoutingInformationProtocol).
Dcrirelesfonctionnalits,lescaractristiquesetlefonctionnementduprotocoleRIPv1.
ConfigureretvrifierlefonctionnementdebaseduprotocoleRIPv1surunpetitrseaurout.
Utiliserlescommandesshowetdebugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent
surdepetitsrseauxrouts(objectiftransverselouvrage).
- 1-
Lesprotocolesderoutagetypevecteurdedistance
Laplupartdesprotocolesderoutageappartiennentlunedesdeuxfamilles,tatdeliensouvecteurdedistance.Les
protocolesderoutagetatdelienssontprsentsautraversduprotocoleOSPF(OpenShortestPathFirst)dansle
chapitreponymedecetouvrage.PuisqueRIPestlapremireoccasiondaborderlesprotocolesderoutagevecteur
dedistance,nouscommenceronsparbrosserunportraitgnraldecettefamille.RIPainsiquetouslesmembresdesa
familleutilisentunalgorithmequelondoitMessieursRichardBellmanetLesterFord(mathmaticiensamricains)et
dontlobjetestdetrouverlepluscourtchemindepuisunsommetdansungraphepondr.Cetalgorithmefututilis
pourlapremirefoisen1967entantqualgorithmederoutagedanslerseauARPANET(premierrseautransfertde
paquetsdveloppauxEtatsUnis,considrcommelanctredInternet).
Pourquoi vecteur de distance ? Parce que dans cette famille, les routes sont annonces comme des vecteurs. Le
vecteurdumathmaticien,cestunsegmentorientdunecertainelongueur.Laroutesedfinitcommeunedirection
associeunedistance,cequiesteffectivementanalogue:
Ainsi, chaque routeur du rseau dpend de ses voisins pour apprendre les routes et contribue lapprentissagede
ses voisins en leur annonant les routes quil connat. Linformation de topologie circule de proche en proche sur le
rseaucequifaitparfoisappelercetypederoutageroutageparlarumeur.
Lafamilledesprotocolesvecteurdedistanceestasseznombreuse:
RIP(RoutingInformationProtocol),leprotocoleobjetdecechapitre
XNSRIP(XeroxNetworkServices)
NovellIPXRIP
IGRP(InteriorGatewayRoutingProtocol),protocolepropritairedeCISCO
RTMP(RoutingTableMaintenanceProtocol),enusagedanslasuitedeprotocolespropritaireAppleTalkdApple.
1.Caractristiquesgnriques
Lacaractristiquelaplusnotablepartageparlensembledecesprotocolesconsistepourunrouteurdiffuserde
faon priodique la totalit de sa table de routage sur toutes ses interfaces qui participent au protocole. Le seul
protocole drogeant cette rgle est EIGRP (Enhanced Interior Gateway Routing Protocol), protocole propritaire de
CISCOquiremplaceIGRP.Eneffet,lesmisesjourdEIGRPnesontnidiffuses,nignresdefaonpriodiquepas
plus quelles ne contiennent lentiret de la table de routage. EIGRP fait lobjet dun chapitre ddi dans cet
ouvrage.
Misesjourdiffuses:danslaversionlaplussimple,unrouteurtypevecteurdedistanceenvoiesesmises
jour vers ladresse de diffusion (255.255.255.255 soit ladresse de diffusion limite dans le cas dIP). Les
routeursvoisinsquimettenten uvrelemmeprotocoleentendentetmettentprofitcesmisesjour.
Mises jour priodiques : la priode qui spare deux missions de mises jour est fixe. La valeur choisie
varie selon les implmentations de 10 90 secondes. Cest que le choix de cette valeur conditionne la
poursuite de deux objectifs contradictoires : fautil privilgier le temps de convergence en diminuant la
priodedesmisesjouroulimiterlaconsommationdebandepassanteenlaugmentant?
- 1-
Mises jour totales : nouveau dans leur version la plus simple, les protocoles type vecteur de distance
placentlensembledelatablederoutagedanslesmisesjour.Cestdoncaurouteurquientendlamise
jourdextrairelinformationdontilabesoinetdignorercellequinestpaspertinentepourlui.
2.Leroutageparlarumeur
Observonslvolutiondestablesderoutagedanslecontextesuivant:
Lesquatrerouteursterminentleurdmarrageaummeinstantt0.Chacundesrouteursneconnatdansunpremier
tempsquelesrseauxquiluisontdirectementconnects:
t0
RouteurA
RouteurB
RouteurC
RouteurD
Net_W
Net_X
Net_Y
Net_Z
Net_X
Net_Y
Net_Z
Net_T
linstantt1,chaquerouteurreoitetmetprofitunepremiremisejourdesesvoisins.Prenonslecasdurouteur
A.LerouteurBluiditpouvoirjoindrelesrseauxXetYavecuncotde0.Silecotest0pourB,ildoittrede1
pour A voisin de B. A incrmente les cots annoncs de 1 saut puis compare les routes obtenues avec celles
contenuesdanssatable.Xestdjconnuavecunmeilleurcot,cettepartiedelamisejourestdoncignore.Le
rseauYparcontreestnouveau,AajouteunerouteversYdanssatable,routequilassocieaucotcalculsoit1.
LamisejourmanedeB,Bestdoncleprochainsautpourcetteroute,AdcouvreladresseIPduprochainsauten
lisantladressesourcedupaquetIPquicontientlamisejour:
Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique
t1 Net_W
Net_X
Net_Y
Net_Z
Net_X
Net_Y
Net_Z
Net_T
Net_W
Net_X
Net_Y
Net_Z
Net_T
Net_Y
Chacundesrouteursconduitdesoprationssimilaires.linstantt2,chaquerouteurreoitunenouvellemisejour.
PlaonsnousnouveausurlerouteurA.LerouteurBluiditpouvoirjoindreX,Y,WetZauxcotsrespectifsde0,0,
1et1.LerouteurAincrmentecesvaleursquideviennent1,1,2et2puiscomparelesroutesobtenuesauxroutes
contenuesdanssatable.LesroutesversWetXsontcartescardjconnuesavecunmeilleurcot.Laroutevers
Y est dj connue et le nouveau cot calcul est identique au cot connu, linformation est galement ignore. La
routeversZestnouvelle,Alajoutesatableassocieaucotcalcul:
Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique
t2 Net_W
Net_X
Net_Y
Net_Z
Net_X
Net_Y
Net_Z
Net_T
Net_W
Net_X
Net_Y
Net_Y
- 2-
Net_Z
Net_Z
Net_T
Net_T
Net_W
Net_X
Cestseulementlarceptiondelamisejourdelinstantt3quechacundesrouteursaconnaissancedelensemble
desrseaux,onditquelerseauaconverg:
Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique Rseau Via Mtrique
t3 Net_W
Net_X
Net_Y
Net_Z
Net_X
Net_Y
Net_Z
Net_T
Net_Y
Net_W
Net_X
Net_Y
Net_Z
Net_Z
Net_T
Net_X
Net_T
Net_T
Net_W
Net_W
a.Etquandlarumeursetait?
Maintenantquenotremodesterseauaconverg,voyonscommentilapprhendeunchangementdetopologie.Un
premiercassimpleestceluidurseauquidevientinactif.ImaginonsquelerseauWpasseltatinactif,ilsuffit
au routeur A dannoncer ce rseau comme tant injoignable dans la prochaine mise jour. Mais les choses se
compliquent quand cest le routeur luimme qui est dfaillant. Imaginons que le routeur A devienne inactif. Les
routeurs B, C et D disposent toujours dune route vers le rseau W et plus aucun routeur pour leur dire que ce
rseauestdsormaisinjoignable.
Ce problme est rsolu par les protocoles de routage vecteur de distance en associant un temporisateur
chaque route entre dans la table. Un routeur qui reoit une route dj connue dans une mise jour carte
linformation et dans le mme temps rtablit le temporisateur sa valeur initiale. Si les mises jour cessent de
parvenir au routeur pour la route concerne, le temporisateur finit par expirer et le routeur marque cette route
commetantinjoignable.Illannonceracommetellelorsdesaprochainemissiondemisejour.
Cetemporisateurdesprancedevieestappeltemporisateurdinvalidationderoute(RouteInvalidationTimer)et
savaleuresttypiquementgale36foislapriodedmissiondesmisesjour.Diminuerdavantagelavaleur
du temporisateur, cest prendre le risque de marquer injoignable une route valide parce quun paquet de mise
jouratperdu.Laugmenteraucontrairedgraderaletempsdereconvergencedurseausuiteunchangement
detopologie.
3.Prventiondesbouclesderoutage
a.Partagedelhorizon(SplitHorizon)
Raisonnonsnouveausurcecontexte:
Nous avons affirm de faon premptoire que chaque routeur qui participe un protocole DV (Distance Vector)
diffuselensemble de sa table de routage vers chacun de ces voisins. Mais estceindispensable,seulementutile,
inutile ou carrment dangereux ? Vous tes llve face au professeur. Vous viendraitil lide de tenter de lui
apprendrecequilvientdevousinculquer?Appliquaurseaucidessus,laquestiondevientPourquoiunrouteur
diffuseraitsuruneinterfacecequilaapprisviacetteinterface?Ainsi,lerouteurAnepeutpasapprendreBce
- 3-
quil vient dapprendre de B. La premire rponse la question prcdente est donc : non, il nest pas utile de
diffuser lensemble de la table de routage. Dans lexemple cidessus, chaque routeur ne devrait diffuser vers la
droite que ce quil a appris par la gauche et viceversa. Diffuser lensemble de la table de routage consommerait
inutilementdesressourcesmachinesetdelabandepassante.
Mais allons plus loin en imaginant que le rseau W devienne inactif. Pour un temps, la diffusion de la table de
routage est maintenue dans sa totalit. Le routeur A dtecte ltat injoignable du rseau W et se prpare en
informer le routeur B lors de la prochaine mise jour. ce moment prcis, le routeur A reoit la mise jour du
routeurBquilinformedisposerdunerouteverslerseauWaucotde1.Nous,gentilsadministrateurs,savons
que cette route est une illusion puisquelle passe par A. Mais le routeur A ne dispose daucun moyen qui lui
permettrait de remettre cette route en question. En consquence, A incrmente le cot reu et place W dans sa
tableviaBaucotde2.
ImaginonscestadeunpaquetentrantsurlerouteurB,venudonnesaitoetdestinunhtedurseauW.
LerouteurBdisposedunerouteversWviaAetfaitdoncprogresserlepaquetversA.LerouteurAdisposedune
routeversWviaBetfaitprogresserlepaquetversB.CecipeutserpterindfinimentjusqupuisementduTTL
dupaquet,nousvoilinstallsdansunebouclederoutage.
Onlevoit,ilfautencorerevoirlarponselaquestionprcdentequipassedeinutilecarrmentdangereux.La
solutionimaginepourviterleffetinutileetpallierleffetdangereuxsenommePartagedelhorizon(Splithorizon).
Il en existe deux dclinaisons : le partage dhorizon dit simple et le partage dhorizon avec empoisonnement de
routeinverse(Splithorizonwithpoisonedreverse).Lafiguresuivanteillustrelefonctionnementdupartagedhorizon
simple:
Quandlepartagedhorizonsimpleestappliqu,largleestdenepasincluredansunemisejourmisesurune
interfaceparticulirelesrseauxquionttapprisviacetteinterface.Ainsidanslafigurecidessus,lerouteurC
informelerouteurBdesrseauxZetT.LesrseauxXetWsontabsentsdecettemisejourparcequilsontt
apprisparlinterfaceconnecteB.Delammefaon,lerouteurBinformelerouteurCdesrseauxXetW.Les
deuxrseauxZetTsontabsentsdecettemisejourparcequilsonttapprisparlinterfaceconnecteC.
Largledepartagedhorizonconsistenepasannoncerunvoisinlarouteappriseviacevoisin.
b.Partagedelhorizonavecempoisonnement
Si la rgle de partage dhorizon avait consist occulter une partie des informations, la dclinaison avec
empoisonnement procde dune logique plus labore. Le dicton dit pas de nouvelles, bonnes nouvelles . Le
partagedhorizon avec empoisonnement lui dit mieux vaut de mauvaises nouvelles que pas de nouvelles .La
rgleconsisteannoncercommeinjoignablesuruneinterfacetoutrseauapprisviacetteinterface.Lapplication
decettergleaucontexteprcdentmodifiequelquepeulecontenudesmisesjour:
- 4-
Si,quelquesoitlasourcedelerreur,lesrouteursBetDinstallenttortdesroutesviaCversY,XetWdanslecas
du routeur B, vers Z et T dans le cas du routeur D, alors trs rapidement, lannonce faite par C des routes
empoisonnes rtablirait la vrit et donc supprimerait une source potentielle de boucles de routage. Ceci fait
considrerlepartagedhorizonavecempoisonnementcommetantgnralementplussrquelepartagedhorizon
simple,cettefiabilittantacquiseauprixdunalourdissementdesmisesjour.
c.Lecomptagelinfini
Observezlecontexteciaprs:
LerseauNet_Tpasseltatinactif:
tiquette1:lerouteurDannonceNet_TcommeinjoignabledanssesmisesjourversCetB.
tiquette2:lerouteurBreoitsuccessivementlamisejourdeDquiluiannonceTinjoignablepuislamise
jourdeAquiluiannonceconnatreTaucotde2.
tiquette3:lerouteurBplacelarouteversTviaAaucotde3danssatable.
tiquette4:lerouteurBannonceconnatrelerseauTaucotde3.
LerouteurDplaceTdanssatableaucotde4viaB.
- 5-
tiquette5:lerouteurDannonceconnatreTaucotde4.
LerouteurCplaceTdanssatableaucotde5viaD.
tiquette6:lerouteurCannonceconnatreTaucotde5.
LerouteurAplaceTdanssatableaucotde6.
tiquette7:lerouteurAannonceconnatreTaucotde6...
LerouteurBseditlecotdelarouteviaAversTaaugmentmaisilnyapasdautrealternative,jela
conserve.
On le voit, sans prcaution particulire, nous voil engags dans une boucle sans fin dont la rgle du partage
dhorizonneprotgepas(lerouteurAparexempleannonceBuneroutequilaapprisedeC,largledupartage
dhorizonestbienrespecte),lecotdelarouteversTpourraitaugmenterjusqulinfini.
Commentrsoudrecenouveauproblmedecomptagelinfini?Endfinissantlinfiniquiainsiendevientfini!La
plupart des protocoles vecteur de distance fixent linfini la valeur 16. Dans lexemple cidessus, le cot de la
routeversTcontinueraitaugmenterjusqu16.Unrouteurquireoituneannoncederouteassocieuncotde
16cessedincrmenterlavaleuretconsidrelaroutecommeinjoignable.
Consquence inattendue de la solution apporte au problme du comptage linfini : nous disposons dsormais
dunemthodepourannoncerunrseaucommetantinjoignable.Ilsuffitdelannonceravecuncotde16.
vitonspourtantdeconclurehtivementquelemondeduvecteurdedistanceestunmondemerveilleux.Enfixant
linfini16,onlimitedefaitlenombredesauts15etcestgalementcenombredesautsquifixeltenduedu
rseau:
Lenombredesautsdansunrseaupourlequelonafaitlechoixdunprotocolederoutagevecteurde
distanceestlimit15.Cecicantonnelutilisationdecettefamilledeprotocolesdesrseauxfaiblement
tendus.
Autre consquence de linfini fix 16 : lobtention de la convergence peut ncessiter beaucoup de temps. En
imaginant par exemple des mises jour espaces de 30 secondes, le temps de convergence peut atteindre 7
minutescequiestbeaucoup(14sautsespacsde30secondes):
d.Misesjourdclenches
- 6-
Jusquici et quoiquil advienne, les mises jour envoyes aux voisins ltaient de faon rgulire. Estce le
comportement le plus pertinent ? Quand un rseau passe ltat inactif, un routeur qui le peroit doit attendre
jusqu30secondes(casdeRIP)avantdetransmettrecetteprcieuseinformation.Lesmisesjourdclenches
(Triggered Updates ou Flash Updates) apportent une solution des plus simples ce manque de ractivit. Lide
consisteprovoquerlmissiondunemisejoursansattendrelexpirationdutemporisateurdemisejour,ceds
quun changement de cot se produit sur une route quil sagisse dun changement la hausse ou la baisse.
Linstallation dune nouvelle route dans la table de routage est considre comme un changement de cot et
provoquegalementunemisejourdclenche.Letempsdeconvergencesentrouvevidemmenttrsamlior
de mme que le problme du comptage linfinidevientunproblmeassezmarginal.Lechoixdeprovoquerdes
mises jour dclenches ne fait pas disparatre le besoin de mises jour rgulires pour deux raisons : il faut
empcherletemporisateurdinvalidationderoutedexpireretilfautgalementprvoirlecasounrouteurreoit
unemisejourcorrompueissuedunrouteurquinapasachevsaconvergence,lamisejourrgulirertablirait
alorslasituation.Quoiquilensoit:
Lesmisesjourdclenchescontribuentacclrerlaconvergencedurseau.
e.Refusdemisesjour(HolddownTimer)
Jusquprsent,nousnavonsplacunpeudintelligencequedanslafaondontunrouteurmettaitsesmises
jourderoutage:defaonrgulire,plusoumoinsfrquemment,survnement,totales,partielles,partiellesavec
routesinversesempoisonnes.Maisnousnavonsrienfaitsurlarceptiondesmisesjour.Toutemisejourest
galement considre. Ne conviendraitil pas dintroduire un peu de scepticisme ? Considrez le contexte ci
dessous:
Unefoisquelensembledurseauaconverg,lerouteurDannoncelerseauWaurouteurEavecuncot
de1.
tiquette4:lerseauWpasseltatinactif.
tiquette5:lerouteurAannonceWcommetantinjoignableauxrouteursBetD.
LerouteurCconnatannonceconnatreWaucotde2,lerouteurDinscritunerouteversWviaCdanssa
tablederoutageaucotde3.
- 7-
tiquette 6 : Le routeur E reoit une mise jour du routeur D. Dans cette mise jour, le rseau W est
annoncavecuncotde3,cecottait1danslamisejourprcdente.
LesquatrerouteursA,B,CetDsontlancsdansuncomptagelinfini.LecotannoncparlerouteurDvadonc
progressivementaugmenterpouratteindre16.Maisdanslesfaits,lerseauWestinjoignable.Trslgitimement,
le routeur E devrait donc se mfier de la route annonce par le routeur D. Mais comment veiller la mfiance du
routeurE?EnsappuyantsurleseulsignetangibledupointdevuedurouteurE,savoirlaugmentationducot
annoncverslerseauW.
Ondcidedoncquechaquefoisquunrouteurreoitunemisejourdanslaquellelecotduneroutedjconnue
augmente,lerouteurarmeuntemporisateurditderetenueetrefusetoutemisejourcotgalouaugment
pourcetteroutetantquecetemporisateurnapasexpir.Enrevanche,unemisejourreueavecuncotmeilleur
que le cot original provoque la dsactivation du temporisateur de retenue. De la mme faon, une mise jour
reueaveclaroutemarqueinjoignable(cot16)devraitdsactiverletemporisateurderetenueafinquelerouteur
participe la propagation de la mauvaise nouvelle et donc viter que ce temporisateur ne dgrade le temps de
convergence.
CetemporisateurnestpasprvuparleRFCetsonimplmentationestlefaitdeCISCO.Lecomportementdcritest
doncsusceptibledevarierselonlaversiondelIOS.
4.Collisionsdemisesjour
Considrezlecontextecidessous:
Lesrouteursdelatopologiemettenten uvrelemmeprotocolederoutageDV.Chacundesrouteursmetdoncsa
misejourdefaonrgulire,lespriodesquisparentdeuxmissionssontidentiquessurtouslesrouteurs.Une
probabilitexistepourquedeuxoudavantagedecesmisesjourseproduisentenmmetemps,provoquantainsi
une collision de mises jour. Noublions pas que ces mises jour sont diffuses et rappelonsnous galement le
comportementduncommutateurLANquandildoitfaireprogresserunetramediffuse:ilsecomportealorscomme
un banal concentrateur. Autrement dit, la collision est possible. En outre si la collision se produit, les metteurs
impliqus retardent leur mission ce qui la rapproche de lmission des mises jour venir manant des autres
routeursnonimpliqusjusquel.Onsinstalledansunphnomnecumulatif.Deplus,sicettecollisionneseproduit
pasaujourdhui,elleseproduirapeuttredemaincarleshorlogesdestemporisateursdriverontinvitablement.
La solution consiste abandonner partiellement la priode fixe des mises jour, en tablissant le temps initial du
temporisateurdemisejouravecuntempsfixeadditionnduntempsalatoire(timingjitter).
- 8-
RIP
RFCutiles:
RFC1058
RoutingInformationProtocol
Juin1988
ImpossibledeprtendremenerunetudesrieusedesprotocolesderoutagedansuncontexteIPsansdbuterpar
leprotocoleRIP(Routing Information Protocol).RIPfutdveloppparlacompagnieXeroxaudbutdesannes1980
commepartieintgrantedesonarchitecturerseauXNS.RIPfournitle rsultatattendulaconditiondecantonner
son utilisation des rseaux de petite et moyenne (moins) envergure et de fait est trs largement rpandu. Les
dfauts de RIP sont bien connus : le nombre de sauts entre deux htes est limit 16 et le protocole est long
converger.Lamtrique,constitueparlenombredesauts,nestpasintelligenteencesensquellenetientcompteni
delabandepassantedesliensnideleurcharge.Ilneseraitpascomprhensiblequuneentrepriseayantencharge
unlargerseaunemigrepasounaitpasdjmigrversunprotocolederoutageplussophistiqu.
1.Leprotocole,messageschangs
LesmessagesRIPsontencapsulsdansdesdatagrammesUDP.Lesdeuxnumrosdeport,sourceetdestination,
dundatagrammeUDPquitransporteRIPsonttablislammevaleur520.RIPutilisedeuxtypesdemessages:la
requteetlarponse:
LarequteRIPpermetunrouteurdinterrogersesvoisinsafindobtenirunemisejour.
LarponseRIPtransportelamisejour.
LamtriqueutiliseparRIPestlenombredesauts.Unrouteurannonceuneroutedirectementconnecteavecune
mtriquegale1:
Unemtriquede16signifiequelerseauestinjoignable.
Audmarrage,unrouteurRIPdiffuseunerequteRIPsurlensembledesesinterfacesparticipantauprotocole.Puis
leprocessusRIPseplacelcoutedesmessagesRIPenprovenancedesautresrouteurs.Chaquerouteurvoisinqui
reoitlarequtegnreunmessagederponseRIPetyplaceunextraitdesatablederoutage.Enrgimetabli,
toutesles30secondesenvironetindpendammentdetouterequte,chaquerouteurRIPgnredefaongratuite
unmessagederponseRIPetyplacegalementunextraitdesatablederoutage.
Lextraitdelatablederoutagecontienttouteslesrouteslexceptiondecellessupprimesparlargledepartage
dhorizon.ToutmessagederponseRIPesttraitdemanireidentique,quilaittobtenusuiteunerequteRIP
oudefaongratuite:
Silarponsecontientuneroutejusquiciinconnue,lerouteurlaplacedanssapropretablederoutageviale
routeur qui la annonc. Ladresse de prochain saut est apprise en lisant ladresse source du message de
rponseRIP.
Si la rponse contient une route dj connue (elle est dj prsente dans la table de routage), lentre
existantenestremplacequesilarouteannoncedisposedunmeilleurcot.
Quand une route dj connue est annonce avec un cot plus lev par le routeur de prochain saut, la
suspicionsinstalleetcetterouteestmarqueinjoignablependantuntempsdobservationappeltempsde
retenue(holddowntimer).Silexpirationdecetemps,lerouteurdeprochainsautpersisteannoncercette
routeaveccenouveaucotmoinsfavorable,alorslanouvellemtriqueestaccepteetremplacelancienne
danslatable.
- 1-
Appuyonsnotrepropossurlecontextesuivant:
Observez la capture cidessous ralise sur lien serial entre R110 et R80 (cap_2E_01.pcap disponible en
tlchargementsurlesitedesEditionsENI):
- 2-
DansWireshark,pourobtenirlaffichagedesseulschangesRIP,ilsuffitdactiverunfiltre,parexemple:Analyze
DisplayFilters...UDPonlyOK.R80vientdeterminersondmarrage,cequiexpliquelarequteRIPentrame3.
ObservezqueR110rpondlarequtedansundatagrammeunicast.Vrifiezlapriodequisparedeuxmissions
de mises jour. Par exemple pour R80, les timestamps sont [46.35, 72.76, 101.36, 127.5, 155.42, 185.39,
214.39] espacs respectivement de [26.41, 28.60, 26.14, 27.92, 29.97, 29] secondes. On observe l leffet de la
variable alatoire RIP_JITTER entretenue par lIOS. Ce temps alatoire est compris entre 0 et 15% de la priode
nominale qui spare les mises jour. chaque nouvelle mission de mise jour, lIOS calcule ce temps puis le
soustraitdutempsnominalpourtablirletemporisateurdelaprochainemisejour.Puisquedanslecasprsent,la
priodenominaleestcellepardfaut,soit30secondes,ceciexpliquequeletempsobserventredeuxmisesjour
soit variable mais toujours compris dans lintervalle [25.5 secondes 30 secondes]. On se souvient quil sagit de
prvenirlescollisionsdemisesjour.
Lapartieinfrieuredelafentredtaillelecontenudelamisejourpourlatrame15.CestR80quisexprimeeton
voit que la rgle de partage dhorizon est applique. Ne sont annoncs que les trois rseaux 192.168.8.0,
192.168.12.0 et 192.168.20.0. Observez enfin que la mtrique annonce par R80 pour un rseau directement
connectstablit1.
a.LestemporisateursdeRIP
LeprocessusRIPentretientquatretemporisateurs:
- 3-
Mise jour (Update) : priode nominale qui spare deux mises jour. Le temporisateur de mise jour est
initialisavecuntempsrsultantdelapriodenominalelaquellelIOSasoustraitletempsalatoireRIP_JITTER
(voirdtailciavant).
Invalidation(Route timeout):cetemporisateurdfinitcombiendetempsuneroutepeutresterdanslatablede
routagesansquelerouteurreoivedemisejourlaconcernant.galementappelRoutetimeouttimer,ilya
autantdinstancesdecetemporisateurquederoutesprsentesdanslatablederoutage.Quandletemporisateur
dinvalidationexpire,larouteestmarqueinjoignable(mtrique16)maisrestedanslatablejusquexpirationdu
temporisateur deffacement Routeflush timer . Le temporisateur dinvalidation est rtabli sa valeur initiale
(dfaut180secondes)chaquefoisquelerouteurreoitunemisejourpourlarouteconcerne.
Retenue(Hold down) : ce temporisateur nest pas prvu dans le standard RFC 1058 mais lIOS lutilise.Chaque
foisquunrouteurreoitunemisejourdanslaquellelecotduneroutedjconnueaugmente,lerouteurarme
cetemporisateuretrefusetoutemisejourcotaugmentpourcetteroutetantquecetemporisateurnapas
expir.Pendantcetemps,lerouteurconsidrelaroutecommepeuttreinjoignablemaiscontinuedesecomporter
comme si elle ltait encore, cestdire continue dacheminer les paquets conformment linformation dont il
disposait lors de lentre dans ltat hold down . Un routeur qui a arm un temporisateur de retenue peut le
dsactiverenplusieurscirconstances:larouteestnouveauannonceaucotinitial,larouteestannonceavec
uncotde16.CecomportementestsusceptibledevarierselonlesversionsdIOS.
Effacement (Route flush) : ce temporisateur est appel garbage collection timer par le RFC (littralement
temporisateurdecollectedesordures!).Lavaleurpardfautesttablie240secondes,soit60secondesaudel
du temporisateur dinvalidation. Pendant ces 60 secondes, la route est marque injoignable mais reste dans la
table.Elleestdoncannonceaveclamtriqueinjoignable(16)danslesmisesjourderoutagependantces60
secondes.lexpirationdutemporisateurdeffacement,larouteesteffacedelatablederoutage.
LafiguresuivantersumelecomportementdestemporisateursdurouteurRIP:
- 4-
Lesquatretemporisateurspeuventtremanipulslaidedelacommandetimersbasicenmodeconfigurationde
routeur:
R110(config)#router rip
R110(config-router)#?
Router configuration commands:
.........
timers
Adjust routing timers
.........
R110(config-router)#timers ?
basic Basic routing protocol update timers
R110(config-router)#timers basic ?
<0-4294967295> Interval between updates
R110(config-router)#timers basic 30 ?
<1-4294967295> Invalid
R110(config-router)#timers basic 30 180 ?
<0-4294967295>Holddown
R110(config-router)#timers basic 30 180 180 ?
<1-4294967295> Flush
R110(config-router)#timers basic 30 180 180 240 ?
<cr>
R110(config-router)#timers basic 30 180 180 240
R110(config-router)#^Z
R110#
UnrouteurnepeutfairefonctionnerquunseulprocessusRIPetcettecommandeajustelestemporisateurspourle
processus dans son entier. Changer une ou davantage des quatre valeurs ne devrait tre entrepris quavec
beaucoup de prudence. De plus, pour que le fonctionnement de RIP reste cohrent, le changement souhait doit
tre appliqu lensemble des routeurs du domaine RIP. Il est possible de vrifier la valeur actuelle des
temporisateurs (ainsi que beaucoup dautres informations du protocole) laide dune commande show ip
protocols:
R110#sh ip protocols
- 5-
Lapremiredesdeuxinformationsentrecrochetscorrespondlaroute.Notremodestemiseensituationcomporte
lesroutes11,8,12,19,20(enfait192.168.11.0/24,192.168.8.0/24...).Lasecondeinformationcorrespondaucot
annoncexprimennombredesauts.Observezlafonctionnalitdepartagedhorizon(lerouteurR80nenvoievers
lagauchequelesroutesapprisesparladroite).Environ15secondesaprslamisejournormaleentrame26,la
route 12 devient injoignable. Sans attendre la mise jour suivante, le routeur R120 gnre une mise jour
dclenchequinecomportequelaroute12,lecotannoncest16cequisignifierouteinjoignable.LerouteurR80
peroitlechangementdecotetragitimmdiatementengnrantunemisejourdclencheentrame32.En
rponse,etcestllapremiremanifestationdelafacultdempoisonnementderoutesinverses,R110gnreune
mise jour dclenche qui comporte la mme route au mme cot. Aucun risque donc quun routeur simagine
pouvoir passer par R110 pour joindre LAN12. Observez que les mises jour dclenches ne remettent pas en
causelmissiondesmisesjourcadences,dontlerythmeimmuableestfixparletemporisateurdemisejour.
Impossibleobserversurlacaptureprcdente,unrouteurquiperoitunchangementdecotsuitelarception
dune mise jour dclenche diffre sa propre mission de mises jour dclenches de 1 5 secondes, ce afin
- 6-
dviter que lvnement de dpart (le changement de topologie) ne se transforme en tempte de mises jour
dclenches.Pourlescurieuxinsatiables,lacapturecap_2E_04.pcaprapporteunscnariopeinediffrent:cest
laugmentationducotdelaroutequiprovoquelamisejourdclenche.Cetteaugmentationatprovoque
parunemanipulationdirectedelamtriquedeRIP(patientez).
b.Formatdesmessages
LemessageRIPenversion1(laversionduRFC1058)estunmessagetrous.Ondevinequelaconceptiondeson
formatatinflueparletransportpossiblederoutesdansdautresprotocolesquIPetparlavolontdetravailler
surdesmotsde4octets:
LesargumentsdumessageRIPsontlessuivants:
commandpourcequinousconcerne,deuxvaleurspossibles:
1:lemessageestunerequte
2:lemessageestunerponse
Lesautresvaleurssontsoitobsoltessoitrserves.
version1pourRIPv1.
address family identifier 2 pour IP dans les messages de rponse, 0 dans un message de requte
(patientez).
IPaddresscontientindiffremment:
Uneadressehte.
Uneadressedesousrseau.
Uneadresserseau.
0quiindiqueuneroutepardfaut.
- 7-
LecomportementdeRIPfacecesdiffrentscasestdcritdanslasectionsuivanteComportement
avecclasse.
metric cot de la route exprim en nombre de sauts de 1 16, 1 signifiant une route directement
connecte,16caractrisantunerouteinjoignable.
LataillemaximaledumessageRIPest512octets,sanscompterlesenttesIPetUDP(pourmmoire,unentte
IPsansoptionsoccupe20octets,unentteUDPoccupe8octets).EntantlentteRIP,ilreste508octetsutiles
au transport de routes. Puisquune route occupe 20 octets, un message RIP peut transporter jusqu 25 routes.
Sommetoute,undatagrammeUDPquitransporteunmessageRIPnedpasserapas512octets(25x20+4+en
tteUDP).
c.Formatdesrequtes
LemessageRIPderequtepermetdobtenirtoutoupartiedelatablederoutagedudestinataire.Ceciamne
voquerlanotiondhtesilencieux:
UnhtesilencieuxnegnrepasdemisesjourRIPmaispeutprofiterdesmisesjourquilperoit.
UnerequteRIPestclassiquementdiffuse,leportsourceest520.Unhtesilencieuxnerpondpasunetelle
requte.Onpeutpourtantlecontraindrelefaire.IlfautpourcelagnrerunerequteRIPdontleportsourceest
diffrentde520.
Larequtepeutcomporterplusieursquestions,cestdireplusieursrseaux,sousrseaux,htespourlesquels
celui qui interroge souhaite dcouvrir si le destinataire dispose duneroute.Ledestinataireprpareunerponse
parquestionpourgnrerlemessagederponse.chaquequestion(chaqueadressedemande),ledestinataire
consultesatablederoutageetplacelamtriquetrouvedanslarponselaquestion,16quandilnapastrouv
ladresse demande. Aucun traitement dhorizon partag nest effectu. Une requte de ce type est utile aux
logicielsdediagnostic.
La requte peut concerner lensemble de la table de routage. Dans ce cas, le message de requte se distingue
parce quilnecomportequune seule question [adressfamily identifier = 0, IP address = 0.0.0.0, metric = 16]. Le
destinatairegnreunmessagederponseRIPunicastversladresseIPdudemandeur.Paradoxalement,quandla
questionest Tout,larponseestpartielle.Eneffet,ilsagitcettefoisdassurerunfonctionnementnormalde
RIP dans son domaine et la rponse respecte la rgle du partage dhorizon ainsi que la rgle de masquage des
sousrseaux(summarization,patientez).
d.Comportementavecclasse(classfull)
Nous avons besoin dun contexte un peu plus riche pour aborder ce qui va suivre. Comme notre habitude
maintenant,cecontexteatprparsousGNS3:
- 8-
AppuyonsnotrepropossurlatablederoutagedeR80:
R80#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C
R
C
C
R
C
C
R80#
Un paquet destin ladresse 192.168.11.5 entre sur R80. Le routeur ne trouve aucune correspondance
verslerseaumajeur192.168.11.0etlepaquetestsupprim.
Un paquet destin ladresse 172.26.6.12 entre sur R80. Le routeur trouve une correspondance vers le
rseau majeur 172.26.0.0 et examine les sousrseaux connus de ce rseau majeur. Hlas, aucune
correspondancenesttrouveverslesousrseau172.26.6.0etcepaquetestgalementlimin.
Enfin un paquet destin ladresse 10.0.11.11 entre sur le routeur R80. Le routeur trouve une
correspondanceverslerseaumajeur10.0.0.0puisunecorrespondanceverslesousrseau10.0.11.0et
cepaquetestacheminverslunedesinterfacesSerial0/0ouFastEthernet0/1.
Mais la vraie question est comment un routeur exploitetil les mises jour reues pour complter sa table de
routage?ObserveznouveauleformatdumessageRIP:aucunchampnestprvupourtransmettreunmasque
etcestsansaucundoutelaplusgravelimitationdecetteversion1.Commentlesconstructeursderouteurs,dont
Cisco, ontils contourn cette limitation ? Rappelonsnous comment procde le routeur pour ajouter une route
directementconnectelatablederoutage.LerouteurexploitepourcefairelaconfigurationIPdelinterface.Par
exemple,danslecasdeR80,cetteconfiguration:
- 9-
!
interface FastEthernet0/0
ipaddress 192.168.8.1 255.255.255.128
!
aprovoqulajoutdanslatabledecetteroute.
192.168.8.0/25 is subnetted, 1 subnets
C
192.168.8.0 is directly connected, FastEthernet0/0
Lerouterconnatlemasquenaturel/24deladresse192.168.8.1etpuisquelemasqueconfigurest/25,lerouteur
dduitquelerseauauquelestconnectlinterfaceF0/0estunsousrseaude192.168.8.0.
Cette mthode inspire celle utilise par RIP : puisque les annonces de RIP ne comportent pas de masques, le
routeur comble linformation manquante en la puisant sur ses interfaces quand cest possible. Nous sommes
toujourssurR80.VoicilemessageRIPreudeR110,captursurlelienS0/0deR80:
Parmi les annonces de routes contenues dans ce message RIP, le routeur R80 reoit [adresse IP 10.0.11.0,
mtrique1](tiquette1).CetteinformationpermetR80dajouterdanssatablederoutage:
10.0.0.0/24 is subnetted, 3 subnets
R
10.0.11.0 [120/1] via 10.0.8.11, 00:00:14, Serial0/0
Comment R80 atil procd ? Il se trouve que ladresse IP affecte linterface S0/0, interface qui reoit le
message,appartientdoncaurseaumajeurdeclasseA10.0.0.0:
!
interface Serial0/0
ipaddress 10.0.8.8 255.255.255.0
!
ladresse10.0.11.0reue,R80aappliqulemasqueconfigursurlinterfacequireoit,danslecasprsent/24.
Linformation orpheline [10.0.11.0/ ???] est devenue [10.0.11.0/24]. Puisque R80 est directement connect aux
deuxsousrseaux10.0.8.0parS0/0et10.0.9.0parf0/1,ceciporte3lenombredesousrseauxconnusdeR80
danslerseaumajeur10.0.0.0,cequiexpliquelamention:
10.0.0.0/24 is subnetted, 3 subnets
danslatablederoutage.Maispourquoiafficher10.0.0.0/24issubnettedetnonpas10.0.0.0issubnetted?
Observeznouveaulatopologie.CettemmeannoncedurseauLAN11dadresse10.0.11.0estreuelafoispar
linterfaceS0/0etF0/1deR80.LaconfigurationdeF0/1est:
- 10 -
!
interface FastEthernet0/1
ip address 10.0.9.8 255.255.255.0
!
Ainsi ladresse 10.0.11.0 se voit appliquer le mme masque et ce, que lannonce soit reue via S0/0 ou F0/1.
Imaginezledsastresiladministrateuravaitdciddutiliserunelongueurdeprfixediffrente,parexemple/25,
sur F0/1. Quelle route fautil installer dans la table de routage : 10.0.11.0 /24 selon la configuration de S0/0 ou
10.0.11.0/25selonlaconfigurationdeF0/1?
Autrecasdefigure:ladministrateurrtablitlemmemasquesurS0/0etF0/1deR80maischoisitunelongueurde
prfixe/25.Larouteajoutedanslatablepointeraverslerseau10.0.11.0/25alorsquelerseauaffectLAN11
esteffectivement10.0.11.0/24.Onaboutitainsiuneobligationessentiellequisimposedanstouteconfiguration
deroutageRIPavecclasse:
lintrieur dun rseau majeur, les prfixes affects doivent tre identiques sur lensemble du domaine
RIP.
laquestiondedpartpourquoiafficher10.0.0.0/24issubnetteddanslatablederoutage?,larponseest:
parcequelensembledessousrseauxdurseaumajeur10.0.0.0dcouvertsparR80partagentlammelongueur
deprfixe.Cestcettelongueurquiestrappeledanslersultatdelacommandeshowiproute.
e.Rsumautomatiquederoutes
Nous venons dobserver comment RIP met profit la configuration de ses interfaces pour exploiter une annonce
reue et intgrer une route la table de routage. Nous avions dit un peu plus haut : le routeur comble
linformationmanquanteenlapuisantsursesinterfacesquandcestpossible .Cequiarendulachosepossible
dans lexplication prcdente, cest que les interfaces S0/0 et F0/1 taient toutes deux connectes des sous
rseaux du mme rseau majeur 10.0.0.0. Quen estil lorsquune interface reoit une annonce RIP alors mme
quellenappartientpasunsousrseaudurseaumajeurannonc?Exploiterlemasqueconfigursurlinterface
nauraitplusdesens!
Lultimesolutionconsisteconsidrerlerseaumajeurdanssonentieretconsidrerquelerouteurquiannoncece
rseau majeur est un routeur situ en bordure de ce rseau majeur. Pour nous en convaincre, observons le
comportementdeR80quandilannonceverslerouteurR110lesrseauxdeclasseBetCauxquelsilestconnect:
nouveau, cette capture a t ralise sur le lien S0/0 de R80. Pour mmoire, cette interface est directement
- 11 -
connecteausousrseau10.0.8.0/24.LemessageRIPcomportetroisannonces:
10.0.9.0, mtrique 1 sousrseau du rseau majeur 10.0.0.0, annonc parce que linterface S0/0 est
directementconnecteunautresousrseaudummerseaumajeur.
tiquette1,172.26.0.0,mtrique1rseaumajeurdeclasseB172.26.0.0.LerouteurR110considrera
queR80estunrouteursituenborduredecerseaumajeuretajouterasatablederoutageuneroute
vers ce rseau majeur via 10.0.8.8 soit ladresse IP source contenue dans le datagramme IP porteur du
messageRIP.
tiquette 2, 192.168.8.0, mtrique 1 rseau majeur de classe C 192.168.8.0. Le routeur R110
considreraqueR80estunrouteursituenborduredecerseaumajeuretajouterasatablederoutage
unerouteverscerseaumajeurvia10.0.8.8.
UnecapturedelatablederoutagedeR110confirmececomportement:
R110#sh ip route
.........
Gateway of last resort is not set
R
R
C
C
C
R110#
Enfinal,R80estsituenborduredetroisrseauxmajeurs,cequilamneannoncerdeuxrseauxmajeurssur
chacundesesliens:
Ainsi,unrouteurdebordurenannoncepasdedtailsdesousrseaux.Ilneserviraitriendelefairepuisquele
routeur qui reoit lannonce serait incapable de les exploiter, faute de masque. On dit que le routeur de bordure
procdeunrsumautomatique.
f.Sousrseauxnoncontigus
Considrezlecontextemodificidessous:
- 12 -
Dunpointdevuerseauxmajeurs,lecontexteestlesuivant:
Dans ce contexte, R110 va annoncer le rseau majeur 10.0.0.0 vers R80 ce qui en fait un routeur de bordure
potentiel pour ce rseau. Hlas, R120 fait de mme et lapprhension est confirme la lecture de la table de
routagedeR80:
R80#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
192.168.8.0/25 is subnetted, 1 subnets
192.168.8.0 is directly connected, FastEthernet0/0
192.168.9.0/26 is subnetted, 4 subnets
C
192.168.9.64 is directly connected, FastEthernet0/1
C
192.168.9.0 is directly connected, Serial0/0
C
192.168.9.192 is directly connected, Serial0/1
C
192.168.9.128 is directly connected, FastEthernet1/0
R
10.0.0.0/8 [120/1] via 192.168.9.66, 00:00:23, FastEthernet0/1
[120/1] via 192.168.9.2, 00:00:23, Serial0/0
[120/1] via 192.168.9.194, 00:00:16, Serial0/1
[120/1] via 192.168.9.130, 00:00:16, FastEthernet1/0
R80#
C
UnpaquetdestinLAN11etquiarriveraitdonnesaitosurR80nauraitquunechancesurdeuxdtreachemin
surlerseaudestinataire.Onmetainsienlumireunenouvellecontraintequidcouleducomportementrsum
- 13 -
automatiquederoutesdcritprcdemment:
Unrouteurquiannonceunrseaumajeurdoittrelarouteuniqueverscerseau.Cecicontraintnepas
sparerplusieurssousrseauxdunmmerseaumajeurpardessousrseauxissusderseauxmajeurs
diffrents.
Enbref,ilestncessairedemaintenirlacontinuitdudomainecouvertparlessousrseauxdunrseaumajeur.
Cettecontraintepeuttreattnueenrtablissantlacontinuitdurseaumajeur10.0.0.0.Unesolutionconsiste
parexempleattribuerauxliensquisparentR110etR120deR80desadressesIPsecondairesextraitesdesous
rseaux appartenant au mme rseau majeur 10.0.0.0. Mais cela ne fait pas disparatre la contrainte dune
longueurdeprfixeunique,cequiaboutiradanslexempleaffecterunsousrseau/24chaquelien serial
alorsquuntelliennabesoinquededeuxadresses.
2.Configurationdebase
RIPestsimple,saconfigurationgalement.Dmonstrationsurcettetopologie:
a.Activationduprotocole
Leprotocolesactiveendeuxtemps:
1.ActiverleprocessusRIPproprementditlaidedelacommanderouterrip.
2.Indiquerauprocessusquelsrseauxmajeursdoiventtreprisencomptelaidedunecommandenetworkpar
rseaumajeur.
Touteslesinterfacesontdjtconfigures.SurR110,R120etR210,uneseulecommandenetwork suffit. Sur
R220,routeurdeborduredesdeuxrseauxmajeurs172.16.0.0et192.168.12.0,deuxcommandesnetworksont
ncessaires:
R110
R110(config)#router rip
R110(config-router)#network 172.16.0.0
R110(config-router)#^Z
R110#
R120
- 14 -
R120(config)#router rip
R120(config-router)#network 172.16.0.0
R120(config-router)#^Z
R120#
R210
R210(config)#router rip
R210(config-router)#network 172.16.0.0
R210(config-router)#^Z
R210#
R220
R220(config)#router rip
R220(config-router)#network 192.168.12.0
R220(config-router)#network 172.16.0.0
R220(config-router)#^Z
R220#
Ainsi, il est inutile de vouloir configurer la commandenetwork avec un quelconque sousrseau. La nature sans
classedeRIPv1,lefaitqueRIPcachelesdtailsdudcoupageensousrseaux lextrieurdesfrontiresdes
rseauxmajeursimposentdeneconfigurerquedesrseauxmajeursdeclasseA,BouC.
Sur un routeur donn, toute interface dont ladresse IP appartient lun des rseaux majeurs dclars laide
dunecommandenetworkparticipeauprotocole.
LacommandedebugiprippermetdesepasserdeWiresharkpourcomprendrelactivitduprotocole.Parexemple
surR220:
R220#debug ip rip
RIP protocol debugging is on
00:03:43: RIP: received v1 update from 172.16.43.21 on Serial0/0
00:03:43:
172.16.11.0 in 2 hops
00:03:43:
172.16.21.0 in 1 hops
00:03:43:
172.16.23.0 in 2 hops
00:03:43:
172.16.32.0 in 1 hops
00:03:52: RIP: received v1 update from 172.16.34.12 on Serial0/1
00:03:52:
172.16.11.0 in 2 hops
00:03:52:
172.16.12.0 in 1 hops
00:03:52:
172.16.23.0 in 1 hops
00:03:52:
172.16.32.0 in 2 hops
00:03:58: RIP: sending v1 update to 255.255.255.255 via F0/0 (192.168.12.1)
00:03:58: RIP: build update entries
00:03:58:
network 172.16.0.0 metric 1 !>>> Rsum automatique
00:03:58: RIP: sending v1 update to 255.255.255.255 via Serial0/0 (172.16.43.22)
00:03:58: RIP: build update entries
00:03:58:
subnet 172.16.12.0 metric 2
00:03:58:
subnet 172.16.23.0 metric 2
00:03:58:
subnet 172.16.34.0 metric 1
00:03:58:
network 192.168.12.0 metric 1 !>>> Rsum automatique
00:03:58: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (172.16.34.22)
00:03:58: RIP: build update entries
00:03:58:
subnet 172.16.21.0 metric 2
00:03:58:
subnet 172.16.32.0 metric 2
00:03:58:
subnet 172.16.43.0 metric 1
00:03:58:
network 192.168.12.0 metric 1
R220#
Ce routeur a t choisi parce quil est routeur de bordure. Observez par exemple lannonce faite sur linterface
F0/0 : cette interface nappartient pas au rseau majeur 172.16.0.0. RIP annonce donc le rseau majeur
172.16.0.0,mtrique1quirsumelensembledessousrseaux172.16.x.0/24.Delammefaon,R220annoncele
rseaumajeur192.168.12.0surlesinterfacesappartenantaurseaumajeur172.16.0.0.
Observez galement les effets de la rgle de partage dhorizon. Par exemple, R220 reoit lannonce du rseau
172.16.21.0sursoninterfaceS0/0avecunemtriquede1.R220nannoncepascerseaudanslamisejourquil
prparepuismetsurcettemmeinterface.Enrevanche,172.16.21.0faitbienpartiedesrseauxannoncsdans
lamisejourqueR220gnresurS0/1associunemtriqueincrmente2.
- 15 -
b.Commandepassiveinterface
ChacundesrseauxdextrmitLAN11,LAN12,LAN21etLAN22nestreliquunseulrouteur.Unecaptureavec
Wireshark sur LAN11 confirme que les mises jour sont bien diffuses alors mme quaucun autre routeur nen
profitera:
Onsesouvientquemettreundatagrammerevientpourunestationseposeruneseulequestion:ladressedu
destinataireestelledirectementconnecteoupas?Danslepremiercas,ledatagrammeestenvoydirectement
au destinataire. Dans le second cas, il est confi la passerelle, charge elle de le faire progresser vers sa
destination.Lesstationsdextrmitpratiquentdoncunroutageextrmementsimpleenremettantlapasserelle
toutpaquetquinestpasdestinaurseaudontilestissu.Parconsquent,ellesnontpasbesoinderecevoirles
misesjourderoutageRIP.IlestpourtanttrsfaciledetransformerunestationWindowsenhteRIPsilencieux.Il
suffit dactiver lcouteur RIP : Panneau de configuration Ajout/Suppression de programmes Ajouter ou
supprimerdescomposantsWindowsServicedemiseenrseauDtailsetcocherlacaseEcouteurRIP.Cest
ce qui a t fait sur une station XP ajoute sur LAN11 de notre contexte. Ladresse affecte la station est
172.16.11.12.Unecommanderouteprintdansuneinvitedecommandesconfirmequelastationmetbienprofit
lesmessagesRIPissusdeR110:
C:\ >route print
===========================================================================
Liste dInterfaces
0x1 ........................... MS TCP Loopback interface
0x4 ...00 0c 29 ce e7 00 ...... VMware Accelerated AMD PCNet Adapter Miniportdordonnancement de paquets
===========================================================================
Itinraires actifs :
Destination rseau
Masque rseau Adr. passerelleAdr. interface Mtrique
0.0.0.0
0.0.0.0
172.16.11.1
172.16.11.12
10
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
172.16.11.0
255.255.255.0
172.16.11.12
172.16.11.12
10
172.16.11.12 255.255.255.255
127.0.0.1
127.0.0.1
10
172.16.12.0
255.255.255.0
172.16.11.1
172.16.11.12
3
172.16.21.0
255.255.255.0
172.16.11.1
172.16.11.12
3
172.16.23.0
255.255.255.0
172.16.11.1
172.16.11.12
2
172.16.32.0
255.255.255.0
172.16.11.1
172.16.11.12
2
172.16.34.0
255.255.255.0
172.16.11.1
172.16.11.12
3
172.16.43.0
255.255.255.0
172.16.11.1
172.16.11.12
3
172.16.255.255 255.255.255.255
172.16.11.12
172.16.11.12
10
192.168.12.0
255.255.255.0
172.16.11.1
172.16.11.12
4
224.0.0.0
240.0.0.0
172.16.11.12
172.16.11.12
10
255.255.255.255 255.255.255.255
172.16.11.12
172.16.11.12
1
Passerelle par dfaut :
172.16.11.1
===========================================================================
Itinraires persistants : Aucun
C:\>
- 16 -
Faire dune station un couteur RIP permet de rsoudre le problme dune station connecte plusieurs
passerelles. La configuration IP de la station ne permet den dclarer quune seule. Le processus Ecouteur RIP
mettra profit les annonces des diffrentes passerelles pour complter judicieusement la table de routage de la
station.Ainsi,unpaquetmisparlastationetnondestinaurseaudontilestissu,estremislapasserellela
plusapproprie.Maisladministrateurpeutgalementsouhaiterquelerouteurnediffusepassesmisesjoursur
ces rseaux dextrmit. Une commande passive interface en configuration de routeur permet de raliser cet
objectif.Lasyntaxedecettecommandeestlasuivante:
passive-interface [default] interface-type interface-number
Largument default , optionnel, met lensemble des interfaces du routeur dans ltat passif. Cet argument est
utileauxfournisseursdaccsquiutilisentdesrouteursdedistributionpouvantcomprendreplusde200interfaces,
toutes ces interfaces devant tre dans ltat passif. La commande passiveinterface nest pas particulire au
protocoleRIP,lesautresprotocolesderoutageIPlaproposentgalement(EIGRP,OSPF...).
Attention, la commande passiveinterface ne concerne que la diffusion des messages RIP sur une interface. Les
mises jour reues sur cette interface continuent dtre exploites. Le rseau auquel linterface est directement
connectecontinuedtreannoncdanslesmessagesdiffusssurlesautresinterfacesdurouteur.
Appliqueaucasprsent:
R110(config)#router rip
R110(config-router)#passive-interface f0/0
R110(config-router)#^Z
R110#
UnecommandedebugipripsurR110ouunenouvellecaptureWiresharksurlelienF0/0deR110confirmentque
lesmisesjourdeR110nysontplusdiffuses.
3.Configurationavance
a.Misejourunicast
LesmisesjourRIPsontdiffuses.Celanenousdrangeenriensurlesliaisonsdetypepointpoint.Maisnous
sommes beaucoup plus rticents quand cette diffusion seffectue sur un lien de type rseau local. Dans notre
contexte de latelier 5, un lien LAN23 a t utilis pour relier R110 et R120, ce qui nous fournit un prtexte pour
explorer ce cas. La belle ouvrage consiste dsactiver les diffusions sur linterface F0/1 de chacun des routeurs
R110etR120puisutiliserlacommandeneighborafindefairedeR120unvoisindeR110etdeR110unvoisinde
R120.UnrouteurRIPmetsesmisesjourverssesvoisinsconnusenlesencapsulantdansdesdatagrammesIP
unicast.
R110
R110(config)#router rip
R110(config-router)#passive-interface F0/1
R110(config-router)#neighbor 172.16.23.12
R110(config-router)#^Z
R120
R120(config)#router rip
R120(config-router)#passive-interface F0/1
R120(config-router)#neighbor 172.16.23.11
R120(config-router)#^Z
R120#
Ilrestesassurerqueffectivementlesmisesjoursonttransportesdansdesdatagrammesunicast.Unecapture
Wiresharkauraitgalementpuconvenir.Avecunecommandedebugiprip:
R110#debug ip rip
RIP protocol debugging is on
00:02:26: RIP: received v1 update from 172.16.23.12 on FastEthernet0/1
00:02:26:
172.16.12.0 in 1 hops
00:02:26:
172.16.34.0 in 1 hops
00:02:26:
172.16.43.0 in 2 hops
00:02:26:
192.168.12.0 in 2 hops
00:02:38: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (172.16.32.11)
00:02:38: RIP: build update entries
- 17 -
00:02:38:
subnet 172.16.11.0 metric 1
00:02:38:
subnet 172.16.12.0 metric 2
00:02:38:
subnet 172.16.23.0 metric 1
00:02:38:
subnet 172.16.34.0 metric 2
00:02:38: RIP: sending v1 update to 172.16.23.12 via FastEthernet0/1 (172.16.23.11)
00:02:38: RIP: build update entries
00:02:38:
subnet 172.16.11.0 metric 1
00:02:38:
subnet 172.16.21.0 metric 2
00:02:38:
subnet 172.16.32.0 metric 1
00:02:38:
subnet 172.16.43.0 metric 2
00:02:47: RIP: received v1 update from 172.16.32.21 on Serial0/1
00:02:47:
172.16.21.0 in 1 hops
00:02:47:
172.16.34.0 in 2 hops
00:02:47:
172.16.43.0 in 1 hops
00:02:47:
192.168.12.0 in 2 hops
R110#
b.ManipulationdelamtriquedeRIP
Scnario : la connectivit doit absolument tre assure entre LAN12 et LAN21. Ladministrateur se propose
dajouterunliendesecoursentreR120etR210,lienquidevratreprisencompteparRIPmaisuniquementencas
dedfaillancedesroutesprexistantes.Lecontextedevientdonclesuivant:
LeproblmeestquelarudimentairemtriquedeRIPprivilgieralepassageparlaliaisonWAN33quinecoteque
1sautcontre2pourlesalternativesparR110etR220.Lasolutionatplaceicimaisellencessitelamiseen
uvredelistesdaccsquinesontabordesquedanslechapitreGestiondetraficparlistedaccs(ACL)decet
ouvrage. Deux solutions soffrent au lecteur : il cesse de lire en squence et aborde les listes daccs ou se
contentedunelecturerapidedelasolutionpuislaplaceenattente.
Lide consiste modifier la mtrique de RIP et pour ce faire, lIOS offre la commande offsetlist en mode de
configurationderouteur.Cettecommandepermetdemodifierauchoixunemtriqueannonce(ajouterunoffset
lavaleurquauraitannonceRIPpuisannoncerlamtriquefalsifie)ouunemtriquereue(ajouterunoffsetla
mtriquereueavantdedroulerlalgorithmeRIPetparsuiteplaceroupaslaroutedanslatablederoutage).La
commande peut tre affecte une interface ou lensemble des interfaces du routeur. Sa syntaxe est la
suivante:
offset-list {access-list-number | access-list-name} {in | out} offset [interfacetype interface-number]
Ilfautavoiraupralablecrunelistedaccsafindespcifierquellesroutesdoiventtreprisesencompteparla
commandeoffsetlist.
Dans le cas prsent, sur R120, ladministrateurdcidedeprovoquerlajout dun offset gal 2 sur les annonces
issuesdeR210viaS0/2quandellesconcernentlerseauLAN21.Puisdefaonsymtrique,surR210,provoquer
lajoutdunoffsetgal2surlesannoncesissuesdeR120viaS0/2quandellesconcernentlerseauLAN12:
- 18 -
tape1:crationdunelistedaccsstandardsurR120
laide dune commande accesslist. Le masque gnrique 0.0.0.0 spcifie que tous les bits de ladresse
spcifie172.16.21.0doiventcorrespondre:
Enmodeconfigurationderouteur:
R120(config)#router rip
R120(config-router)#offset-list 1 in 2 s0/2
R120(config-router)#^Z
R120#
tape3:crationdunelistedaccsstandardsurR210
laide dune commande accesslist. Le masque gnrique 0.0.0.0 spcifie que tous les bits de ladresse
spcifie172.16.12.0doiventcorrespondre:
Enmodeconfigurationderouteur:
R210(config)#router rip
R210(config-router)#offset-list 1 in 2 s0/2
R210(config-router)#exit
R210(config)#^Z
R210#
tape5:recettedelasolution
ObservezsurR120lesdeuxroutescotgalparR110etR220versLAN21.LalternativeparWAN33nestpas
danslatablecarsoncotestsuprieur(3).
- 19 -
R120#sh ip
Codes: C .........
ia - IS-IS
.........
Gateway of
R
R
C
C
R
C
C
R
R*
R120#
ObservezsurR210lesdeuxroutescotgalparR110etR220versLAN12.LalternativeparWAN33nestpas
danslatablecarsoncotestsuprieur(3).
R210#sh ip
Codes: C .........
ia - IS-IS
.........
Gateway of
C
C
C
R
C
R
R
R
R*
R210#
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
inter area, * - candidate default, U - per-user static route
last resort is 172.16.43.22 to network 0.0.0.0
Ladministrateurveutvrifierquelautomatismefonctionne.Pourcefaire,ilfaitpasserlesdeuxrouteursR110et
R220 ltat down (sous GNS3, effectuez un clic droit sur chacun des routeurs puis Suspendre). La route de
secoursviaWAN33apparatpresqueimmdiatementsurR210:
R
C
C
R
- 20 -
R
R
R210#
LetempsdeconvergenceestbeaucouppluslongsurR120.CecisexpliqueparlefaitqueR120estconnect
R110 par un lien LAN. Suspendre R110 nest pas suffisant pour que le lien LAN passe ltat down (le
commutateur reste actif). Il faut donc attendre lcoulement du temporisateur dinvalidation de la route vers
LAN21via172.16.23.11:
R120#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
C
R
C
C
R120#
c.Propagationdelaroutepardfaut
Pourlacirconstance,modifionsunpeunotrecontexte:
Le scnario est le suivant : sur R220, nous installerons une route par dfaut vers le routeur FAI puis nous
assureronsqueRIPpropageeffectivementcetterouteauxautresrouteursdelatopologie.
tape1:surR220,dsactiverlapriseencompteparRIPdurseau192.168.12.0
laidedunecommandenonetwork:
R220(config)#router rip
R220(config-router)#no network 192.168.12.0
R220(config-router)#^Z
R220#
tape2:surR220,activeruneroutepardfautverslerseau192.168.12.0
Uneroutepardfautstatiqueneconvientquesilonsouhaitetabliruneroutepardfautsurlerouteurlocal.Dans
le cas prsent, on souhaite voir se propager la route par dfaut sur les autres routeurs et cest la commandeip
defaultnetworkdjabordedanslechapitreLeroutagestatiquequifournitunesolution.Lasyntaxedecette
ENI Editions - All rigths reserved - Noba Mafiza
- 21 -
commandeestlasuivante:
ip default-network network-number
Modedeconfigurationglobale.
Si le routeur dispose dune interface directement connecte au rseau spcifi, le protocole de routage
dynamiqueactivsurlerouteurannonceuneroutepardfautsurlesautresinterfaces.DanslecasdeRIP,
laroutepardfautestsignifieparuneentredanslemessagedemisejourRIPdontladresseIPest
0.0.0.0.
Appliqueaucasprsent:
R220(config)#ip default-network ?
A.B.C.D IP address of default network
R220(config)#ip default-network 192.168.12.0
R220(config)#^Z
R220#
tape3:surR220,indiquerRIPdepropagerlaroutepardfaut
laidedelacommandedefaultinformationoriginateenmodedeconfigurationderouteur:
R220(config)#router rip
R220(config-router)#default-information ?
originate Distribute a default route
R220(config-router)#default-information originate
R220(config-router)#^Z
R220#
tape4:surFAI,activeruneroutestatiqueverslerseau172.16.0.0
laidedunecommandeiprouteenmodedeconfigurationglobale:
VrifionslactivitdeRIPsurR220afindeconstaterlannoncedelaroutepardfaut:
R220#debug ip rip
RIP protocol debugging is on
R220#
00:55:03: RIP: sending v1 update to 255.255.255.255 via Serial0/0 (172.16.43.22)
00:55:03: RIP: build update entries
00:55:03:
subnet 0.0.0.0 metric 1
00:55:03:
subnet 172.16.12.0 metric 2
00:55:03:
subnet 172.16.23.0 metric 2
00:55:03:
subnet 172.16.34.0 metric 1
00:55:03: RIP: sending v1 update to 255.255.255.255 via Serial0/1 (172.16.34.22)
00:55:03: RIP: build update entries
00:55:03:
subnet 0.0.0.0 metric 1
00:55:03:
subnet 172.16.21.0 metric 2
00:55:03:
subnet 172.16.32.0 metric 2
00:55:03:
subnet 172.16.43.0 metric 1
R220#
- 22 -
Ilrestevrifierlabonneinstallationdelaroutepardfautsurlesrouteurs:
R220#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
ia - IS-IS inter area, * - candidate default, U - per-user static route
.........
Gateway of last resort is not set
*
192.168.12.0/25 is subnetted, 1 subnets
C*
192.168.12.0 is directly connected, FastEthernet0/0
172.16.0.0/24 is subnetted, 7 subnets
C
172.16.43.0 is directly connected, Serial0/0
R
172.16.32.0 [120/1] via 172.16.43.21, 00:00:12, Serial0/0
C
172.16.34.0 is directly connected, Serial0/1
R
172.16.21.0 [120/1] via 172.16.43.21, 00:00:12, Serial0/0
R
172.16.23.0 [120/1] via 172.16.34.12, 00:00:01, Serial0/1
R
172.16.12.0 [120/1] via 172.16.34.12, 00:00:01, Serial0/1
R
172.16.11.0 [120/2] via 172.16.43.21, 00:00:12, Serial0/0
[120/2] via 172.16.34.12, 00:00:01, Serial0/1
R220#
SurR110:
R110#sh ip
Codes: C .........
ia - IS-IS
.........
Gateway of
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
inter area, * - candidate default, U - per-user static route
last resort is 172.16.23.12 to network 0.0.0.0
R
C
R
R
C
R
C
R*
R110#
4.Contrleetdpannage
RIP et sa configuration vous ont sembl simples. La mise en service et le dpannage ne prsentent pas plus de
difficults. Quand des erreurs surviennent, elles sont la plupart du temps dues au nonrespect des contraintes
imposesparleprotocole:
lintrieurdunrseaumajeur,lesprfixesaffectsdoiventtreidentiquessurlensembledudomaineRIP.
Unrouteurquiannonceunrseaumajeurdoittrelarouteuniqueverscerseau.Cecicontraintmaintenir
lacontigutentrelessousrseauxdunmmerseaumajeur.
Donc,sidesroutesmanquentousidesroutessontincohrentes,rexaminezavecattentionvotreplandadressage
etvotredcoupageensousrseaux.
5.Rsum
- 23 -
a.Lescaractristiquesretenir
LesmisesjourdeRIPsonttotales,priodiquesetdiffuses.
LamtriquedeRIPestlenombredesauts.Unrseaudirectementconnectestannoncavecuncotde1.
Uncotde16caractriseunrseauinjoignable.
Enfixantlinfini16,RIPfixegalementlenombredesautsmaximaletdoncltenduedurseau15.
Le partage dhorizon avec empoisonnement est destin prvenir la formation de boucles de routage. Il
consiste ne pas retransmettre (version simple) ou retransmettre avec un cot de 16 (version
empoisonnement)suruneinterfacelesroutesapprisesparcetteinterface.
Lesmisesjourdclenchessontledispositifprvuparleprotocolepouracclrerlaconvergence.
LefonctionnementdeRIPesttroitementlilentretiendeplusieurstemporisateurs:
Letemporisateurdemisejourrglelapriodequisparedeuxmissionsrguliresdemises
jour.
RIP associe chaque route une instance de temporisateur dinvalidation (180 secondes). Sans
nouvelle de la route en question depuis le temps dinvalidation, la route est marque injoignable
danslatablederoutage.
RIP associe chaque route une instance de temporisateur deffacement (240 secondes). Sans
nouvelledelaroutedepuiscetemps,larouteestsupprimedelatablederoutage.Ladiffrence
entreletemporisateurdinvalidationetletemporisateurdeffacement(plusgrand)sexpliqueparla
volont dannoncer la route comme tant injoignable pendant 60 secondes ce qui acclre la
convergence.
Limplmentation CISCO ajoute ces trois temporisateurs du standard, le temporisateur de
retenue. Chaque fois quun routeur reoit une mise jour dans laquelle le cot dune route dj
connue augmente, le routeur arme ce temporisateur et refuse toute mise jour pour cette route
tantqueletemporisateurnapasexpir.
Les annonces de routes ne comportent pas linformation de masque ce qui aboutit un
comportementditavecclasse.
b.Lescommandesretenir
Commande
- 24 -
Mode
Description
routerrip
Configuration
globale
ActiveleprocessusRIP.
network@IP_rseau_majeur
Configurationde
routeur
IndiqueauprocessusRIPquecerseaumajeur
doittreprisencompte.
neighbor@IP_voisin
Configurationde
routeur
Activelenvoidemisesjourunicastversce
voisin.
passiveinterfaceinterface
typeinterfacenumber
Configurationde
routeur
Cesselenvoidemisesjoursurlinterface
spcifie.
showiprouterip
Modeutilisateur
AffichelensembledesroutesissuesdeRIP.
showipprotocols
Modeutilisateur
Affichelesparamtresetltatactueldu
protocolederoutageactivsurlerouteur.
debugiprip
Modeprivilgi
Afficheentempsrelletraficdacheminement
RIP.
offsetlist{accesslistnumber|
accesslistname}{in|out}offset
[interfacetypeinterfacenumber]
Configuration
globale
Ajouteouretrancheunoffsetlamtrique
recueouannoncedunerouteconformeaux
critresdunelistedaccs.
timersbasicupdateinvalidholddown
flush
Configurationde
routeur
Ajustelesvaleursinitialesdestemporisateurs.
outputdelaydelay
Configurationde
routeur
Introduitunespacedetempsminimalde850
millisecondesentredeuxmissionsdemises
jourRIP,utilepourquunrouteurlentpuisse
saccommoderdesmisesjourissuesdun
routeurpuissant.
6.Atelier:MiseenuvreduneconfigurationRIP
Vousvoilpromuadministrateurdurseauobjetdelamiseensituationprcdente.Vousremarquezqueleliende
secoursWAN33estuneressourcedormanteetsouhaiteztablirunpartagedechargecotgalsurtroisroutes
entreLAN12etLAN21.Lestroisroutessontconstituesdesdeuxroutesexistantesauxquellesdevraitsadditionner
larouteparWAN33.
ModifiezlaconfigurationdeR120etdeR210enconsquence,sansremettreencauselechoixduprotocoleRIP.
UnesolutionestproposeauchapitreAteliersetexercicescorrigs.
- 25 -
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Lesrouteursdecettetopologiemettenttousen uvreRIP.CombiendemisesjourRIPsontncessaires
avantquechacundesrouteursconnaissetouslesrseaux?
2 QuelprotocoledetransportetquelportutiliseRIP?
3 QuelleestlutilitduchampTTL(Timetolive)delentteIP?
4 QuellemtriqueleprotocoleRIPconsidretilcommeinfinie?
5 CitezdeuxmcanismesdeRIPdontlobjetestdeprvenirlaformationdebouclesderoutage.
6 Tentezdedfinirunebouclederoutage.
7 QuelleestlutilitdelavariableRIP_JITTERdeCisco?
8 Tentezdersumerlargledepartagedhorizonenunephrase.
9 QuelleestlutilitdutemporisateurgarbagecollectiontimerdeRIP?
10 ObservezlatopologiecidessouspuislatablederoutagedurouteurR110h.Quevousinspirecettetablede
routageetnotammentlespartiesengras?
LatablederoutagedeR110h:
R110h#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
- 1-
14 Observezlextraitdetablederoutagecidessous.QuellecommandeatsaisiesurR120gpourconfigurerla
passerellededernierrecours?
R120g#sh ip route
.........
Gateway of last resort is 10.0.1.230 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C
10.0.1.192/27 is directly connected, FastEthernet0/0
C
10.0.1.228/30 is directly connected, Serial0/1
S*
0.0.0.0/0 [1/0] via 10.0.1.230
R120g#
15 QueltraitdecomportementdeRIPdanscetteversion1estilunanimementconsidrcommeunelimitedu
protocole?
16 CommentRIPprvientillestemptesdemisesjourdclenches?
- 2-
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/16
Pourcechapitre,votrescoreminimumdoittrede12sur16.
3.Rponses
1 Lesrouteursdecettetopologiemettenttousen uvreRIP.CombiendemisesjourRIPsontncessairesavantque
chacundesrouteursconnaissetouslesrseaux?
Troismaissitouslesrouteursontdmarrensemble,cecidevraitdemander60secondescarlapremiremisejourest
miseimmdiatement(reliresincessairelasectionLeroutageparlarumeur).
2 QuelprotocoledetransportetquelportutiliseRIP?
RIPsappuiesurUDP.UnmessageRIPesttransportparundatagrammeUDPdontlesdeuxportssourceetdestination
sont520(reliresincessairelasectionLeprotocole,messageschangs).
3 QuelleestlutilitduchampTTL(Timetolive)delentteIP?
Sur8bits,duredeviedudatagrammedanslerseauexprimeensecondes.Chaquerouteurquifaittransiterlepaquet
dcrmenteladuredeviedaumoins1quelquesoitletempsinfrieur1passdanslerouteur.Enpratique,cechamp
estdoncpluttconsidrercommeunnombredesautsmaximumquilimitelaportedupaquetmaissurtoutquipermet
dliminerundatagrammequierreraitdanslerseausansjamaisatteindresondestinataire(bouclederoutage)(relire
sincessairelechapitreLeprotocoleIPdelouvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertifications
auxEditionsENI).
4 QuellemtriqueleprotocoleRIPconsidretilcommeinfinie?
Unerouteinjoignableestsignifieparunemtriquede16(reliresincessairelasectionLecomptagelinfini).
5 CitezdeuxmcanismesdeRIPdontlobjetestdeprvenirlaformationdebouclesderoutage.
Lepartagedhorizon
Lempoisonnementderoutesinverses.
(ReliresincessairelasectionLeprotocole,messageschangs.)
6 Tentezdedfinirunebouclederoutage.
Unebouclederoutageestconstituelorsquunesuccessionderoutessurunesuccessionderouteursformeuneboucle.Un
paquetquientredanscetteboucletourneindfinimentsansjamaisatteindresondestinataire,cejusqupuisement
desonTTL(reliresincessairelasectionPrventiondesbouclesderoutage).
7 QuelleestlutilitdelavariableRIP_JITTERdeCisco?
PrvenirlescollisionsdemisesjourRIP(reliresincessairelasectionCollisiondemisesjour).
- 3-
8 Tentezdersumerlargledepartagedhorizonenunephrase.
Nepasretransmettreversunesourcelesinformationsacquisesdepuiscettesource(reliresincessairelasectionPartage
delhorizon).
9 QuelleestlutilitdutemporisateurgarbagecollectiontimerdeRIP?
Cestletemporisateurchargdeleffacementderoutespourlesquellesonestsansnouvelles.Lavaleurpardfautdece
temporisateur est tablie 240 secondes, soit 60 secondes audel du temporisateur dinvalidation. Pendant ces 60
secondes, la route est marque injoignable mais reste dans la table. Elle est donc annonce avec la mtrique injoignable
(16)danslesmisesjourderoutagependantces60secondes.lexpirationdutemporisateurdeffacement,larouteest
effacedelatablederoutage(reliresincessairelasectionLestemporisateursdeRIP).
10 ObservezlatopologiecidessouspuislatablederoutagedurouteurR110h.Quevousinspirecettetablederoutage
etnotammentlespartiesengras?
LatablederoutagedeR110h:
R110h#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is 10.0.1.98 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C
10.0.1.0/27 is directly connected, FastEthernet0/0
C
10.0.1.96/30 is directly connected, Serial0/0
R
10.0.1.192/27 [120/2] via 10.0.1.98, 00:00:09, Serial0/0
R
10.0.1.228/30 [120/1] via 10.0.1.98, 00:00:09, Serial0/0
R*
0.0.0.0/0 [120/1] via 10.0.1.98, 00:00:09, Serial0/0
R110h#
Lacommandedefault informationoriginateatentresurlerouteurR80hdefaoncequeRIPpropagelaroutepar
dfautdontildisposeversFAIh(reliresincessairelasectionPropagationdelaroutepardfaut).
11 Observez lextrait de table de routage cidessous. Ladministrateur constate que la route vers 172.16.12.0 est en
ralitinactive.CombiendetempsfaudratilencoreattendrepourqueRouter2marquecetterouteinjoignableenlui
attribuantlamtrique16?
Router2#show ip route 172.16.12.0
Routing entry for 172.16.12.0/24
Known via "rip", distance 120, metric 2
- 4-
Quatre routes : deux routes directement connectes 192.160.11.0 et 192.168.19.0, une route vers le rseau majeur
192.168.8.0 au cot de 1 et une route vers le rseau majeur 10.0.0.0 au cot de 1. R80 est le routeur de bordure du
rseaumajeur10.0.0.0quiestannoncdanssonentier(reliresincessairelasectionComportementavecclasse).
14 Observez lextrait de table de routage cidessous. Quelle commande a t saisie sur R120g pour configurer la
passerellededernierrecours?
R120g#sh ip route
.........
Gateway of last resort is 10.0.1.230 to network 0.0.0.0
10.0.0.0/8 isvariablysubnetted, 2 subnets, 2 masks
C
10.0.1.192/27 isdirectlyconnected, FastEthernet0/0
C
10.0.1.228/30 isdirectlyconnected, Serial0/1
S*
0.0.0.0/0 [1/0] via 10.0.1.230
R120g#
LacommandeestcellepermettantlajoutduneroutestatiqueetRIPnyestdoncpourrien:
R120g(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230
(ReliresincessairelechapitreLeroutagestatiqueRoutespardfaut.)
15 Quel trait de comportement de RIP dans cette version 1 estil unanimement considr comme une limite du
protocole?
LefaitquelesmisesjourdeRIPnecomportentpaslinformationdemasque(reliresincessairelasectionComportement
avecclasse).
ENI Editions - All rigths reserved - Noba Mafiza
- 5-
16 CommentRIPprvientillestemptesdemisesjourdclenches?
Unrouteurquiperoitunchangementdecotsuitelarceptiondunemisejourdclenchediffresapropremission
demisesjourdclenchesduntempsalatoirecomprisentre1et5secondes,ceafindviterquelvnementdedpart
(le changement de topologie) ne se transforme en tempte de mises jour (relire si ncessaire la section Les
temporisateursdeRIP).
- 6-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde
basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
ComparerladressageIPparclasseetsansclasse.
Dcrirelescomportementsderoutageparclasseetsansclassedansdesrseauxrouts.
Concevoiretmettreen uvreunschmadadressageIPsansclassepourunrseaudonn.
- 1-
Adressageavecclasse,rappel
En septembre 1981, est publi le RFC790 qui entrine la cration de trois classes dadresses A, B et C. Le procd
retenutentedesatisfairetoutlemondepuisquilpermetlacoexistencededcoupages(splits)diffrents.Lacration
desclassesDetEnestintervenuequeplustard.Cesystmedeclassesaperdurjusqulafindesannes1990.
Pourquoi tudier un systme obsolte aujourdhui ? Parce que son importance fut telle sur les dveloppements
dInternet quinvitablement, on rencontre de faon rgulire des rfrences aux classes. Les nouvelles versions du
cursusCCNAnommentladressageavecclasses:adressagehrit.
1.AdressesdeclasseA
126rseauxpossibles:
PremireadressedeclasseA:1.0.0.1
DernireadressedeclasseA:126.255.255.254
Masquenaturel:255.0.0.0
Lesadressesrseau0et127sontrserves.
Identificateurshtesparticuliers:
Uneadresse0.0.0neconstituepasunidentificateurdestationvalide.
255.255.255estutilispourlebroadcast(diffusion)surtouteslesmachinesdurseau@Rseau.
Enfinal,unrseaudeclasseApeutcomprendre224 2=16777214adresses.
Les adresses de classe A sont dfinies sur 31 bits (32 bits dont 1 bit impos) et consomment donc la moiti de
lespace dadressage IP (environ 2 milliards dadresses). Ctait un paradoxe du mcanisme adopt alors, les
adressesrseaudeclasseAtantlesplusdifficilesattribuer(ilnyenaque126).
2.AdressesdeclasseB
16384rseauxpossibles:
PremireadressedeclasseB:128.0.0.1
- 1-
DernireadressedeclasseB:191.255.255.254
Masquenaturel:255.255.0.0
Uneadresse0.0neconstituepasunidentificateurdestationvalide.
255.255estutilispourlebroadcast(diffusion)surtouteslesmachinesdurseau@Rseau.
Enfinal,unrseaudeclasseBpeutcomprendre216 2=65534adresses.
LesadressesdeclasseBsontdfiniessur30bits(32bitsdont2imposs)etconsommentdonclamoitidelespace
nondjconsommparlesadressesdeclasseA,soitenviron1milliarddadresses.
3.AdressesdeclasseC
2097152rseauxpossibles:
PremireadressedeclasseC:192.0.0.1
DernireadressedeclasseC:223.255.255.254
Masquepardfaut:255.255.255.0
Identificateurshtesparticuliers:
Uneadresse0neconstituepasunidentificateurdestationvalide.
255estutilispourlebroadcast(diffusion)surtouteslesmachinesdurseau@Rseau.
Enfinal,unrseaudeclasseCpeutcomprendre2 24 2=254adresses.
LesadressesdeclasseCsontdfiniessur29bits(32bitsdont3imposs)etconsommentdonclamoitidelespace
non dj consomm par les adresses de classe A et de classe B, soit environ 500 millions dadresses. Ainsi, les
adresseslesplusfacilesattribuertaienthlaslesmoinsnombreuses.
4.AdressesdeclasseDetE
Les adresses de classe D sont utilises pour identifier des groupes de machines et permettre des communications
multicast (traduisible par multi diffusion). Un paquet multicast est un paquet destin plusieurs machines (le
broadcastlui,estdestintouteslesmachinesdunrseau).LesadressesdeclasseDcommenantparlasquence
debits1110,lepremieroctetduneadressedeclasseDestcomprisentre224et239.
UneadressedeclasseDesttoujoursuneadressededestination
Exemple:
OSPF(OpenShortestPathFirst)estlundesprotocolesderoutagetudisdanscetouvrage.Dansunrseaumettant
en uvredesrouteurs,ilestpossibledejoindrelensembledesrouteursOSPFenenvoyantunpaquetladresse
dedestination224.0.0.5.
Toujoursenapproximant,surles4milliardsdadressesIPpossibles,lesclassesA,BetCreprsentent3.5milliards,
lesclassesDetEreprsententchacune250millions.
- 2-
5.Calculeruneclassedadresses
Ladministrateur rseau devrait retenir les valeurs frontires du premier octet de faon pouvoir identifier
immdiatement quelle classe appartient une adresse IP et par suite dduire quel est le masque naturel
correspondant:
6.ClassesdadressesetRFC
Les numros assigns utiliss par la pile de protocoles TCP/IP ont fait lobjet de publications rgulires partir du
RFC349 datant de mai 1972 jusqu lultime RFC1700 datant doctobre 1994. Parmi ces RFC, le RFC790, publi en
septembre1981,dfinitlesclassesA,BetC.LesadressesaudeldesclassesA,BetC,cestdirepartirdela
valeur224(1e roctet),sontsimplementrserves.LeRFC1700mentionneles5classesAE.
partir de 1994, les mises jour trop frquentes des numros dInternet obligent lIANA crer une base de
donnesenlignequipermettralapublicationdesnumrosjourentempsrel,baseconsultablesurwww.iana.org.
LeRFC3232entrinecefonctionnementenjanvier2002,rendantobsolteleRFC1700.
- 3-
Structurationparsousrseaux
RFCutiles:
RFC950InternetstandardSubnettingProcedureAot1985
Internet sest trouv un temps menac par la pnurie dadresses. Le rseau n dans les annes 1980 tait alors
confidentiel, lespace dadressage paraissait plus que suffisant et on a sans doute lpoque distribu les blocs
dadresses avec un peu de lgret. Le systme de classes contribuait au gaspillage, les besoins des entreprises
tantsouventsuprieursceuxpouvanttresatisfaitsparlaclasseCsanstoutefoisjustifierlattributiondadresses
de classe B. Ladressage par classes est devenu tout fait inadapt mais il fallait pourtant tenter de prserver les
attributionsdjralises.
Une partie de solution a t adopte en 1985 en proposant la possibilit de structurer lespace dadressage dun
rseaudeclasseA,BouC:
Lideconsisteemprunterunnombredebitsdfinirdansladressehteafindenfaireuneadressedesous
rseau:
1 bit emprunt permet de dfinir deux sousrseaux et donc de diviser lespace de dpart en deux parties
gales.
2bitsempruntspermettentdedfinir4sousrseaux(casdelillustration).
3bitsempruntspermettentdedfinir8sousrseauxetainsidesuite.
Vu de lextrieur, ladresse du rseau est toujours valide, un datagramme destin lune des machines de lun
quelconquedessousrseauxesttoujourstransportparlInternetenmettantprofitladresserseau,ilnyadonc
pasdimpactsurlInternetmondial.
linterne par contre, il devient possible pour lentreprise de mieux structurer son espace dadressage et cela peut
contribuer viter des demandes de blocs dadresses supplmentaires dont lobjet ne serait pas de pourvoir un
besoindadressesmaisbiendepermettrecettestructuration.
Cestladministrateurquilrevientdefixerlafrontireentreladressesousrseauetladressehteselonlesbesoins
delentreprise,chaquebitempruntsupplmentairemultipliepar2lenombredesousrseauxetdivisepardeuxle
nombrepotentieldemachineslintrieur dunsousrseau. Les critres sont au choix, soit le nombre de machines
quilluifautatteindredanschaquesousrseau,soitlenombredesousrseauxquilluifautconstituer.
1.DcouperuneadressedeclasseC
- 1-
LouvrageNotiondebasesurlesrseauxavaitproposunemthodebinairepourraliserledcoupageensous
rseaux.Faisonsunpeudiffrentcettefoisenproposantunemthodededcoupagerapide.
Nous disposons des 8 bits de poids faible de ladresse IP, le tableau suivant inventorie les masques thoriques
possibles:
B8 B7 B6 B5 B4 B3 B2 B1
Poids
128 64 32 16 8
Masque
rsultant(4e
octet)
Nombre
despaces
rsultants
Taillede
chaque
espace
AdressesIP
potentielles
Exclu
128
128
126
Permis
192
64
62
Permis
224
32
30
Permis
240
16
16
14
Permis
248
32
Permis
252
64
Exclu
254
128
LeRFCinterdituneadressedesousrseaudonttouslesbitssont0carilseraitimpossiblededistinguerladresse
desousrseaudeladresserseau.Exemple:ladministrateursouhaitestructurerladressedeclasseC192.168.1.0
aveclemasque255.255.255.192.Lesquatreadressesdesousrseaupotentiellessont192.168.1.0,192.168.1.64,
192.168.1.128et192.168.1.192.Maislapremiredecesquatreadressesnesedistinguepasdeladresserseau
originale.
De la mme faon, le RFC interdit une adresse de sousrseau dont tous les bits sont 1 car cette fois, cest
ladresse de diffusion du sousrseau quil est impossible de distinguer de ladresse de diffusion du rseau. En
conservant le mme exemple, ladresse de diffusion du sousrseau 192.168.1.192 est 192.168.1.255, soit
galementladressedediffusiondurseau.
Ilestpossibledersumerdefaonsimplecesdeuxrestrictions:lorsdundcoupageensousrseaux,lepremieret
le dernier sousrseaursultantsdudcoupagesontinterdits.Autreconsquence,lemasquedesousrseau128
estdefaitimpossibleutiliserpuisquilnecrequedeuxsousrseaux.Nousverronsunpeuplustardquecesdeux
restrictionsnontpluscourslheuredudcoupageVLSM.
Dernier point mais non le moindre : dans lespace cr par un sousrseau, ladresse hte 0 (tous les bits de
ladresse hte zro) est utilise pour dsigner le sousrseau. Ladresse hte dont tous les bits sont 1 est
ladressedediffusiondusousrseau.Laconsquenceestquedansunespacedexadresses,lesadressesutiles,
cestdirecellesquiserontaffectesdeshtes,nesontquex2.Cestlaraisonpourlaquellelemasque254est
exclu.
Traitonsdeuxexemplespourseconvaincredelafacilitdelachose:
Exemple1:255.255.255.192(/26)
Il sagit de dcouper ladresse de classe C 192.168.1.0 avec le masque de sousrseau 255.255.255.192.
Astreignonsnousfixerlecadreenrpondantsystmatiquementcesquelquesquestions:
- 2-
Combien de sousrseaux possibles ? Le masque de sousrseau comporte deux bits, la rponse est 2 2
ENI Editions - All rigths reserved - Noba Mafiza
2 = 2.
Combiendhtesparsousrseau?Ladressehtecomporte6bits,larponseest2 6 2=62.
Quelssontlessousrseauxvalides?Cesticiquilestpossibledegagnerdutemps.Enremarquantquela
tailledunespacersultantdudcoupageestdonnepar256masque=256192=64.Ilsetrouveque
cest aussi le pas dincrmentation dans les sousrseaux. Les espaces rsultants sont 0, 64, 128 et 192
mais,pourlesraisonsprcdemmentvoques,lesseulssousrseauxvalidessont64et128.
Quellessontlesadressesdediffusiondechaquesousrseau?Pourchaquesousrseau,cestladernire
adresse de lespace considr, cestdire ladresse qui prcde immdiatement ladresse de sousrseau
suivant.Exemple:lesousrseau128suitlesousrseau64.Ladressedediffusiondurseau64estdonc
127quiprcdeimmdiatement128.Delammefaon,ladressedediffusiondusousrseau128est191.
Quelles sont les adresses htes valides ? Pour chaque sousrseau, ce sont les adresses comprises entre
ladressedusousrseauetladressedediffusion.
Untableaudevraitencoreclarifierlamthode:
Exemple2:255.255.255.240(/28)
Il sagit de dcouper ladresse de classe C 192.168.1.0 avec le masque de sousrseau 255.255.255.240.
Astreignonsnousfixerlecadreenrpondantsystmatiquementcesquelquesquestions:
Combiendesousrseauxpossibles?Lemasquedesousrseaucomportequatrebits,larponseest2 4
2 = 14.
Combiendhtesparsousrseau?Ladressehtecomporte4bits,larponseest2 4 2=14.
Quels sont les sousrseaux valides ? La taille dun espace rsultant du dcoupage est donne par 256
masque = 256 240 = 16. Les espaces rsultants sont 0, 16,32, 48, 64, 80, 96, 112, 128, 144, 160, 176,
192,208,224et240,pourlesraisonsprcdemmentvoques,ilfautexclurelessousrseaux0et240.
Quellessontlesadressesdediffusiondechaquesousrseau?Pourchaquesousrseau,cestladernire
adresse de lespace considr, cestdire ladresse qui prcde immdiatement ladresse de sousrseau
suivant.Exemple:lesousrseau128suitlesousrseau112.Ladressedediffusiondurseau112estdonc
127quiprcdeimmdiatement128.Delammefaon,ladressedediffusiondusousrseau128est143.
Quelles sont les adresses htes valides ? Pour chaque sousrseau, ce sont les adresses comprises entre
ladressedusousrseauetladressedediffusion.
Letableausuivantsynthtiselesrsultats:
- 3-
a.Lacommandeipsubnetzero
Lacommandeipsubnetzeroenmodedeconfigurationglobalepermetdepasseroutrelarglequiinterdisaitles
adresses de sousrseau exclusivement composes de 0. Et cette commande est entre par dfaut depuis la
version 12 de lIOS. Puisque lIOS tolre galement que ladministrateur utilise une adresse de sousrseau
exclusivement compose de 1, on regagne ainsi les deux sousrseaux placs aux deux extrmits de lespace
dcoup.Autreconsquence,lemasque255.255.255.128estnouveauvalide.
b.Lesubnettingmental
Il est admis aujourdhui que conserver une activit cognitive simple pourrait diviser par 2 le risque de maladie
dAlzheimer. Apportons notre pierre ldifice en tentant dexprimer mentalement quel sousrseau appartient
uneadresseIPquelconque.
Exemple1:192.168.1.71,masque255.255.255.224
Latailledunespacersultantdudcoupageest256masque=256224=32.Lesespacesrsultantssont0,32,
64, 96, 128, 160, 192 et 224. Ladresse 71 est comprise entre 64 et 96. On dduit que le sousrseau est
192.168.1.64.
Exemple2:192.168.1.45,masque255.255.255.248
La taille dun espace rsultant du dcoupage est 256 masque = 256 248 = 8. Incrmentons les espaces
rsultantsjusquencadrerladresseIP:0,8,16,24,32,40,48...Ladresse45estcompriseentre40et48.On
dduitquelesousrseauest192.168.1.40.
2.DcouperuneadressedeclasseB
En disposant des 16 bits de poids faible de ladresse IP, les masques possibles sont videmment beaucoup plus
nombreux:
- 4-
255.255.128.0
/17
255.255.255.0
/24
255.255.192.0
/18
255.255.255.128
/25
255.255.224.0
/19
255.255.255.192
/26
255.255.240.0
/20
255.255.255.224
/27
255.255.248.0
/21
255.255.255.240
/28
255.255.252.0
/22
255.255.255.248
/29
255.255.254.0
/23
255.255.255.252
/30
Exemple1:255.255.192.0(/18)
IlsagitdedcouperladressedeclasseB172.16.0.0aveclemasquedesousrseau255.255.192.0.
Combien de sousrseaux possibles ? Le masque de sousrseau comporte deux bits, la rponse est 2 2
2 = 2.
Combiendhtesparsousrseau?Ladressehtecomporte14bits,larponseest2 14 2 = 16 382.
Quels sont les sousrseaux valides ? La taille dun espace rsultant du dcoupage est donne par 256
masque = 256 192 = 64. Attention, on parle ici du 3e octet. Il se trouve que cest aussi le pas
dincrmentationdanslessousrseaux.Lesespacesrsultantssont0,64,128et192dontoncarteraou
paslessousrseaux0et192.
Quellessontlesadressesdediffusiondechaquesousrseau?
Quellessontlesadresseshtesvalides?
Untableaudevraitclarifierlamthode:
Par rapport au dcoupage dun rseau de classe C, il a fallu ajouter le 4 e octet, 0 quand il sagissait dexprimer
ladresserseau,255quandilsagissaitdexprimerladressedediffusion.
Exemple2:255.255.255.128(/25)
IlsagitdedcouperladressedeclasseB172.16.0.0aveclemasquedesousrseau255.255.255.128.
Combien de sousrseaux possibles ? Le masque de sousrseau comporte neuf bits, la rponse est 2 9
2 = 510.
Combiendhtesparsousrseau?Ladressehtecomporte7bits,larponseest2 7 2 = 126.
Quels sont les sousrseaux valides ? La taille dun espace rsultant du dcoupage est donne par 256
masque = 256 255 = 1dansle3e octet et par 256 masque = 256 128 = 128 dans le 4e octet.Lepas
dincrmentationrsultantest0.128.Lesespacesrsultantssont0.0,0.128,1.0,1.128,2.0,2.128donton
carteraoupaslessousrseaux0.0et255.128.
- 5-
Quellessontlesadressesdediffusiondechaquesousrseau?
Quellessontlesadresseshtesvalides?
Letableausuivantsynthtiseunepartiedesrsultats:
- 6-
Ladressagesansclasse
1.MasquedelongueurvariableVLSM
RFCutiles:
RFC1812RequirementsforIPVersion4RoutersJuin1995
Dansledcoupagedunrseauavecclasse,nousavonsobservquiltaitpossibledefragmenterlerseauinitialde
la faon la plus grossire la faon la plus fine. Hlas, la volont dpouser au mieux les besoins de structuration
duneorganisationseheurtelacontrainteimposeparlemasquefixe.
Danslemmetemps,ilfautsesouvenirque,vudelextrieur,laroutequimneverscetensembledesousrseaux
ntait pas modifie par lopration de dcoupage. La route devient une superroute vers un ensemble de
rseaux!Oncomprendlintrtdecetterouteagrgesurlevolumedestablesderoutage.
Enadoptant,VLSM(VariableLengthSubnetMask),lastructurationensousrseauxprenduneautredimension.Ilsagit
toujoursdundcoupageensousrseauxmaisavecunmasquedelongueurvariable.Lalongueurdeprfixeadopte
doit se maintenir entre la longueur initiale + 1 et la longueur maximale soit /30. Les avantages sont au nombre de
deux:
Il devient possible de crer des sousrseaux dont le nombre dadresses htes colle au plus prs du
besoin dadresses du sousrseau considr. Le cas le plus vident est celui des liens point point entre
routeursquincessitentdeuxadressesetquiladministrateurpourraaffecterunsousrseau/30.
En structurant le rseau de faon judicieuse, lagrgation dadresses est favorise avec des avantages
dterminantssurlevolumedestablesderoutage,laconsommationderessourcesmachine(tempspass
lire la table de routage, encombrement de la table de routage en mmoire vive) ainsi que sur la bande
passanteconsommeparletraficdacheminement.Ilfautentendrepartraficdacheminementlecontrairedu
trafic utile. Le trafic dacheminement ne transporte pas les donnes utilisateur mais des informations de
topologiechangesentreprocessusderoutage.
tudions un cas concret afin de mesurer la porte dune telle dcision. Ladministrateur de lentreprise Primrose a
ngoci un prfixe suffisant pour attribuer des adresses un parc denviron 150 machines et a obtenu le prfixe
172.16.0.0/24.Celasignifiequildisposede8bitspourlespacedadressagedesonentreprise.8bitsreprsente2 8
2 = 254adressespotentiellesavantstructuration.
LentreprisePrimroseavantstructurationdelespacedadressage:
- 1-
masquespossiblesde/25/30.Biensr,unrseaudegrandetaillenepourraitpastrereprsentparunseulde
cestableaux.Unpeulafaondescartesroutiresquiexistentdiffrenteschelles,ladministrateurquiaurait
grer de grands espaces dadresses devrait sans doute construire un tableau gnral puis des tableaux
intermdiairesquidtailleraientdespartiesduprfixeinitial.Dansnotrecas,voiciunesuggestiondeprsentationde
ce tableau, prsentation que nous avons dj utilise plusieurs reprises dans louvrage prcdent ou dans le
chapitre Le routage statique de cet ouvrage. Pour mmoire, nous avions nomm tableau VLSM dichotomique ce
tableau car les espaces dadresses dune colonne (une longueur de prfixe) sont obtenus en divisant par deux les
espacesdelacolonneimmdiatementdroite(longueurdeprfixeimmdiatementinfrieure).
LadministrateurobservequelerouteurAestreliaurestedurseauparunestructureentoiletroisbranches,
Est,OuestetSud.
Dun point de vue agrgation, il serait bon que toutes les routes vers les diffrents sousrseaux contenus
danslazoneOuestparexemplepuissenttreagrgesenuneseuleroute:
Le plus grand besoin satisfaire est celui du rseau LAN_C, ladministrateur lui affecte le prfixe
172.16.0.0/26.
LesdeuxrseauxLAN_E1etLAN_E2sevoientaffecterlesprfixes172.16.0.64/28et172.16.0.80/28.
Ainsi,ilestpossibledannonceruneseulerouteagrge172.16.0.64/27versLAN_E1etLAN_E2viale
routeurE.
LadministrateuraffecteaulienserialWAN_CE,leprfixe172.16.0.96/30.
ToutelazoneOuestpeuttreannoncecommeuneseuleroute172.16.0.0/25vialerouteurC,lacondition
denepasavoirattribuerlesespacesrestantsailleursdanslerseau.Ladministrateurdoitprivilgierune
assignationtopologiquecarcestellequirendpossiblelagrgation.Maisilpeuttrecontraintdabandonner
partiellementcetobjectifsilmanquedadresses.
Secondepartiedutableau:
- 2-
LadministrateurtentedappliquerlesmmesprincipessurlapartieEst:
LesbesoinsdurseauLAN_Dsontcouvertsparleprfixe172.16.0.128/27.
LAN_F1sevoitaffecter172.16.0.160/28.
LAN_F2 se voit affecter 172.16.0.176/29. La situation est un peu moins favorable que pour la partie
OuestcarpouragrgerLAN_F1etLAN_F2,ilfaudraitpuiserailleurslesadressesncessairesaulien
serialWAN_DF.Ladministrateurrenoncecettepossibilit.
En revanche, toute la zone Est peut tre annonce comme une seule route 172.16.0.128/26 via le
routeurD,laconditionqueleprfixeencoredisponible172.16.0.188/30restedanslapartieEst.
IlresteaffecterdesadresseslapartieSud:
LesbesoinsdeLAN_B1sontcouvertsparlattributionduprfixe172.16.0.192/28.
LesbesoinsdeLAN_B2sontcouvertsparlattributionduprfixe172.16.0.208/28.
ToutelazoneSudpeuttreannoncecommeuneseuleroute172.16.0.192/27vialerouteurB.
Les liens serial WAN_AB, WAN_AC et WAN_AD se voient attribuer respectivement les prfixes
172.16.0.244/30,172.16.0.248/30et172.16.0.252/30.
Imaginonslesconsquencessurleroutage:
Unrouteurextrieurlentreprisenabesoinqueduneseuleroutevers172.16.0.0/24pourfaireprogresser
desdatagrammesversdesadressesdelentreprise.
Danslentreprise:
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
Un routeur extrieur au site Ouest na besoin que de la route vers 172.16.0.0/25 pour faire progresser les
datagrammesversdesadressesdecesite.
Un routeur extrieur au site Sud na besoin que de la route vers 172.16.0.192/27 pour faire progresser les
datagrammesversdesadressesdecesite.
Un routeur extrieur au site Est na besoin que de la route vers 172.16.0.128/26 pour faire progresser les
datagrammesversdesadressesdecesite.
Lepointdedparttaitunprfixe/24.Ledcoupagemaximalfournitdesprfixes/30.Unefoisletableauconstruit,la
mthode a consist puiser les prfixes afin de satisfaire de la faon la plus prcise les besoins dadresses et de
structuration.Ladministrateurpeutaussidciderdedlguersontourunprfixe.Letableausuivantproposeune
mthodeafindemmoriserlesattributionsdjralises(cenestpaslecasPrimrose):
- 4-
Enrsum:
Le plan dadressage permis par VLSM est hirarchique mais devrait en outre tendre vers un adressage
topologique.
cettecondition,VLSMprocuredeuxavantagesdterminants:uneutilisationefficacedelespacedadresses
etunepossibilitdagrgationderoutes.
Souvenezvous que le masque le plus ajust pour satisfaire les besoins dune liaison point point est
255.255.255.252(longueurdeprfixe/30).
2.CIDR(ClasslessInterDomainRouting)
RFCutiles:
RFC2050InternetRegistryIPAllocationGuidelinesNovembre1996
Aveclesystmedeclassesprsentaudbutdecechapitre,uneadresseIPporteelleseuletroisinformations:le
masquenatureldelaclasse,ladressedurseauetladressedelhtedanscerseau.
Maisds1990,ilapparatqueparmilesfreinsquipourraientnuireaudveloppementdInternet,ilfautcompter:
Lapnuriedadressesquipourunebonnepartrsultedusystmedeclasses.
Lachargecroissantedestablesderoutage.Eneffet,pourunsitedontlesbesoinssontintermdiairesentre
la classe C et la classe B, il est plus facile dattribuer plusieurs adresses rseau de classe C quune seule
adresserseaudeclasseBmaisquechaquefoisquecelaseproduit,lestablesderoutagesalourdissentde
plusieurs lignes. Puisquil est possible dallouer 2 millions dadresses rseau de classe C, il est galement
certainquelonvarapidementsaturerlammoiredesrouteursprincipauxdelInternetquidoiventmaintenir
detellestables!
Visitezlesitehttp://www.cidrreport.org/as2.0/
Depuislapagedaccueil,cliquezsurlelienPLOT:BGPTablesize.Observezlaversionactualisedelvolutiondes
tablesderoutage:
- 5-
En novembre 1991, lors de la runion IETF de Santa Fe, lIETF cre les groupes de travail ROAD (Routing and
Addressing)etALE(AddressLifetimeExpectations),chargsdtudierlestroisproblmessuivants:
lapnuriedesrseauxdeclasseB
lacroissancedestablesderoutagedesrouteursprincipaux
lapnuriedesadressesdemachines.
Enmars1992,lorsdelarunionIETFdeSanDiego,legroupeROADproposedadopterCIDR(ClasslessInterDomain
Routing) qui apporte une solution temporaire au problme de la croissance des tables de routage, solution qui
consisteagrgerlesespacesdadressescontigus(patientez).CIDRserafinalementadoptennovembre1992et
rapidementinclusdanslesprotocolesderoutage.
Quellessontlesconsquencessilondcidedabandonnerlesystmedeclasses?Essentiellement,ilnexisteplusde
masquenaturel . Il devient impossible de dduire le masque dune adresse selon la valeur du premier octet de
cetteadresse.LasolutionproposeparCIDRconsistefaireaccompagnerladresseIPdesonmasqueetremplacer
lancienneadresseIPclasseparlecoupleadresseIP/masquederseau.
Mais on conviendra que noter par exemple 192.168.1.0/255.255.255.0 nest gure commode. En observant quun
masqueestconstitudunnombreNdebits1suividunnombre(32N)debits0,ilsuffitdeprciserlavaleurN
pour spcifier ce masque. Avec CIDR, la notation de ladresse 192.168.1.2/255.255.255.0 devient 192.168.1.2/24.
LesanciensmasquesdeclasseA,BetCdeviennentrespectivement/8,/16et/24.
Depuisunepoquercente,sontnommsprfixelesbitsdeladressequireprsententlapartierseauNetID.Le
nombreNdevientalorslongueurdeprfixe.
LanotionCIDRapparatdanslesdocumentsdelIETFds1993.Ainsi,leRFC1466GuidelinesforManagementofIP
Address Space de mai 1993 est encore fond sur les classes mais voque le travail en cours sur labandon des
classes. Le RFC 2050 Internet Registry IP Allocation Guidelines de novembre 1996 se substitue au RFC 1466 et
abandonnelanotiondeclassesdadresseauprofitdeCIDR.
Cest lIANA qui est en charge de la gestion de lespace dadressage IP. Depuis CIDR, lIANA a segment lespace
dadressage en 256 blocs de taille /8 numrots de 0/8 255/8. Chacun de ces blocs reprsente 16 millions
dadresses(24bits).Puis,lIANAdlgueladministrationdecessegmentscinqRIR(RegionalInternetRegistry)selon
lacartographiesuivante:
- 6-
Les adresses alloues pour lEurope sont gres par le RIPE NCC (Rseaux IP Europens Network Coordination
Centre,www.ripe.net).LessegmentsdlgusparlIANAauRIPENCCsontaunombrede30,onpeutdcouvrirquels
sontcessegmentsenconsultantledocumenthttp://www.iana.org/assignments/ipv4addressspace/.Pourunrouteur
delInternetsituauxEtatsUnis,routerunpaquetverslEuroperevientdcouvrirquelepremieroctetdeladresse
IPdedestinationappartientlunedes30valeurspossiblespourlEurope(62,7795,141,145,151,188,193
195,212,213,217).
Dans ce modle CIDR, les htes et les routeurs ne font pas dhypothses sur lutilisation de ladressage dans
linternet. Les espaces dadresse de Classe D (diffusion groupe IP) et de Classe E (exprimental) sont prservs,
bienquececisoitprincipalementunepolitiquedallocation.
Pardfinition,CIDRcomprendtroislments:
Uneallocationdadressetopologiquementsignificative,leparagrapheportantsurVLSMaillustrcettenotion.
Desprotocolesderoutagecapablesdagrgerlesroutesdecoucherseau.
Unalgorithmederoutagecohrent(recherchedecorrespondancedeprfixelapluslongue,patientez).
Nous devrions normalement adopter la terminologie prfixe rseau et abandonner les termes rseaux et sous
rseaux.Toutrseauestenfaitunsousrseaudelespaceglobal0/0:
Les anciens espaces de classe A, B et C ne sont reprsents que pour mmoire. Lespaceglobalest0/0.Avecune
longueurdeprfixe1,leprfixenepeutprendrequelesdeuxvaleurs0ou1enbinaire(0ou128endcimal).Aux
blocs0/8et127/8prs,leprfixe0/1correspondlancienneclasseA(demicercledegauche).Toujoursexprimen
binaire,leprfixe1/1estsontourdivisendeuxpourdonner10/2et11/2.Leprfixe10/2correspondlancienne
ENI Editions - All rigths reserved - Noba Mafiza
- 7-
classe B. Enfin le prfixe 11/2 est son tour divis pour donner 110/3 et 111/3. Le prfixe 110/3 correspond
lancienneclasseC.Cettemodestefigurepermetdemieuxapprhenderlecaractrehirarchiqueettopologiquedece
questdevenuladressageIP.Unn uddonndurseau(unprfixe)agrgetouslesn udsderanginfrieurquila
engendr.AvouezquevousnaviezpeuttrepasimaginladressageIPainsi!
- 8-
Routageavecousansclasse
1.Routageavecclasse
a.Informationschanges
Un protocole de routage tel RIPv1 est dit avec classe (class full) parce que linformation de route est transporte
sanslinformationdemasque.Lesadressessontconsidresselonlescasaveclemasquenaturel(lemasquede
classe)ouaveclemasqueappliqulinterfacequireoitlannoncederoute.
b.Comportementdelalgorithmederoutage
Dansunroutageavecclasse,leprocessusderoutageextraitunpaquetdunefiledattentedentre.Imaginonsquil
sagissedupremierpaquetdunnouveaufluxversuneadressededestinationpasencoreprsentedanslecache
de commutation rapide (relire si ncessaire la section Partage de charge par destination et Fast Switching du
chapitreLeroutagestatique).Lerouteurlitunepremirefoislatablederoutageensquencelarecherchedela
partie rseau de ladressededestination.Cest le masque de classe A, B ou C (le masque naturel) qui est utilis
pour dterminer quelle est ladresse rseau recherche. Si le routeur ne trouve pas de correspondance pour un
rseaumajeur(unrseaudeclasseA,BouC),lepaquetestlimin.
Silerouteurtrouveunecorrespondancepourunrseaumajeur,alorsilrecherchedanslatablederoutagelessous
rseauxconnusdecerseaumajeur.Siunecorrespondanceesttrouve,alorslepaquetestconfilinterfacede
sortieadquate.Danslecascontraire,lepaquetestlimin.
chaque fois quun paquet est limin parce que le routeur na pas trouv de correspondance dans la table de
routage,lerouteurgnreunmessageICMPtypeDestinationinjoignableverslasourcedupaquet.
2.Routagesansclasse
a.Informationschanges
Dployer un adressage VLSM et basculer dans un monde CIDR ncessite dchanger des informations de routes
accompagnesdeleurmasque.Lesprotocolesderoutagequiontcettecapacitsontditssansclasse(classless).
RIP dans sa version 2 a intgr cette famille qui compte galement les protocoles BGP (Border Gateway Protocol),
EIGRP(EnhancedInteriorGatewayRoutingProtocol),ISIS(IntermediateSystemIntermediateSystem)etOSPF(Open
ShortestPathFirst).
b.Comportementdelalgorithmederoutage
DansunenvironnementCIDR,lacommandeipclasslessenmodedeconfigurationglobalepermetdabandonnerle
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
comportement avec classe pour adopter un comportement visant trouver la meilleure superroute (the best
supernet)danslatablederoutage.Depuislaversion11.3delIOS,cettecommandeestactivepardfaut.
Le processus de routage utilise lalgorithme de recherche de correspondance de prfixe la plus longue (Longest
Match based Forwarding Algorithm). En quoi consiste cet algorithme ? Toutes les routes nont pas le mme degr
dacuit. Vous tes Bruxelles et vous allez Marseille. Au premier croisement, deux routes se prsentent : le
panneau indicateur de la premire indique Toutesdirections , le panneau de la seconde indique Marseille .
Voustesintrigumaisvouschoisissezlaseconde.Ainsi,leprfixe10.0.22.0/24englobelamachine10.0.22.2mais
leprfixe10.0.16.0/21englobeleprfixe10.0.22.0/24etdonclamachine10.0.22.2.Danssatablederoutage,pour
ladresse de destination 10.0.22.2, le routeur prfrera la route la plus spcifique 10.0.22.0/24 la route la plus
gnrale10.0.16.0/21:
Pour trouver la route la plus spcifique, le processus de routage utilise lalgorithme de recherche de
correspondancedeprfixelapluslongue(LongestMatchbasedForwardingAlgorithm).Cecomportementest
ditsansclasse.
- 2-
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Unrouteurconfigurenipclasslessreoitunpaquetdestin172.16.0.149.Quellerouteemprunteraitilpour
acheminercepaquetsildisposaitdanssatabledesroutes172.16.0.144/28,172.16.0.128/27et
172.16.0.128/26?
2 QuelssontlessousrseauxvalidesdurseaudeclasseC192.168.2.0dcouplaidedumasque
255.255.255.224?Rpondezeneffectuantlesubnettingmentalement!
3 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.64/27et
10.0.11.96/27?
4 quelsousrseauappartientladresse172.26.41.10masque255.255.255.192etquelleestsonadressede
broadcast?Rpondezmentalement.
5 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesquatreroutes10.0.11.32/30,
10.0.11.36/30,10.0.11.40/30et10.0.11.44/30?
6 QuelleestlutilitdelacommandeCiscoIOSipsubnetzero?
7 QuelleestlutilitdelacommandeCiscoIOSipclassless?
8 Quelleroutespcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.48/30et10.0.11.56/30?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/8
Pourcechapitre,votrescoreminimumdoittrede6sur8.
3.Rponses
1 Unrouteurconfigurenipclasslessreoitunpaquetdestin172.16.0.149.Quellerouteemprunteraitilpour
acheminercepaquetsildisposaitdanssatabledesroutes172.16.0.144/28,172.16.0.128/27et
172.16.0.128/26?
Ladresse de destination appartient chacun des trois prfixes cits parce que 172.16.0.144/28 est inclus dans
172.16.0.128/27luimmeinclusdans172.16.0.128/26.Lerouteurchoisitlaroutelaplusspcifiqueconformment
lalgorithme de recherche de la plus longue correspondance de prfixe, cestdire 172.16.0.144/28 (relire si
ncessairelasectionRoutagesansclasse).
2 QuelssontlessousrseauxvalidesdurseaudeclasseC192.168.2.0dcouplaidedumasque
255.255.255.224?Rpondezeneffectuantlesubnettingmentalement!
Latailledunespacersultantdudcoupageestdonnepar256 masque=256224=32.Ilsetrouvequecest
aussilepasdincrmentationdanslessousrseaux.Lesespacesrsultantssont0,32,64,96,128,160,192et224
mais par valides on entend exclure les deux sousrseaux dextrmit. Les seuls sousrseaux valides sont donc
192.168.2.32/27, 192.168.2.64/27, 192.168.2.96/27, 192.168.2.128/27, 192.168.2.160/27 et 192.168.2.192/27
(reliresincessairelasectionDcouperuneadressedeclasseC).
3 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.64/27et
10.0.11.96/27?
Lemasqueest255.255.255.224.Lepasdincrmentationdanslessousrseauxest256masque=256 224=
32. Puisque 64 + 32 = 96, on peut conclure que ces deux blocs sont effectivement contigus et quune route
totalementspcifique(elleenglobelatotalitdecesdeuxespacesmaispasplus)existe.Cetterouteest10.0.11.64/26
(pasdincrmentation64)(reliresincessairelasectionMasquedelongueurvariableVLSM).
4 quelsousrseauappartientladresse172.26.41.10masque255.255.255.192etquelleestsonadressede
broadcast?Rpondezmentalement.
Le pas dincrmentation dans les sousrseaux est 256 masque = 256 192 = 64. Incrmentons les espaces
rsultants jusqu encadrer ladresse IP : 0, 64... Ladresse 10 est comprise entre 0 et 64. On dduit que le sous
rseauest172.26.41.0/26etquesonadressedediffusionest172.26.41.63(reliresincessairelasectionLesub
nettingmental).
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
5 Quelleroutelaplusspcifiquepermettraitderaliserlagrgationdesquatreroutes10.0.11.32/30,
10.0.11.36/30,10.0.11.40/30et10.0.11.44/30?
Lemasqueest255.255.255.252.Lepasdincrmentationdanslessousrseauxest256masque=256252=4.
Puisque 36, 40 et 44 sont obtenus en incrmentant de 4 partir de 32, on peut conclure que ces deux blocs sont
effectivementcontigusetquuneroutetotalementspcifique(elleenglobelatotalitdecesquatreespacesmaispas
plus) existe. Cette route est 10.0.11.32/28 (pas dincrmentation 16) (relire si ncessaire la section Masque de
longueurvariableVLSM).
6 QuelleestlutilitdelacommandeCiscoIOSipsubnetzero?
La commande ip subnet zero en mode de configuration globale permet de passer outre la rgle qui interdisait les
adressesdesousrseauexclusivementcomposesde0.Etcettecommandeestentrepardfautdepuislaversion
12delIOS(reliresincessairelasectionLacommandeipsubnetzero).
7 QuelleestlutilitdelacommandeCiscoIOSipclassless?
Dans un environnement CIDR, la commande ipclassless en mode de configuration globale permet dabandonner le
comportementavecclassepouractiverunroutagefondsurlalgorithmederecherchedecorrespondancedeprfixela
pluslongue(LongestMatchbasedForwardingAlgorithm)(reliresincessairelasectionRoutagesansclasse).
8 Quelleroutespcifiquepermettraitderaliserlagrgationdesdeuxroutes10.0.11.48/30et10.0.11.56/30?
Lemasqueest255.255.255.252.Lepasdincrmentationdanslessousrseauxest256masque=256252=4.
On dduit que les deux espaces 10.0.11.48/30 et 10.0.11.56/30 ne sont pas contigus mais spars par lespace
10.0.11.52/30. On peut toujours annoncer ces rseaux dans un agrgat 10.0.11.48/28 mais cet agrgat nest pas
spcifique car sil couvre effectivement les deux espaces 48 et 56, il couvre galement les deux espaces 52 et 60.
Prudencedonc(reliresincessairelasectionMasquedelongueurvariableVLSM).
- 2-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau, ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde
basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Les chapitres prcdents ddis RIPv1 et CIDR, VLSM de cet ouvrage. RIPv2 et RIPv1 partagent un certain
nombre de commandes. Les commandes en question ne sont abordes quune seule fois dans lun ou lautre
chapitre.MercidoncdevousreporterauchapitreRIPv1siunecommandeobjetdevotrerecherchetaitabsente
decechapitre.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
ConfigureretvrifierlefonctionnementdebaseduprotocoleRIPv2surunpetitrseaurout.
Utiliserlescommandesshowetdebugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent
surdepetitsrseauxrouts.
- 1-
LimitationsdeRIPv1
LemessagedemisejourRIPv1necontientquelestrictminimumdinformationdetopologiepermettantauxrouteurs
RIPdassurerleurtche.Etparadoxalement,lemessagedemisejourestunmessagetrous,unebonnepart
delespaceconsommrestantinutilis.
Le protocole RIPv1 a t conu une poque antrieure lapparition des systmes autonomes et de la distinction
IGP/EGP (Interior Gateway Protocol/Exterior...), la notion de dcoupage en sousrseaux ou aux proccupations de
scurit. La carence la plus grave est constitue par labsence de masque. Passe encore quand RIPv1 reoit une
annonce de rseau majeur car dans ce cas, il utilise le masque de la classe ou masque naturel. Mais les choses se
compliquentquandRIPv1reoituneroutedanslaquelleunepartiedesbitshtesontpositionns.Lerouteurestalors
incapablededterminerlemasquedesousrseauoupirededterminersilarouteannoncelestversunhteou
vers un sousrseau. Ceci contraint les implmentations supputer en apprenant par exemple le masque sur la
configurationIPdelinterfacedepuislaquellelarouteatapprise.CestlechoixfaitparCISCO.
- 1-
RIPv2
QuelquesRFCutiles:
RFC1058
RoutingInformationProtocol
Juin1988
RFC1388
RIPVersion2CarryingAdditional
Information
Janvier1993remplacparRFC1723
RFC1723
RIPVersion2CarryingAdditional
Information
Novembre1994remplacparRFC2453
RFC2453
RIPVersion2
Novembre1998misjourparRFC4822
RFC2082
RIP2MD5Authentication
Janvier1997remplacparRFC4822
RFC4822
RIPv2CryptographicAuthentication
Fvrier2007remplaceRFC2082,met
jourRFC2453
1.Leprotocole
LesconcepteursdeRIPv2nesontpaspartisdunepageblanche.IlsagissaitdapporterRIPv1cequiluimanquait
poursupporterlabandondesclassesdadresses,pourlessentiel:
Linformation de masque : chaque entre de route dans une mise jour RIPv2 comporte dsormais
linformationdemasqueassocielinformationdadresse.
Uneinformationdeprochainsautdestineviterdessautsinutilesdanscertainescirconstances.
UnmarqueurderoutedestindistingueruneroutetransporteparRIPsansquilensoitlorigine,cest
direunerouteexterne.
Ladoptiondelamultidiffusion:lesmessagesRIPv2nesontplusdiffussmaismultidiffuss.
Lauthentificationoptionnelledesmessages.
Maissilnefallaitconserverquunedecesextensions,alorsincontestablementceseraitlajoutdumasquecarcest
lui qui permet RIPv2 dtre qualifi de protocole sans classe (classless). Lensemble des procdures, mtriques,
mtrique infinie, temporisateurs, dispositifs de prvention des boucles, dispositifs visant la stabilit de RIPv1 sont
conservsdanslaversion2,uneexceptionprsquiconcerneladiffusiondesmisesjour.RIPv1lesdiffusait,RIPv2
les multi diffuse vers ladresse rserve de classe D 224.0.0.9. Cela nempche pas les machines dun rseau LAN
connectuneinterfacederouteurRIPderecevoirlesmisesjour,quecesmachinessoientconcernesounon(on
sesouvientducomportementduncommutateurquidoitacheminerunetramemulticast:ilinonde).Maiscelaallge
letraitementoprparunemachinenonconcerne:illuisuffitdedcoderladressededestinationdecouche3pour
dcouvrirquelemessagenelintressepas.
Danslecasdunrseaudiffusion,onsesouvientquelappartenanceungroupedemultidiffusionestrpercute
encouche2.Ladressedecouche2correspondant224.0.0.9est01:00:5E:00:00:09,lemodedobtentiondecette
adresseestdcritdanslasectionAdressesdemultidiffusionduchapitreAnnexes.
Lacapturecap_2G_05.pcap,disponibleentlchargementsurlesiteENI,atralisesurunlienLAN.Observezle
dcodage dun paquet de mise jour cidessous. Observez notamment ladresse de multidiffusion de couche 2.
ObservezgalementlavaleurTTLattribuequilimitedeuxsautslesprancedeviedunpaquetdemisejourRIP.
Normal, un paquet de mise jour RIP est destin aux voisins, aucune raison de lui donner une esprance de vie
suprieure:
- 1-
a.ComparaisondesmessagesdeRIPv2etRIPv1
LemessageRIPv2reprendleformatdumessageRIPv1etmetprofitsesvasteschampsinutiliss.Ainsi,quand
lauthentificationnestpasutilise,lenombrederoutesquunmessagedemisejourpeutembarquernestpas
modifi(25,24quandlauthentificationparmotdepassesimpleestutilise).CommeRIPv1,lemessageRIPv2est
transportdansundatagrammeUDPdontlesportssourceetdestinationsont520:
- 2-
LesargumentsdumessageRIPv2sontlessuivants:
commandpourcequinousconcerne,deuxvaleurspossibles:
1:lemessageestunerequte
2:lemessageestunerponse
Lesautresvaleurssontsoitobsoltes,soitrserves.
version2pourRIPv2.
address family identifier 2 pour IP dans les messages de rponse, 0 dans un message de requte
(patientez).
Routetaglobjetduchampmarqueurderouteestdefournirunemthodepermettantdedistinguerune
route RIP interne au domaine RIP dune route externe issue dun EGP ou dunautreIGP.Parexemple,le
RFC2453suggredyplacerlenumrodesystmeautonomedanslequellarouteatapprise.
IPaddresscontientindiffremment:
Uneadressehte.
Uneadressedesousrseau.
Uneadresserseau.
0quidistingueuneroutepardfaut.
SubnetMask masqueassociladresse.Puisquechaquerouteestdsormaisassocieunmasque,
plus rien ne soppose lutilisation de diffrentes longueurs de prfixe et donc la ralisation dun
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
adressageVLSM.
NextHopadressedesautsuivant:adresseIPlaquelleilconvientderemettredirectementlespaquets
sans passer par le routeur lorigine de cette annonce RIP. Ladresse de saut suivant est une adresse
directement connecte au sousrseau sur lequel est effectue lannonce. 0000 dans le champ Next Hop
indique que le routage doit se faire via le routeur lorigine de lannonce RIP. Lobjet de ce champ est
dliminer des sauts inutiles dans certaines circonstances particulires, comme lillustre lexemple suivant
proposparleRFCetpeinemodifi:
XR1estrouteurfrontireentrelesdeuxdomainesRIPetOSPF.Decefait,seulXR1changedesroutesRIPavec
IR1,IR2etIR3.DuctRIP,XR1annoncelerseauN3delafaonsuivante:
Marqueurderoute=64496(NdesystmeautonomedudomaineOSPF)
@rseau=N3
NextHop=XR2.
Ainsi,unrouteurIRquiauraitfaireprogresserunpaquetdestinN3leferaitviaXR2.SanslechampNextHop,
XR2etXR3auraientdparticiperauprotocoleRIPpourviterlesautinutileviaXR1.
metric cot de la route exprim en nombre de sauts de 1 16, 1 signifiant une route directement
connecte,16caractrisantunerouteinjoignable.
LataillemaximaledumessageRIPest512octets,sanscompterlesenttesIPetUDP(pourmmoire,unentte
IPsansoptionsoccupe20octets,unentteUDPoccupe8octets).EntantlentteRIP,ilreste508octetsutiles
autransportderoutes.Puisquunerouteoccupe20octets,unmessageRIPpeuttransporterjusqu25routes(24
quandlauthentificationsimpleestutilise).Sommetoute,undatagrammeUDPquitransporteunmessageRIPne
dpasserapas512octets(25x20+4+entteUDP).
En forme de synthse du format de paquet RIPv2, voici le dcodage dun message de mise jour laide de
Wireshark:
- 4-
Observez les adresses source et destination du datagramme IP, les ports source et destination du datagramme
UDP,lesdiffrentesentresderoute,ledcodagedelentrederoutevers172.16.0.160/28.
b.CompatibilitavecRIPv1
Grcelaprvoyancedesesconcepteurs,RIPv1estheureusementtrstolrantquantauxmisesjourquilreoit.
SilechampVersioncomporte1biensr,ilsattendcequeleschampsinutilisslesoienteffectivementetcarte
toutemisejournonconforme.MaissilechampVersionestsuprieur1,leschampscensstreinutilisssont
ignorsetlemessageestexploitselonleformatconnudeRIPv1.CestcetteparticularitdeRIPv1quipermetla
rtrocompatibilitdeRIPv2.
Toutefois, le RFC 2453 prvoit deux commutateurs de compatibilit dont lobjet est de permettre une adaptation
faciledeRIPv2avecdesimplmentationsexotiquesdeRIPv1.Cesdeuxcommutateursdevraienttreconfigurables
auniveauinterface.Lepremierdecescommutateursrglelmissiondesmisesjouretprvoitquatrerglages:
RIP1seulslesmessagesRIPv1sontenvoys.
RIP1compatiblelesmessagesRIPv2sontdiffusspluttquemultidiffuss.LeRFCconseilledutiliserce
rglageavecprudence.
RIP2lesmessagesRIPv2sontmultidiffussconformmentauprotocoleRIPv2natif.
nonepasdmissiondemessagesRIPsurcetteinterface.Lacommandeactivantcederniermodeest
djconnuepuisquilsagitdelacommandepassiveinterface.
LesecondcommutateurajustelecomportementduprocessusRIPlorsquilreoitdesmessages.nouveau,quatre
rglagessontprvus:
RIP1seulement
- 5-
RIP2seulement
lesdeux
aucun.
DanslecasdelIOS,lestroispremiersrglagescorrespondentdescommandesexaminesdanslesparagraphes
quisuivent,lequatrimepeuttrersoluselondiffrentesmthodes:onpeutparexemplemettreenplaceune
listedaccstendueafindefiltrerletraficdestinauportUDP520outablirunfiltragederouteslaidedela
commandedistributelistenconfigurationderouteur. Danslesecondcas,onestaudelduprimtreprvupour
cetouvrage.
c.Authentification
AvecRIPv1,ilestfaciledecorromprelatablederoutagedunrouteurquelconque.Ilsuffitquunattaquantmette
desmisesjourfalsifiesenprtendantconnatreuncertainnombrederseauxaveclemeilleurcotpourqueles
paquetsnormalementdestinscesrseauxtransitentparlui.LesconcepteursdeRIPv2ontprvuuneparadeen
donnantlmetteurdunemisejourlemoyendesauthentifierparunmotdepasse.
Pluttquedeconcevoirunnouveauformatdemessage,cequinauraitpasmanqudecauserdesproblmesde
compatibilit avec RIPv1, les concepteurs ont prfr dtourner une entre de route de son usage normal. Le
nombremaximaldentresderoutequepeutcomporterunmessagedemisejourpasseainsi24.
Lentrederouteddielauthentification,quandelleestprsente,sedistingueparlechamp Addressfamily
identifiertabli0xFFFF.Danscetteprtendueentrederoute,leRFCaprvuunchamptypedauthentification
cequipermetdenvisagerdenouveauxtypesdefaonsimplesansremettreenquestionleformatdupaquet.On
se souvient en effet que le domaine du chiffrement est en volution rapide (une information gnrale sur les
notions de chiffrement est fournie la section Adoptez SSH du chapitre Administration et scurit). Le seul type
prvuparleRFCestletype0x02quicorrespondunmotdepassesimple.Danscecas,les16octetsquisuivent
portentlemotdepasseenclairqui,parconsquent,nepeutdpasser16caractres.Lemotdepasseestjustifi
gauchedanscechamp,lesoctetsinutilissrestent0.
LacapturesuivanteraliselaidedeWiresharkmontreunpaquetdemisejourauthentifilaidedunmotde
passesimpleInabottle(capturecap_2G_01.pcapdisponiblesurlesiteENI):
- 6-
Observezlentrederoutedtournedesonusagepremierpourembarquerlemotdepasse.Commeledmontre
cettecapture,quiconquepeutcouterlesmisesjourpeutgalementapprendrelemotdepasse.Ilsagitdonc
davantagedtrecertainquelesrouteursencoursdeconfigurationRIPschangentbienleursmisesjoursans
trepolluspardesmisesjournondsires.MaispuisqueleRFCaprvuunchamptypedauthentification,ilest
facile de concevoir une authentification forte en crant un type supplmentaire. Ce qua fait CISCO en intgrant
danslIOSlapossibilitdauthentifierdesmisesjourRIPlaidedesignaturesobtenuesparhachageMD5dela
misejouravecunmotdepassefaisantofficedecl.Lerouteurquireoitunetellemisejouretquiconnatle
mmemotdepassecalculesapropresignature.Silesdeuxsignaturesreuesetcalculescorrespondent,alorsle
contenudelamisejourestexploit.
Concrtement,CISCOatenduleprocdretenuparleRFCenddiantnonplusunemaisdeuxentresderoute
lauthentification.Lapremireentresedistingueparletypedauthentification0x03tandisquelasecondeentre
consomme, qui contient la signature, est place en queue de mise jour aprs toutes les entres de route, ce
quillustrelacaptureWiresharksuivante.Lecontextedecettecaptureestinchang,seullemodedauthentification
estpassdesimpleMD5(capturecap_2G_02.pcapdisponiblesurlesiteENI):
Observez que Wireshark identifie parfaitement la dernire entre de route comme devant tre associe
linformationdauthentification.
2.Configurationdebase
Proposonsnousdemettreen uvrelatopologiequiaserviltudedecasVLSMduchapitreprcdent:
- 7-
Cettetopologiecomportetreizesousrseauxissusdurseaumajeur172.16.0.0etcinqmasquesdiffrentsde/26
/30.
a.Activationduprotocole
Touteslesinterfacesontdjtconfigures.
Leprotocolesactiveentroistemps:
1.ActiverleprocessusRIPproprementditlaidedelacommanderouterrip.
2.Pardfaut,leprocessusRIPunefoisactivgnredesmisesjourRIPv1maisprofitedemisesjourquelles
soientv1ouv2.Cecomportementestmodifilaidedelacommandeversionenmodeconfigurationderouteur.
3.Indiquerauprocessusquelsrseauxmajeursdoiventtreprisencomptelaidedunecommandenetworkpar
rseau majeur. Puisque lensemble des sousrseaux a t obtenu par division du rseau 172.16.0.0, une seule
commandenetworksuffit:
RTR7A
RTR7A(config)#router rip
RTR7A(config-router)#version ?
<1-2> version
RTR7A(config-router)#version 2
RTR7A(config-router)#network 172.16.0.0
RTR7A(config-router)#^Z
RTR7A#
RTR7B
RTR7B(config)#router rip
RTR7B(config-router)#version 2
RTR7B(config-router)#network 172.16.0.0
RTR7B(config-router)#^Z
RTR7B#
Cetteconfigurationestrptersurlensembledesrouteursdelatopologie.
LacommandedebugiprippermetdesepasserdeWiresharkpourcomprendrelactivitduprotocole.Parexemple,
surRTR7A(1tourcompletcestdiretouteslesmisesjourenvoyessurtouteslesinterfacesettouteslesmises
jourreuesdetouslesrouteursvoisins):
RTR7A#debug ip rip
- 8-
- 9-
CestainsiquelonpeutvrifierlecomportementpardfautduprocessusRIP.Unefoisactiv,leprocessusgnre
desmisesjourRIPv1maisprofitedemisesjourquellessoientv1ouv2.Lammecommandeaprspassage
laversion2(Extrait):
RTR7A#sh ip prot
Routing Protocol is "rip"
.........
Default version control: send version 2, receive version 2
Interface
Send Recv Triggered RIP Key-chain
Serial0/0
2
2
Serial0/1
2
2
Serial0/2
2
2
Automatic network summarization is in effect
Maximum path: 4
Routing for Networks:
172.16.0.0
Routing Information Sources:
Gateway
Distance
Last Update
172.16.0.254
120
00:00:00
172.16.0.249
120
00:00:08
172.16.0.246
120
00:00:21
Distance: (default is 120)
RTR7A#
Onlevoit,enversion2etpardfaut,leprocessusRIPestbeaucoupplusrestrictif:ilgnredesmisesjourdans
le format de la version 2 et ne prendra en compte que les mises jour du mme format. Ce comportement est
modifiable(patientez).
b.Commandepassiveinterface
Lamiseen uvredecettecommandenestpasimpacteparlaversionduprotocoleRIP,mercidevousreporter
lasectioncorrespondanteduchapitreProtocolederoutagevecteurdedistanceRIPv1.
3.Configurationavance
a.Rseauxdiscontigus
- 10 -
Si le contexte prcdent constituait une bonne application dun dcoupage la mode VLSM, il nest pas suffisant
pourmettreenlumireleproblmedesrseauxdiscontigus.AffectonsdesadressesdelexclasseCauxliensWAN
issusdurouteurRTR7Aafindescinderledomainecouvertpar172.16.0.0entroisparties:
Une fois les quatre routeurs concerns par le changement correctement configurs, une lecture de la table de
routage du routeur RTR7A est difiante : ce routeur connat trois alternatives cot gal vers 172.16.0.0 et
sapprte faire de la rpartition de charge. Tout premier paquet dun flux destin 172.16.0.0/24 et trait par
RTR7Aaunechancesurtroisdtreacheminverslapartiequiconvientdudomainecouvertpar172.16.0.0:
RTR7A#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
R
- 11 -
RTR7B(config-router)#^Z
RTR7B#wr
Building configuration...
[OK]
RTR7B#
RTR7D
RTR7D(config)#router rip
RTR7D(config-router)#no auto-summary
RTR7D(config-router)#^Z
RTR7D#wr
Building configuration...
RTR7D#
Bonus:ilnaurapaschappaulecteurattentiflutilisationdelacommandewrdanslescapturescidessus.Cest
untrucdevieiladministrateurlasdedevoirconfirmerquandilutiliselacommandenormalecopyrunstart.Ilse
trouve que CISCO intgre de faon rgulire de nouvelles commandes lIOS mais rpugne supprimer les
anciennes commandes, on lespre par souci de ne pas dsorienter ses utilisateurs clients. Comme dautres,
lanciennecommandequipermettaitdesauvegarderlaconfigurationcourantefonctionnetoujours:
RTR7C#write ?
core
Write
erase
Erase
memory
Write
network
Write
terminal Write
<cr>
Core File
NV memory
to NV memory
to network TFTP server
to terminal
RTR7C#write memory
Onpeutabrgercettecommandeenwretellenedemandepasdeconfirmation.Attention,ilfauttresrdeson
fait mais ce stade davancement, le lecteur est trs certainement suffisamment aguerri pour profiter de cette
commandeetdesprcieuxinstantsquellepermetdconomiser.Dautantquelacommandenormalecopyrunstart
nest pas non plus sans danger. Imaginez que dans la prcipitation, ladministrateur tape copy run satrt. Ceci
correspondlacrationdunnouveaufichiersatrtetlinterfacedemandeconfirmationladministrateuravant
deffacerlecontenudelammoireFlash!Ilsuffitqueladministrateurconfirmehtivementsanslirerellementles
messagespourqueledramearrive.
La commandewrite memory est une ancienne commande qui quivaut la commande copy run start
ceciprsquellenedemandepasdeconfirmation.Cettecommandepeuttreabrgeparwr.
Mais revenons notre problmatique de dpart, celle de lagrgation automatique. Le rglage du paramtre
dagrgation,automatiqueoupas,peuttrevrifilaidedunecommandeshowipprotocols.ExemplesurRTR7C
(extrait):
RTR7C#sh ip protocols
Routing Protocol is "rip"
.........
Automatic network summarization is not in effect
.........
RTR7C#
UnecommandeshowiproutesurRTR7Anerassurepasimmdiatementladministrateur:
RTR7A#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
R
R
R
R
R
R
R
R
- 12 -
R
R
R
C
C
C
Eneffet,ledomainecouvertpar172.16.0.0nedevraitcomporterque10sousrseaux,lacommandenousavertit
queRTR7Aenconnat11.Cherchezlintrus...Vousaveztrouv?Surlignezle. Il sagitdunerouteagrge(la7 e
route) qui na pas t efface parce que son temporisateur deffacementna pas encore expir. Observez que la
dernire mise jour reue pour cette route remonte plus de trois minutes. La mme commande provoque
quelquesinstantsplustard:
RTR7A#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 10 subnets, 5 masks
172.16.0.184/30 [120/1] via 192.168.0.254, 00:00:24, Serial0/1
172.16.0.176/29 [120/2] via 192.168.0.254, 00:00:24, Serial0/1
172.16.0.160/28 [120/2] via 192.168.0.254, 00:00:24, Serial0/1
172.16.0.128/27 [120/1] via 192.168.0.254, 00:00:24, Serial0/1
172.16.0.208/28 [120/1] via 192.168.0.246, 00:00:25, Serial0/2
172.16.0.192/28 [120/1] via 192.168.0.246, 00:00:25, Serial0/2
172.16.0.0/26 [120/1] via 192.168.0.249, 00:00:19, Serial0/0
172.16.0.96/30 [120/1] via 192.168.0.249, 00:00:19, Serial0/0
172.16.0.80/28 [120/2] via 192.168.0.249, 00:00:19, Serial0/0
172.16.0.64/28 [120/2] via 192.168.0.249, 00:00:19, Serial0/0
192.168.0.0/30 is subnetted, 3 subnets
C
192.168.0.248 is directly connected, Serial0/0
C
192.168.0.252 is directly connected, Serial0/1
C
192.168.0.244 is directly connected, Serial0/2
RTR7A#
R
R
R
R
R
R
R
R
R
R
Toutestrentrdanslordre,ladministrateurestsatisfait.ObservezlatablederoutagedeRTR7E:
RTR7E#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 5 subnets, 4 masks
172.16.0.0/16 [120/3] via 172.16.0.97, 00:00:02, Serial0/0
172.16.0.0/26 [120/1] via 172.16.0.97, 00:00:02, Serial0/0
172.16.0.96/30 is directly connected, Serial0/0
172.16.0.80/28 is directly connected, FastEthernet0/1
172.16.0.64/28 is directly connected, FastEthernet0/0
192.168.0.0/30 is subnetted, 3 subnets
R
192.168.0.248 [120/1] via 172.16.0.97, 00:00:02, Serial0/0
R
192.168.0.252 [120/2] via 172.16.0.97, 00:00:02, Serial0/0
R
192.168.0.244 [120/2] via 172.16.0.97, 00:00:02, Serial0/0
RTR7E#
R
R
C
C
C
Cerouteurdisposeencoredunerouteagrgevers172.16.0.0via172.16.0.97.Cecisexpliqueparlefaitquela
commande no autosummaryna pas t utilise sur RTR7A. De ce fait, RTR7A agrge 172.16.0.0 et annonce le
rseau majeur dans son entier sur toutes ses interfaces. Mais cela nest absolument pas un problme car on se
souvient(reliresincessairelasectionRoutagesansclasseduchapitreprcdent)quelacommandeipclassless
est active par dfaut. Cette commande fait adopter au processus de routage lalgorithme de recherche de
correspondancedeprfixelapluslongueetnotrecontexteoffrelemoyendevrifiersonutilitetsapertinence.
ImaginonsunpaquetreuparRTR7Eetdestin172.16.0.161:
- 13 -
La seule correspondance de prfixe prsente dans la table est 172.16.0.0/16 et RTR7E remet le paquet
172.16.0.97viaS0/0:
RTR7E#ping 172.16.0.161
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.161, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/184 ms
RTR7E#
Imaginonsunsecondpaquetdestin172.16.0.1:
Laroutevers172.16.0.0/16donnaitunecorrespondancemaisellenestpasexaminepuisquunecorrespondance
pluslongueesttrouvedsle4 e test.Lepaquetestremis172.16.0.97viaS0/0.LerouteurRTR7Clereoitet
utiliselemmealgorithme.Satablederoutageest:
RTR7C#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 5 subnets, 4 masks
172.16.0.0/16 [120/2] via 192.168.0.250, 00:00:25, Serial0/0
172.16.0.0/26 is directly connected, FastEthernet0/0
172.16.0.96/30 is directly connected, Serial0/1
172.16.0.80/28 [120/1] via 172.16.0.98, 00:00:23, Serial0/1
172.16.0.64/28 [120/1] via 172.16.0.98, 00:00:23, Serial0/1
192.168.0.0/30 is subnetted, 3 subnets
C
192.168.0.248 is directly connected, Serial0/0
R
192.168.0.252 [120/1] via 192.168.0.250, 00:00:25, Serial0/0
R
192.168.0.244 [120/1] via 192.168.0.250, 00:00:25, Serial0/0
RTR7C#
R
C
C
R
R
RTR7C connat les mmes prfixes que RTR7E et trouve donc la mme plus longue correspondance avec
172.16.0.0/26,lepaquetestremislinterfaceF0/0.Unecommandepingconfirmelebonacheminement:
RTR7E#ping 172.16.0.1
- 14 -
b.Activationdelauthentification
LIOSoffrelemoyendauthentifierlesmessagesdefaontrssoupleenpermettantdedfinirnonpasunemais
desensemblesdecls.Unensemblepeutconteniruneouplusieurscls.Chaqueclpeuttreprissableounon.
Ces cls peuvent tre mises en tant que mots de passe en texte clair ou servir gnrer une signature MD5.
Procdonspartapes.
Scnario1Objectif:
AuthentifierleschangesdemisesjourRIPentrelesdeuxrouteursRTR7AetRTR7Cparunmotdepasse
simple.Lemotdepasseestinvariable,ladministrateurachoisiInabottle.
tape1:crerunensembledecls
Lacommandekeychainpermetdecrerunensembledecls.Sasyntaxeestlasuivante:
Router(config)#key chain name-of-chain
...dontlargumentest:
nameofchain
Nom attribu lensemble de cls. Lensemble doit comporter au moins une cl et peut comporter jusqu
2 147 483 647 cls.
Appliqueaucasprsent:
RTR7C(config)#key ?
chain
Key-chain management
config-key Set a private configuration key
RTR7C(config)#key chain ?
WORD Key-chain name
RTR7C(config)#key chain turing
RTR7C(config-keychain)#
Le nom attribu lensemble de cls, Turing dans le cas prsent, na quune porte locale. Il nest donc pas
indispensable(maispasinterdit)denommerdefaonidentiquelesensemblesdeclsdedeuxrouteursquidoivent
authentifierleurschanges.
tape2:placeraumoinsunecldanslensembledecls
Lacommandekeycreunecldanslensembledeclsetdoittreutiliseautantdefoisquilyadeclscrer
danslensemble.Sasyntaxeestlasuivante:
Router(config-keychain)#key key-id
Router(config-keychain-key)#
...dontlargumentest:
keyid
Numroquiidentifielaclencoursdecration,doitappartenirlespace[0 2 147 483 647].Lesidentifiantsde
clsnontpasbesoindtreconscutifs.
Lacommandekeystringcrelachanedecaractresquiconstituelacl.Sasyntaxeestlasuivante:
Router(config-keychain-key)# key-string text
- 15 -
...dontlargumentest:
text
Chane utiliser dans les messages authentifier, peut contenir de 1 80 caractres alphanumriques :
minuscules, majuscules ou chiffres. Le premier caractre ne peut tre un chiffre. Ladministrateur qui le souhaite
peutprotgerlesclsdesregardsindiscretslaidedelacommandeservicepasswordencryption.
Appliquesaucasprsent:
RTR7C(config-keychain)#key ?
<0-2147483647> Key identifier
RTR7C(config-keychain)#key 1
RTR7C(config-keychain-key)#?
Key-chain key configuration commands:
accept-lifetime Set accept lifetime of key
default
Set a command to its defaults
exit
Exit from key-chain key configuration mode
key-string
Set key string
no
Negate a command or set its defaults
send-lifetime
Set send lifetime of key
RTR7C(config-keychain-key)#key-string Inabottle
Pourcecahierdescharges,inutiledenfaireplus.Dautrescontextesncessiterontdtoffercettetapepourplacer
plusieursclsetrglerleuresprancedevie.
tape3:appliquerlauthentificationuneinterface
La commande ip rip authentication keychain en mode de configuration dinterface applique lauthentification et
spcifiequelensembledeclsdoittreutilis.Appliqueaucasprsent:
RTR7C(config-keychain-key)#int s0/0
RTR7C(config-if)#ip rip authentication ?
key-chain Authentication key-chain
mode
Authentication mode
RTR7C(config-if)#ip rip authentication key-chain ?
LINE
name of key-chain
RTR7C(config-if)#ip rip authentication key-chain turing
tape4:choisirlemodedauthentification
La commande ip rip authentication mode permet de choisir lauthentification par mot de passe simple ou
lauthentificationforteparsignatureMD5.Sasyntaxeestlasuivante:
Router(config-if)#ip rip authentication mode {text|md5}
Appliqueaucasprsent:
RTR7C(config-if)#ip rip authentication mode ?
md5
Keyed message digest
text Clear text authentication
RTR7C(config-if)#ip rip authentication mode text
RTR7C(config-if)#^Z
RTR7C#
tape5:rpterlensembledesoprationssurlesecondrouteurconcern
Danslecasprsent,ilsagitdeRTR7A:
RTR7A(config)#key chain Turing
RTR7A(config-keychain-key)#key-string Inabottle
RTR7A(config-keychain-key)#int s0/0
RTR7A(config-if)#ip rip authentication key-chain Turing
RTR7A(config-if)#ip rip authentication mode text
RTR7A(config-if)#^Z
RTR7A#
- 16 -
tape6:recette
Unecommandeshowkeychainestutilepourvrifierlaconfigurationeffectue.SurRTR7C:
RTR7C#show key chain
Key-chain Turing:
key 1 -- text "Inabottle"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
UnecommandedebugipripconfirmequeleschangesentreRTR7AetRTR7Cseffectuentdemanireauthentifie:
RTR7C#debug ip rip
RIP protocol debugging is on
RTR7C#
00:08:04: RIP: received packet with text authentication Inabottle
00:08:04: RIP: received v2 update from 172.16.0.250 on Serial0/0
00:08:04:
172.16.0.128/27 via 0.0.0.0 in 2 hops
00:08:04:
172.16.0.160/28 via 0.0.0.0 in 3 hops
00:08:04:
172.16.0.176/29 via 0.0.0.0 in 3 hops
00:08:04:
172.16.0.184/30 via 0.0.0.0 in 2 hops
RTR7C#u all
Scnario2Objectif:
Authentifier les changes de mises jour RIP entre les deux routeurs RTR7A et RTR7C par une signature
MD5.Lesmotsdepasseutilissdoiventchangerselonlecalendriersuivant:
tape1:modifierlensembledeclsTuring
Nous aurons besoin pour ce faire des deux commandes acceptlifetime etsendlifetime. La commande accept
lifetimespcifieladuredevaliditdesclsreues.Lacommandesendlifetimespcifieladuredutilisationdes
clsductmissiondesmisesjourauthentifies.Leursyntaxeestlasuivante:
RTR7C(config-keychain-key)#accept-lifetime start-time {infinite | end-time |
durationseconds}
RTR7C(config-keychain-key)#send-lifetime start-time {infinite | end-time |
durationseconds
...dontlesargumentssont:
starttime
Lasyntaxeestindiffremment:
hh:mm:ssMonthdateyear
hh:mm:ssdateMonthyear
- 17 -
Monthlestroispremireslettresdumoisexprimenanglais.
Datede131.
Yearanneexprimesur4chiffres.
infinite
Laclestvalideindfinimentpartirdelinstantdfiniparstarttime.
endtime
Laclestvalideentrelesdeuxinstantsdfinisparstarttimeetendtime.Syntaxeidentiquecelledestarttime.
Lavaleurinfiniteestadoptepardfaut.
duration
Laclestvalidependantdurationsecondespartirdelinstantdfiniparstarttime.
Appliqueauscnarioprsent:
RTR7C(config)#key chain Turing
RTR7C(config-keychain)#key 1
RTR7C(config-keychain-key)#key-string couronne
RTR7C(config-keychain-key)#accept-lifetime 05:00:00 jan 01 2010 duration 90000
RTR7C(config-keychain-key)#send-lifetime 05:00:00 jan 01 2010 duration 90000
RTR7C(config-keychain-key)#key 2
RTR7C(config-keychain-key)#key-string sicie
RTR7C(config-keychain-key)#accept-lifetime 05:00:00 jan 02 2010 06:00:00 feb 022010
RTR7C(config-keychain-key)#send-lifetime 05:00:00 jan 02 2010 06:00:00 feb 02 2010
RTR7C(config-keychain-key)#key 3
RTR7C(config-keychain-key)#key-string cepet
RTR7C(config-keychain-key)#accept-lifetime 05:00:00 feb 02 2010 infinite
RTR7C(config-keychain-key)#send-lifetime 05:00:00 feb 02 2010 infinite
RTR7C(config-keychain-key)#^Z
RTR7C#
Observezqueladministrateuraprislaprcautiondefairecoexisterdeuxclspendantuncourtmoment(1heure)
afin de pallier le fait que les deux routeurs pourraient ne pas partager la mme heure (90000 secondes
correspondent25heures).
tape2:passerenMD5
RTR7C#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RTR7C(config)#int s0/0
RTR7C(config-if)#ip rip authentication mode md5
RTR7C(config-if)#^Z
RTR7C#
tape2:recette
Avanttoutechose,assuronsnousquelesdeuxrouteurssontlheure.Enproduction,lidalseraitvidemmentde
confierlamiselheuredesquipementsunserveurNTP(dcritauchapitreTchesdeconfigurationdesrouteurs
Date et heure). Pour notre modeste mise en situation, une commande clock set fera laffaire, rpter sur
RTR7C:
RTR7A#clock set 21:00:00 3 may 2010
UnecommandedebugipripconfirmelauthentificationparsignatureMD5desmisesjourchanges:
RTR7A#debug ip rip
RIP protocol debugging is on
00:24:18: RIP: received packet with MD5 authentication
00:24:18: RIP: received v2 update from 192.168.0.249 on Serial0/0
00:24:18:
172.16.0.0/26 via 0.0.0.0 in 1 hops
- 18 -
.........
RTR7A#u all
All possible debugging has been turned off
Une commande show key chain montre les cls contenues dans lensemble de cls ainsi que la cl en cours
dutilisation:
RTR7A#sh key chain
Key-chain Turing:
key 1 -- text "couronne"
accept lifetime (05:00:00 UTC Jan
send lifetime (05:00:00 UTC Jan 1
key 2 -- text "sicie"
accept lifetime (05:00:00 UTC Jan
send lifetime (05:00:00 UTC Jan 2
key 3 -- text "cepet"
accept lifetime (05:00:00 UTC Feb
send lifetime (05:00:00 UTC Feb 2
RTR7A#
c.Rglagedelacompatibilit
LIOSprvoitdeuxcommandespourrespecterlesprconisationsduRFCenmatiredecompatibilitavecRIPv1.
Appliqueuneinterface,lacommande ip rip send version permet de gnrer des mises jour selon le format
RIPv1ouRIPv2ouselonlesdeuxformats.Sasyntaxeestlasuivante:
Router(config-if)#ip rip send version [1] [2]
Par dfaut, un processus RIPv2 activ ne gnre que des mises jour version 2. On peut outrepasser ce
comportementafindadapterlerouteurunepartiedesonenvironnement.Exemples:
Surlunedesesinterfaces,unrouteurRIPv2estconnectunemachinenecomprenantexclusivementque
lesmessagesRIPv1entrezlacommandeipripsendversion1.
Sur lune de ses interfaces, un routeur RIPv2 est connect plusieurs quipements dont une partie peut
exploiter des mises jour RIPv2, dautres ne comprennent que les mises jour RIPv1 entrez la
commandeipripsendversion12.Attention,letraficdacheminementsurlinterfaceconsidreestdoubl
carlesannoncessontrptesdeuxfois,uneparformat.
Applique une interface, la commande ip rip receive version permet de ne prendre en compte que lun des
formatspossiblesdemisesjourRIP.Sasyntaxeestlasuivante:
Router(config-if)#ip rip receive version [1] [2]
Pardfaut,unprocessusRIPv2activnexploiteexclusivementquelesmisesjourRIPv2.Onpeutoutrepasserce
comportementafindefaireensortequeleprocessusRIPacceptegalementdesmisesjourissuesdemachines
exclusivement RIPv1 laide de la commande ip rip receive 1 2. Autre possibilit : on pourrait galement
contraindreleprocessusignorerlesmisesjourRIPv2pournaccepterquelesmisesjourissuesdeRIPv1
laidedunecommandeipripreceive1,maiscelanapasbeaucoupdesens.
Infine,manipulercescommandesentranelebesoindevrifierlecomportementeffectifduprocessusRIPvisvis
desmisesjour,cequeladministrateurobtientlaidedelacommandeshowipprotocols(recherchezsibesoin
descapturesdecettecommandedanscechapitre).
4.Rsum
a.Lescaractristiquesretenir
RIPv2estunprotocolederoutagesansclasse.Ildoitcettefacultaufaitquilassocielinformationderouteetson
masque.Maissoncomportementdanslagrgationrappellelpoqueavecclasse.
Un routeur RIPv2 agrge ses annonces aux frontires des rseaux majeurs comme le faisait RIPv1.
Lagrgationannonceestlerseaumajeur.Cestdoncuneagrgation/8,/16ou/24.
- 19 -
Ainsi, la granularit de lagrgation est pauvre. Dans le chapitre suivant ddi EIGRP, nous verrons que
ladministrateur peut rgler manuellement le prfixe agrg et donc sa longueur, ce qui lui permet dajuster
beaucoupplusfinementlagrgationundcoupageVLSMcomplexe(sitantestquilsoitsouhaitabledtablirdes
dcoupagesVLSMcomplexes,maiscestunautredbat).
LamiseenservicedeRIPv2nestgureplusdifficilequecelledeRIPv1.Quanddeserreurssurviennent,ellessont
laplupartdutempsduesaunonrespectdescontraintesimposesparleprotocole,essentiellement.
Unrouteurquiannonceunrseaumajeurdoittrelarouteuniqueverscerseau.Quandcenestpasle
cas,ilfautcontraindrelerouteurannoncerlessousrseauxquilconnatdurseaumajeurlaidedela
commandenoautosummary.
Donc, si des routes manquent ou si des routes sont incohrentes, rexaminez avec attention votre plan
dadressageetvotredcoupageensousrseauxetidentifiezlesrouteursfrontires.
b.Lescommandesimportantes
Commande
Mode
Description
routerrip
Configuration
globale
ActiveleprocessusRIP.
network@IP_rseau
Configurationde
routeur
Ladresseindiquedoitinclurelesadressesdes
interfacesquiparticipentauprotocole.
version
Configurationde
routeur
Utilepourpasserenversion2.
neighbor@IP_voisin
Configurationde
routeur
Activelenvoidemisesjourunicastversce
voisin.
passiveinterfaceinterface
typeinterfacenumber
Configurationde
routeur
Cesselenvoidemisesjoursurlinterface
spcifie.
ipclassless
Configuration
globale
Activelalgorithmederecherchede
correspondancedeprfixelapluslongue
(LongestMatchbasedForwardingAlgorithm)dans
leprocessusderecherchederoute.Cestla
commandepardfaut.
ipsubnetzro
Configuration
globale
Autoriselesadressesdesousrseaux
exclusivementcomposesde0.
ipripauthenticationkeychain
name_of_keychain
Configuration
dinterface
ActivelauthentificationdesmisesjourRIP
misesdepuiscetteinterfaceoureuessur
cetteinterface.
ipripauthenticationmode
{text|md5}
Configuration
dinterface
Authentificationparmotdepassesimpleoupar
signatureMD5.
keynumber
Configuration
densembledecls
Spcifieunecldanslensembledecls.
keystringtext
Configurationdecl Attribueunechanedecaractreslaclqui
servirasoitdemotdepasse,soitdeclpour
laborerunesignatureMD5delamisejour.
- 20 -
Configurationdecl Spcifieunlapsdetempspendantlequellacl
peuttreutilisedanslesmisesjourmises.
ipreceiveversion[1][2]
Configuration
dinterface
Spcifielesformatsdemisesjouracceptes
surcetteinterface.
ipsendversion[1][2]
Configuration
dinterface
Spcifielesformatsdemisesjourgnres
surcetteinterface.
showiprouterip
Modeutilisateur
AffichelensembledesroutesissuesdeRIP.
showipprotocols
Modeutilisateur
Affichelesparamtresetltatactueldu
protocolederoutageactivsurlerouteur.
debugiprip
Modeprivilgi
Afficheentempsrelletraficdacheminement
RIP.
autosummary
Configurationde
routeur
Activeoudsactivelagrgationautomatique
lafrontiredunrseaumajeur.
timersbasicupdateinvalidholddown
flush
Configurationde
routeur
Ajustelesvaleursinitialesdestemporisateurs.
outputdelaydelay
Configurationde
routeur
Introduitunespacedetempsminimalde850
millisecondesentredeuxmissionsdemises
jourRIP,utilepourquunrouteurlentpuisse
saccommoderdesmisesjourissuesdun
routeurpuissant.
5.TP:MiseenuvreduneconfigurationRIPv2
Biensr,rienninterditaulecteurdereproduirelensembledestopologiesdecechapitredansGNS3maisilfautbien
avouerquefairefonctionnerlessixrouteursdesateliers7Aet7Bnest pasuneminceaffaire,lensembleamanqu
cruellementdestabilitsurlamachinedelauteur,malgrsesefforts.
Plus modestement, proposonsnous dutiliser la topologie cidessous qui avait servi illustrer les limites dun
protocole de routage avec classe. Le domaine couvert par le rseau 10 est scind en deux parties. Par ailleurs, le
masqueadoptpourdcouperlerseau192.168.9.0estuniquecequiconduitunimportantgaspillagedadresses
surlesliensserial.Lobjectifestdoncdouble:
Remplacer les sousrseaux /26 des liens serial par des sousrseaux /30 du mme rseau majeur
192.168.9.0.
AppliquerleprotocoleRIPv2.
- 21 -
UnesolutionestproposeauchapitreAteliersetexercicescorrigs.
- 22 -
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Quellessontlescaractristiquesessentiellesdunprotocolederoutageavecclasse?
2 QuelssontlesnouveauxchampsinclusdanslemessagedemisejourRIPv2?
3 CitezaumoinsdeuxcaractristiquespartagesparRIPv1etRIPv2.
4 QuelleestladressedemulticastutiliseparRIPv2?Quelssontlesavantagesprfrerdesmisesjour
multidiffusespluttquediffuses?
5 QuandconvientildedsactiverlagrgationautomatiquesurRIPv2?
6 Quelleestlafonctiondelacommandenetworkutiliselorsdelaconfigurationduprotocolederoutage?
7 QuelestlecomportementpardfautdeRIPv2enmatiredagrgationautomatique?
8 QuelssontlesdeuxtypesdauthentificationsupportsparlimplmentationCISCOduprotocoleRIPv2?Ces
deuxtypestaientilsceuxprvusparlestandard?
9 UnrouteurRIPv1connatlessousrseaux10.4.0.010.7.0.0durseaumajeur10.0.0.0.Quannoncetilsur
soninterface192.168.1.1/24?
10 Observezlatopologiecidessous:
SurlerouteurRTR7A,quarrivetilunpaquetdestin172.16.11.20?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/10
Pourcechapitre,votrescoreminimumdoittrede8sur10.
3.Rponses
1 Quellessontlescaractristiquesessentiellesdunprotocolederoutageavecclasse?
Essentiellement deux caractristiques, lune touche linformation de topologie, lautre son traitement. Chaque
- 1-
annoncederouteestassocielinformationdemasque.Leprocessusderoutagerechercheuneroutedanslatable
laidedelalgorithmederecherchedelapluslonguecorrespondancedeprfixe(reliresincessairelasectionRIPv2Le
protocole).
2 QuelssontlesnouveauxchampsinclusdanslemessagedemisejourRIPv2?
Le message de mise jour RIPv2 met profit les parties inutilises du message RIPv1 pour inclure trois nouvelles
informationsdanschaqueentrederoute:lemasque,unchampRoutetagdestindistinguerunerouteexterne
etunchampNextHopquicontientlinformationdeprochainsautquandlerouteurannonceurnoffrepaslechemin
idalverslarouteannonce(reliresincessairelasectionComparaisondesmessagesdeRIPv2avecRIPv1).
3 CitezaumoinsdeuxcaractristiquespartagesparRIPv1etRIPv2.
RIPv1 et RIPv2 partagent la mme mtrique. Le mme nombre de sauts quivaut la mtrique infinie. La rgle de
partagedhorizonestappliqueparlesdeuxprotocoles(reliresincessairelasectionRIPv2Leprotocole).
4 QuelleestladressedemulticastutiliseparRIPv2?Quelssontlesavantagesprfrerdesmisesjour
multidiffusespluttquediffuses?
UnrouteurRIPv2metsesmisesjourversladressemulticast224.0.0.9.Danslemmetemps,lerouteurRIPv2
sinscritdanslegroupemulticast224.0.0.9defaontredestinatairedesmisesjourRIPv2quilreoit.Lavantage
estchercherductdesmachinesquireoiventcesmisesjoursanstreconcernes.Letraitementselimitealors
audcodagedeladresse.Surunrseaudiffusion,puisquelappartenanceaugroupeestrpercuteencouche2,le
filtragepourraitsoprerdslacouche2(reliresincessairelasectionRIPv2Leprotocole).
5 QuandconvientildedsactiverlagrgationautomatiquesurRIPv2?
Ilfautdsactiverlagrgationautomatiquesurlesrouteursplacslafrontiredunrseaumajeurdiscontiguousi,
pour toute autre raison, ladministrateur souhaite voir propager les sousrseaux (relire si ncessaire la section
Rseauxdiscontigus).
6 Quelleestlafonctiondelacommandenetworkutiliselorsdelaconfigurationduprotocolederoutage?
Cettecommandeadeuxobjectifs:identifierlesrseauxquidoiventtreinclusdanslesmisesjourderoutageet
dterminerquellessontlesinterfacesconcernesparlmissionetlarceptiondesmisesjour(reliresincessairela
sectionActivationduprotocole).
7 QuelestlecomportementpardfautdeRIPv2enmatiredagrgationautomatique?
Lagrgation automatique est active par dfaut. Une commande no auto summary en configuration de routeur
dsactivelagrgation automatique. Une commandeshow ip protocolspermetdesassurerdurglageactueldece
paramtre(reliresincessairelasectionRseauxdisontigus).
8 QuelssontlesdeuxtypesdauthentificationsupportsparlimplmentationCISCOduprotocoleRIPv2?Ces
deuxtypestaientilsceuxprvusparlestandard?
LimplmentationCISCOproposelafoislauthentificationparmotdepassesimpleetlauthentificationparsignature
MD5. Seul le premier type est prvu par le standard mais celuici offre un format dauthentification suffisamment
souple pour supporter de nouveaux types dauthentifications sans remise en question lourde (relire si ncessaire la
sectionRIPv2Authentification).
9 UnrouteurRIPv1connatlessousrseaux10.4.0.010.7.0.0durseaumajeur10.0.0.0.Quannoncetilsur
soninterface192.168.1.1/24?
Lerseaumajeur10.0.0.0(reliresincessairelasectionRseauxdiscontigus).
10 Observezlatopologiecidessous:
- 2-
SurlerouteurRTR7A,quarrivetilunpaquetdestin172.16.11.20?
DeparlesannoncesdeRTR7B,RTR7Adisposedunerouteverslerseaumajeur172.16.0.0.Maispuisquelagrgation
automatique est dsactive sur RTR7C, le routeur RTR7A dispose galement de routes plus spcifiques vers
172.16.11.0/24 et 172.16.12.0/24. Puisque lalgorithme utilis pour examiner la table de routage recherche la plus
longuecorrespondancedeprfixe,lepaquetestacheminversRTR7CvialinterfaceS0/0deRTR7A(reliresincessaire
lasectionRseauxdiscontigus).
- 3-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau, ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
Lesconnaissancesetsavoirfaire proposs dans le chapitre Le routage, initiation de louvrage Cisco Notionsde
basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Dcrire le rle des protocoles de routage dynamique et agencer ces protocoles dans une conception de rseau
moderne(objectiftransverse).
Dcrire de quelle manire les mtriques sont utilises par les protocoles de routage et identifier les types de
mtriquesutilisesparlesprotocolesderoutagedynamique(objectiftransverse).
Identifierlescaractristiquesdesprotocolesderoutagevecteurdedistance(objectiftransverse).
DcrirelefonctionnementetlescaractristiquesprincipalesduprotocoleEIGRP(EnhancedInteriorGatewayRouting
Protocol).
Utiliserdescommandesdeconfigurationavancesavecdesrouteursmettanten uvreleprotocoleEIGRP.
ConfigureretvrifierlefonctionnementdebaseduprotocoleEIGRPsurunpetitrseaurout.
Utiliserlescommandesshowetdebugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent
surdepetitsrseauxrouts.
- 1-
Contexte
1.LesobjectifsdeCISCO
CiscorevendiquepoursonprotocolederoutageuntempsdeconvergenceaumoinsaussibonqueceluidOSPF,tout
enaffirmantlesurpasserentermesdeconsommationderessourcesmachines.Avantdedcouvrirlesrellesqualits
de ce protocole, constatons quil est inutile douvrir une polmique car le problme est ailleurs : EIGRP est une
technologie qui appartient CISCO, ce qui limite son dploiement des rseaux 100 % CISCO. La lettre E
dEIGRP signifie Enhanced et rappelle quEIGRP a pour parent le protocole IGRP. Il se trouve quIGRP est un
protocoleavecclasseetquelabandondesclassesimposaitCISCOdelerviser.
DifficiledeclasserEIGRPdanslunedesdeuxfamillesDVoutatsdeliens,dufaitmmedelacommunicationCISCO
sur ce sujet, communication qui a manqu de constance. CISCO a tantt prsent EIGRP comme un protocole DV
amlior,tanttcommeunprotocolehybrideDVtatsdeliens.Pourrsumerlesentimentgnralementaccept,
EIGRPestunprotocoleDVquisecomportecommeunprotocoletatsdeliens.
RappelonsquunrouteursousprotocoleDVpartagetoutcequilsaitmaisuniquementavecsesvoisinsdirectement
connects.loppos,unrouteursousprotocoletatsdeliensannoncepeultatdesesliens,maispartagecette
informationaveclensembledesrouteursdudomaine.
LadescriptionduprotocoleRIPapermisdemesurerlesaffresdontsouffrentlesprotocolesDVetleurpropension
crer des boucles de routage. Ces dfauts intrinsques sont combattus coups dartifices type partage dhorizon,
empoisonnementderoutesettemporisateursderetenue.UnrouteurDVnannoncepaslesroutesquilreoitmais
lesroutescontenuesdanssatable.Uneannoncereueestpasseaucribledelalgorithmederoutageavantdtre
ventuellement installe dans la table, le temps ncessaire diffre dautant la propagation de linformation de
topologiedanslerseau,cecirendparnatureunprotocoleDVlentconverger.
Parailleurs,etpuisquunprotocoleDVannoncedesroutes,lechangementdtatdunseulliendurseaupeutavoir
desconsquencessurdenombreusesroutescequipeutsetraduireparunimportanttraficdacheminementquand
lvnementseproduit.
Inventorier tous ces dfauts renforce instantanment lintrtpourlesprotocolestatsdeliens.Ilestvraiquils
sontpeususceptiblesdeprovoquerdesbouclesderoutage.Ilestvraigalementquuneannoncedelienreuepar
un routeur peut tre transmise au routeur suivant sans dlai, de grands rseaux peuvent ainsi converger
rapidement.Enfin,unchangementdtatdelienprovoquelannonceparlerouteurconcerndunouveltatdulien,
cestmieuxquunetemptedemisesjourderoutesconcernesparlelien.
Gardonsnous pourtant de parer les protocoles tats de liens de toutes les vertus. Car maintenir les bases de
donnesncessairesauprotocoleetdroulerrgulirementlalgorithmedupluscourtchemin(patientez)sonttrs
consommateurs de ressources machine, mmoire et CPU. moins que ce dfaut ne devienne marginal du fait de
lvolutiondelapuissanceetducotdesmachines.
Toutrouteurcalcule,unrouteurDVlefaitavantdenvoyerdesmisesjoursesvoisins,unrouteurtatsdeliens
lefaitaprsavoirconstruitsabasededonnestopologique(patientez).Maisdanslesdeuxcas,chaquerouteurdun
domainemnelensembledesescalculsindividuellementenutilisantlinformationdontildispose.CesticiquEIGRP
se distingue car avec lalgorithme utilis, tout se passe comme si EIGRP rpartissait ses calculs sur lensembledes
routeurs,aveclacluneconsommationparcimonieusedesressourcesrseauetmachine,uneconvergencerapide
(moinsdecinqsecondesselonCISCOdanslaplupartdescas)etunetopologieexemptedeboucles.
2.Caractristiquescls
EIGRP est un protocole de routage sans classe, cest mme la caractristique essentielle qui a justifi son
dveloppementpartirdIGRP.ToutcommeRIPv2,chaqueentrederouteassocieladresserseaulinformation
demasque.VLSMpeuttreutilissansretenue,quilsagissedediviseroudagrgerdesespacesdadresses.
CommelimplmentationCISCOdeRIPv2,EIGRPsupportelauthentificationforteparsignatureMD5deseschanges.
Dernirecaractristiquequifutimportanteparlepass,quinelest plus aujourdhui,EIGRPestcapableautantde
routerleprotocoleIPquelesprotocolesIPXetAppletalk.
Quelquesautrescaractristiques:
LesrouteursdcouvrentleursvoisinspuisentretiennentlesrelationsdevoisinagelaidedemessagesHello
misdefaonpriodique.
La mtrique est composite et peut faire intervenir la bande passante, le dlai, la fiabilit et la charge des
liens.
Lesmisesjourmisesparunrouteursontnonpriodiques,partielles,ciblesetfiables:
- 1-
- 2-
Nonpriodiques:lesmisesjoursontvnementielles,cestdirequellesninterviennentquelors
dunchangementdemtriqueoudetopologie.
Partielles:lesmisesjournecontiennentquelesroutesquiontchangetnontoutlecontenudela
tablederoutage.
Cibles:lesmisesjourenvoyesunvoisinlesontparcequeleschangementsrelatsparlamise
jouraffectentcevoisin.
Fiables : les mises jour sont transportes laide du protocole RTP (Reliable Transport Protocol),
protocoleconuparCISCOetquigarantitlaremise,lintgritetlesquencementdespaquets.
EIGRP est capable de partage de charge cot gal mais aussi, et cest le seul IGP revendiquer cette
facult,capabledepartagedechargecotingalauprixdunelgreconfiguration.
Dtailduprotocole
Comme nous pourrons le vrifier en abordant OSPF un peu plus tard, EIGRP utilise une squence doprations trs
analoguecelleduprotocoletatsdeliens:
1.UnrouteurEIGRPcherchedcouvrirsesvoisinsetfaireconnatresapropreexistence.Pourcefaire,EIGRPgnre
desmessagesHellodefaonrgulireetexploitelesmessagesventuellementreusafindedterminerquisontses
voisins.
2. Ltablissement dune relation de voisinage saccompagne dchanges de mises jour de topologie permettant
deuxvoisinsdgaliserleurperceptionouleurconnaissancedurseau.
3.ChaquerouteurexploitesatabledetopologieEIGRPpourconstruiresatablederoutage.
Ainsi,commeOSPF,EIGRPentretientplusieursbasesdedonnes:
Latabledesvoisinsconsultablelaidedunecommandeshowipeigrpneighbor.
Labasededonnestopologiqueconsultableviashowipeigrptopology.
LatablederoutagequiregroupetouteslesroutesquellessoientissuesdEIGRPoupas,consultablelaidede
lacommandeshowiprouteoumieuxshowiprouteeigrp.
LeproblmesaggraveraencoreavecOSPFmaisilfautbienreconnatrequelacomplexitdEIGRPesttellequonnesait
pas par o commencer. Il est quasi impossible de btir un expos parfaitement linaire et squenc, cestdire un
expos dans lequel le lecteur naurait pas faire des allers et retours. Lauteur rclame donc lindulgence du lecteur
face aux probables nombreuses rfrencesavant. Une rfrenceavant clairement identifie lest par la mention
(patientez).
1.Architecture
Cette illustration na absolument rien dindit, on la retrouve absolument partout. Il faudra pourtant bien un jour
admettrequeseulsubsisteIPetdpoussirerunpeu.Silnyavaitlacraintedunequestiondecertificationportant
surcettearchitecture...
2.Notiondesuccesseurfaisable
EIGRPentretientunetableintermdiaireditetabledetopologiedontildduitsatablederoutage.Lesmisesjour
- 1-
envoyes vers un voisin comportent des informations issues non pas de la table de routage mais de la table de
topologie.Chaquerseaunonencoreconnuetannoncparunvoisinestajoutlatabledetopologie.Silerseau
annoncestdjconnuviaunouplusieursautresvoisins,levoisinquiannonceestajoutlacollectiondevoisins
quiontgalementannonccerseau.
Unrseau(unedestination,uneentredelatabledetopologie)estdplacdelatabledetopologieverslatablede
routagequandilexisteunsuccesseurpotentiel(ousuccesseurfaisable)pourcerseau.Danslacollectiondevoisins
ayantannonclerseau,lessuccesseurspotentielssontceuxquiontannoncunemtriqueinfrieurelamtrique
encoursdanslatablederoutage.Lerouteurconsidrelessuccesseurspotentielscommedesvoisinssitusenaval
visvisdurseauobjet.Autrementdit,lerouteurdoittreenamontdetouslessuccesseurspotentielspourune
routedonne.
Cette premire explication nest certainement pas suffisante, dautres dtails sont fournis dans la section ddie
DUAL.
3.LeprotocoledetransportRTP
Le protocole RTP est un protocole dvelopp par CISCO pour assurer un transport fiable du trafic dacheminement.
Pourquoi ne pas avoir utilis TCP ? Pour au moins deux raisons. La premire est que RTP devait pouvoir sappuyer
indiffremmentsurIP,IPXouAppleTalk.Ilfallaitdoncconcevoirunprotocoleindpendant.Laseconderaisonestque
le fonctionnement de TCP en mode connect qui lui interdit la diffusion. RTP au contraire peut assurer un transport
fiablemaissansconnexion.SionoublieIPXetAppleTalk,RTPsencapsuledansIPetestidentifiparlenumrode
protocole88.RTPestcapabledemultidiffusion,ladressededestinationestdanscecas224.0.0.10,adressedeclasse
DquiidentifielegroupedesrouteursEIGRP.Enfinal,RTPoffreunservicelacarteselonlesexigencesdutransport,
unicastoumulticast,avecousansgarantie:
Garantie de remise : un routeur qui reoit un paquet RTP multicast doit acquitter (cestdire mettre un
paquetaccusderception),illefaitlaidedunpaquetunicast.
Garantiedesquencement:chaquepaquetRTPembarquedeuxnumrosdesquence.Lerouteurmetteur
dun message positionne le numro de squence du paquet. Ce numro est incrment chaque nouveau
paquetmis.Lesecondnumrosertlautresensdefluxetpermetaurouteurmetteurdefairesavoirson
correspondantquelestlenumrodesquencedudernierpaquetreu.
Paquetssansgarantiederemise:RTPestgalementcapabledetransporterdespaquetssansgarantiede
remise(cestunpeucommesiRTPtaittanttcapabledesecomportercommeTCP,tanttcommeUDP).Ces
paquetsnesontpasacquittsetparconsquent,nincluentpasdenumrosdesquence.
RTPtransportecinqtypesdemessages:
LesmessagesHello/Acks:lesmessagesHellosontdiffussetdestinsdcouvrirlesvoisinspuisentretenir
les relations de voisinage. Ces messages ne sont pas acquitts. Un message Hello qui ne comporte pas de
donnes fait office de message dacquittement. Les acquittements sont toujours envoys des adresses
unicast.
Lesmessagesdemisesjour(Updates):cesmessagesportentlinformationdetopologieissuedestables
topologiques.Quandunrouteursedcouvreunnouveauvoisin,illuienvoiedesmessagesdemisesjour
afinquelevoisinpuisseconstruiresatabledetopologie.Lesmessagessontdanscecasenvoysladresse
unicast du voisin. Dans tous les autres cas, par exemple lorsque le cot dun lien change, linformation
intressetouslesvoisinsetlerouteurutilisedesmessagesdemisesjourmultidiffuss.Quandiltransporte
desmessagesdemisesjour,RTPfonctionnedanslemodefiable(lespaquetsdoiventtreacquitts).
Lesmessagesderequteetderponse(Queries/Replies):cesmessagessontutilisssuiteaupassage
ltatactifduneroute.Uneroute(uneentredelabasededonnestopologiquedEIGRP)estdanslundes
deuxtatspassifouactif:
- 2-
Ltat passif signifie que le systme est stable, le routeur nentreprend ni ne participe aucune
recherche ni aucun calcul son sujet (en anglais, cest plus court, les documentations parlent de
Diffusingcomputation ). TantquEIGRP dispose, pour une route donne, dun successeur potentiel
ousuccesseurfaisable(FSouFeasibleSuccessor),uneroutenedoitpasquitterltatPassif.
Silederniersuccesseurpotentieldisparat,laroutepasseltatactifetuncalculdiffusestentrepris
parledomaineEIGRP.Lerouteurquiafaitleconstatquilnedisposaitplusdesuccesseurpotentiel
diffuseunerequtelensembledesesvoisins.Chaquevoisininterrogadeuxchoix:rpondresil
disposedunsuccesseurpotentielpourlarouteobjetdelarequteourpondreparunerequtequi
signifie qu son tour, il initie une recherche. Cest bien en cela quil faut parler de processus ou de
calculdiffus.
ENI Editions - All rigths reserved - Noba Mafiza
Tantquelarouteestdansltatactif,unrouteurnedoitpasmodifierladressedurouteurdeprochainsaut
utilisepouracheminerlespaquetsdestinscetteroute.Cenest quunefoistouteslesrponsesreues
pour une requte donne que la route objet de la requte peut retourner ltat passif et quun nouveau
successeurpeuttredsign.
moinsquellenesoitenvoyeenrponse,unerequteesttoujoursmultidiffuse.Quandelleestutiliseen
tantquerponse,elleestenvoyeladresseunicastdurouteurloriginedelarequte.
Lesmessagesderponsesonttoujoursenvoysladresseunicastdurouteurloriginedelarequte.
Quandiltransportedesrequtesoudesrponses,RTPfonctionnedanslemodefiable.
Les messages de demande (Request) : ces messages sont utiliss quand un routeur souhaite obtenir de
linformation spcifique dun ou plusieurs de ses voisins, dans le cadre dapplications de type Routeserver
(patientez).RTPtransportecesmessagesenmodenonfiable.
4.Entretiendesrelationsdevoisinage
Celaatdit,lesmisesjourdEIGRPnesontpaspriodiques.Laconsquenceestquilestimpossibleunrouteur
dejugerdeltatdesesvoisinsensefondantsurlarceptiondespaquetscorrespondants.LesconcepteursdEIGRP
ont d imaginer un mcanisme de substitution dont lobjet est de dcouvrir puis surveiller les voisins. La solution
retenue passe par lmission priodique de messages Hello. Un message Hello est un message trs court dont le
principalobjetestderendresonmetteurvisibledesvoisins.
Un routeur EIGRP A dcouvre un voisin B quand il en reoit le premier message Hello issu dun rseau directement
connect.QuandlevoisinBestdcouvert,leprocessusEIGRPAcreunenouvelleentredanslatabledevoisinage
et y place entre autres ladresse du voisin B ainsi que linterface via laquelle il a t dcouvert. Puis le routeur A
solliciteDUALafindenvoyeraunouveauvoisinBlatotalitdesatabledetopologie.Illefaitlaidedemessagesde
misesjourunicastdanslesquelsledrapeaudinitialisationestpositionn.LenouveauvoisinBquireoitunmessage
demisejouraveccedrapeaupositionnenvoieaurouteurAsapropretabledetopologie.
EIGRPmetsesmessagesHelloversladressedemultidiffusion224.0.0.10.UnmessageHellonencessitepasdtre
acquitt.LapriodequisparedeuxmessagesHelloest5secondessurleslienslargebandemais60secondessur
leslienslents.
LeslienspourlesquelslapriodedesmessagesHelloest5secondes:
RseauxdiffusiontelsquEthernet,TokenRingetFDDI.
LiensWANpointpoint,ilpeutsagirdelienslousavecencapsulationPPPouHDLC,delienspointpoint
FrameRelayouATM.
Liensmultipointslargebande(suprieureauT11544Kbps)tellesqueRNISaccsprimaireetFrameRelay.
LeslienspourlesquelslapriodedesmessagesHelloest60secondes:
LiensmultipointsdontlabandeestinfrieurecelleduT1.
Ladministrateur peut modifier la priode qui spare deux missions de messages Hello laide de la commande ip
hellointervaleigrpenconfigurationdinterface:
R11(config)#int s0/0
R11(config-if)#ip hello-interval eigrp ?
<1-65535> Autonomous system number
R11(config-if)#ip hello-interval eigrp 64501 ?
<1-65535> Seconds between hello transmissions
R11(config-if)#ip hello-interval eigrp 64501 5
R11(config-if)#
LemessageHellocomporteunchampTempsdemaintien(HoldTime).LerouteurquireoitunmessageHelloarmeun
temporisateuraveccettevaleur.SiletemporisateurexpireavantdavoirtrarmparlemessageHellosuivant,le
- 3-
voisinestjuginjoignableetleprocessusDUALestinformdesaperte.Pardfaut,letempsdemaintienestgal
troispriodesdumessageHello,soit15secondesou180secondesselonlescas.nouveau,ladministrateurpeut
modifiercettevaleurlaidedelacommandeipholdtimeeigrpenconfigurationdinterface:
R11(config)#int s0/0
R11(config-if)#ip hold-time ?
eigrp Enhanced Interior Gateway Routing Protocol (EIGRP)
R11(config-if)#ip hold-time eigrp ?
<1-65535> Autonomous system number
R11(config-if)#ip hold-time eigrp 64501 ?
<1-65535> Seconds before neighbor is considered down
R11(config-if)#ip hold-time eigrp 64501 15
R11(config-if)#
Outresonexistence,unrouteurEIGRPannoncesonpropretempsdemaintiendanssesmessagesHello.Cecivite
que les tempshello_interval ethold_timedoiventtrerglslidentique sur lensembledesrouteursdundomaine
EIGRP. Ladministrateur qui modifie le temps hello_interval doit galement modifier le temps hold_time afin de le
maintenirgaltroispriodeshello_interval.
ComparezletempsncessaireEIGRPpourdtecterladisparitiondunvoisin(15secondesdanslaplupartdescas)
celuiexigparRIP(Temporisateurdinvalidation,180secondes),cestunpremierfacteurvidemmenttrsfavorable
lobtentionduntempsdeconvergencecourt.
Ce nest que depuis une poque rcente (IOS 12.4) que CISCO a jug bon de doter son IOS dune commande
permettantdedcouvrirquelestletempshello_intervalconfigursurunrouteurinconnu.Etsauferreur,laffichage
durglagedutempshold_timemanquetoujours.QuellequesoitlaversiondelIOS,ladministrateurpeutmalgrtout
dduirecesvaleursdelobservationdutemporisateurassocichaquevoisinchezunvoisindurouteurinconnu.La
valeurdecetemporisateurapparatdanslacolonneHolddunecommandeshowipeigrpneighbor:
R102#sh ip eigrp neighbors
IP-EIGRP neighbors for process 100
H
Address
Interface
1
10.0.50.1
Se0/0
2
10.1.100.101
Fa0/1
0
10.1.100.100
Fa0/1
R102#sh ip eigrp n
IP-EIGRP neighbors for process 100
H
Address
Interface
1
10.0.50.1
Se0/0
2
10.1.100.101
Fa0/1
0
10.1.100.100
Fa0/1
R102#sh ip eigrp n
IP-EIGRP neighbors for process 100
H
Address
Interface
1
10.0.50.1
Se0/0
2
10.1.100.101
Fa0/1
0
10.1.100.100
Fa0/1
R102#sh ip eigrp n
IP-EIGRP neighbors for process 100
H
Address
Interface
1
10.0.50.1
Se0/0
2
10.1.100.101
Fa0/1
0
10.1.100.100
Fa0/1
R102#sh ip eigrp n
IP-EIGRP neighbors for process 100
H
Address
Interface
1
2
0
10.0.50.1
10.1.100.101
10.1.100.100
Se0/0
Fa0/1
Fa0/1
Hold Uptime
SRTT
(sec)
(ms)
178 00:12:45 261
14 00:16:01 1113
13 00:16:06 403
Hold Uptime
SRTT
(sec)
(ms)
177 00:12:46 261
13 00:16:03 1113
12 00:16:08 403
Hold Uptime
SRTT
(sec)
(ms)
176 00:12:47 261
12 00:16:04 1113
11 00:16:09 403
Hold Uptime
SRTT
(sec)
(ms)
175 00:12:48 261
11 00:16:05 1113
10 00:16:10 403
Hold Uptime
SRTT
(sec)
(ms)
174 00:12:49 261
10 00:16:06 1113
14 00:16:11 403
RTO
Q
Cnt
1566 0
5000 0
2418 0
Seq Type
Num
19
17
10
RTO
Seq Type
Num
19
17
10
RTO
Seq Type
Num
19
17
10
RTO
Seq Type
Num
19
17
10
RTO
Seq Type
Num
19
17
10
Q
Cnt
1566 0
5000 0
2418 0
Q
Cnt
1566 0
5000 0
2418 0
Q
Cnt
1566 0
5000 0
2418 0
Q
Cnt
1566 0
5000 0
2418 0
Il reste relancer conscutivement plusieurs fois la commande. Sauf perte de messages Hello, le temps observ
volue entre les bornes hold_time et hold_time hello_interval. Un temps qui volue entre 15 et 10 secondes
correspond aux rglages hellointerval 5s et holdtime 15s. Un temps qui volue entre 180 et 120 secondes
- 4-
correspond aux rglages hello_interval 60s et hold_time 180s. Un temps qui voluerait dans un espace diffrent
pourrait signifier des rglages diffrents des valeurs par dfaut, il faut dduire que ladministrateur a configur
manuellementcesvaleurssurlerouteurinconnu.
Observez nouveau la capture cidessus. Elle montre le contenu de la table de voisinage et donc les diffrentes
informationsassocieschaqueentrecredanslatable.Pourunvoisin:
Lapremirecolonnedelacapture,nommeH,renseignesurlordrededcouverteduvoisin.
SonadresseIP.
Linterfacevialaquellelevoisinatdcouvert.
LetemporisateurdemaintienHold.
LetempsUptimeestletempscouldepuisladcouvertedecevoisin.
Le temps SRTT (Smooth RoundTrip Time, temps liss dallerretour) est le temps moyen qui scoule entre
lmissiondunpaquetverscevoisinetlinstantolerouteurmetteurreoitlacquittementdupaquetmis.
LeprocessusEIGRPentretientcettevaleurSRTTafindendduireunevaleurRTO.
Le temps RTO (Retransmission Time Out, en millisecondes) est le temps limite audel duquel le routeur en
attente dun acquittement du voisin provoque un nouvel envoi du message non acquitt. Tout message
gnr par EIGRP est galement plac dans une pile de messages mis et non encore acquitts (un
mcanismesemblableexistedansTCP).SiletemporisateurRTOexpireavantrceptiondunacquittement,le
processusEIGRPmetunenouvelleinstancedumessage.ObservezqueRTOestprisgalsixfoisSRTT,la
valeurrsultanteestbornedanslespace[200ms5000ms].
Le nombre Q count est le nombre de messages mis vers ce voisin mais qui sont encore en attente
dacquittementetsontdoncencoredanslapile.
LenombreSeqNumestlenumrodesquencecontenudansledernierpaquet,misejourourponse,
issudecevoisin.
La commandeshow ip eigrp interfaces detail peut galement se rvler utile. En voici le rsultat sur un IOS 12.4
(Extrait):
R101#sh ip eigrp interfaces detail
IP-EIGRP interfaces for process 100
Xmit Queue
Mean
Pacing Time
Interface
Peers Un/Reliable SRTT
Un/Reliable
Fa1/0
1
0/0
604
0/1
Hello interval is 5 sec
Next xmit serial <none>
Un/reliable mcasts: 0/4 Un/reliable ucasts: 4/9
Mcast exceptions: 3 CR packets: 3 ACKs suppressed: 0
Retransmissions sent: 2 Out-of-sequence rcvd: 0
Authentication mode is not set
Use multicast
Se2/0
1
0/0
617
0/9
Hello interval is 60 sec
Next xmit serial <none>
Multicast
Flow Timer
3664
Xmit Queue
Mean
Pacing Time
Interface
Peers Un/Reliable SRTT
Un/Reliable
Un/reliable mcasts: 0/0 Un/reliable ucasts: 5/14
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0
Retransmissions sent: 2 Out-of-sequence rcvd: 0
Authentication mode is not set
Use unicast
R101#
Multicast
Flow Timer
Pending
Routes
0
3017
Pending
Routes
Pourtrecomplet,observonsquEIGRPignorelesadressessecondairesventuellementattribuesauxinterfaces.Un
trafic dacheminement EIGRP est toujours issu de ladresse primaire attribue linterface. EIGRP ne limite pas le
nombre de voisins quil est capable dajouter sa table de voisinage, la limite vient donc dailleurs, mmoire
- 5-
embarque,consommationCPU,traficdacheminement,etc.
retenir:latabledevoisinagemmorisedesinformationsquidcriventlesvoisinsEIGRPenactivit.
5.LamtriquedEIGRP
La mtrique complexe dEIGRP est calcule de faon identique celle du protocole parent IGRP ceci prs que ses
concepteursontsouhaitdisposerdunegranularitplusfineetontajoutunfacteur256(moinsquilnesagisse
dusouhaitderetombersurunefrontire32bits,lamtriquedIGRPtantexprimesur24bits):
Laformulecomplteexprimantlamtriqueestdonc:
Ladministrateur peut intervenir sur les coefficients laide de la commande metric weights en configuration de
routeur:
R11(config)#router eigrp 64501
R11(config-router)#metric weights ?
<0-8> Type Of Service (Only TOS 0 supported)
R11(config-router)#metric weights 0 ?
<0-255> K1
R11(config-router)#metric weights 0 1 ?
<0-255> K2
R11(config-router)#metric weights 0 1 0 ?
<0-255> K3
R11(config-router)#metric weights 0 1 0 1 ?
<0-255> K4
R11(config-router)#metric weights 0 1 0 1 0 ?
<0-255> K5
R11(config-router)#metric weights 0 1 0 1 0 0 ?
<cr>
R11(config-router)#metric weights 0 1 0 1 0 0
R11(config-router)#
La mtrique dEIGRP peut sembler sophistique mais sans prcaution, cette sophistication pourrait tre contre
productivecarunprotocolederoutageabesoindestabilit.Imaginezqueparcequuneroutesechargetoutcoup,
unrouteurjouelesbisonsfuts,dcidedenadopteruneautreeteninformetoussespetitscamarades.Nousvoil
peuttrelancsdansuneoscillationautoentretenue(laroutesechargedonconlvitedoncellesedchargedonc
onladoptenouveau).Pardfaut,lesfacteursk2,k4etk5sontrgls0,lesfacteursk1etk3sontrgls1.Si
ladministrateurdcidedetenircomptedelachargedanslecalculdelamtriqueenadoptantunevaleurk2diffrente
de zro, alors EIGRP tient compte de la charge mais pas nimporte quand. En fait, cest seulement loccasion de
lmissiondunmessagedemisejournonmotivparunchangementdechargequelachargeestpriseencompte.
Ainsi,aucunrisquedecrerdelinstabilit.Sansfournirdexplication,CISCOdconseilledemanipulerlescoefficients
k1k5,sibienquelaformulesesimplifiebeaucoup:
Cetteformulesimplifieconsidreletuyaudeboutenboutetfaitintervenirlediamtreminimumdecetuyau(la
bandepassante)ainsiquelalongueurdutuyau(lasommedesdlaisdechaquetronon):
- 6-
HlaslIOSnestpastoujourstrscohrentdanslesunitsutilises.Parexemple,lacommandeclockratequipermet
dajuster lhorlogectDCEdun cble backtoback attend une valeur exprime en bps alors que la commande
bandwidthutilepourinformerlIOSdelabandepassantedunlienattendunevaleurexprimeenKbps.Soyonsdonc
trsprcissurcepoint:
BWmin bande passante du lien la moins favorable parmi lensemble des liens qui composent la route
jusquaurseauannonc.Surunrouteurdonn,cettevaleureststatiqueetlIOSladduitautomatiquement
danslecasdesinterfacesLANmaisladministrateurdoitlaconfigurerdanslecasdesinterfacesserial.
dfaut, la valeur de bande adopte par lIOS est celle dun lien T1 (1544 Kbps), US oblige. Ladministrateur
ajuste la valeur associe une interface laide de la commande bandwidth en configuration dinterface.
CettecommandeattendunevaleurgalementexprimeenKbps.
DLY chaque routeur ajoute le dlai de linterface sur laquelle il a reu une information de route au dlai
annonc dans la mise jour. Si bien que le dlai annonc par un routeur donn reprsente la somme des
dlaisjusqularouteannonce.Danslaformuleutilisepourlecalculdelamtrique,lesdlaissexpriment
endizainesdes.Surunrouteurdonn,lIOSassocieundlaichaqueinterfacedefaonstatiqueetselon
letypeetledbitdelinterface.Ladministrateurpeutmodifierlavaleurpardfautassocieuneinterface
laide de la commande delay en configuration dinterface. Cette commande attend une valeur galement
exprimeendizainedes.
Lacapturecidessousmontrecommentintervenirsurcesdeuxrglages.Observezlemotclinheritquipermet
unesousinterfacedhriterdelabandepassanterglesurlinterfaceprincipale.Lemotclreceive,quantlui,
est utile lorsque linterface fonctionne selon des dbits asymtriques et permet de spcifier une bande passante
entrantediffrentedelabandepassantesortante:
R8(config)#int s0/0
R8(config-if)#band
R8(config-if)#bandwidth ?
<1-10000000> Bandwidth in kilobits
inherit
Specify that bandwidth is inherited
receive
Specify receive-side bandwidth
R8(config-if)#bandwidth 5000
R8(config-if)#delay ?
<1-16777215> Throughput delay (tens of microseconds)
R8(config-if)#delay 990
R8(config-if)#
Siladministrateur dcide dignorerlesconseilsdeCISCOetdefaireintervenirchargeetfiabilitdanslecalculdela
mtrique:
Fiabilit(Reliability)pourchaqueinterface,lIOSentretientdescompteursdepaquetsmisetreusainsi
descompteursdepaquetsenerreur(voircapturecidessous).Cescomptagesluipermettentdentretenirde
faondynamiqueunindicedefiabilit.Cetindiceestrangdansunchampde8bits,ilnestdoncpasexprim
en%maisenpour255.Aucunpaquetenerreurimpliqueunindicede255,lindicemaximal.
Charge(Load)lesmmescompteursdepaquetsmisetreuspermettentdecalculerunebandepassante
effectivementoccupepuisdelacomparerlabandepassantedisponiblepourexprimerunindicedecharge.
Commelindicedefiabilit,cetindiceestrangdansunchampde8bits,lindice1indiqueunechargenulle,
lindice255nestjamaisatteint,unindicequidpasse200indiqueunlientrsfortementcharg.
Cesdeuxderniresvaleurssontentretenuesdefaondynamiqueetcalculesselonunemoyennepondreparle
- 7-
temps de faon exponentielle (sic). Cela mrite quelques explications. LIOS utilise la mme mthode pour calculer
lindicedecharge,lindicedefiabilitetledbitconstatenpaquets/secondes.Lensembledescalculsestractualis
toutes les 5 secondes. Pendant 5 secondes et pour chaque sens de flux, lIOS compte les octets qui transitent par
linterfacepuiscomparelecontenuducompteurcequilseraitsiledbitavaittgalauparamtreBandwidth.
Exemple:
BW = 1000 Kbps. Au mieux, pendant 5 secondes, linterface peut voir transiter 5000 Kbits. Durant les 5 dernires
secondesonteffectivementtransit2500Kbits.Lchantillondechargeest0,5.
PuislIOSutiliseuneformuleintgratricedontlobjetestdepondrerleschantillonsselonleurdegrdanciennet.
Lepoidsmaximumestdonnlchantillonleplusrcent:
Letempsdepondration300secondes,soit5minutesestappelloadinterval.Ilestmodifiableparladministrateur
enconfigurationdinterface:
R8(config)#int s0/0
R8(config-if)#load-interval ?
<30-600> Load interval delay in seconds
R8(config-if)#load-interval 30
R8(config-if)#^Z
R8#
Le tableau Excel LOAD_EIGRP.xlsx, disponible en tlchargement, permet de visualiser les effets du rglage load
interval. Imaginons que linterface soit charge 100 % depuis une longue priode et que brusquement le dbit
tombe zro. Les deux tableaux qui suivent comparent lvolution de lindice de charge avec pour lun load
interval = 300s(valeurpardfaut),pourlautreload interval = 30s,valeurminimale:
Certains administrateurs souhaitent que les indices suivent les sollicitations de linterface de faon plus ractive et
diminuentlavaleurloadinterval30secondes.
Une commande show interface fournit la globalit des rglages en cours pouvant intervenir dans le calcul de la
mtrique:
R11#sh int s0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Internet address is 10.0.120.5/30
MTU 1500 bytes, BW 2500 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
- 8-
Un administrateur qui souhaite influer sur le rsultat du calcul de la mtrique peut le faire laide du
paramtredlaiajustlaidedelacommandedelay.
Ilesttempsdtudieruncasconcret.Considrezlatopologiecidessous:
Lescoefficientsk1k5sontceuxpardfautetcestdonclaformulesimplifieducalculdemtriquequiestutilise.
Quand R12 annonce connatre LAN_12, il le fait en annonant la bande passante et le dlai associs son
interfaceF0/0,soitBW=100000KbpsetDLY=10x10s.
Quand R8 reoit une annonce de R12 au sujet de LAN_12, R8 compare la bande passante annonce et la
bandepassantedelinterfacequireoit.R8neretientquelaplusbassedesdeuxvaleurs,5000Kbpsdansle
cas prsent. R8 ajoute le dlai annonc au dlai associ linterface qui reoit, ce qui porte le dlai total
(990+10)x10=1000x10s.
QuandR8annonceconnatreLAN_12,illefaitenannonantunebandepassantede5000Kbpsetundlaide
1000x10s.
Quand R11 reoit une annonce de R8 au sujet de LAN_12, R11 compare la bande passante annonce et la
bandepassantedelinterfacequireoit.R11neretientquelaplusbassedesdeuxvaleurs,2500Kbpsdansle
casprsent.R11ajouteledlaiannoncaudlaiassocilinterfacequireoit,cequiporteledlaitotal
(1000+2000)x10=3000x10s.
- 9-
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute
versLAN_12vuedesrouteursR8etR11.LetableauExcelfournimriteuneexplicationsurlafaondeleremplir.Le
tableau prvoit dix liens maximum entre le rseau de destination et le routeur considr. Chaque ligne du tableau
correspond un lien pour lequel il suffit de complter les deux cellules BW en Kbps et DLY en s. Pour une ligne
donne,cestdirepourunlien,cesontlesparamtresBWetDLYdelinterfacequireoitquilconvientdeconsigner
dansletableau.Pourchaqueligne,letableauExcelretientlabandepassantelamoinsfavorableetfaitlasommedes
dlaisafindexprimerlamtriqueIGRPpuisdenextrapolerlamtriqueEIGRP.Appliquaucasprsent:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR12
100000
100
100000
100
110
28160
S0/0deR8
5000
9900
5000
10000
3000
768000
S0/0deR11
2500
20000
2500
30000
7000
1792000
Lamtrique768000estdonccellecalculeparR8,cequenouspouvonsvrifierlaidedunecommande showip
routesurcerouteur:
R8#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
D
C
C
R8#
ToujourspourlarouteversLAN_12,lamtrique1792000estcellecalculeparR11:
R11#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
D
D
C
R11#
6.Constructiondelatabletopologique
RIP et IGRP transmettaient leurs tables de routage leurs voisins, nous avons vu que ce mode de propagation de
linformationcontribuaitdgraderletempsdeconvergence.EIGRPentretientunetableintermdiaireditetablede
topologiedontildduitsatablederoutage.Lesmisesjourenvoyesversunvoisincomportentdesinformations
issuesnonpasdelatablederoutagemaisdelatabledetopologie.Ilestpossibledexamineruncontenupartielde
cettetablelaidedunecommandeshowipeigrptopology:
R11#sh ip eigrp topology ?
<1-65535>
AS Number
A.B.C.D
IP prefix <network>/<length>, e.g., 192.168.0.0/16
A.B.C.D
Network to display information about
active
Show only active entries
all-links
Show all links in topology table
detail-links
Show all links in topology table
pending
Show only entries pending transmission
summary
Show a summary of the topology table
zero-successors Show only zero successor entries
|
Output modifiers
<cr>
- 10 -
1 successors, FD is 1792000
(1792000/768000), Serial0/0
1 successors, FD is 1789440
(1789440/765440), Serial0/0
1 successors, FD is 1536000
Serial0/0
Lentredanscettebasededonnesestlerseau.Chaquenouveaurseauannoncparunvoisinestajoutdansla
table. Si ce rseau tait dj prsent dans la table mais annonc antrieurement par un autre voisin, le voisin qui
lannoncecettefoisestajoutsibienquelentrecomprendlensembledesvoisinsquiontannonccettedestination.
chaquevoisin,lentreenregistrelamtriqueannonce,ilsagitdeladistancequisparecevoisindeladestination
telquillaplacdanssatablederoutage.Autrementdit,larouteannonceesteffectivementcellequelevoisinutilise
pouracheminerlespaquetsverscettedestination(souvenonsnousquecestluntraitdecaractredesprotocoles
DV).
En fait, dans cette table, EIGRP collecte linformation ncessaire lui permettant la cration densembles [distance,
vecteur]pourchaquerseauconnu.Dansledtail,pourchaquesousentredevoisindansuneentrederseau,il
sagitde:
La bande passante la plus faible rencontre sur le chemin qui mne au rseau annonc, telle quelle est
annonceparlevoisin.
Ledlaitotaldummecheminquimneaurseauannonc.
Lafiabilitdummechemin.
Lachargedummechemin.
LeMTUminimumdecechemin,parmilesMTUdesdiffrentstrononsquicomposentlechemin.Onsesouvient
queleMTU(MaximumTransmissionUnit)estlacapacitdemportdelatrameencouche2.Unesectionassez
dtailletraitecesujetdanslechapitreLacoucheTransportTCP/IPdelouvrageCiscoNotionsdebasesur
les rseaux dans la collection Certifications aux Editions ENI. Chaque routeur qui reoit une annonce de
rseaucomparelinformationMTUplacedanslannonceauMTUdelinterfacequireoitetneretientquela
plusfaibledesdeuxvaleurs.ToutsepassecommesiEIGRPavaitintgrlobjectifduprotocolePMTUd(Path
MTUDiscovery,dcritdansleRFC1191)dontlobjetestdedcouvrirquelestleMTUidalentredeuxhtes,
cestdireceluiquivitelafragmentation.
Ladistanceannonce(Reporteddistance).Enralit,cettedistancenestpasannoncestrictosensumais
cest tout comme puisque le voisin fournit lensemble des lments qui ont servi son propre calcul (BW,
DLY,fiabilitetcharge).
Lasourcedapprentissagedelaroute(Sagitildunerouteinterneouexterne?).
Retenezcettedfinitiontemporaire:latabledetopologiecontientlalistedesroutesconnues.
Cettedfinitionseraamandeaprsavoirdfinilanotiondesuccesseurfaisable.
7.Espacementdesmisesjour
EIGRPesttrssoucieuxdenepasaccaparerlabandepassantedeslienspoursonpropreusage.Pardfaut,letrafic
dacheminement sur un lien noccupe pas plus de 50 % de la bande passante disponible. Ladministrateur peut
intervenir sur ce pourcentage laide de la commande ip bandwidthpercent eigrp en configuration dinterface. La
syntaxedecettecommandeest:
Router(config-if)#ip bandwidth-percent eigrp as-number percent
...dontlesargumentssontlessuivants:
- 11 -
asnumber
NumrodAS.
maskpercent
PartdebandepassantequEIGRPpeututiliser,exprimeen%.
Letrssrieuxdocumentn16406tlchargeablesurlesiteCISCOetddiEIGRPexpliquelaprocduremiseen
placeparleconstructeur.Lafiguresuivantedevraitaiderencomprendreleprincipe:
chaquefoisquEIGRPdoitmettreunpaquet(unquelconquemessageencapsuldansRTP),cepaquetestplacen
file dattente et EIGRP diffre son mission dun temps gal au temps quoccuperait le paquet sil tait mis sur
linterfaceavecundbitgallabandepassantealloueEIGRP(maissi!).Faisonsquelquesessaispourmesurerla
portedunetelledcision.
ImaginonsquEIGRPdoivemettreunpaquetde1000bits,queledbitdelinterfacergllaidedelacommande
bandwidth soit 2000 bits/s et que le pourcentage de dbit autoris EIGRP soit laiss la valeur par dfaut soit
50 %.LafractiondudbitallouEIGRPestdonc1000bits/s.Letempsdupaquetcedbitest1seconde.EIGRP
attend une seconde puis met le paquet 2000 bits/s, le temps dmission est 0,5 secondes. En final, EIGRP na
occup le canal que pendant le tiers du temps et en fait doccupation 50 %, nous plafonnons en ralit 33 %
(mathmatiquesCISCOsansdoute).
Traitonsundeuximeetdernierexemple,touteschosestantgalessauflepourcentageallouEIGRP,cettefois
rglparladministrateur25%.LafractiondudbitalloueEIGRPestdonc500bits/s.cerythme,letempsdu
paquetest2secondes.EIGRPattend2secondespuismetlepaquetaurythmedelinterface,letempsdmission
estencore0,5secondes.Enfinal,EIGRPnaoccuplecanalquependant20%dutempstotal.
Bref,limportantestdeconstaterquEIGRPfaitcequildit,cestdirequilnedpassepaslabandepassantequelui
octroieladministrateur.
8.AlgorithmeDUAL
Lalgorithme DUAL (Diffusing Update ALgorithm) remplace lalgorithme dit BellmanFord en usage dans RIP. On le doit
auxtravauxinitisparM.E.W.DijkstraetM.C.S.ScholtenpuisdveloppsparM.J.J.GarciaLunaAceves.Ontrouve
sansdifficultlespublicationscorrespondantessurInternetetnotamment:
AunifiedApproachtoLoopfreeRoutingusingDistanceVectorsorLinkStatespubliedanslarevueACMSIGCOMM
ComputerCommunicationsReviewVol19,Issue4enseptembre1989.
DUALpermetEIGRPdedterminerlemeilleurcheminsansbouclemaisaussilesalternativesdesecourssansboucle.
- 12 -
a.Lesuccesseur,Notiondedistancedefaisabilit
Delacollectiondevoisinsassocisuneentrerseaudanslatabletopologique,lerouteurchoisitlesuccesseur
cestdirelevoisinquipermetderejoindreladestinationaveclameilleuremtrique.Ladistanceenquestion,cest
dire la mtrique calcule via le successeur, prend alors le nom de distance faisable (FD, Feasible Distance). La
distancefaisableestgalementajoutelatabletopologiqueassocielentrerseauetcestcettedistanceque
lerouteurplacedanssapropretablederoutageetannoncerasesvoisinspourlerseauenquestion.
b.Conditiondefaisabilitetsuccesseurspotentiels
Considrezlatopologiecidessous:
LamtriqueutilisedanscetexempleestlamtriqueIGRP(divisezlamtriqueEIGRPpar256)afindemanipulerdes
nombrespluspetits.
PourlerouteurR1,lameilleurerouteversLAN_DpasseparR2aucotde5000.Autrementdit,ladistancefaisable
pourrejoindreLAN_DestFD=5000.
LerouteurXconnatgalementLAN_DetlannonceaucotdexRD=x.
R1ajouteXsacollectiondevoisinsquiconnaissentLAN_D.ImaginonsmaintenantqueleliendeR1R2vienne
tomber.R1peutsubstituerXR2laconditionqueXnutilisepasR1pourfaireprogresserlespaquetsdestins
LAN_D.Autrementdit,lecheminviaXdoittreexemptdeboucleetR1doitpouvoirsenpersuader.
LasolutionconsistepourR1comparerladistancerapporteparXladistancefaisablepourLAN_D:
RD<FD?
Silarponseestnon,parexemplesiRD=7000,ilestpossibleque7000rsulteducotdeR1versLAN_D
additionnaucotduliendeXR1.Cenestpascertainmaisilyaunrisque.
Silarponseestoui,parexemplesiRD=2000,alorsR1peutavoirlacertitudequelecheminconnuparX
pour rejoindre LAN_D ne passe pas par lui. Cette condition ralise fait de X un successeur potentiel ou
successeurfaisable.EncasdedfaillanceducheminparR2,R1peutinstantanmentluisubstituerlechemin
parX.
Cetteconditionestappeleconditiondefaisabilit(Feasibilitycondition).CestlegrandtrucdEIGRP.Lacondition
defaisabilitnestpasuneconditionncessaire,ilpeutexisterdestopologiesexemptesdebouclepourlesquelles
RDseraitsuprieurFD.Maiscestuneconditionsuffisante:dsqueRDestinfrieurFD,onpeuttrecertainque
latopologieestexemptedeboucle.
Parmilesvoisinsrestantsayantannonclerseau,lessuccesseurspotentielssontceuxpourlesquelslacondition
defaisabilitestrespecte,cestdireceuxquiontannoncunemtriqueinfrieurelamtriqueencoursdansla
table de routage. Il est possible quaucun des voisins ne respecte cette condition et dans ce cas, le routeur ne
dispose daucun successeur potentiel. Il est possible que parmi ces voisins non potentiels, lun deux offre une
alternativesansbouclemaisEIGRPnepeutentresretprfrelignorer.Enadoptantlaconditiondefaisabilit,
EIGRP passera peuttrectduneroutepossiblequilauraitpusubstituerlarouteencoursdfaillantemais
EIGRPneprendpasderisque.
Ancronscesnotionsavecdeuxexemples.
- 13 -
LadministrateurvrifiequeR8connateffectivementdeuxvoisins:
R8#sh ip eigrp neighbors
IP-EIGRP neighbors for process 64501
H
Address
Interface
1
0
10.0.120.6
10.0.120.2
Se0/1
Se0/0
Hold Uptime
SRTT
(sec)
(ms)
12 00:00:02 292
14 00:00:10
40
RTO
Q
Cnt
2280 0
1140 0
Seq Type
Num
10
13
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute
versLAN_16vuedesrouteursR8etR11:
Lien
BW(Kbps)
DLY(s)
BW
rsultante
DLYrsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR16
10000
100
10000
100
1010
258560
F0/0deR11
10000
100
10000
200
1020
261120
S0/0deR8
128
1000
128
1200
78245
20030720
RptonslecalculmaiscettefoisviaR12:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR16
10000
100
10000
100
1010
258560
F0/0deR12
10000
100
10000
200
1020
261120
S0/1deR8
64
1000
64
1200
156370
40030720
IlestdonctabliquelerouteurR8disposededeuxalternativespourrejoindreLAN_16:
LarouteviaR11aucotde20030720dontladistancerapporte(lecottelquilestcalculparR11pour
rejoindreLAN_16)est261120.
LarouteviaR12aucotde40030720dontladistancerapporte(lecottelquilestcalculparR12pour
rejoindreLAN_16)estgalement261120.
Unecommandeshowipeigrptopologyconfirmenoscalculs:
- 14 -
D
C
C
D
R8#
LadministrateurestheureuxetcommencetrouverEIGRPdcidmentbienplaisant.
Complexifionsunpeunotrescnario:
LadministrateurvrifiequeR8connateffectivementdeuxvoisins:
R8#sh ip eigrp neighbors
IP-EIGRP neighbors for process 64501
H
Address
Interface
Hold Uptime
SRTT
RTO
Seq Type
- 15 -
1
0
10.0.120.2
10.0.120.10
(sec)
(ms)
12 00:01:25
45
13 00:01:43
44
Se0/0
Se0/2
1140
2280
Cnt Num
0 28
0 17
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute
versLAN_16vuedesrouteursR8etR11:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR16
10000
100
10000
100
1010
258560
F0/0deR11
10000
100
10000
200
1020
261120
S0/0deR8
128
1000
128
1200
78245
20030720
RptonslecalculmaiscettefoisviaR9:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR16
10000
100
10000
100
1010
258560
F0/0deR12
10000
100
10000
200
1020
261120
S0/0deR9
64
1000
64
1200
156370
40030720
S0/0deR8
64
1000
64
2200
156470
40056320
IlestdonctabliquelerouteurR8disposededeuxalternativespourrejoindreLAN_16:
LarouteviaR11aucotde20030720dontladistancerapporte(lecottelquilestcalculparR11pour
rejoindreLAN_16)est261120.
LarouteviaR9aucotde40056320dontladistancerapporte(lecottelquilestcalculparR9pour
rejoindreLAN_16)est40030720.
Unecommandeshowipeigrptopologyconfirmepartiellementnoscalculs:
R8#sh ip eigrp topology
IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.0.16.0/24, 1 successors, FD is 20030720
via 10.0.120.2 (20030720/261120), Serial0/0
P 10.0.120.0/30, 1 successors, FD is 20025600
via Connected, Serial0/0
P 10.0.120.8/30, 1 successors, FD is 40025600
via Connected, Serial0/2
P 10.0.120.12/30, 1 successors, FD is 40051200
via 10.0.120.10 (40051200/40025600), Serial0/2
via 10.0.120.2 (40053760/40028160), Serial0/0
P 10.0.131.0/24, 1 successors, FD is 20028160
via 10.0.120.2 (20028160/258560), Serial0/0
R8 choisit la route au meilleur cot, cest donc la route via R11, la mtrique de cette route devient la distance
faisable,R11estlesuccesseur.MaispuisqueladistancereporteparR9estsuprieureladistancefaisable,R8ne
considre pas R9 comme un successeur faisable. Cest pourquoi seul le voisin R11 apparat dans la table de
topologiepourlerseau10.0.16.0/24.Enralit,latabledetopologiecomportebienlesdeuxvoisinscestdirele
successeuretlevoisinsimple(nisuccesseur,nisuccesseurfaisable)maispourlobserver,ilfaututiliserlacommande
showipeigrptopologyassocieaumotcloptionnelalllinks:
R8#sh ip eigrp topology all-links
- 16 -
D
C
C
D
D
R8#
Le vrai changement ne peut sobserver quen cas de dfaillance de la route vers LAN_16. Dans le scnario
prcdent, R8 pouvait instantanment basculer sur lalternative via le successeur potentiel R12. Dans le scnario
prsent,imaginonsquelelienentreR8etR11tombe.R8constatequelaseulealternativequilestautorisutiliser
versLAN_16vientdedisparatre.IlresteR8interrogertoussesvoisinsenesprantquelun deuxconnaisse
LAN_16. R9, seul routeur voisin restant, rpond quil connat LAN_16. R8 accepte la proposition et fait de R9 le
nouveausuccesseur.
Le temps de convergence est un peu plus long mais encore trs bref, le questionnement nayant pas dpass le
routeurvoisinR9.Pourvrifiercecomportement,ilsuffitdelancerunecommandedebugipeigrppuisdeprovoquer
une dfaillance en un point de la route vers LAN_16 (dans un atelier ralis sous GNS3, un clic droit sur R11 puis
Suspendre).ObservezlarequtedeR8,lavaleur4294967295estledlaiannoncpourLAN_16(FFFFFFFF)etdoit
tre interprte comme un rseau injoignable. Observez la rponse de R9 et la mtrique calcule par R8 pour
rejoindre LAN_16 partir des paramtres BW et DLY fournis par R9, soit 40 056 320. Observez enfin le cot
ractualisdelarouteversLAN_16danslatablederoutage:
R8#debug ip eigrp
00:15:43: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 10.0.120.2 (Serial0/0) is up:
new adjacency
R8#debug ip eigrp
IP-EIGRP Route Events debugging is on
R8#
00:16:26: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 10.0.120.2 (Serial0/0) is
down: holding time expired
R8#
00:16:26: IP-EIGRP: 10.0.16.0/24 - do advertise out Serial0/2 !>>> La requte R9
00:16:26: IP-EIGRP: Int 10.0.16.0/24 metric 4294967295 - 20000000 4294967295
00:16:26: IP-EIGRP: 10.0.131.0/24 - do advertise out Serial0/2
00:16:26: IP-EIGRP: Int 10.0.131.0/24 metric 4294967295 - 20000000 4294967295
00:16:26: IP-EIGRP: Processing incoming REPLY packet !>>>La rponse de R9
00:16:26: IP-EIGRP: Int 10.0.16.0/24 M 40056320 - 40000000 56320 SM 40030720 40000000 30720
.........
R8#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
- 17 -
.........
Gateway of last resort is not set
D
C
D
D
R8#
Ladministrateur a galement pris la prcaution en outre de lancer une capture Wireshark sur le lien S0/2 de R8
(capturecap_2H_01.pcapdisponibleentlchargement).Ouvrezlacaptureetobservezlasquencesuivante:
Trame27 Requte de R8, ladresse de destination est ladresse unicast de R9. Le numro de squence
RTPest54.
Trame 28 R9 acquitte la requte laide dun message Hello sans donnes, numro de squence RTP
acquitt54.
Trame29R9rpondlarequteeninformantR8desoncotversLAN_16.LenumrodesquenceRTP
est50.
Trame30R8acquittelarponse.
Trame31R8envoieunmessagedemisejourR9pourlinformerqueLAN_16estinjoignableparlui.De
quoipeutilsagir?Remmorezvouslesmcanismesquiavaientpermis,plusoumoinsbien,dempcherles
boucles dans RIP. Mais oui, cest une manifestation de type partage dhorizon avec empoisonnement de
routeinverse!
c.DUAL,synthsepartielle
cestade,unesynthsepartiellenestsansdoutepassuperflue:
Unsuccesseurestunvoisinquelerouteurutilisepourfaireprogresserlespaquets.Lesuccesseurestchoisi
parmilesvoisinsparcequiloffrelalternativeaumeilleurcotjusquaurseaudedestination.Attention,cest
aussiceluiquenousavionsdsignjusquprsentparrouteurdeprochainsaut,maisilfautnousadapter
laterminologieEIGRP.
Ladistancequisparelerouteurdurseaudedestinationvialesuccesseurestappeledistancefaisable
oudistancedefaisabilit(FD,FeasibleDistance).
Unsuccesseurpotentielousuccesseurfaisable(FS,FeasibleSuccessor)estunvoisinquisatisfaitlacondition
defaisabilit,cestdiredontladistanceannonceourapporte(RD,ReportedDistance)estinfrieurela
distancefaisable.
Laconditiondefaisabilit(FC)estremplielorsqueladistanceannonce(ourapporte)parunvoisin(RD)
estinfrieureladistancefaisable(FD).Satisfairelaconditiondefaisabilitassurequelevoisinoffreune
alternativesansboucle.
La table topologique EIGRP contient lensemble des routes connues qui ont un successeur faisable. la
premireannoncedunrseauinconnujusquel,ladistancefaisabletaitinfinieetlevoisinquiannoncela
routeremplitobligatoirementlaconditiondefaisabilit.Levoisinresteunsuccesseurfaisablemaisdevient
enoutrelesuccesseur,ladistancefaisableestmisejour.
Chaqueroutepeutavoirtannonceparplusieursvoisins,latabledetopologielesinventorie.chaque
voisin,latabletopologiqueassociedeuxmtriques:(xD/RD).xDestlecotducheminquisparelerouteur
du rseau de destination, via le voisin. RD est le cot du chemin qui spare le voisin du rseau de
destination.Lesvoisinsseclassententroiscatgories:
- 18 -
Lessuccesseurs,cestdirelesvoisinsquiprsententlapluspetitevaleurxD,cettevaleurdevient
FD,ladistancedefaisabilit.
Lessuccesseurspotentiels,cestdirelesvoisinspourlesquelsRD<FD.
Lesvoisinssimples,cestdirelesvoisinsquinesontnisuccesseurs,nisuccesseurspotentiels.
Unecommandeshowipeigrptopologymontrelecontenupartieldelatabledetopologie,lesvoisinssimplessont
ignors. Une commande show ip eigrp topology alllinks montre tous les chemins possibles, voisins simples y
compris.
Unrouteurquidisposedaumoinsunsuccesseurpotentielpourunrseaupeutbasculerdefaonquasiinstantane
verslecheminvialesuccesseurpotentielquandlecheminvialesuccesseurestdfaillant.Ceciexpliqueenbonne
partielesperformancesdEIGRPenmatiredetempsdeconvergence.Enfinal,EIGRPfonctionneradautantmieux
quelesrouteursdisposentdesuccesseurspotentiels.
Unvoisinesttoujoursunrouteurmaisunmmerouteurpeuttrevoisinplusieursfois.
Considrezlatopologiecidessous:
R12 est quatre fois voisin de R11 parce quil existe quatre liens parallles entre R11 et R12, ce que confirme une
commandeshowipeigrptopology(Extrait):
R11#sh ip eigrp topology
IP-EIGRP Topology Table for AS(64501)/ID(10.1.101.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.1.102.0/24, 1 successors, FD is 1154560
via 10.0.120.2 (1154560/28160), Serial0/0
via 10.0.120.6 (1794560/28160), Serial0/1
via 10.0.120.14 (5634560/28160), Serial0/3
via 10.0.120.10 (3074560/28160), Serial0/2
.........
R11#
d.Notiondecalculdiffus
EIGRPpeutsetrouverdansuntatstable,cestvidemmentlesouhaitdeladministrateur,quandchaqueroutequi
compose la table de topologie est ltat passif. Observez le rsultat de la commande show ip eigrp topology
immdiatement prcdente. Ltat passif de la route est rappel par la lettre P en premire colonne associe
lentrederoutedanslatabletopologique.
Unrouteurestamenremettreenquestionsalistedesuccesseursfaisablespouruneroutequandseproduitlun
desvnementssuivants:
Unliendirectementconnectchangedecot(probablementsuiteuneinterventiondeladministrateur).
Unliendirectementconnectchangedtat.
Lerouteurreoitunmessageparmilesmessagesmisejour(Update),derequte(Query)ouderponse
(Reply).
Lapremiretapedecetteremiseenquestionconsistervaluerlocalementladistancequisparelerouteurde
ladestination,cepourchaquesuccesseurfaisable.Lespremiersrsultatspossiblesdececalcullocalsont:
1.Ilexisteunsuccesseurfaisablequiprsentedsormaisunmeilleurcotquelesuccesseuractuelcesuccesseur
faisableprendlaplacedusuccesseur.
- 19 -
2.LanouvelledistancecalculevialesuccesseuractuelestplusfavorablequeladistancefaisableEIGRPmet
jourladistancefaisable.
Dans ces deux premiers cas, la distance faisable a chang. Notez bien que, pendant cette phase locale de
rvaluation,larouteestresteltatpassif.Maisfinalement,levrairsultatdecettervaluationseramne
uneseulequestion:ouiounon,lerouteuratiltrouvunsuccesseurfaisablepourlarouteenquestion?
Ouiunmessagedemisejourestenvoytouslesvoisinsmaislarouterestedansltatpassif.
Non le routeur est contraint dentamer une procdure de calcul diffus (Diffusingcomputation), la route passe
ltatactif.
Uneroutepasseltatactifquandilnexistepasdesuccesseurfaisabledanslatabledetopologie.
Tant que la procdure de calcul diffus nest pas acheve et donc tant que la route nest pas retourne ltat
passif,leslatitudesdurouteurausujetdelarouteincriminesontdespluslimites.Ilnepeut:
nichangerlesuccesseurdecetteroute
nichangerladistanceannoncepourcetteroute
nichangerladistancefaisabledecetteroute
nidclencherunautrecalculdiffuspourcetteroute.
La phase de calcul diffus dbute par une requte envoye chacun des voisins. La requte porte la nouvelle
distance rsultat de la phase locale de rvaluation. Chaque voisin qui reoit la requte dbute son tour une
phase locale de rvaluation. Comme pour le routeur dorigine, le rsultat est binaire : oui ou non, le voisin atil
trouvunsuccesseurfaisablepourlerseaudedestination?
Ouilevoisinrpondlarequtequiadclenchchezluicettephasedervaluation.Larponsecontient
lemeilleurcotconnuduvoisinpourrejoindreladestination.
Nonsontour,levoisinfaitpasserlaroutedansltatactifetentameuneprocduredecalculdiffus.
Lafiguresuivantetentedillustrerlephnomnelchelledunrseau:
- 20 -
Ainsi,ladiffusionducalculprenddelampleurdanslerseauaufuretmesurequedesrequtessontenvoyes
maisvoitsonampleurdiminueraufuretmesurequelesrponsessontreues.
Lerouteurmetteurdetouterequteenvoyeunvoisinpositionnedanslemmetempsundrapeau,appelonsle
drapeau de rponse r afin de se souvenir que cette requte est encore en attente de rponse. En premire
approche,laprocduredecalculdiffusprendfinquandlerouteurnaplusaucundrapeauderponsepositionn
pourlarouteobjetdelaprocdure,cestdirequandlerouteurareuunerponsechaquequestionpose.
Il peut arriver quune question reste sans rponse. Les raisons sont chercher dans des rseaux physiques de
qualitinsuffisanteoudansunearchitectureinadapte(patientez).Pourseprmunirdequestionsquiresteraient
sansrponse,lerouteurquientameuneprocduredecalculdiffusarmedanslemmetempsuntemporisateur
Routeactive,autempsinitialde3minutes.Siletemporisateurexpireavantquetouteslesrequtesnaientreu
leursrponses,larouteestdclareSIA(StuckInActive,littralementcoincedansltatactif).Lejugementest
sansappelpourleoulesvoisinsquinontpasrpondu:ilssontretirsdelatabledevoisinage(ilsnesontdonc
plus voisins) et la procdure de calcul diffus considre la nonrponse comme quivalent une rponse avec
mtriqueinfinie.
La perte dun voisin qui rsulte dune nonrponse est un vnement grave, on devine que les consquences
peuvent tre funestes et lobjectif de ladministrateur est videmment dviter cote que cote les routes SIA, au
besoinenrexaminantlarchitecturedesonrseau.Cestpourquoiunesectionddieleurestconsacre.
Ensecondeapproche,cettefoisdfinitive,laprocduredecalculdiffusprendfinquandpourchaquequestion,une
rponseatreueouunenonrponseatpriseencomptesuitelexpirationdutemporisateurRouteactive
.Cetachvementsetraduitpar:
Leretourltatpassifdelaroute.
LepositionnementdeFDlavaleurinfinieparlerouteurloriginedelaprocdure,ceafinquetoutvoisin
ayant rpondu avec une mtrique finie puisse satisfaire la condition de faisabilit et devenir successeur
faisable.Parmicessuccesseursfaisables,lerouteurchoisitlesuccesseur,cestceluiquipermetderejoindre
la destination avec la meilleure mtrique. La valeur de FD est nouveau modifie et le statut des
successeurs potentiels est rvalu, ceux qui ne satisfont plus la condition de faisabilit sont rtrograds
voisinssimples.
e.LautomatetatsfinisdeDUAL
RgirlefonctionnementdeDUALtelquil vient dtredcritestlefaitdunemachinetatsfinis(FSM,FiniteState
Machine).UnemachineFSMestunemachineabstraitequelesinformaticiensutilisentlorsquilfautdcrirepuisgrer
- 21 -
unfonctionnementconstitudtatsetdetransitionsentretats,lefranchissementdestransitionstantprovoqu
par des vnements. La machine FSM est galement lautomate des automaticiens. Quand ltat N est vrai, si
lvnementassocilatransitiondeNversN+1seproduit,alorslautomatepasseltatN+1.
Exemple : lascenseur est larrt,jappuie sur le bouton Monter, lascenseur quitte ltat Arrt et passe dans un
tatMonte.
Avant le franchissement de la transition, ltat N tait vrai. Aprs son franchissement, ltat N nest plus vrai mais
ltatN+1lest.Lemodedereprsentationdelautomatediffreselonquelonestinformaticienouautomaticien.Le
premierutiliseundiagrammedtats.Ilsagitdungrapheorientdontlestatssontlessommetsetlestransitions
les artes tiquetes. Le second (lautomaticien) utilise un graphe tapes/Transitions appel Grafcet (trait en
annexe).
Il nyapasdtudes de protocoles sans tude de diagrammes dtats. Par exemple, louvrageCisco Notions de
basesurlesrseauxdanslacollectionCertificationsauxEditionsENIavaitillustrlefonctionnementduclientDHCP
laide de lun de ces diagrammes. Le chapitre ddi OSPF dans cet ouvrage offre loccasion dtudierplusieurs
machinestatsfinispourlesquelslauteuraprfrutiliserunmodedereprsentationinspirduGrafcet.
Ce qui est possible pour OSPF parce quilsagit dun standard de lInternet publi dans un RFC ne lest plus pour
EIGRPquiest,rappelonsle,unprotocolepropritaire.LatrsvolumineusedocumentationdeCISCOfournieautour
dEIGRPvoquelamachineDUALFSMdenombreusesreprisessansjamaisfournirlesdtailsdimplmentation.
Quelelecteurserassure,noussommes,unefoisdeplus,largementaudeldesattendusdelacertificationCCNA.
Tentonsdenbtirunereprsentationentraitantlexemplecidessous:
SimulonsunedfaillancedurseauLAN_21lextrmitdroitedurseauenprovoquantunshutdownsurlinterface
F0/0 de R21. R21 entame sa phase locale de rvaluation, ne trouve pas de successeur faisable pour LAN_21 et
poursuitavecuneprocduredecalculdiffus.LaroutepasseltatactifetR21envoieunerequteR16:
LactivitdelautomateDUALFSMpeuttrevisualiselaidedunecommandedebugeigrpfsm:
R21#debug eigrp fsm
EIGRP FSM Events/Actions debugging is on
R21#conf t
Enter configuration commands, one per line.
- 22 -
R21(config)#int f0/0
R21(config-if)#shutdown
R21(config-if)#
00:07:39: DUAL: rcvupdate: 192.168.3.0/24 via Connected metric
4294967295/4294967295
00:07:39: DUAL: Find FS for dest 192.168.3.0/24. FD is 258560, RD is 258560
00:07:39: DUAL:
0.0.0.0 metric 4294967295/4294967295 not found Dmin is
4294967295
00:07:39: DUAL: Dest 192.168.3.0/24 entering active state.
00:07:39: DUAL: Set reply-status table. Count is 1.
00:07:39: DUAL: Not doing split horizon
00:07:41: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to
administratively down
00:07:42: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to down
00:07:44: DUAL: dest(192.168.3.0/24) active
LerouteurR16reoitlarequtedeR21.Cetterequteprendunsensparticulierparcequellemanedusuccesseur
connu de R16 pour la route LAN_21. Cet vnement provoque chez R16 lexcution de la phase de rvaluation
locale, R16 cherche un successeur faisable pour LAN_21. R16 nen trouve pas, marque la route comme tant
injoignable,faitpasserlarouteltatactifpuisenvoieunerequtesursesdeuxvoisinsR11etR12:
LactivitcorrespondanteobservelaidedunecommandedebugeigrpfsmsurR16:
R16#debug eigrp fsm
EIGRP FSM Events/Actions debugging is on
00:07:19: DUAL: rcvquery: 192.168.3.0/24 via 192.168.2.21 metric
4294967295/4294967295, RD is 20028160
00:07:19: DUAL: Find FS for dest 192.168.3.0/24. FD is 20028160, RD is 20028160
00:07:19: DUAL:
192.168.2.21 metric 4294967295/4294967295 not foundDmin
is4294967295
00:07:19: DUAL: Dest 192.168.3.0/24 entering active state.
De la mme faon, les routeurs R11 et R12 font le constat que la seule route faisable vers LAN_21 est perdue,
marquent la route comme tant injoignable puis envoient tous deux une requte au routeur R8. Une commande
debug eigrp fsm permet de dcouvrir que la requte issue de R11 est vue en premier. En ralit, lordre importe
peu,lersultatfinalseralemme:
R8#
03:01:48: DUAL:
RD is 20056320
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
Lacapturecidessusncessiteunpeudeconcentration.Quesestilpass?
- 23 -
Message1R8reoitlarequteduvoisinR11quisetrouvetregalementlesuccesseur.Cetvnement
provoque chez R8 lexcution de la phase de rvaluation locale, R8 cherche un successeur faisable pour
LAN_21.
Messages2,3et4R8trouvedanssatabledetopologiequeR12estunsuccesseurpotentiel(sadistance
rapporteest20030720effectivementinfrieureladistancefaisable20056320).
Message5R8rpondlarequtedeR11enannonantladistancefaisableviaR12.
Message6R8installelenouveausuccesseurdanslatablederoutage.
Messages7et8R8informesesvoisinsduchangementdecotlaidedemessagesdemisesjour.
PresqueaussittparvientlarequtedeR12:
R8#
03:01:48: DUAL:
RD is 40056320
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
4294967295
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
found
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
03:01:48: DUAL:
R8#
- 24 -
Message1:R8reoitlarequteduvoisinR12.Jusquprsent,laroutetaitrestedansltatpassif.Cet
vnementprovoqueunenouvelleexcutiondelaphasedervaluationlocale.
Messages24:R12taitlesuccesseur,R8chercheunnouveausuccesseurfaisablesanssuccs.
Chacun des deux routeurs R11 et R12 rpond R16 puis fait retourner la route ltat passif. Par exemple pour
R11:
R11#debug
EIGRP FSM
00:07:25:
00:07:25:
00:07:25:
00:07:25:
00:07:25:
found
00:07:25:
00:07:25:
00:07:25:
00:07:25:
00:07:25:
00:07:25:
R11#
eigrp fsm
Events/Actions debugging is on
DUAL: rcvreply: 192.168.3.0/24 via 10.0.120.1 metric 4294967295/4294967295
DUAL: reply count is 1
DUAL: Clearing handle 0, count now 0
DUAL: Freeing reply status table
DUAL: Find FS for dest 192.168.3.0/24. FD is 4294967295, RD is 4294967295
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
PourR12:
R12#
03:21:25:
03:21:25:
03:21:25:
03:21:25:
03:21:25:
found
03:21:25:
03:21:25:
03:21:25:
03:21:26:
03:21:26:
R12#
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
DUAL:
- 25 -
Onremonteprogressivementverslerouteurloriginedelaprocduredecalculdiffus:
R16#debug eigrp fsm
.........
00:07:19: DUAL: Set reply-status table. Count is 2.
00:07:19: DUAL: Doing split horizon on Serial0/0
00:07:19: DUAL: Going from state 1 to state 3
00:07:21: DUAL: dest(192.168.3.0/24) active
00:07:21: DUAL: rcvreply: 192.168.3.0/24 via 192.168.1.12 metric
4294967295/4294967295
00:07:21: DUAL: reply count is 2
00:07:21: DUAL: Clearing handle 2, count now 1
00:07:21: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.1.12
00:07:21: DUAL: dest(192.168.3.0/24) active
00:07:21: DUAL: rcvquery: 192.168.3.0/24 via 192.168.1.12 metric
4294967295/4294967295, RD is 4294967295
00:07:21: DUAL: send REPLY(r1/n1) about 192.168.3.0/24 to 192.168.1.12
00:07:24: DUAL: dest(192.168.3.0/24) active
00:07:24: DUAL: rcvreply: 192.168.3.0/24 via 192.168.1.11 metric
4294967295/4294967295
00:07:24: DUAL: reply count is 1
00:07:24: DUAL: Clearing handle 0, count now 0
00:07:24: DUAL: Freeing reply status table
00:07:24: DUAL: Find FS for dest 192.168.3.0/24. FD is 4294967295, RD is 4294967295
found
00:07:24: DUAL: send REPLY(r1/n1) about 192.168.3.0/24 to 192.168.2.21
00:07:24: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.1.11
00:07:24: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.1.12
00:07:24: DUAL: Going from state 3 to state 1
00:07:24: DUAL: Removing dest 192.168.3.0/24, nexthop 192.168.2.21
00:07:24: DUAL: No routes. Flushing dest 192.168.3.0/24
R16#
Pourenfinacheverlaprocduresurlerouteurquilainiti:
- 26 -
9.FormatdespaquetsEIGRP
Puisque EIGRP dispose de son propre protocole de transport, il sencapsule directement dans IP, identifi par le
numrodeprotocole88.LalongueurdupaquetEIGRPestdonclimitelacapacitdemportdudatagrammeIP,soit
leMTUdiminudelentteIP.LadressededestinationIPestselonlescas(relirelasectionLeprotocoledetransport
RTP) ladresse multicast 224.0.0.10 qui identifie le groupe des routeurs EIGRP ou ladresse unicast dun routeur.
Ladressesourceesttoujoursladresse de linterfacequiaservimettrelepaquet.LentteIPestsuividunen
tte EIGRP luimme suivi dun certain nombre de triplets TLVs (Type/Length/Value). Les TLVs transportent les
informationsderoutesmaisaussidesparamtresutileslagestionduprotocoleetnotammentdeDUAL.Leformat
gnraldupaquetestlesuivant:
Version:EIGRPaconnudeuxrvisionsmajeures,touteslesversionsdIOSaudelde11.1(3)disposent
desaversionlaplusrcente.Lenumrodeversion,2danslescapturesdEIGRPobservesavecWireshark
danscechapitre,identifieuneversionparticulireduprocessusEIGRP.Ladministrateurpeutobtenirensavoir
laidedunecommandeshipeigrpneighbordetail:
- 27 -
Address
Interface
Hold Uptime
SRTT
(sec)
(ms)
1
10.0.120.2
Se0/0
12 03:22:16
66
Version 12.2/1.2, Retrans: 1, Retries: 0
0
10.0.120.6
Se0/1
10 03:22:57
52
Version 12.2/1.2, Retrans: 0, Retries: 0
R8#
RTO
Q Seq Type
Cnt Num
1140 0 110
2280
121
Opcode:identifieletypedepaquetEIGRP,update,query,reply,Hello...
Checksum:cettesommedecontrlesappliquelatotalitdupaquetEIGRP,entteIPexclue.
Flags:seulsdeuxbitssontutiliss.LebitdepoidsfaibleI(Init)estutilislorsdeltablissementdune
nouvelle relation de voisinage (relire la section Entretien des relations de voisinage). Le bit de poids 2
ConditionalReceiveestutilisparlalgorithmedemultidiffusionfiable(messagesmultidiffuss,acquittements
unicast)deRTP.
SeqNumber,AckNumber:utilesaumcanismedefiabilitprocurparRTP.UnmessagefiabledeRTP
qui porte le numro de squence N doit tre acquitt par un message dacquittement dont le numro
dacquittementestN.Pourvousenconvaincre,observezsincessairelestramesn19,20et21delacapture
Wireshark cap_2H_02.pcap disponible en tlchargement. Cette capture a t ralise sur le LAN_131 qui
connecte R11, R12 et R16 dans la topologie prcdente (mise en uvre pour illustrer le fonctionnement de
DUAL). En trame 19, R16 met un message multicast dont le numro de squence est 18, numro
dacquittement 0. En trame 20, R11 acquitte le message, le numro de squence est 0, le numro
dacquittementest18.Entrame21,cestautourdeR12dacquitterlemessage,lenumrodacquittementest
18.ObservezquelesmessagesdacquittementsontenralitdesmessagesHello(Opcode=5)maisquele
protocole na aucune difficult distinguer car un vritable message Hello est toujours diffus et par
consquent,sonchampnumrodacquittementesttoujours0.
AutonomousSystemNumber:identifieledomaineEIGRP.UnprocessusEIGRPidentifiparunnumrodAS
nexploiteunpaquetEIGRPquesilportelemmenumrodAS.
Le corps du message EIGRP est constitu de un ou plusieurs triplets TLVs. Chaque TLV dbute par un champ type
exprimsurdeuxoctetssuividunchamplongueurgalementsurdeuxoctets.Lalongueurenquestionestcelledu
TLV, champs type et longueur inclus. Le champ valeur qui suit type et longueur est fonction du type du TLV. Nous
nexaminerons videmment pas tous les types de TLVs, ne seraitce que parce que les TLVs spcifiques IPX ou
AppleTalkontperdudeleurintrtaveclaprdominancedIP.
a.TLVsgnraux
ObservezlextraitdecaptureWiresharkciaprs:
- 28 -
AinsilesmessagesHellodEIGRPembarquentdefaonsystmatiquedeuxTLVsditsgnrauxcestdireutilesla
gestionduprotocoleEIGRPproprementdit:
LeTLVdeparamtresdontleformatestlesuivant:
Lelecteurreconnatrasansdifficultlescoefficientsk1k5utilissparEIGRPpourcalculerlesdistancesdesroutes,
ainsiquelavaleurHoldTimeutilepoursurveillerlesrelationsdevoisinage:
LeTLVVersiondelogicieldontleformatestlesuivant:
- 29 -
b.TLVsIP
DeuxtypesdeTLVssontddisautransportdinformationderoutes:
LeTLVRouteinternecontientunedestinationappriselintrieurdusystmeautonomeEIGRP.
LeTLVRouteexternecontientunerouteredistribue(remplacezparrcupre)danslesystmeautonome
EIGRPetissuedunautreprocessusderoutage.
ChaqueTLVIPcontientuneentrederoute.ChaquemessageEIGRPparmilesmessagesdemisejour,derequte
etderponsecontientaumoinsunTLVIP.
LeformatduTLVRouteinterneestlesuivant:
...dontleschampssont:
NextHop:leplussouventlerouteurdeprochainsautestlerouteurdontestissuelinformationderoute,
linformation Next Hop est dans ce cas inutile et le champ reste 0.0.0.0. Il peut arriver dans des
circonstancesparticuliresquelerouteurdeprochainsautnepuissesannoncerluimme.LechampNext
Hop vient alors point nomm pour indiquer quelle adresse IP il convient de remettre directement les
paquets sans passer par le routeur lorigine de lannonce EIGRP. Ladresse de saut suivant est une
adressedirectementconnecteausousrseausurlequelesteffectuelannonce.0000danslechampNext
HopindiquequeleroutagedoitsefairevialerouteurloriginedelannonceEIGRP.
Delay:sommedesdlaisdetouteslesinterfacesentrantesplacesentrelerseaudedestinationetle
routeurquiannonce,exprimeendizainesdemicrosecondes.Cechampoccupait24bitspourleprotocole
parentIGRPetenoccupe32danslaversionEIGRPsuitelajoutdufacteur256.
Undlai0xFFFFFFFFindiqueunerouteinjoignable!
- 30 -
Bandwidth:bandepassantelaplusfaibleparmilesbandespassantesdetouteslesinterfacesentrantes
places entre le rseau de destination et le routeur qui annonce. Ce champ occupait 24 bits pour le
protocoleparentIGRPetenoccupe32danslaversionEIGRPsuitelajoutdufacteur256.EIGRPyplacele
rsultatducalculsuivant:
MTU : MTUminimumduchemin,parmilesMTUdesdiffrentstrononsquicomposentlechemin.Onse
souvientqueleMTU(MaximumTransmissionUnit)estlacapacitdemportdelatrameencouche2,oucequi
estquivalent,lalongueurmaximaledudatagrammeIP.Biensr,cetteinformationneparticipepasaucalcul
delamtrique.
Hop Count:nombredesautspourrejoindrelerseaudedestination.Lerouteurauquellerseauest
directement connect annonce 0, chaque routeur subsquent incrmente la valeur et annonce la valeur
incrmente.
Reliability:fiabilit.Pourchaqueinterface,lIOSentretientdescompteursdepaquetsmisetreusainsi
quedescompteursdepaquetsenerreur.Cescomptagesluipermettentdentretenirdefaondynamiqueun
indicedefiabilit.Cetindiceestrangdansunchampde8bits,ilnestdoncpasexprimen%maisen
pour 255 . Aucun paquet en erreur implique un indice de 255, lindice maximal (dtails complmentaires
danslasectionLamtriquedEIGRP).
Load : charge. Les mmes compteurs de paquets mis et reus permettent de calculer une bande
passanteeffectivementoccupepuisdelacomparerlabandepassantedisponiblepourexprimerunindice
decharge.Commelindice de fiabilit, cet indice est rang dans un champ de 8 bits, lindice1indiqueune
charge nulle, lindice 255 nest jamais atteint, un indice qui dpasse 200 indique un lien trs fortement
charg(dtailscomplmentairesdanslasectionLamtriquedEIGRP).
PrefixLength:nombredebitsdumasquerseau.
Destination:adressededestinationdelaroute.Lalongueurdecechampdpenddelavaleurcontenue
danslechampLongueurdeprfixe.Exemples:
10.8.0.0/16:lechampLongueurcontient16,lechampDestinationoccupe2octetsquicontiennent
10.8.
172.16.0.96/27 : le champ Longueur contient 27, le champ Destination occupe 4 octets parce que
ladressedestinationest172.16.0.96quioccupeplusde3octets.Lesbitsnonutilissparladresse
dedestinationsontlaisss0.Enfinal,lechampDestinationoccupede14octets.
LeformatduTLVRouteexterneestlesuivant:
...dontleschampssont:
- 31 -
NextHop:descriptionidentiqueauchampcorrespondantduTLVRoutesinternesIP.
OriginatedRouter:adresseIPouidentifiantdurouteurquiaredistribu(rcupr)larouteexternedans
cesystmeautonomeEIGRP.
OriginatedAutonomousSystemNumber:numrodelASdontlarouteestissue.
ArbitraryTag:utiledanslaredistributionderoutesentreprotocolesderoutage.Lacommandesettagen
mode configurationroutemap permet de marquer une route rcupre, la commande match tag quant
elle,permetdenercupreruneroutequesielleportelemarquageattendu.
ExternalProtocolMetric:mtriquetellequelletaitconnueduprotocoleexternepourcetteroute.
Exemple:unerouteatapprisedepuisleprotocoleRIPavecunnombredesauts(lamtriquede
RIP)gal3puisredistribuedanscetASEIGRP:lechampOriginatedRouterporteladresseIP
durouteurEIGRPquiarcuprcetteroute,lechampOriginated AS Numberreste0puisque
RIPneconnatpascetteinformation,lechampExternalProtocolMetricportelavaleur3etenfinle
champExternalProtocolIDidentifieRIPparlavaleur0x04.
10.Agrgationderoutes
Pour mmoire, un protocole de routage sans classe, tel EIGRP, inclut le masque ou la longueur de prfixe dans ses
annoncesderoutes.CestcequiapermislabandondesclassesdadressesetladoptiondeVLSM.Pourautant,EIGRP
peut continuer se comporter avec classe , cest ce quil fait lorsque ladministrateur laisse lagrgation
automatiqueactive,ellelestpardfaut.Cecomportementestrassurantetprudentpourlensembledurseaucaril
concourtmaintenirdestablesderoutageraisonnables.Pourtant,ladministrateurpeuttreconduitdsactiver
cette agrgation automatique, cest notamment le cas lorsque plusieurs parties dun domaine sont fdres par un
rseaudetransit,commeillustrdansltudedecasciaprs.
Laconsquencedeladsactivationdelagrgationautomatiqueestlinflationdunombredentresdanslestablesde
routage, inflation que ne pouvait contenir un protocole de routage tel RIPv2 faute doutils. EIGRP propose fort
heureusementundveloppementintressantenoffrantunmcanismedagrgationmanuelle.
a.Agrgationautomatiquederoutes
ReprenonslatopologieduchapitreprcdentquiavaitserviillustrerlecomportementdeRIPfacedesrseaux
discontigus.Pourmmoire,nousavionsaffectdesadressesdelexclasseCauxliensWANissusdurouteurRTR7A
afindescinderledomainecouvertpar172.16.0.0entroisparties:
- 32 -
EIGRParemplacRIPsurchacundesrouteursdelatopologiequiparticipentdsormaisausystmeautonomen
64501.Unefoistouslesrouteurscorrectementconfigurs,unelecturedelatablederoutagedurouteurRTR7Aest
difiante:cerouteurconnattroisalternativescotgalvers172.16.0.0etsapprtefairedelarpartitionde
charge. Tout premier paquet dun flux destin 172.16.0.0/24 et trait par RTR7A a une chance sur trois dtre
acheminverslapartiequiconvientdudomainecouvertpar172.16.0.0:
RTR7A#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
D
- 33 -
[OK]
RTR7B#
RTR7D
RTR7B(config)#router eigrp 64501
RTR7B(config-router)#no auto-summary
RTR7B(config-router)#^Z
RTR7B#
RTR7B#wr
Building configuration...
[OK]
RTR7B#
Le rglage du paramtre dagrgation, automatique ou pas, peut tre vrifi laide dune commande show ip
protocols.ExemplesurRTR7C(extrait):
RTR7C#sh ip prot
Routing Protocol is "eigrp 64501"
.........
EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
EIGRP maximum hopcount 100
EIGRP maximum metric variance 1
Redistributing: eigrp 64501
Automatic network summarization is not in effect
.........
Distance: internal 90 external 170
RTR7C#
Unecommandeshow ip routesurRTR7Arassureimmdiatementladministrateur.Eneffet,ledomainecouvertpar
172.16.0.0doitcomporterque10sousrseaux,lacommandenousavertitqueRTR7Aenconnat10:
RTR7A#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 10 subnets, 5 masks
172.16.0.184/30 [90/2681856] via 192.168.0.254, 00:06:11, Serial0/1
172.16.0.176/29 [90/2684416] via 192.168.0.254, 00:06:07, Serial0/1
172.16.0.160/28 [90/2684416] via 192.168.0.254, 00:06:07, Serial0/1
172.16.0.128/27 [90/2172416] via 192.168.0.254, 00:06:11, Serial0/1
172.16.0.208/28 [90/2172416] via 192.168.0.246, 00:04:09, Serial0/2
172.16.0.192/28 [90/2172416] via 192.168.0.246, 00:06:37, Serial0/2
172.16.0.0/26 [90/2172416] via 192.168.0.249, 00:00:28, Serial0/0
172.16.0.96/30 [90/2681856] via 192.168.0.249, 00:00:28, Serial0/0
172.16.0.80/28 [90/2684416] via 192.168.0.249, 00:00:28, Serial0/0
172.16.0.64/28 [90/2684416] via 192.168.0.249, 00:00:28, Serial0/0
192.168.0.0/30 is subnetted, 3 subnets
C
192.168.0.248 is directly connected, Serial0/0
C
192.168.0.252 is directly connected, Serial0/1
C
192.168.0.244 is directly connected, Serial0/2
RTR7A#
D
D
D
D
D
D
D
D
D
D
b.Agrgationmanuellederoutes
Lesbesoinsdagrgationamnentprciserlesnotionsderseaudetransitetrseaudextrmit:
Rseaudetransit
Onreconnatunrseaudetransitaufaitquaucunedesadressessourceetdestinationdespaquetsobservssurce
rseaunappartientcerseau.Lespaquetsnefontquepassersurunrseaudetransit.
Rseaudextrmit(Stubnetwork)
Un rseau dextrmit na quun seul routeur attach. Chaque paquet observ sur un rseau dextrmit a, soit
- 34 -
ladressesource,soitladressedestinationquiappartientcerseau.Lesinterfacesdeloopbacksontconsidres
commedesrseauxdextrmitetannoncescommetels.
Lagrgation de routes doit toujours tre recherche car elle rduit la taille des tables de routage et par suite,
diminueletempsderecherchedunedestinationdanslatable.Uneautreconsquencenonvoquejusquprsent
estquesiunrseaunestpasannoncexplicitementmaislestautraversdunagrgat,seschangementsdtat
upoudownsetrouventmasqusetnesontpaspropagsdanslerestedurseau.Voilquidiminuedautant
letraficdacheminementdanslesrseauxdetransit.
Lagrgatdoitregrouperautantdeprfixesquepossiblemaispasplus.Autrementdit,touslesrseauxannoncs
parlagrgatviauneinterfacederouteurdoiventeffectivementtreaccessiblesparcetteinterface.Onsesouvient
galement quon ne peut agrger des rseaux quen nombres gaux des puissances de 2 (notre tableau VLSM
dichotomique):
Ilestsouhaitabledagrgerlesagrgatsquandcestpossible:
Revenons notre tude de cas en construisant le tableau dichotomique de lespacedadressage utilis, savoir
172.16.0.0/24. Les routeurs concerns par la configuration dagrgations ont t placs sur la partie de lespace
dadressageconvenable:
- 35 -
Lagrgationseconfiguresurlinterfacesortante.Quatreagrgationssontpossiblesdanslecasprsent:
- 36 -
RTR7Epeutannoncer172.16.0.64/27sursoninterfaceS0/0.
RTR7Cpeutannoncer172.16.0.0/25sursoninterfaceS0/0.
RTR7Bpeutannoncer172.16.0.192/27sursoninterfaceS0/0.
RTR7Dpeutannoncer172.16.0.128/26sursoninterfaceS0/1.
Lacommandeutileestipsummaryaddressentrerenconfigurationdinterface,dontlasyntaxeestlasuivante:
ip summary-address eigrp as-number network-address subnet-mask [admin-distance]
...etdontlesargumentssontlessuivants:
asnumber
NumrodAS.
networkaddress
Leprfixedelagrgat.
subnetmask
Unmasqueordinaireetnonunmasquegnrique.
admindistance
Optionnel, lagrgat peut tre annonc avec une distance administrative particulire. La valeur doit appartenir
lespace [0 255]. On se souvient que la distance administrative par dfaut dEIGRP est 90 quand il sagit dune
routeEIGRPinterne,170quandlarouteEIGRPestexterne.
Ilresteconfigurerlesagrgatssurlesrouteursconcerns:
RTR7E
RTR7E(config)#int s0/0
RTR7E(config-if)#ip summary-address eigrp 64501 172.16.0.64 255.255.255.224
RTR7E(config-if)#
00:16:09: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 172.16.0.97 (Serial0/0) is
down: summary configured
00:16:10: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 172.16.0.97 (Serial0/0) is
up: new adjacency
RTR7E(config-if)#^Z
RTR7E#
RTR7C
RTR7C(config)#int s0/0
RTR7C(config-if)#ip summary-address eigrp 64501 172.16.0.0 255.255.255.128
RTR7C(config-if)#^Z
RTR7C#
RTR7B
RTR7B(config)#int s0/0
RTR7B(config-if)#ip summary-address eigrp 64501 172.16.0.192 255.255.255.224
RTR7B(config-if)#^Z
RTR7B#
RTR7D
RTR7D(config)#int s0/1
RTR7D(config-if)#ip summary-address eigrp 64501 172.16.0.128 255.255.255.192
RTR7D(config-if)#^Z
RTR7D#
- 37 -
NotrerseaudetransitseramneauseulrouteurRTR7Asurlequelladministrateurobserveavecsatisfactionune
diminutionconsquenteduvolumedelatablederoutage:
RTR7A#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 3 masks
172.16.0.128/26 [90/2172416] via 192.168.0.254, 00:01:43, Serial0/1
172.16.0.192/27 [90/2172416] via 192.168.0.246, 00:04:06, Serial0/2
172.16.0.0/25 [90/2172416] via 192.168.0.249, 00:06:39, Serial0/0
192.168.0.0/30 is subnetted, 3 subnets
C
192.168.0.248 is directly connected, Serial0/0
C
192.168.0.252 is directly connected, Serial0/1
C
192.168.0.244 is directly connected, Serial0/2
RTR7A#
D
D
D
Ilestintressantdobservergalementcequestdevenuelatablederoutagedelundesrouteursquiagrge.Par
exemple,surRTR7C:
RTR7C#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 6 subnets, 4 masks
172.16.0.128/26 [90/2684416] via 192.168.0.250, 00:00:09, Serial0/0
172.16.0.192/27 [90/2684416] via 192.168.0.250, 00:00:09, Serial0/0
172.16.0.0/25 is a summary, 00:02:35, Null0
172.16.0.0/26 is directly connected, FastEthernet0/0
172.16.0.96/30 is directly connected, Serial0/1
172.16.0.64/27 [90/2172416] via 172.16.0.98, 00:02:30, Serial0/1
192.168.0.0/30 is subnetted, 3 subnets
C
192.168.0.248 is directly connected, Serial0/0
D
192.168.0.252 [90/2681856] via 192.168.0.250, 00:00:09, Serial0/0
D
192.168.0.244 [90/2681856] via 192.168.0.250, 00:00:09, Serial0/0
RTR7C#
D
D
D
C
C
D
Ainsi,lerouteurainstallunerouteverslagrgat172.16.0.0/25,routedontleprochainsautestlinterfacevirtuelle
Null0.ToutpaquetreuparRTR7Cetdestinlagrgatmaispourlequellerouteurnauraitpasderseauenfant
plusspcifiqueseraitdtruit.
EIGRPutilisecetteinterfaceafindliminerlespaquetsquicorrespondentlarouteparentmaispourlesquelsaucun
desrseauxenfantsnecorrespondladressededestinationdespaquets.EIGRPinclutdefaonautomatiqueune
routersumeverslinterfaceNull0chaquefoisquelunedecesdeuxconditionsexiste:
Unrsumderouteestactiv,quilsoitautomatiqueoumanuel.
UnouplusieurssousrseauxdurseauagrgexistentquionttapprisparEIGRP.
retenir:lerouteurconfigurpouragrgerplusieursprfixesnannoncelagrgatquesilconnataumoins
lun des prfixes de lagrgat. Dans le mme temps, il installe dans la table de routage une route pour
lagrgatverslinterfaceNull0afindliminerlespaquetsdestinslagrgatetpourlesquelsilnedisposeraitpas
deroutespcifique.
c.Routepardfaut
Pourlacirconstance,nousrutiliseronsuncontexteprparantrieurement,ilavaitserviillustrerlapropagation
- 38 -
delaroutepardfautdansundomaineRIP:
Le scnario est le suivant : sur R220, nous installerons une route par dfaut vers le routeur FAI puis nous
assureronsquEIGRPpropageeffectivementcetterouteauxautresrouteursdelatopologie.
tape1:surchaquerouteur,remplacerRIPparEIGRP
ParexemplesurR220:
Appliqueaucasprsent:
R220(config)#ip default-network ?
A.B.C.D IP address of default network
R220(config)#no ip default-network 192.168.12.0
R220(config)#^Z
R220#
tape3:surR220,activeruneroutestatiqueverslerouteurFAI
laidedunecommandeiprouteenmodedeconfigurationglobale:
laidedunecommanderedistributeenmodeconfigurationderouteur:
- 39 -
laidedunecommandeshowiproutesurR220:
R220#sh ip
Codes: C D .........
Gateway of
C
C
D
D
C
D
D
D
D
S*
R220#
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
last resort is 192.168.12.126 to network 0.0.0.0
Serial0/0
Serial0/1
Serial0/0
Serial0/0
Serial0/1
Serial0/1
Serial0/1
tape6:vrifierlapropagationdelaroutepardfautsurlesautresrouteurs
laidedunecommandeshowiproutesurR120parexemple:
R120#sh ip
Codes: C D .........
Gateway of
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
last resort is 172.16.34.22 to network 0.0.0.0
Observezlaroutepardfautcandidateassocieladistanceadministrative170puisquepourEIGRP,ilsagitdune
route externe. Observez galement ladresse IP affecte la passerelle de dernier recours 172.16.34.22, soit
ladresseIPdelinterfaceS0/1surR220.CQFD.
touthasard,letableausuivantaidecomprendreladistanceaffiche40514560delaroutecandidate:
- 40 -
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0de
10000
100
10000
100
1010
258560
R220
S0/1de
R120
64
20000
64
20100
158260
40514560
Nous aurions pu utiliser la commande defaultmetric en configuration de routeur pour ajuster les paramtres
bandwidth,delay,chargeetreliabilitydelaroutestatiqueintroduitedansEIGRP.Enfait,cestinutileparcequEIGRP
saitredistribuer(rcuprer)lecotdelaroutestatique(ilsauraitgalementrcuprerlecotdunerouteissuedun
autreASEIGRP).Enrevanche,silavaitfalluredistribuerdesroutesissuesdunautreprotocolederoutagetelRIPou
OSPF,alorslacommande defaultmetricoulemotcl metricassocierlacommanderedistribute auraient t
utiles.
Dernireremarque:sinquiterducotduncheminlorsquelecheminestuniquenapasbeaucoupdesens,cestde
toutefaonlecheminquEIGRPadoptera.Cetteremarquesappliqueaucasdelaroutepardfaut.
Bonus:ilestpossibledefiltrerlasortiedunecommandeshowlaideduntube.Letubeestentrlaidedu
caractre|.SurunclavierAZERTY,cecaractresobtientaveclacombinaisondesdeuxtouches[Alt Gr] 6.Trois
motsclspermettentdeprciserlactiondufiltre:begin,includeetexclude.Troisexemplesdevraient
montrersibesointoutlintrtdelachose:
Exemple1:ladministrateurutiliseunfiltrebeginpourafficherlecontenudufichierdeconfigurationpartir
deslignesquiconcernentlaconfigurationduprotocolederoutage:
Exemple 2 : ladministrateur utilise un filtre include afin de nafficher que les lignes qui comportent la
squenceip:
Exemple3:ladministrateurutiliseunfiltreexcludeafindesupprimerleslignesdecommentaires:
- 41 -
Building configuration...
Current configuration : 821 bytes
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname R220
memory-size iomem 15
ip subnet-zero
call rsvp-sync
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.128
duplex auto
speed auto
interface Serial0/0
bandwidth 128
ip address 172.16.43.22 255.255.255.0
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface Serial0/1
bandwidth 64
ip address 172.16.34.22 255.255.255.0
router eigrp 64501
redistribute static metric 10000 100 255 1 1500
network 172.16.0.0
auto-summary
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.12.126
ip http server
dial-peer cor custom
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
login
end
R220#
Cedernierexemplepourraitservlerutilequandladministrateurdcidedeplaceruneconfigurationdansunfichier
textepouruntravailhorsinterfaceILC.Biensr,ilestpossibledappliquercesfiltrestoutecommandeshow.
11.Partagedecharge
LechapitreLeroutagestatiqueaintroduitlanotiondepartagedechargecotgaloucotingaletadcritles
deuxmodesdecommutationFastswitchingetProcessswitching.Afindenepaseffaroucherlelecteur,cette
description,sanstrefaussentaitquepartielle.CompltonslaennignorantpluslemcanismedecommutationCEF
(CiscoExpressForwarding).
Pourmmoire,lepartagedechargeconsisterpartirletraficversunemmedestination(encouche3)surplusieurs
liens. Quand un routeur dcouvre plusieurs alternatives vers une destination, sa table de routage peut comporter
plusieursentrespourcettedestination.Parexemple:
R110b#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
I
10.0.1.192/27 [115/10] via 10.0.1.234
[115/10] via 10.0.1.226
[115/10] via 10.0.1.236
.........
R110b#
Leplusordinairement,lesalternativesontmmemtriquemaiscertainsprotocolesderoutage,dontEIGRP,savent
- 42 -
placerdanslatablederoutagedesalternativescotingal.
Lepartagedechargeesttroitementliaumcanismedecommutationdurouteur,mcanismechargdeplacerun
paquet dune file de sortie dans la trame convenable puis dmettre cette trame sur linterface choisie. En effet, au
niveau3,strictosensu,lafonctionderoutagedoitrapprocherlespaquetsdeleurdestinationviauncheminetillui
importepeudesavoirqueplusieurscheminsexistent.Maislebonsensrecommandedefaireensortequelabande
passantedisponiblesoitutilisedelafaonlaplusefficace.Dautantqueprvoirunmcanismedepartagedecharge
nencessiteriendeplusquedelarflexionetdelaconfigurationsurlerouteurconsidr.
Lenombredecheminsalternatifsutilissestlimitparlenombredentresquepeutplacerunprotocolederoutage
danslatablederoutagepourunemmedestination.Pardfaut,lIOSlimitecenombremaximal4pourlaplupart
desprotocolesderoutagelexceptiondeBGP(uneentre!),ladministrateurpeutportercettevaleur6laidede
lacommandemaximumpathsenconfigurationderouteur:
R11(config)#router eigrp 64501
R11(config-router)#maximum-paths ?
<1-6> Number of paths
R11(config-router)#maximum-paths 6
R11(config-router)#^Z
R11#
LIOSCISCOsupportedeuxmodesdepartagedecharge:lepartagepardestinationetlepartageparpaquet:
Danslepartagepardestination,touslespaquetspourunedestinationdonneempruntentlemmechemin.
Celaprservelesquencementdespaquetsmaisnegarantitpasunerellerpartitiondutraficetdoncne
garantitpaspluslutilisationlaplusefficacedetouslesliensdisponibles.Cestladministrateurquilrevient
devrifierquunhtenestpasdestinatairedelamajeurepartiedutrafic.Enfinal,letraficestdautantmieux
rparti que le nombre de destinataires est important. Pour chaque nouvelle destination, lIOS construit une
entre dans un cache de routage qui comprend la destination et linterface de sortie. Le traitement des
paquetssuivantsestsimplifi,leprocessusdecommutationpeutremplirsamissionsanssolliciterleprocessus
de routage. Ce fonctionnement efficace premire vue nest pas sans inconvnient, chaque nouvel hte
destinataireprovoquantuneentresupplmentairedanslecachequelerseaudestinatairesoitidentiqueou
pas, y compris quand un seul chemin existe pour cette destination. Lentretien du cache peut absorber une
grande quantit de ressources machine. Par ailleurs, la dcision demprunter tel ou tel chemin est prise au
premierpaquetdunflux.Lachargeconstatesurlesdiffrentslienspeutensuitevoluersansquelechemin
empruntparlefluxnesoitremisenquestion.Sibienquonpeutaboutircettesituationparadoxaledans
laquellelelienempruntseraitsaturalorsmmequelesautresliensdisponiblesdormiraient.
Danslepartageparpaquet,lepartagedechargeestgaranti.Enrevanche,lesdiffrentspaquetsdunmme
fluxvontemprunterdescheminsdelatencesdiffrentesetlesquencementdespaquetsnestplusgaranti.
AvantlintroductiondumcanismeCEF,fairelechoixdupartageparpaquetrevenaitdsactiverlecachede
route et perdre lacclration du traitement qui en dcoulait (on quittait le mode Fast Switching pour
reveniraumodeProcessSwitching).Chaquepaquettraitncessitedesolliciterleprocessusderoutage
qui doit lire la table de routage, parfois plusieurs fois, avant de trouver linterface de sortie adquate,
linterfacelamoinssollicitequandplusieursalternativesexistent.Certeslutilisationdesliensestoptimise
maiscersultatestobtenuauprixdunelourdetchequilfautaccomplirchaquepaquet.Autantdirequece
fonctionnementestincompatibleavecdesinterfaceshautdbit.
partir de la version 11.1 de lIOS, dans un premier temps sur ses routeurs haut de gamme, Cisco a introduit un
nouveaumcanismedecommutationdespaquetsditCEFetquipermetderaliserunvraipartagedechargesans
perdrelintrtduncachederoute,ycomprisquandlepartageparpaquetestchoisi.CEFestunprocessus,activ
parlacommandeipcefenmodedeconfigurationglobale.Optionnellement,lemotcldistributed,quandilestajout
la commande, provoque une dlocalisation du cache directement sur les cartes dinterface compatibles, cest un
fonctionnementpossiblesurlessries2420,2600,3600,3700et7200.Audel,surlesgammesASR1000,lemotcl
distributednestplusuneoptionmaisleseulfonctionnementprvu.chaquenouveauflux,CEFextraituneseulefois
de la table de routage toute linformation dont il a besoin pour assurer sa tche de commutation. CEF place cette
informationdansunetableditetableFIB(ForwardingInformationBase).
a.EIGRPetlepartagedechargecotgal
Nousauronsbesoindunexempleconcretpourasseoirnotrepropos.Adoptonscettetopologiesimple:
- 43 -
LespointsessentielsdelaconfigurationdeR11:
!
hostname R11
!
memory-size iomem 10
ip subnet-zero
ip cef
!
call rsvp-sync
!
interface FastEthernet0/0
ip address 10.1.101.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 4000
ip address 10.0.120.1 255.255.255.252
ip access-group 10 out
no ip mroute-cache
!
interface Serial0/1
bandwidth 4000
ip address 10.0.120.5 255.255.255.252
ip access-group 20 out
no ip mroute-cache
!
interface Serial0/2
bandwidth 4000
ip address 10.0.120.9 255.255.255.252
ip access-group 30 out
no ip mroute-cache
!
interface Serial0/3
bandwidth 4000
ip address 10.0.120.13 255.255.255.252
ip access-group 40 out
no ip mroute-cache
!
router eigrp 64501
network 10.0.0.0
auto-summary
!
ip classless
ip http server
!
access-list 10 permit 10.1.101.0 0.0.0.255
access-list 10 permit any
access-list 20 permit 10.1.101.0 0.0.0.255
access-list 20 permit any
access-list 30 permit 10.1.101.0 0.0.0.255
access-list 30 permit any
access-list 40 permit 10.1.101.0 0.0.0.255
access-list 40 permit any
!
dial-peer cor custom
!
line con 0
- 44 -
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
login
!
end
Lechapitreddiauroutagestatiqueavaitmontrcommentvrifierlepartagedechargelaidedelacommande
debugippackettoutensoulignantlesdangersdecettecommande.Danslecasprsent,ladministrateuraprfr
utiliser des listes daccs. Un chapitre ultrieur est ddi ltude de ces listes, nous sommes nouveau en
rfrence avant. Ladministrateur a cr quatre listes daccs dont lobjet nest pas de filtrer le trafic mais de le
comptabiliser. Une commande show ip accesslists permettra de dcouvrir combien de paquets ont transit sur
chaqueinterface.Lacommandeclear ip accesslistscountersserautilequandilfaudraremettrelescompteurs
zro.Lalistedaccsn10correspondlinterfaceS0/0,lan11S0/1etainsidesuite.
laidedutableauExcelCalcul_Mtrique_EIGRP.xlsmfournientlchargement,calculonslamtriquedelaroute
versLAN_12vuedurouteurR11:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR12
100000
100
100000
100
110
28160
S0/0deR11
4000
20000
4000
20100
4510
1154560
LesquatreroutesversLAN_12sontcotgal,EIGRPlesplaceensembledanslatablederoutage(Extrait):
R11#sh ip route
.........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted,
10.1.102.0/24 [90/1154560] via
[90/1154560] via
[90/1154560] via
[90/1154560] via
.........
D
6 subnets, 2 masks
10.0.120.6, 00:01:33, Serial0/1
10.0.120.2, 00:01:33, Serial0/0
10.0.120.10, 00:01:33, Serial0/2
10.0.120.14, 00:01:33, Serial0/3
CISCOnestpastrsdisertsurlefonctionnementinterneduprocessusCEFmaisnouspouvonsnousenfaireune
bonneidelaidedunecommanderserveauxingnieursduconstructeuretquinestpasdocumente.Ilfaut
donclafrapperdanslenoir,lautocompltionnefonctionnepas:
R11#sh ip cef 10.1.102.14 ?
A.B.C.D prefix mask
detail
Display full information
|
Output modifiers
<cr>
R11#sh ip cef 10.1.102.0 internal
10.1.102.0/24, version 23, per-destination sharing
0 packets, 0 bytes
via 10.0.120.2, Serial0/0, 0 dependencies
traffic share 1
next hop 10.0.120.2, Serial0/0
valid adjacency
via 10.0.120.10, Serial0/2, 0 dependencies
traffic share 1
next hop 10.0.120.10, Serial0/2
valid adjacency
via 10.0.120.14, Serial0/3, 0 dependencies
traffic share 1
next hop 10.0.120.14, Serial0/3
valid adjacency
via 10.0.120.6, Serial0/1, 0 dependencies
traffic share 1
next hop 10.0.120.6, Serial0/1
valid adjacency
- 45 -
OK
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Interface
Serial0/0
Serial0/2
Serial0/3
Serial0/1
Serial0/0
Serial0/2
Serial0/3
Serial0/1
Serial0/0
Serial0/2
Serial0/3
Serial0/1
Serial0/0
Serial0/2
Serial0/3
Serial0/1
Address
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
Packets
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
CEFacrunetablederpartition16entres.Cettetable,appeletableFIB(ForwardingInformationBase)par
CISCO,estdestinehacherlefluxetlerpartirsurlesdiffrentesinterfaces.Danslecasprsent,les4interfaces
possibles sont cot gal, elles apparaissent donc dans une succession parfaite 0, 2, 3, 1, ce quatre fois
conscutivement.
Parailleurs,onapprendgalementendbutdecapturequelemodedepartageencoursestpardestination.Une
foislentredelatableCEFconstruite,chaquenouveaufluxdestinlundeshtesdurseau10.1.102.0/24sera
commutsurlinterfacepointeparlentreHashsuivante.Danslexemplequisuit,ladministrateuraentrune
commande ping 10.1.102.14 (PC12) depuis la station PC11 (avec loption t si PC11 est une station Windows de
faoncequelepingsoitrptitif).Unesurveillancerguliredescompteursdeslistesdaccsmontrequeceflux
empruntelinterfaceS0/3.
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard
Standard IP access list 20
permit 10.1.101.0, wildcard
Standard IP access list 30
permit 10.1.101.0, wildcard
Standard IP access list 40
permit 10.1.101.0, wildcard
R11#
bits 0.0.0.255
bits 0.0.0.255
bits 0.0.0.255
bits 0.0.0.255(174 matches)
Ladministrateur fait cesser la requte ping rptitive vers PC12 puis en lance une autre vers un autre PC sur
LAN_12.Attention,ilnesuffitpasdechangerladresseIPdelastationPC12pourconstaterlephnomne,cequi
prouvequeCEFutiliselesadressesdecouche2.PuisquelefluxprcdentaempruntS0/3,leprochainfluxdevrait,
selonlatabledehachage,emprunterlinterfaceS0/1.Ladministrateursehtedevrifiercequilpressent:
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard
Standard IP access list 20
permit 10.1.101.0, wildcard
Standard IP access list 30
permit 10.1.101.0, wildcard
Standard IP access list 40
permit 10.1.101.0, wildcard
R11#
bits 0.0.0.255
bits 0.0.0.255 (7 matches)
bits 0.0.0.255
bits 0.0.0.255 (174 matches)
nouveau,nousvrifionsquecemodedepartagepardestinationnecorrespondraunpartageeffectifquesile
nombrededestinationsestsuffisant.MaisavecCEF,ilnyaplusderaisondesepriverdunrelpartageenactivant
lemodeparpaquet.Lacommandeutileestiploadsharingperpacketenconfigurationdinterface.
Basculersurlemodedepartageparpaquetncessitedentrerlacommandeiploadsharingperpacketsur
lensembledesinterfacesconcernesparlepartagedutrafic.
- 46 -
Danslecasprsent:
R11(config)#int s0/0
R11(config-if)#ip load-sharing ?
per-destination Deterministic distribution
per-packet
Random distribution
R11(config-if)#ip load-sharing
R11(config-if)#int s0/1
R11(config-if)#ip load-sharing
R11(config-if)#int s0/2
R11(config-if)#ip load-sharing
R11(config-if)#int s0/3
R11(config-if)#ip load-sharing
R11(config-if)#^Z
R11#
per-packet
per-packet
per-packet
per-packet
LadministrateurpeutvrifierlapriseencompteeffectivedunouveaumodedepartageparCEF(Extrait):
R11#show ip cef 10.1.102.0 internal
10.1.102.0/24, version 31, per-packet sharing
0 packets, 0 bytes
.........
LadministrateurrelanceunpingpermanentdepuisPC11versPC12,remetzrolescompteursdeslistesdaccs
puissurveillergulirementlvolutiondescompteurs:
R11#clear ip access-list counters
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard bits
Standard IP access list 20
permit 10.1.101.0, wildcard bits
Standard IP access list 30
permit 10.1.101.0, wildcard bits
Standard IP access list 40
permit 10.1.101.0, wildcard bits
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard bits
Standard IP access list 20
permit 10.1.101.0, wildcard bits
Standard IP access list 30
permit 10.1.101.0, wildcard bits
Standard IP access list 40
permit 10.1.101.0, wildcard bits
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard bits
Standard IP access list 20
permit 10.1.101.0, wildcard bits
Standard IP access list 30
permit 10.1.101.0, wildcard bits
Standard IP access list 40
permit 10.1.101.0, wildcard bits
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard bits
Standard IP access list 20
permit 10.1.101.0, wildcard bits
Standard IP access list 30
permit 10.1.101.0, wildcard bits
Standard IP access list 40
permit 10.1.101.0, wildcard bits
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard bits
Standard IP access list 20
permit 10.1.101.0, wildcard bits
Standard IP access list 30
0.0.0.255
0.0.0.255
0.0.0.255
0.0.0.255
0.0.0.255 (1 match)
0.0.0.255 (2 matches)
0.0.0.255 (2 matches)
0.0.0.255 (2 matches)
0.0.0.255 (2 matches)
0.0.0.255 (2 matches)
0.0.0.255 (3 matches)
0.0.0.255 (3 matches)
0.0.0.255 (3 matches)
0.0.0.255 (4 matches)
0.0.0.255 (4 matches)
0.0.0.255 (4 matches)
0.0.0.255 (5 matches)
0.0.0.255 (5 matches)
- 47 -
CQFD.
b.EIGRPetlepartagedechargecotingal
ModifionsunpeulescnarioenimaginantdesroutescotdiffrententreR11etR12:
Ladministrateurmodifieenconsquencelaconfigurationdesinterfaces:
R11(config)#int S0/1
R11(config-if)#bandwidth 2000
R11(config-if)#int S0/2
R11(config-if)#bandwidth 1000
R11(config-if)#int S0/3
R11(config-if)#bandwidth 500
R11(config-if)#^Z
R11#
Pardfaut,EIGRPnepratiquequelepartagecotgal.Fortlogiquement,latablederoutagedeR11nemontre
quuneseulealternativeversLAN_12:
R11#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
D
10.1.102.0/24 [90/1154560] via 10.0.120.2, 00:00:11, Serial0/0
.........
EIGRPoffreunecommandedesplusintressantespuisquelleluipermetdeplacerplusieursentrespourunemme
destination dans la table de routage bien que le cot de ces entres soit diffrent du meilleur cot. Il sagit de la
commande variance. Le facteur variance doit tre considr comme un coefficient multiplicateur. Pour une
destinationdonne,EIGRPplaceradanslatablederoutagetoutealternativedontlecotestinfrieuraumeilleur
cot multipli par la variance. Posonsnous la question : quelle est la variance ncessaire pour faire apparatre
lalternativeviaS0/1danslatablederoutagedeR11etpourladestination10.1.102.0/24?Pourrpondre,ilfaut
calculerlecotdecettealternative:
- 48 -
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR12
100000
100
100000
100
110
28160
S0/1deR11
2000
20000
2000
20100
7010
1794560
LalternativeviaS0/1adoncuncot
foispluslevquelemeilleurcot.Puisquelavarianceestun
nombreentierquidoittrecomprisentre1et128,ladministrateuradoptelavaleur2:
R11#conf t
Enter configuration commands, one per line.
R11(config)#router eigrp 64501
R11(config-router)#variance 2
R11(config-router)#^Z
R11#
Ladministrateurobservesatisfaitlapparitiondesdeuxalternatives:
R11#clear ip route *
R11#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
10.1.102.0/24 [90/1154560] via 10.0.120.2, 00:00:02, Serial0/0
[90/1794560] via 10.0.120.6, 00:00:02, Serial0/1
.........
R11#
D
EtCEFdanstouta?Ladministrateurutilisenouveaulacommandenondocumente:
R11#show ip cef 10.1.102.0 internal
10.1.102.0/24, version 26, per-packet sharing
0 packets, 0 bytes
via 10.0.120.2, Serial0/0, 0 dependencies
traffic share 120, current path
next hop 10.0.120.2, Serial0/0
valid adjacency
via 10.0.120.6, Serial0/1, 0 dependencies
traffic share 77
next hop 10.0.120.6, Serial0/1
valid adjacency
0 packets, 0 bytes switched through the prefix
tmstats: external 0 packets, 0 bytes
internal 0 packets, 0 bytes
Load distribution: 0 1 0 1 0 1 0 1 0 1 0 1 0 0 0 0 (refcount 1)
Hash
1
2
3
4
5
6
7
8
9
10
11
12
13
OK
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Interface
Serial0/0
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Address
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
Packets
0
0
0
0
0
0
0
0
0
0
0
0
0
- 49 -
14
15
16
R11#
Y
Y
Y
Serial0/0
Serial0/0
Serial0/0
point2point
point2point
point2point
0
0
0
Observez que la table FIB comporte deux adjacences qui sont S0/0 et S0/1. Puis le tableau de hachage fait
apparatre loccurrence S0/0 dix fois alors que loccurrence S0/1 napparat que six fois. Sur 16 paquets, CEF en
commuteradixsurS0/0pourseulement6surS0/1.S0/0absorberaparconsquent10/6=1,67foisplusdetraficque
S0/1,cequiestconformeauratiodesmtriquesdesdeuxliens.Ladministrateurprovoquenouveaudutraficet
surveillelescompteursdeslistesdaccs:
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard
permit any
Standard IP access list 20
permit 10.1.101.0, wildcard
permit any
Standard IP access list 30
permit 10.1.101.0, wildcard
permit any
Standard IP access list 40
permit 10.1.101.0, wildcard
permit any
R11#
bits 0.0.0.255
bits 0.0.0.255
Letraficserpartitcommeprvu.Confirmonsunedernirefoisleraisonnementennousdemandantquellevariance
permettrait de faire apparatre les quatre alternatives dans la table de routage de R11 pour la destination
10.1.102.0/24.
CalculonslecotdelalternativeviaS0/2:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR12
100000
100
100000
100
110
28160
S0/2deR11
1000
20000
1000
20100
12010
3074560
LalternativeviaS0/2adoncuncot
foispluslevquelemeilleurcot.
Maisenralit,pourrpondre,nousavonssurtoutbesoinducotdelalternativelaplusdfavorable,cestdire
celledelinterfaceS0/3:
Lien
BW(Kbps)
DLY(s)
BWrsultante
DLY
rsultant
Mtrique
IGRP
Mtrique
EIGRP
F0/0deR12
100000
100
100000
100
110
28160
S0/3deR11
500
20000
500
20100
22010
5634560
LalternativeviaS0/3adoncuncot
foispluslevquelemeilleurcot.Puisquelavarianceestun
nombreentierquidoittrecomprisentre1et128,ladministrateuradoptelavaleur5:
R11#conf t
Enter configuration commands, one per line.
R11(config)#router eigrp 64501
R11(config-router)#variance ?
<1-128> Metric variance multiplier
R11(config-router)#variance 5
R11(config-router)#^Z
R11#
Ladministrateurobservesatisfaitlapparitiondesquatrealternatives:
R11#clear ip route *
R11#sh ip route
- 50 -
OK
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Interface
Serial0/0
Serial0/3
Serial0/2
Serial0/1
Serial0/0
Serial0/2
Serial0/1
Serial0/0
Serial0/2
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Serial0/1
Serial0/0
Serial0/0
Address
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
Packets
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Pourparvenirrpartirletraficselonlamtriquedechaquelien,CEFfaitapparatreseptfoisloccurrenceS0/0,cinq
foisloccurrenceS0/1,troisfoisloccurrenceS0/2etuneseulefoisloccurrenceS0/3.ObservezqueCEFalterneles
diffrentes adjacences jusqu puisement du nombre doccurrences prvues. Cest ainsi que la table de hachage
sachve toujours par plusieurs occurrences de la mme adjacence, celle correspondant au lien ayant le meilleur
cot.
Aveccesvaleurs,lelienleplusrapideabsorbe1,4foisplusdetraficquelelienS0/1,2,33foisplusdetraficquele
lienS0/2et7foisplusdetraficquelelienS0/3,ratioscomparerauxratiosdemtriques1,55,2,66et4,88.Une
dernirefois,ladministrateurvrifielarpartitiondutrafic:
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard bits 0.0.0.255 (484 matches)
Standard IP access list 20
- 51 -
permit
Standard
permit
Standard
permit
R11#
Unpeuplustard:
R11#sh access-lists
Standard IP access list 10
permit 10.1.101.0, wildcard
Standard IP access list 20
permit 10.1.101.0, wildcard
Standard IP access list 30
permit 10.1.101.0, wildcard
Standard IP access list 40
permit 10.1.101.0, wildcard
R11#
...etobserveavecplaisirquelesratiosprvussontrespects.
c.SynthsePartagedecharge
Les explications fournies ici vont videmment bien audel des attendus de la certification CCNA. Mais des
conversations rgulires avec des professionnels en activit ont persuad lauteur que ce sujet mal connu posait
frquemmentdesproblmes.Ilestsouhaitabledebienancrerlesnotionssuivantes:
Direquunprotocolederoutageestcapabledepartagedechargerappellesimplementsafacultplacer
plusieursentrespourunemmedestinationdanssatablederoutage.
Par dfaut, le nombre dentres maximal est fix 4, ladministrateur peut le porter 6 laide de la
commandemaximumpathsenconfigurationderouteur.
Cestenralitleprocessusdecommutationdontestquiplerouteurquiassurelarpartitiondecharge
quandplusieursalternativesexistentpourunemmedestination.
QuandleprocessusdecommutationCEFestactiv,ladministrateurpeutauchoix:
- 52 -
Laisser le partage rgl dans le mode par destination, cest le mode par dfaut. Ladministrateur
privilgiedanscecaslesquencementdespaquets.
Prfrerlepartagedanslemodeparpaquetparcequilsouhaiteunevritablerpartitiondutrafic.
Quand EIGRP place plusieurs alternatives cot ingal dans la table de routage, CEF coule le trafic au
proratadesmtriquesdesdiffrentesalternatives.
ConfigurationEIGRP
1.Configurationdebase
a.Choixdusystmeautonomeetidentificateurdeprocessus
LacommanderoutereigrpfaitentrerenmodeconfigurationdunprocessusEIGRP.Sasyntaxeestlasuivante:
Router(config)#router eigrp {autonomous-system-number* | virtual-instance-name}
...dontlesargumentssontlessuivants:
autonomoussystemnumber
CenumroestutilisparlerouteurEIGRPpourmarquer(tag)lesroutesquilplacedanssesmisesjour.Dela
mme faon, le routeur EIGRP nexploitera une mise jour que si elle est marque avec ce numro. En final, le
numrodASdoittreidentiquesurtouslesrouteursEIGRPdundomaineEIGRP,cestlaconditionpourquedeux
routeursdirectementconnectspuissentdevenirvoisinsetparsuitepuissentpartagerlinformationderoutage.
Curieusement, 32 bits sont prvus dans le format des paquets EIGRP pour transporter cette information, mais la
commande router eigrp, au moins dans la version 12.4 de lIOS, impose que les numros soient compris dans
lespace[165535].SiledomaineEIGRPeststrictementpriv,ladministrateurestabsolumentlibredechoisirun
numroquelconque.SiledomaineestunvritableASappeltreannoncaurestedumondeviaBGP,alorsles
numros dAS sont administrs par lIANA et on peut en trouver la liste sur le site
http://www.iana.org/assignments/asnumbers/asnumbers.xml.
ObservezsurcesitequelIANAaprvuunespacedenumrospouressaisoudocumentation:
6449664511
Reservedforuseindocumentationandsample
code
RFC5398
03/12/08
virtualinstancename
LargumentfaitrfrenceuneconfigurationEIGRPnomme.Danscecas,lenomattribunaquuneportelocale.
Nousnutiliseronspascetteformedelacommande.
*CISCO parle de numro de systme autonome mais beaucoup dauteurs prfrent parler didentificateur de
processus.
b.Participationdesinterfaces,lemasquegnrique
Enmodeconfigurationderouteur,lacommandenetworkestutilisepourinclurelesinterfacesdevantparticiperau
protocole.Sasyntaxeestlasuivante:
Router(config-router)#network ip-address [wildcard-mask]
...dontlesargumentssontlessuivants:
ipaddress
AdresseIPdunrseaudirectementconnect.
wildcardmask
Optionnel,masquegnrique.
Parmisesinterfaces,lerouteurfaitparticiperauprotocoletouteinterfacedontladresseappartientaurseauou
lun des rseaux dclars laide de la commande ou des commandes network. Le routeur utilise ensuite les
interfaces qui rpondent ce critre pour tablir des relations de voisinage. Il ny a pas de limite au nombre de
commandes network qui peuvent tre configures sur un routeur si bien quun administrateur peut trs
lgitimemententrerautantdecommandesnetworkquilyadinterfacesdevantparticiperauprotocole,enspcifiant
chaquecommandeladresseIPdelinterfaceconsidre.
- 1-
Exemples
LadresseIPdelinterfaceF0/1est172.26.100.100/24.Cetteinterfacedoitparticiperauprotocole.
Choix1:ladministrateurpeutentrerlacommandenetwork172.26.0.0,soitladressedurseaumajeur.Il
lefaitparcequedautresinterfacesdecerouteursontdirectementconnectesdautressousrseauxde
ce rseau majeur et que ces interfaces doivent galement participer au protocole. Ainsi, une seule
commandenetworkasuffipourinclurelensembledesinterfaces.
Choix 2 : ladministrateur entre la commande network 172.26.100.100 0.0.0.0, soit ladresse exacte de
linterfaceexprimelaidedumasquegnrique.Illefaitparcequedautresinterfacesdecerouteursont
directement connectes dautressousrseaux du rseau majeur 172.26.0.0 mais que ces sousrseaux
nedoiventpastreannoncsoudoiventltredansunautredomaineEIGRP,voiretreannoncsdansun
domainegrparunautreprotocolederoutage.
Observezquelechoix1peuttresatisfaisantmaispeutaussinepasltre,quandladministrateurfaituneerreur
enincluantuneinterfacequinedevraitpasltreouenomettantuneinterfacequiauraitdparticiperauprotocole.
Alors que le choix 2 qui consiste entrer une commande network par interface est toujours correct et prsente
lavantagedelasystmaticit.
Le masque gnrique quant lui fait lobjet dunedescriptioncompltedanslechapitreGestiondetraficparliste
daccs (ACL) de cet ouvrage. En premire approche, le masque gnrique (que CISCO dsigne par Wildcard ,
littralement joker) utilise une logique inverse. Quand un masque dsigne les bits quil faut retenir, le masque
gnriqueditquelssontlesbitsquilfautignorer.
Exemples
Lassociation172.26.100.00.0.0.255incluttouteslesadressesdurseau172.26.100.0/24.
Lassociation172.26.120.00.0.0.3incluttouteslesadressesdurseau172.26.120.0/30.
Lassociation172.26.120.00.0.0.7incluttouteslesadressesdurseau172.26.120.0/29.
Laralitestunpeupluscomplexemaispourcechapitre,ilsuffiradeconsidrerquelemasquegnriqueestun
masqueinvers.
2.Atelier:MiseenuvreduneconfigurationEIGRP
Latopologieproposeestlasuivante:
- 2-
a.Tche1:RalisationdelatopologiesousGNS3
NousvoussupposonsdjfamilierdelutilisationdeGNS3.Danslecascontraire,reportezvouslatelier"Prise
enmaindelinterfaceILC".
CrezlatopologiesousGNS3enprenantbiensoindecocherlescasesSauverlesnvramsandautresdisques
(recommand)etExporterlesfichiersdeconfigurationdesrouteurs:
Placez les six routeurs. La valeur IDLE PC des routeurs a dj t calcule, inutile dy revenir. Utilisez la plate
forme2600,lauteuraralislensembledelatopologieavecdesrouteurs2621,lIOStaitlaversionc2600ik9s
mz.12240a.binquiprsentelavantagedesesuffirede48Modemmoirevive.AjoutezlacarteWIC1TouWIC2T
selonquelerouteurestconnectuneoudeuxlignessrie.PlacezlescinqPCNuageetconfigurezlesafin
que chacun deux soit connect ladaptateur rseau convenable et donc au concentrateur VMnet convenable.
tablissezlesliensLANetWAN.Nommezlesdiffrentsquipementsafindereflterlatopologiepropose.
DmarrezR100etselonunemthodevotreconvenance(revoirsincessairelechapitreTchesdeconfiguration
desrouteurs),injectezylaconfigurationfournieentlchargementsurlesiteENI(fichierAtelier8a_R100.txt).
DmarrezR200etselonunemthodevotreconvenance(revoirsincessairelechapitreTchesdeconfiguration
desrouteurs),injectezylaconfigurationfournieentlchargementsurlesiteENI(fichierAtelier8a_R200.txt).
OuvrezunesecondeinstancedeVMwareetavecelle,crezunequipedequatrePCPC101,PC102,PC201et
PC202.RutilisezlesPCcrslorsdesateliersprcdents(PC11,PC12,PC21etPC22).Pourmmoire,PC101est
obtenu par clonage sans lien (optioncreate a full clone) de la machine Ubuntu fournie sur le site ENI. PC102,
PC201etPC202sontobtenusparcloneaveclien(optionlinkedclone)dePC101.AjoutezleserveurVMSRV01
lquipe.Nommezcettequipe5PC,faitesensortequeladaptateurrseauvirtueldechacunedesmachinessoit
connect au concentrateur VMnet convenable, respectivement VMnet1 VMnet4 ainsi que VMnet8. Dmarrez
totalementoupartiellementlquipepuisrglezchacunedescinqconfigurationsIP.Ilestrarequelonaitbesoin
decesPCensemble.SuspendezlesetnesortezunPCdesonsommeilquelorsquelactivitledemande.
b.Tche2:Activerlesinterfacesdontlinterfacedeloopback
RalisezlaconfigurationdesinterfacesdeR101delafaonsuivante:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R101
R101(config)#line con 0
R101(config-line)#logging synchronous
R101(config-line)#exec-timeout 0
R101(config-line)#exit
R101(config)#int f0/0
R101(config-if)#ip address 172.26.101.1 255.255.255.128
R101(config-if)#no shutdown
R101(config-if)#int f0/1
R101(config-if)#ip address 172.26.100.101 255.255.255.0
R101(config-if)#no shutdown
- 3-
R101(config-if)#int s0/0
R101(config-if)#ip address 172.26.50.1 255.255.255.252
R101(config-if)#no shutdown
R101(config-if)#bandwidth 2500
R101(config-if)#int loopback 0
R101(config-if)#ip address 192.168.100.101 255.255.255.255
R101(config-if)#^Z
R101#
Sauvegardezdefaonrgulire:
R101#wr
Building configuration...
FaitesuivrechaquesauvegardedanslinterfaceILCdunesauvegardedelatopologiesousGNS3:
Enutilisant,lesadressesappropries,ralisezdefaonidentiquelesconfigurationsdeR102R104.
Vrifiezltatdesinterfaces.Parexemple,surR101:
R101#sh ip int br
Interface
Protocol
FastEthernet0/0
Serial0/0
FastEthernet0/1
Loopback0
IP-Address
172.26.101.1
172.26.50.1
172.26.100.101
192.168.100.101
YES
YES
YES
YES
NVRAM
NVRAM
NVRAM
manual
up
up
up
up
up
up
up
up
c.Tche3:ActiverleprocessusEIGRP
ConfigurezsurR101unprocessusderoutageEIGRPenaffectantaunumrodASlapartienumriquedunomdu
routeur:
R101#conf t
R101(config)#router eigrp 101
R101(config-router)#
Hormislinterfacedeloopback,touteslesinterfacesdurouteurR101appartiennentaurseaumajeur172.26.0.0.
Faiteslesparticiperauprotocolelaideduneseulecommandenetwork:
R101(config-router)#network 172.26.0.0
R101(config-router)#
VrifiezleprocessusderoutageexcutparR101:
R101#sh ip protocols
- 4-
Observez notamment la plage dadresses couverte par le processus sous la section Routing for Networks :
(compltez).
Observez les distances administratives attribues par EIGRP selon quune route est interne ou externe :
(compltez).
Attention au contexte, R100 et R200 sont fonctionnels avec la configuration propose. Vrifiez le contenu de la
tablederoutagedeR101:
R101#sh ip route
.........
Gateway of last resort is not set
C
C
C
C
R101#
Sauf erreur, la table de routage de R101 ne devrait contenir que les rseaux directement connects. En effet, le
systmeautonome101necomprendquelerouteurR101.Pardfaut,unsystmeautonomeestenquelquesorte
tanche . Si ladministrateur souhaite lui faire exploiter des informations de route issues dautres AS, il doit
configurer une redistribution de routes. Il se trouve que notre topologie de test a t divise en deux domaines
EIGRP(deuxAS)100et200.R200excuteleprocessusEIGRP200.R100excutelesdeuxprocessusEIGRP100et
200.
OnseproposedoncdeplacerR101etR102danslAS100puisdeplacerR201etR202danslAS200.
laidedunecommandenoroutereigrp101,supprimezleprocessuscorrespondantsurlerouteurR101:
- 5-
R101#conf t
Enter configuration commands, one per line.
R101(config)#no router eigrp 101
CrezsurR101unprocessusEIGRPaveclenumrodAS100sansomettrelacommandenetworkadquate:
RptezcetteconfigurationsurR102.
RptezcetteconfigurationsurR201etR202maisenleurfaisantpartagerlinformationderoutagedelAS200.
ParexemplesurR201:
Immdiatement aprs avoir cr un processus EIGRP et inclus des interfaces, observez ltablissement des
relationsdevoisinageduprotocole.ParexemplesurR101:
Ilesttempsdobservernouveaulestablesderoutage.SurR101:
R101#sh ip
Codes: C D .........
Gateway of
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
last resort is not set
- 6-
R101#
Observezlesrseauxnondirectementconnects,leprotocolederoutagedontilssontissus.LalettreDrappellele
protocole EIGRP (D pour lalgorithme DUAL). La lettre D accompagne de lacronyme EX rappelle que la route est
externelAS.Danslecasprsent,noussommesplacssurunrouteurdelAS100etobservonsdesroutesdelAS
200.
Observezlesdistancesadministrativesassociesauxroutes,170danslecasdunerouteexternelASapprisepar
EIGRP,90danslecasdunerouteinternelAS.
ObservezlaprsencedanslatabledeladressedeloopbackdurouteurR101maislabsencedecellesdesrouteurs
R102, R201 et R202. En revanche, celle des routeurs fdrateurs R100 et R200 apparat. Que diable avonsnous
oubli?Lacommandenetworkidoinebiensrquiferaitparticiperlinterfacedeloopbackauprotocole!
SurR101etR102,ajoutezlacommandenetwork192.168.100.0enconfigurationderouteurEIGRP100:
R101#conf t
R101(config)#router eigrp 100
R101(config-router)#network 192.168.100.0
R101(config-router)#
R101(config-router)#^Z
R101#
SurR201etR202,ajoutezlacommandenetwork192.168.200.0enconfigurationderouteurEIGRP200:
R201#conf t
R201(config)#router eigrp 200
R201(config-router)#network 192.168.200.0
R201(config-router)#
R201(config-router)#^Z
R201#
Tentez un ping depuis R101 vers ladresse de loopback de lun des routeurs R102 ou R201. Estce que le ping
aboutit?PeuprobablecarunenouvelleobservationdelatablederoutagedeR101montrequilnexistepasde
routevers192.168.100.102.Enrevanche,ilexisteuneroutemaisuneseuleverslerseaumajeur192.168.200.0
(extrait):
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
192.168.200.0/24 is variably subnetted, 2 subnets, 2 masks
D EX
192.168.200.200/32
[170/1282560] via 172.26.100.100, 00:00:21, FastEthernet0/1
D EX
192.168.200.0/24
[170/1285120] via 172.26.100.100, 00:00:21, FastEthernet0/1
192.168.100.0/24 is variably subnetted, 3 subnets, 2 masks
D
192.168.100.0/24 is a summary, 00:06:26, Null0
D
192.168.100.100/32
[90/156160] via 172.26.100.100, 00:00:22, FastEthernet0/1
C
192.168.100.101/32 is directly connected, Loopback0
R101#
cestade,ilfautsesouvenirducomportementpardfautdEIGRPquiagrgeautomatiquementauxfrontiresdu
rseaumajeur.Ainsi,chacundesdeuxrouteursR101etR102annoncelerseaumajeur192.168.100.0.Delamme
faon, chacun des deux routeurs R201 et R202 annonce le rseau majeur 192.168.200.0. Rendre la vue ces
routeurs et leur donner le moyen dajouter des routes vers les adresses de loopback implique de dsactiver
lagrgationautomatique.
DsactivezlagrgationautomatiquesurchacundesquatrerouteursR101,R102,R201etR202.Parexemple,sur
R101:
R101#conf t
Enter configuration commands, one per line.
R101(config)#router eigrp 100
R101(config-router)#no auto-summary
R101(config-router)#^Z
- 7-
R101#
Vrifiezlaconnectivit:
R101#conf t
R101(config)#ip host R102 192.168.100.102
R101(config)#ip host R201 192.168.200.201
R101(config)#ip host R202 192.168.200.202
R101(config)#^Z
R101#ping R102
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.102, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/57/188 ms
R101#ping R201
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.201, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/85/100 ms
Vrifiez une dernire fois les tables de routage et observez que cette fois, les adresses de loopback sont bien
visibles(extrait):
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
192.168.200.0/32 is subnetted, 3 subnets
D EX
192.168.200.200
[170/1282560] via 172.26.100.100, 00:01:51, FastEthernet0/1
D EX
192.168.200.201
[170/1285120] via 172.26.100.100, 00:00:50, FastEthernet0/1
D EX
192.168.200.202
[170/1285120] via 172.26.100.100, 00:00:22, FastEthernet0/1
192.168.100.0/32 is subnetted, 3 subnets
D
192.168.100.100
[90/156160] via 172.26.100.100, 00:01:51, FastEthernet0/1
C
192.168.100.101 is directly connected, Loopback0
D
192.168.100.102
[90/156160] via 172.26.100.102, 00:01:51, FastEthernet0/1
R101#
d.Tche4:Agirsurlabandepassantedeslienssrie
Si cela navait pas dj t fait, tablissez la bande passante de linterface S0/0 2500 Kbps sur chacun des
quatrerouteursR101,R102,R201etR202.ParexemplesurR101:
R101#conf t
R101(config)#int s0/0
R101(config-if)#bandwidth 2500
R101(config-if)#^Z
R101#
Collectezlinformationutileaucalculdemtriquelaidedecommandesshowinterface.SurR101:
- 8-
Sur R101, observez le cot de la route vers LAN_12 (172.26.102.0/25) laidedune commande show ip route
(Extrait):
R101#sh ip
Codes: C D .........
Gateway of
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
last resort is not set
CommentR101estilparvenucersultat?Condensonssescalculsdansletableausuivant:
BW(Kbps)
DLY(us)
IntF0/0deR102
100000
100
IntF0/1deR101
100000
100
Retenuparlecalcul
IGRP
Valeurminidelacolonne
soit:
Sommedesdlaisdela
colonnesoit:
100000
200
MtriqueEIGRP
MtriqueIGRPrsultante:
256x120=30720
LerouteurR102connatlerseau172.26.102.0/25,cerseauluiestdirectementconnectvialinterfaceF0/0.R102
annonce par consquent les valeursBW 100 000 etDLY 100. R101 reoit cette annonce sur son interface F0/1 et
calculelecotdelarouteenfaisantintervenirlabandepassanteetledlaidelinterfacequireoit.
ProvoquezlepassageltatdowndelinterfaceF0/1durouteurR101:
R101#conf t
Enter configuration commands, one per line.
R101(config)#int f0/1
R101(config-if)#shutdown
R101(config-if)#^Z
R101#
ObservezlenouveaucotdelarouteversLAN_12(Extrait):
R101#sh ip
Codes: C D .........
Gateway of
route
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
last resort is not set
- 9-
DLY(s)
IntF0/0deR102
100000
100
IntS0/0deR101
2500
20000
Retenuparlecalcul Valeurminidelacolonne
IGRP
soit:
Sommedesdlaisdela
colonnesoit:
2500
MtriqueIGRPrsultante:
20100
MtriqueEIGRP
256x6010=1538560
LIOS est capable de dterminer la bande passante dune interface LAN. En revanche, cest ladministrateurquil
revientdeconfigurerlavraiebandepassantedesliensWAN.Silnelefaitpas,lIOSadoptelabandepassantepar
dfautquiestcelledunlienT1(USoblige)soit1544Kbps.LamtriquecompositedEIGRPestlundespointsforts
duprotocolemaispourquellefournisseleserviceattendu,ilfautenquelquesortelalimenter.
e.Tche5:ObserverlabasededonnestopologiquedEIGRP
Mettez profit la commande show ip eigrp neighbors pour afficher les relations de voisinage tablies. Par
exemple,surR101:
Se0/0
Fa0/1
Fa0/1
Hold Uptime
SRTT
(sec)
(ms)
13 00:01:43
68
12 00:01:57
96
14 00:02:23
91
RTO
Q
Cnt
408 0
576 0
546 0
Seq Type
Num
19
17
19
Le rsultat de cette commande doit reflter la topologie du rseau. Dans le cas prsent, on apprend que R101 a
tablideuxrelationsdevoisinageavecR102etuneavecR100.
Affichez le contenu de la base de donnes topologique laide dune commande show ip eigrp topology. Par
exemple,surR101(Extrait,lesadressesloopbacknesontpasreprsentes):
- 10 -
f.Tche6:BonusActivationdurelaisDHCP
Objectif
LadministrateursouhaitemettreenplaceunserveurDHCPuniquequidistribueraitdesadressessurlesdiffrents
rseauxLAN_11,LAN_12,LAN_21etLAN_22.
Commentaire
LeserviceDHCPestdcritdefaonprcisedanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection
CertificationsauxEditionsENI.UnserveurDHCP(DynamicHostConfigurationProtocol)peutfournirdesadressesIP
desclientssitussurdessousrseauxdiffrentslaconditionquelerouteurquisparechaquesousrseaudu
serveurpuissefonctionnerentantquagentrelais.CettefonctionnalitestdcritedansleRFC1542.Lagentrelais
conformeauRFCrelaielesmessagesDHCPsurlectserveurmmequandilsagitdepaquetsdiffuss.Avantde
relayerlemessagedunclientDHCP,lagentexaminelechampgiaddr(GatewayIPAddress)dumessage.Sicechamp
porteladresse0.0.0.0,lagentrelaislecomplteavecladresseIPdurouteur,enralitladresseIPdelinterfacedu
routeurquiareularequte.
Lorsque le serveur DHCP reoit le message, il examine ce champ devenu champ adresse IP du relais afin de
dterminersiouiounonildisposedunpooldadressesIP(unetendueDHCPdanslevocabulaireMicrosoft)pourle
sousrseauenquestion.
LeserveurDHCPdoitdisposerdautantdepoolsdadressesquilyadesousrseauxdesservir.
LorsquilreoitlemessageDHCPDISCOVER,leserveurDHCPenvoieunDHCPOFFERdirectementlagentderelais
identifidanslechampgiaddrpuislagenttransmetlemessageauclientDHCP.cestade,ladresseIPduclientest
toujours inconnue, lagent relais doit donc diffuser le message DHCPOFFER sur le sousrseau. La squence se
poursuit,unmessageDHCPREQUESTestrelayduclientauserveuretunmessageDHCPACKestrelayduserveur
auclient,conformmentauRFC1542.
tape1:miseenplaceduserveurDHCP
Silelecteursenesttenuauxateliersproposs,ildisposecetinstantdunemachinevirtuelleVMSRV01quiexcute
lesystmedexploitationWindows2000Server.Onsesouvientquecesystmeatchoisiparcequiloffretousles
servicesrseautoutenrestantcompact(selonlescritresactuels).
SurVMSRV01,assurezvousqueladaptateurrseauestconnectauVMnetconvenable(VMnet8)afindassurerla
connectivitaveclerseauLAN_100denotretopologie.RglezlaconfigurationIP:Adresse172.26.100.254/24,
passerelle172.26.100.100.
Si ce nest pas dj fait, installez le service DHCP : Panneau de configuration Ajout/Suppression de
programmesAjouter/SupprimerdescomposantsWindows Servicesdemiseenrseau/Dtails,cochezla
caseProtocoleDHCP.
OuvrezlaconsoledadministrationduserviceDHCP:MenuDmarrerProgrammesOutilsdadministration
DHCP.
Crez une tendue pour le sousrseau LAN_11, nommez cette tendue Net101, elle comprend les adresses
- 11 -
172.26.101.2 172.26.101.14, masque /25. Configurez loption dtendue Routeur afin que le client DHCP
obtiennegalementsonadressedepasserelle.
RptezcesoprationsafindecrertroisautrestenduespourlesrseauxLAN_12,LAN_21etLAN_22.
Lafiguresuivanteillustreenpartiecesoprations:
tape2:activationdurelaisDHCP
En configuration dinterface, la commande ip helperaddress active le relais DHCP. Sur linterface F0/0 de R101,
soitlinterfaceconnecteauxclientsDHCPdurseauLAN_11,activezlerelais:
R101(config)#int f0/0
R101(config-if)#ip help
R101(config-if)#ip helper-address 172.26.100.254
R101(config-if)#^Z
R101#
RptezloprationpourlesinterfacesF0/0destroisrouteursR102,R201etR202.
tape3:activationduclientetrecettedelasolution
Sur chacune des machines virtuelles clientes, remplacez la configuration IP statique par une configuration
dynamique.Silesmachinessontcellesprconises(Ubuntu),laprocdureestdcritedanslechapitreAnnexes.
Pourmmoire:
Configurezlinterfacerseau(motdepassesunrise):
$ sudonano /etc/network/interfaces
- 12 -
ActivezleclientDHCP(remplacezeth0parethx,votreeth):
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
Quittezpar[Ctrl]X,acceptezlelieuetlenomdesauvegardeentapantY,puisconfirmezparlatouche[Entre].
Provoquezunredmarragedurseauafindeprendreencomptelamodificationdelaconfiguration:
VosclientsontobtenuleurconfigurationIP.Bravo.Cetatelierestmaintenanttermin.
3.Configurationavance
a.Authentification
EIGRP peut authentifier ses messages et cest le moyen pour ladministrateur de sassurer que les routeurs
naccepteront que les messages issus de leurs pairs, cestdire les messages issus de routeurs partageant la
mme cl, dans le domaine dont il a la charge. Ainsi, un routeur ou toute source dinformation de routage non
approuve ne risque pas de polluer les tables du domaine EIGRP avec de linformation illicite, ce quelle que soit
lintrusion,accidentelleoumalveillante.
Cestlatelier7Bquiaservidesupportpourillustrerlamiseen uvredelauthentification.Lacrationdeclsadj
tdcrite,mercidevousreporterlasectionActivationdelauthentificationduchapitreProtocolesderoutage
vecteurdedistanceRIPv2.LensembledeclsTuringatcrsurchacundesrouteursconcerns,pourcetatelier
nousnousensommestenusauthentifierleschangesentreRTR7CetRTR7A:
RTR7A#sh run
Building configuration...
.........
key chain Turing
key 1
key-string couronne
accept-lifetime 05:00:00 Jan 1 2010 duration 90000
send-lifetime 05:00:00 Jan 1 2010 duration 90000
key 2
key-string sicie
- 13 -
2 2010 infinite
2010 infinite
Il reste appliquer lauthentification aux interfaces concernes de chacun des routeurs. La commande ip
authenticationmodeeigrpenconfigurationdinterfacespcifieletypedauthentificationmettreen uvre:
Router(config-if)#ip authentication mode eigrp as-number md5
...maisaumomentoceslignessontcrites,leseulmodeprvuestMD5.
Toujours en configuration dinterface, une seconde commande est ncessaire pour activer lauthentification
proprementdite:
Router(config-if)#ip authentication key-chain eigrp as-number key-chain
Appliquesaucasprsent:
.........
interface Serial0/0
ip address 192.168.0.250 255.255.255.252
ip authentication mode eigrp 64501 md5
ip authentication key-chain eigrp 64501 Turing
!
.........
RTR7A#
Ladministrateursouhaiteraprobablementsuperviserlauthentification:
RTR7A#show key chain
Key-chain Turing:
key 1 -- text "couronne"
accept lifetime (05:00:00 UTC Jan
send lifetime (05:00:00 UTC Jan 1
key 2 -- text "sicie"
accept lifetime (05:00:00 UTC Jan
send lifetime (05:00:00 UTC Jan 2
key 3 -- text "cepet"
accept lifetime (05:00:00 UTC Feb
send lifetime (05:00:00 UTC Feb 2
RTR7A#
Unecommandedebugestgalementinstructivemaisvidemmentplusdangereuse:
RTR7A#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY,
SIAREPLY)
00:12:55: EIGRP: received packet with MD5 authentication, key id = 3
00:12:55: EIGRP: Received HELLO on Serial0/0 nbr 192.168.0.249
00:12:55:
AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely
0/0
RTR7A#
Ondcouvreainsi,cestuneconfirmation,queparmilesclsquicomposentlensembledecls,laclenserviceest
lacln3.
b.RouteurEIGRPdebout
Considrezlatopologieciaprs:
- 14 -
Ladministrateurenchargedecerseauaprissoindassurerlaredondancedesliensquirelientlesdeuxsites.Mais
le mieux tant toujours lennemidubien,ladministrateur sest ainsi cr un certain nombre de problmes quilne
souponnait pas au dbut de sa rflexion. Imaginez par exemple que le lien qui relie RTR8A au commutateur de
LAN_NANTES fasse dfaut. Cest entendu, le trafic intersites bascule vers RTR8B. Mais quadvientil du trafic entre
LAN_VERTOUetLAN_LUCE?Vousdites?Interrompu?Netransiteraitilpaspluttparlesquatrerouteurs?Hlas
oui et il est peu probable que les liens WAN puissent accepter ce trafic et mme sils le pouvaient, ce serait
probablementuneaberrationconomique(Untraficlocalquieffectueunallerretourparunsitedistant!)Deplus,la
bandepassanteconsommeleseraaudtrimentdutraficutileintersites.
Alors bien sr, on peut imaginer moult solutions comme par exemple ajouter de la redondance entre les deux
routeursdusige,sousformedeliensEthernetsupplmentaires.MaispuisquEIGRPatchoisisurcettetopologie,
peuttrepeutilapporterunesolutionpeudefrais,justeleprixdunpeudeconfiguration.
Questce qui caractrise le rseau de la succursale Rennes ? Cest un rseau dextrmit. Autrement dit, les
paquetsquiarriventsurlerseaudelasuccursaleluisontdestins.Pardfinition,unrouteurdextrmitnepeut
queremettrelespaquetsaurseaudedestination.Ilestdoncinutiledelinterrogersurlafaondefaireprogresser
despaquetscommeonleferaitsurunrouteurdetransit.
EIGRPestcapablededistinguerunrouteurdextrmitetunrouteurdetransit.Lafonctionnalitcorrespondante,
diteEIGRPStubRouter,atintroduitedanslaversion12.0(7)TdelIOS.Unrouteurconfigurcommerouteur
dextrmit ou routeur de bout utilise galement des messages Hello pour tablir puis entretenir ses relations de
voisinage.MaiscesmessagesHellosontunpeudiffrentsetintgrentuntripletTLVsupplmentaire,leTLV Stub ,
quipermetaurouteurdeseproclamerrouteurdebout.
Deplus,unrouteurdeboutpeutnannoncerquesaconnaissancedecertainescatgoriesderoutes,selonlechoix
de ladministrateur. La commande permettant de faire dun routeur un routeur de bout est eigrp stub en
configurationderouteur.Sasyntaxeestlasuivante:
Router(config-router)#eigrp stub [receive-only | connected | static | summary |
redestributed]
...dontlesargumentssontlessuivants:
receiveonly
Optionnel,faitdecerouteurdeboutEIGRPunrouteursilencieux(analoguelhtesilencieuxdeRIP).
connected
Optionnel,nannoncequelesroutesdirectementconnectes.
static
- 15 -
Optionnel,nannoncequelesroutesdirectementstatiques.
summary
Optionnel,nannoncequelesroutesagrges.
redistributed
Optionnel,nannoncequelesroutesissuesdautresprotocolesderoutage,parexempleOSPF.
La commande eigrp stub ne doit tre entre que sur les routeurs de bout (que les documentations anglaises
dsignentpar Spoke).Le routeurHub (unrouteurdusitecentralconnectplusieursrouteurs Spoke)
reconnat les routeurs de bout grce leurs messages Hello particuliers et adapte son comportement en
consquence.
UnrouteurHubninterrogepasunrouteurdebout!
Autrementdit,unrouteurdeboutneparticipepasauxprocduresdecalculdiffus.
Dansnotrecontexte,ilrestefairedeRTR8CetRTR8Ddeuxrouteursdebout.Undernieravertissementaulecteur:
ilesttrsfacilederendreleroutageinoprantdansunetopologieavecrouteursdebout.Ilsuffitdajouterlemot
clreceiveonlylacommandeeigrpstub.LerouteurnannonceplusrienetdonclerouteurHubnapprend
paslerseaudelasuccursale.Ilsemblequecepigesoitfrquentdanslesconfigurationsproposeslorsdestests
decertification.
c.RoutesSIA
LesroutesSIA(StuckInActive,littralementcoincedansltatactif)onttvoquesdanslasectionddie
DUAL.Pourmmoire,leproblmesurvientquanduneprocduredecalculdiffusestentrepriseetdoncquelaroute
concerne est passe ltatactif.Chaquerouteurinterrogetquinepeutrpondreinterrogesesvoisinsson
tour,laprocdurestendprogressivementsurlensembledurseau.
Onsentconfusmentquelaprobabilitpourquunequestionrestesansrponseaugmentedelammefaonquele
diamtredurseau.Limportantnestpasseulementquelarponsearrivemaisquellearrivedanslestemps.Une
rponse qui arrive hors dlai nest pas ncessairement cause par un dysfonctionnement, le chemin parcourir
aller et retour tait simplement trop long et le nombre de routeurs rencontrs sur ce chemin trop important.
Certains routeurs, peuttre congestionns, ont tard rpondre ou mettre leurs propres requtes. Lun des
lienstransitepeuttreparuneliaisonsatellitaire,cesliaisonspeuventoffrirdesdbitsimportantsmaisjamaisde
courtsdlais.
Aumoinsjusqulaversion12.2delIOS,laprotectionvisvisdequestionsquirestentsansrponsepasseparle
temporisateurderouteactive.Lafiguresuivantetentedersumerlachronologiedesvnements:
Lachronologienormaleestlasuivante(tiquettes1et2delillustration):
- 16 -
R1 perd la route 10.1.1.0/24. La phase locale de rvaluation na pas donn de successeur faisable, R1
marquelarouteactiveetentameuneprocduredecalculdiffus.R1interrogechacundesesvoisins(R2)et
armedanslemmetempscetemporisateurRouteactive,autempsinitialde3minutes.
R2reoitlarequtedeR1etentameunephaselocaledervaluation.Autermedecettephase,R2napas
trouv de successeur faisable, marque la route active, interroge tous ses voisins (R3) et arme un
temporisateurderouteactive.
R3 reoit la requte de R2, examine sa table de topologie sans trouver de successeur faisable et na pas
dautrevoisininterroger.R3supprimelaroutedesesproprestablesetrpondlarequtedeR2.
R2reoitlarponsedeR3etnattendplusdautrerponse.R2supprimelaroutedesesproprestableset
rpondlarequtedeR1.
R1reoitlarponsedeR2etnattendpasdautrerponse.R1supprimelaroutedesestables.
Letoutsestachevenmoinsde3minutes,letemporisateurderouteactivenapastsollicit.Lecasdcritpar
ltiquette2delillustrationestmoinsfavorable:R2nereoitjamaislarponsedeR3!
LetemporisateurderouteactivesurR1continuededcompterpendantqueR2etR3tententderpondre
laquestionquileuratpose.
Siletemporisateurexpireavantquetouteslesrequtesnaientreuleursrponses,larouteestdclare
SIA.LarelationdevoisinagequilieR1R2estsupprime.
ReproduirecegenrededsagrmentdansunetopologiesimulesousGNS3nestguredifficile.Ilsuffitdabaisser
labandepassantedesliensunevaleurridiculementfaible(onpeutdescendre1Kbps)puisdelimiterlabande
passanteoctroyeEIGRPuneparttoutaussiridicule,onpeutlabaisserde50%,lavaleurpardfaut,1%.En
procdantainsisurlatopologiedelatelier7b(quiaserviillustrerlasectionddielagrgation),voicilersultat
dunerequtemanantdurouteurRTR7A,destinesonvoisinRTR7Eetnonsatisfaite:
RTR7A#sh ip eigrp topology active
IP-EIGRP Topology Table for AS(64501)/ID(192.168.0.250)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
A 172.16.0.128/26, 0 successors, FD is 40514560, q
1 replies, active 00:01:33, query-origin: Local origin, retries(1)
via 192.168.0.254 (40514560/28160), Serial0/1
via 192.168.0.249 (Infinity/Infinity), rs, q, Serial0/0, serno 64,anchored
ObservezlalettreAgauchedelacapturequiidentifieunerouteactive,lecompteurquirappelleque1minute
et33secondessesontcoulesdepuislepassageltatactif,ledrapeaurquiindiquequunequestionpose
estencoresansrponse.
Une fois les 3 minutes du temporisateur de route active coules, le processus SYSLOG met deux messages
davertissementdontundeniveau3(Errorcondition):
RTR7A#sh ip eigrp topology active
IP-EIGRP Topology Table for AS(64501)/ID(192.168.0.250)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
A 172.16.0.128/26, 0 successors, FD is 40514560
1 replies, active 00:03:02, query-origin: Local origin, retries(1)
via 192.168.0.254 (40514560/28160), Serial0/1
via 192.168.0.249 (Infinity/Infinity), rs, Serial0/0, serno 64
RTR7A#
00:46:13: %DUAL-3-SIA: Route 172.16.0.128/26 stuck-in-active state in IP-EIGRP
64501. Cleaning up
00:46:13: %DUAL-5-NBRCHANGE: IP-EIGRP 64501: Neighbor 192.168.0.249 (Serial0/0) is
down: stuck in active
Ladministrateurconfrontceproblmepeuttenterdelersoudreenaugmentantletempsinitialdutemporisateur
derouteactive,cequisoprelaidedelacommandetimersactivetimeenconfigurationdinterface.Lasyntaxe
decettecommandeestlasuivante:
Router(config-if)#timers active-time [time-limit | disabled]
- 17 -
...dontlesargumentssont:
timelimit
TempsdattentedesrponsesauxrequtesdEIGRP,exprimenminutesdanslespace[14294967295].
disabled
Dsactive le temporisateur, la consquence est quune route qui passe ltat actif peut le rester indfiniment si
touteslesrponsesnontpastobtenues.
Cette solution ne peut tre quun pisaller et va contribuer dgrader le temps de convergence dEIGRP. Le plus
souvent, ladministrateur devra satteler la tche dlicate qui consiste isoler le lien ou le routeur qui pose
problme.Illuifaudraalorsprocderparordre:
1.QuellessontlesroutesannoncesrgulirementdansltatSIA?
2.Quelrouteurcroitbonrgulirementdenepasrpondre?
3.Pourquoicerouteurnerpondilpasalorsquonlinterrogepoliment?
Sesoutilsprincipauxsontalors:
Lacommandeshowipeigrptopology.
Lacommandeshowipeigrptopologyactivequinemontrequelesroutesactives.
La commande debug eigrp packets request reply afin de surveiller lactivit EIGRP avec les rserves
habituellesquantladangerositdetoutecommandedebug.
CISCOnecessedepoursuivrelesdveloppementsautourdEIGRPetceproblmederoutemarqueSIAatpris
en compte. La rflexion est la suivante (reprenez sous les yeux lillustration prcdente) : En quoi remettre en
questionlarelationdevoisinageentreR1etR2faitilprogresserlefficacitdEIGRP?Quelrapportavecladisparition
durseau10.1.1.0/24?
Cisco a donc modifi le comportement de SIA (IOS 12.1(4.0.3)T et 12.1(4.1)). Les modifications sappuient sur la
crationdedeuxtripletsTLVsupplmentaires:SIAQueryetSIAReplyainsiquesuruntemporisateur SIAQuery
initialis90secondes,soitlamoitidutemporisateurderouteactive.
Lorsque R1 interroge R2, il arme non plus un mais deux temporisateurs : le temporisateur de route active
initialis180secondesetletemporisateurSIAQueryinitialis90secondes.
Si R1 napasreuderponsequandletemporisateur SIAQueryexpire, R1 envoie une requte SIA
Query.
SiR2rpondcetterequteparunmessageSIAReply,alorsR1rinitialisesesdeuxtemporisateurset
larelationdevoisinageestmaintenue.
LmissiondunnouveauSIAQueryestritre90secondesplustard.EncasderponsedeR2parun
messageSIAReply,lerseausevoitoctroyerundlaisupplmentairede90secondes.
R1 peut ainsi mettre jusqu trois requtes SIAQuery et si on additionne les 90 secondes qui ont prcd
lmission du premier SIAQuery , cest finalement six minutes que R1 aura laiss au rseau pour collecter
lensembledesrponses.Biensr,lintrieurdecessixminutes,laprocdurepeutprendrefintoutmomentds
quelavraierponseattendue,quiconcernelaroute,estobtenue.
Pour ladministrateur, surveiller la frquence dapparition des couples SIAQuery/SIAReply donne un moyen
supplmentaire de dtecter et peuttre prvenir la formation de routes SIA et linstabilit de routage qui en
dcoule.Unecommandeutilepourcefaire:
R220#show ip eigrp trafic
IP-EIGRP Traffic Statistics for process 64501
Hellos sent/received: 722/722
Updates sent/received: 27/27
Queries sent/received: 3/7
Replies sent/received: 7/3
Acks sent/received: 34/34
Input queue high water mark 4, 0 drops
- 18 -
4.Atelier:MiseenuvreduneconfigurationEIGRPavance
Latopologieproposeestlamme,seulleplandadressageestmodifi:
a.Tche1:Modifierleplandadressage
Tlchargez depuis le site des Editions ENI les deux fichiers texte Atelier8b_R100.txt et Atelier8b_R200.txt.
Selontoutemthodevotreconvenance,injectezlesconfigurationsfourniessurR100etR200.
Sur chacun des quatre routeurs R101, R102, R201 et R202 (par exemple sur R101) configurez les nouvelles
adressessurlesinterfacesF0/1,S0/0etLo0:
R101(config)#int f0/1
R101(config-if)#ip address 10.1.100.101 255.255.255.0
R101(config-if)#int s0/0
R101(config-if)#ip address 10.0.50.1 255.255.255.252
R101(config-if)#int f0/0
R101(config-if)#ip address 10.1.101.1 255.255.255.0
R101(config-if)#int loopback 0
R101(config-if)#ip address 172.26.101.101 255.255.255.255
R101(config-if)#^Z
R101#
Modifiezlassociationstatiquedunomserveur:
b.Tche2:ModifierleprocessusderoutageEIGRP
- 19 -
SurlesdeuxrouteursR101etR102,modifiezlaconfigurationEIGRPdelAS100.Parexemple,surR101:
SurlesdeuxrouteursR201etR202,modifiezlaconfigurationEIGRPdelAS200.ParexemplesurR201:
c.Tche3:AjouterunprocessusderoutageRIP
Sur chacun des quatre routeurs, crez six interfaces de loopback et attribuezleur respectivement les adresses
172.26.xxx.111172.26.xxx.116oxxxestlenumrodurouteurconsidr101,102,201ou202.Parexemple
surR101:
R101(config)#int loopback 1
R101(config-if)#ip address 172.26.101.111
R101(config-if)#int loopback 2
R101(config-if)#ip address 172.26.101.112
R101(config-if)#int loopback 3
R101(config-if)#ip address 172.26.101.113
R101(config-if)#int loopback 4
R101(config-if)#ip address 172.26.101.114
R101(config-if)#int loopback 5
R101(config-if)#ip address 172.26.101.115
R101(config-if)#int loopback 6
R101(config-if)#ip address 172.26.101.116
R101(config-if)#^Z
R101#wr
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
Sur chacun des quatre routeurs, ajoutez un processus RIP version 2 qui prenne en compte ces interfaces. Par
exemplesurR101:
R101(config)#router rip
R101(config-router)#version 2
R101(config-router)#network 172.26.0.0
R101(config-router)#^Z
R101#
d.Tche4:ConfigurerlaredistributionderoutesRIPversEIGRP
Surchacundesquatrerouteurs,configurezlaredistributiondesroutesapprisesparRIPdansEIGRP.Noubliezpas
ce moyen mnmotechnique qui consiste remplacer le motclredistribute par le mot franais rcupre, la
comprhensiondelaredistributionygagne:
<0-255>
Comptabilisezlesroutescontenuesdanschaquetablederoutage:
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
172.26.0.0/32 is subnetted, 28 subnets
D EX
172.26.202.116
[170/1159680] via 10.1.100.100, 00:01:36, FastEthernet0/1
D EX
172.26.201.116
[170/1159680] via 10.1.100.100, 00:02:25, FastEthernet0/1
D EX
172.26.202.115
[170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1
D EX
172.26.201.115
[170/1159680] via 10.1.100.100, 00:02:25, FastEthernet0/1
D EX
172.26.202.114
[170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1
D EX
172.26.201.114
[170/1159680] via 10.1.100.100, 00:02:25, FastEthernet0/1
D EX
172.26.202.113
[170/1159680] via 10.1.100.100, 00:01:36, FastEthernet0/1
D EX
172.26.201.113
[170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1
D EX
172.26.202.112
[170/1159680] via 10.1.100.100, 00:01:36, FastEthernet0/1
D EX
172.26.201.112
[170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1
D EX
172.26.202.111
[170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1
D EX
172.26.201.111
[170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1
D EX
172.26.202.201
[170/1159680] via 10.1.100.100, 00:01:37, FastEthernet0/1
D EX
172.26.201.201
[170/1159680] via 10.1.100.100, 00:02:26, FastEthernet0/1
D EX
172.26.102.116
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1
D EX
172.26.102.115
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1
D EX
172.26.102.114
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1
D EX
172.26.102.113
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1
D EX
172.26.102.112
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1
D EX
172.26.102.111
[170/261120] via 10.1.100.102, 00:04:14, FastEthernet0/1
D EX
172.26.102.102
- 21 -
Sur chacun des quatre routeurs, configurez lagrgation afin de contenir linflation du nombre de routes. Par
exemplesurR101:
Vrifiezleseffetsdecetteagrgation.ToujourssurR101:
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
172.26.0.0/16 is variably subnetted, 11 subnets, 2 masks
172.26.202.0/24
[170/1159680] via 10.1.100.100, 00:03:03, FastEthernet0/1
D EX
172.26.201.0/24
[170/1159680] via 10.1.100.100, 00:03:04, FastEthernet0/1
D
172.26.102.0/24
[90/261120] via 10.1.100.102, 00:03:04, FastEthernet0/1
D
172.26.101.0/24 is a summary, 00:03:04, Null0
C
172.26.101.115/32 is directly connected, Loopback5
C
172.26.101.114/32 is directly connected, Loopback4
C
172.26.101.113/32 is directly connected, Loopback3
C
172.26.101.112/32 is directly connected, Loopback2
C
172.26.101.116/32 is directly connected, Loopback6
C
172.26.101.101/32 is directly connected, Loopback0
C
172.26.101.111/32 is directly connected, Loopback1
10.0.0.0/8 is variably subnetted, 9 subnets, 3 masks
D EX
10.0.60.0/30 [170/2053120] via 10.1.100.100, 00:03:04, FastEthernet0/1
C
10.0.50.0/30 is directly connected, Serial0/0
D
10.1.102.0/24 [90/30720] via 10.1.100.102, 00:03:04, FastEthernet0/1
D EX
- 22 -
C
10.1.101.0/24 is directly connected, FastEthernet0/0
C
10.1.100.0/24 is directly connected, FastEthernet0/1
D
10.0.120.0/29 [90/1154560] via 10.1.100.100, 00:03:04, FastEthernet0/1
D EX
10.2.202.0/24
[170/1159680] via 10.1.100.100, 00:03:04, FastEthernet0/1
D EX
10.2.201.0/24
[170/1159680] via 10.1.100.100, 00:03:04, FastEthernet0/1
D EX
10.2.200.0/24
[170/1157120] via 10.1.100.100, 00:03:04, FastEthernet0/1
R101#
Onpassede3x7=213x1+laroute172.26.101.0/24verslinterfaceNull0.Onsesouvientquepardfaut,
EIGRPutilisecetteinterfaceafindliminerlespaquetsquicorrespondentlarouteparentmaispourlesquelsaucun
desrseauxenfantsnecorrespondladressededestinationdespaquets.EIGRPinclutdefaonautomatiqueune
routersumeverslinterfaceNull0chaquefoisquelunedecesdeuxconditionsexiste:
Unrsumderouteestactiv,quilsoitautomatiqueoumanuel.
UnouplusieurssousrseauxdurseauagrgexistentquionttapprisparEIGRP.
ImaginezparexemplequeR101reoiveunpaquetdestin172.26.101.117.Lhte172.26.101.117luiestinconnu.
LaseulepossibilitquiresteestlactionPoubelle,cestlobjetdelarouteversNull0.De37routes,ladministrateura
russiramenerlatablederoutage20routes.
Votreagrgationderoutesaportsesfruits,bravo.Cetatelierestmaintenanttermin.
- 23 -
Rsum
1.Lescaractristiquesretenir
Larelativecomplexitduprotocoleafaitprfrerdessynthsesrpartiesaulongduchapitre.Mercidevousreporter
notammentauxsections:
DUAL,synthsepartielle
Partagedecharge,synthse.
Ilexisteaumoinstroisouvragesdanslecommerce,tousamricains,dontEIGRPestlesujetunique.Autantdireque
si nous avons essay ici de faire un tour srieux du sujet, il est loin dtre clos. De son ct, CISCO, videmment
promoteurdesonprotocole,continuedelefaireprogresser.UnadministrateurenchargedungrandrseauEIGRP
devradoncresterenveilleconstante.
2.Lescommandesretenir
a.Commandesdeconfiguration
Commande
Mode
Description
ipclassless
Configuration
globale
Activelalgorithmederecherchede
correspondancedeprfixelapluslongue
(LongestMatchbasedForwardingAlgorithm)dans
leprocessusderecherchederoute.Cestla
commandepardfaut.
ipsubnetzro
Configuration
globale
Autoriselesadressesdesousrseaux
exclusivementcomposesde0.
routereigrpasid
Configuration
globale
ActiveleprocessusEIGRPetlefaitparticiperau
systmeautonomedenumroasid.
network@IP_rseau
Configurationde
routeur
Ladresseindiquedoitinclurelesadressesdes
interfacesquiparticipentauprotocole.
passiveinterfaceinterface
typeinterfacenumber
Configurationde
routeur
Cesselenvoidemisesjoursurlinterface
spcifie.
autosummary
Configurationde
routeur
Activeoudsactivelagrgationautomatique
lafrontiredunrseaumajeur.
metricweightstosk1k2k3k4k5
Configurationde
routeur
Permetunrglagefinducalculdelamtrique
parEIGRP.Lavaleurtosdoitresterzro.
eigrpstub[receiveonly|
connected|static|summary|
redestributed]
Configurationde
routeur
Configureunrouteurdextrmit(SpokeRouter)
defaoncequilnereoivepluslesrequtes
desesvoisins.
variancemultiplier
Configurationde
routeur
Lavaleurpardfautest1etentraneun
partagedechargecotgal.Lavaleur
acceptedoittrecompriseentre1et128.
timersactivetime[timelimit|
disabled]
Configurationde
routeur
Pardfaut,cetemporisateurestdsactiv(cela
napastoujourstlecas).Danscettat,une
routepeutresterltatactifindfiniment.
- 1-
iphellointervaleigrpasidseconds Configuration
dinterface
Configurelapriodequisparedeuxmessages
Hello.60spardfautsurlesinterfaceslentes
detypeNBMA,5spardfautsurlesautres
interfaces.
ipholdtimeeigrpasidseconds
Configuration
dinterface
Configureletemporisateurdattentedu
prochainmessageHello.180spardfautsur
lesinterfaceslentesdetypeNBMA,15spar
dfautsurlesautresinterfaces.
bandwidthkbps
Configuration
dinterface
AffecteuneinterfaceWANsavraiebande
passante,exprimeenkilobitsparseconde.
delaytensofsecondes
Configuration
dinterface
Affecteuneinterfaceuneestimationdeson
dlai,exprimeendizainesdemicrosecondes.
ipbandwidthpercenteigrpasid
percent
Configuration
dinterface
Spcifielepourcentagedebandepassante
quEIGRPestendroitdutilisersuruneinterface.
Lavaleurpardfautest50 %.
ipsummaryaddresseigrpas
Configuration
numbernetworkaddresssubnetmask dinterface
[admindistance]
Provoquelannoncedunagrgatdeprefixes
suruneinterface.
ipauthenticationmodeeigrpas_id
md5
Configuration
dinterface
Spcifieletypedauthentificationdeschanges
EIGRPparsignatureMD5.
ipauthenticationkeychaineigrp
as_idname_of_keychain
Configuration
dinterface
ActivelauthentificationdesmessagesEIGRP
misdepuiscetteinterfaceoureussurcette
interface.
keynumber
Configuration
densembledecls
Spcifieunecldanslensembledecls.
keystringtext
Configurationdecl Attribueunechanedecaractreslaclqui
servirasoitdemotdepassesoitdeclpour
laborerunesignatureMD5delamisejour.
Configurationdecl Spcifieunlapsdetempspendantlequellacl
peuttreutilisedanslesmisesjourmises.
showiprouteeigrp
Modeutilisateur
AffichelensembledesroutesissuesdEIGRP.
showipprotocols
Modeutilisateur
Affichelesparamtresetltatactueldu
protocolederoutageactivsurlerouteur.
debugipeigrppackets
Modeprivilgi
Afficheentempsrelletraficdacheminement
EIGRP.
b.Commandesdesupervision
Commande
- 2-
Mode
Description
showipprotocols
Modeutilisateur
Affichelesparamtresetltatactueldu
protocolederoutageactivsurlerouteur.
showiprouteeigrp
Modeutilisateur
AffichelensembledesroutesissuesdEIGRP.
showiprouteprefix
Modeutilisateur
Affichelensembledesroutesmenantprefix.
showipeigrpinterface
Modeutilisateur
Affichedesinformationssurlesinterfacesqui
participentauprotocole.
showipeigrpneighbors
Modeutilisateur
Affichelatabledevoisinage.
showipeigrptopology
Modeutilisateur
Affichelatabledetopologie.
showipeigrptraffic
Modeutilisateur
Affichedesstatistiquessurletrafic
dacheminement.
debugipeigrpasid|neighbor|
notifications|summary
Modeprivilgi
DbogageduroutageIP.
debugeigrpfsm|neighbors|
packets|transmit
Modeprivilgi
Dbogagedelalgorithmederoutage.
- 3-
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 Quelvnementprovoquelepassageltatactifduneroute?
2 Quelvnementprovoqueleretourdunerouteltatpassif?
3 QuelestlalgorithmederoutageduprotocoleEIGRP?
4 Quelleestladiffrenceentrelatabledevoisinageetlatabledetopologie?
5 Quellecommandepermetdevrifierlecontenudelatabledevoisinage?
6 Dfinissezladistancefaisable.
7 Comparezlesdeuxcapturesdebugcidessous:
SurR101:
R101#
*Mar
*Mar
*Mar
*Mar
1
1
1
1
on Serial0/0
Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
on FastEthernet0/0
Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
SurR102:
R102#
00:05:25: EIGRP: Sending HELLO on Serial0/0
00:05:25:
AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
00:05:25: EIGRP: Sending HELLO on FastEthernet0/1
00:05:25:
AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
00:05:26: EIGRP: Sending HELLO on FastEthernet0/0
Ces deux routeurs sont directement connects via une liaison serial . La table de voisinage reste vide. Quelle
pourraitentrelacause?
8 QuelssontlesquatrecomposantsdebasequiconstituentlarchitecturedEIGRP?
9 Dfinissezlaconditiondefaisabilit.
10 Observezlatabledetopologiecidessous:
R8#sh ip eigrp topology
IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.0.16.0/24, 1 successors, FD is 20030720
via 10.0.120.2 (20030720/261120), Serial0/0
via 10.0.120.6 (40030720/261120), Serial0/1
P 10.0.120.0/30, 1 successors, FD is 20025600
via Connected, Serial0/0
P 10.0.120.4/30, 1 successors, FD is 40025600
via Connected, Serial0/1
P 10.0.131.0/24, 1 successors, FD is 20028160
via 10.0.120.2 (20028160/258560), Serial0/0
via 10.0.120.6 (40028160/258560), Serial0/1
R8#
Par quelle interface sortiraient les paquets destins au rseau 10.0.16.0/24 en cas de dfaillance du routeur
10.0.120.2?Pendantcombiendetempslarouteresteraitelleindisponibledanslesmmescirconstances?
11 Considrezlatopologiecidessous:
- 1-
QuelleseraitlacommandeentrerenconfigurationdurouteurEIGRPR8afinquilnannonceque10.0.120.0/30?
12 DanslecontextedEIGRP,querecouvreleRdelacronymeRTP?quellesmthodesceprotocolearecours
pouroffrirsesgaranties?
13 QuellesactionsentreprendlamachineDUALFSMquandunlienpasseltatDown?
14 Questcequunsuccesseurfaisable?
15 Considrezlatabledetopologieciaprs:
R8#sh ip eigrp topology
IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.0.16.0/24, 1 successors, FD is 20030720
via 10.0.120.2 (20030720/261120), Serial0/0
via 10.0.120.6 (40030720/261120), Serial0/1
R8#
QuerappellelalettrePassocielaroute10.0.16.0/24gauchedelacapture?
16 QuelleestlabandepassantemaximaleconsommeparEIGRPsurunlien?Ladministrateurpeutilintervenir
surleratioBandeconsomme/Bandedisponible?
17 Questcequunsuccesseur?
18 Considrezlatopologieciaprs:
LadministrateurobservelatablederoutagedesrouteursR8etR16etdplorelabsencederouteversLAN_12surR8
ainsiquelabsencederouteversLAN_11surR16.Quellesinterventionsluiconseillezvousetsurquelsrouteurs?
19 Observezlatopologieciaprs:
Placezvous sur le routeur R1 et considrez le trafic issu dInternet et destin au Datacenter. Tous les routeurs
participentaummeASEIGRP.LavariancesurR1estrgle2.LerouteurR1faitildupartagedecharge?Sioui,
surcombiendeliens?
- 2-
20 VoustessollicitafindersoudreunproblmedeconnectivitEIGRP.Vousavezobservquedeuxrouteurs
EIGRPconnectsntaientpasvoisins.Unpingentrecesdeuxrouteursaboutit.Quevrifiezvousmaintenant?
21 QuelleadressemulticastutiliseEIGRPquandilmultidiffusesespaquets?
22 Quelledistanceadministrativeunrouteuraffecteuneroutepardfautapprisedepuisunesourceextrieure
ausystmeautonome?
23 Considrezlacommandecidessous,quelleestlutilitdunombre20?
Nantes(config)#router eigrp 20
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/23
Pourcechapitre,votrescoreminimumdoittrede18sur23.
3.Rponses
1 Quelvnementprovoquelepassageltatactifduneroute?
Unefoislaphaselocaledervaluationacheve,quandlerouteurnapastrouvdesuccesseurfaisablepourlaroute,alors
uneprocduredecalculdiffusestentameetlaroutepasseltatactif(reliresincessairelasectionNotiondecalcul
diffus).
2 Quelvnementprovoqueleretourdunerouteltatpassif?
Lachvementdelaprocduredecalculdiffus,cestdirelarceptiondunerponsedechaquevoisininterrog(reliresi
ncessairelasectionNotiondecalculdiffus).
3 QuelestlalgorithmederoutageduprotocoleEIGRP?
DUAL(DiffusingUpdateAlgorithm)(reliresincessairelasectionAlgorithmeDUAL).
4 Quelleestladiffrenceentrelatabledevoisinageetlatabledetopologie?
LatabledevoisinagecontientdesinformationsausujetdesvoisinsEIGRPenactivit.Latabledetopologiecontienttoutes
les routes connues qui disposent de successeurs faisables (relire si ncessaire les sections Entretien des relations de
voisinageetDUAL,synthsepartielle).
5 Quellecommandepermetdevrifierlecontenudelatabledevoisinage?
showipeigrpneighbors(reliresincessairelasectionEntretiendesrelationsdevoisinage).
6 Dfinissezladistancefaisable.
Ladistance faisableoudistancedefaisabilit(FD,FeasibleDistance)estladistancequisparelerouteurdurseaude
destinationvialesuccesseur.Cestaussilalternativeaumeilleurcot,cequiaconduitchoisirlerouteurquilaannonc
commesuccesseur,cestdirerouteurdeprochainsaut(reliresincessairelasectionDUAL,synthsepartielle).
7 Comparezlesdeuxcapturesdebugcidessous:
SurR101:
R101#
*Mar
*Mar
*Mar
*Mar
1
1
1
1
on Serial0/0
Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
on FastEthernet0/0
Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
- 3-
SurR102:
R102#
00:05:25: EIGRP: Sending HELLO on Serial0/0
00:05:25:
AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
00:05:25: EIGRP: Sending HELLO on FastEthernet0/1
00:05:25:
AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
00:05:26: EIGRP: Sending HELLO on FastEthernet0/0
Ces deux routeurs sont directement connects via une liaison serial . La table de voisinage reste vide. Quelle
pourraitentrelacause?
CerteslesdeuxrouteursentretiennentunprocessusEIGRPmaisR101faitparticipersonprocessuslAS100tandisque
R102 fait participer son processus lAS 64501 (relire si ncessaire la section Configuration de base choix du systme
autonomeetidentificateurdeprocessus).
8 QuelssontlesquatrecomposantsdebasequiconstituentlarchitecturedEIGRP?
LesquatrecomposantsdEIGRPsont:
lesmodulesdpendantdesprotocoles
leprotocoledetransportfiableRTP
leModulededcouverteetrcuprationdesvoisins
lalgorithmeoumoteurderoutageDUAL.
(ReliresincessairelasectionArchitecture.)
9 Dfinissezlaconditiondefaisabilit.
Laconditiondefaisabilit(FC)estremplielorsqueladistanceannonce(ourapporte)parunvoisin(RD)estinfrieure
la distance faisable (FD). Satisfaire la condition de faisabilit assure que le voisin offre une alternative sans boucle.
Autrementdit,surlecheminquisparedurseaudedestination,levoisinestassurmentenavaldurouteursurlequelon
seplace(reliresincessairelasectionDUAL,synthsepartielle).
10 Observezlatabledetopologiecidessous:
R8#sh ip eigrp topology
IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.0.16.0/24, 1 successors, FD is 20030720
via 10.0.120.2 (20030720/261120), Serial0/0
via 10.0.120.6 (40030720/261120), Serial0/1
P 10.0.120.0/30, 1 successors, FD is 20025600
via Connected, Serial0/0
P 10.0.120.4/30, 1 successors, FD is 40025600
via Connected, Serial0/1
P 10.0.131.0/24, 1 successors, FD is 20028160
via 10.0.120.2 (20028160/258560), Serial0/0
via 10.0.120.6 (40028160/258560), Serial0/1
R8#
Par quelle interface sortiraient les paquets destins au rseau 10.0.16.0/24 en cas de dfaillance du routeur
10.0.120.2?Pendantcombiendetempslarouteresteraitelleindisponibledanslesmmescirconstances?
Levoisin10.0.120.6remplitlaconditiondefaisabilitcarsadistancerapporte261120estinfrieureladistancefaisable
20030720 pour le rseau 10.0.16.0/24. Ce voisin a donc le statut de successeur faisable. En cas de dfaillance du
successeur10.0.120.2,lesuccesseurfaisable10.0.120.6deviendralesuccesseur.Letempsdindisponibilitserduit0,
commechaqueenpareilcas,cestdirequandlatabledetopologiecomporteplusdunsuccesseurfaisablepourunemme
- 4-
destination(reliresincessairelasectionLautomatetatsfinisdeDUAL).
11 Considrezlatopologiecidessous:
QuelleseraitlacommandeentrerenconfigurationdurouteurEIGRPR8afinquilnannonceque10.0.120.0/30?
R8(config-router)#network 10.0.120.0 0.0.0.3
Lemasquegnrique0.0.0.3retienttouslesbitslexclusiondesdeuxbitsdepoidsfaible(reliresincessairelasection
Participationdesinterfaces,lemasquegnrique).
12 DanslecontextedEIGRP,querecouvreleRdelacronymeRTP?quellesmthodesceprotocolearecourspour
offrirsesgaranties?
RTP offre une fiabilit sur mesures . Quand le mode fiable est choisi, RTP offre les garanties de remise et de
squencement,cebienquelesmessagesEIGRPsoientmultidiffuss.Pourassurerlmetteurdelaremise,unrouteurqui
reoit un paquet RTP multicast doit acquitter (cestdire mettre un paquet accus de rception), il le fait laide dun
paquet unicast. Les numros de squence embarqus par le paquet RTP permettent quant eux de garantir le
squencement(reliresincessairelasectionLeprotocoledetransportRTP).
13 QuellesactionsentreprendlamachineDUALFSMquandunlienpasseltatDown?
Lautomate entreprend dabord une phase locale de rvaluation la recherche dun successeur faisable. En cas dchec,
lautomateentreprenddinterrogerchacundesesvoisinsdansunesecondephaseappelephasedecalculdiffus(reliresi
ncessairelasectionNotiondecalculdiffus).
14 Questcequunsuccesseurfaisable?
Un successeur potentiel ou successeur faisable (FS, Feasible Successor) est un voisin qui satisfait la condition de
faisabilit,cestdiredontladistanceannonceourapporte(RD,ReportedDistance)estinfrieureladistancefaisable
(reliresincessairelasectionDUAL,synthsepartielle).
15 Considrezlatabledetopologieciaprs:
R8#sh ip eigrp topology
IP-EIGRP Topology Table for AS(64501)/ID(10.0.120.5)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.0.16.0/24, 1 successors, FD is 20030720
via 10.0.120.2 (20030720/261120), Serial0/0
via 10.0.120.6 (40030720/261120), Serial0/1
R8#
QuerappellelalettrePassocielaroute10.0.16.0/24gauchedelacapture?
La route 10.0.16.0/24 est ltat passif, autrement dit stable. Il ny a pas de procdure de calcul diffus en cours la
concernant(reliresincessairelasectionNotiondecalculdiffus).
16 QuelleestlabandepassantemaximaleconsommeparEIGRPsurunlien?Ladministrateurpeutilintervenirsurle
ratioBandeconsomme/Bandedisponible?
Pardfaut,EIGRPlimitesaconsommation50 %delabandepassanteconnuepourcelien.Naturellement,danslecasdes
ENI Editions - All rigths reserved - Noba Mafiza
- 5-
liensWAN,celaneprenddusensquesiladministrateuraprislaprcautionderglerlavraiebandepassantedulienlaide
dune commande bandwidth. Oui, ladministrateur peut intervenir sur le pourcentage laiss EIGRP laide dune
commandeipbandwidth percenteigrpenconfigurationdinterface(reliresincessairelasectionEspacementdesmises
jour).
17 Questcequunsuccesseur?
Unsuccesseurestunvoisinquelerouteurutilisepourfaireprogresserlespaquets.Pouruneroutedonne,lesuccesseur
est choisi parmi les voisins qui ont annonc cette route parce quil offre lalternative au meilleur cot jusquau rseau de
destination(reliresincessairelasectionDUAL,synthsepartielle).
18 Considrezlatopologieciaprs:
LadministrateurobservelatablederoutagedesrouteursR8etR16etdplorelabsencederouteversLAN_12surR8
ainsiquelabsencederouteversLAN_11surR16.Quellesinterventionsluiconseillezvousetsurquelsrouteurs?
Nous lui conseillons dintervenir sur R11 et R12 afin de dsactiver lagrgation automatique laide de la commande no
auto summaryenconfigurationderouteurEIGRP.Fautedequoi,R11etR12continuerontdesannoncermutuellementle
rseau10.0.0.0/8danssonentier(reliresincessairelasectionAgrgationderoutes).
19 Observezlatopologieciaprs:
Placezvous sur le routeur R1 et considrez le trafic issu dInternet et destin au Datacenter. Tous les routeurs
participentaummeASEIGRP.LavariancesurR1estrgle2.LerouteurR1faitildupartagedecharge?Sioui,
surcombiendeliens?
LadistancefaisabledeR1jusquauDatacenterest40.Toutcheminalternatifdontladistanceestinfrieure80estdonc
ajoutlatablederoutage.R1rpartitletraficsursestroisinterfacesversleDatacenter(reliresincessairelasection
Partagedecharge).
20 VoustessollicitafindersoudreunproblmedeconnectivitEIGRP.VousavezobservquedeuxrouteursEIGRP
connectsntaientpasvoisins.Unpingentrecesdeuxrouteursaboutit.Quevrifiezvousmaintenant?
LesprocessusderoutagesontilsbienconfigursaveclemmenumrodAS?Pourchacundesdeuxrouteurs,ladresseIP
de linterface sur le lien considr faitelle bien partie dun rseau dclar laide dunecommande network ? (Relire si
ncessairelasectionConfigurationdebase.)
21 QuelleadressemulticastutiliseEIGRPquandilmultidiffusesespaquets?
Ladresse multicast 224.0.0.10 identifie le groupe des routeurs EIGRP (relire si ncessaire la section Le protocole de
transportRTP).
22 Quelle distance administrative un routeur affecte une route par dfaut apprise depuis une source extrieure au
- 6-
systmeautonome?
170(reliresincessairelasectionRoutepardfaut).
23 Considrezlacommandecidessous,quelleestlutilitdunombre20?
Nantes(config)#router eigrp 20
Le nombre 20 identifie le systme autonome EIGRP auquel participe le routeur Nantes (relire si ncessaire la section
Configurationdebase).
- 7-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde
basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Dcrirelesconceptsetlesfonctionnalitsdebasedesprotocolesderoutagedtatdesliens.
Dcrirelobjet,lanatureetlefonctionnementduprotocoleOSPF(OpenShortestPathFirst).
ConfigureretvrifierlefonctionnementdebaseduprotocoleOSPFdansuneaireuniquesurunpetitrseaurout.
Utiliserdescommandesdeconfigurationavancesavecdesrouteursmettanten uvreleprotocoleOSPF.
Utiliserlescommandesshowetdebugdurouteurpourdpannerleserreurslespluscourantesquiseproduisent
surdepetitsrseauxroutslaidedOSPF.
- 1-
Aperuduprotocole
1.Principesgnraux
Parce quil fallait tourner la page des cueils de RIP, Open Shortest Path First fut dvelopp par lIETF (Internet
Engineering Task Force) dans le but de devenir LE protocole IGP recommand (par lIETF). OSPF est un protocole
tatsdeliens,ilutiliselalgorithmedeDijkstra(oualgorithmeSPF)pourconstruireunetopologieexemptedeboucles.
Commesonnomlindique,ilestouvert,autrementditilnappartientniunconstructeur,niuneorganisation.Des
travauxderecherchesurlalgorithmeSPFavaienttentamsds1978pourlerseauARPANET,legroupedetravail
delIETFfutcren1988etaboutitlapublicationduRFC1131en1989:
RFC1131
OSPFSpecification
JohnMOY
Oct.1989
RFC1247
OSPFVersion2
JohnMOY
Juillet1991
RFC1583
OSPFVersion2
JohnMOY
Mars1994
RFC2178
OSPFVersion2
JohnMOY
Juillet1997
RFC2328
OSPFVersion2,toujoursdactualit
JohnMOY
Avril1998
RFC2740
OSPFforIPv6
R.Coltun,D.Ferguson,J.Moy
Dcembre
1999
R.Coltun,D.Ferguson,J.Moy,A.
Lindem
Juillet2008
CeRFCesteffectivementnomm
OSPFforIPv6 .Cependant,un
certainnombredepublicationsle
nommeOSPFVersion3.
RFC5340
OSPFforIPv6
Tableau1:HistoriquedesRFCdOSPF
Le RFC1583 est disponible au format PDF et prsente lavantagedutiliser de vrais schmas qui peuvent aider la
comprhensiondelacomplexitdOSPF(laplupartdesRFCutilisentdepseudoschmasralissenmodetextecarils
privilgientlalgretetluniversalit).LeRFC2328estdisponibleenfranaissurlesite:http://abcdrfc.free.fr/cequi
aidevidemment(merciautraducteurcarlatchedoittreharassanteetingrate)mmesilfautalertersurcertains
choixquipeuventtreregretts(ex:netmaskesttraduitpargabaritderseau,routingtableesttraduitpar
tableaudacheminement).
OSPFappartientlaclassedesprotocolesderoutagetatsdeliensetrevendiquelesavantagesdesaclasse:
Convergencerapideaideencelapardesmisesjourdclenchesetdetypeincrmental.
Capacitprendreencomptedegrandsrseaux.
Quelquesautrescaractristiquesquifontlintrtduprotocole:
OSPFmetprofitunconceptdairesafindecontenirsesexigencesenressourcesmachine(mmoire
etCPU),afingalementderduireautantquefairesepeutletraficdacheminement.Pourmmoire,le
traficdacheminementestletraficinhrentauprotocolederoutage.Labandepassanteconsomme
pourcetraficlestaudtrimentdelabandepassanteutile.
Les aires dOSPF sont construites selon une topologie hirarchique autour de laire 0 , appele
backbone,ettoujoursprsente.
Le comportement du protocole est de type classless . ce titre, il supporte VLSM ainsi que les
routesrsumes.
Mtriqueintelligentefondesurlabandepassantedesliens.
AdressesmulticastrservesOSPFdefaonrduirelimpactsurlesdispositifsnonOSPF.
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
LeschangesOSPFpeuventtreauthentifis.
Priseencomptederoutesissuesdautresprotocoleslaidedumarquagederoutes(routetagging)...
CesavantagesindubitablesdOSPFsontvidemmentobtenusauprixdequelquesinconvnients:
OSPFconsommedelammoire.Chaquerouteurdoitentretenirplusieursbasesdedonnes,dontunebase
dedonnesdevoisinage(OSPFneighbors)etunebasededonnesdestatsdeliensdechacundesautres
routeursappeleLSD(LinkStateDatabase).
OSPFconsommedelaressourceCPU,cestspcialementvraiaudmarrageduprotocolelorsquunrouteurqui
nepartderiendoitconstruirelensembledesbasesdedonnespourensuiteextrairesatablederoutage.
LapplicationdOSPFdegrandsrseauxestcomplexecarelledoitsappuyersurunetopologiehirarchique
daires,uneaireregroupeplusieursrouteurs.Defait,OSPFncessitedesexpertsbienforms.
Ltape de configuration et de mise en uvre est galement complexe, une panne ou une erreur de
conceptionsontplusdifficilesdiagnostiquer/radiquerquavecunprotocolevecteurdedistance.
Cesrservestantposes,ilfautretenirdeuxargumentsessentielsquimilitentpourimposerOSPF:
OSPFsaitprendreencomptedegrandsrseaux.Enpareilcas(disonsaudeldecinquanterouteurs),RIPest
automatiquementlimin.
OSPF est un protocole ouvert. Si outre le fait dtregrand,lerseauesthtrogne(Comment...,avecdes
routeursnonCISCO...?),alorsOSPFpeutmmedevenirlechoixunique.
2.Terminologie
Le problme avec OSPF est quon ne sait pas par o commencer. Il est quasi impossible de btir un expos
parfaitement linaire et squenc, cestdire un expos dans lequel le lecteur naurait pas faire des allers et
retours.Lauteurrclamedonclindulgencedulecteurfaceauxprobablesnombreusesrfrenceavant.Unerfrence
avantclairementidentifielestparlamention(patientez).Parailleurs,leformateurdoitsouventdcideroplacer
lecurseurentrelesoucidexhaustivitetlebesoindunmessageclairquandilfautmdiatiserlacomplexit.Enfinal,
laseuleexhaustivitestcelleduRFCpardfinition.
Auniveauleplusglobal,tentonsunepremiredescriptiondufonctionnementdOSPF:
OSPFpeuttrevucommeunempilementdecouches:
- 2-
Encouche1,OSPFdoitapprendreltatdesespropresliens.Laportedelacouche1estlimiteaurouteur.
En couche 2, un routeur OSPF construit des relations avec ses voisins OSPF. La porte de la couche 2 est
limiteauxinterfacesdesvoisinsphysiques,cesinterfacessontdirectementconnectes.
Deuxrouteursquipartagentunlienetconviennentdecertainsparamtreslaidedeleursmessages
Hellorespectifsdeviennentdesvoisins(neighbors).
Unerelationdadjacenceoudeproximit,quipeutseconcevoircommeltatultimedelarelationde
voisinage, peut stablir entre voisins. Cette relation est conditionne par le type de routeurs
changeantlesmessagesHelloainsiqueparletypederseautransportantcesmessages.
Lacouche3consistesynchroniserlabasededonnestopologiques(LinkStateDatabase:LSD)etsappuie
surlesrelationsdeproximittabliesparlacouche2.
Un routeur parlant OSPF envoie des messages HELLO sur toutes ses interfaces participant au
protocole.
ChaquerouteurenvoiesesLSAs(LinkStateAdvertisements)toussesrouteursadjacents.UnLSAde
routeurdcritltatdetouslesliensdecerouteur.
Parcequilexisteunegrandevaritdeliens,OSPFdfinitgalementdenombreuxtypesdeLSAs.
Chaque routeur qui reoit un LSA de lun de ses proches enregistre ce LSA dans sa LSD (Link State
Database)etenenvoieunecopielatotalitdesesautresproches.
LesLSAstantinondssuruneairedonne,permettentlensembledesrouteursdeconstruireune
LSDidentique.
Enfin, la couche 4 pourrait tre la construction de larbre de recouvrement en se fondant sur les donnes
topologiquesrecueilliesdanslaLSDparlacouche3.
UnefoislaLSDcomplte,chaquerouteurdroulelalgorithmeSPFpourconstruireunarbredcrivant
lensembledescheminsmeilleurcotverstouteslesdestinationsconnues.Chaquerouteurestla
racinedelarbrequilcalcule.
ChaquerouteurdduitsatablederoutageenextrayantlesroutesdelarbreSPFquilacalcul.
UnefoislesLSAsinondsdansuneairedonne,unefoislesLSDssynchronises(identiques),unefoislestablesde
routagedduites,OSPFestunprotocolequelonpeutqualifierdecalmeetsilencieux.Leschangesselimitentaux
courtsmessagesHello,utilesafindemaintenirlesliensenvie(Keep alive),leschangesdeLSAsnintervenantque
toutesles30minutes.Pasdautreactivitnotableobserverendehorsdecellequentraneraitunchangementde
topologie.
Najoutonspaslacomplexitundoutesurlesensquedoiventprendrelesmots.Lestermesnouveauxpropresau
protocoleOSPF(oupropresauxprotocolestatsdeliens)sontdfiniscidessous:
Link
Puisquilestquestiondunprotocoletatsdeliens,cetermedoitrevtiruneimportanceparticulire.Cestpourtant
trs simple puisque cest ainsi quOSPF dsigne une interface de routeur. Quand une interface est ajoute au
processus OSPF, elle est considre comme un lien. ce lien sont associs diverses informations quil est possible
dafficherenpartielaidedunecommandeshowipospfinterface.
RouterIDouRID
IlesttrsimportantquOSPFpuisseidentifiersansambigutchaquerouteurquiparticipeauprotocole.LIETFachoisi
delefairelaidedunidentifiantauformatidentiqueceluiduneadresseIP.Ainsi,ilestfaciledextrapolerunRID
pardfautdelaconfigurationdurouteur.Ladministrateuragalementlapossibilitdeledfinirdirectementcomme
illustrlasectionConfigurationOSPFConfigurationdebaseIdentifiantdurouteur.
Un point cl du protocole rside dans la mthode dattribution de cet identifiant. Le routeur a recours lune des
mthodessuivantes:
- 3-
1.LerouteurchoisitladresseIPlaplusleve(ladresseestalorsconsidrecommeunnombre)parmilesadresses
attribuessesinterfacesdeloopback.
2. Pour le cas, peu probable, o ladministrateur naurait configur aucune interface de loopback, le routeur lui
substitueladresseIPlaplusleveparmilesadressesaffectessesinterfacesphysiques.Linterfacephysiquequi
afourniladresseIPnapasncessairementbesoindtrelunedesinterfacesparticipantauprotocole.
Configurer une interface de loopback offre ladministrateur le moyen de matriser lidentifiant OSPF attribu au
routeurOSPF.Eneffet,linterfacedeloopbacktantvirtuelle,ellenesouffrepasdesmmesaffresquelesinterfaces
physiques.Linterface est up tantquelerouteurestactifetnetombe down que si le routeur sinterrompt.
Autre avantage non ngligeable, ladresse IP attribue linterface de loopback nest pas contrainte par le plan
dadressagedurseau,ladministrateurpeutdoncutiliseruneadressequilidentifierafacilement.
Pourtrecomplet,silidentifiantRIDprovientduneinterfacephysique,lefaitquelinterfacevienneultrieurement
tomberneremettraitpasencauselidentifiantattribu.Danscecasprcis,lastabilitdelinterfacedeloopbacknest
doncquunavantagesecondaire.Lavantagedterminantrsidedanslefaitdepouvoiraffecterlidentifiantpluttque
delevoirdduitduneconfigurationdinterfacephysique.
Originatingrouteur
Chaque routeur qui participe un rseau OSPF vit sa propre existence. Les raisonnements quil faut btir doivent
ltreenseplaantdupointdevuedun routeur. Le routeur choisi pour jouer ce rle est souvent dsign dans ce
chapitreparcerouteur.
Leprotocole Hello
Afindapprendre qui sont ses voisins puis entretenir les relations avec eux, un routeur OSPF gnre des messages
Hellosurtoutessesinterfaces,defaonrgulire.LapriodequisparedeuxmessagesHelloestHelloInterval,ce
dlaiestconfigurableparinterfacelaidedelacommandeip ospf hellointerval.LimplmentationOSPFdeCISCO
utiliseunevaleurpardfautde10secondes.
Unefoisajoutlatabledevoisinage,unvoisinfaitlobjetdunesurveillancergulire.SilesmessagesHelloquele
routeursattendrecevoirneluiparviennentpluspendantuntempsdobservationsuffisant,levoisinestconsidr
commeperdu(ilnestdoncplusvoisin).CestledlaiRouterDeadIntervalquirgleladuredececomaprmortem.
CiscosentientlavaleursuggreparleRFC,soit4xHelloInterval,cestdire40secondespardfaut.nouveau,
cettevaleurestmodifiablelaidedelacommandeipospfdeadinterval.
Basededonnesdevoisinage( Neighborshipdatabase )
Liste de tous les routeurs OSPF pour lesquels un message Hello a t reu rcemment (depuis moins de
RouterDeadInterval secondes). chaque routeur sont associs un certain nombre de dtails tels le RID, la priorit
(valeurutiliselorsdellectionduDR(DesignatedRouter)etduBDR(BackupDesignatedRouter)surunrseaumulti
accs), ltat de la relation de voisinage, linterface depuis laquelle le message a t entendu, ladresse IP de
linterfacequiamislemessage...Ladministrateurpeutobserverlecontenudecettetablelaidedelacommande
showipospfneighbor.Ilestpossibledobtenirunniveaudedtailpluslevenentrantlacommandeshowipospf
neighbor#RID.
Relationdevoisinage
Hlas,leRFCutiliseneighborpourdsignerindiffremmentlevoisinetlarelationdevoisinageentretenueaveclui.
OSPF entretient un diagramme dtat pour chaque relation de voisinage tablie avec chaque voisin dcouvert. La
relation passe par diffrents tats, les premiers tablissent une relation de voisinage, les suivants tablissent une
relationdeproximit.Enfinal,unvoisinphysiquepeutdevenirvoisinouproche.
Proches(Adjacence)
Fautiltraduireleterme Adjacency duRFCparrelationdadjacenceourelationdeproximit?Leschoixdiffrent
selon les publications. Dans les deux cas, la relation dadjacence est ltat ultime dune relation de voisinage. Deux
voisins ne deviennent pas ncessairement adjacents mais deux routeurs adjacents ont dabord t deux voisins.
ltatadjacent,lesbasesdedonnesdeliensLSDsontsynchronises(identiques).Danslasuitedecechapitre,un
voisindsigneunrouteurOSPFvoisin,unprochedsigneunrouteurOSPFadjacent.
Typederseau
OSPFdistinguetroistypesdemdia:
- 4-
lesrseauxpointpoint
lesrseauxdiffusion(BroadcastNetwork)
lesrseauxquineconnaissentpasladiffusion(NonBroadcast).
Quandlerseauestsansdiffusion,OSPFpeutadopterdeuxtypesdecomportement:
lemodeNBMA(NonBroadcastMultiAccess)
lemodepointmultipoint.
Enfin,ilfautcitergalementlapossibilitdecrerunlienvirtuel:
Les liens virtuels. Sans eux, la hirarchie cre laide des aires est limite deux niveaux. Le lien virtuel
permetdeconnecteruneairelairebackbonedefaonlogiquesansquelairesoitphysiquementraccorde
lairebackbone(voirlienvirtuel).
Rseaupointpoint
Laliaison serial quirelieunepairederouteurs.Deuxvoisinsconnectsparunrseaupointpointdeviennent
ncessairementadjacents.LespaquetsOSPFdestinslautreauraientpultrelaidedesonadresseIPunicast.
Maisdanscecas,lerouteurauraitddcouvriraupralablecetteadresse.Cestdoncladressemulticast224.0.0.5
(quisignifietouslesrouteursOSPF,AllSPFRouters)quifaitofficedadressededestination.Cetterglesouffreune
exception dans le cas de LSA retransmis, qui sont toujours mis vers ladresse unicast du demandeur. Cest bien
normal,seulledemandeurestintressparlaretransmission.
Rseaudiffusion
Touslesrseauxquisupportentladiffusion(Broadcast),savoirEthernet,TokenRing,FDDI.Cesrseauxsontmulti
accspuisquilsconnectentensembleplusdedeuxmachines.Maisenoutretouteslesmachinesreliesparcerseau
peuventtredestinatairesdunseulpaquetlorsquilestmisversladressedediffusion.
Commeexpliqulorsdelexpos sur larbreSPF,afinderduirelenombrederelationsdeproximitentreteniret
doncletraficdacheminement,leprocessusOSPFdoitlireparmilesrouteursconnectsviacerseaudeuxrouteurs
appelsDR(DesignatedRouter)etBDR(BackupDesignatedRouter)quiseverrontconfierdesmissionsparticulires.
Surunrseaudiffusion,lesvoisinssontdcouvertsdefaondynamiquelaideduprotocoleOSPFHello.Quelle
que soit leur origine, les messages Hello sont diffuss vers ladresse de multicast 224.0.0.5 (qui signifie tous les
routeursOSPF, AllSPFRouters).CestgalementlecasdesmessagesOSPFquandilssontmisparlundesdeux
routeursDRouBDR.Enrevanche,lesmessagesLSAupdateetLSAAcknowledgmentdOSPFquandilssontissus
desautresrouteursprsentssurlerseaudiffusion(niDR,niBDR,DRother)etdestinsauxrouteursDRet
BDR,sontmisversladressemulticast224.0.0.6(quisignifielesdeuxrouteursDRetBDR, AllDRouters).
Un rappel sur les adresses de multidiffusion et la faon de former les adresses de couche 2 correspondantes a t
placenAnnexe.
ModeNBMA
ligiblespourfonctionnerdanscemode,lesrseauxX25,FrameRelayetATMsoitunensemblederseauxWAN.Ces
rseauxsontcapablesderelierplusdedeuxrouteurssanspourautantdisposerdelacapacitdediffusion.
CestencoreleprotocoleOSPFHelloquiestutilisafindemaintenirlesrelationsdevoisinagemaispuisquilfautse
passer de la possibilit de diffuser un message, la dcouverte des voisins ne peut se faire quau prix dune
configurationsupplmentaire.
CesrseauxpeuventfonctionnervisvisdOSPFcommelefontlesrseauxdiffusion,cestdireenprocdant
llection dun routeur dsign ainsi qu llection dun routeur dsign de secours. Une diffrence cependant au
niveaudesadressesdedestination:lemulticastntantplussupport,lensembledespaquetsOSPFestmisvers
desadressesunicast.
Attention,lemotclquidsignecemodedanslinterfaceILCestnonbroadcast.
Modepointmultipoint
Ilsagit dun rseau sans diffusion ayant fait lobjetdune configuration particulire dont il rsulte un comportement
identique celui dune collection de rseaux point point. Les paquets OSPF peuvent tre mis vers ladresse
multicast224.0.0.5(quisignifietouslesrouteursOSPF,AllSPFRouters).
- 5-
Lienvirtuel( VirtualLink )
Unlienverslairebackbonequitransiteparuneairequelconquediffrentede0.Exemple:
Rseaudetransit
Audel de cette classification qui consiste ranger les rseaux selon les cinq types reconnus par OSPF, il faut en
outre distinguer un rseau selon quil est de transit ou dextrmit. On reconnat un rseau de transit au fait
quaucune des adresses source et destination des paquets observs sur ce rseau nappartient ce rseau. Les
paquetsnefontquepassersurunrseaudetransit.
Rseaudextrmit( Stubnetwork )
Un rseau dextrmit na quun seul routeur attach. Chaque paquet observ sur un rseau dextrmit a, soit
ladressesource,soitladressedestinationquiappartientcerseau.OSPFannonceunerouteversunhtecomme
tant une route vers un rseau dextrmit. De mme, les interfaces de loopback sont considres comme des
rseauxdextrmitetannoncescommetels.
Rseauderattachement
Afin dviter les frquentes rptitions, prcisons que nous nommerons ainsi le rseau auquel linterface dont il est
questionestconnecte.
LSA(LinkStateAdvertisement)
la diffrence des protocoles vecteur de distance qui diffusent des informations de routage (en fait les routes
contenuesdanslatablederoutage),unrouteurOSPFdiffusedesinformationsdetopologie.Illefaitsousformede
LSAstraduisiblesparannoncesdtatsdeliensouavisdtatsdeliens.Attention,chaquemotestpesetchaquemot
compte...ChaquerouteurdanslesystmeautonomegnreunouplusieursLSA.ChaquerouteurtransmetsesLSA
toussesproches.ChaquerouteurquireoitunLSAdelundesesprochesletransmetauxautresprochesdansun
processusdinondation.LensembledesLSAgnrsetcollectsparunrouteurconstituelabasededonnesdtats
deliens,cestdirelaLSD(LinkStateDatabase).
Le RFC 2328 connat cinq types de LSA, chacun ayant une fonction propre. Les deux types les plus importants sont
certainement les LSA de routeur (Type 1 : RouterLSA ) et les LSA de rseau (Type 2 : NetworkLSA ) qui
dcrivent comment les routeurs et les rseaux dune zone sont interconnects. Les LSA de rsum (Type 3 et 4 :
SummaryLSA ) annoncent les destinations extrieures laire ou les routeurs placs la frontire du systme
autonome. Enfin les LSA externes au systme autonome (Type 5 : ASexternalLSA ) annoncent les destinations
extrieuresausystmeautonome.
3.AlgorithmeDijkstradupluscourtchemin
Voilloccasiondefaireunerencontre,virtuellebiensr,avecunpersonnagedesplusintressants.MonsieurEdsger
Wybe Dijkstra (1930 2002) tait physicien, mathmaticien et informaticien nerlandais. Ds 1955, il fut lun des
pionniersclairsdelinformatiqueetonluidoitdenombreusescontributionsdansledomainedessystmesetcelui
delaprogrammation.Cestparexempleluiquiaformalisleconceptdesmaphoreetsenestservipourrsoudre
quelquesproblmesdevenusclassiquesdelinformatiquemaismisenscnedefaontrsludique:leproblmedes
lecteurs et des rdacteurs (Accs aux bases de donnes) et le dner des philosophes (Partage de ressources et
ordonnancement des processus en informatique systme). Monsieur Dijkstra a reu le prix Turing en 1972 (prix
attribuchaqueannepourunecontributionmajeurelacommunautinformatique)etaprononccetteoccasion
undiscoursrestclbreleprogrammeurmodestequilestfacilederetrouversurlenet.MonsieurDijkstratait
paratiluncaractredifficileetapprciaitlesaphorismes(sentences),alorslauteurnersistepasauplaisirdevous
livrerdeuxdentreeux:
- 6-
Testerunprogrammepeutdmontrerlaprsencedebugs,jamaisleurabsence
Sedemandersiunordinateurpeutpenserestaussiintressantquedesedemandersiunsousmarinpeut
nager.
Monsieur Dijkstra ntait pas un adepte des outils numriques et publiait ses travaux sous forme de lettres
manuscritestoutesrfrencesEWD,ladernirefutEWD1318.
Lalgorithme du plus court chemin, devenu algorithme de Dijkstra, fut publi en 1959. Lalgorithme rpond cette
question:
Quelestlepluscourtcheminentredeuxsommetsdungrapheconnexedontlepoidsliauxartesestpositif
ounul?
Enthoriedesgraphes,ungrapheestnotG=(S,A)o:
SestlensembledessommetsdugrapheG.
Poids(s1,s2) est dfini sur A et renvoie un nombre positif caractrisant le cot de larte reliant s 1 s 2 (un
poidsinfinicaractriseunepairedesommetsquinesontpasconnectsparunearte).
Un graphe est connexe si quels que soient les sommets u et v de S, il existe un chemin du sommet u au
sommetv,cestdireunesuitedartespermettantdatteindrelesommetvenpartantdusommetu.
LefficacitetlarelativesimplicitdelalgorithmedeDijkstranintressentpasquelinformatique.Imaginezunrseau
routier,chaquesommetestunevilleetchaquearteestuneroutedontlepoidsestlalongueurdelarouteexprime
en kilomtres. Lalgorithme de Dijkstra est utilis par les sites qui proposent des itinraires routiers, les notions de
trajetsplusrapides,pluscourts,plusconomiques...setraduisantparunajustementdupoidsdesarcs.
OSPF nest pas le seul protocole de routage avoir adopt lalgorithme de Dijkstra. ISIS (Intermediate System to
IntermediateSystem),protocoleIGPdfiniparlISO(normeinternationaleISO/IEC10589:2002)afaitdemme.LIETF
apublilesspcificationsdISISdanslaRFC1142.
Maisrevenonsaucasquinousproccupe,celuidOSPFetraisonnonssurunexemplesimplemaisconcret.Considrez
lerseauciaprs:
- 7-
Cerseauestassimilableungrapheconnexe,lalgorithmedeDijkstrapeutsappliquer.
Modifionsunpeulaterminologiedesgraphes,appelonsn udunsommetdegrapheetarcuneartedugraphe.Le
dfi consiste trouver pour un n ud du graphe appel n ud racine, le chemin le plus court vers tous les autres
n udsaccessibles.Lecheminlepluscourtestceluidontlepoidscumuldetouslesarcsverslen uddedestination
estminimal,appelonsdistancelaracinecepoidscumul.
Lalgorithmeutilisedeuxtablesden uds,chaquen udestassocieladistanceaun udracine.Lapremiretable
estappeletableSP(ShortestPath)etcontiendralesn udspourlesquelslecheminlepluscourtadjttrouv.
LasecondetableestappeletableCSP(CandidateShortestPath)etcontientlesn udspourlesquelslecheminleplus
courtrestetrouver.Audmarrage,lalgorithmerangelen udracinedanslatableSPassocieunedistancede0,
la table CSP est vide. Lalgorithme procde par itrations successives. chaque itration, lalgorithme effectue les
actionssuivantes:
1.Calculerladistancedun udsourceverstoussesvoisins.litrationN=1,len udsourceestlen udracine.Aux
itrationssuivantes,len udsourceestlen uddcoulantdelaction4delaprsenteitration.
2.Rangerlesn udsvoisinsdun udsourcedanslatableCSPassocisleurdistanceminimale.
3.Choisirlen uddistanceminimaleparmitouslesn udsprsentscetinstantdanslatableCSPetlerangeren
tableSP:
a. Ce faisant, le n udenquestiondisparatdelatableCSPetavecluitouslescheminsalternatifsquiavaientt
trouvsverscen ud.
b.PuisquilestprsentenSP,ilnyauraplusdautretentativedecheminementverscen ud.
4.Len udquivientdtrerangenSPdevientgalementlen udsourcepourlitrationvenir.
Plaonsnous sur le routeur C du contexte prcdent et testons lalgorithme (chaque routeur droule le mme
algorithmemaisvidemment,chaquerouteurestlen udracinedelalgorithmequildroule):
1. Nous sommes litration N= 1. Les colonnes suivantes renseignent pour litration en cours : Qui est le n ud
racine?Quiestlen udsource?Quelleestladistanceaun udracine?Danslecasprsent,len udsourceest
- 8-
galement le n udracinesoitlerouteurC,ladistanceencoursest0.LesvoisinsdeCsontlesrouteursA,BetD
avecdistancesrespectivesde1,3et2.
2.LestroisvoisinsdeCsontplacsenCSPassocisleursdistancesrespectives1,3et2.
3.Len uddistanceminimaleestA,ilestextraitdelaCSPetplacenSP.
4.Adevientlen udsourcepourlitrationsuivanteavecunedistancelaracinede1.
1.LeseulvoisindeDestlen udG.ParD,sadistancecumulelaracineestgale6.
2.UnealternativeversGparAexistedjdanslatableunmeilleurcot.
3.Parmitouslesn udsprsentscetinstantdanslatable,len uddistanceminimaleestB,ilestextraitdela
CSPetplacenSP.
4.Len udBdevientlen udsourcepourlitrationsuivante.
- 9-
1.LesvoisinsdeBsontFetHauxcotsde8et9.
2.UnealternativeversFparAexistedjdanslaCSPunmeilleurcot.HestplacdansleCSP.
3.LemeilleurcandidatcetinstantestF,ilestextraitdelaCSPetplacenSP.
4.Len udFdevientlen udsourcepourlitrationsuivante.
1.LesvoisinsdeFsontBetEauxcotsde9et6.
2.UnealternativeversBparAestignorecarBestdjprsentenSP.EestplacdansleCSP.
3.LemeilleurcandidatcetinstantestG,ilestextraitdelaCSPetplacenSP.
4.Len udGdevientlen udsourcepourlitrationsuivante.
- 10 -
1.LesvoisinsdeGsontDetEauxcotsde9et10.
2.UnealternativeversDparAestignorecarDestdjprsentenSP.EdjprsentenCSPunmeilleurcot.
3.LemeilleurcandidatcetinstantestE,ilestextraitdelaCSPetplacenSP.
4.Len udEdevientlen udsourcepourlitrationsuivante.
1.LesvoisinsdeEsontGetHauxcotsde11et7.
2.UnealternativeversGparAestignorecarGestdjprsentenSP.HtaitdjprsentenCSPmaisassoci
unedistancemoinsfavorable.
3.LederniercandidatcetinstantestH,ilestextraitdelaCSPetplacenSP.
4.LatableCSPestdsormaisvide,litrationcesse,larbreSPFestcomplet.
ObservezlvolutiondelarbreSPFrsultantaufuretmesuredesitrations.Quandlalgorithmeatermin,latable
CSPestvideetlarbreSPFrecouvretouteslesdestinations,cestpourquoionparlesouventdarbrecouvrant.
Imaginons que chacun des routeurs soit connect un LAN de cot 1 lidentique de LAN C et LAN E seuls
reprsents sur la figure. De la table SP quil vient de construire, le processus OSPF du routeur C peut maintenant
dduirelesroutesetlesplacerdanslatablederoutage:
- 11 -
Pourjoindrelerseau...
Passerpar...
Aucotde...
LANA
LANB
LANC
Directementconnect
LAND
LANE
LANF
LANG
LANH
Amusezvous:
ConstruisezlarbreSPFdurseaucidessous:
SolutionauchapitreAteliersetexercicescorrigs.
4.LinterfaceOSPF
a.Structuredesdonnesdelinterface
Celaatdit,OSPFpeuttrevucommeunempilementdecouchesavecencouche1,ltatdesliensdurouteur.
Lesautrescouchesontbesoinsduneabsoluefiabilitdelacouche1dOSPFvisvisdesliensdurouteur.Attention
laterminologie,quandOSPFparledelien(Link),ladministrateurenchargedunrseauderouteurpeuttraduirele
termeparinterface.
Pourremplirlesfonctionsquisontlessiennes,OSPFcreetassocieunestructurededonneschaqueinterface.
Onpeutlobserverenpartielaidedelacommandeshowipospfinterface:
R1100b#sh ip ospf int f0/1
FastEthernet0/1 is up, line protocol is up
Internet Address 10.0.8.11/24, Area 0
Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DROTHER, Priority 1
Designated Router (ID) 1.0.0.22, Interface address 10.0.8.22
Backup Designated router (ID) 1.0.0.21, Interface address 10.0.8.21
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:01
Neighbor Count is 3, Adjacent neighbor count is 2
Adjacent with neighbor 1.0.0.22 (Designated Router)
- 12 -
Dansunautrecontexte,suruneinterfaceserialconnecteunrseauNBMA:
R1100c#sh ip ospf int s0/0
Serial0/0 is up, line protocol is up
Internet Address 10.0.8.11/24, Area 0
Process ID 1, Router ID 1.0.0.11, Network Type NON_BROADCAST, Cost: 64
Transmit Delay is 1 sec, State DROTHER, Priority 1
Designated Router (ID) 1.0.0.22, Interface address 10.0.8.22
Backup Designated router (ID) 1.0.0.21, Interface address 10.0.8.21
Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5
Hello due in 00:00:25
Neighbor Count is 3, Adjacent neighbor count is 2
Adjacent with neighbor 1.0.0.22 (Designated Router)
Adjacent with neighbor 1.0.0.21 (Backup Designated Router)
Suppress hello for 0 neighbor(s)
Lesinformationscontenuesdanslastructuresontlessuivantes:
LadresseIPaffectelinterfaceetsonmasquerseau,10.0.8.11/24danslecasprsent.Touslespaquets
OSPFissusdecetteinterfaceutiliserontcetteadresseentantquadresseIPsource.
Lidentifiantdaire(AreaID):cetteinterfaceainsiquelerseauauquelcetteinterfaceestconnecte.Len
tteOSPFdetouslespaquetsOSPFissusdecetteinterfaceportecetidentifiant.Danslacapturecidessus,
lidentifiantest0,cestdirelidentifiantdelairebackbone.UndomaineOSPFpeutcomporterplusieurs
airesmaislaire0doittoujourstreprsente.
LidentifiantdeprocessusOSPF(ProcessID):cetidentifiantnappartientpasauprotocoleOSPFmaislIOS
CISCO qui lutilise pour distinguer les diffrentes instances OSPF quand ladministrateur en a configur
plusieurs.Lidentifiantdeprocessusnapasdesignificationendehorsdurouteursurlequelilestconfigur.Il
esttabli1danslacapturecidessus.
Lidentifiant de routeur (Router ID que nous avons choisi dabrger en RID) : 1.0.0.11. Une interface de
loopbackatconfiguresurcerouteur,cestdoncladresseaffectecetteinterfacequOSPFutilisepour
identifiercerouteur.Aummetitrequelidentifiantdaire,lentteOSPFdetouslespaquetsOSPFissusde
cetteinterfaceportelidentifiantderouteur.
Letypederseau(NetworkType),BROADCASTdanslepremiercasprsent:linterfacepeuttreconnecte
lundescinqtypes{BROADCAST|NON_BROASCAST|pointtopoint|pointtomultipoint|VirtualLink}.
Le cot de linterface (Cost), 1 dans le premier cas prsent, 64 dans le second : la mtrique OSPF est
fondesurcettenotiondecotappliquauxpaquetssortantsdelinterface.Pardfaut,lecotdelinterface
estlersultatducalcul108 /Bandwidth.lvidence,lenumrateuratchoisiunepoqueoledbit100
Mbps de la technologie Fast Ethernet ou FDDI reprsentait le dbit maximum que lonenvisageaitsurune
interface.Lersultatducalculestunentiernonsignexprimsur16bitsde165535.Quandledbitet
donclabandepassanteest100Mbps,lecotdelinterfaceest1.Cecotreste1quellequesoitlinterface
dontledbitseraitsuprieurceluideFastEthernet.Cestvidemmentuninconvnientquilestpossible
decorriger.
Depuislaversion11.2delIOS,ilestpossibledemodifierlabandepassantederfrencelaidede
lacommandeautocostreferencebandwidthenconfigurationderouteur:
R1100b#sh ip ospf int F0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 10.0.11.1/24, Area 0
Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 1
.........
R1100b(config)#router ospf 1
R1100b(config-router)#auto-cost reference-bandwidth ?
<1-4294967> The reference bandwidth in terms of Mbits per second
R1100b(config-router)#auto-cost reference-bandwidth 1000
% OSPF: Reference bandwidth is changed.
Please ensure reference bandwidth is consistent across all routers.
- 13 -
R1100b(config-router)#^Z
R1100b#sh ip ospf int F0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 10.0.11.1/24, Area 0
Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 10
.........
Observez le nouveau cot de linterface F0/0 aprs multiplication par 10 de la bande passante de
rfrence.Commelerappellelavertissementaffichimmdiatementaprslentredelacommande,
OSPF ne peut fournir des rsultats cohrents que si lensemble des routeurs qui participent au
protocoleutilisentlammebandepassantederfrence.
R1100b(config)#int F0/0
R1100b(config-if)#ip ospf priority ?
<0-255> Priority
R1100b(config-if)#ip ospf priority 10
R1100b(config-if)#^Z
R1100b#sh ip ospf int f0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 10.0.11.1/24, Area 0
Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 10
.........
Le routeur dsign (Designated Router) : DR du rseau auquel linterface de ce routeur est connecte. Est
affich lidentifiant RID du DR mais galement ladresse IP de linterface du DR connecte ce rseau,
respectivement1.0.0.22et10.0.8.22danslesdeuxcasprsents.
Lerouteurdsigndesecours(BackupDesignatedRouter):BDRdurseauauquellinterfacedecerouteur
estconnecte.LeBDRestidentifidelammefaonqueleDR.RID1.0.0.21,interface10.0.8.21dansles
deuxcasprsents.
La priode dmission des messages Hello (HelloInterval) : exprime en secondes, espace de temps qui
sparedeuxmissionsdemessagesHello.Lavaleurconfiguresurlinterfaceestannoncedanslecontenu
dupaquetHello.DeuxrouteursOSPFquisontvoisinsphysiquesmaisquinesontpasrglsaveclamme
valeur HelloInterval ne peuvent devenir voisins au sens OSPF. Il parat donc logique de configurer la
mmevaleursurlensembledesrouteursconnectsunrseau.Ladministrateurpeutmodifierlavaleur
laidedelacommandeipospfhellointervalenconfigurationdinterface:
R1100b(config)#int f0/0
R1100b(config-if)#ip ospf hello-interval ?
<1-65535> Seconds
R1100b(config-if)#ip ospf hello-interval 15
R1100b(config-if)# ^Z
R1100b#sh ip ospf int f0/0
FastEthernet0/0 is up, line protocol is up
.........
Timer intervals configured, Hello 15, Dead 60, Wait 60, Retransmit 5
.........
- 14 -
R1100b(config)#int f0/0
R1100b(config-if)#no ip ospf hello-interval 15
R1100b(config-if)#^Z
R1100b#sh ip ospf int f0/0
FastEthernet0/0 is up, line protocol is up
.........
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
.........
Observez que les valeurs RouterDeadInterval (note Dead dans la capture) et WaitTimer
(note Wait dans la capture) sont par dfaut prises gales 4 fois la valeur attribue
HelloInterval.
Enfinal,lavaleurattribueHelloIntervalnepeuttrequuncompromis.Endiminuantlavaleur,
ladministrateur augmente la ractivit dOSPF aux changements de topologie mais dans le mme
temps, augmente le trafic dacheminement. La valeur par dfaut dpend du type de rseau : 10
secondesdanslecasdunrseaudiffusion(premiercasprsent),30secondesdanslecasdun
rseausansdiffusion(secondcasprsent).
LedlaiRouterDeadInterval:enlabsencedemessagesHelloreuspendantcetempsdobservation,le
voisinestconsidrcommeperdu(ilnestplusvoisin).Lavaleurconfiguresurlinterfaceestannoncedans
lecontenudupaquetHello.DeuxrouteursOSPFquisontvoisinsphysiquesmaisquinesontpasrglsavec
lammevaleurRouterDeadIntervalnepeuventdevenirvoisinsausensOSPF.nouveau,ilfautconfigurer
lammevaleursurlensembledesrouteursconnectsunrseau.Ladministrateurpeutmodifierlavaleur
laidedelacommandeipospfdeadintervalenconfigurationdinterface:
R1100c(config)#int s0/0
R1100c(config-if)#ip ospf dead-interval ?
<1-65535> Seconds
R1100c(config-if)#ip ospf dead-interval 53
R1100c(config-if)#^Z
R1100c#sh ip ospf int s0/0
.........
Timer intervals configured, Hello 10, Dead 53, Wait 53, Retransmit 5
.........
R1100c(config)#int s0/0
R1100c(config-if)#no ip ospf dead-interval 53
R1100c(config-if)#^Z
R1100c#sh ip ospf int s0/0
Serial0/0 is up, line protocol is up
.........
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
.........
Le temporisateur dattente WaitTimer : dlai pendant lequel le routeur coute dans lattente de
messagesHelloquiluipermettraientdedterminerquisontlesrouteursDRetBDR.Cedlaiestsollicitune
seulefoisaprslactivationdelinterface.ObservezsurlacapturecidessusquecedlaiestajustparlIOS
unevaleuridentiquecelledeRouterDeadInterval.
LedlaiRxmtInterval,notRetransmitdanslescapturesprcdentes:exprimensecondes,cestle
laps de temps qui spare lmission dun paquet OSPF et sa retransmission en labsence dacquittement.
LIOSattribuelavaleur5secondespardfautmaispermetladministrateurdemodifiercettevaleurlaide
delacommandeipospfretransmitintervalenconfigurationdinterface:
R1100c(config)#int S0/0
R1100c(config-if)#ip ospf retransmit-interval ?
<1-65535> Seconds
R1100c(config-if)#ip ospf retransmit-interval 7
R1100c(config-if)#^Z
R1100c#sh ip ospf int s0/0
Serial0/0 is up, line protocol is up
Internet Address 10.0.8.11/24, Area 0
Process ID 1, Router ID 1.0.0.11, Network Type BROADCAST, Cost: 64
Transmit Delay is 1 sec, State DROTHER, Priority 1
- 15 -
Helloduein...:tatactueldutemporisateurdemessagesHello.Cetemporisateurestarmlavaleur
HelloInterval puisdcompte.LarrivechanceprovoquelmissiondunnouveaumessageHelloainsi
quelerarmementdutemporisateur.Danslacaptureprcdente,laprochainemissionauralieudansdeux
secondes.
La liste des routeurs voisins (List of neighboringrouters) : liste de lensemble des voisins sur le rseau de
rattachement pour lesquels un message Hello a t reu au cours du dernier laps de temps
RouterDeadInterval.Danslacaptureimmdiatementprcdente,cettelistecomportetroisrouteursmais
cerouteur(R1100c)natabliunerelationdeproximitquavecdeuxdentreeux,leDRetleBDR.Eneffet,
quandlerseaujustifiellectiondunDRetdunBDR,chacundesautresrouteursntablitunerelationde
proximit quavec les deux routeurs dsigns. Dans le cas prsent, linformation est cohrente avec le
statutactueldurouteursurcerseau(StateDROTHER).
LetypedauthentificationAuType:prciselauthentificationencourssurlerseauderattachement.Les
choixpossiblessont{pasdauthentification|motdepassesimple|motdepassecrypt}.Lobjetnestpas
dempcherlalecturedespaquetsOSPFquitransitentsurlerseaumaisbiendauthentifier les changes
entre routeurs. Observez la capture immdiatement prcdente, ladministrateur a configur une
authentificationparmotdepassecrypt.Aumomentoceslignessontcrites,cestMD5quiestutilismais
le RFC laisse la porte ouverte aux futures et probables volutions dans le domaine mouvant de la
cryptographie.
Lacldauthentification(AuthenticationKey):cepeuttrelemotdepassesimpleexprimdanscecassur
64bitsoulacllaplusrcente,commelesuggrelacapturecidessus,quandlechoixsestportsurun
mot de passe crypt. Ainsi, il est possible de crer une seconde cl avant de dtruire la premire, ce qui
permetunchangementdeclendouceursansperdrenilauthentificationdesmessages,nilaconnectivit
OSPF.
b.Automatedtatsdinterface
LeGRAFCETsuivanttentederendremoinsaustreslesdiagrammesdtatsduRFC2328.cesujet,lauteuraplac
en ligne un document crit dans une vie antrieure qui explique les rudiments de cet outil magique (grafcet.pdf
disponible sur le site eni). Loutil appliqu de faon stricte prvoit dassocier chaque transition une condition
logiqueappelerceptivit.Ltape(N1)quandelleestactive,validelatransitiondeltape(N1) vers ltapeN.
Quandlarceptivitassociecettetransition(uneconditionlogiquequifournitunrsultatvraioufaux)devient
vraie,latransitionestfranchie,ltape(N1)estdsactive,ltapeNdevientactive,latransitiondeltapeNvers
ltape(N+1)estvalide.Pourlesbesoinsdelacause,nousnoussommespermisuneapplicationpeuorthodoxede
loutil en associant la transition, outre une rceptivit, une action. Ceci explique les deux lments associs
certainestransitionsetsparsparuntraithorizontal:llmentduhautestlarceptivit,cestdirelacondition
logique qui doit devenir vraie pour franchir la transition, llment plac audessous est laction provoque par le
franchissementdelatransition.
- 16 -
Seulelinterface OSPF connecte un rseau de type point point, point multipoint et virtuallink permetde
rejoindredirectementuntatpleinementfonctionnel,appelPointtoPointlorsdelactivationdelinterface.Pour
lesinterfacesconnectesunrseaudiffusionouunrseausansdiffusionenmodeNBMA,aboutirlundestrois
tatspleinementfonctionnelsDR,BDRouDRotherncessitelepassageparuntatintermdiairedattenteWaiting
.
Dtaillonslestatsetvnementsdecediagrammedtats:
LtatDown:tatinitialdelinterface.Lesprotocolesdecoucheinfrieureindiquentquelinterfacenest
pas utilisable. On ne peut ni recevoir ni envoyer du trafic OSPF sur une interface ltat Down . Les
paramtresdelinterfacesontajustsleursvaleursinitiales,lestemporisateursassocissontdsactivs,
linterfacenepeutbtirderelationdadjacence.
LvnementInterfaceUp :lesprotocolesdecoucheinfrieure(oulersultatduncalculdanslecasdu
rseauVirtualLink)indiquentquelinterfaceestdsormaisoprationnelle.Linterfacepeutsortirdeltat
Down:
Silerseauderattachementestdetypepointpoint,pointmultipointouVirtual Link,ltat
passePointtoPoint.
- 17 -
Dans le cas contraire et si le routeur nest pas ligible (ladministrateur a rgl la valeur Router
Priority0),ltatpasseDRother.
Silerouteurestligible,ltatpasseWaiting.
Danstouslescas,lefranchissementdelatransitionquipermetdequitterltatDownprovoque
lactivationdelenvoipriodiquedemessagesHelloaveclesrestrictionssuivantesquiconcernentles
rseauxsansdiffusionenmodeNBMA:
SilerouteurestligibledevenirDRouBDR,ilenvoielesmessagesHellotouslesautres
routeurs ligibles (pralable ncessaire au mcanisme de llection). En mode NBMA, cest
ladministrateur qui cre la liste des voisins. LenvoipriodiquedemessagesHelloversces
voisins est obtenu en gnrant lvnement Start pour chacun des voisins de la liste.
Lvnement Start intervient dans le diagramme dtats associ chaque relation de
voisinage(patientez).
Silerouteurnest pas ligible, il nenvoiedesmessagesHelloquauxseulsDRetBDR,sils
existent.nouveau,ceciestobtenuengnrantlvnementStartdanslesdiagrammes
dtatsdelarelationdevoisinagecorrespondants.
LtatPointtoPoint:linterfacetentedtablirunerelationdeproximitaveclevoisin.
Lvnement InterfaceDown : les protocoles de couche infrieure indiquent que linterface nest plus
oprationnelle.Quelquesoitltatactueldelinterface,lediagrammedtatsretourneltatDown.
LtatWaiting:danscettat,lerouteurcoutelesmessagesHelloafindetenterdedterminerquisont
lesDRetBDR.LerouteurnestpasautorischoisirniDR,niBDR.LesvaleursDRetBDRsontinitialises
0.0.0.0.
Lvnement WaitTimer : le temporisateur WaitTimer est arriv chance, le routeur a assez
attendu,ilesttempsdedsignerquelsserontDRetBDR,lediagrammedtatsquitteltat Waitinget
entreprend un calcul (il sagit plus de drouler un algorithme, dtaill ciaprs) afin de dterminer qui
devraienttreDRetBDR.
LvnementBackupSeen:cetvnementsurvientquandlerouteuraobtenulacertitudequilexisteun
BDRsurlerseauderattachementouaucontraireaobtenulacertitudequilnexistaitpasdeBDRsurce
rseau. Comment estil parvenu cette conclusion ? Dans le premier cas, il a reu un message Hello dont
lmetteuraffirmequilestleBDR.Danslesecondcas,ilareuunmessageHellodontlmetteuraffirmequil
estDRetquilnexistepasdeBDR.Danslesdeuxcas,unecommunicationbidirectionnelle(2Way)existaitau
pralable avec ce voisin (le voisin physique est galement un voisin au sens OSPF). Inutile donc de rester
pluslongtempsdansltatWaiting.
Ltat?:cenestpasuntatprvuparleRFCmaisunarrangementdelauteurpourtenterdemodliser
la complexit du RFC dans le GRAFCET. Dans ce pseudotat, le processus OSPF droule un algorithme,
dtaill ciaprs, afin de dterminer qui sont DR et DBR et den dduire si ce routeur (cette interface) doit
passerltatDR,BDRouDRother.
LespseudovnementsElectedDR,ElectedBDRetNotelected:gnrsparlepseudotat?.
EnmodeNBMA,jusquel,chacundesrouteursligiblesnenvoyaitdemessagesHelloquaux seuls autres
routeurs ligibles. Le franchissement des transitions Elected DR et Elected BDR saccompagne de
lactivationdelenvoipriodiquedemessagesHelloverslesvoisinsquinesontpasligibles(prioritnulle).
Autrement dit, DR et BDR sur un rseau en mode NBMA envoient des messages Hello tous leurs voisins
ligiblesounon.nouveau,ceciestobtenuengnrantlvnementStartdanslediagrammedtatde
chacunedesrelationsdevoisinagecorrespondantes.
Ltat DR : ce routeur est le routeur dsign sur le rseau de rattachement. Il doit assumer les
responsabilitscorrespondantes,savoirtablirunerelationdeproximitavecchacundesautresrouteurs
prsentsetgnrerunLSAdetyperseaupourreprsenterlen udrseau(patientez).CeLSAcontientla
listedetouslesrouteursconnectsaurseauderattachement,ycomprisleDRluimme.ExempledeLSA
derseau:
- 18 -
LtatBDR:cerouteurestlerouteurdsigndesecourssurlerseauderattachement.Ilestappel
devenirDRencasdedfaillanceduDRactuel.CommeleDR,leBDRformedesrelationsdeproximitavec
lensemble des autres routeurs prsents. Comme le DR, le BDR profite des LS Update quil reoit pour
maintenirjoursaLSD.ladiffrenceduDR,leBDRninondepascestdirenefaitpasprogresserlesLS
UpdatereussurlerestedudomaineOSPFetnegnrepasdeLSUpdate.
LtatDRother:tatdunrouteurquinatchoisinicommeDRnicommeBDRoudunrouteurquinest
pasligible.LesseulesrelationsdeproximitentretenueslesontavecleDRetleBDRsilsexistent.
LvnementNeighborChange:unchangementaffectelundesvoisinsquijustifielaremiseenquestion
deschoixoprsltat?.Lalistesuivanterecenseleschangementsquiprovoquentlvnement:
Unenouvellecommunicationbidirectionnelle(2Way,patientez)attablieavecunvoisinphysique.
Ltatdelarelationdevoisinageestpass2Wayousuprieur.
Aucontraire,unerelationbidirectionnellejusquiciestrepasseltatInitouinfrieur.
Unrouteursedclareetcestnouveau,DRouBDR.
Unrouteuretcestnouveau,nesedclareplusDRouBDR.
Laprioritderouteurannonceparunvoisinachang.
Ltat de bouclage Loopback et les vnements associs LoopInd et UnLoopInd : quel que soit
ltatactifdudiagrammedtats,lvnementLoopInd,gnrparlesprotocolesdecoucheinfrieureou
parlagestionderseau,faitpasserdansltatLoopback.SeullvnementUnLoopInd,gnrdela
mmefaonquelvnementLoopInd,peutfairesortirdecettatpourallerdansltatDown.
c.ReprsentationdesrseauxLANetNBMA
LalgorithmedeDijkstrasappliquedesgraphescompossden udsetdarcs.Pourlappliquerlaralitdenos
rseauxinformatiques,ilafalluprocdercertainsamnagements:
Pasdeproblmeaveclesrouteursquisontvidemmentlesn udsdugraphe.
Pasplusdeproblmeaveclesliaisonspointpointquisontnaturellementlesarcsdugraphe.Deuxvoisins
connects par un rseau point point deviennent toujours adjacents. Les paquets OSPF sont mis vers
ladressemulticast224.0.0.5(quisignifietouslesrouteursOSPF,AllSPFRouters).
Enrevanche,lesrseauxaccsmultipledetypeLANouNBMAposentproblme.Cesdeuxtypesderseau
permettentderelierplusieursrouteursviaunseulsupportphysique,topologiequinestpastransposableen
ltatdansungraphe.
Une premire solution, qui na pas t retenue, aurait pu consister considrer les routeurs connects un LAN
commetantinterconnectsparunrseauintgralementmaill:
- 19 -
Lesinconvnientsduntelchoixdeviennentvidentsquandlenombrederouteurssaccrot.SiNestlenombrede
routeurs interconnects, alors chaque routeur doit entretenir N 1 relations de voisinage OSPF (patientez) et le
rseaudoitsupporterautantdetraficliauxrelationsdevoisinagequilyaderelationsbilatralesentretenirsoit
relations(1relationpour2routeurs,3pour3,6pour4,10pour5,15pour6,21pour7...).
La solution retenue par lIETF consiste reprsenter le support physique comme tant luimme un n udauquel
chaquerouteur(unn udgalement)estreliparsoninterfacerseauquidevientunarcdugraphe:
Maispuisquelen udrseau(NpourNetwork)reprsentantlesupportphysiquenepeutparticiperactivement
auprotocoleOSPF,lundesrouteurssesubstitueluietdevientainsilerouteurdsignouDR(DesignatedRouter).
Pour limiter autant que possible les consquences dune possible dfaillance du routeur dsign, la norme prvoit
galementunrouteurdsigndesecoursappelBDR(BackupDesignatedRouter).
Surunrseaudiffusion,utilisenmodeOSPFBroadcast,lesmessagesHellosonttoujoursmisversladresse
AllSPFRouters,224.0.0.5.Demme,touslespaquetsOSPFsansdistinctionsontmisversladresseAllSPFRouters
,224.0.0.5,quandilssontissusduDRouduBDR.LesrouteursautresqueleDRouleBDR(appelsDRother)
envoientleurspaquetsLSupdate(LinkStateUpdate)etLSAck(LinkStateAcknowledgement)versladressemulticast
224.0.0.6quisignifielesrouteursOSPFdsigns(AllDRouters).
LadministrateurchargdemettreenplaceOSPFsurunrseausansdiffusiondevrabienmatrisersonsujetcarles
alternativessontaunombredetrois.Unexempledeconfigurationestfournipourchaquealternativedanslasection
ConfigurationOSPFdesmodesNBMAetPointmultipointauchapitreAnnexes.
Rseausansdiffusion,alternative1
la condition de relier tous les routeurs deux deux, cestdire de raliser un rseau intgralement maill
(Fullymeshed),ilestpossibledereproduirelefonctionnementdOSPFsurunrseaudiffusion.Cestcertainementla
solutionlaplusefficace,leseulreprochequelonpuissefairecettesolutionestsoncot(montaire).Eneffet,sil
suffitdtablir6lienspourmailler4routeurs,ilenfaut120pourmaillerintgralement16routeurs.
Rseausansdiffusion,alternative2
- 20 -
Le rseau est encore intgralement maill mais il nest pas possible de faire progresser les paquets multicast
ncessaires au mcanisme de dcouverte automatique des voisins. Au prix dune configuration supplmentaire de
chaquerouteur(dclarationdesvoisins),OSPFprocdenouveaullectiondunDRetdunBDR.Lensembledes
changessefaitlaidedepaquetsunicast.
Rseausansdiffusion,alternative3
Lorsquil nest pas possible de mailler intgralement les routeurs prsents sur le rseau sans diffusion, il reste la
possibilitdeconfigurerlesrouteursdanslemodeditpointtomultipoint.Puisquelecomportementestidentique
celuidunecollectionderseauxpointpoint,ilnyapasdlectiondeDR,nideBDR.LespaquetsOSPFpeuvent
tremisversladressemulticast224.0.0.5(quisignifietouslesrouteursOSPF, AllSPFRouters ).
d.Mcanismedlectiondunrouteurdsignetdunrouteurdsigndesecours
Lalgorithmedontilestquestioniciestsollicitparlediagrammedtatsdelinterfacelorsdelapseudotape?.
Remmoronsnouslecontextegnralquiencadrecemcanismedlection:
Linterface de chaque routeur concern sur le rseau dattachement est dote dune priorit de routeur
exprime sur 8 bits et dont la valeur par dfaut stablit 1. Ladministrateur peut loisir modifier cette
valeurlaidedelacommandeipospfpriorityentreenconfigurationdinterface.Unevaleur0entranela
nonligibilitdelinterfacequinestdoncpasconcerneparllection.
Observez le format du message Hello fourni un peu plus avant pour considrer trois champs intervenant
danslemcanismedlection:lechampPriorityRouterquiannoncelaprioritdecerouteurainsiqueles
champsDRetBDRquiannoncentlesadressesIPdesinterfacesquelerouteurauteurdumessageconsidre
commetantcellesdesDRetBDRactuels.
LepassageltatWaitingdudiagrammedtatsdelinterfaceprovoquelinitialisationdesvariablesDR
etBDR0.0.0.0.
Unecommunicationbidirectionnelle(2Way)esttablieavecunoudavantagedevoisins,lamatirepremire
dumcanismeconsisteencestroisvaleurspriorit,DRetBDRannoncesparchacundesvoisinsdansses
messagesHello.
Dcrivonsdansunpremiertempscemcanismedefaonlittrale,ilseracommentensuite.Noussommesplacs
surlerouteurX:
MmoriserlesvaleursactuellesdesvariablesDRetBDRafindepouvoirlescomparerauxvaleursobtenues
aprsexcutiondelalgorithme.
Composerleslistesderouteurssuivantes:
- 21 -
- 22 -
E est la liste des routeurs ligibles cestdire ceux avec qui une relation bidirectionnelle au
moinsesttablieetdontlaprioritestdiffrentede0.LerouteurXsinclutdanscetteliste.
ParmilesrouteursdelalisteE,extrairelesrouteurssedclarantBDRpourcomposerlalisteB
.
ParmilesrouteursdelalisteE,extrairelesrouteurssedclarantDRpourcomposerlalisteD.
Iestlalistedesrouteursinscrits,cestdireligibleslexclusiondeceuxsedclarantDRI=
ED.
IBestlalistedesBDRinscrits,cestdirelesrouteursdelalisteIquisedclarentBDRIB=I
B(estlesymboledelintersection).
LalgorithmedsigneBDRlerouteurdelensembleIB(routeursligiblessedclarantBDRsanssedclarer
DR) dont la priorit est la plus leve. Si cet ensemble est vide, lalgorithme dsigne BDR le routeur de
lensembleI(routeursligiblesquinesedclarentpasDR)dontlaprioritestlaplusleve.Silaprioritne
suffitpasdpartagerplusieursrouteurs,lerouteurchoisiestceluidontleRIDestlepluslev.
Lalgorithme dsigne ensuite DR le routeur de lensemble D (routeurs ligibles se dclarant DR) dont la
priorit est la plus leve. Si la priorit ne suffit pas dpartager plusieurs routeurs, le routeur choisi est
celuidontleRIDestlepluslev.SilensembleDestvide,lalgorithmedsigneDRlerouteurchoisientant
queBDRltapeprcdenteetcetinstant,pourlalgorithme,lesrlesDRetBDRsontdoncportsparun
mmerouteur.
Si le routeur X a t dsign DR ou BDR alors que X ntait pas porteur de ce rle avant excution de
lalgorithmeousiaucontraire,Xatdchuetnestplusporteurdecedontildisposaitavantexcutionde
lalgorithme,alorslalgorithmeestexcutunenouvellefois.Parexemple,silerouteurXsestdsignDRau
premierpassagedanslalgorithme,ilnestplusligibleBDRausecondpassage,onobtientainsilagarantie
quaucunrouteurnepuisseseproclamerDRetBDR.
Autermeducalcul,lediagrammedtatsdelinterfacedoitrejoindrelundestroistatsDR,BDRouDRother.
Pourcefaire,lalgorithmegnrelundestroispseudovnementsElectedDR,ElectedBDRouNot
elected.
Puisque dans un rseau diffusion ou dans un rseau en mode NBMA, chacun des DRother ne btit une
relationdeproximitquavecleDRetleBDR,toutchangementdidentitdelundesrouteursdsignsdoit
saccompagner dune remise en question de lensemble des relations de voisinage (Mon voisin dmnage,
jtaisprochedelui,jeneleseraiplus.Jeseraipeuttreprochedunouveaulocataire).Ceciestobtenuen
gnrantlvnement AdjOK ? danslediagrammedtats associ chaque relation de voisinage dont
ltattaitaumoins2Way(patientez).
Fortsdecetalgorithme,imaginonsquelquesscnarios.Quandunrouteurdevientactifsurunrseaudiffusionou
NBMA,ilseplacelcoutelarecherchederouteursdsignsexistants.SildcouvreDRetBDR,illesaccepte.Sil
estseulsurlerseau,ilsedclareBDRpuisdevientDRetilnyapasdeBDR.Si,surunrseauconstituoDRet
BDR existaient, le DR vient disparatre, lvnement NeighborChange se produit qui provoque lexcution de
lalgorithme par chacun des autres routeurs. Chaque routeur dsigne le BDR comme nouveau DR mais sans
remplacer le BDR. Seul le routeur BDR, qui excute galement lalgorithme, accepte dtre le nouveau DR et
sannoncecommetel.QuandlesautresrouteursperoiventunmessageHellodelexBDRquisannoncedsormais
DR,ceciprovoqueunnouvelvnementNeighborChangeetparsuite,unenouvelleexcutiondelalgorithme.Lun
desrouteursdevientlenouveauBDRetsannonceentantquetelcequiprovoqueunedernirefoislvnement
NeighborChangeetlexcutiondelalgorithmeparlesautresrouteursquiacceptentalorslenouveauBDR.
Onlevoit,laprioritinfluencelersultatdunelectionmaisnepeutremettreenquestionlesrlesdjattribus.
Un DR reste DR mme si un routeur priorit plus leve arrive sur le rseau. Seule la dfaillance du DR peut
provoquerllectiondunnouveauDR.UnefoislesDRetBDRlus,chacundesautresrouteurstablitunerelationde
proximitaveclesdeuxrouteursdsignsetseulementaveceux.DeuxrouteursDRothernedeviennentjamais
adjacents.Mettonslalgorithmelpreuveaveccettemiseensituation:
- 23 -
Les routeurs ont t dmarrs dans lordre R1100, R1200, R2100, R2200. La capture correspondante
cap_2i_01.pcapestdisponibleentlchargementsurlesitedesEditionsENI.
11, 12, 21 et 22 compactent indiffremment ladresse IP de linterface ou le RID du routeur dans lillustration ci
dessus.Plaonsnoussurlerouteur11(R1100).
- 24 -
TouteinterfacequisactivesurunrseaudiffusioncommenceparmettredeuxpaquetsARPgratuitsafin
de vrifier que ladresse IP attribue linterface nest pas duplique sur le rseau de rattachement. Le
diagramme dtats de linterface passe ltat Waiting , ce qui active lmission de messages Hello
priodiques.LesdeuxpremiersmessagesHellodestrames4et6disentDR=0.0.0.0,BDR=0.0.0.0etpas
devoisinsactifs.
Levoisinphysique12sactive,metsesdeuxARPgratuits,trames7et9,puissonpremiermessageHello
trame10.
La rception de ce message Hello par R1100 provoque la cration dune structure de donnes pour une
nouvellerelationdevoisinage,lediagrammedtatsdecetterelationpasseltatInit(patientez).
Demme,larceptiondespremiersmessagesHellomisparlesvoisins21et22,trames14et20,cre
nouveau deux structures de donne. Dans chaque cas, le diagramme dtats de la relation de voisinage
passeltatInit.
AumomentdmettrelemessageHellosuivantentrame21,R1100aaccumuluneconnaissanceplusfine
desonentourage,ilpeutannoncerlestroisvoisinsquiladcouvert.
De mme, les messages Hello mis par 12, 21 et 22 dans les trames 22, 24 et 28 nous apprennent que
chacundecesrouteursadcouvertsestroisvoisins.
Entrame22,larceptiondunmessageHellodanslequel12dit11estundemesvoisinsactif(11sevoit
danslemessage)provoquelepassagedudiagrammedtatsdelarelationdevoisinageltat2Way,
la communication bidirectionnelle est tablie. Pour 11, 12 est dsormais candidat potentiel llection des
routeursdsigns.
Demme,larceptionduHelloentrame24faitpasserlarelationdevoisinageavec21ltat2Way.
Enfin,larceptionduHelloentrame28faitpasserlarelationdevoisinageavec22ltat2Way.
Ilnesepasseriendenouveauentrelatrame28etlatrame36parcequechacundesquatreprotagonistes
est encore dans ltat Waiting . R1100, premier dmarr, est donc le premier en sortir environ 40
secondesaprssondmarrage.R1100drouleunepremirefoislalgorithmedecalculDR,BDR.Faisonsle
aveclui:
E={11,12,21,22},B={},D={},I={11,12,21,22},IB={}
LensembleIBestvide,lalgorithmepasseparlacasetiquete2,lesquatrecandidatsontmmepriorit.
Encase3delalgorithme,cestleRIDquipermetdedpartagerlescandidats,22estdsignBDR.
LensembleDestvide,lalgorithmepasseparlacase5,22estdsignDR.
Ausortirdelalgorithme,R1100natnipromu,nidclass.Ilnyadoncpasbouclagedelalgorithme.
LediagrammedtatsdelinterfacepasseltatDRother.
Dans la capture, nous napprenons le rsultat de ce calcul quen trame 39, cestdire bien aprs que le
calculaitteffectu.Pourtant,onpeutdjdevinercersultatauvudelmissiondunerequteARPen
trame37:Whohas10.0.8.22?.Ainsi,R1100quisaitqueR2200seraDR,sapprteluidcriresaLSD
laidedepaquetsOSPFunicastetpourcefaire,doitdcouvrirladressephysiquedufuturDR.
LemessageHelloentrame39confirmecequenouspressentions,R1100annonce22lafoisBDRetDR.
Entrame42,R1100dontlarelationdevoisinageaveclefuturDRestpasseltatExStart,tentede
rgler les paramtres de lchange des paquets DBD de description de base de donnes, mais il nobtient
pasderponsecarR2200estencoredansltatWaiting.
Delatrame42latrame61,riennechangecarlerouteurR2200estencoredansltatWaiting.son
tour,R1200estpassltatExStart etmetlepremierpaquetDBDentrame59.Pendantcetemps,
R1100quinobtientpasderponse,rptesonpremierpaquetDBDtousles RxmtInterval=5secondes
(trames42,49,54).
Danslestrames62,63et64,R2200rpondauxpaquetsDBDreusdesrouteurs11,12et21.Onpeuten
- 25 -
dduirequeR2200estsortideltatWaitingetadroullalgorithmedecalculDR,BDR.Illefaitavecla
mme matire premire que R1100 et arrive au mme rsultat, mais cela correspond pour lui une
promotion.Lalgorithmeestdoncexcutnouveau.Faisonscedeuximetouraveclui:
Lensemble IB est vide, lalgorithme passe par la case tiquete 2, les 3 candidats de lensemble I ont
mmepriorit.
Encase3delalgorithme,cestleRIDquipermetdedpartagerlescandidats,21estdsignBDR.
LlectionduDRaupremiertournestpasremiseenquestionparcesecondtour.
LemessageHellomisparR2200entrame65confirmecersultat,R2200sannonceDRetannonce21en
tantqueBDR.
Vu des autres routeurs, R2200 se dclare DR et cest nouveau, ce qui se traduit par la gnration de
lvnement NeighborChange dans chacun des diagrammes dtats associs aux interfaces. Chacun de
cesdiagrammesrepasseaupseudotat? ,ilsensuitunenouvelleexcutiondelalgorithmedecalcul
DR,BDR.PlaonsnoussurR1100etfaisonsleaveclui:
E={11,12,21,22},B={22},D={22},I={11,12,21},IB={}
E={11,12,21,22},B={},D={22},I={11,12,21},IB={}
Lensemble IB est vide, lalgorithme passe par la case tiquete 2, les 3 candidats de Iensemble I ont
mmepriorit.
Encase3delalgorithme,cestleRIDquipermetdedpartagerlescandidats,21estdsignBDR.
Lepassageparlacase4delalgorithmeneremetpasenquestionlechoixduDR.
LemessageHellomisparR1100entrame110confirmecersultat.
Enformedesynthse,unecommandeshowmontreltatduvoisinagesurR1100:
R1100b#sh ip ospf neighbor
Neighbor ID
1.0.0.22
1.0.0.21
1.0.0.12
Pri
1
1
1
State
FULL/DR
FULL/BDR
2WAY/DROTHER
Dead Time
00:00:39
00:00:37
00:00:32
Address
10.0.8.22
10.0.8.21
10.0.8.12
Interface
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
5.Voisinageetproximit
a.Vivonsenbonvoisinage
Deuxrouteursquisedcouvrentconstruisentunerelationdevoisinage.Cetterelationpassepardiffrentstats.
Unebonneanalogiepeuttrefaiteaveclesrelationsquinouslient,nousleshommes,avecnosvoisins.Imaginez
lappartementvoisinduvtreinoccup.Voilquarriveunnouveaulocataire.
Lapremiretapeconsistesedcouvrirmutuellement:Tiens,jaiunnouveauvoisin!etdupointdevuedu
voisinTiens,jaiunvoisin!.Lasecondetapedevraittre,loccasiondunerencontrefortuiteouprovoque,de
sesaluer:Hello,jemeprsenteBrettSinclair!Hello,enchant,DannyWilde!.
Les quelques propos changs pendant les premires rencontres permettent rapidement de savoir si la relation
avec ce voisin va en rester l, cestdire sen tenir un change rgulier de salutations lors des rencontres
invitablesdanslacagedescalierousurleparking,larelationrestealorsdevoisinage,ouvavoluerversune
relationplusconstruitequipeutallerjusquserecevoirparcequelonadeschosespartager,parcequepasser
unmomentensemblenousfaitplaisir.Devoisinage,larelationdevientdeproximit.
De la mme faon, deux routeurs voisins physiquement vont tenter de construire une relation de voisinage dont
ltatultimepeuttreunerelationdeproximit(adjacency).Afindesedcouvrirmutuellementpuisafindemaintenir
ltat de leurs liens par une surveillance rciproque, les routeurs OSPF utilisent un protocole de communication
appelOSPFHello.
- 26 -
b.LeprotocoleHello
QuoideplusnaturelquunprotocoleHellopourfaireconnaissance.InventorionslesusagesquenfaitOSPF:
Celaatdit,ilpermetdeuxvoisinsdesedcouvrir.
Les messages Hello comportent un certain nombre de paramtres au sujet desquels les deux routeurs
concerns par une relation en cours de construction doivent se mettre daccord avant de pouvoir
effectivementdevenirvoisinsouproches.
LesmessagesHellopuisquilssontchangsdefaonrgulirepermettentdemaintenirlarelationenvie
(Keepalive).
LlectiondesrouteursdsignsDRetBDRsopreparmilesinterfacesconnectesaurseauconcern,
diffusion ou sans diffusion dans le mode NBMA, lorsque ces interfaces sont dans ltat voisin (2Way,
patientez).
Un routeur OSPF gnre des messages Hello sur toutes ses interfaces participant au protocole, ce de faon
rgulire. Pour tous les types de rseau prvus par OSPF en dehors du mode NBMA, la priode qui spare deux
messagesHelloest HelloInterval,cedlaiestconfigurableparinterfacelaidedelacommande ipospfhello
intervalenconfigurationdinterface.LimplmentationOSPFdeCISCOutiliseunevaleurpardfautde10secondes.
SurunrseauquifonctionneselonlemodeNBMA,lesmessagesHellosontespacsdudlaiPollIntervaldontla
valeurpardfautsurlesrouteursCISCOstablit120secondes.
Unefoisajoutlatabledevoisinage,unvoisinfaitlobjetdunesurveillancergulire.SilesmessagesHelloquele
routeursattendrecevoirneluiparviennentpluspendantuntempsdobservationsuffisant,levoisinestconsidr
comme perdu (il nest donc plus voisin). Cest le dlai RouterDeadInterval qui rgle la dure de ce coma pr
mortem.CiscosentientlavaleursuggreparleRFC,soit4xHelloInterval,cestdire40secondespardfaut.
nouveau,cettevaleurestmodifiablelaidedelacommandeipospfdeadintervalenconfigurationdinterface:
R800(config-if)#ip ospf ?
authentication
Enable authentication
authentication-key
Authentication password (key)
cost
Interface cost
database-filter
Filter OSPF LSA during synchronization and flooding
dead-interval
Interval after which a neighbor is declared dead
demand-circuit
OSPF demand circuit
flood-reduction
OSPF Flood Reduction
hello-interval
Time between HELLO packets
message-digest-key
Message digest authentication password (key)
mtu-ignore
Ignores the MTU in DBD packets
network
Network type
priority
Router priority
retransmit-interval Time between retransmitting lost link state
advertisements
transmit-delay
Link state transmit delay
R800(config-if)#ip ospf dead-interval ?
<1-65535> Seconds
R800(config-if)#ip ospf hello-interval ?
<1-65535> Seconds
c.Basededonnesdevoisinage
UnrouteurquidoitconstruireunmessageHelloversunrseaulefaitenpuisantlinformationdanslastructurede
donnesassocielinterfaceconnectecerseau.Puisquecetteinformationestparticulirechaqueinterface,
unmmerouteurgnreautantdemessagesHellodiffrentsquiladinterfacesparticipantauprotocole.Cefaisant,
le routeur informe ses voisins de ce quil est (il se prsente). De la mme faon, chaque fois quil dcouvre un
nouveauvoisin,lerouteurcreunenouvelleentre(unenregistrement)danssabasededonnesdevoisinage.
cetteentre,ilassocieuncertainnombredinformationsextraitesdesmessagesHelloquilreoitdecevoisin.
Ilestpossibledesefaireuneidedesinformationsassociesuneentredelabasededonnesdevoisinage
laidedunecommandeshowipospfneighbor.Prcisonsdabordlecontexte:
- 27 -
Danscecontexte,lersultatdelacommandeentresurlerouteurR1100b:
R1100b#sh ip ospf neighbor 1.0.0.12
Neighbor 1.0.0.12, interface address 10.0.8.12
In the area 0 via interface FastEthernet0/1
Neighbor priority is 1, State is 2WAY, 2 state changes
DR is 10.0.8.22 BDR is 10.0.8.21
Options is 0x2
Dead timer due in 00:00:38
Neighbor is up for 00:01:11
Index 0/0, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec
LasectionsuivantefournitunpremierdtailduformatdumessageOSPFHello.Auprixdunepetitenavigationentre
cette page et la section Format des messages OSPF Le message Hello, le lecteur pourra reprer la plupart des
lmentssuivantsdanslemessageHello.Leslmentsimportantsassocischaqueentresont:
- 28 -
LidentifiantRIDduvoisin(NeighborID),danslecasprsent1.0.0.12.
Ladresse IP de linterface du routeur voisin connecte ce rseau, dans le cas prsent 10.0.8.12. Cette
adresseatappriselaideduchampadressesourcedelentteIP.SileprocessusOSPFdecerouteura
besoindenvoyerunmessageversladresseunicastdecevoisin,alorsilpeututilisercetteadresseentant
quadressededestination.
Lidentifiantdaire (AreaID),danslecasprsent0.Pourquedeuxrouteursvoisinsphysiquementpuissent
devenirvoisinsausensOSPF,lidentifiantdairecontenudanslemessageHelloreudoitcorrespondre(tre
identique : matches ) lidentifiant daire configur sur linterface de rception. Dans le cas prsent,
linterfaceF0/1durouteurR1100bparticipeauprocessusOSPFpourlaire0.LemessageHelloreucontenait
unidentifiantdaire0.Toutvabien,cecritrenempchepaslesdeuxinterfacesdedevenirvoisines.
Linterfaceparlaquellecerouteurestconnectaurseausurlequelsetrouvelevoisin.Danslecasprsent,
linterfaceFastEthernet0/1.
Laprioritduvoisin(Neighborpriority)tellequelleestreuedanslesmessagesHello.Danslecasprsent,la
prioritestde1,soitlavaleurpardfautsurlesrouteursCISCO.Cetteprioritestutiliseparlemcanisme
dlection des routeurs dsigns DR et BDR sur les rseaux diffusion (notre contexte) ainsi que sur les
rseauxsansdiffusionfonctionnantenmodeNBMA.
Ltatdelarelationdevoisinage(State)quiaatteintdanslecasprsentlavaleur2Way.Surunrseau
diffusion,lesseulesrelationsquivontjusqultatdepleineadjacenceFULLsontlesrelationstablies
avec le routeur dsign ainsi quavec le routeur dsign de secours. 1.0.0.12 ntant ni lun, ni lautre, la
relationnedpassepasltat2Way.
Le temporisateur dinactivit (InactivityTimer). chaque message Hello reu, le routeur arme ce
temporisateur.SiaucunnouveaumessageHellonestreuavantRouterDeadIntervalsecondes,larelation
de voisinage repasse ltat initial soit ltat Down . La commande show nous informe quil reste 31
secondesavantlchance.
LerouteurdsignDRtelquilestinclusdanslechampDRdumessageHelloreu.
LerouteurdsigndebackupBDRtelquilestinclusdanslechampBDRdumessageHelloreu.
Dans le contexte dun rseau fonctionnant en mode NBMA, la mme commande show ip ospf neighbor fait
apparatreunlmentsupplmentaire:
R1100c#sh ip ospf neighbor 1.0.0.12
Neighbor 1.0.0.12, interface address 10.0.8.12
In the area 0 via interface Serial0/0
Neighbor priority is 1, State is 2WAY, 7 state changes
DR is 10.0.8.22 BDR is 10.0.8.21
Poll interval 120
Options is 0x2
Dead timer due in 00:01:49
Neighbor is up for 00:16:12
Index 0/0, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec
Le temporisateur PollInterval. Cette valeur est associe lentre (enregistrement) uniquement quand
cette interface et linterface voisine sont connectes un rseau sans diffusion qui fonctionne en mode
NBMA.Silarelationdevoisinageestltat Down(patientez),unmessageHelloestenvoyauvoisin
touslesPollIntervalsecondes,priodepluslonguequecellefixeparlavaleurHelloIntervalenusage
surlesautrestypesderseau.LimplmentationOSPFdeCISCOutiliseundlai PollIntervalfix 120
secondes.
Ceslmentsexistentdanschaqueenregistrementdelabasededonnesdevoisinagesanstoutefoistreaffichs
lorsdelacommandeshowipospfneighbor:
LeboolenMaster/Slave.DansltatExStartdelarelationdevoisinage(patientez),lesdeuxvoisins
ngocientafindedterminerquiseralematredelarelationdeproximitencoursdeconstruction.
Lenumrodesquenceencours(DDSequenceNumber)pourlesenvoisdepaquetsdedescriptiondebase
dedonnesLSD.LeprochainpaquetDBDenvoyauvoisinporteracenumro.
LesbitsInitial,MoreetMaster(patientez),lesoptionsainsiquelenumrodesquencedudernier
paquet de description de base de donnes LSD reu. Cette information permet au processus OSPF de ce
routeurdedistinguerunpaquetDBDreuquiseraitdupliqu.
LalisteLinkStateRetransmissionList.Cestlunedestroislistesimportantesdanslasynchronisationdes
LSDdedeuxrouteursadjacents.CettelistecontientlesLSAsquionttinondssurleprochesansavoir
tacquitts.chaqueLSAinond,leprocessusOSPFarmeuntemporisateurdontlchanceestrgle
RxmtInterval secondes. moins quentre temps, ladjacence ne soit dtruite (absence de message Hello
reupendantRouterDeadIntervaletretourdelarelationltatDown)leprocessusOSPFretransmet
nouveauunLSAquinauraitpastacquittquandletemporisateurassociarrivechance.
La liste LinkStateSummaryList .Cette liste contient lensembledesLSAsquil faudra dcrire au voisin
lorsquelarelationdevoisinageparviendraltatExchange.Cettelisteestnormalementconstituelors
delvnementNegotiationDonedanslediagrammedtatsdelarelationdevoisinage(patientez).
LalisteLinkStateRequestList.CettelistecontientlensembledesLSAsduvoisinquionttdcouverts
plusrcentsquelesversionscontenuesdanslaLSDdecerouteur.CesLSAsquilfautobtenirferontlobjet
depaquetsLinkStateRequest.AufuretmesurequelesrponsesparviennentviadespaquetsOSPF
Link State Update ,la liste Link State Request List sappauvrit. Lvnement LoadingDone, dans le
diagrammedtatsdelarelationdevoisinage,nepeutseproduirequunefoiscettelistevide(patientez).
- 29 -
ReportezvouslasectionFormatdesmessagesOSPFLemessageHelloafindobserverlesdiffrentschampsqui
permettent au routeur qui reoit ce message dalimenter les diffrents lments associs lentre
(lenregistrement) de la base de donnes de voisinage. Les champs marqus par la petite flche sont ceux qui
doivent correspondre entre ce routeur et le routeur voisin pour quils puissent prtendre devenir voisins au sens
OSPF.
d.tatsdelarelationdevoisinage
nouveau,mettonsleGRAFCETprofitpourtenterdyvoirclairdanslestatsdelarelationdevoisinage.LeRFC
voque souvent la notion dtat suprieur ... et nous ferons de mme. Expliquonsnous : tous les tats sont
suprieursltatDownmaisilnyapasdtatsuprieurltatFulllestatssuprieursltatExstart
sontlestatsExchange,LoadingetFull.
- 30 -
Gardonsnous bien de traduire les termes employs par le RFC, ce sont la plupart du temps ces mmes termes
quutiliseCISCOdanssonimplmentationdOSPFetdoncdanslesmessagesfournisparlinterfaceILC.Souvenons
nous galement que lvolution du diagramme dtats de chaque relation de voisinage est troitement lie
lvolutiondudiagrammedtats de linterface.Lacomprhensionestfaciliteenconservantlesdeuxdiagrammes
souslesyeux.Commentonscediagrammedtats:
La relation de proximit en cours avec ce voisin na plus lieu dtre, il faut rompre ladjacence et
revenirltat 2Way,cequiestoprlaidedupseudovnementUndoAdj (nouveau
unelibertpriseavecleRFC).
Jusqu prsent, la relation avec ce voisin navaitpasdpassltat 2Way maislun des deux
routeurs(luioumoi)estdevenuDRouBDRcequijustifieltablissementdunerelationdeproximit
avecluioprecettefoislaidedupseudovnementDoAdj.
LtatExStart:premiretapedanslaconstructiondunerelationdeproximit.Danscettat,cerouteur
et son voisin dcident de qui sera le matre, qui sera lesclave dans la relation de proximit en cours de
construction puis dterminent le numro de squence DBD initial en prvision du prochain change de
paquetsdedescriptiondebasededonnes.Desdeuxvoisinsdecetterelation,celuiquidisposedelaplus
grandeadressedinterfacedevientlematre.
Lvnement NegotiationDone : la ngociation matre/esclave a t acheve, les numros de squence
DBD ont t changs (patientez). Cest lors du franchissement de cette transition que le processus
constitue la liste Data Summary List . Cette liste contient lensemble des LSAs quil faudra envoyer au
voisin. Lchange des paquets de description de base de donnes DBD peut commencer. Le diagramme
passeltatExchange.
- 31 -
Ltat Exchange : dans cet tat, le routeur dcrit exhaustivement sa LSD laide de paquets de
description de base de donnes (nots DD dans le RFC mais DBD dans linterface ILC de CISCO). Dans le
mme temps, le routeur reoit des paquets DBD de son voisin et peut comparer ses LSAs avec les LSAs
dtenusparsonvoisin.ChaquefoisquildcouvrequesonvoisindtientunLSAplusrcentouunLSAquilui
est encore inconnu, il lajoute la liste Link State Request List . Ds ltat Exchange , il lui est dj
possible de demander les LSAs plus rcents dcouverts chez ce voisin en lui envoyant des paquets LS
RequestquicontiennentlesLSAsobtenirextraitsdecetteliste.
LvnementExchangeDone:cerouteuretsonvoisinontterminladescriptionexhaustivedeleurLSD.
LediagrammepasseltatLoading.
LtatLoading:cerouteurdemandesonvoisinlesLSAsquilnauraitpasencoreobtenuslaidedes
paquetsLSRequest.
LvnementLoadingDone:lalisteLinkStateRequestListestvide.
Ltat Full : les deux voisins sont maintenant pleinement adjacents, en bref des proches, et cet tat
dadjacenceoudeproximitestdignedefigurerdanslesLSAsderouteuretderseau(patientez).
e.Constructiondunerelationdevoisinage
MercidebienvouloirconsultercettesectionenayantgalementsouslesyeuxlasectionFormatdesmessagesOSPF
LepaquetDBD.
LepaquetDBDestutilispendantlaconstructiondunerelationdevoisinageafindedcrirelesLSAscontenusdans
la LSD. La description exhaustive peut ncessiter de nombreux paquets DBD et cest pour cette raison quune
procduredetype pollingatchoisie.Unetelleprocdureconsistedsignerunmatrequiprendlinitiative
deschanges.LesclavenepeutmettreunpaquetDBDquenrponseunpaquetDBDreudumatre.Danslecas
dOSPF, un message DBD mis par le matre est la fois une invitation recevoir et une invitation mettre. La
procdurefaitcorrespondreunmessagedinvitationmettreavecsarponselaidedesnumrosdesquence
DBD.
- 32 -
PuisqueR1100atlepremierrouteurdmarr,ilestarrivplusvitelaconclusionquilluifallaittablir
une relation dadjacence avec le futur DR R2200. R1100 passe ltat ExStart et ds la trame 42,
commencelmissiondepaquetsdedescriptiondebasededonnesvides,aveclesbitsInitial,More
etMasterSlave1.R1100achoisiunnumrodesquenceDBDgal5982.CespaquetsDBDvidessont
rptstouslesRxmtIntervalsecondes,trames49et54.
R2200 sort de ltat Waiting et droule lalgorithme de calcul DR, BDR. Il le fait avec la mme matire
premirequeR1100etarriveaummersultat.IlestdevenuDRcequijustifieltablissementdunerelation
ENI Editions - All rigths reserved - Noba Mafiza
deproximitavecR1100.R2200passeltatExStartetenvoiesontourunpaquetDBDvideentrame
64dontlesbitsI,MetMSsontpositionns.R2200achoisiunnumrodesquencegal3396.
R1100reoitentrame64unpaquetDBDvidedontlesbitsI,MetMSsontpositionns.R1100observeque
lidentifiant de R2200 est plus lev. Ces conditions prises ensemble provoquent lvnement
Negotiationdone.R1100estdsormaisesclave.Lefranchissementdelatransitionprovoqueentreautresle
remplissagedelalisteLinkStateSummaryListainsiquelactivationdeltatExchange.Lenumrode
squence reu et accept du matre 3396 est nouveau, il est donc interprt comme une invitation
mettre.R1100peutmettresonpremierpaquetDBDnonvideentrame68.Danscepaquet,lebitInitialest
0carlediagrammedtatsaquittltatExStart,lebitMoreest1carilyaencoredespaquets
DBDsuivre,lebitMasterSlaveest0carR1100estesclave.Lenumrodesquencerenvoyfaitcho
aunumrodesquencereu,soit3396.LepaquetcontientunentteLSAderouteurpourlerouteurdont
leRIDest1.0.0.11.
R2200 reoit la trame 68 et y voit un paquet DBD dont les bits I et MS sont 0 et dont le numro de
squence est gal au numro de squence mis 3396. Ces conditions prises ensemble provoquent
lvnement Negotiation Done , R2200 est dsormais le matre, le diagramme dtats de la relation de
voisinagepasseltatExchange.Lesclaveafaitchoaunumrodesquencemis,ceciestinterprt
commeunacquittementparlematre,cequiluipermetdmettreunnouveaupaquetDBDentrame73.Dans
cepaquet,lebitInitialest0carlediagrammedtatsaquittltatExStart,lebitMoreest1caril
y a encore des paquets DBD suivre, le bit MasterSlave est 1 car R2200 est matre, le numro de
squenceestincrmentetvaut3397.LepaquetcontientunentteLSAderouteurpourlerouteurdontle
RIDest1.0.0.22.SilesclavenavaitpasrenvoydepaquetDBDfaisantchoaunumrodesquence3396,
dans le cas dune erreur de transmission par exemple, le matre aurait mis nouveau le paquet DBD
contenudanslatrame64aprsRxmtIntervalsecondes.
R1100 reoit la trame 73 et y voit un paquet DBD nouveau puisque porteur dun nouveau numro de
squence3397.CeciestinterprtcommeunacquittementdupaquetDBDmisentrame68etcommeune
invitationmettre.MaispuisquelaLinkStateSummaryListdecetterelationdevoisinagenecomportait
quunseulenttedeLSA,lalisteestdjvideetlepaquetDBDmisentrame85estunpaquetvidedont
lebitMoreest0.Lenumrodesquencerenvoyfaitchoaunumrodesquencereu,soit3397.Si
le paquet DBD reu avait t porteur du mme numro de squence 3396, R1100 se serait content
dmettrenouveaulepaquetDBDprcdentcontenudanslatrame68.
R2200reoitlatrame85etyvoitunpaquetDBDdontlenumrodesquence3397faitchoaunumrode
squence mis. Ceci est interprt comme un acquittement par le matre, ce qui lui permet dmettre un
nouveaupaquetDBDentrame96.MaispuisquelaLinkStateSummaryListdecetterelationdevoisinage
ne comportait quun seul entte de LSA, la liste est dj vide et le paquet DBD mis en trame 96 est un
paquetvidedontlebitMoreest0,lenumrodesquenceestincrmentetvaut3398.
R1100 reoit la trame 96 et y voit un paquet DBD porteur dun nouveau numro de squence 3398.
Lesclavedoitrenvoyerunpaquetenrponse.LepaquetDBDreualebitMore0.LepaquetDBDque
sapprte mettre lesclave a galement le bit More 0. Ces deux conditions prises ensemble
provoquent lvnement Exchange done et par suite, lactivation de ltat Loading du diagramme
dtats de la relation de voisinage. Il faut observer que lesclave gnre toujours cet vnement avant le
matre. R1100 envoie un paquet DBD en trame 104 avec le bit More 0 et un numro de squence
faisantchoaunumrodesquencereu,soit3398.
R2200reoitlatrame104etyvoitunpaquetDBDdontlenumrodesquence3398faitchoaunumro
de squence mis. Ceci est interprt comme un acquittement par le matre. R2200 a dj envoy sa
squencecompltedepaquetsDBDetlepaquetDBDreualebitMore0.Cesdeuxconditionsprises
ensemble provoquent lvnement Exchange done et par suite, lactivation de ltat Loading du
diagrammedtatsdelarelationdevoisinage.
LafiguresuivantetentedillustrerlvolutiondelaLinkStateSummaryList:
- 33 -
Les protagonistes sont maintenant tous deux dans ltat Loading , cette phase de description de la LSD est
termine.ChaquerouteurapucomparersesLSAsaveclesLSAsdtenusparsonvoisin.ChaqueLSAdcouvertou
observ plus rcent chez le voisin a t ajout la liste Link State Request List . Ds ltat Exchange , le
routeur peut dj demander les LSAs plus rcents dcouverts chez le voisin en lui envoyant des paquets LS
Requestporteursdetoutoupartiedecetteliste.Danslecasprsent,lalisteestdespluscourtes.PourR1100,elle
necomportequeleseulLinkStateID1.0.0.22.PourR2200,ellenecomportequeleseulLSID1.0.0.11:
La figure illustre la suite de lexemple dj utilis pour expliciter la phase dlection DR et BDR puis la phase de
descriptiondesbasesdedonnes:
- 34 -
R2200adcouvertentrame68queR1100dtenaitleLSA1.0.0.11.PuisqueceLSAestencoreinconnude
R2200,ilestdemandlaidedunpaquetLSRequestentrame74.
Demme,R1100adcouvertentrame73queR2200dtenaitleLSA1.0.0.22.PuisqueceLSAestencore
inconnudeR1100,ilestdemandlaidedunpaquetLSRequestentrame86.
R2200 reoit la rponse sa requte en trame 87. La liste de demandes Link State Request List ne
comportait quun seul lment, elle est maintenant vide, R2200 na plus dautre requte formuler. Ceci
provoquelvnementLoading donedanslediagrammedtatsdelarelationdevoisinage.Pourtant,le
diagrammenepourrapasserltatFullquaprstrepassparltatLoading,cequineseproduira
qulatrame104.NotezquelepaquetLSRequestdelatrame74pouvaitembarquerbienplusquune
seule demande. Quand cest le cas, chaque LSA demand lest explicitement (voir Format des messages
OSPFLepaquetDemandedtatdelien).
R1100 reoit la rponse sa requte en trame 97. La liste de demandes Link State Request List ne
comportait quun seul item, elle est maintenant vide, R1100 na plus dautre requte formuler. Ceci
provoquelvnementLoadingdonedanslediagrammedtatsdelarelationdevoisinageetparsuite,le
passageltatFull.
LediagrammedtatsdelarelationdevoisinageentretenuparR1100poursarelationavecR2200estmaintenant
dansltatFull.Demme,lediagrammeentretenuparR2200poursarelationavecR1100estdansltatFull.
Les deux voisins R1100 et R2200 sont donc pleinement adjacents (des proches), leurs bases de donnes sont
synchronises.IlrestemaintenantOSPFlachargedemaintenirlesLSDsynchronises,cestlobjetduprocessus
dinondation.IlluifautgalementmaintenirledegrdepertinenceoudeconfiancedanschacundesLSAscontenus
danslaLSD,cestlobjetduprocessusderafrachissementdesLSAs.Cesdeuxprocessustroitementimbriqussont
dcritslasectionProcessusdinondationdanscechapitre.
f.Maintenance
LesquelquescommandesshowoudebugsuivantespeuventaidercomprendrelactivitdOSPFquandelleestlie
aux problmes de voisinage. Le contexte est le suivant : les trois routeurs R1200, R2100 et R2200 sont
oprationnelsdepuisuncertaintemps,R2200estDR,R2100estBDR.Lacommandedebugipospfadjatentre
surR2200.PuisonactiveR1100.
ReprezdanslacaptureprcdentelepassagedelarelationdevoisinageR1100R2200parlesdiffrentstats:
2WAY, EXSTART, EXCHANGE et FULL. Observez galement lchange de paquets DBD associs aux numros de
squence. R1100 est esclave dans cet change, ladresse IP de linterface concerne est 10.0.8.11, mais puisque
cetteadresseestaussilapluspetitedesquatreadressesprsentessurLAN8,onpeutdduirequeR1100aurait
tesclavequellequesoitlarelationdevoisinageconstruiresurcerseau.Reprezlesdiffrentsvnements
NeighborchangequiinterviennentdanslediagrammedtatsdelinterfacepuislesvnementsNegotiationdone
,Exchangedone,Loadingdone quiinterviennentdanslediagrammedtatsdelarelationdevoisinage.Au
final,debugfournitunrsultatpresqueaussidtaillqueceluidunanalyseurdeprotocole.
R2200b#debug ip ospf adj
OSPF adjacency events debugging is on
01:34:11: OSPF: 2 Way Communication to 1.0.0.11 on FastEthernet0/1, state 2WAY
01:34:11: OSPF: Neighbor change Event on interface FastEthernet0/1
01:34:11: OSPF: DR/BDR election on FastEthernet0/1
01:34:11: OSPF: Elect BDR 1.0.0.21
01:34:11: OSPF: Elect DR 1.0.0.22
01:34:11: DR: 1.0.0.22 (Id)
BDR: 1.0.0.21 (Id)
01:34:11: OSPF: Send DBD to 1.0.0.11 on FastEthernet0/1 seq 0x2499 opt 0x42 flag 0x7
len 32
01:34:11: OSPF: Rcv DBD from 1.0.0.11 on FastEthernet0/1 seq 0x2499 opt 0x42 flag 0x2
len 52 mtu 1500 state EXSTART
01:34:11: OSPF: NBR Negotiation Done. We are the MASTER
01:34:11: OSPF: Send DBD to 1.0.0.11 on FastEthernet0/1 seq 0x249A opt 0x42 flag 0x3
len 132
01:34:11: OSPF: Rcv DBD from 1.0.0.11 on FastEthernet0/1 seq 0x249A opt 0x42 flag 0x0
len 32 mtu 1500 state EXCHANGE
01:34:11: OSPF: Send DBD to 1.0.0.11 on FastEthernet0/1 seq 0x249B opt 0x42 flag 0x1
len 32
01:34:11: OSPF: Rcv DBD from 1.0.0.11 on FastEthernet0/1 seq 0x249B opt 0x42 flag 0x0
len 32 mtu 1500 state EXCHANGE
01:34:11: OSPF: Exchange Done with 1.0.0.11 on FastEthernet0/1
01:34:11: OSPF: Synchronized with 1.0.0.11 on FastEthernet0/1, state FULL
01:34:11: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/1 from LOADING
to FULL, Loading Done
En dehors du rsultat de la commande debug, SYSLOG informe galement de lactivit OSPF lie au voisinage. Le
passagedelarelationdeR2200avecsonvoisinR1100ltatFULLestsaluparunmessageSYSLOGclassau
niveau5Notifications(Evnementnormalmaisimportant):
01:34:11: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/1 from LOADING
to FULL, Loading Done
PourR2200,undesvoisins(R1100)estarrivltatFulletcetvnementlecontraintproduireunenouvelle
instanceduLSAderseau:
- 35 -
Pri
1
1
1
State
2WAY/DROTHER
FULL/DR
FULL/BDR
Dead Time
00:00:39
00:00:39
00:00:35
Address
10.0.8.12
10.0.8.22
10.0.8.21
Interface
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
6.PartagedelASenaires
a.Notiondaire
En prambule, il a t dit quOSPF met profit un concept daires afin de contenir ses exigences en ressources
machine (mmoire et CPU), afin galement de rduire autant que faire se peut le trafic dacheminement. Pour
mmoire, le trafic dacheminement est le trafic inhrent au protocole de routage. La bande passante consomme
pourcetraficlestaudtrimentdelabandepassanteutile.
DupointdevueOSPF,laireestunregroupementlogiquederouteursOSPFetdeliensentrerouteurs.laidedes
airesdOSPF,ildevientpossibledesubdiviserledomaineensousdomaines.Unrouteurdansuneairedonnepeut
ignorerlesdtailsdetopologiedesairesvoisines.Toutesproportionsgardes,laireestOSPFcequelazoneest
DNS,unfractionnementdelinformationglobale:
Dans DNS, lexistence de la zone est relle, physique puisquon peut lui associer une base de donnes,
lensemble des zones juxtaposes constituant la base de donnes globale. lintrieur dune zone,
lensembledesserveursdenomsentretiennentlammecopiedelabasededonnesassocielazone.
IlenvademmedansuneaireOSPFlaquelleilfautassocierlabasededonnesdtatsdeliens(LSD)
pourlaire.lintrieurdelaire,chaquerouteurentretientlammecopiedelaLSD.
Lanalogiesarrtelcarlabasededonnesdunezonecontientlesinformationsqueladministrateurabienvouluy
placeralorsquelabasededonnesLSDestautoconstruiteparlesrouteurslaidedunprocessusdinondation,
chaquerouteurapportantsapierre(sesLSAs)ldifice(laLSDdelaire).
UnrouteurOSPFnepartageuneLSDquaveclesautresrouteursdelammeaire.LatailledelaLSDetdonc
limpactsurlammoiredesrouteurssontvidemmentplusrduitsquesilaLSDavaitdcouvrirlesystme
autonomedanssonentier.
Une LSD plus rduite signifie galement moins de LSAs entretenir et des LSAs quilfautpropagermoins
loin,aveclacl,uneconsommationderessourcesCPUrevuelabaisseainsiquuntraficdacheminement
moindre.
Dfinissonsformellementlaire:
Unlienouunrseauappartientuneaireetuneseule.Lesfrontiresdairessontparconsquentplaces
surlesrouteursetnonsurlesliens.
Uneaireestidentifieparunnumroexprimsur32bitsettotalementindpendantduplandadressageIP
durseau:
- 36 -
Les identifiants daire sont formats comme des adresses IP. Laire 0 est galement laire 0.0.0.0.
Tantquelidentifiantestendede256,leschosessontsimples,xou0.0.0.xidentifientune
seule et mme aire. Audel de 256 (mais estce utile ?), on prfrera sans doute sen tenir au
formatdcimalpoint.
Tous les routeurs frontires appartiennent au moins une aire particulire, dite backbone ou aire 0. La
figuresuivanteillustrecequiestpossibleetcequinelestpas:
Les aires dOSPF doivent tre construites selon une topologie hirarchique autour de laire backbone,
toujours prsente. Lidentifiant 0 (ou 0.0.0.0) est rserv laire backbone (littralement pine dorsale).
Illustration:
TopologiehirarchiquedundomaineOSPF
Il est possible dattnuer la contrainte prcdente en tablissant un lien virtuel vers laire backbone au
traversduneairenonbackbone.Illustration:
- 37 -
En relation avec le dcoupage du systme autonome en aires, il devient possible de classer le trafic en trois
catgories:
Letraficintraaireconstituparlespaquetsquandilstransitententrerouteurssansquitterlairedontils
sontissus.
Letraficinteraireconstituparlespaquetsdontlesadressessourceetdestinationnappartiennentpas
lammeaire.
LetraficexternequanddespaquetsdoiventtransiterentreledomaineOSPFetunautresystmeautonome.
Lairebackbonealachargedersumerlesdestinationsaccessiblesduneaireetdepubliercersumauprsdes
autres aires. En effet, le trafic interaire doit ncessairement transiter par laire backbone. Deux aires non
backbonenepeuventchangerdirectement.
CommenousauronsloccasiondeledtaillerunpeuplustardenexaminantlesdiffrentstypesdeLSAs,lchange
dinformationsderoutageentreairesestessentiellementdetypevecteurdedistance.Vrifionsleenraisonnantsur
lafigureprcdentelgendeTopologiehirarchiquedundomaineOSPF:
LeprotocoleOSPFpermetaurouteurdebordureR8deconnatrelensembledesdestinationsdanslaire8
qui lui est directement connecte. R8 annonce ces destinations dans laire 0 laide de LSAs de type
rsumsderseau.
LerouteurR16reoitcesLSAsrsumsderseaugrceauprocessusdinondation.
ChaqueLSArsumderseauannoncparR8contientunedestinationetuncot.R16placeladestination
danssatablederoutageviaR8enayantsoindemettrelecotjour.LecotcalculparR16estlasomme
du cot reu et du cot pour atteindre R8. Puis R16 gnre ses propres LSAs rsums de rseau et les
inondeverslaire16.
Cestbienladescriptiondunalgorithmetypevecteurdedistance.CeciexpliquegalementpourquoilesairesOSPF
doivent tre construites en toile autour de laire backbone, on vite ainsi lcueil des boucles de routage que
pourraitameneruntelalgorithme.
Classiquement,lesarchitectesrseauenchargedelaplanificationetdudploiementdOSPFmmorisentdesordres
de grandeur quant la taille maximale dune aire et le font en simposant un nombre de routeurs maximal, par
exemple50.Ilnestpascertainquecettedmarchesoitlapluspertinentecarbeaucoupdautresfacteursinfluent
surlaconsommationderessourcesmmoireetCPUduprocessusOSPFetnotammentlenombredeliensdelaireou
le nombre de LSA rsum issus des autres aires, liste non exhaustive. Ceci explique que des aires 30 routeurs
puissent tre parfois plus charges que des aires 300 routeurs. Larchitecte rseau ne peut sabsoudre dune
surveillancedesressourcesconsommesaprsledploiement.Parailleurs,rienninterditdedployerOSPFdansun
domaineuniquequandlinterrseauestdetailleraisonnable.Diviserundomaineenairesestunepossibilit,pas
uneobligation.
b.Classifionslesrouteurs
ObservezlafigurelgendeTopologiehirarchiquedundomaineOSPFetdistinguezlesrouteurssuivants:
- 38 -
Le routeur interne : toutes ses interfaces appartiennent une seule et mme aire. Un routeur interne
nentretientquuneseuleLSD.
LerouteurdebordureABR(AreaBorderRouter):connecteuneaireoudavantagelairebackbone,cesten
quelquesortelapasserellepourletraficinteraire.LerouteurABRaaumoinsuneinterfaceappartenant
laire backbone. La vie dun ABR est videmment plus complique que celle dun routeur interne car il doit
entretenirautantdeLSDquedairesconnectes.Cesrouteursjustifientprobablementuneffortquantla
quantitdemmoireembarqueoulapuissanceCPU.CestlerouteurABRquirsumelatopologiedelaire
oudesairesconnectespuispubliecesrsumsverslairebackbonelaidedeLSAsrsum(patientez).
Lerouteurbackbone:ilaaumoinsuneinterfacedanslairebackbone.UnrouteurABRestncessairement
unrouteurbackbonemaislassertioninversenestpasvraie.Demme,unrouteurinternedonttoutesles
interfacesappartiennentlairebackboneestunrouteurbackbone.
Le routeur frontire au systme autonome ASBR (Autonomous System Boundary Router) : lASBR est au
systme autonome ce que lABR est laire, une passerelle vers les destinations externes au systme
autonome.LASBRapprenddesroutesexterneslaidedeprotocolesderoutagetelsquEIGRPouBGPpuis
lesinjectedansledomaineOSPF.LASBRpeuttreindiffremmentunrouteurinterne,unrouteurABRouun
routeurbackbone.
c.Continuitdeservice
NoussommesdepuisunmomenthorscadreCCNA,lelecteurintressexclusivementparlacertificationpeutaller
directementladescriptionduprocessusdinondation.
Larchitecte rseau doit garder lesprit des rgles de bon sens et assurer un maillage suffisant mme de
contournerunliendfaillant.
Exemple1:
Laire 1 est sans doute insuffisamment maille et une dfaillance du lien telle quillustre peut conduire un
partitionnement de laire.Fortheureusementdanscecasprcis,chaquepartitiondelaire1resteconnecteun
ABR. Laire backbone considre alors les deux partitions comme deux aires distinctes. Le trafic intraaire dune
partitionlautredevientuntraficinterairequitransiteparlairebackbone,leserviceestmaintenu.
Exemple2
- 39 -
Lesrouteursdelairebackbonesontinsuffisammentmaillsetunliendfaillantprovoquelepartitionnementdelaire
backbone.Cestvidemmentbeaucoupplusgrave,toutsepassecommesilexistaitdsormaisdeuxdomainesOSPF.
Prvenircetaccidentestnouveauuntravaildarchitecte,voicideuxsolutionspossibles:
Lapremiresolutionconsistemaillerdavantagelesrouteursdelairebackbone.Danslillustrationprcdente,la
dfaillancedunliendelaire0nepeutcauseruneinterruptiondeservice.Lasecondesolutionconsistertablirla
connectivitentablissantunlienvirtuelautraversduneairenonbackbone.
- 40 -
7.Processusdinondation
a.Conceptsgnraux
IlfautdistinguerletraficIPutiledutraficdacheminement.ChaquerouteurOSPFeffectuesoncalculdelarbreSPFet
en dduit des routes quilplaceentablederoutage.Untraficutileempruntelunedecesroutespourprogresser
vers sa destination. Le trafic dacheminement consiste en tous les messages OSPF utiliss pour entretenir le
protocole.cestadeduchapitre,nousavonsmisprofitlestypesdepaquetsOSPFsuivants:
LesmessagesHellopourdcouvrirlesvoisinspuismaintenirlesrelationsdevoisinageenvie.
LespaquetsDBDpourdcrirelecontenudesLSD.
LespaquetsLSRequest,LSUpdatepoursynchroniserlesbasesdedonnesLSDs.
Ces aspects du protocole ont permis de tisser un ensemble de relations de proximit qui en final construisent un
rseaulogiquetrsdiffrentdurseauphysiqueetquisertdesupportautraficdacheminementdestinmaintenir
lensembledesLSDsduneaireidentiques:
Danscetexemple,deuxrseauxphysiquesLAN,unTokenRingetunEthernet,sontinterconnectsparuneliaison
pointpointWAN.OSPFaprocdllectiondunDRsurchacundesrseauxdiffusionpuisatabliunerelation
deproximitentrelesdeuxrouteursdepartetdautredulienWAN,ainsiquentreleDRdechaquerseauLANavec
les autres routeurs du rseau. La vue logique est faite dun ensemble de relations de proximits, cestdire un
ensemblederelationslogiquespointpoint.
Immdiatementaprsltablissementdunerelationdeproximit,lesdeuxLSDdepartetdautredelarelationsont
identiques, mais elles ne le resteraient pas longtemps sans un processus destin maintenir en temps rel la
cohrencedelensembledesLSDsurlaire.LaLSDcontientlensembledesLSAsgnrsparlesrouteursdelaire,
cestdoncunebasededonnestopologique.Toutchangementdanslatopologiedelaire(unlienquimonteouqui
tombe,unrouteurquisactiveouquidisparat...)setraduitparunchangementdansaumoinsunLSA.
LeprocessusdinondationestleprocessusprvuparOSPFpourmaintenirdesbasesdedonnesdtatsde
lienidentiquessurlensembledesrouteursduneaire.
Le processus dinondationconsistefaireensortequetoutLSAnouveauoumodifisoitdiffuslensembledes
routeursduneaire.IlutilisepourcefairelespaquetsOSPFdetype:
- 41 -
LinkStateUpdate(type4)
LinkStateAcknowledgement(type5).
UnpaquetLinkStateUpdatepeutporterplusieursLSAsdistincts.Attentionbiencomprendrecepointessentiel:
lesLSAsontunpeuauxpaquetsLSUpdatecequesontlesdatagrammesIPpourlestramesEthernet:
Pour mmoire, la trame reste locale cestdire change entre deux interfaces directement connectes.
Seulledatagrammetransitedanslerseau.
OnpeutfairelanalogieaveclesLSAsencapsulsdansleLSupdate.LepaquetLSupdatecommetout
paquet OSPF est gnr avec une valeur TTL fixe 1. On est ainsi assur que le paquet ne puisse pas
effectuerplusdunsaut.SeulleLSAtransitedanslerseau.
OSPFutiliselespaquetsLSUpdatedansdeuxcirconstances:lorsquilfautrpondreunpaquetLSRequest
ainsi que dans le processus dinondation des LSAs. Dans ce cas prcis, souvenonsnous quun paquet OSPF na
jamaisbesoindtreacheminaudeldurseaudontilestissu.CestceconstatquiapermisdajusterlavaleurTTL
despaquetsOSPF1.LaconsquenceestqueparmilesLSAsreus,unrouteurvoisindoitrencapsulerlesLSAs
approprisdansdenouveauxpaquetsLSUpdatepourqueleprocessusdinondationpuisseprogresser.
Pourfaireuneanalogieencoreplusose,lesLSAssontdesautostoppeursetle LSUpdate unevastevoiture
break conduite par un chauffeur comprhensif. La voiture a ramass des autostoppeurs de toutes origines et de
tousgesdontleseulbutestdallerpartout.Maislavoiturenedpassepaslen udroutiersuivant.Arrivce
n ud,toutlemondedbarqueetlesautostoppeurscherchentunautrechauffeurcomprhensif.
LadressededestinationdunpaquetLSupdatediffreselonletypederseau:
Rseau point point : les paquets LS Update sont envoys vers ladresse de multicast 224.0.0.5 (qui
signifietouslesrouteursOSPF,AllSPFRouters).
Rseaupointmultipoint:lespaquetsLSUpdatesontenvoysversladresseunicastduproche.
RseaudiffusionetrseauenmodeNBMA:dtaillsciaprs.
b.Inondationsurunrseaudiffusion
Surlesrseauxdiffusion,lesDRothersformentunerelationdeproximitavecleDRetleBDR.UnpaquetLS
updateissudunDRotherestdoncenvoyversladressemulticast224.0.0.6(quisignifielesdeuxrouteursDR
etBDR,AllDRouters).Enretour,leDRmetleoulesLSAsnouveauxoumisjourdansunpaquetLSUpdate
destin tous les routeurs adjacents sur ce rseau, il le fait en utilisant ladresse multicast 224.0.0.5. Le BDR ne
participepasactivementauprocessusdinondation mais il se tient prt en profitant desLS Update reuspour
mettrejoursaLSD.Illustronslaidedecetexemple:
- 42 -
La capture correspondante cap_2I_06.pcap est disponible en tlchargement sur le site ENI. Le contexte est le
suivant:lerseauestoprationneldepuisuntempssuffisant.SurLAN8,R2200estDR,R2100estBDR.Linterface
F0/0deR1100tombecequicontraintR1100gnrerunnouveauLSA.ComparezleLSAavantlincidentetleLSA
gnraprsquelinterfacesoitdevenueinactive:
Linstance du LSA de routeur identifie par Link State ID = 1.0.0.11, LS seq Number = 0x80000002, LS
checksum = 0x347a, gnre par R1100 portait deux liens avant lincident. Le RFC 2328 inventorie dix
- 43 -
circonstancesquiprovoquentlagnrationdunenouvelleinstancedeLSA.Lechangementdtatduneinterfacefait
partiedecesdixvnements.R1100gnredoncunenouvelleinstancedesonLSAderouteuridentifieparLink
StateID=1.0.0.11,LSseqNumber=0x80000003,LSchecksum=0xfdd5etdiffusecetteinstancedansun
paquetLSUpdateversladressemulticast224.0.0.6entrame365.Cetteinstanceneporteplusquunseullien
verslerseauLAN8.
c.Lesacquittements
OSPF ne peut fournir des rsultats de routage cohrents que si les LSDs des diffrents routeurs dune aire sont
parfaitement identiques. Puisque les mises jour des LSAs qui composent la LSD sont propages laide du
processusdinondation,ilestncessairequeceprocessussoitrenduparfaitementfiable.Unrouteurquitransmetun
ou plusieurs LSAs doit obtenir lassurance que ces LSAs ont t bien reus et un routeur qui reoit des LSAs doit
avoirlacertitudequecesLSAssontintgres.LouvrageCisco Notionsdebasesurlesrseauxdanslacollection
CertificationsauxEditionsENIadonnloccasiondtudierlesprotocolesdecoucheTransportetlafiabilitapporte
par TCP. Mais OSPF sencapsule directement dans IP, il faut se passer des garanties RIS (Remise, Intgrit,
Squencement)deTCP.SiOSPFabesoindefiabilit,ildoitsefabriquercettefiabilitsurmesures.Pourcefaire,
lesmcanismesmisen uvresont:
1)UnesommedecontrleestajoutedanslentteduLSAetportesurlensembleduLSAlexclusionduchamp
ge(patientez).
2) Chaque LSA fait lobjetdun acquittement individuel. Un routeur qui doit acquitter un LSA peut le faire de faon
expliciteouimplicite(patientez).
3)UnLSAestdotedssanaissanceduneesprancedevie.Siaucunvnementnecausesargnration,alorsil
meurtdemortnaturellelexpirationdesonesprancedevieetunenouvelleinstanceestgnre(patientez).
- 44 -
Acquittementimplicite:imaginonsdeuxrouteursAetB.LerouteurAmetunouplusieursLSAsnouveauxou
misjourverslerouteurB.IlsetrouvequelerouteurBquireoitcesLSAsdoitsontourmettreunou
plusieursLSAsversA.Pourquoinepasprofiterdecetrainenpartancepouryglisserlesacquittements:Je
veuxtedireblablablaetjenprofitepourtedirequejaibienreutesLSAsX,YetZ.Ouimaisvoil,un
paquetLSUpdatenepeutqueporterdesLSAs.Commentyinsrerunouplusieursacquittements?...En
rptantencholesLSAsreus!
Acquittement explicite : les acquittements sont transmis dans des paquets LS Acknowledgement . Un
paquetLSAckpeutregrouperplusieursacquittementsdeLSAs.LepaquetLSAcknembarquequeles
enttesdesLSAsquilfautacquitter.
Revenons au contexte prcdent qui nous offre lopportunit de vrifier la coexistence des deux types
dacquittements:
LeDRareuleLSAderouteur1.0.0.11etdoitsontourinonderceLSAsurtoussesproches.Illefaiten
encapsulantleLSAdansunpaquet LSUpdate miscettefoisversladressemulticast224.0.0.5,trame
366.
R1100reoitencholinstancedeLSAquilvientdmettre.Cestunacquittementimplicite.
Sansparticiperauprocessusdinondation,leBDRdoitaumoinsacquitterleLSAreuduDR,illefaitlaide
dunLSAckentrame367,cestunacquittementexplicite.
R1200doitacquitterleLSAreuduDR,illefaitlaidedunLSAckentrame368,cestunacquittement
explicite.
Lecaschant,chacundesrouteursparmiR1200,R2100etR2200peutfaireprogresserlanouvelleinstance
de LSA en lencapsulant dans un paquet LS Update puis en mettant ce paquet sur les interfaces
appropries.
Parailleurs,toutenouvelleinstancedeLSAenvoyeparunrouteurversunprocheestgalementcopiedansla
LinkStateRetransmissionList,listequiappartientlastructurededonnesdelinterface.Danslemmetemps,le
processus OSPF arme un temporisateur dont lchanceestrgle RxmtInterval secondes.moinsquentre
temps,ladjacencenesoitdtruite(absencedemessageHelloreupendantRouterDeadIntervaletretourdela
relationltat Down)leprocessusOSPFretransmetnouveauunLSAquinauraitpastacquittquandle
temporisateurassociarrivechance.LeLSAestpurgdelalisteunefoislacquittementreu.Quelapremire
mission de linstance de LSA ait t diffuse vers une adresse multicast ou pas, un LSA retransmis lesttoujours
dansunpaquetLSUpdatemisversladresseunicastduproche.
Pourtrecomplet,signalonscettefacultquiconsistediffrerunacquittementdefaonaugmenterlenombrede
LSAsacquittslaidedunseulpaquetLSAck.LedlaidattentenepeutexcderRxmtIntervalsouspeine
dentraner dinutiles retransmissions. Un routeur ne peut recourir systmatiquement lacquittement diffr,
quelquescasrequirentunacquittementimmdiat:
Le routeur reoit nouveau une mme instance de LSA issue du mme proche. On parle alors de LSA
dupliqu et il laisse penser que probablement, lacquittement napastreu.UnLSAdupliqujustifieun
acquittementimmdiat.
LgeduLSAestMaxAgeetlaLSDdurouteurquireoitleLSAnecontientpasdinstancedeceLSA.
d.InondationsurunrseauenmodeNBMA
ModifionslecontexteenremplaantLAN8delexempleprcdentparunrseausansdiffusion,lasimulationat
ralisesousGNS3laideduncommutateurFrameRelay,lesrouteurssontconfigursenmodenonbroadcast
(patientez):
- 45 -
La capture cap_2I_08.pcap, disponible en tlchargement, a t ralise sur linterface serial du DR. On
provoquenouveaulatombedelinterfaceF0/0surR1100,cequicontraintR1100gnrerunenouvelleinstance
desonLSAderouteurpuislmettreversleDRentrame22.Maiscettefois,tousleschangessoprentlaide
depaquetsunicast.LeDRragitdelammefaonquesurunrseaudiffusion,cestdireeninondantleLSAmis
jourlaidedunpaquetLSUpdate.Maiscepaquetestrpliquautantdefoisquilyadeprochesinformer,
danslestrames23,24et25.Riennechangepourlesacquittements,leLSAissudeR1100faittoujourslobjetdun
acquittementimpliciteentrame25.LeLSAissuduDRestacquittexplicitementparleBDRetR1200.
e.Choixdelinstanceconvenable
ToutLSAdbuteparunenttede20octetsquicontientnotammentlesinformationssuffisantespouridentifierle
LSAsansquivoque,cesontlestroischampsLStype,LinkStateIDetAdvertisingRouter.Deplus,puisque
plusieursinstancesdunmmeLSApeuventcoexisterdansledomainedacheminement,ilestncessairedepouvoir
dterminerlinstancelaplusrcente.OSPFutilisepourcefairelestroischampsLSage,LSsequencenumber
etLSchecksum:
Lge dunLSA LSage est exprim en secondes sur 16 bits sans toutefois pouvoir dpasser la valeur
3600(1heure)appelevaleurMaxAge.QuandunrouteurgnreunnouveauLSA,illuiattribuelge0.
Au fur et mesure que le LSA progresse dans laire pendant le processus dinondation, chaque routeur
travers(enralitchaqueinterfacedesortie,cestdirelinterfacequimetleLSArencapsuldansun
nouveau paquet LS Update ) incrmente lge de InfTransDelay secondes. LIOS autorise la
modificationdecettevaleurlaidedelacommandeip ospf transmitdelayenconfigurationdinterface,la
valeur par dfaut est une seconde. Une instance de LSA qui a atteint la limite dge est inonde puis
supprimedelaLSD.
LenumrodesquenceduLSAestexprimenbinairesignsur32bits.Cenestpasunpointfondamental
maistouthasard,uncourtparagrapherappelantlesfondementssurlareprsentationbinairesigneat
plac dans le chapitre Annexes. Quand un routeur gnre un LSA, il lui attribu le premier numro
0x80000001(endcimal2147483647).Puischaquefoisquelerouteurproduitunenouvelleinstancede
ce LSA, il incrmente le numro de squence de 1. La valeur maximale est 0x7FFFFFFF (soit en dcimal
+2147483647).Quedoitfaireunrouteurquandildoitgnrerunenouvelleinstancealorsquelenumrode
squence en cours est 0x7FFFFFFF ? Remarquons dabord que cest un cas trs improbable puisquen
imaginantparexemplequilfaillegnrerunenouvelleinstanceparseconde(toutaussiimprobable),plusde
136annesseraientncessairespouratteindrelavaleurmaximale.Laprocdureprvoitdeffacerdansun
premiertempstouteslesoccurrencesduLSAnumrodesquencemaximaleninondantleLSAdanslequel
lerouteuraprissoinderglerlavaleurAgeMaxAge.UnefoislacquittementdeceLSA(prmaturment
vieilli)reu,lerouteurpeutalorsinonderunLSAnouveauaveclenumrodesquencerglaunumrode
squenceinitial,soit0x80000001.
Lasommedecontrle LSchecksumestcalculeselonlalgorithmedeFletcherdcritdansleRFC1146.
Pour mmoire, lalgorithme classique consiste additionner simplement tous les mots de 16 bits contenus
dans le message dont il faut vrifier lintgrit. Un tel algorithme est incapable de dtecter par exemple
linsertionoulasuppressiondunoctet0,cequesaitfaireenrevanchelalgorithmedeFletcher.Lasomme
de contrle porte sur lensemble du LSA lexclusion du champ ge. En effet, inclure ce champ aurait
contraintrecalculerlasommechaqueincrmentationdelge.Biensr,unLSAvieillitgalementquandil
restedanslaLSD,lIOSmaintientsongejour.
1.Leprocessuscomparelesnumrosdesquence,lenumrodesquencelepluslevestleplusrcent.
2.Silesnumrosdesquencesontidentiques,leprocessuscomparelessommesdecontrle.LeLSAdontlasomme
decontrleestlaplusleveestleLSAleplusrcent(cestarbitrairemaisilfallaitfaireunchoix).
3.Encasdgalitdessommesdecontrle,leprocessuscomparelgedesdiffrentesinstances.Quandlunedes
instancesestdotedungegalMaxAge,elleestconsidrecommelaplusrcente.Danslecascontraire,si
les ges diffrent de plus de 15 minutes ( MaxAgeDiff), le LSA qui est dot de lge le moins lev est le plus
rcent.
4. Si aucune des conditions prcdentes nest ralise, alors lalgorithme considre les instances de LSA comme
tantidentiques.
8.LabasededonnesdtatsdeliensouLSD
Encore une fois, cest bien dune base de donnes topologiques quil sagit. La LSD (Link State Database) contient
lensembledesLSAsgnrsoucollectsparunrouteur.Delafiabilitdesarplicationsurlensembledesrouteurs
duneairedpendlafiabilitdesroutesajoutesentablederoutage.
Comme notre habitude maintenant, nous fonderons les explications qui suivent sur une mise en situation que le
lecteurserainvitreproduiredanslatelierdecechapitre,toujourssousGNS3,lesrouteurschoisissontdes2621,
limageIOSestik9smz.12240a.binchoisiepoursacompacit,48ModeRAMluisuffisent:
Ledomaineatpartagendeuxaires0et8,cedefaonavoiraumoinsunrouteurABRdanslatopologiecarseul
cerouteurgnredesLSAsdetypersum(types3et4,patientez).Demme,ledomaineOSPFnenglobepasLAN9
de faon disposer dun routeur ASBR, le seul gnrer des LSAs externes lAS (Type 5, patientez), de faon
galement offrir un cas o il est ncessaire de redistribuer des routes vers le protocole OSPF. Sur chacun des
routeursatconfigurelinterfacedeloopback0,ladresseIPattribueest1.0.0.XquandlerouteurestnommRX.
CestunefaonpourladministrateurdematriserleRIDattribuchaquerouteur(leRIDdeR11est1.0.0.11...)et
parsuitedeprvoirlersultatdellectiondesrouteursdsigns.
Les rseaux LAN1, LAN8 et LAN16 sont tous trois diffusion et ont t le thtre dune lection DR, BDR. Les
interfacesluesDRsontf0/1deR12pourLAN8,f0/1deR16pourLAN1etf0/1deR22pourLAN16.Seulslesrouteurs
dontaumoinsuneinterfaceestlueDRgnrentdesLSAsdetyperseau(type2,patientez).Lafigureprcdente
inventorielestypesdeLSAsgnrsparchacundesrouteurs.
Il est possible dobserver le contenu de la LSD laide dune commande show ip ospf database. Linformation
propose est condense, seuls les enttes de LSAs sont affichs. Observez la capture suivante. Sans avoir la
topologiesouslesyeux,ilestpossiblededduirequeledomaineOSPFatdivisendeuxairesoudavantageet
quelerouteurR8estunABR.Eneffet,unepartiedesLSAsappartientlaire0,lautre partie appartient laire8.
InventoriezlesdiffrentstypesdeLSAscontenusdanschaqueaire:
- 47 -
ADV Router
1.0.0.8
1.0.0.9
1.0.0.16
1.0.0.21
1.0.0.22
Age
1160
1167
1161
1184
1183
Seq#
0x80000003
0x80000002
0x80000006
0x80000002
0x80000002
Checksum
0x00BFA2
0x00161A
0x0007D4
0x00A3D2
0x00B6BB
Link count
5
2
4
2
2
ADV Router
1.0.0.16
1.0.0.22
Age
1171
1184
Seq#
Checksum
0x80000001 0x002BC8
0x80000001 0x00644C
ADV Router
1.0.0.8
1.0.0.8
1.0.0.8
Age
1135
1141
1141
Seq#
0x80000003
0x80000001
0x80000001
Checksum
0x007BA3
0x0068B4
0x005DBE
Seq#
0x80000002
0x80000002
0x80000002
Checksum
0x00A442
0x00CFE8
0x00E2D1
ADV Router
1.0.0.8
1.0.0.11
1.0.0.12
Age
1147
1147
1147
Link count
1
2
2
ADV Router
1.0.0.12
Age
1148
Seq#
Checksum
0x80000001 0x00D315
ADV Router
1.0.0.8
1.0.0.8
1.0.0.8
1.0.0.8
1.0.0.8
1.0.0.8
Age
1156
1172
1162
1162
1162
1172
Seq#
0x80000003
0x80000001
0x80000001
0x80000001
0x80000001
0x80000001
Checksum
0x00C85D
0x00F215
0x0031E6
0x00040E
0x00F818
0x00F3D7
ADV Router
1.0.0.8
Age
1162
Seq#
Checksum
0x80000001 0x0016F2
ADV Router
1.0.0.9
1.0.0.9
Age
1169
1169
Seq#
Checksum Tag
0x80000001 0x003768 0
0x80000001 0x00E2ED 0
UnvritablerouteurenproductionauraitsrementunelistedeLSAsbienplustenduequecelledenotremodeste
mise en situation. Il peut tre utile dans ce cas dentrer la commandeshow ip ospf database databasesummary,
commandequifournitunrsumducondensprcdent:
R8#show ip ospf database database-summary
OSPF Router with ID (1.0.0.8) (Process ID 1)
Area 0 database summary
- 48 -
LSA Type
Router
Network
Summary Net
Summary ASBR
Type-7 Ext
Opaque Link
Opaque Area
Subtotal
Count
5
2
3
0
0
0
0
10
Delete
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
a.RafrachissementdesLSAs
CommeprcislasectionChoixdelinstanceconvenable,unLSAnataveclge0puisvieillit,soitquandiltransite
paruneinterfacedesortie,soitaufuretmesurequilrsidedanslaLSD.UnLSAquiatteintlalimitedgenest
pasutilisdanslecalculdelatablederoutage.UnrouteurquiporteunLSAdontlgeatteintlalimite,tentedele
supprimer de laire OSPF en linondant comme sil sagissait dune nouvelle instance de LSA. Comme pour toute
nouvelle instance, le LSA est galement copi dans la Link State Retransmission List de chaque interface
concerne.LeLSAestpurgdunelisteunefoislacquittementreusurlinterfaceconcerne.Siaucundesvoisins
nest dans ltat Exchange ou Loading , un LSA de MaxAge est supprim de la LSD quand il nest plus
contenudansaucunedeslistesLinkStateRetransmissionList.
Enpratique,saufaccident(disparitiondurouteurquiagnrceLSA),lgedunLSAnedevraitpasatteindrelge
limite.LeRFC2328inventoriedixvnementssusceptiblesdeprovoquerlagnrationdunenouvelleinstancede
LSA.RappelonsquequandunrouteurgnreunenouvelleinstancedesonLSAoudelundesesLSAs,lenumro
desquenceduLSAestincrmentde1etlgeduLSAremis0.Laplacemanquepourpasserenrevuecesdix
vnements,citonsquandmme:
LechangementdtatduneinterfacequincessitedeproduireunenouvelleinstancedeLSAderouteur.
UnchangementderouteurdsignDRsurlerseauderattachementquincessitegalementdeproduire
unenouvelleinstancedeLSAderouteur.Deplus,sicerouteurestluDR,ildoitproduireunnouveauLSAde
rseau.SicerouteurtaitDRetnelestplus,leLSAderseauquilagnrparlepassdoittresupprim
desLSDsdelaire.
LechampLSagedelundesLSAsatteintlavaleurLSRefreshTime(30minutes).Danscecas,quelque
soit le contenu du LSA modifi ou pas (cest le seul vnement parmi les dix inventoris imposer une
nouvellegnrationquelecontenuduLSAaitchangoupas),lerouteurloriginedelacrationdeceLSA
doitgnrerunenouvelleinstancedesonLSA.
CedernierlmentestcapitalcarilsignifiequelesLSAssontrafrachiesdefaonpriodiqueetsystmatique,cequi
ajoutelarobustesseduprotocole.Eneffet,lesLSAsdoiventtremaintenusenviepourresterdanslesLSDs.Un
LSA oubli finirait par disparatre, atteint par la limite dge. Un LSA corrompu est finalement remplac par le
rafrachissementsuivant.
- 49 -
Lautre intrt dassocier de faon individuelle un ge chaque LSA est que prcisment, chaque LSA vit sa vie.
Imaginez un instant que tous les LSA soient rafrachis en mme temps, il sen suivrait un processus dinondation
globalquincessiteraitponctuellementuntraficdacheminementpeuttretrsconsommateurdebandepassante
etdoncmmedecompromettreletraficutile.Aulieudecela,unLSAestrgnrpuisinondpuisunautreou
deuxouaucunetainsidesuite,sibienquedefaonglobale,letraficdacheminementestrparti(liss)defaon
suffisammentalatoiredansletemps.
Mais le mieux tant lennemi du bien, on en vient regretter que ce trafic soit si miett car chaque nouvelle
instancedeLSAinondepeutncessiterdtretransporteparunpaquetLSUpdate(unpaquetparsaut,donc
autantdepaquetsquedesautsfranchirdanslerseaulogiqueconstituparlesrelationsdeproximit).Labande
passante est plus efficacement consomme quand un paquetLS Update (lavoitureBreak)embarqueplusieurs
LSAs. Comment faire pour raliser un compromis entre un temporisateur unique (les LSAs sont tous rafrachis en
mmetemps)etuntemporisateurindividuelparLSA?
Rflchissonsnouveauavecnotreparaboledelavoiturebreaketdesautostoppeurs.Unpremierautostoppeur
estmontdanslavoiture.Pourtant,lechauffeurdcidmenttrscomprhensif,dcidedediffrerunpeusondpart
car il reste des places libres dans le vhicule dont pourraient peuttre profiter dautres autostoppeurs, la
conditionquilsnetardentpastropsemanifester.
Cest la solution propose par lIOS CISCO partir de la version 11.3AA et nomme pacing lsagroup .Avec ce
mcanisme,lestemporisateursassocischaqueLSAsontbienindividuelsmaisilsnesontrafrachisquetousles
pacinglsagroupsecondes,240secondespardfaut.Sibienquequandcetemporisateurexpire,touslesLSAsqui
doiventfairelobjetdunenouvelleinstance(cestdiretousceuxdontlge+4minutesdpasseLSRefreshTime
)peuventtregroupsavantdtreinonds.Lacommandetimerspacinglsagroupxenmodedeconfiguration
globaletablitletemporisateurpacinglsagroupxsecondes,xdoittrecomprisentre10et1800secondes.
b.LesdiffrentstypesdeLSA
Type
Description
Inonddans...
RouterLSA,LSAderouteur
Aire
NetworkLSA,LSAderseau
Aire
SummaryNetLSA,LSArsumderseau
Aire
SummaryASBRLSA,LSArsumASBR
Aire
ASexternalLSA,LSAexternelAS
DomaineOSPFdanssonentier
DautrestypesexistenthorsRFC2328etquidpassentlecadredecetteprsentation,ilsneserontquvoqus.
LSAderouteur(RouterLSA)
CestcertainementleLSAleplusimportantpuisquilestgnrparchacundesrouteurscommelattestelersultat
delacommandeshowipospfdatabase.LeLSAderouteurestinondsurlensembledesrouteursdelairedontil
estissu.IlestpossiblededemandernevisualiserquelesLSAderouteurlaidedelacommandeshowipospf
database router, voire de demander le dtail dun LSA laide de la commande show ip ospf database router
#LSID.DanslecasdunLSAderouteur,LSIDestenfaitleRIDdurouteurquiagnrleLSA.
- 50 -
ObservezlesdeuxLSAsderouteurgnrsparlABRR8,lunestinonddanslaire0etcomportecinqliens,lautre
estinonddanslaire8etnecomportequunlien.Danslaire0,leLSAadjfaitlobjetdesixinstances,ladernire
remonteunpeuplusde31minutes:
R8#sh ip ospf database router 1.0.0.8
OSPF Router with ID (1.0.0.8) (Process ID 1)
Router Link States (Area 0)
LS age: 1890
Options: (No TOS-capability, DC)
LS Type: Router Links
Link State ID: 1.0.0.8
Advertising Router: 1.0.0.8
LS Seq Number: 80000006
Checksum: 0xB9A5
Length: 84
Area Border Router
Number of Links: 5
Link connected to: another Router (point-to-point)
(Link ID) Neighboring Router ID: 1.0.0.9
(Link Data) Router Interface address: 192.168.1.226
Number of TOS metrics: 0
TOS 0 Metrics: 1562
Link connected to: a Stub Network
(Link ID) Network/subnet number: 192.168.1.224
(Link Data) Network Mask: 255.255.255.252
Number of TOS metrics: 0
TOS 0 Metrics: 1562
Link connected to: another Router (point-to-point)
(Link ID) Neighboring Router ID: 1.0.0.16
(Link Data) Router Interface address: 10.0.2.8
Number of TOS metrics: 0
TOS 0 Metrics: 1562
Link connected to: a Stub Network
(Link ID) Network/subnet number: 10.0.2.0
(Link Data) Network Mask: 255.255.255.0
Number of TOS metrics: 0
- 51 -
Ladministrateur peut visualiser lensemble des LSAs de rseau laide de la commande show ip ospf database
network:
R8#show ip ospf database network
OSPF Router with ID (1.0.0.8) (Process ID 1)
Net Link States (Area 0)
Routing Bit Set on this LSA
LS age: 40
Options: (No TOS-capability, DC)
LS Type: Network Links
Link State ID: 10.0.1.16 (address of Designated Router)
Advertising Router: 1.0.0.16
LS Seq Number: 80000001
Checksum: 0x2BC8
- 52 -
Length: 32
Network Mask: /24
Attached Router: 1.0.0.16
Attached Router: 1.0.0.8
Routing Bit Set on this LSA
LS age: 64
Options: (No TOS-capability, DC)
LS Type: Network Links
Link State ID: 10.0.16.22 (address of Designated Router)
Advertising Router: 1.0.0.22
LS Seq Number: 80000002
Checksum: 0x624D
Length: 36
Network Mask: /24
Attached Router: 1.0.0.22
Attached Router: 1.0.0.16
Attached Router: 1.0.0.21
Net Link States (Area 8)
Routing Bit Set on this LSA
LS age: 41
Options: (No TOS-capability, DC)
LS Type: Network Links
Link State ID: 10.0.8.12 (address of Designated Router)
Advertising Router: 1.0.0.12
LS Seq Number: 80000002
Checksum: 0xD116
Length: 36
Network Mask: /24
Attached Router: 1.0.0.12
Attached Router: 1.0.0.8
Attached Router: 1.0.0.11
nouveau,puisqueR8estunABR,ilcontientlesLSAsderseaudelaire0etdelaire8.Observezquelidentifiant
LinkStateIDdunLSAderseaunestautrequeladresseIPdelinterfaceduDRsurlerseauderattachement.
LSArsumderseau(SummaryNetLSA)
SeulunABRpeutgnrerunLSArsumderseau.IlgnreuntelLSApourchaquedestinationaccessibleparlui
endehorsdelaire.Ainsi,R8dansnotreatelierOSPFgnretroisLSArsumsderseaupourannoncerdanslaire
0lestroisdestinationsquilconnatdanslaire8,savoirlesrseaux10.0.8.0/24,10.0.11.0/24et10.0.12.0/24.De
la mme faon, il gnre six LSA rsums de rseau pour annoncer dans laire 8 les six destinations quil connat
dans laire 0, savoir les rseaux 10.0.1.0/24, 10.0.2.0/24, 10.0.16.0/24, 10.0.21.0/24, 10.0.22.0/24 et
192.168.1.224/30.
- 53 -
Ladministrateur peut visualiser lensemble des LSAs rsums de rseau laide de la commande show ip ospf
databasesummary.Danslacapturecidessous,laLSDdelaire0comportetroisLSArsumsderseautoustrois
gnrsparlABRR8.
R16#show ip ospf database summary
OSPF Router with ID (1.0.0.16) (Process ID 1)
Summary Net Link States (Area 0)
Routing Bit Set on this LSA
LS age: 738
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(Network)
Link State ID: 10.0.8.0 (summary Network Number)
Advertising Router: 1.0.0.8
LS Seq Number: 80000001
Checksum: 0x7FA1
Length: 28
Network Mask: /24
TOS: 0 Metric: 1
Routing Bit Set on this LSA
LS age: 738
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(Network)
Link State ID: 10.0.11.0 (summary Network Number)
Advertising Router: 1.0.0.8
LS Seq Number: 80000001
Checksum: 0x68B4
Length: 28
Network Mask: /24
TOS: 0 Metric: 2
Routing Bit Set on this LSA
LS age: 739
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(Network)
Link State ID: 10.0.12.0 (summary Network Number)
Advertising Router: 1.0.0.8
LS Seq Number: 80000001
Checksum: 0x5DBE
- 54 -
Length: 28
Network Mask: /24
TOS: 0 Metric: 2
Dans la capture cidessous,laLSDcomporteparmidautres un LSA rsum de rseau qui annonce une route par
dfautvialABR.CeLSAdoitsonexistenceaufaitquelaconfigurationdelaire8atmodifiepourenfaireune
zonedebout(area8stubenconfigurationderouteurOSPFsurchacundestroisrouteursR8,R11etR12):
R11#sh ip ospf database summary
OSPF Router with ID (1.0.0.11) (Process ID 1)
Summary Net Link States (Area 8)
Routing Bit Set on this LSA
LS age: 119
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(Network)
Link State ID: 0.0.0.0 (summary Network Number)
Advertising Router: 1.0.0.8
LS Seq Number: 80000001
Checksum: 0x78BC
Length: 28
Network Mask: /0
TOS: 0 Metric: 1
......... 6 autres LSA suivent .........
Link State ID: 10.0.1.0 (summary Network Number)
Link State ID: 10.0.2.0 (summary Network Number)
Link State ID: 10.0.16.0 (summary Network Number)
Link State ID: 10.0.21.0 (summary Network Number)
Link State ID: 10.0.22.0 (summary Network Number)
Link State ID: 192.168.1.224 (summary Network Number)
Observezquechaquedestinationannonceestassocieuncot.SilABRconnatunemmedestinationviadeux
routesdiffrentes,ilnannonceladestinationuneseulefoisassocieaumeilleurcot.
Quandunrouteur(R11parexemple)reoitunLSArsumderseaudunABR(R8),ilinclutladestinationannonce
danssatablederoutagevialABR.LecotdelarouteajouteestlasommeducotannoncdansleLSArsumet
du cot pour atteindre lABR. En poursuivant lexemple, le LSA rsum identifi 10.0.16.0 a t annonc par lABR
avecuncotde2.R11saitjoindreR8avecuncotde1,R11ajouteuneroutevers10.0.16.0vialABRaucotde3:
R11#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is 10.0.8.8 to network 0.0.0.0
.........
O IA
10.0.16.0 [110/3] via 10.0.8.8, 01:24:40, FastEthernet0/1
.........
O*IA 0.0.0.0/0 [110/2] via 10.0.8.8, 01:24:41, FastEthernet0/1
Observez la mention IA ajoute la route qui rappelle quil sagit dun routeur interaires. Il est amusant de
constaterquecefaisant,OSPFadopteuncomportementdetypevecteurdedistance.Lecomportementtatsde
liensduprotocoleOSPFestconfinauxaires.
LSArsumASBR(SummaryASBRLSA)
LeLSArsumASBRestidentiqueauLSArsumderseauceciprsquilannonceunrouteurASBRetnonune
destination.NotrecontextedatelierneconnatquunseulrouteurASBRannoncparlABR dans laire8laidedu
LSAidentifi1.0.0.9:
- 55 -
Ladministrateur peut visualiser les LSAs rsums ASBR laide dune commande show ip ospf database asbr
summary:
R8#show ip ospf database asbr-summary
OSPF Router with ID (1.0.0.8) (Process ID 1)
Summary ASB Link States (Area 8)
LS age: 171
Options: (No TOS-capability, DC, Upward)
LS Type: Summary Links(AS Boundary Router)
Link State ID: 1.0.0.9 (AS Boundary Router address)
Advertising Router: 1.0.0.8
LS Seq Number: 80000001
Checksum: 0x16F2
Length: 28
Network Mask: /0
TOS: 0 Metric: 1562
ObservezquelechampLinkStateIDidentifiecettefoislerouteurASBR.Observezgalementquelemasquede
rseaureste0.
LSAexternelAS(ASexternalLSA)
SeulunrouteurASBRpeutgnrerunLSAexternelAS.IllefaitpourannoncersoitunedestinationexternelAS,
soituneroutepardfautexternelAS.UnLSAexternelASestinonddanslintgralitdusystmeautonome,
cestleseulLSAparmilescinqdcritstredanscecas.
LacommandeshowipospfdatabaseexternalaffichelesLSAsexterneslAS:
- 56 -
advrouter:permetdenafficherquelesLSAsgnrsparunrouteurspcifi.
selforiginate:permetdenafficherquelesLSAsgnrsparcerouteur.
Lesmotsclsnssa (Notsostubby)etopaqueenrevanchefontrfrencedestypesdeLSAs.Certainstypesne
sontpassupportsparCISCOetmanquentdonclappel.Aumomentoceslignessontcrites,ilfautajouterla
listedescinqtypesdeLSAsdjdcrits,lestypessuivants:
GroupMembershipLSA(Type6)
ExtensiondOSPFconnuesouslenomdeMOSPF(MulticastOSPF),objetduRFC1584.ParcequeMOSPFncessiteun
algorithmeSPFpararbreougroupemulticast,ilyaunrisquepourquunrouteurquisupporteraitcetteextension
doivefairefonctionnerdescentainesoumilliersdeprocessusOSPF.Aumieux,MOSPFfonctionneraitavecquelques
groupes multicast. Cest pourquoi CISCO a choisi de ne pas limplmenter et a prfr poursuivre la voie des
protocolesPIM(ProtocolIndependentMulticast).PIMprsentelavantagedenepasinduiresapropretopologiemais
deseservirdesroutesapprisesparlesprotocolesderoutageconnus.Inutiledallerplusloindonc...
NSSAExternalLSA(Type7)
- 57 -
Le LSA de type 7 est identique au type 5, il ne peut tre gnr que par un routeur ASBR, ceci prs quil nest
inond que dans laire NSSA. Dautres dtails sont fournis dans la section Laire NSSA. Laire OSPF NSSA (NotSo
Stubby)estdcritedansleRFC3101.
ExternalAttributeLSA(Type8)
Lobjet du LSA de type 8 est de transporter de linformation BGP (protocole de routage utilis entre systmes
autonomes)autraversdundomaineOSPF.Aumomentoceslignessontcrites,letype8napastdcritdans
unRFCetnadoncpastimplment.
OpaqueLSA(Types9,10et11)
CesLSAssontdcritsdansleRFC5250.IlsagitdetransporterdansdesLSAsdelinformationspcifiquecertaines
applications,parexempleMPLS(MultiProtocolLabelSwitching).Lestroistypesnediffrentqueparleurporte:
Type 9 : porte limite au lien local (Link Local Scope),cestdire lensemble des interfaces directement
connectesoucommeonvoudraaurseauousousrseau.
Type10:portetenduelaire.
Type11:portetenduetoutlesystmeautonome.
Casparticulierdesairesdebout
Raisonnons nouveau sur latelier 9a. On observe que toute route externe apprise par lASBR est inonde dans
laire8alorsmmequecetteaireneprsentequuneseuleroutedesortievialABR.Danslavraievie,laquantitde
LSAsexterneslASpeutreprsenterunepartimportantedesLSAsprsentsenLSD.
Fairedelaire8uneairedebout(stubarea)offrelemoyenderemplacerlensembledecesLSAsexternesparune
simpleroutepardfautannonceparlerouteurABRlaidedunLSArsumderseau(type3).Parailleurs,un
routeurquiveutexploiterunerouteexternelASabesoinduLSAexternelAS(type5)maisagalementbesoin
duLSArsumASBR(type4)pourtrouverlarouteverslASBR.EnsupprimantlinondationdesLSAsdetype5,on
peut galement supprimer les LSAs de type 4, ils ne sont plus ncessaires. Dans laire de bout, tout paquet mis
versunedestinationpourlaquelleunrouteurdelairenetrouvepasderouteniparmilesroutesintraaireniparmi
lesroutesinterairesestacheminsurlaroutepardfaut.
LaLSDduneairedeboutnecontientniLSAexternelAS,niLSArsumASBR.Ceciprservelammoire
des routeurs de laire. Ce peut tre une solution pour retarder lachat de mmoire supplmentaire voire
diffrerleremplacementdesquipements.
Cetavantageaunprix,uneairedeboutimposelescontraintessuivantes:
Touslesrouteursduneairedeboutdoiventtreconfigursentantquetel.Ainsipourlaire8,ilfaudraiten
configurationderouteurOSPF,ajouterlacommande area8stubsurchacundestroisrouteursR8,R11et
R12.Ceciapoureffetdemettre0lebitE(External)danslechampOptionsdumessageHello(voirFormat
desmessagesOSPFLemessageHelloplusloindanscechapitre).OrcebitEdoittreidentiquedansles
messagesHelloissusdedeuxrouteurspourquelarelationdeproximitpuisseseconstruire.Enfinal,leffet
decetteconfigurationestdinterdireltablissementdunerelationdeproximitentreunrouteurstubet
unrouteurquinelestpas.
Ilestimpossibledtablirunlienvirtuelsuruneairedebout(logique,elleneseraitplusaubout!).
UnrouteurstubnepeuttreASBR.Eneffet,unASBRannoncedesLSAsdetype5etcetypeestinterdit
dansuneairedebout.
Rien ninterdit larchitecte de doter laire de bout de plusieurs ABRs mais dans ce cas, rien ne dit quun
routeurdelaireferalechoixoptimalquandilfaudraacheminerunpaquetverslextrieur.
Casparticulierdesairestotalementdebout
Il sagit dtendre encore le concept de laire de bout en supprimant galement les LSAs rsums de rseau. La
consquenceestquelesrouteursduneairetotalementdeboutnepeuventplusapprendrederoutesinteraires.
ToutpaquetdontladestinationestexternelaireestacheminsurlaroutepardfautdonctransmislABR.Le
seulLSAdetype3encoreautorissuruneairetotalementdeboutestceluiannonantlaroutepardfaut.
- 58 -
LaireNSSA
LaireNSSA,dcritedansleRFC3101,estuneextensiondelairedebout.Silaplupartdesrestrictionsimposespar
uneaireconfigureenairedeboutsontacceptables,ilarrivequunarchitectesouhaiteimporterunepetitequantit
dinformationsderoutageexternesdanslairepourensuitedistribuercetteinformationaurestedudomaineOSPF.
Appuyonsnotrerflexionsurlafiguresuivante:
Danscetexemple,larchitectesouhaiteimporterlesroutesdunpetitdomaineRIPquijouxtelairedebout8.Maisla
taille du domaine RIP ne justifie pas de ractiver le support des LSAs externes lAS dans laire 8 et de plus, les
routeurs de cette aire ne disposent pas de capacits suffisantes pour le faire (manque de mmoire, trop de LSAs
externeslASissusdelairebackbone).
LaireNSSAoffrelasolutionenpermettantauxroutesissuesdudomaineRIPdtreannonceslaidedeNSSA
External LSA. Ce LSA de type 7 est identique au LSA de type 5, il a galement pour rle dannoncer des routes
externeslASmaisildiffreenunpoint:saporteestlimitelaireNSSA,ilestbloquparlABRetnestdoncpas
inonddanslerestedudomaineOSPF.
Danslatopologiecidessus,laire8devenueaireNSSAfaitdeR11unrouteurNSSAASBR,cerouteurgnreles
LSAsdetype7.Ilpeutenoutredciderdemettre1oupaslebitP(Propagate)contenudanslechampOptions
delentteLSA.Quandillefait,lerouteurABRsaitquildoitconvertirlesLSAsdetype7enLSAsdetype5afinde
lesinonderdanslerestedudomaineOSPF.
9.Remplissagedelatablederoutage
Souvenonsnous que la mtrique dOSPF est fonde sur une notion de cot. La structure de donnes associe
chaque interface comporte entre autres un cot rsultat du calcul 108 /Bandwidth. Le cot dune route est le cot
cumuldechaqueinterfacedesortiequifaitprogresserletraficsurcetteroute.
Ladministrateurpeutinfluersurlecotduneinterfacededeuxfaonsdiffrentes:
En ajustant la bande passante de linterface une valeur relle ou dclare laide de la commande
bandwidthenconfigurationdinterface.
Enrglantdirectementlecotlaidedelacommandeipospfcost,galementenconfigurationdinterface.
R11(config)#intf0/1
R11(configif)#ipospfcost?
<165535>Cost
R11(configif)#bandwidth?
<110000000>Bandwidthinkilobits
LechampmetricduLSAderouteurestexprimsur16bits,lecotdelinterfacedoitdonctrecomprisentre1et
65535.Enrevanche,leRFC2328nelimitepaslecotduneroute(comprhensiblecarcecotnestpastransport
parlespaquetsOSPF).
LetableausuivantnumrelesdbitslesplusfrquemmentrencontrsetlecotOSPFcorrespondant:
- 59 -
Dbit
Cot(108/Bandwidth)
1Gbps
100Mbps
HSSI(HighSpeedSerialInterface)
45Mbps
TokenRing16
16Mbps
Ethernethistorique
10Mbps
10
1,544Mbps
64
64Kbps
1562
56Kbps
1785
Interface
EthernetGigabit
FDDI,FastEthernet
T1(24canaux8bits=192bits+1bitdeframe,
letout8000foisparseconde)
DS0(DigitalSignal0)ouE0
Hlas, seules les interfaces LAN des routeurs CISCO sont automatiquement configures avec la bande passante
convenable.LesinterfacesWANnepeuventpasltrecarledbitestenralitcadencparlhorlogefournieparle
botier ETCD ou CSU/DSU. LIOS ntablit aucune corrlation entre le dbit physique, cadenc par lquipement de
terminaison de circuit de donnes et le paramtre bandwidth de la configuration dinterface. Par dfaut, lIOS
considre que linterface serial est connecte un canal T1 de dbit 1,544 Mbps (dcidment, CISCO est
amricain!).Parvoiedeconsquence,OSPFassocielinterfaceuncotde1562.Cestdoncladministrateurquil
revient de rtablir la vraie bande passante des liens WAN sil souhaite quOSPF droule lalgorithme SPF avec des
cotsrels.
a.Classificationdesdestinations
Nous sommes bien entrans lutilisation de la table de routage mais ladministrateur sait moins quen fait OSPF
alimentedeuxtablesderoutage,luneregroupelesdestinationsverslesrseaux,cestellequenousobservons
laidedelacommandeshowiproute,lautreregroupelesrouteursABRetASBRetpeuttreobservelaidedela
commandeshowipospfborderrouters.
Toujoursdanslecontextedelatelier9a,lesdestinationsverslesrseaux:
R11#shiproute
Codes:Cconnected,Sstatic,IIGRP,RRIP,Mmobile,BBGP
DEIGRP,EXEIGRPexternal,O - OSPF,IA - OSPF inter area
N1OSPFNSSAexternaltype1,N2OSPFNSSAexternaltype2
E1OSPFexternaltype1,E2 - OSPF external type 2,EEGP
iISIS,suISISsummary,L1ISISlevel1,L2ISISlevel2
iaISISinterarea,*candidatedefault,Uperuserstaticroute
oODR,Pperiodicdownloadedstaticroute
Gatewayoflastresortisnotset
1.0.0.0/8isvariablysubnetted,2subnets,2masks
O E2
1.0.0.0/24 [110/10] via 10.0.8.8, 00:00:49, FastEthernet0/1
C1.0.0.11/32isdirectlyconnected,Loopback0
172.26.0.0/24issubnetted,1subnets
OE2172.26.9.0[110/10]via10.0.8.8,00:00:49,FastEthernet0/1
10.0.0.0/24issubnetted,8subnets
C10.0.11.0isdirectlyconnected,FastEthernet0/0
C10.0.8.0isdirectlyconnected,FastEthernet0/1
O10.0.12.0[110/2]via10.0.8.12,00:00:49,FastEthernet0/1
OIA10.0.2.0[110/1563]via10.0.8.8,00:00:49,FastEthernet0/1
OIA10.0.1.0[110/2]via10.0.8.8,00:00:49,FastEthernet0/1
OIA10.0.16.0[110/3]via10.0.8.8,00:00:49,FastEthernet0/1
OIA10.0.22.0[110/4]via10.0.8.8,00:00:49,FastEthernet0/1
OIA10.0.21.0[110/4]via10.0.8.8,00:00:50,FastEthernet0/1
192.168.1.0/30issubnetted,1subnets
OIA192.168.1.224[110/1563]via10.0.8.8,00:00:50,FastEthernet0/1
R11#
- 60 -
LesrouteursABRetASBR:
R11#shipospfborderrouters
OSPFProcess1internalRoutingTable
Codes:iIntraarearoute,IInterarearoute
I1.0.0.9[1563]via10.0.8.8,FastEthernet0/1,ASBR,Area8,SPF3
i1.0.0.8[1]via10.0.8.8,FastEthernet0/1,ABR,Area8,SPF3
R11#
Danscettesecondetable,observezquelesdestinationsnepointentpasversdesrseauxmaisversdesrouteurs
identifisparleurRID.Hormiscettediffrence,onabienaffairedesroutesdotesdunemtrique,duneadresse
deprochainsautetduneinterfacedesortie.LesrouteursABRsonttaguslaidedelalettreminusculei,les
routeursASBRlesontlaidedelalettremajusculeI.
b.Classificationdesroutes
Ilestpossibledeclasserlesroutesenquatrefamilles:
Une route intraaire mne un rseau situ dans laire et donc connecte lun des routeurs de laire.
ExempledanslatablederoutagedeR11objetdelacaptureprcdente:
10.0.12.0 [110/2] via 10.0.8.12, 00:00:49, FastEthernet0/1
O IA
Unerouteinterairemneunrseausituendehorsdelairemaislintrieurdusystmeautonome.Une
telleroutetransitencessairementparunABR.LarouteesttagueIAdanslacapture,exemple:
10.0.22.0 [110/4] via 10.0.8.8, 00:00:49, FastEthernet0/1
Unerouteexternedetype1mneunedestinationsitueendehorsdusystmeautonome.QuandlASBR
annoncecettedestination,ildoitenoutreluiassocieruncotcohrentpourledomaineOSPF.QuandlASBR
annonceunedestinationdetype1,unrouteurquireoitleLSAajouteladestinationsatablederoutage
enluiassociantuncotgallasommeducotannoncdansleLSAetducotpouratteindrelASBR.
Unerouteexternedetype2mnegalementunedestinationendehorsduSAmaislerouteurquireoitle
LSAdelASBRajouteladestinationsatablederoutageenluiassociantlecotannoncetdoncsanstenir
compteducotpouratteindrelASBR.
Plaonsnousencoredanslecontextedelatelier9a.LadministrateuraconfigursurR9laredistributiondesroutes
directementconnectes:
R9(config)#routerospf1
R9(configrouter)#redistributeconnectedmetric10
LIOSCISCOannoncepardfautlesroutesexternesentype2.Puisqueladministrateuraappliquuncotde10
touterouteconnecteredistribue,onlitdanslatablederoutagedeR11,lentresuivante:
OE2172.26.9.0[110/10]via10.0.8.8,00:00:49,FastEthernet0/1
Observezquelecotdelarouteestrestfix10,larouteesttagueE2.Ladministrateursouhaitebasculer
versletype1,ilmodifiepourcefairelaconfigurationdelASBR:
R9(config)#routerospf1
R9(configrouter)#redistributeconnectedmetric10?
metricMetricforredistributedroutes
metrictypeOSPF/ISISexteriormetrictypeforredistributedroutes
routemapRoutemapreference
subnetsConsidersubnetsforredistributionintoOSPF
tagSettagforroutesredistributedintoOSPF
<cr>
R9(configrouter)#redistributeconnectedmetric10metrictype?
- 61 -
1SetOSPFExternalType1metrics
2SetOSPFExternalType2metrics
R9(configrouter)#redistributeconnectedmetric10metrictype1subnets
R9(configrouter)#^Z
R9#
ImmdiatementaprslamodificationapporteR9,ladministrateurrevientR11:
R11#shiproute
.........
OE1172.26.9.0[110/1573]via10.0.8.8,00:05:57,FastEthernet0/1
.........
LadministrateurconstatesatisfaitquelarouteestcettefoistagueE1etquelecotassociestbienceluipour
rejoindre lASBR, soit 1563 (vrifier dans le rsultat de la commandeshow ip ospf borderrouters) additionn du
cot10affectlarouteredistribue.
c.larecherchedelameilleureroute
Toutes les routes nont pas le mme degr dacuit. Vous tes Bruxelles et vous allez Marseille. Au premier
croisement, deux routes se prsentent : le panneau indicateur de la premire indique Toutes directions , le
panneau de la seconde indique Marseille. Voustesintrigumaisvouschoisissezlaseconde.Ainsi,lerseau
10.0.22.0/24englobelamachine10.0.22.2maislerseau10.0.16.0/21englobelerseau10.0.22.0/24etdoncla
machine10.0.22.2.Danssatablederoutage,pourladressededestination10.0.22.2,lerouteurprfreralaroute
laplusspcifique10.0.22.0/24laroutelaplusgnrale10.0.16.0/21:
Pourtrouverlaroutelaplusspcifique,leprocessusderoutageutiliselalgorithmederecherchedecorrespondance
deprfixelapluslongue(LongestMatchbasedForwardingAlgorithm).
Sitouteslesrecherchesprcdentesontchou,leprocessusderoutageutiliselaroutepardfautsielleexiste.
Enfin, pour le cas ultime o le processus de routage na pas trouv de route et ne dispose pas dune route par
dfaut,ledatagrammeestsupprim(dropped ,cestlactionPoubelle)etlerouteurgnreunmessageICMP
DestinationHostUnreachabledestinalerterlmetteurdudatagrammesupprim.
d.Partagedecharge(Loadbalancing)
- 62 -
ChaquefoisquelalgorithmeSPFestexcut,ilplacelesroutesaumeilleurcotdanslatablederoutage.Siune
destinationprexistaitetquelalgorithmedcouvreunerouteunmeilleurcot,cetteroutesesubstituelaroute
moinsfavorable.Quandlalgorithmedcouvreplusieursroutesdecotsidentiques,alorsilpeutlesplacerensemble
danslatablederoutage,cejusquconcurrencede16routes,quoiquelIOSlimite4lenombrederoutescot
galpardfaut.Quantaunombrede16maximal,ilestprendreavecprcautionetdpenddelaplateformeainsi
quedelaversiondIOS,ilestprfrabledevrifiercenombreaveclaideenlignedecommande:
R8(config)#routerospf1
R8(configrouter)#maximumpaths?
<16>Numberofpaths
Ainsi,surlaversiondIOSencoursdansnotreatelier9a,lenombrederoutescotgalnepeutdpasser6.La
faondontlIOSexploiteensuitecesroutesestindpendanteduprotocoleOSPFetadjtexplicite,lelecteur
pourrasereporterauxsectionsPartagedechargeparpaquetetPartagedechargepardestinationdanslechapitre
Leroutagestatique.nouveaudansnotrecontextefavori,ladministrateuraconfigurlecotdelinterfaceS0/1sur
R81afinquelesdeuxroutesquisparentR8etR16aientcotgal.Observezlaprsencededeuxroutespour
lesdestinations10.0.16.0,10.0.22.0et10.0.21.0:
R8(config)#ints0/1
R8(configif)#ipospfcost1
R8(configif)#^Z
R8#shiproute
.........
1.0.0.0/8isvariablysubnetted,2subnets,2masks
OE11.0.0.0/24[110/1572]via192.168.1.225,00:00:39,Serial0/0
C1.0.0.8/32isdirectlyconnected,Loopback0
172.26.0.0/24issubnetted,1subnets
OE1172.26.9.0[110/1572]via192.168.1.225,00:00:39,Serial0/0
10.0.0.0/24issubnetted,8subnets
O10.0.11.0[110/2]via10.0.8.11,01:15:08,FastEthernet0/0
C10.0.8.0isdirectlyconnected,FastEthernet0/0
O10.0.12.0[110/2]via10.0.8.12,01:15:08,FastEthernet0/0
C10.0.2.0isdirectlyconnected,Serial0/1
C10.0.1.0isdirectlyconnected,FastEthernet0/1
O
10.0.16.0 [110/2] via 10.0.1.16, 00:00:39, FastEthernet0/1
[110/2] via 10.0.2.16, 00:00:39, Serial0/1
O10.0.22.0[110/3]via10.0.1.16,00:00:58,FastEthernet0/1
[110/3]via10.0.2.16,00:00:58,Serial0/1
O10.0.21.0[110/3]via10.0.1.16,00:00:58,FastEthernet0/1
[110/3]via10.0.2.16,00:00:58,Serial0/1
192.168.1.0/30issubnetted,1subnets
C192.168.1.224isdirectlyconnected,Serial0/0
R8#
10.FormatdesmessagesOSPF
OSPFestdirectementencapsuldansIP,ilestalorsidentifiparlenumrodeprotocole89.OSPFutilisecinqtypesde
paquetsidentifisparunchampTypede15danslentteOSPF:
- 63 -
Leformatdelentteestlemmequelquesoitletypedepaquet.LemessageHelloportelalistedesvoisinsconnus.
Le paquet DBD porte tout ou partie des LSAs, identifis par leurs enttes, qui composent la LSD du routeur. Le
paquetLSRequestcontientlalistedesidentifiantsdeLSArclams.LepaquetLSUpdatecontientunelistede
LSAsetcestleseulporteruneinformationcomplte(nonabrge).Enfin,lepaquetLSAcknowledgmentcontient
unelistedeLSAsreus,identifisparleursenttescommedanslecasdupaquetDBD.
Les paquets OSPF sont toujours changs entre voisins. Puisque deux voisins sont toujours directement
connects,unpaquetOSPFnestjamaisroutaudeldurseaudontilestissu.
Observezlextraitdecapturecidessous:
- 64 -
1.OSPFesttransportparIP(0x59=89).
2. Wireshark interprte le champ Type de service de lentte IP de faon y lire une valeur DSCP (Differentiated
ServicesCodepoint).Pourmmoire,cettevaleurdfinitlecomportementdurouteurdanslacheminementdespaquets.
Mais les valeurs attribues au DSCP ninterfrent pas avec les anciennes de priorit 11x contenues dans les trois
premiersbitsduchampetquicorrespondentlagestiondurseau.Ainsi,lavaleur110luedanslacapture(tiquette
2)correspondenralitlaprioritInternetworkControl,cequiconfreauxpaquetsOSPFuneprioritleve.
3.Observezgalementlavaleur1attribueauchampTTL:puisquunpaquetOSPFnajamaisbesoindtreachemin
audeldurseaudontilestissu,onestainsiassurquejamaislepaquetneffectueraunsautsupplmentaire(
ceintureetbretelles!).
4.Letype1identifieunpaquetOSPFHello.
5.ParmilesinformationsportesparlemessageHello,lalistedesvoisinsconnusestlinformationessentielle.
a.LentteOSPF
ToutpaquetOSPFdbuteparunenttecommunde24octets:
- 65 -
Type:lescinqtypesdepaquetssont:
Type1:Hello
Type2:DBDDatabaseDescription
Type3:LinkStateRequest
Type4:LinkStateUpdate
Type5:LinkStateAcknowledgment.
PacketLength:longueurdupaquetOSPFenincluantlentte,exprimeenoctets.
RouterID:RIDdurouteurmetteurdecemessage.
- 66 -
Version:2pourlaversionOSPFversion2dfiniedansleRFC2328,3pourOSPFversion3dfiniedansle
RFC5340.
AreaID:identifiantdelairedontestissucemessage.Quandlepaquetestmissurunvirtuallink,
lidentifiantdaireest0.0.0.0carlesliensvirtuelssontconsidrsappartenirlairebackbone.
Checksum : sommedecontrlequiportesurlensemble du paquet OSPF en incluant lentte mais en
excluantles64bitsduchampAuthentification.
AuType:dfinitlemodedauthentificationparmilestroismodespossibles:
AuType=0Pasdauthentification
AuType=1Authentificationparmotdepasseenclair
AuType=2AuthentificationcryptographiquefondesurMD5.
Letypedauthentificationainsiquelesdonnesutileslauthentificationchoisiesontconfigurablesparinterface.Le
type0entranequeleschangesOSPFnesontpasauthentifis.LechampAuthenticationsur64bitsnestpas
examinetpeutcontenirnimportequellevaleur.Letype1entraneuneauthentificationparmotdepassesimple
partagsurlensembledesrouteursconcerns.Ilnefournitpasdeprotectioncontrelesattaquesmaissimplement
lassurancequedesrouteurstrangersnesejoignentpasaudomaineparinadvertance.Letype2utiliseunecl
secrtepartagesurlensembledesrouteursconcerns.Lalgorithme,detypeMD5,utiliselaclpourproduireun
digestdechaquepaquetOSPF,digestajoutlafindupaquet.Laprotectionestbonnecarlaclsecrtenest
jamaisenvoyesurlerseau.
QuandAuType=2...
oKeyID:identifielalgorithmeainsiquelaclsecrteutilise.
oAuthDataLength:spcifielalongueurdudigestplaclafindupaquet.
oCryptographicSequenceNumber:numrodesquencenondcroissantestinclusdanschaquepaquet
afindviterlesattaquesparrptition.
b.LemessageHello
LemessageHelloestutilisafindedcouvrirdynamiquementlevoisinage,tablirdesrelationsdevoisinageetde
proximit.Observezlesdiffrentschampsquiontpermisaurouteurquireoitcemessagedalimenterleslments
associslentre(lenregistrement)delabasededonnesdevoisinage.Leschampsmarqusparlapetiteflche
sont ceux qui doivent correspondre entre ce routeur et le routeur voisin pour quils puissent prtendre devenir
voisinsausensOSPF.
- 67 -
NetworkMask:masqueassociladressedanslaconfigurationIPdelinterfacequienvoielepaquet.Si
ce masque est diffrent du masque configur sur linterface qui reoit, le message est supprim, ce afin
dtrecertainquedeuxrouteursnedeviennentvoisinsquesilsappartiennentaummerseau.
HelloInterval : priode, exprime en secondes, qui spare deux missions du message Hello sur une
interface.
Options:prsentdanslesmessagesHelloetDBDainsiquedanschaqueLSA.Unrouteurutiliselechamp
Optionspourannoncersescapacitsparmiunensembledecapacitsfacultatives.Laseulecapacitdcrite
dansleRFC2328estcellequiconcernelesairesdebout(stub).Pourmmoire,uneairedeboutestune
airerelie,auplus,uneautreaire.Entempsnormal,lesLSAsexterneslASsontinondesdanstoutle
systmeautonome.MaiscelaalourditinutilementlesLSDdesrouteursappartenantuneairedebout.Le
routeurplaclafrontiredelairedeboutpeutavantageusementleursubstitueruneroutepardfautet
lannoncerauxrouteursdelairedeboutlaidedeLSAdersums(SummaryLSAs).
BitN/P:cebitaundoubleusageselonquilestobservdansunmessageHello,ilsagitalorsdubit
N,ouobservdanslenttedunNSSAExternalLSA,auquelcasilestlebitP(Propagate).
BitE:1quandlerouteurestenmesuredaccepterdesLSAsexterneslAS,devraittre0
danstouslesLSAsissusduneairedebout.DanslesmessagesHello,cebitindiquelacapacitde
linterfaceenvoyeretrecevoirdesLSAsdetype5(ASexternalLSA).DeuxinterfacesdecapacitsE
diffrentesnepeuventdevenirproches.
Routerpriority:utiliseparlemcanismedlectiondesrouteursdsignsDRetBDRsurlesrseaux
diffusionainsiquesurlesrseauxsansdiffusionfonctionnantenmodeNBMA.
RouterDeadInterval : si les messages Hello que le routeur sattend recevoir ne lui parviennent plus
pendantcedlai,levoisinestconsidrcommeperdu(ilnestdoncplusvoisin).LeRFCsuggredutiliserun
dlaiRouterDeadIntervalgal4xHelloInterval,cestdire40secondespardfaut.
DesignatedRouter:adresseIP(etnonRID)delinterfaceduDRsurlerseauderattachement.dfaut
deDR,lavaleurreste0.0.0.0.
BackupDesignatedRouter:adresseIP(etnonRID)delinterfaceduBDRsurlerseauderattachement.
dfautdeBDR,lavaleurreste0.0.0.0.
Neighbor:autantdechampsquencessaireafindeprciserdefaonexhaustivelensembledesvoisins
connusdecerouteursurlerseauderattachement.
c.LepaquetDBD
Le paquet DBD est utilis pendant la construction dune relation de voisinage (voir la section ponyme) afin de
dcrirelesLSAscontenusdanslaLSD.LadescriptionexhaustivepeutncessiterdenombreuxpaquetsDBDetcest
pour cette raison quune procdure de type polling a t choisie. Dans une procdure de polling, un matre
interrogelesclaveetluidit:Jesouhaitetedireblablablaettoi,astuquelquechosemedire?.Lesmessages
DBDenvoysparlematresontdoncdesmessagesdinvitationmettreacquittsenretourparlesmessagesde
rponse DBD envoys par lesclave. La procdure fait correspondre un message dinvitation mettre avec sa
rponselaidedesnumrosdesquenceDBD.
- 68 -
Interface MTU : exprime en octets, taille du plus grand datagramme IP quil est possible denvoyer
depuiscetteinterfacesansfragmentation.Devraittrergl0x0000danslespaquetsDBDlorsquilssont
missurunvirtuallink.
Options:galementprsentdanslemessageHelloetdoncdjdcrit.
Les5bitssuivantsduprochainoctetsont0etsuivisdestroisbits:
Initialbit:nest1quedanslepremierpaquetDBDdunesquence,quicorrespondltat
ExStartdudiagrammedtatsdelarelationdevoisinage.
Morebit:dautrespaquetsDBDsuivent.
MasterSlavebit:dsignelematredanslaprocduredepolling.
DDSequenceNumber:utilispourrglerleschangesdeDBD.Lematregnreunnouveaunumrode
squencequandilprocdeunenouvelleinvitationmettre.Cefaisant,ilacquitterceptiondumessage
DBDprcdemmentreu.Lesclaveacquitterceptiondumessagedumatreenfaisantchodunumrode
squencereudanslemessageDBDquilmet.
Suit une liste partielle ou complte de LSAs dcrits laide de leurs enttes. Lentte dun LSA contient les
informations suffisantes pour identifier sans quivoque la fois le LSA et linstance actuelle du LSA (telle quil est
connuparlerouteurmetteurdecepaquetDBD).
d.LepaquetDemandedtatdelien
AuvudesmessagesDBDreusdesonvoisinpendantlaphasededescriptiondelaLSD,lerouteurapudistinguer
parmisesLSAs,ceuxpourlesquelslevoisinconnatuneversionplusrcenteetquincessitentdtremisjour.Le
routeurutilisepourcefaireunouplusieurspaquetsLinkStateRequest.
UneinstancedeLSAestdfinielaidedestroisparamtresLSSequenceNumber,LSageetLSchecksum
. Pourtant, le paquet LSRequest ne porte pas ces informations. Cest inutile car demander un LSA au voisin,
cestimplicitementluidemanderleLSAleplusrcentconnuparcevoisin.CestdoncleLSAquiestidentifidansla
requte,etnonuneinstanceparticuliredeLSA,celaidedestroischampsLinkStatetype,LinkStateIDet
AdvertisingRouter.
- 69 -
Link State type : type de LSA. La liste cidessous reprend les types du RFC 2328, elle nest donc pas
exhaustive.Ilsexistentdautrestypesquisortentparcontretropducadredecetouvrage:
Type1:routerLSA.Dcritlestatscollectsdesinterfacesdurouteur.
Type2:networkLSA.Dcritlensembledesrouteursrattachsaurseau.
Type3ou4:summaryLSA
Type3:networksummaryLSA:dcritdesroutesverslesrseaux.
Type4:ASBRsummaryLSA:dcritdesroutesverslesrouteursdeborduredesystme
autonome(ABR:ASboundaryrouter).
Type5:ASexternalLSA.Gnrsparlesrouteurssituslafrontiredusystmeautonome,ils
dcrivent les chemins pour les destinations externes lAS. Un chemin par dfaut pour le systme
autonomepeutaussitredcrit.
LinkStateID:identifieleLSA,informationextraitedelentteduLSA.
Advertising Router : identifiant du routeur qui a gnr le LSA. Par exemple, dans le cas dun LSA de
rseau,cechampestleRIDduDR.
e.LepaquetMisejourdtatdelien
OSPFutiliselespaquetsLSUpdatedansdeuxcirconstances:lorsquilfautrpondreunpaquetLSRequest
ainsi que dans le processus dinondation des LSAs. Dans ce cas prcis, souvenonsnous quun paquet OSPF na
jamaisbesoindtreacheminaudeldurseaudontilestissu.CestceconstatquiapermisdajusterlavaleurTTL
despaquetsOSPF1.LaconsquenceestqueparmilesLSAsreus,unrouteurvoisindoitrencapsulerlesLSAs
approprisdansdenouveauxpaquetsLSUpdatepourqueleprocessusdinondationpuisseprogresser.
Selon les cas, les paquets LS update sont diffuss vers ladresse multicast 224.0.0.5 (qui signifie tous les
routeursOSPF,AllSPFRouters) ouversladressemulticast224.0.0.6(quisignifielesdeuxrouteursDRetBDR,
AllDRouters).ToutLSAdiffusdoittreacquittetpeutltrelaidedepaquetsLSAcknowledgment.Quandla
retransmissiondunLSAestncessaire,leLSAretransmisestenvoyversladresseunicastduvoisinncessiteux.
- 70 -
NumberofLSAs:nombredeLSAsinclusdanscepaquet.
LSAs:enfinuneinformationcomplte,puisquilsagitdesLSAsentiersdansleformatdcritciaprs.Un
paquet LS Update peut porter plusieurs LSAs complets concurrence de la taille maximale de paquet
autorisesurlelien.
f.Lepaquetdacquittementdtatdelien
Dans le but de rendre fiable le mcanisme dinondation des LSAs, OSPF exige que tout LSA reu soit acquitt. Un
paquetLS AckpeutacquitterdenombreuxLSAs,chaqueLSAacquittestidentifiparsonentte.Enfinal,le
paquetLSAcknestriendeplusquelassemblagedunentteOSPFetdesenttesdeLSAsquilfautacquitter
explicitement.
Un routeur na pas ncessairement besoin dun paquet LS Ack pour acquitter un LSA reu. OSPF amliore
lefficacit globale en permettant un routeur dacquitter implicitement un LSA en rptant ce mme LSA dans un
message LS Update en partance vers le voisin lorigine du LSA, dans un mode que lon pourrait appeler
Echoplex . Le paquet LS Acknowledgement est donc utilis pour raliser un acquittement explicite quand
lacquittementimplicitenestpaspossible.
g.FormatdesLSAs
FormatdelentteLSA
ToutLSAdbuteparcetenttede20octetsquicontientnotammentlesinformationssuffisantespouridentifierle
LSAsansquivoque,cesontlestroischampsLStype,LinkStateIDetAdvertisingRouter.Deplus,puisque
plusieursinstancesdunmmeLSApeuventcoexisterdansledomainedacheminement,ilestncessairedepouvoir
dterminerlinstancelaplusrcente.OSPFutilisepourcefairelestroischampsLSage,LSsequencenumber
etLSchecksum.
- 71 -
LS age: exprimensecondes,tempscouldepuislacrationduLSA.AufuretmesurequeleLSA
progresse de routeur en routeur dans le processus dinondation, lge est incrment de la valeur
InfTransDelay (not TransmitDelay parlILC)associelinterface de chaque interface quiltraverse.
Biensr,lgesincrmentegalementdutempspassdanslaLSD.
Options :champdjdcrit,voirlemessageHello.DanslecasdelentteLSA,lechamp Options
dcritlescapacitssupportesparlefragmentdedomaineOSPFobjetduLSA.
LStype:typedeLSA,djdcrit,voirlepaquetLSRequest.Enrsum:
Type1:routerLSA
Type2:networkLSA
Type3:summaryLSA(rseauIP)
Type4:summaryLSA(ASBR)
Type5:ASexternalLSA.
LSID:identifieleLSAetdonclefragmentdudomaineOSPFdcritparleLSA.FonctionduLStype.
Exemple:danslecasdunLSAderseau,LSIDestrglladresseIPdelinterfaceduDR.
Advertising Router : identifiant du routeur qui a gnr le LSA. Par exemple, dans le cas dun LSA de
rseau,cechampestleRIDduDR.
LSsequencenumber:incrmentechaquefoisquunenouvelleinstanceduLSAestgnre.Cenombre
participelidentificationdelinstancelaplusrcente.
LSchecksum : checksumcalculselonlalgorithme de Fletcher dcrit dans le RFC 1146. Pour mmoire,
lalgorithmeclassiqueconsisteadditionnersimplementtouslesmotsde16bitscontenusdanslemessage
dont il faut vrifier lintgrit. Un tel algorithme est incapable de dtecter par exemple linsertion ou la
suppression dun octet 0, ce que sait faire en revanche lalgorithme de Fletcher. La somme de contrle
porte sur lensemble du LSA lexclusion du champ ge. En effet, inclure ce champ aurait contraint
recalculerlasommechaqueincrmentationdelge.
length:exprimeenoctets,longueurduLSA.
LeLSAderouteur
ChaquerouteurduneairegnreunLSAderouteurquidcritltatainsiquelecotdesliensdurouteur(cest
diredesesinterfaces)aveclaire.TouslesliensdurouteurdoiventtredcritsparunseulLSA.Pourmmoire,les
LSAssontinondslintrieurduneseuleaire,celledontilssontissus.Unecommandeshow ip database router
permetdevisualiserlensembledesLSAsderouteurdansuneLSD.
- 72 -
DanslentteduLSA:
LinkStateID:RIDdurouteurquiagnrceLSA.
DanslesdonnesduLSA:
V:Virtuallinkendpoint,cebitest1lorsquelerouteurestuneextrmitdeliaisonvirtuelle.
E:Externalbit,1quandlerouteurquiagnrleLSAestunASBR(AutonomousSystemBoundary
Router)cestdireunrouteurdeborduredusystmeautonome.
B:Borderbit,1quandlerouteurquiagnrleLSAestunABR(AreaBorderRouter).
Numberoflinks: nombredeliensdcritsdansleLSA.Touslesliensdurouteuraveclairedoiventtre
prsents.
Leschampsquisuiventdcriventchaquelienetapparaissentdoncautantdefoisquilyadeliensdcrire(trois
foisdanslexemplecidessus).LechampLinkTypedterminelafaondontilfautinterprterleschampsLinkID
etLinkData,cestpourquoiilfautdbuterladescriptionparcechamp:
LinkType:fournitunebrvedescriptiondulien.Lesvaleurspossiblessontlessuivantes:
Type1:connexionpointpointavecunautrerouteur
Type2:connexionunrseaudetransit
Type3:connexionunrseaudextrmit
Type4:liaisonvirtuelle.
- 73 -
LinkID:identifiantdulien.Identifielobjetauquellelienconnecte.Quandlelienconnecteunrouteur
ouunrseaudetransit,deuxobjetsquignrentunLSA(danslecasdurseaudetransit,cestlerledu
DRquedegnrerceLSA),LinkIDestgalauchampLinkStateIDduLSAgnrparcevoisin.Ce
chanageestmisprofitparleprocessusOSPFpourconstruirelatablederoutage,LinkIDfournissantla
clafindeffectuerlarechercheduLSAduvoisindanslaLSD.LesvaleurspossiblessontfonctiondeLink
Typeetrsumesdansletableaucidessous:
LinkData:valeurgalementdpendantedeLinkTypeselonletableauciaprs:
Link
Type
Description
Interprtationde Link
ID
Interprtationde LinkData
Connexionpointpoint
avecunautrerouteur
RIDduvoisin
AdresseIPsurlerseaupointpointde
linterfacedurouteurquiagnrleLSA.
Connexionunrseau
detransit
AdresseIPdelinterface AdresseIPsurlerseaudetransitde
duDR
linterfacedurouteurquiagnrleLSA.
Connexionunrseau
dextrmit
AdresseIPdurseau
Masquederseau.
Liaisonvirtuelle
RIDduvoisin
AdresseIPdelinterfacedurouteurquia
gnrleLSA.
Tableau2Interprtationde"LinkID"et"LinkData"
#TOS:spcifielenombredemtriquesTOS(TypeofService)listesdanscelienenexcluantlamtrique
de lien requise, spcifie dans le champ metric . Le RFC 2328 ne prvoit pas le support de ces
fonctionnalits TOS. Par consquent, ce champ ainsi que les champs TOS et TOS metric ne sont
prsentsquepourpermettreunertrocompatibilitavecdesimplmentationsOSPFplusanciennes.Quand
aucunevaleurTOSmetricnestassocieaulien,cechampreste0x00.
metric:cotdulienetdoncdelinterface(reliresincessairelarubriquecotdelinterfaceprsente
lasectionStructuredesdonnesdelinterfacedanscechapitre).
lintrieurdeladescriptiondunlien,leschampssuivantsnapparaissentquesi#TOSestdiffrentde0.Lexemple
fourni dans lillustration cidessus montre un LSA trois liens dont le premier comporte deux mtriques TOS, le
secondnencomportepasetletroisimeencomporteune.
TOS:spcifieletypedeserviceauquellamtriquefourniedanslechampTOSmetricsappliqueselon
letableaucidessous:
ValeurdeTOSdfiniedansleRFC1349
2 4=16
- 74 -
2 3 =8
2 2 =4
Description
CodageOSPF
2 1 =2
Servicenormal.
Minimiselecotmontaire.
Maximiselafiabilit.
10
12
14
6
Maximiseledbit.
Minimiseledlai.
16
18
20
22
24
26
28
30
Tableau3ValeursdeTOSduRFC1349
Pouraiderresituerlecontexte,voiciunextraitdelenttedudatagrammeIP,telquilavaitcoursquandleRFC
1349taitdactualit:
Le RFC 791 considrait les 3 bits du champ TOS comme mutuellement exclusifs, le bit Minimizemonetarycost
nexistaitpasencore.LeRFC1349ajoutelebit Minimizemonetarycostetneconsidrepluscesbitscommeune
collection de bits mais comme un entier exprim sur 4 bits. La consquence est que ces bits ne sont plus
mutuellementexclusifs.LavaleurcodedanslechampTOSrsultedelaraffectationdespoidsbinaires2,4,8,16
aux4bits,cequipeutsexpliquerparlefaitquelebitdepoidsleplusfaiblentaitpasutilisetrestait0.
TOSmetric:mtriquequeleprocessusOSPFdoitassocierlavaleurTOS.
LeLSAderseau
Chaque rseau diffusion ou en mode NBMA est reprsent par un LSA de rseau gnr par le DR. Ce LSA
annoncelerseauainsiquetouslesrouteursconnectscerseau,DRinclus.DelammefaonquelesLSAsde
routeur,lesLSAsderseausontinondslintrieurduneseuleaire,celledontilssontissus.
- 75 -
DanslentteduLSA:
LinkStateID:adresseIPdelinterfaceduDRsurlerseaudcritparceLSA.
DanslesdonnesduLSA:
NetworkMask:masquederseausurlerseaudcritparceLSA.
AttachedRouter:listedesRIDderouteurspleinementadjacentsauDRsurlerseaudcritparceLSA.Le
DRestinclusdanslaliste.
LesLSAdersum
Ilenexistedeuxtypes,tousdeuxgnrsexclusivementparlesABRetinondsdansuneseuleaire:
Type3:NetworkSummaryLSA,dcritlesroutesverslesdestinationsendehorsdelaire(enincluantles
routespardfaut),maislintrieurdusystmeautonome.
Type4:ASBRSummaryLSA,dcritlesroutesverslesASBRsitusendehorsdelaire.
Lesdeuxtypesontlemmeformat:
Endehorsduchamptype,laseulediffrenceprovientdelinterprtationquilfautfaireduchampLinkStateID:
- 76 -
LinkStateID:pourletype3,lechampcontientladresseIPdurseauannonc.Quandletypeest4,le
champcontientleRIDdelASBRannonc.
NetworkMask:pourletype3,lechampcontientlemasquedurseauannonc.Quandletypeest4,le
champnapasdesignificationetcontient0.0.0.0.
Quandletype3estutilispourannonceruneroutepardfaut,leschampsLinkStateIDetNetwork
Masksonttousdeuxcompltsavec0.0.0.0.
metric:cotdelarouteannonce.
TOS,TOSmetric:djdcrit,voirLSAderouteur.
LesLSAexterneslAS
LesASexternalLSAsontgnrsexclusivementparlesASBRetdcriventlesdestinationsexternesausystme
autonomeoudesroutesexternesquipeuventtreutilisescommeroutespardfaut.CesLSAssontinondsdans
toutlesystmeautonomelexclusiondesairesdebout.CesontdonclesseulsLSAsdontlinondationneconcerne
pasuneaireetuneseule.
LinkStateID:pourletype5,lechampcontientladresseIPdurseauannonc.
NetworkMask:pourletype5,lechampcontientlemasquedurseauannonc.
Quandletype5estutilispourannonceruneroutepardfaut,leschampsLinkStateIDetNetwork
Masksonttousdeuxcompltsavec0.0.0.0.
EouExternalMetricbit:spcifieletypedemtriqueassocieladestinationannonce.Quandune
routeexterneestredistribuedanslesystmeautonome,cestlerouteurfrontireASBRquifaitrentrerla
routedanslesystmeautonomeetquiestenchargedeluiattribueruncot:
E=0,lamtriquequilfaututiliserpourcetterouteestdetype1cequisignifiequelecotpour
atteindreladestinationexternedoittrecalculensommantlecotannoncparlASBRdansleLSA
etlecotpouratteindrelASBR.
E=1,lamtriquequilfaututiliserpourcetterouteestdetype2cequisignifiequelecotpour
atteindre la destination externe est calcul en ignorant le cot pour atteindre lASBR et en ne
prenantencomptequelecotannoncparlASBRdansleLSA.
- 77 -
- 78 -
metric:cotversladestinationannoncetelquilestrglsurlerouteurASBR.Puisqueladestination
est probablement connue de lASBR laide dun protocole de routage diffrent, cest ladministrateur qui
configure la redistribution des routes apprises par ce protocole de routage vers OSPF, la mtrique quil
convientdappliquerestrglecemomentdelaconfiguration.
Forwardingaddress: letraficversladestinationannoncedoittretransmiscetteadresse.Quandle
champestrgl0.0.0.0,lespaquetsdoiventtretransmislASBRluimme.
ExternalRouteTag:tiquettede32bitsassocielarouteexterne.Cechampnestpasnormalisparle
RFC 2328 et nest pas utilis par OSPF. Il permet lchange dinformations entre routeurs frontire du
systmeautonome.
LeschampsquisuiventsontnouveaudeschampsTOSoptionnels.Ceschampssontidentiquesceuxdj
dcrits(voirLSAderouteur)lexceptiondelamtriqueTOSquicettefoisestassociesonproprebitde
typedemtrique,sapropreadressedetransmissionetsapropretiquette.
ConfigurationOSPF
Nousprocderonsendeuxtemps.Dansunpremiertemps,nousproposonsaulecteurdelassisterpourreproduirela
topologie de latelier 9a. Puis nous proposerons une modification dans latelier 9b, pour laquelle le lecteur sera en
situationdautonomie.UnesolutionestbiensrproposeauchapitreAteliersetexercicescorrigs.
Lillustrationdelatopologieadjtfourniemaislavoicinouveauafindviterdavoirfeuilletertropfrquemment
louvrage:
1.Configurationdebase
HorsOSPF,laconfigurationdesseptrouteursestlasuivante:
R8
hostname R8
enable secret 5 ccna
interface FastEthernet0/0
ip address 10.0.8.8 255.255.255.0
interface Serial0/0
ip address 192.168.1.226
255.255.255.252
interface FastEthernet0/1
ip address 10.0.1.8 255.255.255.0
interface Serial0/1
ip address 10.0.2.8 255.255.255.0
line con 0
exec-timeout 0 0
logging synchronous
end
R16
hostname R16
enable secret 5 ccna
interface FastEthernet0/0
- 1-
ip address 10.0.16.16
255.255.255.0
interface FastEthernet0/1
ip address 10.0.1.16 255.255.255.0
interface Serial0/1
ip address 10.0.2.16255.255.255.0
clock rate 64000
line con 0
exec-timeout 0 0
logging synchronous
end
R11
hostname R11
enable secret 5 ccna
interface FastEthernet0/0
ip address 10.0.11.1 255.255.255.0
interface FastEthernet0/1
ip address 10.0.8.11 255.255.255.0
line con 0
exec-timeout 0 0
logging synchronous
end
R12
hostname R12
enable secret 5 ccna
interface FastEthernet0/0
ip address 10.0.12.1 255.255.255.0
interface FastEthernet0/1
ip address 10.0.8.12 255.255.255.0
line con 0
exec-timeout 0 0
logging synchronous
end
R21
hostname R21
enable secret 5 ccna
interface FastEthernet0/0
ip address 10.0.21.1 255.255.255.0
interface FastEthernet0/1
ip address 10.0.16.21 255.255.255.0
line con 0
exec-timeout 0 0
logging synchronous
end
R22
hostname R22
enable secret 5 ccna
interface FastEthernet0/0
ip address 10.0.22.1 255.255.255.0
interface FastEthernet0/1
ip address 10.0.16.22 255.255.255.0
line con 0
exec-timeout 0 0
logging synchronous
end
R9
hostname R9
enable secret 5 ccna
interface FastEthernet0/0
- 2-
a.Identifiantdurouteur
ReliresincessairelaterminologieRIDendbutdecechapitre.LIOSoffreunepremirepossibilitquiconsiste
fixerdirectementleRIDdunrouteurlaidedelacommanderouteridenconfigurationderouteur:
R8(config)#router ospf 1
R8(config-router)#router-id 1.0.0.8
Sicettepossibilitnapastmiseprofit,OSPFquiavraimentbesoindidentifiertoutrouteurdriveunidentifiant
duneadressedeloopback,dfautduneadressedinterface.Unesecondesolutionconsistedonc,surchacundes
routeursOSPF,creruneinterfacedeloopbackpuisluiaffecteruneadresseIP,adressequideviendraleRIDdu
routeur:
R8
interface Loopback0
ip address 1.0.0.8 255.255.255.255
R16
interface Loopback0
ip address 1.0.0.16 255.255.255.255
R11
interface Loopback0
ip address 1.0.0.11 255.255.255.255
R12
interface Loopback0
ip address 1.0.0.12 255.255.255.0
R21
interface Loopback0
ip address 1.0.0.21 255.255.255.0
R22
interface Loopback0
ip address 1.0.0.22 255.255.255.255
R9
interface Loopback0
ip address 1.0.0.9 255.255.255.0
b.CrationduprocessusOSPF
Les premires tapes dune configuration OSPF ressemblent celles dj exprimentes avec les protocoles de
routageprcdents.IlfautcrerunprocessusOSPFpuislavertirdesrseauxqueleprotocoledevraprendreen
compte.Unediffrencecependant:OSPFestunprotocolequipermetdehirarchiserlatopologieendeuxniveaux
laidedesaires.Cecisoprelaidedelargumentarea.LeprocessusOSPFestdmarrdelammefaonquele
processusEIGRPetncessiteunnumrodeprocessus.Pourmmoire,EIGRPdemandaitluiunnumrodesystme
autonome encore quen ralit ce ne soit jamais quun numro de processus dguis. Simplement, le processus
EIGRP dun routeur communique avec les autres routeurs EIGRP la condition dtre configur avec un mme
numrodesystmeautonome.RiendetoutcelaavecOSPF,lenumrodeprocessusnaquunesignificationlocale
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
etnapasbesoindtreidentiquesurlensembledesrouteursdudomaineOSPF.Maisdansunsoucideclartoude
cohrence,ladministrateurquinariendunfarfeluchoisiralemmenumrodeprocessuspourtouslesrouteurs:
R8(config)#router ospf ?
<1-65535> Process ID
R8(config)#router ospf 1
R8(config-router)#
LenumroattribuauprocessusOSPFdoitappartenirlespace[165535].Rienninterditdeconfigurerplusieurs
processusOSPFsurunmmerouteurmaispourquoifaudraitillefaire?Dautantquechaqueprocessusactivva
entranerlacrationpuislentretiendelensembledesstructuresdedonnesdontabesoinOSPF.
c.Lacommandenetwork
La seconde tape consiste activer le traitement des mises jour sur les interfaces adquates laide de la
commandenetworkenconfigurationderouteur.Cefaisant,oncreaussilesairesdelatopologie:
Router(config-router)# network @IP masque_gnrique area area_id
Lensemble@IP/masquegnriquedfinitauchoix,uneadresseunique,uneplagedadressescontigusouenfin
un ensemble dadresses compos de plusieurs plages non contigus. En effet, linverse du masque rseau, la
disposition des bits du masque gnrique na pas tre continue. Le masque gnrique est trait de faon
compltedanslasectionManipulationdesmasquesgnriquesduchapitreGestiondetraficparlistedaccs(ACL).
Pour le moment, retenons que chaque bit 1 dans le masque signifie que le bit correspondant de ladressedoit
tre ignor. Le tableau cidessous reprend les deux premires tapes, cration de processus OSPF puis
renseignementdesinterfacesetcrationdesairespourlesseptrouteursdelatopologie:
R8
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.7.255 area 0
network 10.0.8.0 0.0.7.255 area 8
network 192.168.1.224 0.0.0.3 area 0
R16
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.7.255 area 0
network 10.0.16.0 0.0.7.255 area 0
R11
router ospf 1
log-adjacency-changes
network 10.0.8.0 0.0.7.255 area 8
R12
router ospf 1
log-adjacency-changes
network 10.0.8.0 0.0.7.255 area 8
R21
router ospf 1
log-adjacency-changes
network 10.0.16.0 0.0.7.255 area 0
R22
router ospf 1
log-adjacency-changes
network 10.0.16.0 0.0.7.255 area 0
R9
- 4-
router ospf 1
log-adjacency-changes
redistribute connected metric 10 subnets
network 192.168.1.224 0.0.0.3 area 0
La commande logadjacencychanges a t ajoute de faon automatique par lIOS. Ainsi, par dfaut, des
messagesSYSLOGavertissentdeltablissementoudeladisparitionderelationsdevoisinageoudeproximit:
04:30:51: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.11 on FastEthernet0/0 from LOADING
to FULL, Loading Done
Cette configuration nest comprhensible quen disposant du plan dadressage. Le lecteur attentif aura remarqu
que ce plan a dj servi de support dans louvrage Cisco Notions de base sur les rseaux dans la collection
CertificationsauxEditionsENIpourexpliquerlesfondementsdeladressageVLSM:
TableauVLSMdichotomique1
R11, R12 appartiennent laire 8 qui est au Nord de la topologie, aire qui se voit affecte ltendue
10.0.8.0/21.Lacommandenetworkcorrespondanteestnetwork10.0.8.00.0.7.255area8.
R21 et 22 appartiennent la zone Sud, partie de laire 0, qui se voit affecte ltendue 10.0.16.0/21. La
commandenetworkcorrespondanteestnetwork10.0.16.00.0.7.255area0.
R8estunABRplaclafrontiredesaires8et0.Deplus,ilestconnectlASBR.Cecijustifielestrois
commandesnetwork.
UneseulecommandenetworksuffitpourR9carLAN9nappartientpasaudomaineOSPF.
Pourlanecdote,onsesouvientquelidentifiantdaireestformatcommeuneadresseIP:
- 5-
R8(config)#router ospf 1
R8(config-router)#network 10.0.8.0 0.0.7.255 area ?
<0-4294967295> OSPF area ID as a decimal value
A.B.C.D
OSPF area ID in IP address format
R8(config-router)#network 10.0.8.0 0.0.7.255 area 0.0.0.8
R8(config-router)#^Z
R8#sh run
.........
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.7.255 area 0
network 10.0.8.0 0.0.7.255 area 8
network 192.168.1.224 0.0.0.3 area 0
.........
R8#
Astuce : pour plus de commodit, il est possible de renseigner la commande network avec ladresse IP
affectelinterfaceetdoncrpterlacommandenetworkautantdefoisquilyadinterfacesparticipant
auprotocoleOSPF.Lemasquegnriqueestdanscecas0.0.0.0quispcifieuneadressedhte.
d.Contrleetdpannage
Surchacundesrouteurs,uncertainnombredecommandesshowrenseignentsurlebonfonctionnementdOSPF:
Commande
Commandeabrge
Usage
sh ip int br
tatdesinterfaces,couche1et2.
sh ip o n
Listedesvoisinsavecpourchacun,sonRID,
ltatdudiagrammedtatsdelinterface,ltat
dudiagrammedtatsdelarelationde
voisinage,ladresseIPdelinterfaceduvoisin
surlerseauderattachement.
sh ip oi
Pourchaqueinterface,unebonnepartdes
informationsOSPF:RID,airedappartenance,
typederseau,cot,rglagedes
temporisateurs...
show ip protocols
Sh ip pro
RID,typederouteurs,aires,typesdaires...
Sh ip ro os
LesroutesapprisesparOSPF.
Sh ip ro 10.0.16.1
Yatiluneroutedanslatablederoutagevers
cettedestination?
Pourdescasplusdifficiles,ladministrateurpeutsadjoindrelesservicesdelacommandedebug.Nepasoublierde
commencer par une commande undebug all afin de pouvoir rappeler cette commande de faon simple depuis
lhistoriquedecommandes:
Commande
- 6-
Commandeabrge
Usage
undebug all
u all
Fairecessertoutprocessusdebug.
deb ip o adj
Ledtaildeltablissementdesrelationsde
voisinage.
deb ip o e
Informationssurchaquepaquetdutrafic
dacheminementOSPF.
deb ip o p
Contenudechaquepaquetdutrafic
dacheminementOSPF.
deb ip o h
InformationssurletraficdemessagesHello.
Letestultime:lacommandepingavaittlancedepuisPCL11versPCL22avantdedmarrerlesseptrouteurs
delatelier9a,neboudonspasnotreplaisir:
2.Configurationavance
a.Modificationdelabandepassantedunlien
LAN1quirelieR8etR16esthorsservice.WAN2maintientlaconnectivitdanslaire0maisquandladministrateur
entreunecommandeshowiproutesurR8,ilconstateunproblme:
R8#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
.........
O
10.0.16.0 [110/65] via 10.0.2.16, 00:01:40, Serial0/1
O
10.0.22.0 [110/66] via 10.0.2.16, 00:01:40, Serial0/1
O
10.0.21.0 [110/66] via 10.0.2.16, 00:04:05, Serial0/1
Lecotdelaroutevers10.0.16.0est65.PuisqueLAN16estdetypeFastEthernet,linterfacef0/0deR16auncot
de1.Linterfaces0/0deR8adoncuncotde651=64cequilvrifielaidedunecommandeshowints0/0:
R8#sh int s0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Internet address is 192.168.1.226/30
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
La raison en est que la bande passante sur linterface s0/0 est reste la valeur par dfaut, soit le dbit du T1
amricain. Il se trouve que les liens WAN entre R8 et R16 ainsi quentre R8 et R9 sont des liens 64 Kbps.
Ladministrateurdcidedemettrejourlensembledesbandespassantesdesliensserial:
R8
R8(config)#int s0/1
R8(config-if)#bandwidth 64
R8(config-if)#int s0/0
R8(config-if)#bandwidth 64
ENI Editions - All rigths reserved - Noba Mafiza
- 7-
R8(config-if)#^Z
R16
R16(config)#int s0/1
R16(config-if)#bandwidth 64
R16(config-if)#^Z
R9
R9(config)#int s0/0
R9(config-if)#bandwidth 64
R9(config-if)#^Z
Unevrificationdelatablederoutageconfirmelapriseencomptedesnouvellesbandespassantes:
R8#sh ip route
.........
O
10.0.16.0 [110/1563] via 10.0.2.16, 00:00:00, Serial0/1
O
10.0.22.0 [110/1564] via 10.0.2.16, 00:00:00, Serial0/1
O
10.0.21.0 [110/1564] via 10.0.2.16, 00:00:00, Serial0/1
.........
b.Trucagedeslections
LadministrateursouhaitequeR16soitDR,R21BDRetR22nonligible:
R16
R16(config)#int f0/0
R16(config-if)#ip ospf priority 10
R16(config-if)#^Z
R16#
R22
R22(config)#intf0/1
R22(config-if)#ip ospf priority 0
R22(config-if)#^Z
R22#
LaconfigurationdeR21napastmodifie,saprioritreste1,soitlaprioritpardfaut.
LersultatnestpasconformeceluiattenduparcequeR16atdmarraprsquellectiondeR21sesoitdj
produite:
R21#sh ip ospf n
Neighbor ID
1.0.0.16
1.0.0.22
Pri
10
0
State
FULL/BDR
FULL/DROTHER
Dead Time
00:00:31
00:00:32
Address
10.0.16.16
10.0.16.22
Interface
FastEthernet0/1
FastEthernet0/1
UnredmarragedeR21rtablitlersultatsouhait:
R22#sh ip ospf n
Neighbor ID
1.0.0.16
1.0.0.21
Pri
10
1
State
FULL/DR
FULL/BDR
Dead Time
00:00:35
00:00:35
Address
10.0.16.16
10.0.16.21
Interface
FastEthernet0/1
FastEthernet0/1
c.Agrgationderoutes
SeulunABRpeutgnrerunLSArsumderseau.IlgnreuntelLSApourchaquedestinationaccessibleparlui
endehorsdelaire.Ainsi,R8dansnotreatelierOSPFgnresixLSArsumsderseaupourannoncerdanslaire8
les six destinations quil connat dans laire 0, savoir les rseaux 10.0.1.0/24, 10.0.2.0/24, 10.0.16.0/24,
10.0.21.0/24,10.0.22.0/24et192.168.1.224/30:
- 8-
summary
Count
3
1
6
1
0
0
0
11
Delete
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
Lacommandeshowipospfdatabasesummaryconfirmelessixdestinations(extraits):
R11#sh ip ospf database summary
OSPF Router with ID (1.0.0.11) (Process ID 1)
Summary Net Link States (Area 8)
...
Link State ID: 10.0.1.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 10.0.2.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 10.0.16.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 10.0.21.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 10.0.22.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 192.168.1.224 (summary Network Number)
Network Mask: /30
IlestpossiblederduirelenombredeLSAsrsumsderseauannoncsparR8danslaire8:
R8(config)#router ospf 1
R8(config-router)#area 0 range 10.0.0.0 255.255.248.0 ! Agrger Rseau Centre
R8(config-router)#area 0 range 10.0.16.0 255.255.248.0 ! Agrger Rseau Sud
R8(config-router)#^Z
VrifionsleseffetssurlaLSDdeR11:
R11#sh ip ospf database database-summary
OSPF Router with ID (1.0.0.11) (Process ID 1)
Area 8 database
LSA Type
Router
Network
Summary Net
Summary ASBR
Type-7 Ext
Opaque Link
Opaque Area
Subtotal
summary
Count
3
1
3
1
0
0
0
8
Delete
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
LesLSAsrsumsderseausontpasssdesixtrois:
- 9-
summary
Count
5
2
3
0
0
0
0
10
Delete
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
CestroisLSAssont:
R16#sh ip ospf database summary
OSPF Router with ID (1.0.0.16) (Process ID 1)
Summary Net Link States (Area 0)
...
Link State ID: 10.0.8.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 10.0.11.0 (summary Network Number)
Network Mask: /24
...
Link State ID: 10.0.12.0 (summary Network Number)
Network Mask: /24
Agrgons...
R8(config)#router ospf 1
R8(config-router)#area 8 range 10.0.8.0 255.255.248.0
R8(config-router)#^Z
VrifionsleseffetssurlaLSDdeR16:
R16#sh ip ospf database database-summary
OSPF Router with ID (1.0.0.16) (Process ID 1)
Area 0 database
LSA Type
Router
Network
- 10 -
summary
Count
5
2
Delete
0
0
Maxage
0
0
Summary Net
Summary ASBR
Type-7 Ext
Opaque Link
Opaque Area
Subtotal
1
0
0
0
0
8
0
0
0
0
0
0
0
0
0
0
0
0
LesLSAsrsumsderseausontpasssdetroisun:
R16#sh ip ospf database summary
OSPF Router with ID (1.0.0.16) (Process ID 1)
Summary Net Link States (Area 0)
...
Link State ID: 10.0.8.0 (summary Network Number)
Network Mask: /21
CQFD.
d.Airestub
R8
R8(config)#router ospf 1
R8(config-router)#area 8 stub
R8(config-router)#
04:14:06: %OSPF-5-ADJCHG:
Process 1, Nbr 1.0.0.11 on
FastEthernet0/0 from FULL to
DOWN, Neighbor Down: Adjacency
forced to reset
R11
R11(config)#router ospf 1
R11(config-router)#area 8 stub
R11(config-router)#
04:15:06: %OSPF-5-ADJCHG: Process 1, Nbr
1.0.0.12 on FastEthernet0/1 from FULL to
DOWN, Neighbor Down: Adjacency forced to
reset
R12
R12(config)#router ospf 1
R12(config-router)#area 8 stub
R12(config-router)#
Puisque laire 8 est dsormais une aire de bout, lABR R8 gnre un LSA rsum de rseau afin dannoncer une
routepardfautquipasseparlui,cequeconfirmeunecommandeshowiproute:
R11#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.8.8 to network 0.0.0.0
C
C
C
- 11 -
O
O IA
O IA
e.Airetotallystubby
On peut vouloir considrer que le seul LSA rsum de rseau utile est celui annonant la route par dfaut. Une
interventionsurlABRR8suffitpourtransformerlairedeboutenairetotalementdebout:
R8(config)#router ospf 1
R8(config-router)#no area 8 stub
R8(config-router)#area 8 stub ?
no-summary Do not send summary LSA into stub area
<cr>
R8(config-router)#area 8 stub no-summary
R8(config-router)#
ConstatonsleseffetssurR12cettefois:
R12#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.8.8 to network 0.0.0.0
1.0.0.0/24 is subnetted, 1 subnets
1.0.0.0 is directly connected, Loopback0
10.0.0.0/24 is subnetted, 3 subnets
O
10.0.11.0 [110/2] via 10.0.8.11, 00:00:05, FastEthernet0/1
C
10.0.8.0 is directly connected, FastEthernet0/1
C
10.0.12.0 is directly connected, FastEthernet0/0
O*IA 0.0.0.0/0 [110/2] via 10.0.8.8, 00:00:05, FastEthernet0/1
C
Ainsi, les routes vers 10.0.1.0/24, 10.0.2.0/24, 10.0.16.0/24, 10.0.21.0/24 et 10.0.22.0/24 ont disparu. La seule
routeinterairesquisubsisteestlaroutepardfaut.CeciestcohrentaveclenombredeLSAsrsumsderseau
prsentsenLSD:
R12#sh ip ospf database database-summary
OSPF Router with ID (1.0.0.12) (Process ID 1)
Area 8 database
LSA Type
Router
Network
Summary Net
Summary ASBR
Type-7 Ext
Opaque Link
Opaque Area
Subtotal
summary
Count
3
1
1
0
0
0
0
5
Delete
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
LeseulLSArsumderseauquisubsisteest:
R12#sh ip ospf database summary
OSPF Router with ID (1.0.0.12) (Process ID 1)
Summary Net Link States (Area 8)
- 12 -
...
Link State ID: 0.0.0.0 (summary Network Number)
Network Mask: /0
3.Conclusion
OSPFestplusdifficilemettreen uvrequeRIPmaisilestbeaucoupplusefficacedanslesphasestransitoiresetne
crepasdebouclesderoutage.Deplus,cettecaractristiqueluiestnaturellealorsquellenestobtenuequcoups
dartifices pour RIP. OSPF est fond sur plusieurs sousprotocoles, dont un qui permet une inondation fiable du
rseau.Lesrouteurspossdentalorschacununecopiedelabasededonnestopologiquesdurseau,etpeuvent
calculerindividuellementlepluscourtcheminpourallerverslensembledesdestinations.
Pour rduire la dure des calculs et surtout pour viter un nouveau calcul des routes chaque changement de
configuration,OSPFoffrelapossibilitdedcouperlerseauenaires.Uneaireprincipaleappelebackbonerelie
touteslesautresaires.Lesrseauxtrouvsdansuneairedonnesontannoncsauxautresairesparlesrouteurs
quisontplacsauxfrontiresdaire.
- 13 -
Atelier:MiseenuvreduneconfigurationOSPF
vousdejouercettefois,uncorrigestproposauchapitreAteliersetexercicescorrigs.
Objectifs:
Votremission,sivouslacceptez,consistescinderlaire0defaoncrerundomaineRIPversion2.Latopologie
modifiecomporteainsideuxrouteursASBR:R9etR16.
ModifiezlaconfigurationderouteurOSPFsurR16afindesupprimerlacommandenetworkquiprenaitencomptele
rseauSud.
SupprimezleprocessusOSPFdesrouteursR21etR22.
CrezunprocessusRIPv2surchacundestroisrouteursR16,R21etR22.
SurR16,mettezprofitlacommandepassiveinterfaceafindenepasdiffuserdannonceRIPverslerseauCentre.
SurR16etenvousinspirantdelacommande redistributeutilisesurR9,tentezderedistribuerlesroutesissues
dOSPFversRIPavecunemtriquedetroissauts.
Delammefaon,redistribuezlesroutesissuesdeRIPversOSPFentablissantuncotinvariable10.
Partoutmoyenvotreconvenance,vrifiezquelaconnectivitestmaintenue.
Cetatelierestmaintenanttermin.
- 1-
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 CitezdeuxvnementsparmidautresquifontquunrouteurgnreunenouvelleinstancedesonLSAoude
lundesesLSAs.
2 QuellessontlestroistablesentretenuesparunrouteurOSPF?
3 LeprocessusOSPFaabsolumentbesoindidentifierdefaonuniquechacundesrouteursparticipantau
protocoledansundomainedonn.Commentunrouteurdterminetilsonidentifiant?
4 QuelleestltapeultimeduprocessusderoutageOSPF?
5 Uncollgueadministrateurvousdemandedelaideetvousditavoirentrlacommandedeconfiguration
suivante:
Router(config-router)# network 10.0.0.0 255.0.0.0 area 0
Leproblmeestquelatablederoutagerestevide.Queluiditesvous?
6 Observezlillustrationcidessous.LerouteurR12gnreunmessageLSUpdateporteurdesonLSAde
routeur.Touteslesinformationsprsentessurlillustrationsontprsentesdanscemessagesaufune.Cherchez
lintrus...
7 Surunrseaudiffusion,lesmessagesHellosontmisdefaonrguliresurtouteinterfaceOSPFconnecte
aurseau.Quelleestlapriodeespaantdeuxmessages?
8 quoipourraitcorrespondreledlaide40secondeslorsquilestmaintenusavaleurpardfaut?
9 CitezlesdeuxrglesessentiellesquirgissentlepartagedelASenaires.
10 Selonvous,quellecaractristiqueduprotocoleOSPFleprotgequasinaturellementdelaformationdeboucles
deroutage?
11 Observezlillustrationcidessous.QueltrajetOSPFfaitilemprunterautraficissude10.0.11.0etdestin
10.0.12.0?
12 UnrouteuretsonvoisinphysiquenepeuventtablirunerelationdevoisinageausensOSPFquesilssont
daccordsuruncertainnombredeparamtres.Citezdeuxdecesparamtres.
- 1-
13 DfinissezlenumrodeprocessusOSPF.
14 Quelstypesderseauxentranentllectiondunrouteurdsignainsiquecelledunrouteurdsignde
secours?
15 QuelleconditionindispensablefautilremplirpourtreassurquunrouteurOSPFconstruiseunarbreSPF
exemptderreurs?
16 Citezunautreprotocolequi,commeOSPF,metprofitlalgorithmedeDijkstrapourtablirlarbredupluscourt
chemin.
17 Observezlillustrationcidessous.QuefaitR8dumessageLSUpdatereudeR12etquiporteleLSAde
routeurgnrparR12?
18 CommentOSPFdsignetiluneinterfacederouteur?
19 DonnezdeuxcritresessentielsquimiliteraientenfaveurdeladoptiondOSPF.
20 Observezlillustrationcidessous.DequelsrouteurslerouteurR12reoitildespaquetsHello?
21 QuesignifielamentionOE2associelaroutevers172.26.9.0danslextraitdecapturedunecommande
showiproutecidessous?
O E2
22 QuelleestladistanceadministrativedOSPF?
23 CitezdeuxcommandespermettantdedcouvrirleRIDdunrouteurOSPF.
24 CommentOSPFcalculetillecotduneroute?
25 UndomaineOSPFutiliseseptrouteurs.Ledomaineestoprationnel(ilaconverg).Lesconfigurationsontt
sauvegardes.LaseulesourcederoutageestOSPF.Ladministrateurdoitredmarrerlundesrouteurs.Quelles
informationsfigurentdanslatablederoutageunefoislefichierdeconfigurationchargmaisavantqueOSPF
- 2-
naiteuletempsdeconverger?
26 Considrezlillustrationcidessous:
VoiciunextraitdelatablederoutagedeR9:
R9#sh ip route
.........
10.0.0.0/24 is subnetted, 8 subnets
O
10.0.8.0 [110/1563] via 192.168.1.1, 00:00:49, serial0/1
.........
R9#
QuellecommandenetworkatilfalluentrersurR9pourobtenircersultat?
27 Considrezlillustrationcidessous:
Quesepassetilimmdiatementaprslexcutiondescommandescidessous:
R16(config)#int f0/0
R16(config-if)#ip ospf priority 255
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/27
Pourcechapitre,votrescoreminimumdoittrede21sur27.
3.Rponses
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
1 CitezdeuxvnementsparmidautresquifontquunrouteurgnreunenouvelleinstancedesonLSAoudelunde
sesLSAs.
Le changement dtat dune interface, cestdire un changement de topologie, qui ncessite de produire une
nouvelleinstancedeLSAderouteur.
Un changement de routeur dsign DR sur le rseau de rattachement qui ncessite galement de produire une
nouvelleinstancedeLSAderouteur.Deplus,sicerouteurestluDR,ildoitproduireunnouveauLSAderseau.Si
ce routeur tait DR et ne lest plus, le LSA de rseau quil a gnr par le pass doit tre supprim des LSDs de
laire.
LechampLSagedelundesLSAsatteintlavaleurLSRefreshTime(30minutes).Danscecas,quelquesoit
le contenu du LSA modifi ou pas (cest le seul vnement parmi les dix inventoris imposer une nouvelle
gnrationquelecontenuduLSAaitchangoupas),lerouteurloriginedelacrationdeceLSAdoitengnrer
unenouvelleinstancedesonLSA.
(ReliresincessairelasectionLabasededonnesdtatsdeliensouLSDRafrachissementdesLSAs.)
2 QuellessontlestroistablesentretenuesparunrouteurOSPF?
Parce quil est OSPF, un routeur entretient une base de donnes de relations de voisinage ainsi quune base de donnes
topologiques(laLSD).Commetoutrouteur,lerouteurOSPFentretientlatablederoutage.
3 Le processus OSPF a absolument besoin didentifier de faon unique chacun des routeurs participant au protocole
dansundomainedonn.Commentunrouteurdterminetilsonidentifiant?
Parordredeprfrence:
Ladministrateur peut avoir fix directement lidentifiant laide dune commande router id en configuration de
routeur.
LerouteurchoisitladresseIPlaplusleve(ladresseestalorsconsidrecommeunnombre)parmilesadresses
attribuessesinterfacesdeloopback.Attention,certainsouvragesnommentinterfaceslogiqueslesinterfacesde
loopback.
Pour le cas, peu probable, o ladministrateur naurait configur aucune interface de loopback, le routeur lui
substitueladresseIPlaplusleveparmilesadressesaffectessesinterfacesphysiques.Linterfacephysique
quiafourniladresseIPnapasncessairementbesoindtrelunedesinterfacesparticipantauprotocole.
(Relire si ncessaire la section Configuration OSPF Identifiant du routeur ainsi que la section Aperu du protocole
Terminologie.)
4 QuelleestltapeultimeduprocessusderoutageOSPF?
LaconstructiondelarbrederecouvrementensefondantsurlesdonnestopologiquesrecueilliesdanslaLSD.
UnefoislaLSDcomplte,chaquerouteurdroulelalgorithmeSPFpourconstruireunarbredcrivantlensembledes
cheminsmeilleurcotverstouteslesdestinationsconnues.Chaquerouteurestlaracinedelarbrequilcalcule.
ChaquerouteurdduitsatablederoutageenextrayantlesroutesdelarbreSPFquilacalcul.
(ReliresincessairelasectionAperuduprotocoleTerminologie.)
5 Uncollgueadministrateurvousdemandedelaideetvousditavoirentrlacommandedeconfigurationsuivante:
Router(config-router)# network 10.0.0.0 255.0.0.0 area 0
Leproblmeestquelatablederoutagerestevide.Queluiditesvous?
Lemasquegnriqueestincorrect(reliresincessairelasectionConfigurationdebaselacommandenetwork).
6 Observezlillustrationcidessous.LerouteurR12gnreunmessageLSUpdate porteurdesonLSAderouteur.
- 4-
Touteslesinformationsprsentessurlillustrationsontprsentesdanscemessagesaufune.Cherchezlintrus...
Le LSA de routeur du routeur R12 porte deux liens parce que R12 a deux interfaces. Le lien correspondant au LAN
dextrmitestdetypestub,ilporteladresseIPdurseau10.0.12.0ainsiquesonmasque255.255.255.0.Lesecond
lienestdetypetransitetporteladresseIPdelinterfaceduDRsoit10.0.8.12ainsiqueladresseIPsurlerseaude
transit de linterface du routeur qui a gnr le LSA, soit nouveau 10.0.8.12. La seule information prsente sur
lillustrationmaisabsenteduLSAestladresseIPduBDR10.0.8.11(reliresincessairelasectionFormatdesmessages
OSPFFormatdesLSAs).
7 Sur un rseau diffusion, les messages Hello sont mis de faon rgulire sur toute interface OSPF connecte au
rseau.Quelleestlapriodeespaantdeuxmessages?
La priode qui spare deux messages Hello est HelloInterval , ce dlai est configurable par interface laide de la
commandeipospfhello interval.LimplmentationOSPFdeCISCOutiliseunevaleurpardfautde10secondes.
8 quoipourraitcorrespondreledlaide40secondeslorsquilestmaintenusavaleurpardfaut?
Unefoisajoutlatabledevoisinage,unvoisinfaitlobjetdunesurveillancergulire.SilesmessagesHelloquelerouteur
sattendrecevoirneluiparviennentpluspendantuntempsdobservationsuffisant,levoisinestconsidrcommeperdu.
CestledlaiRouterDeadIntervalquirgleladuredececomaprmortem.Ciscosentientlavaleursuggreparle
RFC, soit 4 x HelloInterval, cestdire 40 secondes par dfaut. nouveau, cette valeur est modifiable laide de la
commandeipospfdead interval.
9 CitezlesdeuxrglesessentiellesquirgissentlepartagedelASenaires.
Laire0ditebackboneesttoujoursprsente.
Lesautresairessontconstruitesselonunetopologiehirarchiqueunniveauautourdelaire0.
(ReliresincessairelasectionPartagedelASenaires.)
10 Selon vous, quelle caractristique du protocole OSPF le protge quasi naturellement de la formation de boucles de
routage?
ChaquerouteurpartdelaLSDpourcalculerunarbrerecouvrantqui,paressence,nedonnequunseulcheminentretoute
destinationetlerouteurquifaitlecalcul.Ilrestebiensassurerquelhypothsededpart,savoiruneLSDidentiquesur
chaquerouteur,soitbienvrifie.
11 Observezlillustrationcidessous.QueltrajetOSPFfaitilemprunterautraficissude10.0.11.0etdestin10.0.12.0?
- 5-
LecheminlemoinscoteuxestAGFED.
12 UnrouteuretsonvoisinphysiquenepeuventtablirunerelationdevoisinageausensOSPFquesilssontdaccord
suruncertainnombredeparamtres.Citezdeuxdecesparamtres.
Listenonexhaustive:lidentifiantdaire,lemasquederseau,lesdlaisHelloIntervaletRouterDeadInterval(relire
sincessairelasectionFormatdesmessagesOSPFLemessageHello).
13 DfinissezlenumrodeprocessusOSPF.
Contrairement EIGRP, le numro de processus na quune signification locale et na pas besoin dtre identique sur
lensemble des routeurs du domaine OSPF. Mais dans un souci de clart ou de cohrence, ladministrateur fera bien de
choisir le mme numro de processus pour tous les routeurs OSPF (relire si ncessaire la section Configuration OSPF
CrationduprocessusOSPF).
14 Quelstypesderseauxentranentllectiondunrouteurdsignainsiquecelledunrouteurdsigndesecours?
LerseaudiffusionbiensrmaisaussiunrseauNBMAquandladministrateurapulemaillercompltementetdoncle
configurer en mode OSPF Broadcast (relire si ncessaire la section Linterface OSPF Reprsentation des rseaux LAN et
NBMA).
15 Quelle condition indispensable fautil remplir pour tre assur quun routeur OSPF construise un arbre SPF exempt
derreurs?
La base de donnes LSD doit tre identique sur chacun des routeurs de la zone OSPF (relire si ncessaire la section
ProcessusdinondationLesacquittements).
16 Citez un autre protocole qui, comme OSPF, met profit lalgorithme de Dijkstra pour tablir larbre du plus court
chemin.
OSPF nest pas le seul protocole de routage avoir adopt lalgorithme de Dijkstra. ISIS (Intermediate System to
IntermediateSystem),protocoleIGPdfiniparlISO(normeinternationaleISO/IEC10589:2002)afaitdemme.LIETFa
publilesspcificationsdISISdanslaRFC1142(reliresincessairelasectionAperuduprotocoleAlgorithmeDijkstradu
pluscourtchemin).
17 Observezlillustrationcidessous.QuefaitR8dumessageLSUpdatereudeR12etquiporteleLSAderouteur
gnrparR12?
R8extraitleLSAdumessageLSUpdatepuissontourcomposedeuxnouveauxmessagesLSUpdatedestins
R21 et R22, et dans lesquels il encapsule le LSA de routeur du routeur R12 (relire si ncessaire la section Processus
dinondationConceptsgnraux).
18 CommentOSPFdsignetiluneinterfacederouteur?
Unlien(reliresincessairelasectionLinterfaceOSPFStructuredesdonnesdelinterface).
- 6-
19 DonnezdeuxcritresessentielsquimiliteraientenfaveurdeladoptiondOSPF.
Lacapacitprendreencomptedegrandsrseaux.
OSPFestunprotocoleouvert.Sioutrelefaitdtregrand,lerseauesthtrogne,alorsOSPFpeutmmedevenir
lechoixunique.
(ReliresincessairelasectionAperuduprotocolePrincipesgnraux.)
20 Observezlillustrationcidessous.DequelsrouteurslerouteurR12reoitildespaquetsHello?
Les paquets OSPF sont toujours changs entre voisins. Puisque deux voisins sont toujours directement connects, un
paquetOSPFnestjamaisroutaudeldurseaudontilestissu.
Lavaleur1attribueauchampTTLconfirmecechoix:puisquunpaquetOSPFnajamaisbesoindtreacheminaudeldu
rseaudontilestissu,onestainsiassurquejamaislepaquetneffectueraunsautsupplmentaire.
Enconsquence,R12reoitdesmessagesHellodeR11etR8(reliresincessairelasectionFormatdesmessagesOSPF).
21 QuesignifielamentionOE2associelaroutevers172.26.9.0danslextraitdecapturedunecommandeshowip
routecidessous?
O E2
IlsagitdunerouteappriseparOSPFetdetypeexterne.Letype2rappellequelecotverscettedestination,10danslecas
prsent,estlecotannoncparlASBR.CecotnapastmodifiparOSPF(reliresincessairelasectionRemplissagede
latablederoutageClassificationdesroutes).
22 QuelleestladistanceadministrativedOSPF?
La distance administrative, cestdire le degr de confiance accord une route issue dOSPF est de 110. CISCO fait
davantage confiance son protocole maison EIGRP crdit dune DA de 90. Sur un routeur qui ferait tourner les deux
protocoles, une destination connue des deux protocoles ferait choisir et placer dans la table de routage la route issue
dEIGRP, jusqu ce que ladministrateur dsactive EIGRP (relire si ncessaire la section Linterface OSPF Structure des
donnesdelinterface).
23 CitezdeuxcommandespermettantdedcouvrirleRIDdunrouteurOSPF.
showipospfinterface
showipprotocols.
(ReliresincessairelasectionConfigurationOSPFContrleetdpannage.)
24 CommentOSPFcalculetillecotduneroute?
Lecotduneroutersulteducumuldescotsdesdiffrentsliensquicomposentlaroute.Lecotdunlienestfonctionde
- 7-
labandepassantedulien(reliresincessairelasectionRemplissagedelatablederoutage).
25 Un domaine OSPF utilise sept routeurs. Le domaine est oprationnel (il a converg). Les configurations ont t
sauvegardes. La seule source de routage est OSPF. Ladministrateur doit redmarrer lun des routeurs. Quelles
informationsfigurentdanslatablederoutageunefoislefichierdeconfigurationchargmaisavantqueOSPFnaiteu
letempsdeconverger?
Seuleslesroutesdirectementconnectessontprsentesetcecomportementnedpendpasduprotocolederoutagemis
enuvresurlerouteur.
26 Considrezlillustrationcidessous:
VoiciunextraitdelatablederoutagedeR9:
R9#sh ip route
.........
10.0.0.0/24 is subnetted, 8 subnets
O
10.0.8.0 [110/1563] via 192.168.1.1, 00:00:49, serial0/1
.........
R9#
QuellecommandenetworkatilfalluentrersurR9pourobtenircersultat?
R9(config)#router ospf 1
R9(config-router)#network 192.168.1.0 0.0.0.3 area 0
(ReliresincessairelasectionConfigurationOSPFLacommandenetwork.)
27 Considrezlillustrationcidessous:
- 8-
Quesepassetilimmdiatementaprslexcutiondescommandescidessous:
R16(config)#int f0/0
R16(config-if)#ip ospf priority 255
Rien.LeDRresteDR,leBDRresteBDR.Certeslavaleur255constituelaprioritmaximalemaisunrouteurdsignnest
jamaisremisenquestion.Seulesadisparitionprovoquesonremplacement(reliresincessairelasectionLinterfaceOSPF
Mcanismedlectiondunrouteurdsignetdunrouteurdsigndesecours).
- 9-
Prrequisetobjectifs
1.Prrequis
Le modle OSIRM et notamment le rle de la couche rseau soit le chapitre Le modle de rfrence OSI de
louvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Ladressage IP soit le chapitre La couche rseau ladressage IP de louvrage Cisco Notions de base sur les
rseauxdanslacollectionCertificationsauxEditionsENI.
LesconnaissancesetsavoirfairepropossdanslechapitreLeroutage,initiationdelouvrageCiscoNotionsde
basesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Objectifsextraitsdumodule4duparcoursExplorationintitulAccsaurseautendu
Dcrirelobjectifetlestypesdelistesdecontrledaccs.
Configureretappliquerdeslistesdecontrledaccsenfonctiondesexigencesdefiltragedurseau.
Vrifier,surveilleretdpannerleslistesdecontrledaccsdansunenvironnementrseau.
- 1-
Principesgnraux
Commenonsparunavertissement.LIOSCISCOfaitunusagetrsabondantdeslistesdecontrledaccsaupoint
quun ouvrage ddi sur ce thme ne serait pas superflu. Nous ferons donc en sorte que ce chapitre couvre les
attendusdelacertificationCCNAetmmedavantage,afinqueladministrateurpuisseexercersonactivitlaidede
cetouvrage.Maisimpossibledeprtendrelexhaustivit.
Continuonsparuneprcautionquantlaterminologie.ACLestlacronymedeAccessControlListquilfauttraduire
par Liste de contrle daccs. Nous nous permettrons dutiliser lacronyme ACL ou dutiliser la forme rduite liste
daccscarlesrptitionsserontnombreuses.
Lechoixdutermeaccssurprendcarlobjetdunelistedaccsestdedfinirletraficquidevraittreautorisou
pastraverserunrouteur.Lalistedecontrledaccsauraitpusenommerlistedecontrledetrafic.Puisquilfaut
bienconstaterquetouslesfluxdepaquetsnesontpaslgitimessurlerseau,lerouteurdoitpouvoirsupprimerles
paquetsconsidrscommeillgitimes.Leslistesdaccssontloutilprivilgideladministrateurpourmettreenplace
cefiltrage.Quelquesexemplesdapplications:
AutoriseroupasltablissementdunesessionTelnetsurunrouteur
Autoriseroupaslaconnexionauserveurhttpdurouteur
Empcherourduirelapropagationdemisesjourderoutage
Rduire la porte de la commande debug ip packet et par suite, rduire la consommation de ressources
machine
IdentifierlespaquetsquijustifientlactivationdunlienWANcommut(DDR:DialOnDemandRouting)
Authentifierlesutilisateurslorigineduntrafic
Identifierlespaquetsdevantfairelobjetduncryptage...
Silfautclassercesapplications,onpeutremarquerquecertainesvisentcontenirletrafic.Labandepassantedes
liensnestpasuneressourceillimiteetilconvientdenepaslagaspiller.Dautresvisentlascuritenprotgeantle
routeuroulerseau.Leslogiquesquiprvalentdanslamiseenplacedeceslistessontgnralementinverses:
Unelistedaccsquifiltreletraficrejetteletraficillgitime.
Unelistedaccsdontlobjetestlascuritautoriseletraficlgitime.
- 1-
Fonctionnement
Commesonnomlindique,lalistedaccsestcomposedunesuitedlments.Aucunvocablenestdfinipourchacun
de ces lments que lon pourrait galement baptiser instruction ou test. Chaque lment comporte deux parties
organisesainsi:
SI condition__vrifier ALORS action
Pour un lment, si la condition vrifier est avre, alors laction dfinie est entreprise. Seules deux actions sont
possibles : PERMIT ou DENY. Laction PERMIT entrane que la liste cesse toute action, le paquet peut progresser
commeillauraitfaitenabsencedeliste.LactionDENYenrevancheestuneactionvritableetmetlepaquetaurebus.
Sipourunlment,laconditionvrifiernestpasavre,alorslIOSlitllmentsuivantquandilexiste.QuandlIOS
apuistousleslmentssanstrouveraucuneconditionavre,ilmetlepaquetaurebus.Toutsepassecommesila
liste comportait un dernier lment par dfaut, non affich, de rejet systmatique. Un rejet suite une condition
avre dun lment quelconque de la liste est un rejet explicite. Puisquil ne correspond aucune ligne de
configuration,cerejetsystmatique,fautedeconditionavredanslaliste,estappelrejetimplicite.
Comme le montreront les tudes de cas qui suivent, lordre choisi pour les lments qui composent la liste est
essentiel.Eneffet,leslmentssontlusensquencemaisunlmentnestluquesilaconditionntaitpasavre
lorsdelalecturedellmentprcdent.Ainsi,danslexemplecidessus,lepaquetnestpasconcernparlitem1,pas
plusparlitem2maisillestparlitem3dontlactionestPERMIT.Cepaquetesttransmis.Queladministrateurinverse
lesitems3et4etcemmepaquetestmisaurebusparcequilporteleprotocoleU.
La condition vrifier est plus ou moins labore selon le type de liste daccs choisi. Le cursus CCNA envisage
essentiellementleslistesdaccsIPstandardettendues.Pourunelistestandard,laconditionvrifierneporteque
surladressesourcedespaquets.Unelistetenduecomportedesconditionsquiportentlafoissurdesinformations
decouche3etdesinformationsdecouche4.Lesinformationsdecouche3sontlesadressessourceetdestination,le
protocole de couche 4 encapsul. Les informations de couche 4 peuvent tre les numros de port TCP et UDP mais
aussi par exemple, les drapeaux de TCP. Des listes encore plus labores permettent un filtrage selon des
informationsextraitesdelacouchesession(couche5)despaquets.
Unelisteestmiseen uvresurunfluxdepaquetsentrantsuruneinterfaceousurunfluxdepaquetssortantparune
interface.ChaquepaquetdufluxestpassaucribleetneressortdecettepreuvequesilIOSapulireunecondition
avre dans la liste dont laction tait PERMIT. Un paquet peut faire lobjet de deux filtrages quand une liste est
associelinterfacequilaempruntepourentreretquanduneautrelisteestassocielinterfacequelerouteura
choisiepourlefairesortir.
Lorganigrammesuivanttentedesynthtiserlecheminementdunpaquetdansunelisteplacesurlinterfacedentre
puisdansunelisteplacesurlinterfacedesortie:
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
- 2-
Identificationdeslistesdaccs
Ladministrateurpeutidentifierunelisteenluiattribuantunnomouunnumro.Quandildcidedelefairelaidedun
numro, le numro choisi lui permet de dsigner le type de liste mettre en place. Au moment o ces lignes sont
crites,lIOSconnatlesplagesdidentifiantssuivantes:
Plage
Description
199
ListedaccsIPstandard.
13001999
ListedaccsIPstandard,plagelargiedepuisIOSv12.1.
100199
ListedaccsIPtendue.
20002699
ListedaccsIPtendue,plagelargiedepuisIOSv12.1.
200299
Ethernettypecode.
700799
Ethernetaddress.
200299
Transparentbridging(protocoltype).
700799
Transparentbridging(vendorcode).
11001199
Extendedtransparentbridging.
300399
DECnetandextendedDECnet.
400499
XNS.
500599
ExtendedXNS.
600699
AppleTalk.
200299
Sourceroutebridging(protocoltype).
700799
Sourceroutebridging(vendorcode).
800899
ListedaccsIPXstandard.
900999
ListedaccsIPXtendue.
10001099
IPXSAP.
1100
StandardVINES.
101200
ExtendedVINES.
201300
SimpleVINES.
lintrieur dune plage donne, il nexiste aucune contrainte quant au choix du numro de liste. Par exemple,
ladministrateurquitablitunepremirelisteIPstandardpeutindiffremmentluiattribuerlenumro1,10ou50.Dela
mmefaon,lenumroattribuunesecondelistenapasbesoindesuivrelenumroattribulapremireliste.
Tousleslmentsidentifisparunmmenumrofontpartiedelammelistedaccs. Ladministrateurquientreles
diffrentslmentsdoitlefairedanslordreprvupourleurlecture.
Observez le tableau cidessus, il arrive que des numros identiques identifient des types de listes diffrents, par
exemplepourlesnumros199.Danscecas,cestleformatdelacommandequipermetlIOSdedistinguerquelle
listeestmiseenplaceetdoncdeleverlambigut.
- 1-
Listedaccsnumrotestandard
1.Champdapplication
Unelistedaccsstandardconvientquandilsagitde:
filtreruntrafic
limiterlaccsdessessionsTelnet
limiterlaccsdessessionshttp
filtrerdesmisesjourderoutage
limiterlaportedelacommandedebugippacket.
2.Configurationdunelistedaccsnumrotestandard
LasyntaxedelacommandepermettantdecrerunlmentdelalisteACL_#estlasuivante:
Router(config)# access-list ACL_# {permit | deny} {@IP_source [masq_gnrique] |
any} [log[cookie_utilisateur]]
Lesargumentsdecettecommandesont:
ACL_#
Unnombre(199ou13001999)quiidentifielensembledeslmentsdelaliste.
Permit|Deny
Choixdelaction,lepaquetdoitilvivreoumourir?
Source|any
CertainshtesouTousleshtes.
Masq_gnrique
UtilequandSourcenestpaslimitunseulhte,patientez.
Log
Activelajournalisationdvnementsliscetlmentdelalistedaccs.
Cookie_utilisateur
Chanedecaractresoptionnelle,ajoutelvnementjournalislaideloptionlogafindaiderladministrateur
identifier llment de la liste daccs qui a provoqu lvnement. Des restrictions existent, la chane ne doit pas
utiliserdemotsclsdeslistesdaccsetnedoitpasdmarrerparunenotionhexadcimale0x.
Le numro ACL_# doit tre compris dans lune des deux plages [1 99] ou [1300 1999]. Ce mme numro est
attribuchacundeslmentsquicomposentlaliste.Chaquenouvellmentcrvientsajouteraprsleslments
djcrs(aubasdelalistedonc).
Considrezlalisteciaprs:
R80#conf t
R80(config)#access-list 20 deny 10.0.1.30 0.0.0.0
R80(config)#access-list 20 deny 10.0.1.62 0.0.0.0
- 1-
a.Lesadressessourcehostetany
Lidentifiant{@IP_source[masq_gnrique]|any}permetdedsignerun,plusieursoutousleshtes.
Quand le masque gnrique est omis, lIOS conclut que ladresse source est celle dun hte. Autrement dit, le
masque gnrique par dfaut est 0.0.0.0 (tous les bits doivent correspondre, voir Manipulation des masques
gnriquesciaprs).Quandilestsaisi,lemasquegnrique0.0.0.0napparatpasdanslefichierdeconfiguration.
CestainsiquelalisteprcdemmentcresurR80devientdanslefichierdeconfiguration:
R80#sh run
.........
access-list
access-list
access-list
access-list
access-list
.........
R80#
20
20
20
20
20
deny 10.0.1.30
deny 10.0.1.62
permit 10.0.1.190
permit 10.0.1.180
permit 10.0.1.62
Ilestpossiblededsignerlensembledeshtesenremplaantlensembleadressesourceetmasquegnriquepar
lemotclany.Lasectionsuivantemontreraquenfait,lemotclanyremplacelidentifiant0.0.0.0255.255.255.255.
Lexemplemodificiaprsmontrelusagedelidentifiantany:
R80#conf t
R80(config)#access-list
R80(config)#access-list
R80(config)#access-list
R80(config)#access-list
R80(config)#access-list
R80(config)#
20
20
20
20
20
deny 10.0.1.30
deny 10.0.1.62
permit 10.0.1.190
permit 10.0.1.180
permit any
Ledernierlmentautoriselespaquetsquellequesoitleurprovenance.Defait,lerejetimpliciteenfindelistenest
plus sollicit. Ce dernier lment atil une influence sur les deux premiers ? Assurment non, quand lhte est
10.0.1.30ou10.0.1.62,lalecturedelalistecessedsllment1ou2.Quepensezdudernierlmentajouten
laissant subsister les lments 3 et 4 ? Ces lments sont redondants et ladministrateur devrait supprimer les
lments3et4.CelanemodifierapaslecomportementdelalistemaiselleconsommeramoinsderessourcesCPU.
Quadviendraitil si lon ajoutait maintenant llment accesslist 20 deny 10.0.1.222 ? Strictement rien car la
lecturedelalistenirajamaisaudel de llmentaccesslist 20 permit any.Unpaquetenprovenancedelhte
10.0.1.222seraautoris.
b.Manipulationdesmasquesgnriques
RFCutiles:
RFC792InternetControlMessageProtocolSeptembre1981
RFC1812RequirementsforIPVersion4RoutersJuin1995.
Souvenonsnousdaborddecequestlemasquerseau,dontlutilitestdextraireladresserseauduneadresse
IP.EnralisantunETlogique,bitbit,entreladresseIPetunmotbinairede32bitscomposde1enfacedes
bitsdeladresserseauconserver,de0enfacedesbitsdeladressehteignorer.Cemotbinaireestappel
masquederseauoumasquedesousrseau.Lafigureciaprsillustrelamthodeemploye:
- 2-
Ilfautimaginer32fonctionslogiquesETdeuxentresetpourchacunedecesfonctions,uneentreconnecte
unbitdeladresseIP,lautreentreconnecteaubitcorrespondantdumasque.Onobservequilfautautantde1
contigus gauche du masque que de bits affects ladresse rseau dans ladresse IP. Ainsi, la longueur de
ladresserseauetlenombrede1dumasquedpendentduprfixeattribu(oudelaclassedadressespour
unfonctionnementavecclasse).
Lemasquegnrique(queCISCOdsigneparWildcard,littralementjoker)utiliseunelogiqueinverse.Quand
unmasquedsignelesbitsquilfautretenir,lemasquegnriqueditquelssontlesbitsquilfautignorer.Lemasque
taitassociladresseIPavecunETlogiquepourexprimerladresserseau.Lemasquegnriqueestassoci
ladresseIPlaidedunOUlogiqueafindedterminersilaconditionestavreoupas.Pourmmoire,lasortiedun
ET logique deux entres est 1 si et seulement si les deux entres sont simultanment 1. La sortie dunOU
logiquedeuxentresest0sietseulementsilesdeuxentressontsimultanment0.Toutcecifaitquecertains
auteursnommentmasqueinverslemasquegnrique,cestcomprhensiblemaisncessitequelquesprcautions.
Lafigureciaprstentedillustrerlalogiqueutiliseavecunmasquegnrique:
Imaginonsunelistedaccsappliquesurlefluxsortantdelinterfacedunrouteur.Unpaquetissuduprocessusde
routageestremislinterface.LIOSanalyseladressesourcecontenuedanscepaquetenlacomparantladresse
sourcedfiniedanslepremierlmentdelalistedaccs.Pourcefaire,lIOSraliseunpremierOUlogiquebitbit
entreladressesourcecontenuedanslepaquetetlemasquegnriquedellment.PuislIOSraliseunsecond
OUlogiqueentreladressesourcedellmentetcemmemasquegnrique.Silesdeuxrsultatssontidentiques,
cepaquetrpondaucritredellment1etlIOS applique lactionprvue.Observezquelesbits1dumasque
gnriquesontlesbitsignorer.
Un peu de logique combinatoire permet dapprhender le problme avec encore plus de prcision. Nommons les
variablesenprsence:
Chaquepositionbinaire:ivariantde0(poidsfaible)31.
@Sladressesourcecontenuedanslepaquetfiltrer,chaquebitdeladresse@S(i).
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
@SACLladressesourcecontenuedansllmentdelalistedaccs,chaquebitdeladresse@SACL(i).
Wlemasquegnrique,W(i)chaquebitdumasque.
COMP le rsultat de la comparaison de ladresse source contenue dans le paquet et de ladresse source
contenuedansllmentdelalistedaccs,COMP(i)chaquebitdecemot.
Quelleestlafonctionlogiquequipermetdecomparer?LeXOR(Ouexclusif),dontlasortienevaut0quesilesdeux
entressontdanslemmetat.Ilsagitdoncderaliserbitbitlafonctiondelogiquecombinatoiresuivante:
Ensesouvenantque
Ensesouvenantque
,ilreste:
Enfinal,ilvient:
Traitonslemmeexempleaveccettelogiquereconsidre:
Imaginonsunpaquetissuduneautresource:
- 4-
Ladministrateurdoittrecapabledersoudredeuxproblmatiquesdualesquiconcernentlemasquegnrique:
retrouverlaplagedadressesconcerneparuneassociation@IP/masq_gnrique
exprimeruneplagedadressesdonnesousformeduneassociation@IP/masq_gnrique.
Mais la grande question est estce que la plage dadresses couverte par lassociation @IP/masq_gnrique est
uneplagedadressescontigesoupas?.Avecunmasquederseau,cettequestionneseposepas.Lemasque
derseauestobligatoirementcomposdunesuitedenbits1concatneavecunesuitede(32n)bits0
.Lassociation@IP/masquederseaufournitdefaoncertaineunespacedadressescontiges.Maisriennoblige
unadministrateurcomposerunmasquegnriqueavecunesuitede0 concatneavecunesuitede 1.
Les0etles1peuventtreimbriqusafindecouvrirdesplagesdadressesnoncontiges.Celacomplique
videmmentlalecture.Unadministrateurbienchaudsurlesujetpeutfairepreuvedegnie,peuttre,maisil
devraitpenserquecequiestclairaujourdhuisembleratrsobscurdanssixmois.Etpuisnousnetravaillonspas
seulsetilfautconserverlespritquecesconfigurationsdoiventtreaccessibleslensembleducollectifdetravail.
Bref,privilgionsdesespacesdadressescontigusetdoncdesmasquesgnriquesquirespectentlargle:rien
quedes0suiviparrienquedes1.Appelonsmasquescontinusdetelsmasques.
Masquegnriquecontinu
Traitons un exemple pour nous en persuader. Soit dcouvrir la plage dadresses couvertes par lassociation
10.0.8.0/0.0.1.255.
Question1:lemasquegnriqueestilcontinu?
Exprimonslemasqueenbinaire:00000000.00000000.00000001.11111111
Larponseestouietnouspouvonsconclurequelaplagedadressesestcomposedadressescontiges.
Question2:ladresseIPdelassociationestelleladressededbutdubloc?
Pourledterminer,exprimonslemasquerseau:
=255.255.254.0
Puisextrayonsladresserseau:10.0.8.0AND255.255.254.0=10.0.8.0
Larponseestgalementoui,ceblocdadressesestdonc10.0.8.0/23.
Question3:quelleestlaplagedadressescouverteparlassociation?
Lemasquegnriqueprendicidelintrtcarilsuffitdadditionnerladressededbutetcemasquepourexprimer
ltendue.Ladressedefinest:10.0.8.0+0.0.1.255=10.0.9.255.
Ainsi,laplagecouvre512adressesde10.0.8.010.0.9.255.Ladministrateurnestpasdpays,manipulermasque
de rseau ou masque gnrique, peu importe. Dcomposons de faon dichotomique lespace 10.0.8.0/23 jusquau
prfixedelongueur25:
- 5-
10.0.8.0/24
10.0.8.0/23
10.0.8.0/25
10.0.8.128/25
10.0.9.0/24
10.0.9.0/25
10.0.9.128/25
Appliquonslesespacesdadresses/25surlatopologiecidessous:
CronsunelistedaccssurRACL11adecettetopologieafindepermettrelaccsLAN12depuislesrseauxLAN11
etLAN8etdoncafindinterdirelaccsdepuislesrseauxLAN21etLAN22.
Une premire faon de faire consiste crer une liste comportant deux lments, lun pour autoriser laccs au
rseau 10.0.8.0/25, lautre pour autoriser laccs au rseau 10.0.9.0/25. Le masque gnrique est chaque fois
0.0.0.127danslequelles7bitsdepoidsfaiblesont1carcesbitsdoiventtreignorslorsdestestsdelACL.On
peutobserverquilestfaciledexprimerlemasquegnrique:
eninversantlemasquerseau:
=0.0.0.127
ouenralisantlasoustractionoctetparoctet:255.255.255.255255.255.255.128=0.0.0.127.
Extraitdelaconfigurationavantcrationdelalistedaccs:
RACL11a#sh run
Building configuration...
!
interface FastEthernet0/0
description LAN11
ip address 10.0.8.1 255.255.255.128
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN21
ip address 10.0.8.129 255.255.255.128
duplex auto
speed auto
!
interface Ethernet1/0
description LAN12
ip address 10.0.1.193 255.255.255.224
full-duplex
- 6-
!
interface Ethernet1/1
description LAN22
ip address 10.0.9.129 255.255.255.128
full-duplex
!
interface Ethernet1/2
description LAN8
ip address 10.0.9.1 255.255.255.128
full-duplex
RACL11a#
ProfitonsdecettemiseensituationpourobserverlecomportementdelIOSquandunelistedaccsestapplique
suruneinterfacesansquaucun lment naittcrdanslaliste.Cequelonpourraitappelerunelistedaccs
vide(emptyACL):
RACL11a#conf t
Enter configuration commands, one per line.
RACL11a(config)#int e1/0
RACL11a(config-if)#ip access-group 10 out
RACL11a(config-if)#^Z
RACL11a#
Une commande ping lance depuis chacun des PC de test PCL110, PCL210, PCL80 et PCL220 vers PCL120 le
confirme, toutes les requtes aboutissent. La liste vide est sans effet sur le flux de paquets qui transite par
linterface e1/0 du routeur. On peut dduire que le rejet implicite en fin de liste daccs ne sapplique que silest
prcddaumoinsunlmentexplicite.
Cronslalistedaccs10avecdeuxlments:
RACL11a#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RACL11a(config)#access-list 10 permit 10.0.8.0 0.0.0.127
RACL11a(config)#access-list 10 permit 10.0.9.0 0.0.0.127
RACL11a(config)#^Z
RACL11a#
Mettons la liste lpreuve.Commeprvu,larequtepingaboutitquandelleestmisedepuisPCL110etPCL80,
restesansrponsedepuisPCL210etPCL220.Enoutre,quandlarequtechoue,lapasserelleenvoieunmessage
ICMP Communication administratively filtered . Une capture ralise laide de Wireshark sur LAN21 complte
linformation(capturecap_2K_01.pcapdisponibleentlchargement):
Conformment aux prconisations du RFC1812 ( Requirements for IP Version 4 Routers, page 80), la passerelle
gnreunmessageICMPdetype3Destinationunreachableassociaucode13CommunicationAdministratively
Prohibitedgeneratedifaroutercannotforwardapacketduetoadministrativefiltering.Aucundoutenesubsistequant
lanaturedurejetdelarequte.
Masquegnriquediscontinu
- 7-
Mais revenons notre masque gnrique car cest maintenant quil va pouvoir se diffrencier dun simple masque
rseau invers. Les deux rseaux 10.0.8.0/25 et 10.0.9.0/25 ntant pas contigus, impossible de les agglomrer
dansunereprsentationCIDRaveclemasquederseauquenousconnaissons.Etpourtant,ilestpossibledeles
agglomreraveclemasquegnrique,laconditiondutiliserunmasquediscontinu:
Ainsi, 10.0.8.0/0.0.1.127 reprsente lagglomrat des rseaux 10.0.8.0/25 et 10.0.9.0/25. Nommer rseau cet
agglomrat serait impropre, il faudrait inventer un mot nouveau. En attendant linspiration, crons une autre liste
avecunseulitemgrcelutilisationdecemasquegnriquediscontinu:
RACL11a#conf t
Enter configuration commands, one per
RACL11a(config)#access-list 20 permit
RACL11a(config)#int e1/0
RACL11a(config-if)#no ip access-group
RACL11a(config-if)#ip access-group 20
RACL11a(config-if)#^Z
RACL11a#
Observezaupassageunmoyensimpledenepaslaisserlinterfacesansprotectionpendantunlapsdetempstrop
long. Plutt que dditer la liste en cours dusage, ladministrateur a prfr plac llment corrig dans une
nouvellelistepuisappliquercettenouvellelistelinterface.Ilresteraitsupprimerlalistedaccsn10.Mettonsla
listen20lpreuve.Commeprvu,larequtepingaboutitquandelleestmisedepuisPCL110etPCL80,reste
sansrponsedepuisPCL210etPCL220.Enmaintenantlesrservesfaitesausujetdelutilisationdecesmasques
discontinus, nous pouvons tre satisfaits car limiter le nombre dlments contenus dans une liste daccs, cest
aussilimiterlachargeCPU.Lacommande noipaccessgroup 10 outatentredansunbutdidactique.Sielle
navaitpastentre,lacommandeipaccessgroup20outlauraitremplac(patientez).
Cequilfautenretenir:
LassociationduneadresseIPetdunmasquegnriquepermetdedfiniruneplagedadressesrseau.
Laplagedadressesdfinieparlassociation@IP/masquegnriqueestuneplagecontinueetcorrespond
unrseauquandlemasquegnriqueestcontinu,cestdirecomposdunesuiteininterrompuede0
suivie dune suite ininterrompue de 1 . Dans ce cas, le masque gnrique rsulte de la simple inversion du
masquerseau.
Avecbeaucoupdeprcautions,ilestpossibledexprimerlagglomrationdeplusieursrseauxnoncontigus
dans une seule association @IP/masque gnrique. Dans ce cas, le masque est discontinu, la seule rgle
tantquelesbits1dumasquecorrespondentauxpositionsquiserontignoresdansladresse.
Par exprience auprs de ses stagiaires, lauteur sait que les masques gnriques constituent gnralement un
pointdur.Commesilefaitdtrefamiliarisaveclemasquerseaucompliquaitladoptiondecettenouvellelogique.
Quelquesexercicessimposent...
Exercicemasquegnrique
Uneplagedadressespeutdsormaissexprimerdetroismaniresdiffrentes,correspondantauxtroiscolonnesdu
tableau cidessous : @IP_dbut @IP_fin, @IP/masque de rseau, @IP/masque gnrique. Pour chaque cas
proposdansletableau,compltezlesmodesdereprsentationmanquants:
@IP/masquederseau
- 8-
Plagesdadresses
@IP/masquegnrique
192.168.1.16192.168.1.31
Le4 e octetenbinaire:
192.168.1.0001 0000192.168.1.0001 1111
192.168.96.0/23
192.168.96.0/19
192.168.96.0/18
192.168.75.0/0.0.0.255
172.26.0.0/0.0.255.255
210.1.10.0/0.0.1.255
209.10.25.128/0.2.0.31
0/0
Problmemasquegnrique
Considrezlafigurecidessus.
1)laidedumasquegnrique,estilpossibledagglomrerlesrseauxNWetNEdansunrseauNord?
2)Sivotrerponseestoui,exprimezdanscecas,queldevraittrelareprsentationdelagglomratSud.
3) Au vu des questions prcdentes, vous tes maintenant persuad quil est impossible dagglomrer les deux
rseauxNordensemble,idempourlesdeuxrseauxSud.Enmaintenantlesquatrerseauxconfinsdanslespace
global10.0.8.0/21,proposezunesolutionpourqueceladeviennepossible.
LessolutionsdecesexercicesetproblmesontproposesauchapitreAteliersetexercicescorrigs.
- 9-
c.Applicationdunelistedecontrleuneinterface
LalistedaccsnACL_#,quicomportetousleslmentsdemmenumroACL_#,naaucuneffetsurletrafictant
quellenapastactive.Ladministrateuractivelalisteenlappliquantuneinterfacelaidedelacommande:
Router(config)#interface type [slot_#/]port_#
Router(config-if)#protocol_name access-group ACL_# { in | out }
Ledernierargumentdelacommandepermetdedistinguerquelfluxdoitsappliquerlalistedaccs:
En spcifiant in , lIOS utilise la liste daccs pour filtrer le flux de paquets entrants (reus) via cette
interface.
Enspcifiantout,lIOSappliquecettefoislalistedaccsafindefiltrerlefluxdepaquetssortants(mis)
durouteurviacetteinterface.
Parexemple,pourappliquerlalisten20surlefluxdeprotocoleIPsortantdelinterfacee1/0,ladministrateurutilise
lacommande:
RACL11a(config)#int e1/0
RACL11a(config-if)#ip access-group 20 out
LIOS accepte de nombreuses listes dans le fichier de configuration mais limite leur application sur les interfaces.
ImpossibleparexempledappliquerdeuxlistesIPsurlefluxentrantdunemmeinterface.Attentioncependantau
comportementdelinterfaceILCquinegnreaucunmessagederreurquandladministrateurappliqueunelistesur
unfluxdinterfacequitaitdjdot.Linterfacesecontentederemplacerlanciennelisteparlanouvelle.
Toujourspourunemmeinterface,ilestpossibleenrevanchedappliquerunelisteIPsurlefluxentrant,uneautre
surlefluxsortant,ouunelisteIPetunelistedunprotocolediffrentsurlefluxentrant.Largleestlasuivante:
PointclduCCNA:ladministrateurpeutappliquerunelistedaccsparinterface,parprotocoleetparsens
deflux.CISCOnommecetterglelargledes3P.
Soyons trs concret sur ce point en imaginant un routeur dot de deux interfaces, mettant en uvre les trois
protocolesIP,IPXetAppleTalk.Cerouteurpeutsevoirappliquerjusqudouzelistesdaccs!
Unautreusagedeslistesdaccsestderestreindrelesconnexionsunelignevirtuellevty,queleprotocolechoisi
soitTelnetouSSH.Lacommandecorrespondantesappliqueenconfigurationdeligne:
Router(config)#line type line_#
Router(config-line)#access-class ACL_# { in | out }
Enpremireapproche,ilpeutsemblercurieuxdevouloirfiltrerunfluxTelnetouSSHselonquilentreouquilsort.En
ralit, ce nest pas le flux de paquets qui est contrl ici mais ltablissement de session. Quand il sagit de
restreindre ltablissement dune session Telnet ou SSH sur cet quipement, cest largument in qui convient.
Quand il sagit dinterdire ltablissementdune autre session Telnet ou SSH sur un second quipement depuis la
sessionhteouvertesurlepremierquipement,cestlargumentoutquisapplique.Lagestiondesconnexions
Telnetlaidedelistesdaccsfaitlobjetdautresdveloppementsdansunesectionddiedecechapitre.
LacommandeaccessclassnaaucuneffetsurletraficTelnetquitransiteparlerouteur.Sonrelobjetest
decontrlerlouverturedesessionsurlquipementoudepuislquipement.
d.Positionnementdelalistedaccsstandard
Nousappuieronsnotrepropossurlateliersuivant:
- 10 -
LastationdeFathiestplacesurlerseauLAN11.Fathidoitavoiraccslensembledesressourcesdecerseau
lexceptionduserveurDEV.Ladministrateurveutrsoudreceproblmelaidedunelistedaccsstandard.Voicila
listequilalintentiondecrer:
Router(config)#access-list 1 deny 10.0.1.30 0.0.0.0
Router(config)#access-list 1 permit any
Il lui faut maintenant choisir le routeur qui recevra cette liste. Comme on le voit sur le schma cidessus, six
interfaces,numrotesde16sontplacessurunventuelfluxdepaquetsentrelastationdeFathietleserveur
DEV. Plaons mentalement et successivement la liste sur chacune des interfaces et tentons dimaginer les
consquencesquantauxlatitudesdeFathidanslerseau:
Repre
Routeur
Interface
In|Out
Accslaressource...
MAIL
WEB
FILE
DEV
R110
F0/0
In
NON
NON
NON
NON
R110
S0/0
Out
OUI
NON
NON
NON
R80
S0/0
In
OUI
NON
NON
NON
R80
S0/1
Out
OUI
OUI
NON
NON
R120
S0/1
In
OUI
OUI
NON
NON
R120
F0/0
Out
OUI
OUI
OUI
NON
Laconclusionestsansappel,pourrespecterlecahierdescharges,ilfautplacerlalistedaccsauplusprsdela
destination, cestdire du serveur DEV, et sur le flux sortant. Ceci est la consquence du choix du type de liste
daccs,savoiriciletypestandardquinepeutquecontrlerladressesourcecontenuedanslespaquets.Unetelle
listeplaceauplusprsdelasourcefiltretout.Aufuretmesurequeladministrateurlloignedelasource,laliste
sefaitdeplusenplusslective.
PointclduCCNA:unelistedaccsstandardseplacesurletraficsortantdelinterfacederouteurlaplus
prochedeladestination.
e.ditiondeslistesdaccs
- 11 -
Il est impossible de supprimer lun des lments dune liste daccs numrote. Tenter de supprimer un lment
spcifiqueentranelasuppressiondelalistedaccsdanssonentier,ilfautdoncsemontrerprudent.Delamme
faon,ilestimpossibledajouterunlmentquiviendraitsinsrerentredeuxlmentsexistants.Unnouvellment
estajoutsystmatiquementaubasdelalisteencoursddition.Cenestquedepuisunepoquercente(depuis
les versions 12.2(14)S et 12.3(2)T de lIOS) quil est possible de crer des listes daccs dites squences ,
dtaillesdansunesectionultrieure.PourlesversionsdelIOSnedisposantpasdecesfacilits,ladministrateur
astucieuxprfrediterunelistedaccsendehorsdelinterfaceILC(unditeurdetextequelconquefaitlaffaire),
puislinjecterdanslinterfaceILCparcopier/coller.
LessavoirfaireacquisicirendentpossiblelditionhorsinterfaceILC,quilsagissedeprparerdeslistesdaccsou
desconfigurationscompltesderouteurs,ilnyapasdediffrence.
AssociationPUTTY+Notepad
Suivezlesnumrosdespastillessurcetteillustration:
1.UnesessionconsoleestouvertesurlerouteurRACL11a.Sielleatouvertelinstant,lammoirequePUTTY
ddielactivitdelaconsole(toutesleslignesaffichessurlcranysontenregistres)estvide.Sicentaitpasle
cas,ilestpossibledevidercettemmoireeneffectuantunclicdroitsurlabarredetitrepuisenslectionnantClear
Scrollback.Ladministrateuraplaclinterfacedanslemodeprivilgietprovoqueunecommandeshowrun.Puis,
ladministrateurfrappelabarredespacechaquefoisquilobtientlemessage More,ceafindobtenirlaffichage
completdelaconfiguration.Puisquelatotalitdelaconfigurationataffichelcran,ellesetrouvegalement
danslammoiredePUTTY.
2.Pourtransfrerlecontenudecettemmoiredanslepressepapiers,ladministrateureffectueunclicdroitdansla
barredetitre...
3.Etdanslemenucontextuelquisaffiche,slectionneCopyAlltoClipboard.
4.LadministrateuraouvertuneinstancedeNotepadetsempressedycollerleprcieuxcontenu.
5. Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent
rellementlaconfiguration.Parexemple,endbutdecapture,effacezleslignessuivantes:
RACL11a#sh run
Building configuration...
Current configuration : 1226 bytes
Delammefaon,enfindecapture,effacezlalignesuivante:
RACL11a#
- 12 -
Danscettesituation,lelecteurseraitenpossessiondufichierdeconfigurationdecerouteur,quilestpossiblede
modifierloisirpuisderinjecterdanslerouteur.Danslecasprsent,seulelaconfigurationdelalistedaccsn20
intresse ladministrateur, il a effac toutes les autres lignes et sauv le fichier texte rsultant sous le nom
ACL20.txt.
6. Ladministrateur simpose dutiliser les fichiers texte de configuration en partant systmatiquement du mode
privilgi. Il ajoute par consquent la commande conf t ncessaire pour passer en mode de configuration. La
premirecommande noaccesslist20provoquelasuppressiondelalistedanssonentier,cequiestabsolument
ncessairepourpouvoirrecrerleslmentsdelalistedanslordrechoisi.Observezllmentparticulierremarkqui
nentrane pas de test par lIOS mais qui permet de documenter la liste daccs crer. Quand des lments
prexistentdanslaliste,lacommandeaccesslist20remarktexteprovoquelajoutdellmentaubasdelaliste
(cestbienpourquoiilfautparlerdlment).Observezenfinlacommandeend,quivalentelacombinaison[Ctrl]Z,
etquipermetdereveniraumodeprivilgiaprslinjectiondelalistemodifie.
7.LadministrateurslectionnelensembleducontenudufichierACL20.txtetleplacedanslePressepapiers.
8. De retour dans la session console ouverte sur le routeur RACL11a, le mode en cours est le mode privilgi. Un
simpleclicdroitprovoquelecollageducontenuduPressepapiers.
Avouezqucetinstant,onestpluttsatisfaitlidedutempsquilestpossibledegagnerentravaillanthorsde
linterface ILC. Le second avantage tient la possibilit de grer de faon rationnelle, centralise et scurise les
fichiersdeconfigurationdesquipements.Encoreunepierredansldificationdunepolitiquedescurit.
AssociationHyperTerminal+Notepad
HyperTerminalpermetautantdmulerunterminaletdoncdeseconnecterauportconsolequedtablirunesession
Telnet. Au moment o ces lignes sont crites, il ne peut pas ouvrir de session SSH. La procdure dcrite ciaprs
fonctionnequelquesoitlemodedtablissement,vialeportconsoleouviauneligneVTY.
1. nouveau, une session console est ouverte sur le routeur RACL11a. Ladministrateur la plac dans le mode
privilgi.IlprovoqueensuitelacommandedemenuTransfertCapturerletexte...
2.DanslafentreCapturedetexte,ladministrateurfournitunnom,danslecasprsentRACL11a.txt,ainsiquun
emplacement...
3. ... puis confirme laide du bouton Dmarrer. partir de cet instant, tout nouveau caractre affich est
galementsauvdanslacapturecestdiredanslefichierRACL11a.txt.
4. De retour linvite de commandes, ladministrateur provoque une commande show run. Puis, ladministrateur
frappe la barre despace chaque fois quil obtient le message More, ce afin dobtenir laffichage complet de la
configuration.Puisquelatotalitdelaconfigurationataffichelcran,ellesetrouvegalementdanslacapture
RACL11a.txt.
5.Ladministrateurcesseleprocessusdecapture.
Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent
rellementlaconfiguration.LesaffichagesMorequintaientpasprsentsdanslacapturePuTTYsesontinvits
- 13 -
danslacaptureraliseavecHyperTerminaletdoiventgalementtrets:
LadministrateurprparedelammefaonsonfichierdeconfigurationpourlafutureACLn20modifie:
Il reste injecter le fichier obtenu dans la configuration du routeur RACL11a. Mais ici, nul besoin de passer par le
Pressepapiers:
1.DeretourlinvitedecommandedelinterfaceICL,enmodeprivilgi.
2.LadministrateurprovoquelacommandedemenuTransfertEnvoyerunfichiertexte...
3. La fentre Envoyer un fichier texte lui permet de slectionner le fichier texte dsir, savoir ici le fichier
ACL20.txt.
4.Unefoislefichierconvenableslectionn,ladministrateurconfirme.
5.Etcommeparmagie,unadministrateurinvisibleetavisaentrlescommandessouhaites!
- 14 -
f.Loptionlog
Prrequis:lirelasectionJournalisation,leprotocoleSYSLOGduchapitreAdministrationetscurit.
Pourmmoire,lasyntaxedelacommandepermettantdecrerunlmentdelalisteACL_#estlasuivante:
Router(config)# access-list ACL_# {permit | deny} {@IP_source [masq_gnrique] |
any} [log]
Largumentlogpeuttreajouttoutlmentpourlequelladministrateursouhaiteraitensavoirunpeuplus.Bien
sr,impossibledavertirladministrateurchaquefoisquunpaquetcorrespondautestdellment.Laconsommation
enressourcesmachinesseraittropleveetlaffichageprobablementpeuexploitable.Unefoisloptionenplace,un
premier message avertit ds quun paquet a t pass au crible de la liste et que ladresse source du paquet
correspondait au test de llment. Puis, pour cette mme adresse source, lIOS compte le nombre de paquets
subsquents pendant les cinq minutes qui suivent et affiche la valeur atteinte par le compteur au terme des cinq
minutes.Tantquilsubsistedespaquets,lesmessagessesuiventcinqminutesdintervalle.Silefluxcesse,lenvoi
de messages cesse galement. Sil recommence audel de cinq minutes, la procdure reprend avec un message
gnraupremierpaquetpuisdesmessagespriodiquestouteslescinqminutes.
Utilisonsnouveaulatelier11aquiavaitpermisdtudierlesmasquesgnriquesetmodifionslalistedaccsn20
afindetesterloptionlog:
RACL11a#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RACL11a(config)#no access-list 20
RACL11a(config)#access-list 20 remark LAN8 et LAN11 autorises
RACL11a(config)#access-list 20 permit 10.0.8.0 0.0.1.127 log
RACL11a(config)#end
RACL11a#
EnprovoquantquelquesrequtespingdepuislesmachinesautorisesPCL110etPCL80,voicilesmessagesconsole
obtenus:
RACL11a#
01:19:53:
RACL11a#
01:20:48:
RACL11a#
01:25:00:
RACL11a#
01:26:00:
RACL11a#
01:30:00:
RACL11a#
Pour mmoire, les messages davertissement CISCO IOS se conforment au RFC 5424 qui tablit huit niveaux de
svritde07,lagravitcrotquandleniveaudesvritdiminue.Letableaucidessousrpertorielesniveaux
desvrit:
Niveau
Motcl
Objet
emergencies
SystemisunusableSystmeinexploitable.
alerts
ActionmustbetakenimmediatelyIlfautagirsanstarder.
critical
CriticalconditionsContextecritique.
errors
ErrorconditionsErreurs.
warnings
WarningconditionsAvertissements.
notifications
Normalbutsignificantconditionvnementnormalmaisimportant.
informational
InformationalmessagesInformation.
debugging
DebuglevelmessagesMessagesrsultantdunecommandedebug.
- 15 -
Les messages provoqus par largument log en fin dlment dACL sont classs au niveau 6 informational .
Chaque message inclut le numro de liste daccs, le type daction autoris ou rejet, ladresse source qui
correspondait au test de llment( match) ainsiquelenombredepaquets.Laffichage du message nestpas
systmatique,leprocessusSYSLOGsupprimelemessagequandilatropfaire.Onnepeutdoncsefiertotalement
aux valeurs de compteurs affichs, cet outil nest en aucun cas prvu pour devenir un outil de facturation par
exemple.
3.Miseaupointetcomptage
Loutildemiseaupointleplusvidentestlacommandeshowrunoushowstartmaisellecontraintladministrateur
extrairecequiatraitauxlistesdaccsdurestedelaconfiguration:
RACL11a#sh run
.........
!
interface Ethernet1/0
description LAN12
ip address 10.0.1.193 255.255.255.224
ip access-group 20 out
full-duplex
!
ip access-list extended ESSAI
permit icmp any any reflect ICMP_REFLEX timeout 10
access-list 20 remark LAN8 et LAN11 autorises
access-list 20 permit 10.0.8.0 0.0.1.127 log
!
.........
Enrevanche,ladministrateurdisposedembledelintgralitdelinformationACLsavoirdunepartlecontenudes
listesdaccs,dautrepartsurquellesinterfacessontappliquesceslistesdaccs.
La commande show accesslist permet dafficher le contenu de lensemble des listes daccs. Ainsi, sur le routeur
RACL11a,cettecommandepermetdapprendrequelaconfigurationcomprenddeuxlistes,unelistedaccsstandard
etunelistetendue(patientez):
RACL11a#sh access-list
Standard IP access list 20
permit 10.0.8.0, wildcard bits 0.0.1.127 log (60 matches)
Extended IP access list ESSAI
permit icmp any any reflect ICMP_REFLEX
Reflexive IP access list ICMP_REFLEX
RACL11a#
Ilestpossibledtreplusspcifiqueenprovoquantlaffichageducontenuduneliste:
RACL11a#sh access-list 20
Standard IP access list 20
permit 10.0.8.0, wildcard bits 0.0.1.127 log (69 matches)
RACL11a#
Cettecommandeestprcieusepuisque,outrelecontenudelaliste,ondcouvrelenombredoccurrencescondition
avre(celavamieuxenanglais:matches )parlment.Ainsi,loptionlogajouteenfindlmentnestpas
absolumentindispensablepoursuivrelecontenudescompteursquelIOSassociechaquelment.Unautreintrt
decettecommandeestdepouvoirclasserleslmentsselonlenombredoccurrences.Unelistedaccsconsomme
des ressources machine (CPU et mmoire). On se souvient que quand une condition teste est avre, laction
associe,permitoudeny,estentreprisepuislalecturedelalisteestabandonne.Ceconstatnousoffrelemoyende
ranger les lments selon un critre de moindre consommation de ressources : il faut placer les lments les plus
probablesenttedeliste.Considrezlalisteciaprs (cestunelistedaccstendue,patientez).Llmentleplus
frquemmentsollicitestllmentdenyipanyany.Maiscestaussileseulquinesoitpasmobile.Enrevanche,auvu
des compteurs associs aux autres lments, ladministrateur devrait rorganiser la squence afin de placer les
lmentsdanscetordre:lmentftplmentpop3lmentsmtp...Naturellement,lapriodedobservationdela
listedoittresuffisammentlonguepourquelescompteurssoientsignificatifs.
R100k#sh ip access-list 100
Extended IP access list 100
10 permit tcp 10.0.10.0
20 permit udp 10.0.10.0
30 permit tcp 10.0.10.0
40 permit tcp 10.0.10.0
- 16 -
0.0.0.255
0.0.0.255
0.0.0.255
0.0.0.255
any eq www (6
any eq domain
host 10.0.8.3
host 10.0.8.3
matches)
(9 matches)
eq pop3 (14 matches)
eq smtp (13 matches)
- 17 -
contenudecettebasededonnes:
RACL11a#sh ip accounting access-violations
Source
Destination
10.0.9.254
10.0.1.222
10.0.8.254
10.0.1.222
Packets
10
30
Bytes
840
2520
ACL
20
20
Packets
Bytes
ACL
4.Scnariostypes
Cest une habitude bien tablie maintenant, les scnarios proposs sont, comme ceux des chapitres prcdents,
reproductibleslaidedelensemblelogicielVMware,GNS3,PuTTY,Wireshark,lamachinedetestLINUXdisponibleen
tlchargement, liste non exhaustive. La topologie propose ciaprs a pour ambition doffrir un environnement
suffisamment riche pour mettre lpreuve tout type de liste daccs standard. Avant de songer installer une
quelconque ACL, on aura vrifi que la connectivit est totale, chaque station sait pinguer chacune des autres
stations:
Laplateformeutilisetaitlerouteur1751dotdunIOS12.3.
a.ContrlerlouverturedesessionTelnet
Objectifs:
- 18 -
Permettre louverture de session Telnet sur R100j depuis le rseau LAN10b, linterdire depuis le rseau
ENI Editions - All rigths reserved - Noba Mafiza
LAN10a.
DepuisunesessionouvertesurR100j,permettrelouverturedesessionversR120j,linterdireversR8j.
A Modem
-
Uses
0
0
1
0
0
0
0
Noise
1
0
0
0
0
0
0
Overruns
0/0
0/0
0/0
0/0
0/0
0/0
0/0
Int
-
Overruns
0/0
0/0
0/0
0/0
0/0
Int
-
A Modem
-
Uses
1
0
0
0
0
Noise
0
0
0
0
0
R100j#
- 19 -
DepuislamachineVMWKS01,ladministrateurouvreunesessionsurR100jetdepuiscettesession,tentedouvrirsur
R8j,sanssuccs,puisparvientouvrirsurR120j:
User Access Verification
Password:
R100j>telnet 10.0.11.2
Trying 10.0.11.2 ...
% Connections to that host not permitted from this terminal
R100j>telnet 10.0.13.1
Trying 10.0.13.1 ... Open
User Access Verification
Password:
R120j>
Ladministrateur est satisfait mais le lecteur attentif devrait tre surpris par la liste daccs n20. En effet, nous
avonsaffirmquunelistestandardnecontrlaitqueladressesource.Lalisten20montrequecetterglesouffre
uneexception.Danslecasduncontrledouverturedesessionappliquauxtentativessortantes,cestladressede
destinationquiestcontrle.
Lorsque la commande accessclass est applique sur les tentatives douvertures de session sortantes,
ladressecontrleparlalistedaccsstandardestladressededestination.
b.Limiterlaccsauxsessionshttp
Unelignedelaconfigurationglobaledenosrouteursdatelierestpeuttrepasseinaperuejusquici,ilsagitdela
commande ip http server. Cette commande indique que ces routeurs comme beaucoup dquipements CISCO,
offrentlaccsauxmodesutilisateuretprivilgiviaunnavigateurweb.Commenonsparobserverlecomportement
pardfautententantdenousconnecterR100jdepuisunnavigateurouvertsurVMWKS01:
1.IlfautsaisirenbarredadresseslunedesadressesIPdurouteurR100j,ilestlogiquedechoisirladresselaplus
procheduPCutilispourseconnecter,soitcelledelinterfaceF0/1(E0/0sirouteur1700)10.0.10.129.
2.Latentativedeconnexionentraneimmdiatementunedemandedauthentification.DanslammefentreMotde
passerseau,lerouteurfournitunepisteenprcisant level_15_access.Unefoisdeplus,ilfautadmettrela
difficultavancerdansdessavoirsdefaonparfaitementlinaire,squentielle.Eneffet,ceniveau15correspond
- 20 -
enfaitaumodeprivilgimaiscesnotionsdeniveauxdeprivilgeetdauthentificationneserontdtaillesquedans
lechapitresuivantAdministrationetscurit.Sillesouhaite,lelecteurpeutdoncfaireundtourparcechapitre,ily
dcouvriraquunrouteurproposequatremthodesdauthentification:{enable|Local|AAA|TACACS}.Lamthode
enable est celle que nous avons pratique jusqu prsent, cest aussi la plus modeste hlas puisque tous les
administrateurs amens travailler sur le routeur doivent connatre le mot de passe associ au passage vers le
mode privilgi. Ce nest pas une relle authentification puisquon ne peut pas savoir qui est intervenu ou qui
intervient.Ilyabienuneclmaiscestunpeulaclsouslepaillasson!
3. Toujours dans la fentre Mot de passe rseau, laissons le champ Nom dutilisateur vide et tapons le mot de
passeenabledanslechampMotdepasse.
4.LarequteaboutitetladministrateurdcouvrebahiquilexisteunmondeendehorsdelinterfaceILC.
Lapolitiquedescuritduneentreprisepourraitrecommanderdedsactiverceservicelaidedelacommandeno
ip http server. Pourquoi se priver de cette facilit quand une liste daccs standard permet de limiter laccs aux
personneshabilites.
Objectifs:
PermettrelouverturedesessionhttpsurR100jdepuislerseauLAN10b,linterdiredepuistouslesautres
rseauxetnotammentlerseauLAN12a.
Pourquoi avoir mentionn le rseau LAN12a dans le cahier des charges ? Parce que si le lecteur a reproduit la
topologiepropose,lastationVMSRV01estlaseulequipermettedevrifierquelalistedaccsmiseenplaceest
oprationnelle. En effet, cette machine dispose dun OS fentr et donc dun navigateur. Dans un premier temps,
vrifionsquilestgalementpossibledouvrirunesessionhttpdepuislastationVMSRV01,ladressesaisieestcette
fois10.0.11.1,cestdireladressedeR100jlaplusprochedelastationVMSRV01:
La liste daccsquiautoriselerseauLAN10bnest pas crer, elle existe dj sous le n10, nous lavionscr
pourcontrlerlesouverturesdesessionTelnetpendantlamiseensituationprcdente:
R100j#sh run
Building configuration...
.........
!
access-list 10 permit 10.0.10.128 0.0.0.127
!
.........
Ilestparfaitementpossibledappliquerlammelisteplusieursinterfaces:
R100j#conf t
Enter configuration commands, one per line.
R100j(config)#ip http access-class 10
R100j(config)#^Z
R100j#
Il reste vrifier que lobjectif est atteint en tentant une ouverture de session http depuis VMWKS01, elle doit
aboutir,uneautredepuisVMSRV01,elledoitchouer:
- 21 -
Le lecteur qui estime avec raison la mthode dauthentification enable insuffisante pourra mettre profit la
commandesuivante:
Router(config)#ip http authentication {aaa | enable | local | tacacs}
Mais ceci sort du cadre de ce chapitre, le lecteur est encourag mettre en uvre cette commande dans latelier
RADIUSproposauchapitresuivant.
c.Limiterlaportedelacommandedebugippacket
Dansunprcdentatelier,nousavionsappelcettecommandecommandedelamorttantlactivitquiconsiste
afficherlensembledespaquetsIPtransitantparlerouteur,tantcetteactivitestconsommatricederessources.
cesujet,ilincombeladministrateurdesurveillerletauxdutilisationdesressourcesdurouteur,ilpeutlefaire
laidedelacommandeshowprocesses:
R100j#show processes ?
<1-4294967295> Process Number
cpu
Show CPU use per process
history
display ordered Process history
memory
Show memory use per process
|
Output modifiers
<cr>
R100j#show processes
CPU utilization for five seconds: 12%/3%; one minute: 10%; five
PID QTy
PC Runtime (ms)
Invoked
uSecs
Stacks TTY
1 Cwe 8001B34C
0
1
0 5788/6000
0
2 Csp 802EB364
4
572
6 2744/3000
0
3 M*
0
4532
159
2850310120/12000 0
4 Lst 8001AB48
1872
319
5868 5768/6000
0
5 Cwe 8001F8A8
20
6
3333 5544/6000
0
6 Lwe 8059DE44
0
1
0 5784/6000
0
7 Mst 805C745C
0
2
0 5704/6000
0
8 Lwe 803BD9F8
864
469
1842 4964/6000
0
9 Mwe 80416F18
0
2
0 5712/6000
0
10 Mwe 80598CF0
0
2
0 5708/6000
0
11 Mwe 805E937C
0
1
011744/12000 0
12 Mwe 80670208
0
3
0 5708/6000
0
13 Lwe 806BBAEC
24
2
12000 5624/6000
0
14 Mwe 80C58CB0
0
2
0 5716/6000
0
15 Msp 80612CC8
88
2848
30 5748/6000
0
16 Mwe 80694730
0
2
011712/12000 0
17 Mwe 80C5E7B4
0
1
0 5784/6000
0
18 Mwe 80EC6E84
4
2
200011728/12000 0
19 Cwe 80DE8340
0
1
0 5800/6000
0
- 22 -
minutes: 5%
Process
Chunk Manager
Load Meter
Exec
Check heaps
Pool Manager
AAA_SERVER_DEADT
Timers
ARP Input
ATM Idle Timer
AAA high-capacit
Policy Manager
DDR Timers
Entity MIB API
Serial Backgroun
GraphIt
Dialer event
SERIAL Adetect
XML Proxy Client
Critical Bkgnd
20 Mwe 80109390
21 Lwe 805B84B4
--More
320
8
1158
8
Deux chiffres sont fournis quant lutilisation CPU dans les cinq dernires secondes : le premier chiffre exprime
lutilisationabsolueduprocesseur,lesecondexprimelapartdetempspasstraiterlesinterruptions.Exemple:
12 %/3 %signifie12 %surlescinqderniressecondesdont3 %enmodeinterruption.Fixonsquelquesordresde
grandeur:
CPU<30 %:lesfeuxsontauvert.
30 %<CPU<50 %:quecesoitsur5secondesou5minutes,onsinquite!
CPU>50 %:panique,dysfonctionnementsprvoir!!!
PeuttreunesageprcautionconsistevrifierlaconsommationCPUavantdentamerunequelconquecommande
debug.Quantlacommandedebugippacket,unelistedaccsstandardoffreopportunmentlemoyendelutiliser
en limitant son champ dintervention et donc en limitant le risque denterrer le routeur ou de submerger la
consoledemessagesinexploitables.
Objectifs:
SurR100j,visualiserlensembledutraficissudurseauLAN10b,linterdiredepuistouslesautresrseauxet
notammentlerseauLAN10a.
R100j#conf t
R100j(config)#access-list 10 permit 10.0.10.128 0.0.0.127
R100j(config)#^Z
R100j#
R100j#debug ip packet ?
<1-199>
Access list
<1300-2699> Access list (expanded range)
detail
Print more debugging detail
<cr>
R100j#debug ip packet 10
IP packet debugging is on for access list 10
R100j#
01:07:14: IP: s=10.0.10.252 (Ethernet1/0),d=10.0.10.255 (Ethernet1/0),len 78,rcvd 3
01:09:01: IP: s=10.0.10.254 (Ethernet1/0),d=10.0.10.255 (Ethernet1/0),len 96,rcvd 3
01:10:21: IP: s=10.0.10.129 (local), d=10.0.10.254 (Ethernet1/0), len 56, sending
R100j#undebug all
All possible debugging has been turned off
R100j#
- 23 -
LancezquelquescommandespingdepuislerseauLAN10aafindevrifierlavaliditdelasolution.
5.AtelierListedaccsstandard
vousdejouercettefois,uncorrigestproposauchapitreAteliersetexercicescorrigs.
Objectifs:
Interdire tout type de trafic destin LAN8 ds lors quil est issu des 16 dernires adresses de la plage
dadressesaffecteLAN12a.
LetraficissudeLAN12aetdestinauxautrespartiesdurseaudoitresterpossible.
Appliquez une liste daccs standard linterface convenable. Testez latteinte de lobjectif par tout moyen votre
convenance.
Cetatelierestmaintenanttermin.
- 24 -
Listesdaccstendues
La liste daccsstandardnecontrlaitqueladresse source. Une liste daccstenduepermetuncontrlebeaucoup
plusfindutraficenoffrantlemoyendetesterunensembledeconditionsdontlesadressessourceetdestination,les
protocoles utiliss en couche transport et en couche application, certains drapeaux de lentte transport. Attention,
cetavantageauncot,laconsommationderessourcesmmoireetCPUestvidemmentlavenantdespossibilits
offertes et ladministrateur doit surveiller ltat de sant de lquipement porteur dune nouvelle liste tendue
laidedecommandesshowprocessescpuoushowprocessesmemory.Encontrepartie,ladministrateurpeutplacer
lalisteauplusprsdelasourcedutraficfiltreretainsiviterdegaspillerdelabandepassante.Pourmmoire,la
listestandard,elle,estplaceauplusprsdeladestinationetlaissechemineruntraficquiserafinalementfiltrenfin
deparcours.
Une liste daccs standard est conome en ressources machine mais entrane un gaspillage de bande
passante. Une liste daccs tendue est optimale quant lutilisation de la bande passante du rseau mais
consommedavantagederessourcesmmoireetCPU.
1.Configurationdunelistetendue
Prrequis:reliresincessairelechapitreLeroutageInitiationdelouvrageCiscoNotionsdebasesurlesrseaux
danslacollectionCertificationsauxEditionsENIetnotammentlespartiesquiconcernentledatagrammeIP,lechamp
TOS(TypeOfService),lanotiondeDSCP(DifferentiatedServicesCodePoint).
La syntaxe de la commande doit tre adapte en fonction du protocole encapsul dans IP. Commenons par la
syntaxelaplusgnrique.
LasyntaxedelacommandepermettantdecrerunlmentdelalisteACL_#tendueestlasuivante:
Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit |
deny} protocol {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] |
any} [precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps]
[fragments] [log [cookie_utilisateur] | log-input [cookie_utilisateur]]
Lesargumentsdecettecommandesont:
ACL_#
Unnombre(100199ou20002699)quiidentifielensembledeslmentsdelaliste.
Dynamicdynamic_name[timeoutminutes]
Identifieunelistedaccsdynamique,galementappele Lockandkey danslesdocumentsCISCO.Faitlobjet
dunesectionparticulire.
Permit|Deny
Choixdelaction,lepaquetdoitilvivreoumourir?
Protocol
TestduchampProtocoldelentteIP.DanslentteIP,cechampoccupe8bits.Leprotocoleencapsulestdonc
identifi par une valeur comprise entre 0 et 255. Pour quelques protocoles importants, il existe un motcl que
ladministrateurpeutsubstituerlavaleurdcimaledanslebutderendrepluslisiblelefichierdeconfiguration.Ces
valeurssontinventoriesdansletableaucidessous:
R8j(config)#access-list 100 permit ?
<0-255> An IP protocol number
ahp
Authentication Header Protocol (51) (RFC4302)
eigrp
Ciscos EIGRP routing protocol (88)
esp
Encapsulation Security Payload (50) (RFC4303)
gre
Ciscos GRE tunneling
icmp
Internet Control Message Protocol (1) (RFC792)
igmp
Internet Gateway Message Protocol (2) (RFC1112)
ip
Any Internet Protocol
ipinip
IP in IP tunneling (4) (RFC2003)
- 1-
nos
ospf
pcp
pim
tcp
udp
LesvaleursattribuesauxdiffrentsprotocolesencapsulsdansIPsontgresparlIANAetsontaccessiblessurle
sitehttp://www.iana.org/assignments/protocolnumbers.
Source|any
CertainshtesouTousleshtes.
Dans une liste daccs standard, quand le masque gnrique tait omis, lIOS concluait que ladresse tait une
adresse hte. Exemple : 10.0.8.3 reprsente ladresse 10.0.8.3 0.0.0.0. Dans une liste tendue, lomission du
masque gnrique nest plus possible. Mais il est possible de dsigner un hte laide du motclhost.Exemple:
host10.0.8.3reprsenteladresse10.0.8.30.0.0.0.
Destination|any
CertainshtesouTousleshtes.
Masq_gnrique
Appliqu ladresse source ou ladresse destination, permet de spcifier quelles sont les plages dadresses
concernes par cet lment de liste daccs. Description complte dans la section Manipulation des masques
gnriquesdecechapitre.
R8j(config)#access-list 100 permit ip any any ?
dscp
Match packets with given dscp value
fragments
Check non-initial fragments
log
Log matches against this entry
log-input
Log matches against this entry, including input
interface
precedence Match packets with given precedence value
time-range Specify a time-range
tos
Match packets with given TOS value
<cr>
precedenceprecedence
Priorittellequelleestdfiniesurlesbits0,1et2duchampTOSoriginelduRFC791(leRFCquidcritIP).
R8j(config)#access-list 100 permit ip any any precedence ?
<0-7>
Precedence value
critical
Match packets with critical precedence (5)
flash
Match packets with flash precedence(3)
flash-override Match packets with flash override precedence
(4)
immediate
Match packets with immediate precedence(2)
internet
Match packets with internetwork control
precedence (6)
network
Match packets with network control precedence
(7)
priority
Match packets with priority precedence(1)
routine
Match packets with routine precedence(0)
tostos
LeRFC791originelneconnaissaitquelestroisbitsD(DelayDlai),T(ThroughputDbit)etR(ReliabilityFiabilit),
respectivement les bits 3, 4 et 5 du champ TOS (Type of Service). Le RFC1349 met jour le RFC 791 en crant la
facilitTOSexprimesurquatrebits(bits3,4,5et6deloctetTOS):
- 2-
1000minimizedelay
0100maximizethroughput
0010maximizereliability
0001minimizemonetarycost
0000normalservice
Le motcl tos optionnel ajout llment de la liste daccs permet de filtrer le paquet selon la valeur TOS quil
portedanslentteIP:
R8j(config)#access-list 100 permit
<0-15>
Type of service
max-reliability
Match packets
max-throughput
Match packets
min-delay
Match packets
min-monetary-cost Match packets
(1)
normal
Match packets
dscpdscp
TestelavaleurdeprioritDSCPcontenuedanslechampDS(ex:champTOS):
R8j(config)#access-list 100 permit ip any any dscp ?
<0-63>
Differentiated services codepoint value
af11
Match packets with AF11 dscp (001010)
af12
Match packets with AF12 dscp (001100)
af13
Match packets with AF13 dscp (001110)
af21
Match packets with AF21 dscp (010010)
af22
Match packets with AF22 dscp (010100)
af23
Match packets with AF23 dscp (010110)
af31
Match packets with AF31 dscp (011010)
af32
Match packets with AF32 dscp (011100)
af33
Match packets with AF33 dscp (011110)
af41
Match packets with AF41 dscp (100010)
af42
Match packets with AF42 dscp (100100)
af43
Match packets with AF43 dscp (100110)
cs1
Match packets with CS1(precedence 1) dscp
cs2
Match packets with CS2(precedence 2) dscp
cs3
Match packets with CS3(precedence 3) dscp
cs4
Match packets with CS4(precedence 4) dscp
cs5
Match packets with CS5(precedence 5) dscp
cs6
Match packets with CS6(precedence 6) dscp
cs7
Match packets with CS7(precedence 7) dscp
default Match packets with default dscp (000000)
ef
Match packets with EF dscp (101110)
(001000)
(010000)
(011000)
(100000)
(101000)
(110000)
(111000)
timerangeplage_de_temps
Permet dtablir des critres fonds sur le temps absolu (heure, date) ou selon une priode donne (tous les
lundis).Dtailldansunesectionparticuliredecechapitre.
fragments
Un datagramme IP peut avoir t fragment par un routeur quand le MTU du prochain saut ne permettait pas
dacheminerledatagrammeenunseulenvoi.Lemotclfragmentspermetdedistinguerlesfragmentssubsquents
du premier fragment. Attention, si ce motcl est ajout llment, le fragment initial qui rsulterait dune
fragmentationneseraitpastraitparcetlment.
log|loginput
Activelajournalisationdvnementsliscetlmentdelalistedaccs.Quandloginputestchoisi,lemessagequi
porte lvnement est enrichi des informations interface dentre du paquet ainsi que adresse source de couche 2
(adresseMACouidentifiantDataLinkConnectionIdentifierdeFrameRelayouidentifiantVirtualConnectionNumberde
- 3-
ATM).
Cookie_utilisateur
Chane de caractres optionnelle, ajoute lvnement journalis laide loption log ou loginput afin daider
ladministrateur identifier llment de la liste daccs qui a provoqu lvnement. Des restrictions existent, la
chanenedoitpasutiliserdemotsclsdeslistesdaccsetnedoitpasdmarrerparunenotionhexadcimale0x.
a.ListetendueTCP
Prrequis:reliresincessairelechapitreLacoucheTransportdeTCP/IPdelouvrageCiscoNotionsdebasesur
lesrseauxdanslacollectionCertificationsauxEditionsENIetnotammentlespartiesquiconcernentleformatdu
segmentTCP.
Pour mmoire, comme UDP, TCP permet une mme machine dentretenir plusieurs communications simultanes.
Une application manifeste son souhait de communiquer en rservant un numro de port auprs du systme
dexploitation. Le couple [@IP Numro de port TCP] est appel socket, une connexion ncessite la mise en
placededeuxsockets.Lassociationcomplte,composedesadressesIPsourceetdestination,desnumrosde
ports source et destination, du protocole utilis, identifie sans ambigut quelle communication participe un
segmentTCP.
Exempledassociation:[tcp,192.168.1.141400,196.21.132.121].
Outrelemotcltcpquisesubstituelavariableprotocol,deuxapportssignificatifsdiffrencientlacommandede
listetendueTCP.Enpremierlieu,llmentcomparelundesportsoulesdeuxportssourceetdestinationdelen
tteTCP.Unlmentdelistetenduetcpestdonccapabledefiltreruneouplusieurscommunicationstcp(unou
plusieurs circuits virtuels). En second lieu, le motcl established optionnel permet de tester ltat des drapeaux
ACK ou RST de lentte TCP. Avec ce motcl, il devient possible de filtrer un circuit virtuel tcp selon le sens de
ltablissementducircuit:autoriserlouverturesilinitiativeatprisesurunemachineinterne,linterdirequandla
tentativeprovientdurseauexterne.
LasyntaxedelacommandepermettantdecrerunlmentdelistetendueTCPestlasuivante:
Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit |
deny} tcp {@IP_source [masq_gnrique] | any} [operator [port]]
{@IP_destin [masq_gnrique] | any} [operator [port]][established]
[precedence precedence] [tos tos] [dscp dscp] [time-range plage_de_temps] [fragments]
[log [cookie_utilisateur] | log-input [cookie_utilisateur]]
Lesargumentssupplmentairesdecettecommandesont:
Operator
Optionnel,oprateurchoisirparmilesoprateurssuivants:
lt
lessthan
Pluspetitque
gt
greaterthan
Plusgrandque
eq
equal
gal
neq
notequal
Diffrentde
range range
Plageinclusive
Unoprateurplacaprsladressesourcetesteleportsource.
Unoprateurplacaprsladressedestinationtesteleportdestination.
Loprateur range attend deux arguments, exemple : range 1000 2000 fournit un rsultat vrai pour tout port
comprisentre1000incluset2000inclus.Lesautresoprateursnattendentquunargument.
UnedemandedaidedanslinterfaceILCconfirmecesinformations(IOS12.3):
R8j(config)#access-list 100 permit tcp any ?
A.B.C.D Destination address
any
Any destination host
eq
Match only packets on a given port number
gt
Match only packets with a greater port number
- 4-
host
lt
neq
range
port
Optionnel. Quil sagisse du protocole UDP ou du protocole TCP, les champs ports source et destination sont
exprimssur16bits.Lenumrodeportstenddoncde065535.Lacommandedelistetenduetcpadmetun
numro de port ou, pour quelquesuns des ports connus, un motcl qui peut venir se substituer au numro et
augmenterlalisibilitdelaconfiguration:
R8j(config)#access-list 100 permit tcp any eq ?
<0-65535>
Port number
bgp
Border Gateway Protocol (179)
chargen
Character generator (19)
cmd
Remote commands (rcmd, 514)
daytime
Daytime (13)
discard
Discard (9)
domain
Domain Name Service (53)
echo
Echo (7)
exec
Exec (rsh, 512)
finger
Finger (79)
ftp
File Transfer Protocol (21)
ftp-data
FTP data connections (20)
gopher
Gopher (70)
hostname
NIC hostname server (101)
ident
Ident Protocol (113)
irc
Internet Relay Chat (194)
klogin
Kerberos login (543)
kshell
Kerberos shell (544)
login
Login (rlogin, 513)
lpd
Printer service (515)
nntp
Network News Transport Protocol (119)
pim-auto-rp PIM Auto-RP (496)
pop2
Post Office Protocol v2 (109)
pop3
Post Office Protocol v3 (110)
smtp
Simple Mail Transport Protocol (25)
sunrpc
Sun Remote Procedure Call (111)
syslog
Syslog (514)
tacacs
TAC Access Control System (49)
talk
Talk (517)
telnet
Telnet (23)
time
Time (37)
uucp
Unix-to-Unix Copy Program (540)
whois
Nicname (43)
www
World Wide Web (HTTP, 80)
Lesnumrosalloussontaccessiblessurlesitehttp://www.iana.org/assignments/portnumbers
established
Optionnel. Ce motcl ne peut sappliquer quaux listes tendues tcp. En effet, seul TCP fonctionne en mode
connect et ncessite ltablissement du circuit virtuel (en trois temps, SYN, SYN/ACK, ACK) avant lchange de
donnes proprement dit. Quand le motcl established est utilis, la condition fournit un rsultat vrai si lun des
deuxdrapeauxACKouRSTestpositionndanslentteTCP.Pourmmoire,seulletoutpremiersegmentdecequi
nest ce moment quune tentative dtablissement porte un drapeau ACK ltat 0 cestdire non positionn.
TouslessegmentsquisuiventsurcecircuitvirtuelontundrapeauACKpositionn,cestdireltat1.
b.ListetendueUDP
Beaucoupdesimilitudesaveclalistedaccstcp,nouveaulemotcludpquisesubstituelavariableprotocol,
nouveaullment compare lundesportsoulesdeuxportssourceetdestinationdelentteUDP.Enrevanche,
puisqueUDPfonctionneenmodenonconnect,lemotclestablisheddisparat.
LasyntaxedelacommandepermettantdecrerunlmentdelistetendueUDPestlasuivante:
Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit |
- 5-
lessthan
Pluspetitque
gt
greaterthan
Plusgrandque
eq
equal
gal
neq
notequal
Diffrentde
range range
Plageinclusive
Unoprateurplacaprsladressesourcetesteleportsource.
Unoprateurplacaprsladressedestinationtesteleportdestination.
Loprateur range attend deux arguments, exemple : range 1000 2000 fournit un rsultat vrai pour tout port
comprisentre1000incluset2000inclus.Lesautresoprateursnattendentquunargument.
port
Optionnel. Quil sagisse du protocole UDP ou du protocole TCP, les champs ports source et destination sont
exprimssur16bits.Lenumrodeportstenddoncde065535.Lacommandedelistetendueudpadmetun
numro de port ou, pour quelquesuns des ports connus, un motcl qui peut venir se substituer au numro et
augmenterlalisibilitdelaconfiguration:
R8j(config)#access-list 100 permit udp any eq ?
<0-65535>
Port number
biff
Biff (mail notification, comsat, 512)
bootpc
Bootstrap Protocol (BOOTP) client (68)
bootps
Bootstrap Protocol (BOOTP) server (67)
discard
Discard (9)
dnsix
DNSIX security protocol auditing (195)
domain
Domain Name Service (DNS, 53)
echo
Echo (7)
isakmp
Internet Security Association and Key Management
Protocol(500)
mobile-ip
Mobile IP registration (434)
nameserver
IEN116 name service (obsolete, 42)
netbios-dgm
NetBios datagram service (138)
netbios-ns
NetBios name service (137)
netbios-ss
NetBios session service (139)
non500-isakmp Internet Security Association and Key Management
Protocol(4500)
ntp
Network Time Protocol (123)
pim-auto-rp
PIM Auto-RP (496)
rip
Routing Information Protocol (router, in.routed, 520)
snmp
Simple Network Management Protocol (161)
snmptrap
SNMP Traps (162)
sunrpc
Sun Remote Procedure Call (111)
syslog
System Logger (514)
tacacs
TAC Access Control System (49)
talk
Talk (517)
tftp
Trivial File Transfer Protocol (69)
time
Time (37)
who
Who service (rwho, 513)
xdmcp
X Display Manager Control Protocol (177)
- 6-
Lesnumrosalloussontaccessiblessurlesitehttp://www.iana.org/assignments/portnumbers
c.ListetendueICMP
Lemotclicmpquisesubstituelavariableprotocol.Llmentestcapabledetesterleseulchamptypeoules
deuxchampstypeetcodecontenusdanslenttedumessageICMP.
LasyntaxedelacommandepermettantdecrerunlmentdelistetendueICMPestlasuivante:
Router(config)# access-list ACL_# [dynamic dynamic_name [timeout minutes]] {permit |
deny} icmp {@IP_source [masq_gnrique] | any} {@IP_destin [masq_gnrique] | any}
[icmp-type [icmp-code]|icmp-message] [precedence precedence] [tos tos] [dscp dscp]
[time-range plage_de_temps] [fragments] [log [cookie_utilisateur] | log-input
[cookie_utilisateur]]
Les arguments de cette commande sont les arguments dune liste daccs tendue gnrique auxquels il faut
ajouterlesargumentssuivants:
icmptype
Optionnel.LesdeuxpremierschampsdelentteICMPsontletypeetlecode,chacuncodsurunoctet.Icmptype
estdoncunnombrecomprisentre0et255.
icmpcode
Optionnel.Fournituneinformationplusavanceenrelationaveclinformationicmptype.Parexemple,siletypedit
destinationnonjoignable,lecodeditparcequelaccscethteestprohib.
icmpmessage
Optionnel.Pluttquedecrerunlmentdelistedaccsquitesteletypeoulensemble(type/code),ilestpossible
detesterselonunmotclquivalentuntypeouquivalentunensemble(type/code).Parexemple,silsagitde
tester lensemble icmptype=3, destination unreachable, associ au code icmpcode= 3, port unreachable,
ladministrateurpeutsubstituercetensemblelemotclportunreachable.VoicilesmotsclsautorissavecunIOS
12.3:
R8j(config)#access-list 100 permit icmp any any ?
<0-255>
ICMP message type
administratively-prohibited Administratively prohibited
alternate-address
Alternate address
conversion-error
Datagram conversion
dod-host-prohibited
Host prohibited
dod-net-prohibited
Net prohibited
echo
Echo (ping)
echo-reply
Echo reply
general-parameter-problem
Parameter problem
host-isolated
Host isolated
host-precedence-unreachable Host unreachable for precedence
host-redirect
Host redirect
host-tos-redirect
Host redirect for TOS
host-tos-unreachable
Host unreachable for TOS
host-unknown
Host unknown
host-unreachable
Host unreachable
information-reply
Information replies
information-request
Information requests
mask-reply
Mask replies
mask-request
Mask requests
mobile-redirect
Mobile host redirect
net-redirect
Network redirect
net-tos-redirect
Net redirect for TOS
net-tos-unreachable
Network unreachable for TOS
net-unreachable
Net unreachable
network-unknown
Network unknown
no-room-for-option
Parameter required but no room
option-missing
Parameter required but not present
packet-too-big
Fragmentation needed and DF set
parameter-problem
All parameter problems
- 7-
port-unreachable
precedence-unreachable
protocol-unreachable
reassembly-timeout
redirect
router-advertisement
router-solicitation
source-quench
source-route-failed
time-exceeded
time-range
timestamp-reply
timestamp-request
traceroute
ttl-exceeded
unreachable
<cr>
Port unreachable
Precedence cutoff
Protocol unreachable
Reassembly timeout
All redirects
Router discovery advertisements
Router discovery solicitations
Source quenches
Source route failed
All time exceededs
Specify a time-range
Timestamp replies
Timestamp requests
Traceroute
TTL exceeded
All unreachables
La liste complte des types et codes ICMP est disponible sur le site http://www.iana.org/assignments/icmp
parameters.Envoiciunextrait:
Icmptype
- 8-
Dsignation
EchoReply
Unassigned
Unassigned
Destination
Unreachable
Icmpcode
Dsignation
Rfrence
Nocode
RFC792
NetUnreachable
RFC792
HostUnreachable
RFC792
ProtocolUnreachable
RFC792
PortUnreachable
RFC792
FragmentationNeededandDont
FragmentwasSet
RFC792
SourceRouteFailed
RFC792
DestinationNetworkUnknown
RFC1122
DestinationHostUnknown
RFC1122
SourceHostIsolated
RFC1122
CommunicationwithDestination
NetworkisAdministratively
Prohibited
RFC1122
10
CommunicationwithDestinationHost RFC1122
isAdministrativelyProhibited
11
DestinationNetworkUnreachablefor RFC1122
TypeofService
12
DestinationHostUnreachablefor
TypeofService
RFC1122
SourceQuench
Redirect
AlternateHost
Address
Unassigned
Echo
Router
Advertisement
13
CommunicationAdministratively
Prohibited
RFC1812
14
HostPrecedenceViolation
RFC1812
15
Precedencecutoffineffect
RFC1812
Nocode
RFC792
RFC792
RedirectDatagramfortheNetwork
(orsubnet)
RedirectDatagramfortheHost
RedirectDatagramfortheTypeof
ServiceandNetwork
RedirectDatagramfortheTypeof
ServiceandHost
AlternateAddressforHost
Nocode
RFC1256
Normalrouteradvertisement
RFC3344
16
Doesnotroutecommontraffic
RFC3344
d.Applicationdunelistetendueuneinterface
Aucunchangementdesyntaxeparrapportlacommandeutilisepourappliquerunelistedaccsstandardune
interface.Parcontre,puisquunelistetenduecontrlelafoislesadressessourceetdestination,lacontraintequi
consistaitdevoirplacerlalistestandardauplusprsdeladestinationdisparat.Etlalogiquereprendsesdroits:
autantbloqueruntraficauplusprsdesasourceafindviterdegaspillerdelabandepassante.
Point cl du CCNA : une liste daccs tendue devrait se placer sur le flux entrant de linterface la plus
prochedelasourcedutraficcontrler.
2.Scnariostypes
Nous fonderons nos scnarios sur la topologie suivante, un peu plus simple mais plus adapte aux tests de listes
tendues:
- 9-
La cration dunetelletopologieestassezcomplexeethorssujet,elleaparconsquenttreporteenannexe,
mercidevousreporterauchapitreAnnexesPrparationduncontextedestintesterleslistesdaccstendues.
Ladministrateuracrunezonedmilitarise(DMZoudemilitarizedzone,lesousrseauentrelesdeuxrouteurs)
etyaplaclensembledesservicesrseau,savoirunserveurFTP,unserveurdecourrier,unserveurDNSetun
serveurWeb.Enralit,lesquatreservicesonttimplmentssurlammemachinevirtuelleVMSRV01quipede
lOS Windows 2000 Server. Les services DNS, FTP et WWW sont raliss laide des composants du systme
dexploitation,seulleserveurdecourrierestralislaidedunproduittiers,HMAILserverenloccurrence,excellent
etgratuitquioffretoutelasouplessencessairepourmonterrapidementunatelier.
a.AutoriserletraficissudunMTAinterne
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPSMTP,POPetIMAPdelouvrage
CiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Le plus urgent dans cette circonstance consiste bien cerner le type de trafic provoqu par le service que lon
souhaite mettre en place. Dans le cas prsent, un utilisateur du domaine interne eni1@ccna.fr envoie un courrier
lectronique. Quand il le fait vers un autre utilisateur du domaine, le message ne quitte pas le domaine et ne
provoqueaucuntraficsurlerouteurdebordure.Quandillefaitversuneadresseexterneaudomaine,lemessage
estdabordremissonMTA(MailTransferAgent)derattachement,danslecasprsent,smtp.ccna.fr(hbergparla
machineVMSRV01).PuisceMTAfaitprogresserlemessageversleMTAhbergeantledomainedudestinataire.
Pourlesbesoinsdelamiseensituation,nousavonscrunsecondMTAexternequihbergeundomaineappel
ccie.fr.Quandeni1@ccna.frenvoieuncourrierlectroniqueedieni1@ccie.fr,lemessagetransiteparsmtp.ccna.fr
qui le transmet au MTA du domaine ccie.fr, soit 10.0.12.12. Un analyseur de protocole (Wireshark) plac sur le
rseaudelaDMZafournilacapturecap_2K_02.pcapdisponibleentlchargementetdontvoiciunextrait:
- 10 -
Lacolonnedegaucheillustreletrafic,interne,provoquparlastationVMWKS01versleMTAinterne10.0.8.3.Ce
traficnedoitfairelobjetdaucunfiltrage.LacolonnededroiteillustreletraficsubsquentduMTAinterneversle
MTAexternedudomaineccie.fr.Lecahierdeschargesestdoncsimple:
Installer une liste de contrle daccs tendue qui permette ce trafic SMTP du MTA interne vers le MTA
externelexclusiondetoutautretrafic.
(Dans un premier temps... la scurit gagne quand on ferme totalement pour ensuite nouvrir que le ncessaire,
nouspratiqueronsdautresouverturesaufuretmesuredelavancedanslesmisesensituation).
Puisquelalistedaccsquenousnousapprtonsmettreenplacedoitcontribuerlascuritdurseauinterne
visvisdurseauexterne,ladministrateurdcidedeplacercettelistedaccssurlefluxentrantdelinterfacef0/0
durouteurdebordureR120k.Letraficautoriserpourmaintenirleservicedemessagerieatreprsentparles
flchesrougesentraitsinterrompusdanslillustrationcidessus.Commentcaractrisercetrafic?
LensembledutraficSMTPesttransportlaideduprotocoledecouchetransportTCP(tiquette1).
LadressesourcenepeutpastrepriseencomptecardautresMTApeuventavoirbesoinderelayerdes
courrierslectroniquesversledomaineccna.fretdoncversleMTAinternesmtp.ccna.fr.
Leportsourceestleport25quiidentifieunserveurSMTP(tiquette2).Biensr,llmentdelistedaccs
en cours de construction utilisera le port source mais il faut observer que la protection offerte est assez
modeste.Eneffet,ilestfacileunpiratedemodifierleportsourcedunpaquetpourpasseroutreunfiltre
fondsurceport.
Ladressededestinationestuniquesoit10.0.8.3(tiquette3).
Le port destination ne peut tre pris en compte puisque choisi alatoirement par le MTA interne lorsquil
initielaconnexionTCP(tramen30delacapture).
Tous les segments entrants de ce trafic (trames n36, 39, 41, 44...) ont le drapeau ACK positionn
(tiquette 4). En fait, le drapeau ACK nest 0 que dans le tout premier segment de la connexion TCP
(trame n30). Une liste daccs tendue de type TCP peut tester ce drapeau, il suffit dajouter le motcl
- 11 -
establishedllmentencoursdecration.Ainsi,unetentativedeconnexiontcpdepuislerseauexterne
verslhte10.0.8.3seraitignoreparllment(etdoncrejeteparllmentsuivant,patientez)quelque
soit le port de destination. Loptionestablished aide rduire le risque dun type dattaque classique de
piratequiconsistenoyerledestinataireavecdestentativesdtablissementrptes(requteTCPSYN).
Fortdeceslments,nousvoilprtscrirellmentdelistedaccsadquat:
R120k#conf t
R120k(config)#access-list 125 permit tcp any eq smtp host 10.0.8.3 established
R120k(config)#access-list 125 deny ip any any
R120k(config)#int f0/0
R120k(config-if)#ip access-group 125 in
R120k(config-if)#^Z
R120k#
Lepremierlmentdelalistedaccsn125permetletraficprcdemmentcaractris.Lesecondlmentdela
listerefusetoutautretraficentrantsurlinterface.Cetlmentpeutsemblerinutilepuisquilestsuiviparlerejet
implicite.Maisilpermetdesavoircombiendepaquetsonttrejetsparlaliste:
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established
20 deny ip any any (16 matches)
R120k#
Unecommandeshowipintf0/0montrelapplicationdelalistelinterface:
R120k#sh ip int f0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 10.0.12.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 125
.........
R120k#
cestade,ilfauttesterlalistedaccsenseposantdeuxquestions:
1.Letraficquidoittreautorislestilencore?
eni1@ccna.fr envoie un nouveau courrier lectronique edieni1@ccie.fr. Le message parvient son destinataire.
Cestparfait.UnecommandeshowipaccesslistsurR120kfournitlersultatsuivant:
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established (11 matches)
20 deny ip any any (73 matches)
R120k#
Les11matchescorrespondentaux11paquetsentrantsquelalistenapasrejets.
2.Letraficquidoittrerejetlestileffectivement?
UnecommandepingmisedepuisVMWKS01versladresseduMTAexternedoitrestersansrponse.Lecompteur
nombredoccurrencesassocillmentdenyipanyanydoitavoiraugmentaprslessai.
b.AutoriserletraficSMTPissudunMTAexterne
Certes,lutilisateureni1@ccna.frapuenvoyeruncourrierlectroniqueuneadresseexternemaiscetteadresse
estelleencorecapabledeluirpondre?
PlaonsnoussurleclientdemessagerieinstallsurVMSRV02etrpondonsaumessagereudeeni1@ccna.fr.Clic
sur Envoyer/Recevoir et voil le message envoy. Lutilisateur Edieni1 est satisfait, lutilisateur eni1 beaucoup
moinscarlarponseneluiparvientpas.Oestpasscecourrier?
Ladministrateursollicitutiliseloutildadministrationdehmailserver...
- 12 -
...etdcouvreainsiquelemessageesttoujoursstocksurleMTAdudomaineccie.fr.Ilfautconclureunchecde
la premire tentative denvoi. Loutil informe galement quune prochaine tentative est programme une minute
aprslapremiretentative.
Encasdchec,leMTAatconfigurpourtenterdmettrelemessagedixfoisconscutives,lestentativessont
espacesduneminute.Aprsdixtentativesinfructueuses,leMTAsupprimelemessageeteninformelexpditeur:
Heureusement,ladministrateuravaitprissoindeprovoquerunecapturesurlaDMZlorsduntransfertrussientre
le MTA externe et le MTA interne, capture cap_2K_03.pcap disponible en tlchargement. Avec cette capture,
caractrisonsletraficquilfaudraitautoriser:
- 13 -
nouveau,lalistedaccsquenousnousapprtonstablircontribuelascuritdurseauinternevisvisdu
rseauexterne.Cestpourquoiladministrateurdcidedecomplterlalistedaccsn125djenplacesurleflux
entrant de linterface f0/0 du routeur de bordure R120k. Le trafic autoriser pour maintenir le service de
messagerie a t reprsent par les flches rouges en traits interrompus dans lillustration cidessus. Comment
caractrisercetrafic?
LensembledutraficSMTPesttransportlaideduprotocoledecouchetransportTCP(tiquette1).
LadressesourcenepeutpastrepriseencomptecardautresMTApeuventavoirbesoinderelayerdes
courrierslectroniquesversledomaineccna.fretdoncversleMTAinternesmtp.ccna.fr.
LeportsourcenepeuttreprisencomptepuisquechoisialatoirementparleMTAexternelorsquilinitiela
connexionTCP(tramen4delacapture).
Ladressededestinationestuniquesoit10.0.8.3(tiquette2).
Leportdestinationestleport25quiidentifieunserveurSMTP(tiquette3).
Autotal,voicillmentquilfautajouterlalistedaccsn125:
R120k(config)#access-list 125 permit tcp any host 10.0.8.3 eq smtp
Imaginonsqueladministrateursentiennedansunpremiertempsuneditionclassiqueenlignedecommande:
R120k#conf t
R120k(config)#access-list 125 permit tcp any host 10.0.8.3 eq smtp
R120k(config)#^Z
R120k#
*Mar 1 00:07:26.183: %SYS-5-CONFIG_I: Configured from console by console
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established (11 matches)
20 deny ip any any (151 matches)
- 14 -
c.Listesdaccssquences
Une liste daccs est lue en squence par lIOS. Mais jusqu prsent, les latitudes de ladministrateur pour
intervenirsurlordredeslmentsquicomposentlalistetaientdespluslimites.Bouleverserlordredeslments
impliquaitdesupprimerlalistepourlaremplacerparunelistenouvelleaveclasquencesouhaite.Dansuneliste
dite squence , chaque lment est associ un numro qui rappelle le placement de llment dans la
squence.Etgrcecesnumros,ildevientpossibledinsrerunnouvellmentunendroitchoisidansuneliste
existanteouencoredesupprimerunlmentsanssupprimerlalisteentire.Dmonstration:
R120k(config)#ip access-list extended 125
R120k(config-ext-nacl)#no 30
R120k(config-ext-nacl)#do show ip access-list 125
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established (11 matches)
20 deny ip any any (163 matches)
R120k(config-ext-nacl)#15 permit tcp any host 10.0.8.3 eq smtp
R120k(config-ext-nacl)#^Z
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established (11 matches)
15 permit tcp any host 10.0.8.3 eq smtp
20 deny ip any any (178 matches)
R120k#
Lacommandeipaccesslistextendedplacelinterfacedansunmodedeconfigurationdelistedaccstendue,ce
querappellelinvitedecommandesR120k(configextnacl)#.Lacommandeno30permetdesupprimerllment
ajouttortaubasdelaliste.AutrenouveautpermiseparcetteversiondIOS,lacommandedoquivitedavoir
ressortir du mode de configuration en cours pour observer les effets de commandes dj entres. Dans le cas
prsent,sansquitterlemodedeconfigurationdelistetendue,ladministrateur vrifie le nouveau contenu de la
listen125etconstatesatisfaitquellmentnumro30abiendisparu.Ilresterintroduirellmentmaiscette
foisentrellmentn10etllmentn20.Toutnaturellement,ladministrateurluiaffectelenumro15.
PlaonsnoussurleclientdemessagerieinstallsurVMSRV02etrpondonsunefoisdeplusaumessagereude
eni1@ccna.fr.DeretoursurleclientdemessagerieVMWKS01,onpeutconstatercettefoislabonnearrivedela
rponse de edieni1@ccie.fr. Une commandeshow ip accesslist confirme que llmentajoutbientsollicit
(message15matches):
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established(11 matches)
15 permit tcp any host 10.0.8.3 eq smtp (15 matches)
20 deny ip any any (178 matches)
R120k#
Enfait,cetteversiondIOSutilisaitleslistessquencesmmequandladministrateurentraitleslmentsdefaon
conventionnelle,cestdireenmodedeconfigurationglobale.Cequeconfirmelescommandesshowipaccesslist
entressurlerouteurR120k,observezlescapturesetconstatezqueleslmentsysontassocisunnumro.
cesujet,mettrejourunrouteuravecuneversionrcentedIOS et faire dmarrer ce routeur avec un fichier de
configurationcomportantdeslistesdaccsprovoquelaffectationautomatiquedunnumrochaquelment.Par
dfaut, le premier lment est associ au numro 10 et le pas dincrmentation rgl 10, ce qui donne une
squence10,20,30...
Imaginons que dans la liste daccs n125 sur le routeur R120k, ladministrateur doive introduire plus de quatre
nouveauxlmentsentrellmentn10actueletllmentn15actuel.Laplacemanquemaisfortheureusement,
CISCOaprvuunecommandepermettantuneremiseensquencedunelisteexistante.Dmonstration:
R120k(config)#do show ip access-list 125
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established(11 matches)
15 permit tcp any host 10.0.8.3 eq smtp(15 matches)
20 deny ip any any (179 matches)
- 15 -
d.AutoriserletraficDNS
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPDNSdelouvrageCiscoNotions
debasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Objectif:
- 16 -
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursDNSdurseauexterne.
Prparationducontexte:
Pourlesbesoinsdutest,unserveurDNSatinstallsurlamachineVMSRV02.Ceserveurhbergeledomaine
ccie.fr.Ladministrateuryacrunaliaswwwpointantsurlamachine10.0.12.12.
Dans un premier temps, ladministrateur sr de lui se souvient que les requtes DNS sont transportes par le
protocole UDP et quun serveur DNS actif se traduit par le port UDP 53 ouvert, ce quil vrifie laide dune
commandenetstatansurleserveur.Ilsagittoujoursdecomplterlalistedaccsn125placesurlefluxentrant
durouteurdebordureR120k.Caractrisonsletrafic:
LetraficDNSesttransportlaideduprotocoledecouchetransportUDP.
Ladresse source ne peut pas tre prise en compte car tout serveur DNS du rseau externe peut tre
sollicit.
LeportsourceestleportUDP53affectlapplicationDNS.
Ladressededestinationestlerseauinterne10.0.10.0/24,lemasquegnriqueest0.0.0.255.
Leportdestinationnepeuttreprisencomptepuisquechoisialatoirementparleclientinternelorsquil
provoqueunerequteDNS.
Autotal,voicillmentquilfautajouterlalistedaccsn125:
R120k(config)#access-list 125 permit udp any eq 53 10.0.10.0 0.0.0.255
nouveau, cet lment doit tre plac avant le refus explicite de tout trafic et ladministrateur utilise les
fonctionnalitsdeslistessquences:
R120k(config-ext-nacl)#do show ip access-list 125
Extended IP access list 125
20 permit tcp any eq smtp host 10.0.8.3 established
30 permit tcp any host 10.0.8.3 eq smtp
40 deny ip any any (91 matches)
R120k(config-ext-nacl)#35 permit udp any eq 53 10.0.10.0 0.0.0.255
R120k(config-ext-nacl)#do show ip access-list 125
Extended IP access list 125
20 permit tcp any eq smtp host 10.0.8.3 established
30 permit tcp any host 10.0.8.3 eq smtp
35 permit udp any eq domain 10.0.10.0 0.0.0.255
40 deny ip any any (104 matches)
R120k(config-ext-nacl)#
Observez que lIOS a remplac le port source 53 par le motcl domain. Il tait dailleurs possible dentrer la
commandedirectementaveclemotcl.
Trsfierdelui,ladministrateurseplacesurlastationVMWKS01danslebutdetesterlabonneexcutionducahier
descharges:
C:\>nslookup
Serveur par dfaut :
Address: 10.0.8.1
vmsrv01.ccna.fr
>server 10.0.12.12
DNS request timed out.timeout was 2 seconds.
Serveur par dfaut : [10.0.12.12]
Address: 10.0.12.12
>set q=a
>www.ccie.fr
Serveur : [10.0.12.12]
Address: 10.0.12.12
Nom :
vmsrv02.ccie.fr
Address: 10.0.12.12
- 17 -
Aliases:
www.ccie.fr
Jusquel, tout va bien et notre administrateur est rassur. Il dcide un ultime essai qui consiste demander la
totalitdesenregistrementsdelazone:
> ls -d ccie.fr
ls: connect: No error
*** Impossible de fournir la liste du domaine ccie.fr: Unspecified error
>
Et patatras, voil le bel difice qui scroule. Ladministrateurveutcomprendre,placeunanalyseursurleserveur
VMSRV02, lance une capture et provoque nouveau la mme squence dessais, capture cap_2K_04.pcap
disponibleentlchargement,illustrecidessous:
La trame 6 correspond la requte DNS et pose la question Qui est www.ccie.fr ? . La trame 7 apporte la
rponsewww.ccie.frest10.0.12.12.LeprotocoledetransportestUDP,lautorisationajoutelalistedaccs
n125aparfaitementjousonrle.
Entrame9,lacommandelsdccie.frentreenmodenslookupinteractifprovoqueunetentativedtablissement
de circuit TCP vers le port TCP 53, port galement affect lapplicationDNS.Ilarriveeneffetquun service bien
connuutilisetanttUDP,tanttTCP.DNSenfournitunexemple,larequtedunclientDNSetlarponseduserveur
DNS utilisent UDP et le numro de port UDP 53. Un change de base de donnes entre serveurs DNS, appel
Transfertdezone,utiliseTCPetlenumrodeportTCP53.Ilsetrouvequelacommandelsdentraneunerequte
similairelaquestionposelorsdunvritabletransfertdezoneentredeuxserveurs(QTYPEAXFRquisignifieque
larponsedoitfournirtouslesenregistrementsdelazone).Entrame10,ladeuximephasedeltablissementde
cecircuitvirtuelchouecarleportsourceestTCP53etquaucunlmentpermitnestprvudanslalistepource
flux.Lerouteurdeborduresenexpliqueentrame11laidedunmessageICMPtype3Destinationunreachable
, code 13 Communication administratively filtered. Les trames qui suivent sont dautres tentatives suite ce
premieressaiinfructueux.
Notreadministrateurpeutserassrner,aucuneraisondemodifierlalistedaccsdurouteurdebordurepour
agrandirencoreletrou.Lecahierdeschargesestrespectpuisquilstipulaitautoriserletraficdesutilisateurs
et que, jusqu nouvel ordre, les utilisateurs ne provoquent pas de transfert de zone. Si ladministrateur dcide
pourtantderevoirsacopieparcequedevritablestransfertsdezoneentreunserveurDNSinterneetunserveur
DNSexternesontprvus,alorsilconviendraitdajouterlalisten125llmentsuivant:
R120k(config)#access-list 125 permit tcp any eq 53 10.0.8.0 0.0.3.255
Laplagedadressesdfiniepar10.0.8.00.0.3.255correspondaurseau10.0.8.0/22quienglobelafoislerseau
interne10.0.10.0/24etlerseaudelaDMZ10.0.8.0/24.Ladministrateurautravail:
- 18 -
SOA
NS
MX
vmsrv01
10
vmsrv02.ccie.fr
A
10.0.12.120
A
10.0.12.12
CNAME vmsrv02.ccie.fr
SOA
vmsrv01 administrateur. (5 900 600 86400
UnedernirecommandeshowpourvrifierquellmentTCP53estsollicit:
R120k#sh ip access-list 125
Extended IP access list 125
20 permit tcp any eq smtp host 10.0.8.3 established
30 permit tcp any host 10.0.8.3 eq smtp
40 permit udp any eq domain 10.0.10.0 0.0.0.255 (2 matches)
50 permit tcp any eq domain 10.0.8.0 0.0.3.255 (5 matches)
60 deny ip any any (210 matches)
R120k#
e.AutoriserletraficWWW
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPHTTPetWWWdelouvrageCisco
NotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
Objectif:
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursWEBdurseauexterne.
Prparationducontexte:
Pour les besoins du test, le service IIS a t install sur la machine VMSRV02. Reportezvous si ncessaire la
prparationducontexteplaceenannexe.
Cette fois, ladministrateurbienentrantentedecaractriserletraficsanscapturepralableaveclanalyseurde
protocole. Il sagit toujours de complter la liste daccs n125 place sur le flux entrant du routeur de bordure
R120k.Caractrisonscetrafic:
LetraficWEBesttransportlaideduprotocoledecouchetransportTCP.
- 19 -
Ladresse source ne peut pas tre prise en compte car tout serveur WEB du rseau externe peut tre
sollicit.
LeportsourceestleportTCP80affectlapplicationHTTP.
Ladressededestinationestlerseauinterne10.0.10.0/24,lemasquegnriqueest0.0.0.255.
Leportdestinationnepeuttreprisencomptepuisquechoisialatoirementparleclientinternelorsquil
provoqueunerequteHTTP.
TouslessegmentsentrantsdecetraficontledrapeauACKpositionn.Enfait,ledrapeauACKnest0que
dansletoutpremiersegmentSYNdelaconnexionTCPinitiparunestationdurseauinterne.Uneliste
daccstenduedetypeTCPpeuttestercedrapeau,ilsuffitdajouterlemotclestablishedllmenten
cours de cration. Ainsi, une tentative de connexion TCP depuis le rseau externe vers lundeshtesdu
rseauinterneseraitignoreparllmentquelquesoitleportdedestination.
Autotal,voicillmentquidoittreajoutlalistedaccsn125:
R120k(config)#access-list 125 permit tcp any eq 80 10.0.10.0 0.0.0.255 established
nouveau, cet lment doit tre plac avant le refus explicite de tout trafic et ladministrateur utilise les
fonctionnalitsdeslistessquences:
R120k(config)#ip access-list extended 125
R120k(config-ext-nacl)#10 permit tcp any eq 80 10.0.10.0 0.0.0.255 established
R120k(config)#^Z
R120k#sh ip access-list 125
Extended IP access list 125
10 permit tcp any eq www 10.0.10.0 0.0.0.255 established
20 permit tcp any eq smtp host 10.0.8.3 established
30 permit tcp any host 10.0.8.3 eq smtp
40 permit udp any eq domain 10.0.10.0 0.0.0.255 (1 match)
50 permit tcp any eq domain 10.0.8.0 0.0.3.255 (10 matches)
60 deny ip any any (124 matches)
R120k#
Vrifier la bonne excution du cahier des charges peut soprer depuis un navigateur ouvert sur la station
VMWKS01.Enbarredadresse,ladministrateurentre10.0.12.12etnormalement,lapagesouvre:
Unedernirecommandeafindevrifierquelenouvellmentabientsollicit:
R120k#sh ip access-list 125
Extended IP access list 125
10 permit tcp any eq www 10.0.10.0 0.0.0.255 established (3 matches)
20 permit tcp any eq smtp host 10.0.8.3 established
30 permit tcp any host 10.0.8.3 eq smtp
40 permit udp any eq domain 10.0.10.0 0.0.0.255
50 permit tcp any eq domain 10.0.8.0 0.0.3.255
60 deny ip any any
- 20 -
R120k#
3.AtelierListedaccstendue
Prrequis:reliresincessairelechapitreLacoucheApplicationdelapileTCP/IPFTPdelouvrageCiscoNotions
debasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
vousdejouercettefois,uncorrigestproposauchapitreAteliersetexercicescorrigs.
Objectifs:
Sur R120k, compltez la liste daccs n125 afin dautoriser le trafic issu dInternet et destin au serveur Web
interne www.ccna.fr. Ce premier point sera vrifi laide dun navigateur ouvert sur la machine VMSRV02. On
saisiraenbarredadresse,ladresse10.0.8.4.
Sur R120k, compltez la liste daccs n125 afin dautoriser les requtes DNS issues dInternet et destines au
serveurDNS10.0.8.1.CesecondpointseravrifilaidedelacommandeNSLOOKUPexcuteenmodeinteractif
surlamachineVMSRV02.Onsinterdiralacommandelsdquivalenteautransfertdezones.
Sur R100k, crez une liste daccs tendue sur le flux entrant de linterface f0/0 afin dautoriser le trafic vers le
serveur FTP 10.0.8.2. Le trafic FTP pourra tre provoqu laidedun navigateur sur la station VMWKS01 ou en
modeinteractifdepuisunefentredecommandeouenfindepuislastationLINUXPCL100.Touslesautrestrafics
devront tre rejets lexclusiondestraficsautorissparleserveurdebordure,traficsquinedevrontpastre
empchsparlanouvelleliste.LecircuitTCPpourlesdonnesdeFTPdevratretablienmodenormal(etnonen
modepassif).
Cetatelierestmaintenanttermin.
- 21 -
Listesdaccsnommes
1.Configurationdunelistenomme
Depuislaversion11.2delIOS,ilestpossibledecrerunelistedaccsenlanommantpluttquenluiaffectantun
numro connu de lIOS. La syntaxe est un peu modifie puisque lIOS doit se passer du numro qui lui permettait
jusqueldedterminersilalistetaitdetypestandardoutendue.
Syntaxedunelistenommestandard:
Rtr(config)#ip access-list standard {access-list-name}
Rtr(config-std-nacl)# [sequence-number] {permit|deny} @IP_source [masq_gnrique]
Syntaxegnriquedunelistenommetendue:
Rtr(config)#ip access-list extended {access-list-name}
Rtr(config-ext-nacl)#[sequence-number] {permit|deny} protocol {@IP_source
[masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [option option-name]
[precedence precedence] [tos tos] [ttl operator value] [time-range time-range-name]
[fragments] [log [word]]
SyntaxedunelistenommetenduedetypeICMP:
Rtr(config)#ip access-list extended {access-list-name}
Rtr(config-ext-nacl)# [sequence-number] {permit|deny} icmp{@IP_source
[masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [icmp-type [icmp-code]
| icmp-message][precedenceprecedence] [tos tos] [ttl operatorvalue] [time-range timerange-name] [fragments] [log [word]]
SyntaxedunelistenommetenduedetypeTCP:
Rtr(config)#ip access-list extended {access-list-name}
Rtr(config-ext-nacl)#[sequence-number] {permit|deny} tcp {@IP_source
[masq_gnrique] | any} {@IP_destin [masq_gnrique] | any} [operator [port]]
[established | {match-any | match-all} {+ | -} flag-name] [precedence precedence]
[tos tos] [ttl operatorvalue] [time-range time-range-name] [fragments] [log [word]]
SyntaxedunelistenommetenduedetypeUDP:
Rtr(config)#ip access-list extended {access-list-name}
Rtr(config-ext-nacl)#[sequence-number] {permit|deny} udp {@IP_source [masq_gnrique]
| any} {@IP_destin [masq_gnrique] | any} [operator [port]] [precedence
precedence] [tos tos] [ttl operatorvalue] [time-range time-range-name] [fragments]
[log [word]]
Observezdanscescaptureslapparitiondedeuxnouveauxsousmodesdeconfiguration(configstdnacl)et(config
extnacl).Lesargumentssupplmentairesdecescommandessont:
accesslistname
Chanealphanumriquequiidentifielalistedaccs.Lachanenedoitcontenirniespaceniguillemetetdoitdbuter
paruncaractrealphabtiqueafindviterlambigutavecleslistesnumrotes.
optionoptionname
Optionnel.
Pour mmoire, chaque option prsente dans lentte IP prsente comporte un code option sur un octet suivi dun
champlongueuretdesdonnespropresloption.IlestpossibledefiltrerlespaquetsIPenfonctiondesoptionsIP
prsentesdanslepaquetsoitenspcifiantloptionfiltrerparsoncode(de0255puisquelecodedeloptionest
exprimsurunoctet)soitparsonnom.Lescodesetnomsexistantssontrappelsdansuntableauactualissurle
sitedelIANA:http://www.iana.org/assignments/ipparameters
ttloperatorvalue
- 1-
Optionnel, compare la valeur TTL contenue dans le paquet et la valeur TTL spcifie dans llment de la liste.
LoprateurestidentiqueceluiutilisparunlmentTCPouUDP.Laoulesvaleursutilisesdoiventtrecomprises
entre0et255:
lt
lessthan
Pluspetitque
gt
greaterthan
Plusgrandque
eq
equal
gal
neq
notequal
Diffrentde
range range
Plageinclusive,lesdeuxvaleurs
sparesparunespace
{match-any | match-all}
Optionnel,neconcernequeleslmentsdunelisteTCP.Unecorrespondanceseproduitquandcertainsdrapeauxdu
segmentTCPsont1ou0.Lemotclmatchanypermetdetesterlaprsencedundrapeauparmiplusieurs.
Lemotclmatchallpermetdevrifierquelensembledesdrapeauxspcifisdansllmentsontprsents.
{+ | -}flagname
Optionnel, ne concerne que les lments dune liste TCP. Le signe + entrane la correspondance quand le
segmentTCPcontientlesdrapeauxspcifisdanslargument flagname.Lesigne entrane la correspondance
quandlesegmentTCPnecontientpascesdrapeaux.Lesdrapeauxsonturg, ack,psh,rst,synetfin.Ilseraplus
commodepourladministrateurderemplacermentalementlessymboles+etparlesmotsavecetsans
.Observezlquivalenceentrelemotclestablishedetloptionmatch any+ackrst.
a.Applicationdunelistenommeuneinterface
Peudechangementsignalersurlacommandeipaccessgroup.Lasyntaxecompltedecettecommandeesten
ralitlasuivante:
ip access-group {access-list-name | access-list-number} {in | out}
Elleacceptedoncindiffremmentunnumroouunnomdeliste.
2.Intrtdeslistesnommes
Dans lhistoire de lIOS, la liste daccs nomme a prcd la liste daccs squence. Sans liste squence,
supprimer un lment de liste numrote entranait la suppression de la liste dans son entier. La seule parade
consistaitcrerunelistedaccsnomme.
Unelistedaccsnommeautoriseuneidentificationaisedelalisteenluidonnantunnomvocateur.
Contrairementlalistenumrote,lalistenommeautoriselasuppressiondunlmentsansremettreen
questionlalistedanssonentier.
Onpourraitajouterqueleslistesnommespermettentdoutrepasserlaquantitdelistesquilestpossibledecrer
aveclesnumrosconnusdelIOS.CetargumentpouvaitpeuttreentreunquandlIOSnepermettaitquela
crationdelistesnumrotesstandardde199etdelistestenduesde100199.Depuislaversion12.1delIOS,
avec la possibilit de crer 800 listes numrotes tendues et 799 listes numrotes standard, avec la facilit
ddition des listes squences, avec la possibilit de placer des commentaires dans une liste (motcl remark),
lintrtdeslistesnommesestdevenuplusrelatif,peuttrecantonnlarponsequelquesquestionsdesQCM
delacertification.Onnepeutpourtantsedispenserdelestudiercarellessontncessaireslamiseen uvredes
listesdaccsrflexives(patientez).
- 2-
Listesdaccscomplexes
Ciscoentendparcomplexeslestroistypesdelistessuivantes:
Listesdaccsdates:ceslistesfondentlefiltragesurdescritresdetemps.
Listesdaccsdynamiques:lefiltrageralisdpenddudegrdhabilitationdelutilisateur.
Listesdaccsrflexives:letraficentrantnestautorisquenrponseuntraficsortant.
Ces trois types de listes sont apparus, de faon trs dulcore, dans la version 4 du parcours CCNA. Clairement,
configurer lune de ces listes ne fait pas partie des objectifs de la certification. Pourtant, ces listes ne sont pas plus
complexesquelesprcdentes.Ltudiantpeutregretterquunefoisencore,lecontenudesoncartablesesoitalourdi
maisladministrateurserjouitdesfacultsmisesdispositionparcestroistypesdelistesdelIOS.
1.Listesdaccsdates
Depuis la version 12.0 de lIOS, CISCO propose des listes Timed ACLs . Comment traduire ? La traduction des
dclinaisons possibles du mot time occupe une page complte de lexcellent dictionnaire Hachette Oxford. Lauteur
proposelistedaccsdatemaisresteouvertunemeilleuresuggestion.Unelistedatepermetderestreindrele
trafic sur des critres de temps ou de date, ce peut tre lheure de la journe, le jour de la semaine, les jours du
weekend,listenonexhaustive.Autoriseruntraficlaidedunelistedaccs,cestcreruntroudansunfiltre.Ilpeut
trerassurantquecetrounesoitpasouvertindfiniment.Etpourladministrateurquiadcidde,alternativement,
crer puis supprimer le trou la main en crant ou supprimant llment de la liste certaines heures de la
journeoudelasemaine,voillemoyendautomatisersatche.
Pourmmoire,voiciunesyntaxepartielledelacommandepermettantdecrerunlmentdelalisteACL_#tendue,
dotdeloptiontimerange:
Router(config)# access-list ACL_# {permit | deny} protocol {@IP_S [masq_gn] | any}
{@IP_D [masq_gn] | any} time-range plage_de_temps
Ainsi, un lment fond entre autres sur le temps utilise en argument une plage de temps qui doit tre dfinie au
pralable.Ilsetrouvequelacommandepermettantdecreruneplagedetempsutiliselemmemotcltimerange.
a.Dfiniruneplagedetemps
Troiscommandesconcernentladfinitionduneplagedetemps:
timerange
periodic
absolute
R100m(config)#time-range ?
WORD Time range name
R100m(config)#time-range Acces_WEB
R100m(config-time-range)#?
Time range configuration commands:
absolute absolute time and date
default
Set a command to its defaults
exit
Exit from time-range configuration mode
no
Negate a command or set its defaults
periodic periodic time and date
R100m(config-time-range)#
La commandetimerange cre la plage de temps et lui attribue un nom. Lexcution de la commande fait entrer
danslesousmodedeconfiguration(configtimerange).Danscemode,lescommandesperiodicetabsolutesont
- 1-
utilisespourdfinirouajouterdeslapsdetempsdanslaplage.Uneplagepeutassocier:
ouuneouplusieurscommandesperiodic
ouunecommandeabsolute
ouuneouplusieurscommandesperiodicetunecommandeabsolute.
Quand une plage associe des valeurs issues dune commandeabsolute associe une ou plusieurs commandes
periodic, les lments periodic ne sont valus que pendant le laps de temps dfini laide de la commande
absolute.
Linstant est valu laide de lhorloge locale au routeur. Les plages de temps dfinies ne seront observes de
faonexactequesilhorlogedurouteurestlheure,lemieuxtantsansdoutedajusterlhorlogesystmesur
un serveur NTP. Relire si ncessaire le chapitre Tches de configuration des routeurs Configuration des
paramtresglobauxDateetheure.
Lacommandeperiodic
Lacommande periodicestutilequandilfautdfiniruneplagedetempssereproduisantdefaonrcurrente.La
syntaxegnraledecettecommandeest:
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
...dontlesargumentssont:
daysoftheweek
La premire occurrence de largument marque le dbut de la plage de temps en cours de dfinition. La seconde
occurrenceenmarquelafin.Lesmotsclsdelacommandepermettentdespcifierunjourouunecombinaisonde
jours:
Unjour:Monday,Tuesday,Wednesday,Thursday,Friday,SaturdayetSunday
Unecombinaisondejours:
Chaquejour,delundidimanche,rcurrencequotidienne:daily
Chaquejourdelasemaine,dulundiauvendredi:weekdays
Chaquejourduweekend,samedietdimanche:weekend.
Si le jour prcis dans la seconde occurrence est identique celui de la premire occurrence, il peut tre
omis.
hh:mm
Premireoccurrence:heurededbutchaquejourdelacombinaisonouheurededbutlejourdedbut.
Secondeoccurrence:heuredefinchaquejourdelacombinaisonouheuredefinlejourdefin.
hhestexprimsur24heures.
Quelquesexemplesdevraientclairerlusagedelacommandeperiodic:
- 2-
Voussouhaitezcetteplagedetemps:
Alorsentrezcettecommande:
Dulundiauvendredi,de8hlematin6hlaprsmidi(soit10
heuresparjour).
periodicweekday8:00to18:00.
Chaquejourdelasemaine,de8hlematin6hlaprsmidi
(soit10heuresparjour).
periodicdaily8:00to18:00.
Lapsdetempsininterrompuentrelundi8hetvendredi18h,qui
serptechaquesemaine.
periodicMonday8:00toFriday20:00.
Touslesweekends,pendanttouteladureduweekend,cest periodicweekend00:00to23:59.
diredesamedi0hdimancheminuit.
Touslessamedisettouslesdimanches,demidiminuit.
periodicweekend12:00to23:59.
Une commande timerange peut inclure une ou plusieurs plages de temps priodiques dfinies laide de la
commandeperiodic.
Danslundenosscnariosprcdents,nousavionsajoutunlmentlalistedaccsn100surleserveurR100k
de faon autoriser le trafic issu des utilisateurs du rseau interne et destin aux serveurs WEB du rseau
externe.Modifionsunpeulobjectif.
Objectifrevisit:
Autoriser le trafic issu des utilisateurs du rseau interne et destin aux serveurs WEB du rseau externe
chaquejourdelasemainede12h13h.Lesautrescritresdefiltragesontmaintenus.
Ilfautdansunpremiertempsconfigureruneplagedetemps,nowebdanslecasprsent:
R100k(config)#time-range no-web
R100k(config-time-range)#periodic weekdays 12:00 to 13:00
R100k(config-time-range)#exit
Pourvarierlesplaisirs,ladministrateursubstituelalistedaccsn100unelistedaccsnommestrychn:
R100k(config)#no access-list 100
R100k(config)#ip access-list extended strychn
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255
R100k(config-ext-nacl)#permit udp 10.0.10.0 0.0.0.255
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255
established
R100k(config-ext-nacl)#deny ip any any
R100k(config-ext-nacl)#exit
R100k(config)#
Ilresteappliquerlalistestrychnsurlefluxentrantdelinterfacef0/0durouteurR100k:
R100k(config)#int f0/0
R100k(config-if)#ip access-group strychn in
R100k(config-if)#^Z
R100k#
DeretourlastationVMWKS01,unetentativedaccsversleserveur10.0.12.12resteinfructueuse.Cestnormal,
notrerouteurGNS3estfchaveclemaintiendelhorloge:
R100k#sh clock
00:15:25.839 UTC Fri Mar 1 2002
R100k#
Admettonsquilsoitenvironmidi:
R100k#clock set 12:01:00 23 march 2010
Cettefois,latentativedaccsausiteWeb10.0.12.12russit.
CetautreexemplesanslienavecnotreplateformedetestpermettraitletraficTelnetleslundi,mardietvendredi
de9hlematin17hlaprsmidi:
Router# show start
.........
time-range testing
periodic Monday Tuesday Friday 9:00 to 17:00
- 3-
!
ip access-list extended chapelsixt
permit tcp any any eq telnet time-range testing
!
interface f0/0
ip access-group chapelsixt in
Lacommandeabsolute
Lacommandeabsolutedfinitunlapsdetempsuniquebornparunedatededbutet/ouparunedatedefin.En
voicilasyntaxe:
absolute [start time date] [end time date]
...dontlesargumentssont:
starttimedate
Optionnel, date et heure de prise deffet de llment permit ou deny qui utilise la plage de temps. Lheure est
exprimesur24heures,dansleformathh:mm.Ladateestexprimesouslaforme{day}{month}{year}:
dayexprimelejourde131
monthestlenomdumois
yearexprimelannesur4chiffres.
endtimedate
Optionnel,dateetheuredecessationdeffetdellmentpermitoudenyquiutiliselaplagedetemps.Ladatede
findoittrepostrieureladatededbut.
MettonsnouveaucontributionnotrescnariodefiltragedaccsauWEB:
Objectifrevisit:
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursWEBdurseauexterne
partirdu1e rjanvier2011,troisjoursparsemainedulundiaumercredide9h17h.Lesautrescritresde
filtragesontmaintenus.
Laseulemodificationdelaplagedetempsnowebsuffit:
R100k(config)#no time-range no-web
R100k(config)#time-range no-web
R100k(config-time-range)#absolute start 00:00 1 january 2011
R100k(config-time-range)#periodic monday tuesday wednesday 9:00 to 17:00
R100k(config-time-range)#^Z
R100k#
Lacommandeabsolutenementionnepasdedatedefin.Unadministrateurattentionndevraitsongersupprimer
laligneunefoispasseladatedu1 e rjanvier2011maisilnyapasdecaractredurgence.
Lacommandeshowtimerange
Unecommandeshowtimerangepermetdevrifierltatactuelduneplagedetemps:
R100k#sh time-range
time-range entry: no-web (inactive)
absolute start 00:00 01 January 2011
periodic Monday Tuesday Wednesday 9:00 to 17:00
used in: IP ACL entry
R100k#clock set 10:00:00 3 january 2011 ! Comment vivre en avance sur son temps
R100k#sh time-range
time-range entry: no-web (active)
absolute start 00:00 01 January 2011
periodic Monday Tuesday Wednesday 9:00 to 17:00
- 4-
b.Exercicelistedaccsdate
Proposez une configuration qui cre une liste daccs NOSURFING et dont lobjet est de refuser laccs au WEB
chaquejourdelasemainede9h17hmaisgalementderefusertouttraficTelnetchaquejourdelasemainede
17h9hlelendemain.
SolutionauchapitreAteliersetexercicescorrigs.
2.Listesdaccsdynamiques
Jusquprsent,leslistesdaccsmisesenplacetestentdeslmentsdinformationplacsdanslenttedecouche
3(adresses,protocoleencapsul)ainsiquelenttedecouche4(numrosdeports).Lefiltrageainsimisenplace
sappliquequellequesoitlapersonnequicherchebnficierdesservicesoffertsparlerseauprotg.Lobjetdes
listes dynamiques est doffrir davantage de souplesse en ajustant laccs des personnes authentifies.
Conceptuellement,leslistesdynamiquessontplacersurlacouche5dumodleOSIRMsoitlacoucheSession.
Un scnario classique est celui de lutilisateur distant qui se connecte au site de lentreprise laide dun tunnel
scuris VPN (Virtual Private Network)autraversdelInternet mais qui une fois connect, a accs lensembledes
ressources internes. Ladministrateur peut souhaiter limiter lamplitude de laccs laide dune liste de contrle
daccsmaiscettelistesappliqueraitalorslensembledesutilisateursquiaccdentlaressource.
LalistedaccsdynamiqueoulisteLockandkey,(littralementverrouetcl,traduitparlisteverrousurlaplate
formeCISCO)offreunesolution.Lalistedaccsdynamiquerequiredelutilisateurquilsauthentifiesurlerouteur,il
peutlefairelaideduneconnexionTelnetouSSH.Dansunsecondtemps,lerouteurquiaauthentifilutilisateur
activeunouplusieurslmentsdunelistedaccsappliquelinterfaceadquate.Ceslmentsrestentactifsun
laps de temps convenu puis expirent. Pendant ce laps de temps et grce ces lments, lutilisateur a accs aux
ressourcesquiluisontncessairessurlerseaudelentreprise.
Tout se passe comme si un administrateur zl se tenait prt tout moment tablir sur demande le ou les
lmentsdunelistedaccspermettantunutilisateur,connudeladministrateur,daccdersesressourcespuis
refermerlaccsunefoisquelutilisateurnenapluslusage.Lalistedaccsdynamiqueautomatisecettesquence
doprations. Elle est trs diffrente des listes daccs standard ou tendue, qui elles, sont fondamentalement
statiques.Ladministrateurpeutgalementrglerlaccsdelutilisateurdistantlaidedunelistestatiquemaiscette
listeprsentequelquescaractristiquesfcheuses.Dunepart,ellerestetablieenpermanenceetdautrepart,elle
estsouventdimensionnetroplargement,parexempleparcequeladministrateurignoreladresseIPdelamachine
utilisateuretsevoitdonccontraintdutiliserdesplagesdadresses.
Cisco a introduit les fonctionnalits de listes dynamiques dans la version 11.1 de lIOS. lorigine, il sagissait de
procder une double authentification des utilisateurs qui se connectaient via une liaison commute. Les listes
daccsdynamiquestendentlesfonctionnalitsdeslistesdaccstendues:
Lutilisateurdoitfournirunnometunmotdepasseafindesauthentifier.
Lauthentification peut tre centralise sur un serveur AAA (aspects approfondis dans le chapitre
AdministrationetScuritdecetouvrage).
- 5-
Unefoisauthentifi,unouplusieurslmentstemporairesdunelistedaccssontactivs.
Quelquesbnficesesprer:
Leslmentsissusdunelistedynamiquenesontajoutsquaumomentdeleurutilisation,lalistersultante
estpluscourteetparsuite,consommemoinsderessourcesCPU.
Letrououvertdanslaplaquenerestepasouvertindfiniment,lerseaunestdoncpasindfiniment
exposdventuelsagresseurssusceptiblesdemettreprofitlafaillequeconstitueletrou.
a.Configurerunelistedaccsdynamique
Unefoisencore,nousmettronsprofitlamiseensituationdcritepourcrerlesscnariosdelistestendues:
Objectif:
Autoriser le trafic issu des utilisateurs distants, brett et danny, et destin aux serveurs WEB du rseau
interne.
tape1:crationdelabasedecomptes
La liste daccs dynamique exige lauthentification des utilisateurs. Il faut donc crer une base de comptes.
Lauthentification (qui nest pas un objectif du CCNA) est traite dans le chapitre Administration et scurit. Deux
mthodessontpossibles:
1.Grerlesidentifiantslocalement.Cesidentifiantssontstocksdanslesfichiersdeconfigurationdurouteur.
2.Grerlesidentifiantsdefaoncentralisesurunouplusieursserveurs.LIOSsupportedeuxtechnologies,lune
normalise par lIETF est RADIUS (Remote Authentication DialIn User Service), lautre propritaire est TACACS+
(TerminalAccessControllerAccessControlSystemPlus).
Lobjectif prsent est de configurer une liste dynamique, on sen tiendra une base de comptes locale. La liste
dynamique doit tre place sur le routeur de bordure R120m. Plaonsy notre modeste base de comptes, elle ne
comportequedeuxutilisateurs:
R120m(config)#username brett password tamajeste
R120m(config)#username danny password fulton
R120m(config)#^Z
R120m#
tape2:crerlarelationentrelvnementutilisateurauthentifietlajoutdunlmentdeliste
- 6-
Nousavonsbesoindesdeuxcommandesaccessenableetautocommand:
La commande accessenable a pour objet de crer un lment temporaire dans une liste daccs
dynamique.Envoicilasyntaxe:
Quandlalisteestplacesurlefluxsortantdelinterface,cestleanydedestinationquiestremplac.
Quandlalisteestplacesurlefluxentrantdelinterface,cestleanysourcequiestremplac.
timeoutminutes
Optionnel, spcifie un temps dinactivit audel duquel llment temporaire expire. Par dfaut, llment
dynamique nexpire jamais (il est donc permanent). Cisco recommande dajuster ce temps lidentique avec le
tempsdinactivitquiprovoquelaretombedulienWAN(danslecasdunlienWANcommut,cestdireunlien
tablilademande,interrompuaudeldunecertainepriodesansactivit).
- 7-
[timeoutminutes]
Optionnel,exprimenminutes,spcifieuntempsabsoludactivationdellmenttemporairedanslalistedaccs.
Le temps par dfaut est infini, le maintien de llment par dfaut est donc permanent (mais quel serait lintrt
danscecasdebtirunlmentdynamique?).
Onpeutmaintenantcrerlalistedaccstendueetyplacerllmentdynamique:
R120m(config)#ip access-list extended 125
R120m(config-ext-nacl)#?
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default
Set a command to its defaults
deny
Specify packets to reject
dynamic
Specify a DYNAMIC list of PERMITs or DENYs
evaluate
Evaluate an access list
exit
Exit from access-list configuration mode
no
Negate a command or set its defaults
permit
Specify packets to forward
remark
Access list entry comment
R120m(config-ext-nacl)#10 permit tcp any host 10.0.12.1 eq telnet
R120m(config-ext-nacl)#20 dynamic ?
WORD Name of a Dynamic list
R120m(config-ext-nacl)#20 dynamic item_dynamiq timeout 120 permit tcp any host
10.0.8.4 eq www
R120m(config-ext-nacl)#exit
R120m(config)#
Observez le premier lment de la liste ncessaire pour permettre la connexion Telnet et donc lauthentification.
Observez galement le dlai absolu dexpiration de llment dynamique, tabli 120 minutes. Cest donc deux
temporisateursquiassurentlexpirationdellmentdynamique:
Le temporisateur de la commande accessenable fait expirer llment audel du temps sans activit
spcifi.
Quoiquil arrive, le temporisateur de la commande dynamic fait expirer llment parvenu au temps
dexistencespcifi.
tape4:appliquerlalistedaccsdynamique
Ilresteappliquerlaliste125surlefluxentrantdelinterfacef0/0durouteurR120m:
R120m(config)#int f0/0
R120m(config-if)#ip access-group 125 in
R120m(config-if)#^Z
R120m#
tape5:test
- 8-
1. Depuis la machine VMSRV02 qui fait office de station distante, lutilisateur tente de se connecter sur le site
10.0.8.4.
2....sanssuccs.
3.Surlammemachine,lutilisateurutilisePUTTYafindtabliruneconnexionTelnetsurlerouteurR120m.
4.Phasedauthentification,lutilisateurmetprofitlenometlemotdepasseattribusparladministrateur.
5. De retour sur la fentre du navigateur, un clic sur le bouton Rafrachir et cette fois, la page daccueil du site
apparat.
SurlerouteurR120mporteurdelalistedynamique,unecommandeshowaccesslistfaitapparatrelesdiffrents
lmentsdelalisteainsiquelenombredecorrespondancespositivespourchaquelment.
Dans le cas de llment dynamique, observez linformation time left qui prcise le temps restant avant
expirationdellment:
R120m#show access-lists
Extended IP access list 125
10 permit tcp any host 10.0.12.1 eq telnet (84 matches)
20 Dynamic item_dynamiq permit tcp any host 10.0.8.4 eq www
permit tcp host 10.0.12.12 host 10.0.8.4 eq www (8 matches) (time left 281)
R120m#show access-lists
Quelquessecondesplustard:
Extended IP access list 125
10 permit tcp any host 10.0.12.1 eq telnet (84 matches)
20 Dynamic item_dynamiq permit tcp any host 10.0.8.4 eq www
permit tcp host 10.0.12.12 host 10.0.8.4 eq www (9 matches) (time left 82)
R120m#
Aprsunrafrachissementdelapagedaccueildusite10.0.8.4:
- 9-
R120m#show access-lists
Extended IP access list 125
10 permit tcp any host 10.0.12.1 eq telnet (84 matches)
20 Dynamic item_dynamiq permit tcp any host 10.0.8.4 eq www
permit tcp host 10.0.12.12 host 10.0.8.4 eq www (14 matches) (time left 286)
R120m#
Deretoursurlastationdistante,unenouvelletentativedeconnexionTelnetprovoquecemessage:
User Access Verification
Username: danny
Password:
% List#125-item_dynamiq already contains this IP address pair
Voillutilisateurprvenu:cettenouvelleconnexiontaitinutile.
Hlas,onsesouvientquelorsdelouverturedesessionTelnet,lemotdepasseestvhiculenclairsurlerseau
(relire si ncessaire le chapitre correspondant de louvrage Cisco Notions de base sur les rseaux dans la
collection Certifications aux Editions ENI). En conditions relles, ladministrateur gagnerait substituer une
connexion SSH la connexion Telnet propose dans ce scnario. La mise en uvre dune telle connexion est
explicitedanslechapitreAdministrationetscurit.
3.Listesdaccsrflexives
Nous avions soulign dans louvrage Cisco Notions de base sur les rseaux dans la collection Certifications aux
EditionsENIlimportanceduprotocoleTCP,rappeleparlenomTCP/IPquidsignelapiledeprotocolesdelInternet.
LaplusgrossepartiedutraficdelInternet,Web,fichiers,courrierlectronique,transitepardescircuitsTCP,seules
lesapplicationstempsrelluichappent.AppuyonsnotrepropossurunchangeTCP:
- 10 -
Lchange est de type clientserveur:leprocessusclientgnredesrequtes,leprocessusserveurrpondces
requtes.Leprocessusclientestdonclinitiativedelchange.
1)Leprocessusclientrserveunnumrodeportauprsdusystmedexploitationquiluiassigneunportaudelde
1023. Le processus serveur se manifeste galement auprs du systme dexploitation pour provoquer louverture
dunportmaisilimposelenumrodeport.Eneffet,pourtrejoignable,leportdunserveurdoittreconnu(ports
de102449151)oubienconnu(ports01023).
2)Lapplicationclientmetunecommandedouvertureactive.TCPcreuneinstance,metunsegmentSYN,cest
direunsegmentdanslequelledrapeauSYNestpositionn(mis1).
3)Depuislouverturepassive,linstanceTCPdelapplicationserveurtaitdansltatLISTEN.Cetteinstancereoitle
segment SYN du client et rpond par un segment dans lequel les drapeaux SYN et ACK sont positionns. Il faut
comprendrecemessagecommetantlasuperpositiondedeuxmessages:Jacceptedouvriruneliaisondetoivers
moidrapeauACKetjesouhaitemoiaussitabliruneliaisonverstoidrapeauSYN.
Louverture dun port par le client est phmre puisque la rservation ne dure que le temps de lchange client
serveur.Louvertureduportserveurestplusprennepuisquelledureautantquelapplicationserveur,cestdire
tant que le service correspondant est offert, tant entendu que le serveur rpond toutes les requtes de ses
clients.
Tout comme UDP, TCP permet le multiplexage cestdire permet une mme machine dentretenir plusieurs
communicationssimultanes.Lecouple[@IPNumrodeportTCP]estappelsocket,uneconnexionncessite
lamiseenplacededeuxsockets.
Lassociation complte, compose des adresses IP source et destination, des numros de ports source et
destination,duprotocoleutilis,identifiesansambigutquellecommunicationparticipeunsegmentTCP.
Exempledassociations:
ENI Editions - All rigths reserved - Noba Mafiza
- 11 -
[TCP,192.168.1.141400,196.21.132.121]
[TCP,10.0.8.41052,10.0.12.1280].
Le raisonnement qui suit vaut quel que soit le protocole encapsul dans IP. Quatil manqu aux listes tendues
misesenplacedepuisledbutdecechapitrepoursemontrertotalementefficaces,cestdireraliserunfiltrage
quisadaptetrsexactementlassociationdcritecidessus?
La rponse est : il manque une capacit adaptative. Imaginons le cas classique dutilisateurs internes qui doivent
accder des services externes. Cest seulement quand le client interne initie la communication que londcouvre
quels sont les sockets utiliss, cestdire quel est le couple source [@IP Numro de port] et quel est le couple
destinationconvoit[@IPNumrodeport].
Unfiltretotalementefficacedoit:
scruterlepaquetinitiateurissudelinterne(trame1delacapturecidessus)
dduireleprotocoleencapsuldansIP(TCPdanslexemplecidessus)
dduirelessocketssourceetdestination(10.0.8.41052,10.0.12.1280danslexemple)
mettre en place un lment de liste daccs temporaire de type permit qui sadapte trs prcisment
lassociation [TCP, 10.0.8.4 1052, 10.0.12.1280]observeenautorisantlespaquetsduserveurversle
client,issusdelexternedonc(trames2,5,6...delacapturecidessus)
leprotocoleautorisparllmentestceluiobservdanslepaquetinitiateur(TCPouUDPouautre,
TCPdanslecasprsent)
lesadressessourceetdestinationdellmentetcellesdupaquetinitiateursontinverses.
danslecasleplusprobableduntraficTCPoudanslecasduntraficUDP:
lesportssourceetdestinationdellmentetceuxdupaquetinitiateursontgalementinverss.
danslecasduntraficICMP:
siletypeobservdanslepaquetinitiateurest8(Echo),llmentautoriseletype0(Echo
Reply).
Crerdefaonautomatiqueuntellmenttemporairedansunelistetendueenfaitunelistedaccsditerflexive.
On aurait galement pu lappeler dynamique car llment permit temporaire est mis en place la demande et
sadapteaufluxentrantissudelexterne.Maiscettedsignationestdjaffecte.Commepourunelistedynamique,
lalistedaccsrflexiveestconceptuellementplacerauniveaudelacoucheSessiondumodleOSIRM.
Ces notions devraient rapidement sclaircir avec un exemple concret. Sans plus tarder, mettons en place notre
premirelistedaccsrflexive...
a.AutoriserletraficWWW
Objectif:
AutoriserletraficissudesutilisateursdurseauinterneetdestinauxserveursWEBdurseauexterne.
Prparationducontexte:
Cescnarioayantdjtutilispourmontrerlusagedeslistesdaccstenduesetdates,ladministrateurat
toutelistedaccsencoreprsentesurR120,sansomettrelescommandesipaccessgroupdapplicationdeslistes
auxinterfaces.
Choixstratgiques:ladministrateurdcidedemettreenplaceunelistedaccsrflexivesurlerouteurdebordure
R120m.LalistequiscruteletraficinitiductinterneseraplacesurlinterfaceinternedeR120m,fluxentrant.La
listerflexivequicomportellmenttemporairedestinpermettreletraficmiroirseraplacsurlinterfaceexterne
- 12 -
deR120m,fluxentrant.
tape1
En configuration globale, la commande ip reflexiveliste timeout permet de spcifier un temps dinactivit de la
session (pas de paquets observs dans cette session) audel duquel llment temporaire issue de la liste
rflexiveexpire.Cetempsesttablipardfaut300secondes,cequiestsansdouteunpeulong.Ladministrateur
prudentaprfrramenercetemps60secondes:
R120m(config)#ip reflexive-list ?
timeout Timeout value for reflexive ACL entries
R120m(config)#ip reflexive-list timeout ?
<1-2147483> timeout in seconds
R120m(config)#ip reflexive-list timeout 60
R120m(config)#
Ladministrateur peut ensuite appliquer un temps spcifique chaque lment rflexif mis en place (patientez).
Quandilnelefaitpas,cestletemporisateurglobalquisapplique.Quelquesvaleursconseilles:3060secondes
pouruntrafichttp,10secondespouruntraficicmpoudns.
tape2:crerlalisteinterne
La commande permit (reflexive), en mode de configuration de liste daccs, est utilise pour scruter un trafic IP.
Cettecommandeassocielacommandeevaluateprovoquelacrationdunlmenttemporairedelistedaccs
quiautoriserauniquementletraficenrponseautraficscrut.
Lasyntaxedelacommandeestlasuivante:
permit protocol source source-wildcard destination destination-wildcard reflect
name [timeout seconds]
...dontlesargumentsnouveauxsont:
reflect
Identifieunlmentdelistedetyperflexif.
name
Nomattribulalistedaccsrflexive.Cenomnepeutpascontenirdespaceoudeguillemetsetdoitdbuterpar
un caractre alphabtique afin de prvenir lambigut avec les listes daccs numrotes. La longueur ne peut
excder64caractres.
Ladministrateur avis devrait mettre en place un lment permit (reflexive) par type de trafic, le nom devrait
rappelerletraficfiltr.Cecirevientcrerunelistedaccsrflexivepartypedetrafic.Lesphasesdemiseaupoint
etdemaintenancesentrouverontfacilites.
timeoutseconds
Optionnel, permet de spcifier un temps dinactivit de la session spcifique cet lment (pas de paquets
observs dans cette session) audel duquel llment temporaire issu de la liste rflexive expire. La valeur est
exprimeensecondessur32bitsetdoitdoncappartenirlaplage[0,2 32 1].
Quandcetempsdinactivitnestpasspcifi,cestletempsglobaldinactivitdesessionquisapplique(voirtape
1).
Attention:lordrechoisipourleslmentsquicomposentlalisteestencoreplusimportantquedanslecasdune
liste tendue sans commande permit (reflexive). Imaginez un paquet qui pourrait correspondre un lment
permit(reflexive).Ilsetrouvequun autre lmentpermitoudenyplacplushautdanslalistelaissepasserou
purgelepaquet.Llmentpermit(reflexive)nestdoncpasluetparsuite,llmenttemporairequiauraitpermisle
traficmiroirnestpascr!
Quelques caractristiques de llment temporaire cr par laction conjugue des deux commandes permit
(reflexive)etevaluate:
Llment temporaire est cr linstant o un paquet fait lobjet dune correspondance positive avec un
- 13 -
lmentpermit(reflexive).
Llmentestdetypepermit.
Llment autorise le mme protocole encapsul dans IP que celui observ dans le paquet initiateur du
trafic.
LadresseIPsourceautoriseestladressededestinationdupaquetinitiateur.
LadresseIPdestinationautoriseestladressesourcedupaquetinitiateur.
Si le paquet initiateur encapsule TCP ou UDP, le port source autoris est le port destination du paquet
initiateur.
Si le paquet initiateur encapsule TCP ou UDP, le port destination autoris est le port source du paquet
initiateur.
Si le paquet initiateur encapsule ICMP, le type ICMP autoris est le mme type contenu dans le paquet
initiateur une exception cependant : si le paquet initiateur porte le type 8 (Echo), le type autoris par
llmenttemporaireest0(EchoReply).
Un paquet IP qui correspond tous les critres prsents dans llment temporaire est transmis au
processus de routage. Un paquet IP qui ne correspond pas est valu par llment suivant de la liste
daccs.
Llment temporaire expire quand plus aucun paquet de la session nest observable depuis un temps
configurable par ladministrateur. Chaque nouveau paquet de la session rinitialise le temporisateur
dinactivit.
Appliquonslacommandeaucahierdeschargesprsent:
Attention, la liste daccs interne comprendra sans doute plusieurs lments qui peuvent tre au choix des
lments de liste tendue ou des lments permit (reflexive). Par consquent, inutile de lui donner un nom qui
laisserait penser quelle est exclusivement ddie la cration dlments rflexifs (ce qui est clair aujourdhui
paratratrsobscurdanssixmois!):
R120m(config)#ip access-list extended internal_ACL
R120m(config-ext-nacl)#10 permit tcp any any eq 80 reflect WEB_ONLY_RACL
R120m(config-ext-nacl)#20 permit ip10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255
R120m(config-ext-nacl)#30 deny ip any any
R120m(config-ext-nacl)#exit
Observezllment20quimriteuneexplication(ayezlatopologiesouslesyeux):quandunemachinedurseau
interneLAN10initieuntraficversunemachinedurseauDMZLAN8,larponsedelundesserveursdecerseau
doit transiter par lune des passerelles 10.0.8.253 ou 10.0.8.254 selon la configuration IP tablie par
ladministrateursurcesserveurs.
Silapasserellechoisieest10.0.8.254,lerouteurR120mnestconcernniparlarequte,niparlarponse.
Silapasserellechoisieest10.0.8.253,lerouteurR120mreoitlarponseetlafaitprogresserversR100m
puis envoie un message ICMP redirect vers la source afin que la suite du trafic transite directement par
R100m.EncorefautilquecepremierpaquetderponseparvienneauprocessusderoutagedeR120met
nesoitpasfiltrparlalisteinternal_ACLquenousnousapprtonsmettreenplacesurlinterfaceinterne
fluxentrantdeR120m.
- 14 -
Luniqueargumentest:
name
Nomattribulalisterflexivedanslacommandepermit(reflexive).
Appliqueaucasprsent:
R120m(config)#ip access-list extended external_ACL
R120m(config-ext-nacl)#evaluate WEB_ONLY_RACL
R120m(config-ext-nacl)#exit
tape4:appliquerleslistesleursinterfacesrespectives
Lalisteinterneestappliquesurlefluxentrantdelinterfaceinternedurouteurdebordure:
R120m(config)#int f0/1
R120m(config-if)#ip access-group internal_ACL in
Lalisteexterneestappliquesurlefluxentrantdelinterfaceexternedurouteurdebordure:
R120m(config-if)#int f0/0
R120m(config-if)#no ip access-group 125 in
R120m(config-if)#ip access-group external_ACL in
R120m(config-if)#exit
R120m(config)#^Z
R120m#
tape5:test
Vrifier la bonne excution du cahier des charges peut soprer depuis un navigateur ouvert sur la station
VMWKS01.Enbarredadresse,ladministrateurentre10.0.12.12etnormalement,lapagesouvre:
Unedernirecommandeafindevrifierquellmenttemporaireabientcr:
R120m#sh access-lists
Reflexive IP access list WEB_ONLY_RACL
permit tcp host 10.0.12.12 eq www host 10.0.8.4 eq 1052 (10 matches) (time left 53)
Extended IP access list external_ACL
10 evaluate WEB_ONLY_RACL
Extended IP access list internal_ACL
10 permit tcp any any eq www reflect WEB_ONLY_RACL (8 matches)
Observez la prsence de la liste WEB_ONLY_RACL. Cette liste, de type rflexive, na pas t cre par
ladministrateurmaisparlIOS.Aumomentdelobservation,ellecomporteunlmenttemporaire,quisilinactivit
delasessionperdurait,disparatraitdans53secondes.
Ladministrateuratoutlieudtresatisfait,letroucrdanslaplaquenepeutpastrepluspetitcarilprciseune
adresse IP source, un port source, une adresse IP destination et un port destination. De plus, llment est
temporaire.
- 15 -
Unpeuplustard:
R120m#sh access-lists
Reflexive IP access list WEB_ONLY_RACL
permit tcp host 10.0.12.12 eq www host 10.0.8.4 eq 1052 (10 matches) (time left 33)
Extended IP access list external_ACL
10 evaluate WEB_ONLY_RACL
Extended IP access list internal_ACL_WEB
10 permit tcp any any eq www reflect WEB_ONLY_RACL (8 matches)
R120m#
b.AutoriserletraficDNS
Objectifrevisit:
laidedunelistedaccsrflexive,autoriserletraficissudesutilisateursdurseauinterneetdestinaux
serveursDNSdurseauexterne.
Prparationducontexte:
Pour mmoire, un serveur DNS a t install sur la machine VMSRV02. Ce serveur hberge le domaine ccie.fr.
Ladministrateuryacrunaliaswwwpointantsurlamachine10.0.12.12.
Dansunpremiertemps,ladministrateursesouvientquelesrequtesDNSsonttransportesparleprotocoleUDP
etquunserveurDNSactifsetraduitparleportUDP53ouvert,cequilvrifielaidedunecommandenetstatan
surleserveur.
tape1:complterlalisteinterne
R120m(config)#ip access-list extended internal_ACL
R120m(config-ext-nacl)#15 permit udp any any eq 53 reflect DNS_ONLY_RACL timeout 10
R120m(config-ext-nacl)#exit
R120m(config)#ip access-list resequence internal_ACL 10 10
R120m(config)#do sh access-list
Reflexive IP access list DNS_ONLY_RACL
Reflexive IP access list WEB_ONLY_RACL
Extended IP access list external_ACL
10 evaluate WEB_ONLY_RACL
Extended IP access list internal_ACL
10 permit tcp any any eq www reflect WEB_ONLY_RACL
20 permit udp any any eq domain reflect DNS_ONLY_RACL
30 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (3 matches)
40 deny ip any any (400 matches)
R120m(config)#
Observezquellment permit(reflexive)estcettefoisassociuntemporisateurdinactivitdesessionrgl
10secondes.Cetempssesubstitueautempsglobaldinactivitdesessionquilui,avaittrgl60secondes.
tape2:complterlalisteexterne
R120m(config)#ip access-list extended external_ACL
R120m(config-ext-nacl)#20 evaluate DNS_ONLY_RACL
R120m(config-ext-nacl)#^Z
R120m#
tape3:observerlalisterflexive
SurlastationVMWKS01,ladministrateurprovoqueunerequteDNSdestineauserveurDNSexterne10.0.12.12:
C:\>nslookup
Serveur par dfaut :
Address: 10.0.8.1
vmsrv01.ccna.fr
>server 10.0.12.12
- 16 -
c.AtelierListedaccsrflexive
Prrequis : mettre en place le service serveur Telnet sur la machine VMSRV02. Sil sagit dun serveur Windows
2000commeprconispournosmisesensituation,ilsuffitdactiverleservice:
EffectuezunclicdroitsurPostedeTravailGrer.
DvelopperllmentServicesetapplicationsServices.
EffectuezunclicdroitsurleserviceTelnetpuisDmarrer.
vousdejouercettefois,uncorrigestproposauchapitreAteliersetexercicescorrigs.
Objectifs:
SurR120m,compltezleslistesdaccsinternal_ACLetexternal_ACLafindemettreenplaceunenouvelleliste
daccs rflexive dont lobjet est de permettre ltablissement dune session Telnet vers un serveur externe
quandelleestinitieparunutilisateurinterne.
Cetatelierestmaintenanttermin.
- 17 -
Synthse
1.Lescaractristiquesretenir
Lesnotionssuivantesmritentdtreancrestrssrieusement:
Une ACL ou liste de contrle daccs est compose de un ou davantage dlments, chaque lment
comporteuneactionDENYouPERMIT.
Deslmentsquiportentlemmenumroappartiennentlammeliste.
Pardfaut,uneinterfacederouteurautorisetouttraficdanslesdeuxdirections.Mettreenplaceunelistede
contrle daccs sur une interface revient bloquer tout trafic dans une direction spcifie (entrant ou
sortant)lexceptiondutraficfaisantlobjetduneautorisationexplicitedanslaliste.
Pourunelistedonne,quandlaconditiondunlmentestavre,lIOSentreprendlactioncorrespondante,
autorisationourejet,etcesselalecturedelaliste.
Quandaucundeslmentsnadonndeconditionavre,cestledernierlmentinvisiblederejetimplicite
quisapplique.CestpourquoiuneACLdoitaumoinscomporterunlmentdontlactionestPERMIT.Dansle
cascontraire,ellebloquelintgralitdutrafic.
UneACLvideestuneACLappliqueuneinterfacemaispourlaquelleilnexisteaucunlment.Unetelle
listeautorisetoutletrafic.Lerejetimpliciteenfindelistenesapplique que silestprcddau moins un
lment.
Lammelistedaccspeuttreappliqueplusieursinterfaces.Enrevanche,uneinterfacenepeutrecevoir
quune liste par protocole et par sens de flux. Impossible par exemple dappliquer deux listes IP sur le flux
entrant dune interface. Mais lIOS accepte pour une mme interface quune liste IP sur le flux entrant
cohabiteavecuneautresurlefluxsortant.
Une liste daccs standard se place sur le trafic sortant de linterface de routeur la plus proche de la
destination.
linverse,unelistedaccs tendue devrait se placer sur le trafic entrant de linterface de routeur la plus
prochedelasource.
Leslmentsdunelistedaccsdevraienttrerangsparordredeprobabilit,leplusprobable(celuidont
loccurrenceestlaplusfrquente)enttedeliste.
Unelistedaccsdatepermetdajusterletraficselondescritresdetemps.Lespossibilitsoffertesnese
limitentpasdesquestionsdescurit.Onpeutvouloirparexempleprivilgieruntraficsensiblecertaines
heuresdelajourneaudtrimentdetraficsjugssecondaires.
Une liste daccs dynamique rgle le cas des utilisateurs distants, externes au rseau de lentreprise,
auxquels ladministrateur doit offrir des accs au rseau interne sans pour autant ouvrir des brches
immensesdansleslistesdaccsplacessurlerouteurdebordure.
Unelistedaccsrflexiveoffrelemoyendautoriserletraficquandilestinitidepuislerseaudelentreprise
toutenbloquantlestentativesdouverturesdesessioninitiesdepuislextrieurdelentreprise.
2.Lescommandesretenir
a.ListesdaccsIPstandard,configuration
Commande
Mode
Description
- 1-
accesslistACL_#{permit|deny}
{@IP_source[masq_gnrique]|
any}[log[cookie_utilisateur]]
Configurationglobale
CreunlmentdelalistenACL_#.
ipaccessgroup{accesslistname|
ACL_#}{in|out}
Configurationdinterface
AppliquelalistenACL_#auflux
entrantousortantdelinterface.
accessclass{accesslistname|
ACL_#}{in|out}
Configurationdeligne
Restreintlesconnexionsentrantes
ousortantesentreuneligneetles
adressesIPdelalistedaccs.
ipaccessliststandard{accesslist
name|ACL_#}
Placelinterfacedanslemode
deconfigurationdeliste
standard
Creunelistedaccsstandard
nommeousquence.
[sequencenumber]{permit|deny}
@IP_source[masq_gnrique]
Modedeconfigurationdeliste
standard
Creunlmentdelistestandard
nommeousquence.
b.ListesdaccsIPtendues,configuration
Commande
Mode
accesslistACL_#[dynamicdynamic_name Configurationglobale
[timeoutminutes]]{permit|deny}
protocol{@IP_source[masq_gnrique]|
any}{@IP_destin[masq_gnrique]|any}
[precedenceprecedence][tostos][dscp
dscp][timerangeplage_de_temps]
[fragments][log[cookie_utilisateur]|log
input[cookie_utilisateur]]
Creunlmentdelaliste
tenduenACL_#.
ipaccessgroup{accesslistname|
ACL_#}{in|out}
Configurationdinterface
AppliquelalistenACL_#au
fluxentrantousortantde
linterface.
accessclass{accesslistname|ACL_#}
{in|out}
Configurationdeligne
Restreintlesconnexions
entrantesousortantesentre
uneligneetlesadressesIPde
lalistedaccs.
ipaccesslistextended{accesslistname| Placelinterfacedanslemode
ACL_#}
deconfigurationdeliste
tendue
Creunelistedaccstendue
nommeousquence.
[sequencenumber]{permit|deny}protocol Modedeconfigurationdeliste
{@IP_source[masq_gnrique]|any}
tendue
{@IP_destin[masq_gnrique]|any}
[optionoptionname][precedence
precedence][tostos][ttloperatorvalue]
[timerangetimerangename]
[fragments][log[word]]
Creunlmentdeliste
tenduenommeou
squence.
permitprotocol{@IP_destin
[masq_gnrique]|any}{@IP_destin
[masq_gnrique]|any}reflectname
[timeoutseconds]
Modedeconfigurationdeliste
tendue
ScruteuntraficIP.Doittre
associlacommande
evaluate.
evaluatename
Modedeconfigurationdeliste
tendue
Nicheunelistedaccsrflexive
auseindunelistetendue.
c.Commandestransverses
- 2-
Description
Commande
Mode
Description
remarktext_string
Modedeconfigurationdeliste
Ajouteuncommentaireune
listesousformedunpseudo
lment.
ipaccesslistresequence{accesslist
name|ACL_#}startingsequencenumber
increment
Configurationglobale
Squenceleslmentsaupas
spcifi.
timerangenom_de_la_plage_de_temps
Placelinterfacedanslemode
deconfigurationdeplagede
temps
Creuneplagedetemps.
Modedeconfigurationdeplage Dfinituneplagedetemps
detemps
uniqueborne.
Modedeconfiguration
dinterface
Mmorise.
d.Listesdaccs,commandesexec
Commande
Description
accessenable[host][timeoutminutes
Creunlmenttemporairedansunelistedaccs
dynamique.
showipinterface{type}{numro}
Afficheentreautres,lecaschant,laouleslistes
appliqueslinterface.
showaccesslist{accesslistname|ACL_#}
Dtailssurleslistesconfigurespourtousles
protocoles.
showipaccesslist{accesslistname|ACL_#}
DtailssurleslistesconfigurespourIP.
clearipaccesslistcounters
RAZdescompteursdoccurrencedelistesdaccs.
showprocesses
Vrifiequelaconsommationderessourcesmachines
resteacceptable.
showtimerange
Vrifieltatactueldesplagesdetempsdfiniessur
cerouteur.
showipaccountingaccessviolations
Informationsausujetdespaquetsrefussparles
listesdaccsaccessibles(silacommandeip
accountingaccessviolationsatentreen
configurationdinterface).
clearipaccounting
RAZinformationsausujetdespaquetsrefusspar
leslistesdaccsaccessibles(silacommandeip
accountingaccessviolationsatentreen
configurationdinterface).
- 3-
Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs.
1 LinterfaceF0/0estdjdotedunelistedaccsIPappliquesurlefluxentrant.Quelestlecomportementde
linterfaceILCquandladministrateurtentedappliquerunesecondelistesurlammeinterfaceetlemmeflux?
2 Dcrivezlarglequirgitlapplicationdeslistesdaccsauxinterfaces.
3 Rappelezlesdeuxprincipesquirgissentlepositionnementdunelistestandardainsiqueceluiduneliste
tendue.
4 ProposezlacommandepermettantlacrationdunlmentdelistedaccsIPstandarddontlobjetest
dautorisertouttraficissudurseau192.168.1.0/24.
5 ProposezlacommandepermettantlacrationdunlmentdelistedaccsIPtenduedontlobjetest
dautorisertouttraficICMPissudurseau172.26.0.0/16etdestinaurseau172.27.0.0/17.
6 ProposezlacommandepermettantlapplicationdunelistedaccsnommeRUNABsurlefluxsortantdune
interface.
7 Quelmasquegnriqueprovoquelarecherchedecorrespondancesurchaquepositiondebitdeladresse?
8 UnespacedadressesIPcontigusestdfinilaidedumasquederseau255.255.248.0.Quelmasque
gnriquefautilassocierladresserseaupourenglobercetespacedadressesdansunecommandedeliste
daccs?
9 Observezlacapturecidessous.Commentladministrateurpourraitilajoutercettelisteuncommentaireafin
derappelersonobjet?
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established (11 matches)
20 permit tcp any host 10.0.8.3 eq smtp
30 deny ip any any (151 matches)
R120k#
10 Citezaumoinsdeuxavantagesoffertsparlutilisationdelistesnommes.
11 Observezlacapturecidessous.Commentlalistedaccsn30traitetelleunpaquetdontladressesourceest
10.0.12.112?
R8j#conf t
R8j(config)#access-list 30 permit 10.0.12.96 0.0.0.15
R8j(config)#int f0/0
R8j(config-if)#ip access-group 30 out
R8j(config-if)#^Z
R8j#
12 Observezlacapturecidessous.Unutilisateurseplaintdenepasparvenircherchersoncourriersurle
serveur10.0.8.3.Quefaitesvousetqueluiditesvous?
R100k(config)#time-range no-web
R100k(config-time-range)#periodic weekdays 12:00 to 13:00
R100k(config-time-range)#exit
R100k(config)#time-range no-mail
R100k(config-time-range)#periodic weekend0:00 to 23:59
R100k(config-time-range)#exit
R100k(config)#ip access-list extended strychn
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 any eq 80 time-range no-web
R100k(config-ext-nacl)#permit udp 10.0.10.0 0.0.0.255 any eq 53
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 110 timerange no-mail
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp-data
established
R100k(config-ext-nacl)#deny ip any any
R100k(config-ext-nacl)#exit
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
R100k(config)#
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/12
Pourcechapitre,votrescoreminimumdoittrede9sur12.
3.Rponses
1 Linterface F0/0 est dj dote dune liste daccs IP applique sur le flux entrant. Quel est le comportement de
linterfaceILCquandladministrateurtentedappliquerunesecondelistesurlammeinterfaceetlemmeflux?
La seconde liste est applique linterface sans autre forme de procs. Elle remplace donc la premire liste (relire si
ncessairelasectionApplicationdunelistedecontrleuneinterface).
2 Dcrivezlarglequirgitlapplicationdeslistesdaccsauxinterfaces.
Ladministrateurpeutappliquerunelistedaccsparinterface,parprotocoleetparsensdeflux.CISCOnommecettergle
largledes3P(reliresincessairelasectionApplicationdunelistedecontrleuneinterface).
3 Rappelezlesdeuxprincipesquirgissentlepositionnementdunelistestandardainsiqueceluidunelistetendue.
Unelistedaccsstandardseplacesurletraficsortantdelinterfacederouteurlaplusprochedeladestination.
Unelistedaccstenduedevraitseplacersurlefluxentrantdelinterfacelaplusprochedelasourcedutrafic
contrler.
(Relire si ncessaire les sections Positionnement de la liste daccs standard et Application dune liste tendue une
interface.)
4 ProposezlacommandepermettantlacrationdunlmentdelistedaccsIPstandarddontlobjet est dautoriser
touttraficissudurseau192.168.1.0/24.
access-list 1 permit 192.168.1.0 0.0.0.255
Tout numro de liste convient dans les plages 1 99 ou 1300 1999 (relire si ncessaire la section Liste daccs IP
standard,configuration).
5 Proposez la commande permettant la cration dun lment de liste daccs IP tendue dont lobjet est dautoriser
touttraficICMPissudurseau172.26.0.0/16etdestinaurseau172.27.0.0/17.
access-list 100 permit icmp 172.26.0.0 0.0.255.255 172.27.0.0 0.0.127.255
Tout numro de liste convient dans les plages 100 199 ou 2000 2699 (relire si ncessaire la section Liste daccsIP
tendue,configuration).
6 ProposezlacommandepermettantlapplicationdunelistedaccsnommeRUNABsurlefluxsortantduneinterface.
ip access-group runab out
(ReliresincessairelasectionApplicationdunelistenommeuneinterface.)
7 Quelmasquegnriqueprovoquelarecherchedecorrespondancesurchaquepositiondebitdeladresse?
0.0.0.0.(reliresincessairelasectionManipulationdesmasquesgnriques).
8 UnespacedadressesIPcontigusestdfinilaidedumasquederseau255.255.248.0.Quelmasquegnrique
- 2-
fautilassocierladresserseaupourenglobercetespacedadressesdansunecommandedelistedaccs?
0.0.7.255.(reliresincessairelasectionManipulationdesmasquesgnriques).
9 Observez la capture cidessous. Comment ladministrateur pourraitil ajouter cette liste un commentaire afin de
rappelersonobjet?
R120k#sh ip access-list
Extended IP access list 125
10 permit tcp any eq smtp host 10.0.8.3 established (11 matches)
20 permit tcp any host 10.0.8.3 eq smtp
30 deny ip any any (151 matches)
R120k#
Ilyadeuxfaonsdefairemaisuneseuledesdeuxconvientlnonc:
Remplacerlalistenumroteparunelistenomme,lenomattribulalisterappelantsonobjet,maiscelaoblige
supprimerlalisten125puisrecrerlalistenomme
Ajouteruncommentairelaidedupseudolmentremark,seulerponseconvenablepuisquelnoncstipulait
Ajoutercetteliste.
(Reliresincessairelasectionditiondeslistesdaccs.)
10 Citezaumoinsdeuxavantagesoffertsparlutilisationdelistesnommes.
Unelistedaccsnommeautoriseuneidentificationaisedelalisteenluidonnantunnomvocateur.
Contrairementlalistenumrote,lalistenommeautoriselasuppressiondunlmentsansremettreenquestionlaliste
danssonentier.
Pourmmoire,leslistesnommessontncessaireslamiseenuvredeslistesdaccsrflexivesmaiscest plus une
caractristiquequunavantage.
(ReliresincessairelasectionManipulationdesmasquesgnriques.)
11 Observez la capture cidessous. Comment la liste daccs n30 traitetelle un paquet dont ladresse source est
10.0.12.112?
R8j#conf t
R8j(config)#access-list 30 permit 10.0.12.96 0.0.0.15
R8j(config)#int f0/0
R8j(config-if)#ip access-group 30 out
R8j(config-if)#^Z
R8j#
Lespace 10.0.12.96 0.0.0.15 comporte toutes les adresses comprises entre 10.0.12.96 et 10.0.12.111. Le paquet
dadressesource10.0.12.112nestpastraitparllmentpermitdelalisten30.Cestlerejetimplicitequiprovoquesa
miseaurebus(reliresincessairelasectionManipulationdesmasquesgnriques).
12 Observez la capture cidessous. Un utilisateur se plaint de ne pas parvenir chercher son courrier sur le serveur
10.0.8.3.Quefaitesvousetqueluiditesvous?
R100k(config)#time-range no-web
R100k(config-time-range)#periodic weekdays 12:00 to 13:00
R100k(config-time-range)#exit
R100k(config)#time-range no-mail
R100k(config-time-range)#periodic weekend0:00 to 23:59
R100k(config-time-range)#exit
R100k(config)#ip access-list extended strychn
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 any eq 80 time-range no-web
R100k(config-ext-nacl)#permit udp 10.0.10.0 0.0.0.255 any eq 53
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 110 timerange no-mail
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp
R100k(config-ext-nacl)#permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.2 eq ftp-data
- 3-
established
R100k(config-ext-nacl)#deny ip any any
R100k(config-ext-nacl)#exit
R100k(config)#
Vrifiez lheure systme du routeur R100k. Si le routeur est lheure, dites votre utilisateur que jusqu prsent, les
heuresdetravailnecomprenaientpasleweekend(reliresincessairelasectionManipulationdesmasquesgnriques).
- 4-
Prrequisetobjectifs
1.Prrequis
MatriserlusageordinaireduPCdansunenvironnementWindows.
2.Objectifs
lafindecechapitre,vousserezenmesurede:
Mettreenplaceuneauthentificationlocalesurunrouteur,fondesurlutilisationdecouples{nomdutilisateur/mot
depasse}.
MettreenplaceuneauthentificationcentraliselaidedunserveurRADIUS.
MettreenplaceunserveurSYSLOG.
tabliruneconnexionscuriseviaSSH.
ObjectifsextraitsducoursAccsaurseautendu(Atteintepartielle)
Dcrirelesmenacesdescuritcourantespourlerseauetexpliquercommentmettreenplaceunestratgiede
scuritcompltepermettantdefairefaceauxmenaceslespluscourantessurlespriphriques,leshtesetles
applicationsdurseau.
Dcrirelesfonctionsdesappareilsetdesapplicationsdescuritlespluscourants.
Dcrirelespratiquesdescuritrecommandespourlascurisationdespriphriquesrseau.
- 1-
Identificationdesutilisateurs
LelecteurdsireuxdesentenirstrictementauxattendusdelacertificationCCNApeutignorercechapitre.
1.Lesniveauxdeprivilge
Lanotiondemodesdurouteurexposeprcdemmentdanscetouvrageestenralitassocieraveccettenouvelle
notiondeniveauxdeprivilge.LIOSsupporteseizeniveauxdeprivilge,numrotsde015.chaquecommande
de lIOS est associ un niveau de privilge. Par dfaut, lIOS rpartit lensemble de ses commandes sur les trois
niveaux[0,1,15]:
Leniveau0necomportequecinqcommandes:disable,enable,exit,helpetlogout.
Le niveau 1 correspond ce que nous avons appel mode utilisateur et comporte un large ensemble de
commandesquiontencommundenepouvoiraffecterquelaconfigurationdurouteur.
Leniveau15correspondcequenousavonsappelmodeprivilgiouenableetdonneaccslensemble
descommandesdelIOS.
La commande show privilege que lon peut abrger par sh priv confirme le niveau de privilge de la session en
cours:
Ainsi,laconnexionvialesportsconsole,auxiliaireouvty,aprsventuelleentredunmotdepasse,placelasession
au niveau de privilge 1 par dfaut. Les commandes enable et disable peuvent tre associes un argument
spcifiantleniveaudeprivilgecible,suprieurauniveauencoursdanslecasdelacommandeenable,infrieurau
niveauencoursdanslecasdelacommandedisable:
Dans les versions actuelles de lIOS, seuls les trois niveaux 0, 1 et 15 sont utiliss. Il est parfaitement possible de
crerdesniveauxdeprivilgeintermdiairesentreleniveau1etleniveau15:
- 1-
Lasquencedecommandesdecettecaptureprovoquelacrationdesdeuxniveauxdeprivilgesupplmentaires5et
10.Leniveau5estassociaumotdepasseccent,leniveau10estassociaumotdepasseccie.Observezquune
lvation du niveau de privilge en cours rclame le mot de passe correspondant. Une diminution du niveau de
privilgeencoursseffectuesansdlai.Observezgalementquelinvitedecommandesrestelammequelquesoitle
niveaudeprivilgedsquilestsuprieur1:
ModeutilisateurNiveaudeprivilge1Invitedecommandes:Nantes>
ModesprivilgisNiveauxdeprivilge215Invitedecommandes:Nantes#.
OnpeutsansdouteregretterquelIOSnerappellepasleniveaudeprivilgeencoursdanslinvitedecommandes,un
affichagedutypeNantes#5#parexempleauraittbiencommode.
Venonsenlavritableutilitdecesdiffrentsniveauxdeprivilge.Ilsvontpermettrederaliserunedlgationdes
privilges de ladministrateur granularit fine. Ladministrateur peut donner un administrateur dlgu laccs
touslesoutilsdontcedlguabesoinmaispasplus.Ladministrateurparvientcersultatenassociantlundes
niveauxdeprivilgeinfrieur15aveclesousensembledecommandesadquat.Imaginonsparexempleappartenir
un fournisseur daccs Internet. Une quipe de techniciens a pour activit principale le dploiement de routeurs
daccs chez les clients. Ces techniciens ont besoin de configurer des interfaces serial (cestdireleuraffecterune
adresse IP). Ils doivent donc disposer des commandes configure terminal, interface et ip address. De plus, ils
doivent pouvoir tester la connectivit du routeur et ont besoin pour ce faire des commandes ping et trace.
Ladministrateurdcidedaffectercescommandesauniveaudeprivilge5:
Maiscommentsassurerquelestechniciensdisposerontbiendecescommandesmaispasplus?Fortpropos,laide
contextuellevientausecoursdeladministrateur:
- 2-
Ladministrateur, rassur sur la porte de sa dlgation, provoque une commande show run afin de visualiser le
rsultatdescommandespassesdanslebutdedlguer.Unepetitesurpriselattend:
En effet, il ne sattendait pas trouver les lignes privilege interface level 5 ip et privilege exec level 5
configure.Cenesttrangequenpremireapproche.Pourquelacommandeipaddresspuissetreauniveaude
privilge5,ilfautquelacommandeiplesoitgalement.Defaonglobale,quelacommandeaaabbbcccsoitau
niveaudeprivilgexsupposequelacommandeaaabbblesoitgalement.
2.Questcequelauthentification?
Pourmmoire,lidentificationrpondlaquestionquiestil?.Pourviterquelaquestionnesetransformeen
Quiprtendiltre?,ilfautaccompagnerlidentificationduneauthentificationquirpondlaquestionEstcebien
lui?.Lenomdutilisateurestncessairementaccompagndunmotdepasse,quijouelerledepreuvevisvisde
lidentitnumrique.
Malgrnosefforts,lascuritmiseenplacejusquprsentestsommetouteassezlimite.Ilymanqueprcisment
un aspect essentiel : lauthentification. Les mots de passe affects aux lignes ainsi quau passage vers le mode
privilgi doivent tre confis toute personne appele intervenir sur lquipement. Si ladministrateur dcide de
mettreenplaceunserveurSYSLOGenvuedecollecterlesvnementsquiaffectentlerouteur,chaquevnement
provoqu par un intervenant reste anonyme dans le journal dvnements. Les messages se bornent restituer
quelle est la ligne qui a servi lintervenant. Cest ainsi que jusqu prsent, nous avons d nous contenter des
messagesconsoledecetype:
*Nov
*Nov
Les hommes ntant que des hommes, lanonymat dresponsabilise, une relle politique de scurit doit minima
attribuerchaqueutilisateurunensemble[identifiant/motdepasse].Biensr,lIOSoffrecettepossibilitetpropose
ladministrateurdeuxalternatives:
1. Grer les identifiants localement. Ces identifiants sont stocks dans les fichiers de configuration du routeur.
Linconvnientestquelaprocduredoittrerpteautantdefoisquelerseaucomportederouteurs.Imaginezla
- 3-
somme de travail que peut reprsenter le simple ajout dun utilisateur ou le changement de mot de passe pour un
utilisateurexistant.
2. Grer les identifiants de faon centralise sur un ou plusieurs serveurs. LIOS supporte deux technologies, lune
normalise par lIETF est RADIUS (Remote Authentication DialIn User Service), lautre propritaire est TACACS+
(TerminalAccessControllerAccessControlSystemPlus).
a.LemodleAAA
Authentifierunutilisateursurlerseaunestpassuffisant.LaquestionglobalenepeutsersumerQui?mais
doittreQuipeutfairequoi,quandlatilfaitetpendantcombiendetemps?.CISCOprendencomptecestrois
questions, qui, quoi, quand en proposant un modle de scurit baptis AAA (Authentication, Authorization,
Accounting/Auditing):
Authentication:cestlepralableincontournablecarautoriserunutilisateurentreprendreuneactionouprofiter
dunservicesupposedtrecertaindesonidentit.Delammefaon,ilneserviraitriendenregistrerlesfaitset
gestesdunutilisateurdansunjournalsiundoutepesaitsursonidentit.LemodleAAAidentifieuncertainnombre
de mthodes dauthentification. Ladministrateur cre des listes nommes dans lesquelles il place la ou les
diffrentes mthodes quil souhaite utiliser. Il reste ensuite appliquer la liste convenable une ou plusieurs
interfaces du routeur. LIOS appliquera la premire mthode linterface puis la seconde si la premire choue et
ainsidesuite.
Authorization : autoriser devrait tre traduit par contrler laccs, cestdire autoriser un utilisateur accder
une entit ou un service, de faon plus ou moins partielle ou complte, le niveau daccs tant modul selon le
niveaudeprivilgedudemandeur.Exemplesdautorisations:affectationduneadresseIP,restrictiondaccsselon
lheuredujour,tempsdeconnexionmaximal,qualitdeservice,bandepassante...
Accounting:ilsagiticiderendretraablelesfaitsetgestesdelutilisateur,lesobjectifssontmultiples,cepeuttre
datteindrelanonrpudiation,cestdirelincapacitpourunutilisateurdenieruneactionquilaeffectue,cepeut
tregalementlesouhaitdecomptabiliserdestempsdaccsoudesvolumeschangsdansunbutdefacturation
(billing).
3.Mthodedauthentificationlocale
- 4-
erreurladministrateurprovoqueunverrouillagelorsdesesessaissurlasession1,ilpeutrtablirlasituationlaide
delasession2.Endernierrecours,ilrestelapossibilitdentameruneprocdurederecouvrementdemotdepasse.
Observez leffet de la commandeaaa authentication login qui contraint lIOS effectuer une double demande nom
dutilisateur puis mot de passe lors de louverture de session via une ligne vty. La commande show user permet
dafficherlessessionsactivessurlerouteurNantes.Lasessionaccompagnedunetoileestcelledepuislaquelleon
aentrcettecommande.
Nous nous tions plaints de lanonymat qui rgnait dans les vnements rapports par les messages console.
Dsormais,cetanonymatnexisteplus,cequeconfirmelobservationdesquelquesmessagesconsolecidessous:
Depuislaversion12.0(18)SdelIOS,ilexisteuneversionencryptedelacommandeusername:
Unecommandeshowrunconfirmelecryptageobtenu:
!
username ycousin secret 5 $1$TKN1$7EpYz5pTBLW.0B9nKo71/0
username avaucamps secret 5 $1$WGjm$XRCQXBc0GYi1gbxPJmhqr1
!
Toutcommepourlacommandeenablesecret,cestlalgorithmeMD5quiestutilis.nouveau,lesrecommandations
delongueuretdecomplexitsappliquent.Danslexemplequiprcdeetdansceluiquisuit,unadministrateurhabilit
modifierlaconfigurationdurouteurdoitsaisirunmotdepassedeuxfoisconscutivement:lepremiermotdepasse
estassocisonnomdouverturedesession,cestceluidelauthentification,lesecondmotdepasseestncessaire
pourpasseraumodeprivilgi.AveclamiseenplacedelauthentificationlaidedumodleAAA,lemotdepassedu
passage au mode privilgi ne se justifie plus (ou se justifie moins). Une solution consiste associer le niveau de
privilge15laconfigurationdeslignesvty:
ENI Editions - All rigths reserved - Noba Mafiza
- 5-
VrifionslersultatenouvrantnouveauunesessionviaTelnet:
4.Mthodedautorisationlocale
Trsmodestement,ilsagiticidemontreraulecteurcequepeuttrelintrtdusecondAdanslemodleAAA.Cet
exemplecreunutilisateurseulefindexcuteruneetuneseulecommande:
Nantes#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Nantes(config)#username run nopasswordnoescape
Nantes(config)#username run autocommand show ip interface brief
Nantes(config)#aaa authorization exec default local
Nantes(config)#^Z
Nantes#
Pour ce faire, on adjoint la commande username, le paramtre autocommand qui provoque lexcution de la
commande spcifie aprs ce motcl, ce ds la connexion de lutilisateur dsign, dans le cas prsent run .
Puisquunecommandeestdelongueurquelconqueetpeutcomprendredesespaces,lacommandespcifielaide
du motclautocommand doit tre la dernire option de la commandeusername. Le motclnopassword entrane
quelorsquelenomdutilisateurestrun,lIOSnedemandepasdemotdepasse.Lemotclnoescapeviteque
lutilisateurrunnepuissereveniraumodeutilisateurentapantlatouche[Echap],cequiluipermettraitensuitede
taper dautres commandes. Observez galement que ladministrateur a utilis plusieurs instances de la commande
usernamepourspcifierplusieursoptionsquiconcernentlemmecompteutilisateurrun.
Une fois la commande spcifie laide du motcl autocommand excute, show ip interface brief dans le cas
prsent,lerouteurmetfinlasession.IlfautconfigurerPuttyafindviterquilnefermelafentredslexcution
termineempchantainsilalecturedursultat:
- 6-
Lacapturesuivantemontrelersultatdelaconnexionaveclenomdutilisateurrun:
Opportunment,observezlersultatdelacommandeshowipinterfacebrief,quilestpossibledagrgerenshipint
br : cette commande fournit un rsum qui renseigne sur ltat des interfaces du routeur. Chaque interface est
concerne par la couche daccs du modle TCP/IP, cestdire les couches 1 et 2 du modle OSIRM. La colonne
Status du rsum renseigne sur ltat de la couche physique : dans le cas prsent, seule linterface fa1/0 a t
active par ladministrateur laidedelacommandenoshutdown, ce qui explique ltatadministratively downsur
linterfacefa0/0.LacolonneProtocolrenseignesurltatdelacoucheLiaison.Quandlacouche1estltatdown,
lacouche2nepeutqueltregalement.Quandlacouche1estup,lacouche2estupsileprotocoleassociapu
tablirlelienaveclacouche2delinterfaceenvisvis.
5.MthodedauthentificationRADIUS
Puisque nous sommes dj largement hors cadre du CCNA, nous nous en tiendrons ces quelques lments sur
RADIUS,normalisparlIETF,etngligeronsTACACS+,technologiepropritairedeCISCO.Commelerappellesonnom
(Remote Authentication DialIn User Service), RADIUS a t conu pour rsoudre un problme qui se posait aux
fournisseursdaccsInternet.Eneffet,lesFAIdevaientauthentifierdesutilisateursdistantsquiseconnectaientpar
modems via le rseau tlphonique commut. Les serveurs taient multiples mais il fallait que la base de comptes
dutilisateurs soit unique. Cette base de comptes doit permettre lauthentification, cestdire la vrification des
couples {nom dutilisateur/mot de passe} mais doit galement pouvoir fournir des informations de configuration qui
prciserontletypedeservicedontdoitbnficierlutilisateur.RADIUSestdcritdansdeuxRFC:
RFC2865RADIUSJuin2000traitedelauthentification
- 7-
RFC2866RADIUSAccoutingJuin2000traitedelacomptabilitetdelajournalisationdesconnexions.
LafiguresuivantedtaillelesdispositifsclsdunearchitectureRADIUS:
Lusagerfaitunedemandedouverturedesessionsurunserveurdaccsrseau,retenonslacronymeanglaisNAS.Le
NASnetraitepasdirectementlademandemaislasoustraiteauprsduserveurRADIUS.Leserveurdaccsrseau
est donc client de RADIUS, ce client est charg de transmettre les informations dutilisateur un serveur ou un
groupe de serveurs RADIUS dsigns, puis dagirenfonctiondelarponseretourne.UnserveurRADIUS,quandil
reoit une demande de connexion dusager, demande transmise par un NAS, authentifie lusager (ou rejette la
demande)puisretournelesinformationsdeconfigurationncessairesafinqueleclientlivreleserviceconvenable
lusager.
aucun moment lusager ne dialogue directement avec le serveur RADIUS et il peut parfaitement ignorer que son
authentificationatpriseenchargeparcedernier.Toutquipementrseaususceptibledouvrirdessessionspeut
confierlauthentificationmaisaussilesautorisationsetlacomptabilitdeconnexionunserveurRADIUS.Ildevient
alors serveur daccs NAS et client RADIUS. Ladministrateur dun interrseau compos de plusieurs routeurs peut
ainsicentraliserlagestiondesidentifiants.SilesrouteursdesoninterrseauproviennentexclusivementdeCISCO,
alorsilpeutmettreenplaceunserveurTACACS+.Danslecascontraire,unouplusieursserveursRADIUSsontune
solution.
RADIUSsappuie sur le protocole de transport UDP, il y a dexcellentes raisons pour avoir fait ce choix, raisons bien
expliquesdansleRFC.LafiguresuivantedtailleleformatdupaquetRADIUSencapsuldanslechampdedonnes
du datagramme UDP. Les premiers dveloppements de RADIUS utilisaient le numro de port UDP 1645 mais
actuellement,leportofficiellementallouest1812:
- 8-
LechampCodesurunoctetidentifieletypedepaquetRADIUS.
Le champ Identifiant sur un octet permet de faire correspondre demandes et rponses.La valeur du champ
nest pas modifie dans le cas dune retransmission, le serveur RADIUS peut ainsi dtecter une demande
duplique.
Le champ Longueur, sur deux octets, indique la longueur du paquet RADIUS en incluant les champs Code,
Identifiant,Longueur,AuthentifiantetAttribut.Lesoctetsquiseraientreusaudeldelalongueurindique
doiventtreignorslarception.linverse,silepaquetestpluscourtquindiqudanslechampLongueur,
alorslepaquetestliminensilence.
LauthentifiantestunlmentcldelascuritfournieparRADIUS.LeNASetleserveurRADIUSpartagentun
secret.Lorsqueleclientgnreunedemandedaccs,ilgnreunnombrealatoiresur16octets(aussilong
quuneadresseIPv6!)appelauthentifiantdedemandeetdontlavaleurdevraittreimprvisibleetunique,
pendant la dure de vie du secret partag. En effet, une rptition dun mme authentifiant de demande
conjuguunmmesecretpermettraitunattaquantdejouerunefausserponseavecunauthentifiantde
rponse prcdemment intercept. Le serveur RADIUS qui reoit une demande gnre une rponse (accs
accept, accs rejet, preuve daccs) dans laquelle lauthentifiant de rponse contient un hachage MD5
calculsurlensemble{code,identifiant,longueur,authentifiantdedemande,attributs,secretpartag}.
Le secret partag doit tre aussi long et imprvisible quun mot de passe convenablement choisi. Il est
conseilldadopterunelongueurgaleaumoins16octets.
a.TypedepaquetDemandedaccs
LademandedaccsenvoyeunserveurRADIUSportelesinformationsncessaireslauthentificationmaisaussi
les services particuliers demands pour cet usager. Si le client est valide, le serveur doit rpondre. La demande
daccsdevraitcontenirlattributnomdutilisateur(Type1)etdoitcontenirlattributAdresseIPdeNAS(Attributtype
4)oulattributIdentifiantdeNAS(Attributtype32)oulesdeux.Lademandedaccsdoitgalementcontenirunmot
de passe utilisateur (Attribut type 2) ou un mot de passe CHAP (ChallengeHandshake Authentification Protocol)
(Attribut type 3). Quand le NAS distingue ses diffrents accs, la demande daccs devrait contenir lattributLigne
daccs de NAS (type 5) ou lattribut Type daccs de NAS (type 61) ou les deux. Lorsque le mot de passe est
prsent,ilestcryptselonunemthodefondesurMD5.
b.TypedepaquetAccsaccept
Laccs accept envoy par le serveur RADIUS fournit les informations spcifiques de configuration dont le NAS a
besoin pour dbuter la livraison du service lusager. Quand toutes les valeurs dattributs reues dans une
demande daccs sont acceptables, le serveur RADIUS doit transmettre ce paquet dont la valeur Code est
- 9-
positionne2(Accsaccept).
6.AtelierRADIUS
NotreobjectifnestvidemmentpasdeconstruireunserveurRADIUSdenverguremaisdobservercommentconfigurer
le routeur pour que, dans le cadre du modle AAA, il fasse appel un serveur RADIUS quand il doit authentifier un
administrateurquisouhaiteouvrirunesession.SilfallaitprogresserdansledomainedesserveursRADIUS,lelecteur
pourraitsereportersurlesite:
http://freeradius.org
Maispourcetatelier,lauteurproposeunealternativebienplusabordablenommeRADL:
http://www.loriotpro.com/Products/RadiusServer/FreeRadiusServer_EN.php
ToujoursensaidantdeVMwareetdeGNS3,lauteurvousproposedereproduirelateliersuivant:
- 10 -
Effectuezunsnapshot(unephotographieinstantane)devosmachinesvirtuellesavanttouteinstallation.Ainsi,
ilestfacilederestaurerltatantrieur.
Tlchargez le logiciel RADL (radlv150ab.exe, 218 Ko au moment o ces lignes sont crites) et installezle sur la
machinevirtuelleVMWKS01quiferaofficedeserveurRADIUS.
UnefoisRADLlanc,configurezleserveurconformmentlacapturecidessous:
Silfallaitrevenirauxnumrosdeportsofficielsquisont1812et1813,ilseraitfaciledelefaireici.Patientonsjusqu
avoirconfigurlerouteur.
ToujoursdansRADL,configurezleclientconformmentlacapturecidessous:
LeserveurRADIUSconnatdsormaisladresseIPduNAS172.31.1.1etlesecretpartageraveclui:macleradius.
PourenfiniraveclaconfigurationdeRADIUS,ajoutezlabasedecomptes,lusagerycousin,motdepasse
sangriaconformmentlacapturecidessous:
videmment, cette configuration est trs sommaire, RADL est capable de faire plus mais ce nest pas lobjet de cet
atelier.
OuvrezunesessionconsolesurlerouteurNantespuisentrezlasquencedecommandessuivante:
- 11 -
LacommandeaaanewmodelnestpeuttrepasutilesilemodleAAAadjtactivaucoursdunatelier
prcdent mais entrer nouveau une commande dj prsente dans le fichier de configuration est sans
consquence.
La commande aaa authentication login cre une liste de mthodes dauthentification nomme liste_eni et
place dans cette liste les deux mthodesradius etlocal. Ainsi lors dune ouverture de session, si le ou les
serveurs radius sont injoignables, lIOS tente une authentification avec la seconde mthode de la liste. La
mthodelocaleestcellequifaitappellabasedecompteslocale,cestdirelabasedecomptesalimente
laide des commandes username. La liste de mthode peut comprendre jusqu quatre mthodes
dauthentification,onpourraitajouterlamthode enablequiutiliselemotdepasseassociaupassageen
modeprivilgisilexisteet/oulamthodenonequiautoriseralaccssansauthentification.
LacommanderadiusserverhostinformelIOSdelexistencedunserveurradiusladresse172.31.1.101.
Lacommanderadiusserverkeyconfigurelesecretpartag.Danscetexemple,ilnestnisuffisammentlong,
nisuffisammentcomplexe.
Il reste affecter la liste de mthodes dauthentification une ou plusieurs lignes, cest lobjet de la
commandeloginauthenticationensousmodedeconfigurationdelignesvty.
Unecommandeshowrunningconfig(extrait)confirmelersultatobtenu:
!
aaa authentication login liste_eni group radius local
!
usernameycousin secret 5 $1$TKN1$7EpYz5pTBLW.0B9nKo71/0
usernameavaucamps secret 5 $1$vy6K$arNsNrc9CZ.LtEvf0jzSJ.
!
radius-server host 172.31.1.101 auth-port 1645 acct-port 1646
radius-server key macleradius
!
Linevty 0 4
privilege level 15
login authentication liste_eni
!
end
ObservezquelIOSacompltlalignedecommanderadiusserverhostenajoutantlesnumrosdeportsUDPquil
utiliserapourjoindreleserviceauthentificationduserveurRADIUS(port1645)etpourjoindreleservicedecomptage
(Accounting,port1646).Nousaurionsdoncpucomplterlacommandeetentrercesparamtressilavaitfalluimposer
les ports UDP 1812 et 1813. Mais dans le cas prsent, nous pouvons en rester l car cette configuration est
galementcelledenotreserveurRADL.
Observez que lIOS a ajout le motcl group devant la mthode radius. Cela signifie que la mthode utilisera
lensemble des serveurs RADIUS dclars dans le fichier de configuration pour authentifier. Une autre faon de
procderauraittdecrerungroupedeserveursRADIUS,groupenomm:
- 12 -
Lexemple cidessus cre le groupe de serveurs RADIUS nomm grp_radius puis utilise ce groupe dans la liste de
mthodesdauthentificationnommeliste_eni.IlesttempsdevrifierquelauthentificationselonlamthodeRADIUS
fonctionne:
SiWiresharkestinstallsurlunedesmachinesvirtuelles,lancezlepuisdmarrezunecapture.
RevenezlamachinehtepuisdmarrezunesessionTelnet172.31.1.1laidedePuTTY:
StoppezpuisanalysezlacaptureWireshark(cettecapturecap_2L_01.pcapestdisponibleentlchargementsurle
sitedesEditionsENI):
- 13 -
laide du format de paquet RADIUS fourni prcdemment, portez notamment votre attention sur le paquet de
demandedaccsentramen94.
Cetatelierestmaintenanttermin.
- 14 -
Journalisation,leprotocoleSYSLOG
RFCutiles:
RFC5424TheSyslogProtocolmars2009
RFC5425TransportLayerSecurity(TLS)TransportMappingforSyslogmars2009
RFC5426TransmissionofSyslogMessagesoverUDPmars2009.
Parmi les multiples tches accomplies par lIOS, lune delles intresse particulirement ladministrateur parce quelle lui permet de
dcouvriroumieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdurseau.Ilsagitdelactivitde
journalisationdesvnements.Enlamatire,CISCOcommeunemajoritdeconstructeursseconformeauprotocoleSYSLOGnormalis
dansleRFC5424.Pardfaut,lamanifestationdeSYSLOGsurunrouteurselimitelmissiondesmessagesdvnementsversleport
console.Queladministrateuraucoursdesontravaildepuislaconsolenapastagacparlarriveimpromptuedecesmessagesqui
viennentperturberlasaisieencours?Problmefacilersoudredailleurscarilexisteunecommandedeconfigurationdelignelogging
synchronous qui peut tre applique la console ainsi quaux lignes vty et qui modifie le comportement de lIOS quand il envoie un
message : si une commande est en cours de saisie, alors lIOS raffiche le contenu de la ligne saisie dans ltat o elle se trouvait
immdiatementavantlenvoidumessage.
LIOSgnredesmessagesSYSLOGlissonactivitdefaonnaturellemaisladministrateurpeutsusciteruneproductionbeaucoup
plus intense de ces messages lorsquil provoque une commande debug. Cette commande constitue lun des outils majeurs dans la
rsolutiondeproblmessurunrouteuretdisposedoptionsplthoriquesquipermettentdajusterlersultatselonletypedactivit
surveiller.cesujet,rappelonsquilfauttreprudentcarcertainesoptionspeuvententraneruneproductiondemessagestellequelle
consommelamajeurepartiedesressourcesprocesseurdelamachineempchantlerouteurdaccomplirsatchenormale.
Lacommande undebugallou nodebugall dsactive toutes les commandesdebugquiseraientencoursdetraitement.Une
mesure sage consiste entrer cette commande de faon systmatique avant dentrerunequelconquecommande debug.La
commandeundebugallsetrouvealorsdanslhistoriquedecommandesetilsuffitduneactionsurlatouche[Flcheenhaut]puisde
valider par la touche [Entre] pour la provoquer. Ladministrateur peut ainsi esprer arrter une commande debug malheureuse
mmeavecunprocesseurnoy.
LafigureciaprsrsumelescinqfluxpossiblesdemessagesSYSLOG:
Pardfaut,lIOSenvoielensembledesmessagessurleportconsole,cequicorrespondlacommandeconsolelogging.
Depuis le mode privilgi, la commande Terminal monitor provoque laffichage des messages SYSLOG, messages debug
compris,surlasessionencours.Cettecommandeestutilepourobtenirlesmessagesdepuisunesessionouverteviauneligne
vty.Puisquilnesagitpasdunecommandedeconfiguration,cettecommandenestpasmmoriseetsoneffetcesselorsquela
sessionprendfin(ceciestvraipourtouteslescommandesTerminal).
Plus intressante encore est cette facult qui consiste mmoriser les messages dans un tampon, ce qui permet
ladministrateur de les consulter quand bon lui semble laide dune commande show logging. Le tampon, cr par la
commande de configuration globale logging buffered, est circulaire, les vnements les plus rcents remplacent les plus
anciens.Lacommandeadmetdeuxparamtresimportants:
Ilestpossibledeprciserlatailledutamponde40962147483647octets,lataillepardfautdpenddelaplate
- 1-
forme. Entrer la commande default logging buffered pour revenir la taille par dfaut. 4000 octets permettent de
mmoriser environ 50 messages. Un dimensionnement 16000 octets et donc la possibilit de mmoriser 200
messagessembleunboncompromis,attentionnepasapprocherleslimitesdelaplateformecequeladministrateur
pourravrifierlaidedunecommandeshowmemory.
Il est possible de filtrer les vnements mmoriss dans le tampon selon un critre de svrit. En la matire, les
messages davertissement CISCO IOS se conforment au RFC 5424 qui tablit huit niveaux de svrit de 0 7, la
gravitcrotquandleniveaudesvritdiminue,ilestquasiimpossibledobtenirunmessagedesvrit0puisquece
niveaucorrespondunsystmeinexploitable.Letableaucidessousrpertorielesniveauxdesvrit:
Niveau
Motcl
Objet
emergencies
SystemisunusableSystmeinexploitable.
alerts
ActionmustbetakenimmediatelyIlfautagirsanstarder.
critical
CriticalconditionsContextecritique.
errors
ErrorconditionsErreurs.
warnings
WarningconditionsAvertissements.
notifications
Normalbutsignificantconditionvnementnormalmaisimportant.
informational
InformationalmessagesInformation.
debugging
DebuglevelmessagesMessagesrsultantdunecommandedebug.
Exemple:lacommandeloggingbuffered16384criticalentranequeseulslesvnementsdesvrit0,1et2sont
mmorissdansletamponfixici16Ko.
DelammemanirequenousavionssouhaitcentraliserlagestiondescomptesutilisateuraveclamthodeRADIUS,ilpeut
tre intressant de centraliser la gestion des messages SYSLOG. Un serveur SYSLOG mmorise sur des supports disques,
dimportantes quantits dvnementsenprovenancedquipementstrsdiffrentspourvuquilsseconformentauRFC5424
(*).Lesavantagessontnombreux:leshistoriquespeuventremontersurdelonguespriodesenvitantdemprunterdela
mmoirevivepourstockerlesmessages,onnepnalisepaslefonctionnementdesquipementsildevientpossibledefiltrer
les vnements de faon fine selon diffrents critres de date, de svrit, de type Le protocole SYSLOG sappuie sur le
protocoledetransportUDP,leserveurSYSLOGestlcoutesurleportUDP514,ilnexistepasdacquittementsdemessages
SYSLOG. Une commande de configuration globale logging host @IP_serveur_syslog provoque lenvoi des messages vers le
serveurdontladresseIPest@IP_serveur_syslog.LatelierSYSLOGproposdanscechapitrefourniraloccasiondetesterune
miseen uvremaislacommande logginghost admet de nombreux paramtres et il est prfrable de se reporter loutil
CommandLookupTooldeCISCOpourdesmisesen uvrepluscomplexesdecettecommande.
Pour tre complet, citons la possibilit dmettre les messages SYSLOG sous forme dinterceptions SNMP (SNMP traps) une
stationdadministrationSNMP.LacommandesnmpserverenabletrapsindiquelIOSdetransmettrelesinterceptionsSNMP,
notificationsSYSLOGincluses,conditionbiensrqueSNMPaittconfiguraupralable.
(*)cesujet,ilfautserappelerquelaloisurlascuritquotidienne,diteLSQetpromulguele26mars2006,comporteentreautres
obligations,cellefaiteauxoprateursdecommunicationslectroniques(dontlesFAI)deconserverpendantunanlesactivitsdeleurs
clients. Ceci comprend lidentification de lutilisateur du service et du terminal utilis, les destinataires de la communication, la date,
lheureainsiquelesservicescomplmentairesutilissetleursfournisseurs.
1.AtelierSYSLOG
Pourcetatelier,lauteurproposedemettreprofitlaplateformecrepourtesterleslistestenduesduchapitreprcdent:
- 2-
Objectifs
InstallerleserveurSYSLOGsurlamachineVMSRV01
ConfigurerlesrouteursR100metR120mafindecentraliserlesmessagesSYSLOGdesdeuxrouteurssurleserveurSYSLOG:
LerouteurR100menverralesmessagesSYSLOGlaideduprotocoledetransportpardfaut,soitUDP,port514.
LerouteurR120menverralesmessagesSYSLOGcommeleferaitunbotierPIXdeCisco(PrivateInterneteXchange,le
botierparefeudeCISCO),cestdirelaideduprotocoledetransportTCPsurleport1468.
LesmessagesDEBUGdevraienttreexclusdesmessagesSYSLOGenregistrssurleserveur.
tape1:installationduserveurSYSLOG
TlchargezlaversiongratuiteoumieuxlaversiondvaluationdeKiwiSYSLOGquipendant30joursoffrelesfonctionnalitsdela
versionpayantepuisbasculesurlesfonctionnalitsdelaversiongratuite.Aumomentoceslignessontcrites,laversion9est
disponible,lefichiertlchargeroccupe28784Ko.Rendezvoussurlesitedelditeur:http://www.kiwisyslog.com/
Par tout moyen votre convenance, transfrez le fichier dinstallation sur la machine virtuelle VMSRV01. Exemple : par les
fonctionnalitsSharedFoldersdeVmware.
InstallezKiwiSYSLOG.Leprogrammedinstallationproposedinstallerlelogicielentantqueserviceouentantqueprogramme.Pour
uneinstallationquiviseraitcrerunserveurdeproduction,ladministrateurdevraitprfrerlinstallationentantqueservice.Mais
pournotrephmreatelier,uneinstallationentantqueprogrammeconvientparfaitement.
LancezKiwiSYSLOGpuisconfigurezledefaoncequilsoitlcoutedesmessagessur:
ladresse10.0.8.1etleportUDP514
ladresse10.0.8.1etleportTCP1468.
- 3-
tape2:configurationdeR100m
Vrifiezquaucunelistedecontrledaccsnestappliquesurlinterfacef0/1durouteurR100m:
R100m#sh run
Building configuration...
.........
!
interface FastEthernet0/1
ip address 10.0.8.254 255.255.255.0
duplex auto
speed auto
.........
R100m#
ProvoquezlmissiondesmessagesSYSLOGversleserveur:
R100m#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R100m(config)#logging ?
Hostname or A.B.C.D IP address of the logging host
.........
R100m(config)#logging host ?
Hostname or A.B.C.D IP address of the syslog server
R100m(config)#logging host 10.0.8.1 ?
filtered
Enable filtered logging
transport Specify the transport protocol (default=UDP)
vrf
Set VRF option
xml
Enable logging in XML
<cr>
R100m(config)#logging host 10.0.8.1 transport ?
tcp Transport Control Portocol
udp User Datagram Protocol
R100m(config)#logging host 10.0.8.1 transport udp ?
filtered Enable filtered logging
port
Specify the UDP port number (default=514)
xml
Enable logging in XML
- 4-
<cr>
R100m(config)#logging host 10.0.8.1 transport udp port ?
<1-65535> Port number
R100m(config)#logging host 10.0.8.1 transport udp port 514 ?
filtered Enable filtered logging
xml
Enable logging in XML
<cr>
R100m(config)#logging host 10.0.8.1 transport udp port 514
Rglezleniveaudesvritpourqueseulslesmessagesde06soientenvoysauserveur:
R100m(config)#logging trap ?
<0-7>
Logging severity level
alerts
Immediate action needed
(severity=1)
criticalCritical conditions
(severity=2)
debuggingDebugging messages
(severity=7)
emergencies
System is unusable
(severity=0)
errors
Error conditions
(severity=3)
informational Informational messages
(severity=6)
notifications Normal but significant conditions (severity=5)
warnings
Warning conditions
(severity=4)
<cr>
R100m(config)#logging trap 6
R100m(config)#^Z
R100m#
tape3:configurationdeR120m
Cettefois,imposezletransportviaTCP:
ProvoquezsurchacundesrouteursquelquesvnementsgnrantdesmessagesSYSLOG.Exemples:
Entrezenmodedeconfigurationpuisrevenezaumodeprivilgi.
Effacezlescompteurs(commandeclearcounters).
Ajoutezloptionlogquelqueslmentsdelistesdaccspuisprovoquezdutraficafindesolliciterleslistesdaccs.
VousdevriezobservercesdiffrentsvnementscollectsparKiwi.Lcranpourraitalorsressemblerlacapturesuivante:
- 5-
LoutilserveurKiwireclesansdoutedestrsorsdingniositpourextrairelinformationutiledesmessagesbrutsSYSLOG.Maisleur
dcouvertesortducadredelouvrageetdeplus,nuldoutequeloutilquisembledutilisationtrsintuitiveselaisseraprendreenmain
sansautreassistancequelaideintgre.
Cetatelierestmaintenanttermin.
- 6-
AdoptezSSH
1.Contexte
QuelquesRFCutilesautourdeSSH:
RFC4250TheSecureShell(SSH)ProtocolAssignedNumbersJanvier2006
RFC4251TheSecureShell(SSH)ProtocolArchitectureJanvier2006
RFC4252TheSecureShell(SSH)AuthenticationProtocolJanvier2006
RFC4253TheSecureShell(SSH)TransportLayerProtocolJanvier2006
RFC4254TheSecureShell(SSH)ConnectionProtocolJanvier2006
RFC4255UsingDNStoSecurelyPublishSecureShell(SSH)KeyFingerprintsJanvier2006
RFC4256GenericMessageExchangeAuthenticationfortheSecureShellProtocol(SSH)Janvier2006
RFC4335TheSecureShell(SSH)SessionChannelBreakExtensionJanvier2006
RFC4344SecureShell(SSH)TransportLayerEncryptionModesJanvier2006
RFC4345ImprovedArcfourModesfortheSecureShell(SSH)TransportLayerProtocolJanvier2006
RFC4419DiffieHellmanGroupExchangefortheSecureShell(SSH)TransportLayerProtocolMars2006
RFC4432RSAKeyExchangefortheSecureShell(SSH)TransportLayerProtocolMars2006
RFC4716TheSecureShell(SSH)PublicKeyFileFormatNovembre2006
LeRFC4253estdisponibleenfranaissurlesitehttp://abcdrfc.free.fr/.
SSH et TLS (Transport Layer Security) sont deux protocoles qui proposent une rponse au manque de scurit des
protocoles de communication de lInternet. Ils intercalent une couche de scurit entre TCP et les protocoles
applicatifs.SSHpermet,entreautres,ladministrationdemachinesdistancetandisqueTLSestplusgnralement
chargdescuriserleschangesdansuncontexteWeboumail.
Telnet(TeletypeNetwork)estlapplicationhistoriquedelapileTCP/IPquipermetlaprisedemaindistance.Hlas,les
changes de Telnet se font en clair et labsence totale de scurit dune telle prise de main est devenue quasi
rdhibitoire.SecureShell(SSH)offreunesolutionalternativedontlusageestappelstendredepuissonadoption
parlIETF.
La premire version de SSH (dsormais appele SSH1) date de 1995 et on la doit M. Tatu Ylnen, chercheur de
luniversitdHelsinki.Pourlanecdote,M.Ylnenavaitdfairefaceuneattaquetypedcouvertedemotdepasse
par sniffer. M. Ylnen a ensuite fond sa socit SSH communications Security dans le but de dvelopper et
commercialiserSSH.
Enjanvier2006,legroupedetravailsecshdelIETFapublilestandardSSH2Cetteversionestcompatibleavec
les premires implmentations fondes sur le brouillon (draft) de SSH2. M. Ylnen fait partie des auteurs des RFC
42514254.
Attention,cetouvragenestniddilascurit,niddiltudeduprotocoleSSH.Unouvrageentiernesuffirait
pas couvrir ces deux sujets. Soyons pragmatiques et limitons notre ambition la mise en uvre de SSH sur nos
platesformesCISCOafinquilpuissesesubstituerTelnet.
2.Lesbasesduchiffrement
Un texte lisible et comprhensible sans intervention particulire est un texte en clair. Le chiffrement est la mthode
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
permettant de transformer ce texte en clair en charabia inintelligible que lon appelle texte chiffr. Seules les
personnesauxquelleslemessageestdestindoiventpouvoirraliserloprationinverse,leretourautextedorigine,
cestdireledchiffrement.LauteurconfesseuneapproximationcommisedanslouvrageprcdentCiscoNotions
de base sur les rseaux dans la collection Certifications aux Editions ENI qui consiste confondre dcryptage et
dchiffrement.Lesdfinitionssuivantesonttextraitesdusitehttp://www.larousse.fr/dictionnaires/francais/:
Chiffrer:transformerunmessageparunprocddechiffrement.
Chiffrement : opration qui consiste transformer un message transmettre, dit messageclair , enun
autre message, inintelligible pour un tiers, dit message chiffr , en vue dassurer le secret de sa
transmission.
Dchiffrer : rtablir dans sa forme primitive un texte chiffr en utilisant en sens inverse le procd de
transformationadoptparlechiffreuretconnududchiffreur.
Dcrypter:retrouverlesensclairdunmessagechiffrencrituresecrte,sansconnatrelaclefayantservi
letranscrire.
a.Lesobjectifsduchiffrement
Paressence,lesinformationsmisesdispositionsurInternetsontpubliques(siellesnelesontpas,leurpublication
estillgale).Lacommunicationentreunnavigateuretlundessitesquimetcesinformationsdispositionnapas
besoindtrescurise.Posezvouslaquestion:quellesinformationsouquelschangesmritentdtrescuriss?
Lapremirerponsequivientspontanmentestlascurisationdestransactionscommerciales.Validerunachatsur
un site de ecommerce suppose que lacheteur envoie en ligne des informations bancaires (numro de carte de
crdit, date de fin de validit...). Imaginez le dsastre si un pirate parvient rcuprer ces informations en
coutantlerseau.Pourcequinousconcerne,leschangesavecnosmatrielsrseauxenvuedelesadministrer
mritentautantdevigilance.Imagineznouveaulacatastrophesiunpirateparvenaitprendrelamainsurunou
plusieursdenosrouteurspourensuiterefaireuneconfigurationsurmesures.
Notrebellepoquevoitunebonnepartiedexpertsinformaticiensoumathmaticiensquisingnientproposerdes
solutionsdechiffrementdeplusenpluslaborespendantquuneautrepartiesingnietrouverdesfaillesdans
lesdispositifsmisenplace,motivsparlargent,legotdedtruireoulavanit,chaquepirateseprenantpourun
petitgnieinjustementmconnu.
Lechiffrementpoursuitquatreobjectifsessentiels:
Lauthentification
Lusurpationdidentitestunetechniquetrsaccessibleetdonctrsapprciedespirates.Lesoutilssontlgion
quipermettentdcouterlerseaupuisdusurperlidentitdunemachine,dunservicerseau,leplusgravetant
naturellementdusurperlidentitdunepersonne.Lauthentification,cesttresrdelidentitdeceluiavecquion
sapprtecommuniqueretdavoirpulerassurersurnotrepropreidentit.Uneauthentificationrussiereposesur
lechiffrementdesinformationssensiblesncessairessaralisation,parexemplelesmotsdepasse.
Lintgrit
Attention au risque de confusion. Lintgrit dont nous avons parl jusqu prsent garantissait quun flux de
donnesreutaitidentiqueaufluxdedonnesmis.Cettegarantieestobtenueenajoutantdelaredondance
linformationtransporte.Pourmmoire:
Lmetteur(lasource)segmentelefluxdebitsensquencesdebits.
chaque squence, lmetteur ajoute de la redondance, cestdire un certain nombre de bits calculs
partirdelasquencedebitsdinformation.
Lmetteurexpdielenouveautrononainsiconstitu(bitsdinformation+bitsderedondance).
Lercepteur(lepuits)reoitletrononetpartirdesbitsdinformationtelsquillesperoitcalculelesbits
deredondancetelsquilsdevraienttre.
Lercepteur(lepuits)comparelesbitsderedondancetelsquillesacalculsaveclesbitsderedondance
quilareus.Silesdeuxsquencesderedondancesontidentiques,lemessageestintgre.
Cetteintgritestsuffisantepourprotgerdesaltrationsquepeutengendrerletransportdelinformationmaisne
lestplusfaceaupiratage.Danslasquencedcritecidessus,rienninterditunpiratedemodifierlecontenude
- 2-
linformationpuisdecalculerlasquencederedondanceadquate.Lintgritassureparlechiffrementvabienau
del en garantissant que le fichier reu est bien tel quil tait lorsque son auteur la engendr et quaucune
modificationnateffectueparunetiercepersonne.Onpeutraisonnerparcouches:lintgritassureparTCP
est une intgrit de couche 4. Lintgrit assure par le chiffrement est une intgrit de couche 6 (couche
Prsentation).
Lintgritassureparlechiffrementpourraittreparticulirementutiledanslaluttecontrelesvirus.Silestpossible
de garantir lorigine et lintgrit dun fichier, lutilisationdun logiciel antivirus est sans objet. Un fichier ayant fait
lobjetdunchiffrementestunfichiersign,lutilisationdefichierssignsestcertainementappelestendre.
Laconfidentialit
Onlesait,impossibledefaireconfiancenotreinfrastructurerseauenimaginantnepouvoirtrecout.Puisquon
nepeutempcherlcoutefrauduleuse,rendonslasansintrtenchiffrantlesinformationstransportes.
Signaturelectronique
Si lauthentification avait rpondu la question : mon destinataire estil bien celui quil prtend tre ? , la
signature rpond la question lauteur ou lexpditeur de ce message ou de ce document estil bien celui
annonc?Lechiffrementestmisprofitparlasignaturelectroniquededocumentsafindegarantirformellement
lidentitdelexpditeuroudelauteur.
Il arrive que la sensibilit du message luimme ne justifie pas vraiment un chiffrement. Mais le destinataire peut
vouloirlagarantiequelesdonnessontdistribuesdansleurformeoriginaleetquellesnontpastenvoyespar
unimposteur.Etsicesdeuxgarantiessontobtenues,onobtientnaturellementunecaractristiqueimportantedite
denonrpudiation.Puisquonestcertaindelidentitdelexpditeuretducontenudesonmessage,impossible
pour lui de nier en tre lauteur. La nonrpudiation, cest redonner du sens au mot engagement, le contraire de
lanonymat.
Exemple de secteur o lusage de la signature lectronique apporterait un bnfice indniable : celui du courrier
lectroniquelheureonosbotescourriersontinondesdecourriersnonsollicits(Spam).Unpremierpasvers
lerglementdeceproblmeseraitdegnraliserlasignaturelectroniquepuisderefuserlescourriersanonymes.
b.Lesalgorithmesdechiffrement
Chiffrementsymtrique
galementappelchiffrementclsecrte,lechiffrementsymtriqueutiliseuneseuleclpourchiffreretdchiffrer
les donnes. Les deux parties doivent donc partager la cl et cest bien l le point faible du dispositif car un
momentdonn,lesdeuxcorrespondantsvontdevoirschangerlacl,parunmoyensrdeprfrence.
Lintrt du chiffrement symtrique rside dans le fait quil est peu consommateur de ressources et quilsexcute
rapidement.Soninconvnientestquechaquenouvellepairedecorrespondantsncessiteunenouvellecletque
rapidementunmatrielrseaupeutavoirgrerungrandnombredecls.Sarobustesseestvidemmentliesa
longueur,unsecondpointfaibledudispositif.ClaudeShannonadmontrdanslesannes1980quepourquecette
mthode de chiffrement soit totalement sre, il faudrait que la longueur de cl utilise soit au moins gale la
longueurdumessageencoder.Sansallerjusquel,unemthodemiseprofitparlaversion2deSSHconsiste
changerdeclsymtrique(lacldesession,patientez)defaonrgulireparexempleaprsuneheuredutilisation
ou1Modedonneschanges.Noussommessurunmilieumouvantetunelongueurdonneestlieunstadede
technologiedonn.SilvolutiondesprocesseursetmmoiresestmodlisablelaidedelafameuseloideMoore,il
estprobablequelvolutiondelalongueurdesclsdechiffrementsuituneprogressionsemblable.
Quelquesexemplesdalgorithmesdechiffrementsymtriquedusagecourantlheureoceslignessontcrites:
DES (Data Encryption Standard) issu dun logiciel dIBM nomm Lucifer et modifi par la NSA (National
SecurityAgency), organisme gouvernemental amricain, DES fut publi en 1977. Il manipule des cls de 56
bits.
- 3-
3DES(ouTripleDES)enchanetroisapplicationssuccessivesdeDESavecdeuxoutroisclsdiffrentes.Quel
que soit le nombre de cls diffrentes utilises, la longueur effective de cl et donc la robustesse du
chiffrementestde112bits.
RC2(RivestCipher)conuparRonaldRivesten1987.DveloppementfinancparlditeurLotusquiavait
besoindunchiffrementpersonnalispoursonproduitdemessagerieLotusNotes.Longueurdecl64bits.
RC4cldetaillevariablede40256bits.
RC5cldetaillevariablejusqu2048bits.
IDEA(InternationalDataEncryptionAlgorithm)clde128bits.
BlowfishconuparBruceSchneieren1993.Cldetaillevariablede32448bits.Cinqfoisplusrapide
queTripleDES,demeuretrssolide,laversioncompltenayantcejourpasmontrdefaille.Utilisdans
denombreuxlogicielsdontdeslogicielsdumondelibre(notammentOpenSSH).
AES (Advanced Encryption Standard) choisi en novembre 2000 par le NIST (National Institute of Standards
andTechnology)pourdevenirlestandarddechiffrementdugouvernementdesEtatsUnisetdoncremplacer
DES.AESestissudunappelcandidatureslancen1977.LeNISTareuquinzepropositions,RC6faisait
partiedescandidats.LecandidatretenuatconupardeuxcryptologuesbelgesJoanDaemenetVincent
Rijmen.Lalongueurdeclpeuttrechoisieparmi128,192ou256bits.
Chiffrementasymtrique
galementappelchiffrementclpublique,unutilisateurquidsiremettreprofitcechiffrementdoitdisposerdun
coupledeclscomposduneclpubliqueetduneclprive.Commesonnomlindique,laclpubliqueestdestine
tre diffuse le plus largement possible tandis que la cl prive doit rester connue de son seul propritaire. On
peutchiffrerlesdonnessoitaveclaclpublique,soitaveclaclprive:
Lesdonneschiffresaveclaclpubliquenepeuventtredchiffresquaveclaclprivecorrespondante.
Exemple : Brett envoie un message confidentiel Danny. Brett chiffre le message avec la cl publique de
Danny.Dannydchiffrelemessageavecsaclprive.
Rciproquement,lesdonneschiffresaveclaclprivenepeuventtredchiffresquaveclaclpublique.
Exemple:BrettsouhaiteenvoyerunmessageDannyenluidonnantlacertitudequilenestbienlauteur,
cestdireensignantlemessage.Brettchiffrelemessageavecsaclprive.SiDannyparvientdchiffrer
lemessageaveclaclpubliquedeBrett,alorsBrettestbienlauteurdumessage.
Brett souhaite envoyer un message Danny en signant le documentet en garantissant la confidentialit.
Brettprocdeundoublechiffrement:lesdonnessontdabordchiffresavecsaclprive(signature)puis
unesecondefoisaveclaclpubliquedeDanny(confidentialit).
Enthorie,ilnestpaspossiblededevinerlaclprivepartirdelaclpublique.Quelquesexemplesdalgorithmes
dechiffrementclasymtrique:
- 4-
DSA(DigitalSignatureAlgorithm)standardduNISTquandlalgorithmeRSAtaitencorebrevet.DSApeut
treutilisgratuitement.
RSA(dunomdesesauteursRivest,Shamir,Adleman)dcriten1977,protgparunbrevetdpos
parleMITen1983,brevetquiaexpirle21septembre2000.Certainementlesystmeclpubliqueleplus
utilis,exemples:ecommerce,cartesbancaires,SSH...
GnrationdesclsRSA
Cestentendu,ilnesagitquedesatisfaire,humblement,unpeudecuriositintellectuelle:
Choisirdeuxnombrespremierstrsgrandspetq(plusde100chiffres)
Calculern=pxq,nestlemoduloduchiffrement
Choisirunnombreepluspetitquenetpremieravec(p1)(q1).Pourmmoire,unnombreaestpremier
aveclenombrebsiaetbnepartagentaucunfacteurpremierautreque1
Calculerdtelquedxe=1mod[(p1)x(q1)].destcalcullaidedelalgorithmeditdEuclidetendu.Cet
algorithmepermetdexprimerlinversedunnombremodulon.
destdonclinversedeedanslarithmtiquemodulo[(p1)(q1)].
Laclpubliqueestdonneparlecouple(n,e)etlaclpriveestd
Dcouperlemessageenblocsdelongueuridentique(200octetsouplus)
Chiffrerenappliquantlaformulec=(m)emodn
Dchiffrerenappliquantlaformulem=(c)dmodn=(m)demodn=m.
Oncomprendpourquoilamthodeestcoteuseenressourcesmachine.Ilestdifficiledetrouverdegrandsnombres
premiers et les oprations dans larithmtique modulo n sont difficiles raliser. La scurit de lalgorithme reste
assuretantque:
Lesnombrespetqquiontservilagnrationdunepairenesontpasdivulgus
Factoriserdegrandsnombresresterauneoprationdifficile
Calculerlaclprivedpartirdelaclpublique(n,e)resterasansmthodedersolution.
Lestentatives,nombreuses,pourcasserlalgorithmedechiffrementasymtriquesontpourlemomentmisesen
checsilesclssontdelongueursuffisante.Onfrmitlidequelensembledelascuritrseaudelaplante
reposesurlepariqueleschosesresterontainsi.
Combinaisonasymtriquesymtrique
En termes de consommation de ressources machine, les algorithmes cl asymtrique sont beaucoup moins
performantsqueleurshomologuesclsymtrique.Lesprotocolesrseaudontlobjetestlascuritlesutilisent
par consquent dans les phases de ngociation et dauthentification pralables ltablissement duneconnexion
scurise.
Une fois en accord pour ouvrir un circuit scuris, les deux parties mettent profit la phase chiffre laide du
chiffrement asymtrique pour schanger une cl de session qui servira de cl de chiffrement symtrique pour la
totalit des changes dans la suite de la connexion. On peut mme imaginer changer de cl de session de faon
rgulire, les cls prissables expirant aprs un certain temps dactivit ou un certain volume dinformations
transport.
AttaqueManinthemiddle
Lesalgorithmesdechiffrementdcritsempchentlcoutefrauduleusemaisrestentsusceptiblesauxattaquesdites
dumilieuouattaquesparinterception.
- 5-
Le pirate a intercept la cl publique du serveur. Il envoie au client sa propre cl publique. Le client utilise ses
informations de connexion pour tablir une session avec ce quil crot tre le serveur. Le pirate rcupre ces
informations quil peut dchiffrer avec sa cl prive. Il lui reste encoder ces informations avec la cl publique du
serveur.Lepirateestlafoisclient(illgitime)duserveuretserveur(illgitime)duclient.Clientetserveurcroient
tredirectementconnects.
Oestlafaillequiarenducetteattaquepossible?
Lescertificats
Le problme nat du fait que le client a accept la cl publique du pirate comme tant celle du serveur. En fait, la
questionestCommenttablirlaconfianceavecuninconnu?Unefoisdeplus,lecomportementquenousfaisons
adopternosmachinessecalquesurnosproprescomportements.Onabordequedifficilementuninconnudansla
rue.Maissiuntiersdeconfiancevousprsenteuninconnu,alorslaconfiancepeutstablirsansdlaietselonla
formulelesamisdemesamissontmesamis.
Lquivalentdutiersdeconfianceenmatirederseauxestlautoritdecertification.Cetteautoritrendleservice
attenduendlivrantdescertificats.Uncertificatdeclpublique,gnralementappelsimplementuncertificat,est
undocumentlectroniquesignnumriquementquilielavaleurduneclpubliquelidentitdelapersonne,dela
machineouduservicequicontientlaclprivecorrespondante.
LaplupartdescertificatscommunmentutilisssontbasssurlanormedecertificatX.509v3:
Uncertificatcontientlesinformationssuivantes:
Laclpubliquedusujet.
Desinformationsidentifiantlesujet,parexemplesonnometsonadressedemessagerie.
Lapriodedevalidit(durependantlaquellelecertificatestvalide).
Desinformationsidentifiantlautoritdecertification.
Ledemandeurduncertificatenvoielesinformationsdemandesdontlaclpubliquequilutiliseunorganismede
certification (VeriSign par exemple). Lorganisme vrifie ces informations puis y ajoute ses propres informations. Il
signeensuitelecertificatcestdirequilajouteunrsumdesinformationscontenuesencodavecsaclprive.
Il reste au client qui rcupre le certificat dcoder la signature laide de la cl publique de lorganisme de
- 6-
certification(uneclbienconnueenquelquesorte).
UncertificatnestvalidequepourladurespcifielintrieurchaquecertificatcontientlesdatesValidepartir
du etValide jusquau qui dfinissent les limites de la priode de validit. Une fois que la priode de validit dun
certificatestdpasse,unnouveaucertificatdoittredemandparlesujetducertificatexpir.
3.LeprotocoleSSH
LemodleproposparSSHestcommeTelnetunmodleclientserveur,leportaffectauserveurSSHestleportTCP
22:
LeprotocoleSSHcouvrelauthentification,laconfidentialitetlintgritdesdonnes.
a.SSHversion1
LtablissementduneconnexionscuriseenSSHversion1comportelesphasessuivantes:
LeclientinitieunesessionTCPavecleserveur,portserveur22,portclientxxx.
LeserveurannoncelaversionduprotocolequilreconnatparexempleSSH1.99Cisco1.25.
LeclientfaitdemmeetannonceparexempleSSH1.5PuTTY_Release_0.60.
Ces annonces se font en clair. SSH1.99Cisco1.25 signifie protocole SSH version 1.99
implment par Cisco version 1.25. La version de limplmentation est un commentaire facultatif
parfois mis profit par certaines implmentations afin de contourner des bogues connus. Si les
versionsclientetserveursontcompatibles,alorsltablissementdelaconnexionsepoursuit.Dansle
cas prsent, le serveur annonce quil supporte la fois les versions 1 et 2, le client annonce 1, la
connexionstabliraenversionSSH1.
ce stade, si ltablissement se poursuit, les deux extrmits basculent vritablement sur le protocole SSH
ENI Editions - All rigths reserved - Noba Mafiza
- 7-
encapsuldansIP.LeformatdespaquetsSSHestlesuivant:
Lalongueurdubourrageestalatoirede18octets.LeCRC32portesurleschampsbourrage,typedepaquetet
donnes.Lepolynmegnrateurest0xEDB88320.
Leserveursidentifieauprsduclientetfournituncertainnombredeparamtresdesession:
Sacldhte(HostKey),cestuneclpubliqueRSAquiauthentifieleserveur.
Sacldeserveur(ServerKey),cestnouveauuneclpubliqueRSAmaisrgnretouteslesdeux
heures.
Unesquencealatoirede8octetsappele(Check bytes).Leclientdoitinclurecesoctetsdanssa
prochaine rponse. Lobjet de ce cookie alatoire est de rendre plus difficiles les attaques en
usurpationdidentit.
Desinformationscomplmentairescommelalistedeschiffrementssymtriquessupportsainsique
lalistedesauthentificationssupportes.
Parvenucestade,chacundesdeuxcorrespondantsgnreunidentifiantdesessionexprimsur128bitsetqui
permettradedistinguerdanslespaquetsquisuiventceuxappartenantlasessionSSHencours.Lidentifiantde
sessionestobtenuparunhachageMD5delensemblecldhte+cldeserveur+les8octetscheckbytes.
Unpointintressantestlecomportementduclientquandilreoitlacldhte.Leclientsinterroge:cetteclmest
elleconnue?Leclientconsulteunebasededonnesdeshtesconnus.Silpeutrpondreoui,toutvabien.Dansle
cas contraire, on peut imaginer deux possibilits. Le serveur peut tre inconnu, ou tre connu mais avec une cl
dhte diffrente. Dans les deux cas, il est probable que le client sollicite lintervention de ladministrateur pour
dcidersilfautfaireconfianceoupaslanouvellecl.ExempleavecPuTTYentantqueclient:
Lasquencedtablissementdelaconnexionscurisesepoursuit:
- 8-
Leclientgnreunecldesession(256bits)etlachiffredeuxfoisenutilisantlapairedeclsRSAissuesdu
serveur(cldhte+cldeserveur)puisenvoiecetteclchiffreauserveuraccompagnedelalgorithme
dechiffrementsymtriqueretenuainsiqueducookiede64bits.
Lesdeuxextrmitsbasculentenmodechiffrsymtriqueenutilisantlalgorithmechoisi.
partirdecemoment,lecanalestchiffrcequienfaituntunneletilpourraitservirbienautrechosequelesimple
transportdun shell cestdire dunesessiondeterminalvirtuel,cequenousapprtonsenfaire.Laphase
dtablissementdutunnelSSHesttermine,laphasedauthentificationduclientpeutcommencer.
Plusieursmthodesdauthentificationsontpossiblesmaisletempsetlespacemanquent,nousnvoqueronsquela
mthode dsigne SSH_AUTH_PASSWD. Il sagit dune identification classique la Telnet avec utilisation du
couplenom/motdepasse.Leclientenvoielemotdepassesousformetexte(maisilestchiffrparletunnel),motde
passeludirectementdepuislentreauclavierdelutilisateur.
UnteltablissementatcapturlaidedeWireshark,lecontextetaitlesuivant:Lastation10.0.8.10tablit
une connexion SSH sur le serveur SSH 10.0.8.254 (un routeur). La capture est disponible sur le site ENI
(cap_2L_02.pcap).
La version 1 de SSH nest pas un standard de lIETF et prsente certaines failles de scurit. Il est recommand
dutilisersipossiblelaversion2.
b.SSHversion2
LacouchedescuritdeSSH2comportetroissouscouches:
UnpremierniveauTransporttablitlacommunicationscuriseentreclientetserveur.Ceniveauestcharg
delamanipulationdespaquetsSSH,duchiffrementetdelintgritdesdonnes.
Unsecondniveauauthentifielesutilisateurs(lepremierniveauaauthentifilesmachines).
Un troisime niveau offre un service de gestion des connexions, ces connexions peuvent comprendre le
transfertdeports.
SouscoucheTransport
Le standard recommande dencapsuler SSH2 dans un protocole de transport fiable. En effet, toute erreur de
transmissionestdtecteparSSHetprovoquelacoupureimmdiatedelaconnexion.CestdoncTCPquiestutilis,
lIANAaaffectleportTCP22auserveurSSH.
UnefoislasessionTCPtablie(SYN,SYNACK,ACK),lesdeuxpartieschangentunechanedidentificationdontle
formatest:
SSH-protoversion-softwareversion SP comments CR LF
protoversionannoncelaversionduprotocole.DanslecasdeSSH2,lachaneest2.0.
softwareversionannoncelaversiondelimplmentationlogicielle.
commentsoptionnel,sparparlecaractreEspace(ASCII32).
La taille maximale de cette chane est 255 caractres en incluant les caractres CR LF (Retour chariot et saut de
ligne).
Unserveurpeutsupporterlesdeuxversionsduprotocolemaisdanscecas,ilannonce1.99.Unserveurstrictement
compatible avec la version 2 annonce 2.0. Un client SSH2quiseconnecteunserveurSSH1.99 interprte cette
versioncommetantla2.0.Quellessoientattribuesauclientouauserveur,laversion1estincompatibleavecla
version2.
StructuredupaquetSSH
LeformatdupaquetSSH2estlesuivant:
- 9-
Lalongueurdupaquetninclutpaslecodedauthentificationdesmessages.Lesdonnespeuventtrecompresses
maisellesnelesontpasinitialement.Lalongueurdubourragenepeutexcder255octets.Latailledunpaquetne
peut excder 35000 octets, valeur choisie arbitrairement par SSH2 pour tre suprieure la charge utile non
compresseprvueinfrieureougale32768octets.
Compression
Quandclientetserveurontngociunalgorithmedecompression,cettecompressionsexerceexclusivementsurles
donnes.Chaquesensdefluxpeututiliserunemthodedecompressiondiffrentemaislestandardrecommande
dutiliserlammemthodepourlesdeuxsensdeflux.Lesmthodesdecompressionsuivantessontactuellement
dfinies:
Aucuneexige
zlibfacultative,compressiondcritedanslesRFC1950et1951.
Chiffrement
Le chiffrement sopre laidedunalgorithmengocilorsdelchangedescls.Quandildevienteffectif,toutle
contenudupaquetlexceptionducodedauthentificationdemessageestchiffr.Lechiffrementintervienttoujours
aprs la compression. Les champs concerns sont longueur de paquet, longueur de bourrage, charge utile et
bourrage. nouveau, chaque sens de flux peut utiliser un algorithme diffrent mais nouveau le standard
recommande dutiliser le mme algorithme pour les deux sens de flux. Le standard numre les algorithmes
suivants:
Dsignation
- 10 -
Requis/nonrequis
Description
3descbc
EXIG
3DEStroisclsenmodeCBC.
blowfishcbc
FACULTATIF
BlowfishenmodeCBC.
twofish256cbc
FACULTATIF
TwofishenmodeCBC,avecuneclde256bits.
twofishcbc
FACULTATIF
aliaspour"twofish256cbc"(nefigurequepourdes
raisonshistoriques).
twofish192cbc
FACULTATIF
Twofishavecclde192bits.
twofish128cbc
FACULTATIF
Twofishavecclde128bits.
aes256cbc
FACULTATIF
AESenmodeCBC,avecclde256bits.
aes192cbc
FACULTATIF
AESavecclde192bits.
aes128cbc
RECOMMAND
AESavecclde128bits.
serpent256cbc
FACULTATIF
SerpentenmodeCBC,avecclde256bits.
serpent192cbc
FACULTATIF
Serpentavecclde192bits.
serpent128cbc
FACULTATIF
Serpentavecclde128bits.
arcfour
FACULTATIF
chiffrementdefluxARCFOURavecclde128bits.
ideacbc
FACULTATIF
IDEAenmodeCBCmode.
cast128cbc
FACULTATIF
CAST128enmodeCBC.
aucun
FACULTATIF
NONRECOMMAND.
Lestandardrecommandeunchiffrementdontlalongueurdeclsoitsuprieureougale128bits.
CBCsignifieCipherBlockChaining.Ilsagitdumodeopratoireutilisparlalgorithmedechiffrementpourtraiter
lesblocsdoctetsenclairetlesblocschiffrs.LetermechainingrappellequelemodeCBCfaitintervenirdansle
chiffrementdublocencourslersultatduchiffrementdublocprcdent:
Le chiffrement "3descbc" est le tripleDES trois cls (chiffrementdchiffrementchiffrement), o les huit premiers
octets de la cl sont utiliss pour le premier chiffrement, les huit octets suivants pour le dchiffrement, et les huit
octetssuivantspourlechiffrementfinal.Celaexige24octetsdedonnesdecl(dont168bitssontenfaitutiliss.
Dans la mesure o cet algorithme a seulement une longueur effective de cl de 112 bits, il ne satisfait pas
lexigence de longueur de cl du standard. Cependant, cet algorithme est toujours exig pour des raisons
historiques. En effet, lessentieldesmisesen uvre connues au moment de la rdaction du RFC 4253 prenait en
chargecetalgorithme,etilestcourammentutilisparcequilestlalgorithmeinteroprablefondamental.Lestandard
prvoitpourtantdeledconseillerdsquunalgorithmeplusfort(AES)pourraprtendrelammeuniversalit.
Intgritdesdonnes
Chacun des deux participants la session SSH effectue un comptage des paquets et donc entretient de manire
secrteunnumrodesquencedepaquet.Cenumrodesquenceestassociaucontenudupaquetainsiquun
secretpartagpourcalculerleMACoucodedauthentificationdupaquet(MAC:MessageAuthenticationCode)dont
lobjetestdevrifierlintgritdesdonnes.
LeMACestlacoucheSSHcequelasommedecontrleestlacoucheTCP.
Lalgorithmedauthentificationdemessageetlaclsontngocisdurantlchangedecls.Audpart,aucunMAC
nestactiv(longueurzro).Unefoisactiv,leMACdupaquetestcalculavantchiffrementdelafaonsuivante:
mac = MAC(cl, numro_de_squence || paquet_non_chiffr)
paquet_non_chiffrestlepaquetentiersanssquencemac
numro_de_squence est le numro du paquet connu grce au comptage des paquets. Ce numro est
initialis0pourlepremierpaquetpuisincrmentsystmatiquementchaquepaquetetjamaisremis0.
Puisquelecomptageseffectuesur32bits,lenumrorevientnaturellement0aprs232 paquets.
La valeur mac issue de lalgorithme MAC est transmise sans chiffrement la queue du paquet SSH. Sa longueur
dpenddelalgorithmechoisi.Lestandardnumrelesalgorithmessuivants:
Dsignation
Requis/Nonrequis
Description
hmacsha1
EXIG
HMACSHA1(longueurdursum=longueurdecl=
20).
hmacsha196
RECOMMAND
96premiersbitsdeHMACSHA1(longueurdersum
=12,longueurdecl=20).
- 11 -
hmacmd5
FACULTATIF
HMACMD5(longueurdersum=longueurdecl=
16).
hmacmd596
FACULTATIF
96premiersbitsdeHMACMD5(longueurdersum=
12,longueurdecl=16).
aucune
FACULTATIF
pasdeMACNONRECOMMAND.
Mthodesdchangedecls
La mthode dchange de cl spcifie comment les cls de session utilisation unique sont gnres pour le
chiffrementetpourlauthentification,etcommentlauthentificationduserveurestfaite.
Lestandarddfinitdeuxmthodesdchangesdecls:
diffiehellmangroup1sha1EXIG
diffiehellmangroup14sha1EXIG.
Algorithmesdeclspubliques
Le standard prvoit de fonctionner avec la plupart des formats, nombreux, de cls publiques. Plusieurs aspects
dfinissentuntypedeclpublique:
Leformatdecl:commentlaclestcodeetcommentsontreprsentslescertificats(eneffet,lesformats
declsduprotocoleSSHpeuventcontenirdescertificatsenplusdescls).
Lesalgorithmesdesignatureet/ouchiffrement:certainstypesdeclspeuventnepasprendreencharge
lafoislasignatureetlechiffrement.
Le codage des signatures et/ou donnes chiffres. Cela inclut, sans sy limiter, le bourrage, lordre des
octets,etlesformatsdedonnes.
Lesformatsdeclpubliqueet/oudecertificatsuivantssontdfinisactuellement:
Dsignation
Requis/Nonrequis
Signature?
Description
sshdss
EXIG
signature
clDSSbrute.
sshrsa
RECOMMAND
signature
clRSAbrute.
pgpsignrsa
FACULTATIF
signature
certificatsOpenPGP(clRSA).
pgpsigndss
FACULTATIF
signature
certificatsOpenPGP(clsDSS).
Lesdeuxcorrespondantsannoncentlesformatssupportspuischoisissentunformatcommunmentsupport.
SouscoucheAuthentificationdelutilisateur
LeprotocoledauthentificationSSHoffresonserviceensappuyantsurleserviceoffertparleprotocoledetransport
SSH.
changeinitial
LauthentificationestprovoqueparleclientlaidedunpaquetSSH_MSG_USERAUTH_REQUEST.Lemotdepasse
nest pas inclus dans ce premier message. la rception de ce message, le serveur doit rpondre par lun des
messagessuivants:
- 12 -
SSH_MSG_USERAUTH_SUCCESSacceptelauthentification
SSH_MSG_USERAUTH_FAILURErefuselauthentification
4.Miseenuvre
Objectifs
LamiseensituationrutiliselecontextepropospourlatelierSYSLOG,contextequiavaittprparpour
ltudedeslistesdecontrledaccs.
OnseproposedeprendrelamainviaSSHsurR100mdepuisunestationconnecteLAN8.Pourmmoire,
dans le tout premier chapitre de louvrage, nous avions ajout sur la machine hte un adaptateur rseau
virtuelconnectVMnet8etdoncLAN8.PuTTYexcutsurlamachinehtepermettracetteconnexionSSH.
DepuislasessionSSHouvertesurR100m,onseproposedeprendrelamainviaSSHsurlerouteurR120m.
tape1:adopterlabonneversiondIOS
Assurezvous que lIOS utilis supporte SSH. Sil sagit de prendre la main sur un routeur depuis une station, le
routeurdoitdisposerdeSSHserver,etparsuiterequiertlesupportdeIPsecetdesesalgorithmesdechiffrement
(DESou3DES).CestlecasquandlenomdelimagecomportelalettreK(SupportdeIPsecetdeSSH),lemieux
tantencoredadopteruneversionquiportelesymboleK9(Supportdelacryptographiefortesavoir3DESet
AES).ReliresincessairelechapitreGestiondelaplateformelogicielleCISCOIOS.
Sil sagit de prendre la main sur un routeur R2 depuis un autre routeur R1, alors lIOS de R1 doit avoir la
fonctionnalitSSHclient,cestlecasdepuislaversion12.1(3)T.
Pournotrepart,laplateformeutiliserestele2621dotdelimagec2600advipservicesk9mz.12418a.bin.
- 13 -
tape2:crerlabasedecomptes
moinsquecenaitdjtfaitdansunatelierprcdent,crezlesdeuxcomptesutilisateur:
Sincessaire,relisezlasectioncorrespondantedanscechapitre.
ActivezlemodleAAA:
R100m(config)#aaa new-model
R100m(config)#aaa authentication login auth_locale local
tape4:doterlerouteurdunnompleinementqualifi(FQDN)
Lamiseen uvredeSSHrequiertdecrersurlerouteurunepairedecls(publique/prive)RSA.Laclpriveest
conserveparlerouteuretinscritedanslapartitionNVRAM.Laclpubliqueserafournieauclientafindechiffrerla
phase de ngociation et dauthentificationpralablelchange proprement dit. La paire est identifie par un nom.
Ladministrateurpeutauchoixgnrerunepairenommeetdanscecasluiattribuerunnomougnrerunepaire
sanslanommeretdanscecaslIOSnommelapairehostname.domain_name.
Nommezlerouteurpuisrenseignezlenomdedomaineauquelilappartient(reliresincessairelasectionRsolution
denomsduchapitreTchesdeconfigurationdesrouteurs):
Router(config)#hostname R100m
R100m(config)#ip domain-name ccna.fr
R100m(config)#^Z
R100m#
tape5:doterlerouteurdunepairedeclsRSA
Lacommandemettreen uvreestcryptokeygeneratersadontlasyntaxeestlasuivante:
crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label
key-label] [exportable] [modulus modulus-size] [storage devicename:][redundancy][on
devicename:]
Lesargumentsmajeursdelacommandesont:
generalkeys
Optionnel,creunepairedeclsusagegnral,cestlechoixpardfaut.
usagekeys
Optionnel,credeuxpairesdeclsdontuneddieauchiffrement,lautrelasignature.
signature
Optionnel,creunepairedeclsddielasignature.
encryption
Optionnel,creunepairedeclsddieauchiffrement.
labelkeylabel
- 14 -
Optionnel,nommelaclcequiestncessairesiladministrateursouhaitelexporter.Quandaucunnomnestspcifi,
lIOSutiliselenompleinementqualifidurouteur.
exportable
Optionnel,rendlapaireexportableversunautrequipementCISCO.
modulusmodulussize
Optionnel,spcifielatailledelacl.
Pardfaut,latailleduneclissueduneautoritdecertification(CA)est1024bits.Lataillerecommandeest2048
bits.Lacommandeacceptetoutetailledeclcompriseentre350et4096bits.
Attention:gnreruneclde512bitssuruneplateforme4700prendunesecondemaisgnreruneclde2048
bitssuruneplateforme2500prenduneheure!
storagedevicename:
Optionnel,spcifielapartitionsurlaquelleseraenregistrelapairedecls.
Silerouteurdisposedjdunepaire(oudeux)declsRSA,lexcutiondelacommandeprovoqueunavertissement
avantderemplacerla(oules)paireexistanteparlapaireencoursdecration.Outrelapairedusagegnraloules
deuxpairesddiesauchiffrementetlasignature,lexcutiondelacommandeprovoquelacrationdunepairede
clsddieSSH.CettepaireestexclusivementutiliseparSSHetlIOSlanommehostname.domain_name.server
La commande nest pas rellement une commande de configuration mme sil faut la provoquer en mode de
configuration globale. Cest pourquoi elle nest pas sauvegarde dans le fichier de configuration runningconfig.
Cependant, les cls gnres par la commande sont sauvegardes en NVRAM (dans un fichier cach et non
transfrable vers un autre dispositif) en mme temps que ladministrateur provoque une sauvegarde de la
configurationcourante.Hlas,cefonctionnementnestpasreproduitparlaplateformemulelaidedeDynamips.
Lamanipulationrestepossiblemaisencasderedmarragedelatopologie,ilfaudragnrernouveaulescls.
Les cls ne font pas partie de la configuration mais cest pourtant la commande de sauvegarde de la
configurationquiprovoquegalementlasauvegardedescls.
Si la configuration nest pas sauvegarde, les cls gnres seront perdues au prochain rechargement du
routeur!
Appliqueaucasprsent:
R100m(config)#crypto key generate ?
rsa Generate RSA keys
<cr>
R100m(config)#crypto key generate rsa ?
general-keys Generate a general purpose RSA key pair for signing and
encryption
usage-keys
Generate separate RSA key pairs for signing and encryption
<cr>
R100m(config)#crypto key generate rsa general-keys ?
exportable Allow the key to be exported
label
Provide a label
modulus
Provide number of modulus bits on the command line
<cr>
R100m(config)#crypto key generate rsa general-keys modulus ?
<360-2048> size of the key modulus [360-2048]
R100m(config)#crypto key generate rsa general-keys modulus 1024 ?
exportable Allow the key to be exported
<cr>
R100m(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R100m.ccna.fr
- 15 -
Observez dans la capture cidessus, la cration de la paire de cls saccompagne de lactivation de SSH sur le
routeur.OnapprendgalementquelaversionsupportedeSSHestlaversion1.99,cequisignifiequeleserveur
SSHenplaceacceptelesconnexionsquellessoientissuesdeclientsSSH1ouSSH2.
Vrifiezquelesclssonteffectivementcres:
- 16 -
Optionnel,exprimenseconds.Tempsmax=Tempspardfaut=120s.
authenticationretries
Optionnel,nombredetentativesdouverturesdesessionadmises.
integer
Optionnel,nombredetentatives,5maxi,3pardfaut.
Rglezlesparamtresdelauthentificationsshcommesuit:
Vrifiezlaconfigurationobtenue:
R100m#sh ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 4
R100m#
Commentvrifierlessessionsencours?:
R100m#sh ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
R100m#
La rponse cette commande show est riche denseignements puisquon y dcouvre comment limplmentation de
CISCOsupportelafoislesversions1et2duprotocoleSSH.Ciscoasimplementprvudeuxserveursetunsystme
daiguillageversleserveuradquat.LadministrateurpeutimposerlaversiondeSSHutiliser.Dmonstration:
R100m(config)#ip ssh version ?
<1-2> Protocol version
R100m(config)#ip ssh version 2
R100m(config)#^Z
R100m#sh ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 4
R100m#sh ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
Passageparlaversion1,puisretouraucomportementpardfaut:
R100m(config)#ip ssh version 1
R100m#
R100m#sh ip ssh
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 4
R100m#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R100m(config)#no ip ssh version
R100m(config)#^Z
R100m#sh ipssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 4
Cestuneconfirmation,ilfautconclurequelaffichageversion1.99doittreinterprtcommelapossibilitpourle
routeurdouvririndiffremmentunesessionSSH1quunesessionSSH2.
ENI Editions - All rigths reserved - Noba Mafiza
- 17 -
tape7:imposerletransportdelasessiondeterminalvtyparssh
Sinouslaissionslaconfigurationdanscettat,louverturedesessionparTelnetresteraitpossible:
R100m(config)#line vty 0 4
R100m(config-line)#tra
R100m(config-line)#transport ?
input
Define which protocols to use when connecting to the terminal
server
output
Define which protocols to use for outgoing connections
preferred Specify the preferred protocol to use
R100m(config-line)#transport input ?
all
All protocols
mop
DEC MOP Remote Console Protocol
none
No protocols
pad
X.3 PAD
rlogin Unix rlogin protocol
ssh
TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
udptn
UDPTN async via UDP protocol
v120
Async over ISDN
R100m(config-line)#transport input ssh ?
mop
DEC MOP Remote Console Protocol
pad
X.3 PAD
rlogin Unix rlogin protocol
telnet TCP/IP Telnet protocol
udptn
UDPTN async via UDP protocol
v120
Async over ISDN
<cr>
R100m(config-line)#transport input ssh
R100m(config-line)#^Z
R100m#
Observez quen fait, la commande transport admet une liste de protocoles potentiels. Ainsi, entrer la commande
transportinputsshtelnetpermettraitautantuneouverturedesessionparSSHqueparTelnet.
tape8:testdelouverturedesessionsurR100mviaSSH
IlesttempsdexplorerlespossibilitsdePuTTYencedomaine:
- 18 -
tiquettes1,2et3LadministrateurindiqueladresseIPdurouteurobjetdelaprisedemainpuiscochele
protocoledetransportSSH.ObservezleportTCPcorrespondantsoit22.
tiquettes 4, 5 et 6 Ladministrateur peut souhaiter ou imposer une version du protocole SSH.
Naturellement, en production, la version 2 est prfrer quand elle est supporte. Adoptons un
comportementexploratoireenprfrantdansunpremiertempslaversion1duprotocole.
tiquettes7,8LadministrateurrglelecomportementduclientSSHPuTTYdanslerenouvellementdescls
desession.CecineconcernequelessessionsouvertesavecSSHversion2.
Ouvrezlasession(tiquette9).
VrifiezlaidedunecommandeshowsshlaversiondeprotocoleSSHutiliseetparsuitequelatlalgorithme
dechiffrementchoisipourcrerletunnelscurisSSH.LalgorithmeAESnepeuttreutilisqueparSSH2,PuTTYa
tentdengocierBlowfishsanssuccs,letroisimealgorithmedelalistetait3DES,cetalgorithmeconvenait
auxdeuxparties:
State
Session started
Username
danny
- 19 -
FermezcettesessionpuisconfigurezPuTTYafindeprfrerSSH2laprochaineouverture.
Ouvreznouveaulasessionetobservezquecettefois,lalgorithmedechiffrementestAES:
retries: 4
State
Session started
Session started
Username
danny
danny
Observezgalementlapparitiondunecolonnesupplmentairequirenseignesurlecontrledintgritchoisi,hmac
sha1danslecasprsent.Autrediffrencenotableaveclaversion1:Ilfautdeuxlignespourdcrirelasessionen
cours.Eneffet,puisquilestpossibledimposerunalgorithmedechiffrementetunalgorithmedintgritdiffrents
pourchaquesensdeflux,lacommandeafficheuneligneparsensdeflux(IN,OUT).
tape9:activerSSHsurR120m
UneautrefacultdelIOSestdepouvoircrerdesclsRSAnommes.Danscecas,ltapepralablequiconsistait
doterlerouteurdunnompleinementqualifinestpasindispensable:
R120m(config)#ip domain-name ccna.fr
R120m(config)#^Z
R120m#
SurR120m,gnrezunepairedeclsnommecle_RSA_pour_SSH:
Vrifiezquelesclssonteffectivementcres:
- 20 -
C593E2A7 F3FBE2D8
8BBDCB93 58F82743
D6B28C8E CE3271F8
97AA3EB9 F94E8748
UTC Mar 1 2002
ADECA102
5A006F6C
1D4E33E1
04D85DB5
47228EE1
94CE6B3C
42F81B7D
2D020301 0001
00036B00
C9A83CA8
BC0B3D86
BF49890C
00DF4136
08505544
C02BCFF8
21020301
259E7A4E
E1AAC8B6
FC90542F
0001
30680261
CE195ACF
FDF7F74D
4E7C96DB
tape10:rglerlesparamtresdelauthentificationssh
AjustezcesparamtreslidentiqueavecR100m:
CommenonsparuneerreurvolontaireafindobserverlecomportementdelIOS:
AttribuezlapaireenlanommanttellequattendueparlIOS:
La commandessh permet douvrir une session vers un serveur SSH (cette commande active donc un client SSH).
- 21 -
Observezquelleadmetdenombreuxargumentsquipermettentdtablirunesessionsurmesures:
R100m#ssh ?
-c
Select encryption algorithm
-l
Log in using this user name
-m
Select HMAC algorithm
-o
Specify options
-p
Connect to this port
-v
Specify SSH Protocol Version
WORD IP address or hostname of a remote system
R100m#ssh -c ?
3des
triple des
SSHv2 only cipher list:
aes128-cbc AES 128 bits
aes192-cbc AES 192 bits
aes256-cbc AES 256 bits
R100m#ssh -l ?
WORD Login name
R100m#ssh -m ?
SSHv2 Hmac list:
hmac-md5-128
hmac-md5 MD5 based HMAC(128 bits)
hmac-md5-96
MD5 based HMAC(96 bits)
hmac-sha1-160 hmac-sha1 SHA1 based HMAC(160 bits)
hmac-sha1-96
SHA1 based HMAC(96 bits)
R100m#ssh -o ?
numberofpasswordprompts
R100m#ssh -p?
-p WORD
R100m#ssh -v?
-v WORD
R100m#ssh -v ?
1 Protocol Version 1
2 Protocol Version 2
Utilisezcettedclinaisondelacommande:
Username
danny
danny
- 22 -
Validationdesacquis:questions/rponses
1.Questions
LaplupartdesthmesexpossdanscechapitrenesontpasrellementdesattendusdelacertificationCCNAetont
pour but daider le lecteur devenir un administrateur surentran. Les quelques questions qui suivent ont donc
surtoutpourobjetdedonnerlenviedelirelechapitre:
1 QuelestlobjetdumodleAAAdeCISCO?
2 UnadministrateurvientdecrerunepairedeclsRSAsurunrouteur.Ilreoitunmessagedavertissement
%SSH5ENABLED:SSH1.99hasbeenenabled.Quepeutilconclure?
3 QuellecommandedelinterfaceILCfautilutiliserpourprovoquerlaffichagedesmessagesSYSLOGsurla
sessiondeterminalvirtuelencours?
4 UnefoislemodleAAAmisenplacesurunrouteur,lesidentifiantsdescomptesutilisateurssontilsstockssur
lerouteurousurunserveurcentralistypeRADIUSouTACACS?
5 Pourquoiestilindispensablededfinirqueldomaineappartientunrouteuravantdegnrerunepairede
clsRSA?
6 LespairesdeclsRSAgnressurunrouteurnefontpaspartiedufichierdeconfiguration.Comment
ladministrateursassuretildeleursauvegarde?
7 UnadministrateurdevosamissouhaitesubstituerSSHTelnetquilutilisaitjusquicipouradministrerses
routeurs.Unecommandeshowversionsuraumoinslundesquipementsdontilalachargeluiconfirmequela
versiondIOSencoursdusageestc2600imz.12326.bin.Queluiditesvous?
2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun
point.
Nombredepoints/7
Pourcechapitre,votrescoreminimumdoittrede6sur7.
3.Rponses
1 QuelestlobjetdumodleAAAdeCISCO?
Proposer un modle de scurit qui prenne en compte trois lments fondamentaux : lauthentification, les
autorisationsetlatraabilit(Accounting)(reliresincessairelasectionLemodleAAA).
2 UnadministrateurvientdecrerunepairedeclsRSAsurunrouteur.Ilreoitunmessagedavertissement
%SSH5ENABLED:SSH1.99hasbeenenabled.Quepeutilconclure?
Le serveur de lquipement supporte autant SSH version 1 que SSH version 2 (relire si ncessaire la section Le
protocoleSSH).
3 QuellecommandedelinterfaceILCfautilutiliserpourprovoquerlaffichagedesmessagesSYSLOGsurla
sessiondeterminalvirtuelencours?
Router#terminal monitor
(ReliresincessairelasectionJournalisation,leprotocoleSYSLOG).
4 UnefoislemodleAAAmisenplacesurunrouteur,lesidentifiantsdescomptesutilisateurssontilsstockssur
lerouteurousurunserveurcentralistypeRADIUSouTACACS?
LemodleAAAdeCiscopermetindiffremmentdentretenirlescompteslocalementousurunserveurcentralis.La
seconde solution est prfrer puisquainsi, chaque compte nest crer quune seule fois (relire si ncessaire la
sectionQuestcequelauthentification).
5 Pourquoiestilindispensablededfinirqueldomaineappartientunrouteuravantdegnrerunepairede
clsRSA?
Ladministrateurpeutauchoixgnrerunepairenommeetdanscecasluiattribuerunnomougnrerunepaire
sans la nommer et dans ce cas lIOSnommelapairehostname.domain_name .Maiscettesecondefacultaun
prrequis : le routeur doit tre dot dun nom de domaine (relire si ncessaire la section Adoptez SSH Mise en
uvre).
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
6 LespairesdeclsRSAgnressurunrouteurnefontpaspartiedufichierdeconfiguration.Comment
ladministrateursassuretildeleursauvegarde?
Quand le routeur est dot de paires de cls RSA, la commande copy running config startup config est une
commandedoubleeffet:lepremiereffetestconnu,ilconsistesauvegarderlefichierdeconfigurationcourante,le
secondeffetnesemanifestequencasdeprsencedepairesdeclsRSAquisontalorssauvegardesetcachesen
NVRAM(reliresincessairelasectionAdoptezSSHMiseenuvre).
7 UnadministrateurdevosamissouhaitesubstituerSSHTelnetquilutilisaitjusquicipouradministrerses
routeurs.Unecommandeshowversionsuraumoinslundesquipementsdontilalachargeluiconfirmequela
versiondIOSencoursdusageestc2600imz.12326.bin.Queluiditesvous?
Vous lui dites que SSH nest support qu la condition de disposer dun IOS dot des fonctionnalits cryptographie
forte,cequilestfaciledidentifierparlaprsencedusymbolek9danslenomdelimageIOS(reliresincessairela
sectionAdoptezSSHMiseenuvreainsiquelechapitreGestiondelaplateformelogicielleCISCOIOS).
- 2-
Chapitre4Leroutagestatique
Propositiondetopologie
1.Tche1:Conceptionduplandadressage
Tableaudedocumentationdesadresses:
Affectation
Rseau
Premireadresse
Dernireadresse
Adressede
diffusion
LAN11
10.0.1.0/25
10.0.1.1
10.0.1.126
10.0.1.127
LAN8
10.0.1.128/26
10.0.1.129
10.0.1.190
10.0.1.191
LAN12
10.0.1.192/27
10.0.1.193
10.0.1.222
10.0.1.223
WANR80R110
10.0.1.224/30
10.0.1.225
10.0.1.226
10.0.1.227
WANR80R120
10.0.1.228/30
10.0.1.229
10.0.1.230
10.0.1.231
Tableaudedocumentationdesinterfaces:
quipement
Interface
AdresseIP
Masque
Passerelle
R80
F0/0
10.0.1.129
255.255.255.192
Sansobjet
S0/0
10.0.1.226
255.255.255.252
Sansobjet
S0/1
10.0.1.230
255.255.255.252
Sansobjet
F0/0
10.0.1.1
255.255.255.128
Sansobjet
S0/0
10.0.1.225
255.255.255.252
Sansobjet
F0/0
10.0.1.193
255.255.255.224
Sansobjet
R110
R120
- 1-
S0/1
10.0.1.229
255.255.255.252
Sansobjet
PCL80
VMnet8
10.0.1.190
255.255.255.192
10.0.1.129
PCL110
VMnet1
10.0.1.126
255.255.255.128
10.0.1.1
PCL120
VMnet2
10.0.1.222
255.255.255.224
10.0.1.193
PCHte
VMnet8
10.0.1.189
255.255.255.192
10.0.1.129
LadministrateuraremplicestableauxsansdifficultgrceauprcieuxconcoursdutableauVLSMdichotomiquequila
construitaupralablepoursegmenterlespacedadressage10.0.1.0/24:
- 2-
2.Introductionderoutesstatiques
a.Routesstatiquesavecadressedesautsuivant
LetableaucidessousimaginequelquespaquetsparvenusR110.Pourchacundespaquets,indiquezcommentse
comporteralerouteur,vatiltransfrerourejeter?Quelleestlinterfaceutilisequandiltransfre?
Paquet
AdresseIPdedestination
RejetouTransfert?
Interfacedesortie
10.0.1.229
Rejet
Sansobjet
10.0.1.190
Transfert
S0/0
10.0.1.226
Transfert
S0/0
10.0.1.222
Rejet
Sansobjet
10.0.1.126
Transfert
F0/0
b.Routestatiqueavecinterfacedesortie
Cettesecondepartiedatelierestmoinsguidedessein.Lelecteuracertainementhtedtreautonome.Alors,
jetonsnousleau...
SurlaconsoledeR80,tentezunecommandepingversPCL120.
Cettecommandedoitchouer,R80nedisposantpasderouteverslerseauLAN12.
- 3-
SurR80,ajoutezuneroutestatiquedetypeinterfacedesortieverslerseauLAN12.
R80#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R80(config)#ip route 10.0.1.192 255.255.255.224 s0/1
R80(config)#^Z
R80#
00:09:49: %SYS-5-CONFIG_I: Configured from console by console
R80#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R80#
SurlaconsoledeR80,tenteznouveauunecommandepingversPCL120.
R80#ping 10.0.1.222
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.222, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/66/108 ms
R80#
Ladministrateur souhaite vrifier la connectivit de PCL80 PCL120 sans se dplacer, cestdire en restant
devantlaconsoledeR80.
SurlaconsoledeR80,utilisezunecommandepingtendueafindevrifierlaconnectivitdePCL80PCL120.
SansvousdplacersurlaconsoledeR120,enrestantsurR80donc,ouvrezunesessionTelnetsurR120puis
ajoutezuneroutestatiquepardfautdetypeadressedesautsuivant.FermezlasessionTelnetafinderevenir
lasessionconsolesurR80.
R80#telnet 10.0.1.229
Trying 10.0.1.229 ... Open
User Access Verification
Password:
R120>en
Password:
R120#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R120(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.230
R120(config)#^Z
R120#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
R120#exit
[Connection to 10.0.1.229 closed by foreign host]
R80#
- 4-
SurlaconsoledeR80,utiliseznouveauunecommandepingtendueafindevrifierlaconnectivitdePCL80
PCL120.
- 5-
Chapitre5LeprotocolederoutagetypevecteurdedistanceRIPv1
1.Atelier:MiseenuvreduneconfigurationRIP
Vousvoilpromuadministrateurdurseausuivant:
Vous remarquez que le lien de secours WAN33 est une ressource dormante et souhaitez tablir un partage de
charge cot gal sur trois routes entre LAN12 et LAN21. Les trois routes sont constitues des deux routes
existantesauxquellesdevraitsadditionnerlarouteparWAN33.
ModifiezlaconfigurationdeR120etdeR210enconsquence,sansremettreencauselechoixduprotocoleRIP.
LideconsistemettreprofitlacommandeoffsetlistdjenplacesurchacundesdeuxrouteursR120etR210.En
ajoutantunoffsetdevaleur2lamtriqueannoncedesrseauxLAN12etLAN21,lecotdelarouteparWAN33
atteignait 3, soit une valeur suprieure celle des routes alternatives par R110 et R220. Mais en se contentant
dajouterunoffsetdevaleur1,laroutersultanteparWAN33voitsoncotramenunevaleuridentiquecelle
desdeuxroutesalternatives.
SurR120:
R120(config)#router rip
R120(config-router)#offset-list 1 in 1 s0/2
R120(config-router)#^Z
R120#
SurR210:
R210(config)#router rip
R210(config-router)#offset-list 1 in 1 s0/2
R210(config-router)#^Z
R210#
RecettesurR120:
R120#sh ip route
.........
Gateway of last resort is 172.16.34.22 to network 0.0.0.0
- 1-
R
C
C
R
C
C
R
R*
R120#
RecettesurR210:
R210#sh ip route
.........
Gateway of last resort is 172.16.43.22 to network 0.0.0.0
172.16.0.0/24 is subnetted, 8 subnets
172.16.43.0 is directly connected, Serial0/0
172.16.32.0 is directly connected, Serial0/1
172.16.33.0 is directly connected, Serial0/2
172.16.34.0 [120/1] via 172.16.43.22, 00:00:21, Serial0/0
[120/1] via 172.16.33.12, 00:00:01, Serial0/2
172.16.21.0 is directly connected, FastEthernet0/0
172.16.23.0 [120/1] via 172.16.33.12, 00:00:01, Serial0/2
[120/1] via 172.16.32.11, 00:00:03, Serial0/1
172.16.12.0 [120/2] via 172.16.43.22, 00:00:21, Serial0/0
[120/2] via 172.16.32.11, 00:00:03, Serial0/1
[120/2] via 172.16.33.12, 00:00:01, Serial0/2
172.16.11.0 [120/1] via 172.16.32.11, 00:00:03, Serial0/1
0.0.0.0/0 [120/1] via 172.16.43.22, 00:00:19, Serial0/0
C
C
C
R
C
R
R
R
R*
R210#
Vous aussi pouvez observer trois routes RIP cot gal entre LAN12 et LAN21, peuttre avec une solution
diffrente.Quoiquilensoit,bravo,votrematrisedeRIPnefaitaucundoute.
- 2-
Chapitre7LeprotocolederoutagetypevecteurdedistanceRIPv2
1.TP:MiseenuvreduneconfigurationRIPv2
Biensr,rienninterditaulecteurdereproduirelensembledestopologiesduchapitre7dansGNS3maisilfautbien
avouerquefairefonctionnerlessixrouteursdesateliers7Aet7Bnestpasuneminceaffaire,lensembleamanqu
cruellementdestabilitsurlamachinedelauteur,malgrsesefforts.
Plus modestement, proposonsnous dutiliser la topologie cidessous qui avait servi illustrer les limites dun
protocole de routage avec classe. Le domaine couvert par le rseau 10 est scind en deux parties. Par ailleurs, le
masqueadoptpourdcouperlerseau192.168.9.0estuniquecequiconduitunimportantgaspillagedadresses
surlesliensserial.Lobjectifestdoncdouble:
Remplacer les sousrseaux /26 des liens serial par des sousrseaux /30 du mme rseau majeur
192.168.9.0
AppliquerleprotocoleRIPv2.
ConfigurationdeR110:
R110#sh run
Building configuration...
.........
!
hostname R110
!
enable secret 5 $1$7VWa$54CP2goqJ7nQwn152lU4b.
!
Memory-sizeiomem 15
ip subnet-zero
!
call rsvp-sync
!
interface FastEthernet0/0
ip address 10.0.11.1 255.255.255.0
duplex auto
speed auto
!
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
interface Serial0/0
bandwidth 64
ip address 192.168.9.2 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.9.66 255.255.255.192
duplex auto
speed auto
!
router rip
version 2
network 10.0.0.0
network 192.168.9.0
no auto-summary
!
Ipclassless
.........
ConfigurationdeR80:
R80#sh run
Building configuration...
.........
hostname R80
!
enable secret 5 $1$l652$eM7qlHN9OeZK87Tf9GzUT.
!
Memory-sizeiomem 15
ip subnet-zero
!
call rsvp-sync
!
interface FastEthernet0/0
ip address 192.168.8.1 255.255.255.128
duplex auto
speed auto
!
interface Serial0/0
bandwidth 64
ip address 192.168.9.1 255.255.255.252
clock rate 64000
!
interface FastEthernet0/1
ip address 192.168.9.65 255.255.255.192
duplex auto
speed auto
!
interface Serial0/1
bandwidth 64
ip address 192.168.9.193 255.255.255.252
clock rate 64000
!
interface FastEthernet1/0
ip address 192.168.9.129 255.255.255.192
duplex auto
speed auto
!
router rip
version 2
network 192.168.8.0
network 192.168.9.0
no auto-summary
!
Ipclassless
.........
ConfigurationdeR120:
R120#sh run
- 2-
Building configuration...
.........
hostname R120
!
enable secret 5 $1$joNT$9qqIcFuwkyBAlJ8Oh891D0
!
Memory-sizeiomem 15
ip subnet-zero
!
call rsvp-sync
!
interface FastEthernet0/0
ip address 10.0.12.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 64
ip address 192.168.9.194 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.9.130 255.255.255.192
duplex auto
speed auto
!
Router rip
version 2
network 10.0.0.0
network 192.168.9.0
no auto-summary
!
ip classless
ExtraitlimitauxroutesapprisesparRIPdelatablederoutagedeR110:
R110#sh iproute rip
192.168.8.0/25 issubnetted, 1 subnets
R
192.168.8.0 [120/1] via 192.168.9.1, 00:00:24, Serial0/0
[120/1] via 192.168.9.65, 00:00:24, FastEthernet0/1
192.168.9.0/24 isvariablysubnetted, 4 subnets, 2 masks
R
192.168.9.192/30 [120/1] via 192.168.9.65, 00:00:24, FastEthernet0/1
[120/1] via 192.168.9.1, 00:00:24, Serial0/0
R
192.168.9.128/26 [120/1] via 192.168.9.65, 00:00:24, FastEthernet0/1
[120/1] via 192.168.9.1, 00:00:24, Serial0/0
10.0.0.0/24 issubnetted, 2 subnets
R
10.0.12.0 [120/2] via 192.168.9.1, 00:00:24, Serial0/0
[120/2] via 192.168.9.65, 00:00:24, FastEthernet0/1
R110#
Cetatelierestmaintenanttermin.
- 3-
Chapitre9LeprotocolederoutagetypetatsdeliensOSPF
1.JeuConstruireunarbreSPF
Vousavezcertainementtrouvunarbrequi,avecunpeudimagination,doitrappelerlestroislettresSPF.
2.Atelier:MiseenuvreduneconfigurationOSPF
TablederoutagedeR11:
RTR11#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/32 is subnetted, 2 subnets
1.0.0.9 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1
1.0.0.11 is directly connected, Loopback0
172.26.0.0/24 is subnetted, 1 subnets
O E2
172.26.9.0 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1
10.0.0.0/24 is subnetted, 8 subnets
C
10.0.11.0 is directly connected, FastEthernet0/0
C
10.0.8.0 is directly connected, FastEthernet0/1
O
10.0.12.0 [110/2] via 10.0.8.12, 00:11:26, FastEthernet0/1
O IA
10.0.2.0 [110/1563] via 10.0.8.8, 00:11:26, FastEthernet0/1
O IA
10.0.1.0 [110/2] via 10.0.8.8, 00:11:26, FastEthernet0/1
O E2
10.0.16.0 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1
O E2
10.0.22.0 [110/10] via 10.0.8.8, 00:11:26, FastEthernet0/1
O E2
10.0.21.0 [110/10] via 10.0.8.8, 00:11:27, FastEthernet0/1
192.168.1.0/30 is subnetted, 1 subnets
O IA
192.168.1.224 [110/1563] via 10.0.8.8, 00:11:27, FastEthernet0/1
RTR11#
O E2
C
ConfigurationdeR16:
RTR16#sh run
...
hostname RTR16
!
...
!
- 1-
interface Loopback0
ip address 1.0.0.16 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.1.16 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
bandwidth 64
ip address 10.0.2.16 255.255.255.0
!
interface FastEthernet0/1
ip address 10.0.16.16 255.255.255.0
duplex auto
speed auto
!
Routerospf 1
log-adjacency-changes
redistribute rip metric 10 subnets
network 10.0.0.0 0.0.3.255 area 0
!
router rip
version 2
redistribute ospf 1 metric 3
passive-interface FastEthernet0/0
passive-interface Serial0/0
network 10.0.0.0
!
ip classless
ip http server
!
!
dial-peercor custom
!
line con 0
exec-timeout 0 0
passwordeni
logging synchronous
login
line aux 0
linevty 0 4
login
!
End
RTR16#
ConfigurationdeR21:
RTR21#sh run
...
hostname RTR21
!
...
interface Loopback0
ip address 1.0.0.21 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.21.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.16.21 255.255.255.0
duplex auto
speed auto
!
router rip
version 2
- 2-
network 10.0.0.0
!
ip classless
ip http server
!
dial-peercor custom
!
line con 0
exec-timeout 0 0
passwordeni
loggingsynchronous
login
line aux 0
line vty 0 4
login
!
End
RTR21#
TablederoutagedeR21:
RTR21# sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
1.0.0.0/8 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1
1.0.0.21/32 is directly connected, Loopback0
172.26.0.0/16 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1
10.0.0.0/24 is subnetted, 8 subnets
R
10.0.11.0 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1
R
10.0.8.0 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1
R
10.0.12.0 [120/3] via 10.0.16.16, 00:00:24, FastEthernet0/1
R
10.0.2.0 [120/1] via 10.0.16.16, 00:00:24, FastEthernet0/1
R
10.0.1.0 [120/1] via 10.0.16.16, 00:00:24, FastEthernet0/1
C
10.0.16.0 is directly connected, FastEthernet0/1
R
10.0.22.0 [120/1] via 10.0.16.22, 00:00:15, FastEthernet0/1
C
10.0.21.0 is directly connected, FastEthernet0/0
R
192.168.1.0/24 [120/3] via 10.0.16.16, 00:00:00, FastEthernet0/1
RTR21#
R
C
R
- 3-
Chapitre10Gestiondetraficparlistedaccs(ACL)
1.Exercicemasquegnrique
Uneplagedadressespeutdsormaissexprimerdetroismaniresdiffrentes,correspondantauxtroiscolonnesdu
tableau cidessous : @IP_dbut @IP_fin, @IP/masque de rseau, @IP/masque gnrique. Pour chaque cas
proposdansletableau,lesmodesmanquantssontcomplts:
@IP/masquederseau
Plagesdadresses
@IP/masquegnrique
192.168.1.16/28
192.168.1.16192.168.1.31
Le4 e octetenbinaire:
192.168.1.16/0.0.0.15
192.168.1.0001
0000 192.168.1.0001 1111
192.168.96.0/23
192.168.96.0 192.168.97.255
192.168.96.0/0.0.1.255
Lesdeuxderniersoctetsenbinaire:
192.168.0110 0000.0000 0000
192.168.0110 0001.11111111
192.168.96.0/19
192.168.96.0 192.168.127.255
192.168.96.0/0.0.31.255
Lesdeuxderniersoctetsenbinaire:
192.168.0110 0000.0000 0000
192.168.01111111.11111111
192.168.96.0/18
Cestunpigecarlapremireadressede
ceblocnestpas192.168.96.0mais
192.168.64.0cequelondcouvreen
conservantles18bitsdepoidsfortde
ladresse(3 e octetenbinaire)...
192.168.64.0/0.0.63.255
192.168.96.0=192.168.01100000.0
Laplageestdonc:
192.168.64.0 192.168.127.255
192.168.75.0/24
192.168.75.0192.168.75.255
192.168.75.0/0.0.0.255
172.26.0.0/16
172.26.0.0172.26.255.255
172.26.0.0/0.0.255.255
210.1.10.0/23
210.1.10.0210.1.11.255
210.1.10.0/0.0.1.255
209.8.25.128/27
Octets2et4enbinaire,Xpourlesbits
ignorer:
209.10.25.128/0.2.0.31
et
209.10.25.128/27
209.000010X0.25.100XXXXX
Cetensemblecouvrelesdeuxrseaux:
209.00001000.25.10000000/27
209.00001010.25.10000000/27
Lesplagessontdonc:
209.8.25.128 209.8.25.159
209.10.25.128 209.10.25.159
0/0
0.0.0.0255.255.255.255
0.0.0.0/255.255.255.255
ouany
- 1-
2.Problmemasquegnrique
Considrezlafigurecidessus.
1)laidedumasquegnrique,estilpossibledagglomrerlesrseauxNWetNEdansunrseauNord?
2)Sivotrerponseestoui,exprimezdanscecasqueldevraittrelareprsentationdelagglomratSud.
- 2-
3) Au vu des questions prcdentes, vous tes maintenant persuad quil est impossible dagglomrer les deux
rseauxNordensemble,idempourlesdeuxrseauxSud.Enmaintenantlesquatrerseauxconfinsdanslespace
10.0.8.0/21,proposezunesolutionpourqueceladeviennepossible.
Lassociation10.0.8.0/0.0.7.255nereprsentenilagglomratNord,nilagglomratSudmaislaglobalitdurseau
10.0.8.0/21.Onpeutpourtantparvenirnosfinsenredistribuantlesaffectationsdelafaonsuivante:
- 3-
Aveccettedistributiondelespace,lesmasquesgnriquesdeviennent:
Ceciconfirmelancessitdtreprudentenmanipulantdesmasquesgnriquesexotiques.
Ceproblmeestmaintenanttermin.
VousvenezduchapitreGestiondetraficparlistedaccs(ACL)Manipulationdesmasquesgnriques.
3.AtelierListedaccsstandard
Objectifs:
Interdire tout type de trafic destin LAN8 ds lors quil est issu des 16 dernires adresses de la plage
dadressesaffecteLAN12a.
LetraficissudeLAN12aetdestinauxautrespartiesdurseaudoitresterpossible.
laconditiondelaplacerauplusprsdeladestination,unelistestandardconvient.Cestdonclefluxsortantde
linterfacef0/0durouteurR8jquidoitsevoirappliquerlaliste.
Calculdeladressesource:
- 4-
CrationetapplicationdelalistesurR8j:
R8j#conf t
R8j(config)#access-list 30 deny 10.0.12.112 0.0.0.15
R8j(config)#access-list 30 permit any
R8j(config)#int f0/0
R8j(config-if)#ip access-group 30 out
R8j(config-if)#^Z
R8j#
Vrificationdelaprsencedelaliste:
R8j#sh ip access-list 30
Standard IP access list 30
10 deny
10.0.12.112, wildcard bits 0.0.0.15
20 permit any
R8j#
Vrificationdelapplicationdelalistelinterface(extrait):
R8j#sh ipint f0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 10.0.8.129/26
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 30
Inbound access list is not set
Proxy ARP is enabled
.........
--More
Observez une prsentation lgrement modifie dans le rsultat de la commande sh ip accesslist. Les diffrents
lmentsapparaissentassocisunetiquette10,20...Ceciestdladoptionduneplateforme1700enlieuet
place de la plateforme 2600 utilise dans les ateliers qui ont prcd. Mais surtout, lIOS est une version 12.3 et
disposedoncdecettefacultnommelistessquencesetdtailledansunesectionultrieure.
Vrificationsurlatopologiepropose:
TouteslesstationslexceptiondeVMSRV01peuventjoindrePCL80.
Cetatelierestmaintenanttermin.
- 5-
4.AtelierListedaccstendue
Prrequis : relire si ncessaire le chapitre La couche Application de la pile TCP/IP FTP, TFTP de louvrageCisco
NotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditionsENI.
a.Objectif1
Sur R120k, compltez la liste daccs n125 afin dautoriser le trafic issu dInternet et destin au serveur
Web interne www.ccna.fr. Ce premier point sera vrifi laide dun navigateur ouvert sur la machine
VMSRV02.Onsaisiraenbarredadresse,ladresse10.0.8.4.
Caractrisonscetraficcommenousavonsprislhabitudedelefairepourleslistestendues:
LetraficWEBesttransportlaideduprotocoledecouchetransportTCP.
LadressesourcenepeutpastrepriseencomptecartoututilisateurpeuttenterunaccsauserveurWeb
interne.
Le port source ne peut tre pris en compte puisque choisi alatoirement par le client externe lorsquil
provoqueunerequtehttp.
LadressededestinationestlecelleduserveurWebinternesoit10.0.8.4.
LeportdestinationestleportTCP80affectlapplicationHTTP.
Letraficestinitiparlerseauexterne.IlnestpaspossibledetesterledrapeauACKlaidedumotcl
established.
Autotal,llmentquidoittreajoutlalisten125estlesuivant:
R120k(config)#access-list 125 permit tcp any host 10.0.8.4 eq 80
b.Objectif2
SurR120k,compltezlalistedaccsn125afindautoriserlesrequtesDNSissuesdInternetetdestines
au serveur DNS 10.0.8.1. Ce second point sera vrifi laide de la commande NSLOOKUP excute en
mode interactif sur la machine VMSRV02. On sinterdira la commande ls d quivalente au transfert de
zones.
Aveclammemthode:
LesrequtesetrponsesDNSsonttransporteslaideduprotocoledecouchetransportUDP.
LadressesourcenepeutpastrepriseencomptecartoututilisateurpeuttenterunaccsauserveurDNS
interne.
Le port source ne peut tre pris en compte puisque choisi alatoirement par le client externe lorsquil
provoqueunerequtedns.
LadressededestinationestlecelleduserveurDNSinternesoit10.0.8.1.
LeportdestinationestleportUDP53affectlapplicationDNS.
Autotal,llmentquidoittreajoutlalisten125estlesuivant:
R120k(config)#access-list 125 permit udp any host 10.0.8.1 eq 53
- 6-
Ladministrateurautravail:
R120k(config)#ip access-list extended 125
R120k(config-ext-nacl)#do show ip access-list 125
Extended IP access list 125
10 permit tcp any eq www 10.0.10.0 0.0.0.255 established
20 permit tcp any eqsmtp host 10.0.8.3 established
30 permit tcp any host 10.0.8.3 eqsmtp
40 permit udp any eq domain 10.0.10.0 0.0.0.255
50 permit tcp any eq domain 10.0.8.0 0.0.3.255
60 deny ip any any (3 matches)
R120k(config-ext-nacl)#5 permit tcp any host 10.0.8.4 eq 80
R120k(config-ext-nacl)#6 permit udp any host 10.0.8.1 eq 53
R120k(config-ext-nacl)#exit
R120k(config)#ip access-list resequence 125 10 10
R120k(config)#do show ip access-list 125
Extended IP access list 125
10 permit tcp any host 10.0.8.4 eq www
20 permit udp any host 10.0.8.1 eq domain
30 permit tcp any eq www 10.0.10.0 0.0.0.255 established
40 permit tcp any eqsmtp host 10.0.8.3 established
50 permit tcp any host 10.0.8.3 eqsmtp
60 permit udp any eq domain 10.0.10.0 0.0.0.255
70 permit tcp any eq domain 10.0.8.0 0.0.3.255
80 deny ip any any (16 matches)
R120k(config)#^Z
R120k#
DepuislenavigateurdelamachineVMSRV02,vrificationdelaccsauserveurWebinterne:
DepuisuneinvitedecommandessurlamachineVMSRV02,vrificationdelaccsauserveurDNSinterne:
C:\>nslookup
Serveur par dfaut :
Address: 127.0.0.1
localhost
>server 10.0.8.1
DNS request timed out.
timeoutwas 2 seconds.
Serveur par dfaut : [10.0.8.1]
Address: 10.0.8.1
> set q=mx
>fr.
Serveur : [10.0.8.1]
Address: 10.0.8.1
fr
primary name server = vmsrv01
- 7-
c.Objectif3
SurR100k,crezunelistedaccstenduesurlefluxentrantdelinterfacef0/0afindautoriserletraficvers
leserveurFTP10.0.8.2.LetraficFTPpourratreprovoqulaidedunnavigateursurlastationVMWKS01
ouenmodeinteractifdepuisuneinvitedecommandesoudepuislastationLINUXPCL100.Touslesautres
traficsdevronttrerejetslexclusiondestraficsautorissparleserveurdebordurequinedevrontpas
tre empchs par la nouvelle liste. Le circuit TCP pour les donnes de FTP devra tre tabli en mode
normal(etnonenmodepassif).
AvantmmedesongerrglerlaccsauserveurFTP,lefaitdeplacerunelistesurlefluxentrantdeR100k,ct
rseau interne, oblige reconsidrer lensemble des flux que nous avions autoris sur le routeur de bordure et
pourchacundecesflux,tablirllmentpermitcorrespondantdanslanouvelleliste.
LetraficissudunMTAinterneversunMTAexternenetransitepasparlerouteurR100kmaisletraficissudunMUA
interneversleMTAinternedoittreprvu,revoirsincessairelafigureillustrantlacapturecap_2k_02.pcap:
R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 25
Demme,letraficissudunMTAexternenetransitepasparR100k,maispourquunclientMUApuissercuprer
soncourrier,ilfautbienpenserautoriserletraficpop:
R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 host 10.0.8.3 eq 110
Letroisimescnarioenvisagconsistaitautoriserletraficissudesutilisateursdurseauinterneetdestinaux
serveursDNSdurseauexterne.Pourquilrestepossible,ilconvientdajouter:
R100k(config)#access-list 100 permit udp 10.0.10.0 0.0.0.255 any eq 53
Lequatrimeetdernierscnariodelistetendueavaitautorisletraficissudesutilisateursdurseauinterneet
destinauxserveursWEBdurseauexterne.Pourmaintenircetrafic:
R100k(config)#access-list 100 permit tcp 10.0.10.0 0.0.0.255 any eq 80
EtpuisquilestprobablequelesaccsWebconstituentlessentieldutrafic,cetlmentdoittreplacenttede
liste. On se souvient en effet que, ds quun lment fournit une condition avre ( matche ), laction
correspondante,permitou deny,estentrepriseetlalecturedelalistecesse.Toutcequicontribuediminuerle
tempspasstraiterunelisteestbonprendre.
Venonsen ce qui nous proccupe, cestdire autoriser un trafic FTP depuis le rseau interne vers le serveur
10.0.8.2.ExtraitedelouvrageCiscoNotionsdebasesurlesrseauxdanslacollectionCertificationsauxEditions
ENI,lafiguresuivanterappellecequesontlesmodesnormaletpassifdeFTP:
- 8-
Danslemodeditnormal,leclientinitieuncircuitTCPversleport21afindouvrirlaconnexiondecontrleFTP.Par
cetteconnexion,leclientinformeleserveurduportquilutiliserapourlafutureconnexiondedonnes.Maiscestle
serveurquiprendlinitiativedouvrircetteconnexiondepuisleportsourceTCP20versleportdestinationpropos
parleclient.Cemodedefonctionnementnestpastoujoursbientolrdesparefeuquiquipentlesstationscaril
corresponduneconnexionentrante(vuedelastation).Danslemodepassif,leclientinitiedelammefaonla
connexiondecontrlemaisdemandeensuiteauserveurdeluifournirunnumrodeportafinquecesoitlui,client,
qui initie galement la connexion de donnes. En mode passif, cest donc le client qui ouvre les deux circuits
ncessaireslasessionFTP.
Le problme est que filtrer une connexion de donnes ouverte en mode passif avec une liste tendue revient
ouvrirungrostroudanslemodesteparefeuquenoustentonsdemettreaupoint.Eneffet,onnematrisenile
port source, ni le port destination de la connexion. Cest pourquoi le cahier des charges impose de sen tenir au
modenormaldeFTP.
Caractrisonslesdeuxtraficsautoriser...
Letraficdelaconnexiondecontrle:
LetraficFTPesttransportlaideduprotocoledecouchetransportTCP.
Ladressesourceestuneadressedurseau10.0.10.0/24.
Leportsourcenepeuttreprisencomptepuisquechoisialatoirementparleclientinternelorsquilinitiela
connexiondecontrleFTP.
LadressededestinationestcelleduserveurFTPinternesoit10.0.8.2.
LeportdestinationestleportTCP21affectlaconnexiondecontrleFTP.
Letraficestinitiparlerseauinterne.IlnestpaspossibledetesterledrapeauACKlaidedumotcl
established.
Letraficdelaconnexiondedonnes:
LetraficFTPesttransportlaideduprotocoledecouchetransportTCP.
Ladressesourceestuneadressedurseau10.0.10.0/24.
Leportsourcenepeuttreprisencomptepuisquechoisialatoirementparleclientinterneetproposau
serveurlaidedelaconnexiondecontrle.
LadressededestinationestcelleduserveurFTPinternesoit10.0.8.2.
LeportdestinationestleportTCP20affectlaconnexiondedonnesFTP.
Letraficestinitiparleserveur.Letoutpremiersegmentnestpastestparcetteliste.Touslessegments
de cette connexion, lorsquils sont issus du client, ont le drapeau ACK positionn. Il est donc possible de
resserrerunpeupluslefiltreenajoutantlemotclestablished.
Permettreletraficdecesdeuxconnexionsncessitedecrerlesdeuxlmentssuivants:
- 9-
Unedernirecommandeshowpermetdesassurerqueleslmentsonttoustsollicitspendantlestests:
R100k#sh ip access-list 100
Extended IP access list 100
10 permit tcp 10.0.10.0 0.0.0.255
20 permit udp 10.0.10.0 0.0.0.255
30 permit tcp 10.0.10.0 0.0.0.255
40 permit tcp 10.0.10.0 0.0.0.255
50 permit tcp 10.0.10.0 0.0.0.255
60 permit tcp 10.0.10.0 0.0.0.255
matches)
70 deny ip any any (30 matches)
R100k#
any eq www (6
any eq domain
host 10.0.8.3
host 10.0.8.3
host 10.0.8.2
host 10.0.8.2
matches)
(9 matches)
eq pop3 (14 matches)
eqsmtp (13 matches)
eq ftp (20 matches)
eq ftp-data established (3
Cetatelierestmaintenanttermin.
- 10 -
5.ExerciceListedaccsdate
Proposez une configuration qui cre une liste daccs NOSURFING et dont lobjet est de refuser laccs au WEB
chaquejourdelasemainede9h17hmaisgalementderefusertouttraficTelnetchaquejourdelasemainede
17h9hlelendemain.
R100m(config)#time-range NOSURF
R100m(config-time-range)#periodic weekdays 9:00 to 17:00
R100m(config-time-range)#exit
R100m(config)#time-range NOTELNET
R100m(config-time-range)#periodic weekdays 17:00 to 9:00
Ending time must be greater than starting time
R100m(config-time-range)#periodic weekdays 0:00 to 9:00
R100m(config-time-range)#periodic weekdays 17:00 to 23:59
R100m(config-time-range)#exit
R100m(config)#ip access-list extended NOSURFING
R100m(config-ext-nacl)#deny tcp any anyeq www time-range NOSURF
R100m(config-ext-nacl)#deny tcp any anyeq telnet time-range NOTELNET
R100m(config-ext-nacl)#permit ip any any
R100m(config-ext-nacl)#end
R100m#
Observezquilafallucrerlaplagedetempsde17h9hlelendemainendeuxcommandesperiodiccarlaseconde
occurrencedoitfourniruneheurepostrieurecelledelapremireoccurrence.
Cetexerciceesttermin.VousvenezduchapitreGestiondetraficparlistedaccs(ACL).
6.AtelierListedaccsrflexive
Prrequis:mettreenplaceleserviceserveurTelnetsurlamachineVMSRV02.SilsagitdunserveurWindows2000
commeprconispournosmisesensituation,ilsuffitdactiverleservice:
EffectuezunclicdroitsurPostedeTravailGrer.
Dveloppezlen udServicesetapplicationsServices.
EffectuezunclicdroitsurleserviceTelnetpuisDmarrer.
Objectif:
Sur R120m, compltez les listes daccs internal_ACL et external_ACL afin de mettre en place une liste
daccsrflexivedontlobjetestdepermettreltablissementdunesessionTelnetversunserveurexterne
initieparunutilisateurinterne.
tape1:compltezlalisteinterne:
- 11 -
tape2:compltezlalisteexterne:
tape3:observezlalisterflexive.
Sur la station VMWKS01, depuis une invite de commandes, tentez une ouverture de session Telnet vers
10.0.12.12:
C:\>telnet 10.0.12.12
Microsoft (R) Windows 2000 (TM) version 5.00 (numro 2195)
Client Telnet Microsoft
Client Telnet numro 5.00.99206.1
Le caractre dchappement est CTRL+$
Vous allez envoyer votre mot de passe vers un ordinateur distant dans la zone In
ternet. Cette opration nest peut-tre pas sre. Voulez-vous tout de mme lenv
oyer (o/n) :
Inutiledallerplusloin,revenezlasessionconsoleouvertesurR120m,vousavez30secondespourapercevoir
llmenttemporairequiautoriselefluxentrantTelnet:
R120m#sh ip access-lists
Reflexive IP access list DNS_ONLY_RACL
Reflexive IP access list TELNET_ONLY_RACL
permit tcp host 10.0.12.12 eq telnet host 10.0.10.254 eq 1129 (8 matches) (time left
24)
Reflexive IP access list WEB_ONLY_RACL
Extended IP access list external_ACL
10 evaluate WEB_ONLY_RACL
- 12 -
20 evaluate TELNET_ONLY_RACL
30 evaluate DNS_ONLY_RACL
Extended IP access list internal_ACL
10 permit tcp any anyeq www reflect WEB_ONLY_RACL
20 permit tcp any anyeq telnet reflect TELNET_ONLY_RACL (16 matches)
30 permit udp any anyeqdomain reflect DNS_ONLY_RACL (12 matches)
40 permit ip 10.0.8.0 0.0.0.255 10.0.10.0 0.0.0.255 (9 matches)
50 deny ip any any (1023 matches)
R120m#
Cetatelierestmaintenanttermin.VousvenezduchapitreGestiondetraficparlistedaccs(ACL).
- 13 -
Liaisonssriesynchrone/asynchrone
LajonctionRS 232estentraindedisparatredesinterfacesduPC,lebusUSBestpassparl.Lesnotionsquisuivent
sontdoncencoursdobsolescence.Ilsubsistepourtantunejonctionsurtoutquipementrseauquipermetdeffectuer
la premire configuration ou qui permet de reprendre la main dans les cas de dysfonctionnements les plus graves.
Hlas,pourenprofiter,ilvadornavantfalloirsquiperdunconvertisseurUSB/RS 232.
1.Contexte
Linterface entre ETTD et ETCD, appele jonction, doit permettre la gestion par lETTD du droulement dune
communication.Lasquencecomprendgnralementquatrephases:
1.tablissementduncircuitentrelesdeuxcorrespondants
Silsagitduneligneloue,cettephaseselimitelaconnexion.
Silsagitdunrseaucommut(RTCouRNIS),cettephasecomprendlanumrotationsuiviedelaconnexion.
2.Initialisationdelatransmission
Dans le cas dune ligne analogique, elle permet aux modems de sadapter la ligne elle comprend alors
lmission en ligne de la porteuse, sa dtection lautre extrmit (CAG : contrle automatique de gain,
apprentissagedelgaliseuretdelannuleurdchoautoadaptatifs),lareconstitutiondelaporteuselocale...
3.Transmission
Phasedurantlaquellelesinformationsutilessonteffectivementchanges.
4.Librationdelaliaison
Cettephaseterminelacommunicationunefoislatransmissionacheveetlibrelecircuit.
CetenchanementncessiteundialogueentrelETTD(donnelesordres)etlETCD(excuteetrendcompte),dialogue
oprvialajonction.Lastandardisationdelajonctionrecouvretroisfamillesdecaractristiques:
1.Lescaractristiquesfonctionnellesdfinissentlanatureetlafonctiondesinformationschanges.
2.Lescaractristiqueslectriquesconcernentlesspcifications(tension,courant,impdance...)descircuitsmetteurs
etrcepteursdesignauxainsiquelestolrancesassocies.
3.Lescaractristiquesmcaniquesdfinissentleconnecteurutilisainsiquelaffectationdessignauxauxbrochesde
laprise.
Les organismes de normalisation impliqus dans la standardisation de la jonction sont lEIA (Electronic Industrie
Association), lUITT et lISO. LEIA fournit des recommandations RS (Recommended Standard) traitant des trois
aspects, lectriques, fonctionnels et mcaniques, lUITT offre des recommandations distinctes pour les aspects
lectriques et fonctionnels, lISO quant elle, ne traite que de laspect mcanique. Les recommandations de lUITT
relatives aux jonctions se trouvent dans la srie V (transmission de donnes sur lignes tlphoniques) ou dans la
srieX(rseauxpublicsdedonnes).
Le tableau cidessous distingue le partage des caractristiques pour la jonction la plus ancienne et la plus utilise,
cestdirelajonctionRS 232(pourlEIA)ouV24/V28(pourlUIT):
EIA
UITT
ISO
- 1-
lectrique
RS232D
V28
Fonctionnel
cration:1962
V24
Mcanique
RS232C:1969
DP2110
dernirervision:1987
2.Transmissionsynchrone
Louvrage Cisco Notions de base sur les rseaux dans la collection Certifications aux Editions ENI introduisait la
notion de signal numrique : le signal numrique qui intresse lexpert rseau est un signal synchrone, cestdire
dontlesintervallesdetempsallouschaquesymbolesontgaux(aumoinsductdelmetteur)etcorrespondent
auxpriodessuccessivesdunsignalpriodiquefourniparlhorlogeoulabasedetemps:
Cecirevientdirequelasuitenumriqueatcomposeductmetteurensquenantlessymboleslaidede
lhorloge. Le signal numrique ainsi cr est composite : certes il contient linformation mais il contient galement
lhorloge dans ses transitions. Lespace qui spare deux transitions est toujours multiple de la priode de cette
horloge.Ductdurcepteur,lefluxnumriquearrivesanstreaccompagndusignalHorloge.Etpourtant,ceflux
nestcomprhensiblequconditiondedisposerdecettebasedetempsafindelireltatdusymboleaumoment
leplusfavorablecestdireaumilieudunepriode.
Lapremiretchedurcepteurnestdoncpasdelirelefluxmaisbiendereconstituerlabasedetempsquiaservi
lmetteurpourcadencerceflux.Onparledextractiondhorlogeetilvadesoiquelecircuitdextractionnefonctionne
convenablementquesilefluxdesymbolescomportesuffisammentdetransitions.Ductmetteur,lesoucidoitdonc
tredecomposerunfluxnumriqueprsentantdestransitionsrpartiesdefaonrgulire.
Dansunetransmissionsynchrone,letempsquisparedeuxtransitionsquelconquesesttoujoursmultipledu
tempslmentaire.
3.Transmissionasynchrone
Dansunetransmissionasynchrone,lmetteurtransmetunesuccessiondetrainssynchrones,chaquetrainreprsente
uncaractre,lespacequisparedeuxcaractresestquelconque:
- 2-
Danscesconditions,commentlercepteurparvientilreconstituerlescaractres?
Ilfautbiensrquelercepteurchantillonnelesbitsaumomentleplusfavorable,cestdireaumilieudechaque
tempsbit.Maispluttquedutiliserunehorlogeextraitedufluxreu,lercepteurutiliseunehorlogelocale.Lideest
de resynchroniser cette horloge au dbut de chaque train synchrone puis desprer que sur le dernier bit du train,
cette horloge ne soit pas suffisamment dcale pour provoquer une erreur. Pour ce faire, le premier bit dun train
synchrone nest pas un bit dinformation, il sagit du bit de START. Ce bit est systmatiquement prcd dun tat
repos et cest ce passage de ltatreposltat travail que recherche en permanence le rcepteur. Ds que cette
transition se prsente, le rcepteur resynchronise son horloge puis chantillonne chaque bit du caractre reu. Afin
dtre sr que le bit de START est effectivement prcd par un tat repos, lmetteur ajoute au minimum un bit
ltatreposlafindetoutcaractre(parfoisunbitetdemivoiredeuxbits).CeoucesbitssontappelsbitsdeSTOP.
Il faut bien comprendre que ce ne sont pas les bits de START et STOP qui sont importants mais le fait que leur
succession entrane une transition toujours dans le mme sens repos travail dtectable par le rcepteur et
comprisecommeledbutduncaractre.
Hlas, cette transition, si elle permet bien au rcepteur de dtecter le dbut dun caractre, ne lui permet pas de
prjugerquelestledbit,cestdirequelleestlhorlogechoisieparlmetteur.Delammefaon,chaquecaractre
estexprimsuruncertainnombredebits,gnralement7ou8,dansuncodequileplussouventestlASCIImais
dontlechoixductmetteurdoitgalementtreconnuparlercepteur.Enfin,lesbitsdecaractrepeuventtre
suivis ou pas par un bit de parit dans le but de constituer un premier niveau de dtection derreur. Et quand on
choisitdelemettreen uvre,ilfautencorechoisirparmiparitpaire(lebitdeparitadoptelavaleurquiconvientde
faon ce que le nombre de bits 1 dans le caractre soit pair) ou impaire (le bit de parit adopte la valeur qui
convientdefaoncequelenombredebits1danslecaractresoitimpair).Enfinal,silatransitionrepostravail
dune transmission asynchrone permet de se passer dune coteuse extraction dhorloge, elle impose de rgler le
rcepteurlidentiqueavecleschoixoprsctmetteur.
Exemplederglage:
9600S81,codeASCII
Ilestfrquentderencontrercettefaonabrgedenoterlesrglagesduneliaisonasynchrone.
9600rappelleledbitchoisi,soit9600bits/s.Lesdbitspossiblesappartiennentlensemble{150,300,600,
1200, 2400, 4800, 9600, 14400, 19200, 38400, 57600, 115200}. Sans rapport avec le choix dune
transmission asynchrone, le dbit maximal prvu par le standard RS 232 est 19200 bps. Il est rare quune
jonctionsupportedesdbitsaudelde115200bps.
Lalettre Srappellelechoixoprpourlebitdeparit,danslecasprsentSansparit .Lesautres
choixsontPpourparitpaire,Ipourparitimpaire,forc0,forc1.Enanglais,lestroislettresS
,PetIdeviennentrespectivementNpourNoparity,EpourEvenquisignifiepairet
OpourOddquisignifieimpair.UnmoyenmnmotechniqueconsisteobserverqueEvencomporte
quatrelettrestandisqueOddnencomportequetrois.Ltatforc0estnotspacetandisque
ltatforc 1est notmark. Lauteurvouslivrecetautremoyenmnmotechnique: Uninvitde
marque.
8signifiequechaquecaractreestexprimsur8bits.Leschoixpossiblessont7et8.
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
1rappelleenfindenombredebitsdeSTOPquelmetteurdoitajouterlafindechaquecaractremis.
Leschoixpossiblessont1,1,5ou2bitsdeSTOP.
Sil faut comparer transmission synchrone et asynchrone, lefficacit est lapanage de la liaison synchrone. En effet,
chaquecaractredunetransmissionasynchroneestencadrpardeuxbitsquinesontpasdesbitsdinformationet
cestainsi20%(8bitsdedonne,unSTART,unSTOP,8bitsutilessur10)voire30 %(7bitsdedonne,unSTART,un
STOP)delabandepassanteconsommepourassurerlasynchronisationbit.
4.Aspectsfonctionnels,larecommandationV24
LaphilosophiequisoustendlarecommandationV24consistematrialiserchaquecommandeousignalisationparun
circuitphysiquedistinct.Cescircuitsserpartissentendeuxgroupes:
Legroupedelasrie100concernelutilisationgnraleetcomporte39circuits.
Legroupedelasrie200rservlappelautomatiqueencomporte13.
Les chiffres du numro du correspondant taient successivement prsents en BCD sur les circuits 206 209. Il
sagissaitdoncdunetransmissionenmodeparallle.Lasrieestdevenuedsutedsquunconstructeurproposa
unmoyenastucieuxdenumroterenutilisantlescircuitsdelasrie100(HAYESetsescommandesAT).
Restentlescircuitsdelasrie100.Tousvhiculentdesinformationsbinaires.Enpratique,unepartieseulementdes
circuitsdinterfacesfigurantdanslarecommandationV24estutiliselafois.Onpeutclasserlescircuitsdemultiples
manires:
1.Selonlaphasedecommunicationoilssontutiliss:
tablissementdelaliaison,initialisation,transmission,libration.
2.Selonlescatgoriessuivantes:
Donnes,horloges,commandes,masses.
Parmiles39circuitsdelasrie100,matriserlajonctionncessitedeconnatrelusagedesdouzecircuitsdcritsci
aprs.
a.Lesdouzecircuitsessentiels
Lafigurecidessousreprsenteleschmasynoptiquedunmodem:
- 4-
ImaginonsquelETTDrelilETCDcidessusdsiretablirunecommunicationavecuncorrespondantetobservons
lesvnementsdurantlesquatrephases:tablissementinitialisation,transmissionetlibration.
Lesdeuxcircuits108et107sontutilisslorsdelaphasedtablissementdelaliaison:
1.LeterminalfaitmonterCPD(Connecterpostededonnes,cequisignifielittralementconnectezlemodemsurla
ligne).
2.LETCDrpondparlecircuit107(PDP,PostedeDonnesPrt)quilaprislaligne(lindicationcontrairesignifieque
laligneestconnecteaupostetlphonique).
La phase tablissement est maintenant termine (on passe sous silence la numrotation sur RTC). La phase
initialisationpeutcommencer.
3. Pour ce faire, le terminal fait monter le circuit 105 (DPE : Demande Pour Emettre)... Ceci oblige le modem se
mettre en position mission puis transmettre sa porteuse afin que le modem distant puisse entamer sa phase
dinitialisation (on suppose que lui aussi a termin la phase tablissement et que le circuit est tabli). Le cas
chant,outrelaporteuse,lemodemmetlasquencedesignauxdinitialisationncessairelasynchronisationdu
modemdistant.Leffetleplusvisibledelenvoidelaporteusesurlemodemdistant,lesymptmepourlutilisateur
ctdistant,estlamonteducircuit109(DP:DtectiondePorteuse).
4. La commande 105 (DPE) provoque galement le lancement dune temporisation sur le modem local. Cette
temporisation,appeleDlai DPE/PAEdoittresuffisantepourquelemodemdistantpuisseacheversaphase
dinitialisationavantderecevoirlesdonnesutilesproprementdites.
5.Pourquecetteconditionsoitralise,leterminallocalnepeutmettresesdonnesquaprslamonteducircuit
106(PAE:PrtAEmettre),vnementquiseproduitlorsquelatemporisationestacheve...
Laphasedinitialisationestmaintenanttermineetlaphasedetransmissionpeutdmarrer.
Leterminalmetsesdonnesparlecircuit103(ED:EmissiondeDonnes).Ilsagitdunetransmissionsrie.Une
transmissionsriepeutsoprersuivantdeuxmodesdiffrents:
modedetransmissionsynchrone
modedetransmissionasynchrone
Rglonsdabordlecasleplussimplepourcequiestdelajonction,cestdirelemodedetransmissionasynchrone.
Danscemode,chaquecaractreestsquencindividuellementetundispositifquireoituncaractreasynchrone
resynchronisesonhorlogelaidedubitdeSTART.Danscesconditions,lecircuit103(ED)sesuffitluimmeetles
circuits113(HET)et114(HEM)restentinutiliss.
Danslemodedetransmissionsynchrone,lesdonnesnesontcomprhensiblesqulaidedelhorlogequiaservi
ENI Editions - All rigths reserved - Noba Mafiza
- 5-
les squencer. Le technicien qui configure une liaison doit souvent oprer un choix : qui confier la fourniture de
lhorloge?
au terminal : dans ce cas la jonction doit comporter le circuit 113 (HET : Horloge Emission Terminal). Le
terminalsquencelesdonnesmiseslaidedesonhorlogeinterneettransmetcesdonnessurlecircuit
103ainsiquelhorlogequipermettradelesexploitersurlecircuit113.Lemodemreoitlesdonnessurle
circuit103etlescomprendlaidedelhorlogequilreoitsurlecircuit113.Enfinal,danscettesituation,le
terminalatconfigurenhorlogeinternetandisquelemodematconfigurenhorlogeexterne.
aumodem:danscecas,lajonctiondoitcomporterlecircuit114(HEM:HorlogeEmissionModem).Leterminal
squence les donnes mises laide de lhorloge modem quil reoit sur le circuit 114 et transmet ces
donnes sur le circuit 103. Le modem reoit les donnes sur le circuit 103 et les comprend laide de sa
propre horloge. En final, dans cette situation, le terminal a t configur en horloge externe tandis que le
modematconfigurenhorlogeinterne.
Ainsidanslemodesynchrone,lecircuit103nestcomprhensiblequlaideducircuit113ouducircuit114selon
laconfigurationquiatchoisie.Cestpourquoisurlesfiguresreprsentantlajonction,lestroiscircuits103,113et
114sontvoisins.
Il faut noter que le mode de transmission synchrone ne concerne pas le PC car les ports srie dont il dispose
nativementsontdesportsasynchrones(moinsvidemmentdavoirquiplePCdecartesspcialessynchrones).
Du ct distant, les donnes reues sont mises disposition du terminal sur le circuit 104 (RD : Rception des
Donnes).nouveauseposelaquestion:modesynchroneouasynchrone?
Enmodeasynchrone,lecircuit104sesuffitluimme.Enmodesynchrone,lunedestchesdumodemconsiste
extraire du signal reu en ligne, lhorloge qui a servi squencer les donnes du ct mission. Cette horloge
extraiteestmisedispositionduterminaldistantsurlecircuit115(HRM:HorlogeRceptionModem)delajonction
distante. Ainsi dans le mode synchrone, le circuit 104 nest comprhensible qu laide du circuit 115. Cest
pourquoisurlesfiguresreprsentantlajonction,lesdeuxcircuits104et115sontvoisins.
Pourentermineraveclescircuits103et104,notonsquendehorsdespriodesdetransmission,cescircuitssont
maintenusltat1(ltat1estdoncltatderepos).
Imaginonsquelaphasedetransmissionsoitacheve.Deuxcassontenvisager:
1.Ilsagitduntat jenairiendirepourlemoment.LETTDpeutalorsfaireretomberlecircuit105(DPE),ce
nestpassystmatique.Ilnyesteneffetobligquedanslecasolesupportphysiquedelatransmission(laligne)
estpartagparplusieursETTD.Danscecas,faireretomberlecircuit105quivautlaisserlaparoleauxautres,
cestdirepermettreunautreETTDquidsiretransmettredelefaireaprsavoirmontsonproprecircuit105.
DanslecascontraireolesupportdetransmissionestlusageexclusifdunETTD,celuicipeutlaisserlecircuit105
mont.Ainsi,chaquefoisquilsouhaitetransmettre,ilpeutlefairesansattendrelcoulementdelatemporisation
105/106(lecircuit105restantmont,lecircuit106(PAE)lerestegalement).
2.Ilsagitduntatdfinitifdefindetransmission.LETTDfaitalorsretomberlescircuits105et108,cequiquivaut
raccrocher.LaligneestalorslibreetlesETCDsontdansuntatderepos.
b.Affectationdesbroches
- 6-
Circuit
UITT
Nbroche
(25pts)
101
102
103
Nbroche(9
pts)
AbrviationUITT
AbrviationEIA
ETTD
ETCD
TP
PG
TS
SG
ED
TD(TransmittedData)
104
RD
RD(ReceivedData)
105
DPE
RTS(RequestToSend)
106
PAE
CTS(ClearToSend)
107
PDP
DSR(DataSetReady)
108/1
20
CPD
DTR(DTEReady)
108/2
20
TDP
DTR
109
DP
CD
110
21
QS
SQD
111
23
SDT/SDM
RS
113
24
HET
TSTE(TransmitterSignal
TimingDTESource)
114
15
HEM
TST(TransmitterSignal
TimingDCESource)
115
17
HRM
RCT(ReceiverSignal
TimingDCESource)
116/1
14
Passageensecours(LSsurRC)provoquparle
terminal
116/2
14
Passageensecours(LSsurRC)linitiativedu
modem
117
16
Indicateurdepassageensecours
125
22
140
21
Commandedeboucle2distante
141
18
Commandedeboucle3
142
25
IA
RI
IT
TI
Le connecteur normalement utilis pour une interconnexion de type V28 correspond la norme ISO 2110,
connecteurcourammentdsignparCANNON25pointsouSUBD25points(SUB:subminiature,Dparceque
laformeduconnecteurrappellelalettreD)ouDB25,lalettreBrappelantlatailleduconnecteur.
La firme IBM na pas intgr la totalit de la spcification V24 sur ses PC. Les ports srie de cette machine ne
permettaientlacommunicationquenmodeasynchrone.Cestpourquoilescircuitsdhorloge(HEM,HET,HRM)taient
inutiles et il fut possible dintgrerlensemble des circuits restants sur un port 9 broches, le connecteur adopt
tantalorsleCANNON9pointsouDE9.
Laseulecertitudeestlasuivante:
SurlamachinePCquiendisposeencore,leportsrieestidentifiableparsonconnecteurDE9mle.
5.Aspectslectriques,larecommandationV28
Le fonctionnement lectrique prvu par V28 est rudimentaire. Linterface est asymtrique (unbalanced) avec un
conducteur par circuit et un retour commun pour tous les signaux quelle que soit leur direction ETTD vers ETCD ou
ETCDversETTD.Deplus,leslignesnesontpasadaptesenimpdance.Enfin,chaquecircuitchemineauvoisinagede
touslesautrescircuitsquicomposentlajonctionetladiaphonieestimportante.Defait,lesperformancessonttrs
limiteslafoisendbit(20Kbits/s)etdistance(15mtres):
- 7-
a.PerformancesdemandeslmetteurV28
Courtcircuitdesortie.
Lasortiedoitpouvoirsupporteruncourtcircuitla
massedelalimentation,outoutconducteurdu
cbledinterface.Lecourantdesortiedoitrester
infrieur500mA.
Rsistancedelasortieenlabsencedalimentation.
> 300
Tensiondesortiemaximaleencircuitouvert.
Tensiondecommandedelasortiepourunechargede
30007000.
25V
> 5 V et < 15 V
Vitessedetransitiondesortie(slewrate).
Tempsdemonteetdedescentedelasortiedansles
limitesdetransitionde3Vet3V.
30V/s
Laplusfaibledesdeuxvaleurssuivantes:
1 ms ou 3 %deladuredutempsbit.
Vitessemaximaledesdonnes.
20000bits/s
b.PerformancesdemandesaurcepteurV28
Rsistancedentre.
Compriseentre3000et7000
Chargecapacitivelentre,cblecompris.
Limitesdelatensiondentre.
< 2500pF
25V
Tensiondentreencircuitouvert.
< 2V
Vitessemaximaledesdonnes.
20000bits/s
c.V28:cequilfautenretenir
Ladministrateur peut ajouter le tableau suivant au prcieux calepin dans lequel il consigne les savoirfaire
importants:
- 8-
Silescommandessontexprimesenlogiquepositive(un+VcorrespondunecommandeON),lesdonneselles,
sontexprimesenlogiquengative(untat1estexprimlaidedunetensionV).
6.UnexempledetransmissionasynchroneRS 232
Un oscilloscope numrique mmoire a t plac sur lun des deux circuits ED ou RD. La squence capture
correspondaucaractreA.Lmetteurestrglsur110P71(110bitsparseconde,caractreexprimsur7bits,
paritpaire,1bitdeSTOP).Pourmmoire,lecodeASCIIducaractre Aest0x41,soitlasquencebinaire100
0001.
7.ContrledefluxviauneliaisonsrieRS 232
ENI Editions - All rigths reserved - Noba Mafiza
- 9-
a.Contrledefluxmatriel
Lexemple de limprimante se prte particulirement bien lexplication qui suit mais tout priphrique peut tre
concern ds lors quil dispose dun tampon de mmoire susceptible de se remplir plus vite quil ne se vide.
ImaginonsdoncuneimprimanterelieunPCviaunportsrieasynchrone.Premierproblme:atonaffaireun
ETTDouunETCD?Siladocumentationnapaspermisdeledcouvrir,ilrestelasolutiondeconnecterauportsrie
delimprimanteunejonctionclatepuisdevrifierquelestlecircuitgnrateur(ausenslectrique)parmilesdeux
circuits ED et RD. Si le voyant de test sallume sur le circuit ED, alors il doit rester teint sur le circuit RD et le
priphriqueestETTD.SicestlevoyantdetestassociaucircuitRDquisillumine,celuiassociaucircuitEDdoit
resterteintetlepriphriquesecomportecommeunETCDsurlajonction.
Danslexempleobjetdelillustrationcidessus,lesdonnesimprimerparviennentvialecircuitRDquiestdoncune
entrepourlepriphrique(unrcepteurausenslectrique).LimprimanteestETTDsursajonction.
Une imprimante est ncessairement un priphrique lent, ce qui signifie que le dbit des donnes du PC vers le
priphriquedimpressionpeuttresuprieur,voiretrssuprieuraudbitdesdonnesverslattedimpression.
Cestpourquoitouteimprimanteestdoteduntampondemmoirequireoitenentrelesdonnesimprimeret
envoieensortielesdonnesverslattedimpression.Letamponpeutcontenir,selonlescapacitsdelimprimante,
plusieurslignes,plusieurspagesvoireplusieursdocumentsenattentedimpression.Quoiquilensoit,lacapacitde
cetamponestfinieetpasquestiondadmettre quilseremplisse100 %puisquecelaentraneraitdescaractres
perdusetuneimpressionerrone.Lasolutionconsistemettreen uvreuncontrledefluxcestdirelemoyen
pourlepuits(danslecasprsentletampon)dasservirlasource(danslecasprsentlePC).Parvenuparexemple
80 % du remplissage maximal, le tampon demande lmetteur de cesser son mission. Le tampon peut alors se
vider vers la tte dimpression. Parvenu 20 % de remplissage, le tampon fait savoir lmetteur que lmission
peutreprendre.
Deuxchoixsoffrentladministrateurchargdemettreenplaceuntelcontrledeflux:lecontrledefluxmatriel
etlecontrledefluxlogiciel.Aveclecontrledefluxmatriel,lideestdersumerltat de limprimanteprteou
pas prte, cestdoncuntatlogique,binaire,surlundescircuitsdelajonction.Ordinairement,danslecasdune
imprimante quipe dune jonction type ETTD, on confie ce rle au circuit DPE (RTS, broche 4 sur le DB25) ou au
circuit CDP (DTR, broche 20 sur le DB25). Quelques constructeurs vont jusqu proposer des imprimantes pour
lesquelleslechoixdececircuitfaitlobjetduneconfiguration.Siladministrateurignorequelestleboncircuit,illui
resteledcouvrirlaidedunejonctionclateplacesurleportsriedelimprimante.Ensuite,chaqueappuisur
leboutonOnLine/OffLinedelimprimanteprovoquelechangementdtatduvoyantassociaucircuitrecherch.
Unefoislecircuitconnu,ilrestelerelierlundescircuitsdelajonctionduPC,circuitauquelestsensiblele
logiciel charg denvoyer les documents imprimer sur le port srie. La jonction du PC est ETTD, le circuit est
ncessairementuneentre,cepeuttrelecircuitPAE(CTS,broche5surleDB25)oulecircuitPDP(DSR,broche6
surleDB25).
Enfinal,laliaisonquedoitconstruireladministrateurpourraitressemblerlasuivante:
- 10 -
Bien sr, les appellations des circuits DPE/PAE (RTS/CTS) ou CPD/PDP (DTR/DSR) nont de signification que dans le
contexte dune transmission via modems et il faut se souvenir quen fait le circuit tabli de la broche 20 ct
imprimantelabroche5ctPCreflteltatdelimprimanteprteoupasimprimerlesdonnes.
b.Contrledefluxlogiciel
- 11 -
Vousaveztrouvlecontrledefluxmatrielparticulirementindigeste!Alorslecontrledefluxlogicieldevraitvous
convenir.Pluttquederechercheravecdifficultsquelestlecircuitquireprsenteleremplissagedutamponct
rcepteurpuisquelestlecircuitquipermettradasservirlmetteur,ilsagitdeconstruireuneliaisonbidirectionnelle
simultane(fullduplex)puisdeprovoquerlenvoidecaractresdecommandequitraduirontltatdelimprimante.
On se souvient (voir table ASCII ciaprs) que les deux premires colonnes de la table du code ASCII sont des
caractresdecontrle.Cescaractressontditsnonvisualisablescarlorsquilssontreusparunquipement,celuici
nelesaffichepasmaislesinterprtecommedescommandes.
Parmices32caractres,lescaractresDC1DC4(DC = Device Control)sontddislagestiondepriphriques
connects. Il a t dcid daffecter deux de ces caractres au contrle de flux logiciel, ce sont le caractre DC1
(0x11)devenuXON(TransmitON=Reprendreleflux)etlecaractreDC3(0x13)devenuXOFF(TransmitOff=
Suspendre le flux). Parvenue par exemple 80 % de remplissage de son tampon, limprimante gnre un ou
plusieurscaractresXOFF.Lelogicielmetteurcesselenvoidedonnesimprimercequipermetautampondese
vider vers la tte dimpression. Parvenue 20 % de remplissage, limprimante gnre un ou plusieurs caractres
XONquiserontinterprtsparlelogicielmetteurcommeuneautorisationdmettrenouveau.
Lasimplicitducordonraliserentrelesdeuxquipementssepassedecommentaire:
- 12 -
c.Comparaisondescontrlesdefluxmatrieletlogiciel
Avantages
Inconvnients
Contrledeflux
matriel
Lefournisseurdedonnesestinformen
permanencedeltatdelimprimante.
Lajonctionraliserestpluscomplexeet
pastoujourssymtrique(onnepeutpas
retournerlecordonralispourfairela
jonctionentrelesdeuxquipements).
Contrledeflux
logiciel
Lefournisseurdedonnesnestinform
quedeschangementsdtatde
limprimante.Celasupposequil
entretienneluimmeunemmoire
refltantcettatetquilsoitattentif
Lajonctionraliseresttoujourssimple
etsymtrique(onpeutretournerlecordon
ralispourfairelajonctionentrelesdeux
quipements).
- 13 -
lorsquilreoitlinformationdechangement
dtat.
8.LeportsrieRS 232etlePC
Prsenten1981,lePCdIBMestdotdunportsrieasynchrone.IBMchoisitlestandardRS 232etledbarrasse
descircuitsdhorlogencessaireslaralisationdunetransmissionsynchrone.Jusqulaprsentationdesesmicro
ordinateurs PS/2, le seul moyen de communication bidirectionnel avec le monde extrieur intgr dans le PC et
reconnuofficiellementparIBMestceportdecommunicationdedonnesasynchrone.lorigine,leportsrieestpar
consquentutilispourdespriphriquesquidoiventcommuniquerenmodebidirectionnelaveclordinateur.Cestle
caspourdesquipementsaussidiversque:
lesmodems
lessouris
lesscanners
lestablettesnumriser
lestraceurs
lesimprimantesquandellesnesontpasplacesproximitimmdiatedelordinateurhte,etc.
Parcequesurlesdouzecircuitsindispensables,ilnenrestequeneufunefoistslestroiscircuitsdhorloge,IBMa
pu,en1983,prsentersonPCATdotdunportsrieDE9enlieuetplaceduDB25delanormeRS 232,privilgiant
ainsi la compacit. Beaucoup dquipementsrseauxsontgalementdotsdunportsriedestinpermettreleur
configurationinitiale:commutateurs,routeurs
Le circuit lectronique charg de la conversion parallle srie est appel UART (Universal Asynchronous
Receiver/Transmitter). IBM avait choisi dquiper son PC/XT de la puce UART 8250. Ce circuit tait loin de jouir dune
hauteconsidration.Eneffet,lapucetaitdpourvuedetampondmission/rceptionetsavraitdonctrslente.De
plus, il fallait dplorer plusieurs bogues mineurs dont un qui fut corrig par le BIOS du PC/XT. Premire machine 16
bits,lePC/ATtaitdotduncircuitUART16450:cecircuitdisposaitdun tampon dmission/rceptionde1octetet
les bogues du 8250 taient corrigs. partir du PS/2, IBM choisit la puce UART 16550, beaucoup plus rapide car
quipeduntamponFIFO(FirstInFirstOutsoitpremierentrpremiersorti)de16caractres.Cestcecircuit
quiapermisdatteindreledbit115200bits/ssurleportsrie(surdesdistancescourtesbiensr).
LescartesmresdesPCsontdornavantquipesdunepucedesuperE/S(Entres/Sorties).Cettepuceintgre
des circuits qui se prsentaient auparavant sous forme de cartes dextension distinctes. Par exemple, la puce de
super E/S rfrence FDC37C777 de la firme SMC intgre un contrleur de disquettes, deux contrleurs de ports
sriedetypeNS16550A,uncontrleurdeportparallle,uncontrleurdeclavieretdesouris.
VoiciunexempledarchitecturedePCquidatedjmaislimportantestailleurs:
- 14 -
- 15 -
LatableASCII
Latabledbutepar32caractresdecontrle.Cescaractressontditsnonvisualisablescarlorsquilssontreusparun
quipement,celuicinelesaffichepasmaislesinterprtecommedescommandes.
Sur les terminaux compatibles tltype (TTY), il est possible dmettre un caractre des colonnes 0 et 1 par appui
simultandelatouche[Ctrl]etdelatouchecorrespondantaucaractredemmerangdanslescolonnes4et5.Ce
querappellelacolonnekeydutableaucidessousquifaitrfrencelacombinaisondetouchesadquate.
La combinaison 000 0000 nest pas associe un caractre ni une commande et na donc pas de signification
particulire.Ainsi,unsystmeenrceptionconnecteuneligneaureposnerisquepasdinterprterles 0 non
significatifs.
LescaractresTC1TC10(TC=TransmissionControl)onttpendantuntempsutilissafindedfinirdesprotocoles
decommunication.Certainscaractres,telsSTXetETX,servaientdedlimiteursauxblocsdedonnes,dautres,tels
ENQ ou ACK, servaient dans la procdure de dialogue. On peut citer le protocole BSC dIBM (Binary Synchronous
Communications)annoncen1967.Lutilisationdecaractresdecommandepourcrerunprotocolegnredeuxtypes
de problmes : 1> le protocole est li au code, on ne peut faire voluer lun sans faire voluer lautre 2> si les
donnes comprises entre deux caractres dencadrement comportent des squences binaires susceptibles dtre
confondues avec des caractres de commande, il faudra faire prcder ces squences par des caractres
dchappement.Cestcequonappelleleproblmedelatransparenceaucode.
Les caractres FE1 FE5 (FE = Format Effector) sont ddis la mise en page de linformation, quil sagisse dune
imprimante ou dun cran de terminal et comprennent le retour chariot, le changement de ligne, les tabulations
horizontaleetverticale,lesautdepage.
Les caractres DC1 DC4 (DC = Device Control) sont ddis la gestion de priphriques connects. Deux de ces
caractressontclbrespuisquilssontutilissdanslecontrledefluxlogiciel,cesontlescaractresXON(=Reprendre
leflux)etXOFF(=Suspendreleflux).
LescaractresIS1IS4(IS=InformationSeparators)permettentdehirarchiserlinformationenfichiers,articles,sous
articles
Enfin,ilrestelescaractresinclassables,tellecaractreBELquientranelmissiondunsignalaudibleparlquipement
quilereoit.
Hex
Dec
Key
Name
Description
00
^@
NUL
Null
01
^A
TC1/SOH
StartofHeader
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
- 2-
02
^B
TC2/STX
StartofText
03
^C
TC3/ETX
EndofText
04
^D
TC4/EOT
EndofTransmission
05
^E
TC5/ENQ
Enquiry
06
^F
TC6/ACK
Acknowledge
07
^G
BEL
Bell
08
^H
FE0/BS
Backspace
09
^I
FE1/HT
HorizontalTab
0A
10
^J
FE2/LFouNL
LineFeedouNewLine*
0B
11
^K
FE3/VT
VerticalTab
0C
12
^L
FE4/FF
FormFeed
0D
13
^M
FE5/CR
CarriageReturn
0E
14
^N
SO
ShiftOut
0F
15
^O
SI
ShiftIn
10
16
^P
TC7/DLE
DataLinkEscape
11
17
^Q
DC1/XON
DeviceControl1
12
18
^R
DC2
DeviceControl2
13
19
^S
DC3/XOFF
DeviceControl3
14
20
^T
DC4
DeviceControl4
15
21
^U
TC8/NAK
NegativeAcknowledge
16
22
^V
TC9/SYN
SynchronousIdle
17
23
^W
TC10/ETB
EndTransmissionBlock
18
24
^X
CAN
Cancel
19
25
^Y
EM
EndofMedium
1A
26
^Z
SUB
Substitute
1B
27
^[
ESC
Escape
1C
28
^\
IS4/FS
FileSeparator
1D
29
^]
IS3/GS
GroupSeparator
1E
30
^^
IS2/RS
RecordSeparator
1F
31
^_
IS1/US
UnitSeparator
ENI Editions - All rigths reserved - Noba Mafiza
*Certainsappareilsnecomportentquuneseulecommandepourloprationcombinederetourchariotetdesautde
ligne,lafonctionFE2prendalorslasignificationNL(NewLine).
- 3-
Numrotationdesinterfacesdesrouteursdelasrie2800
Danslecasdurouteur2801,lanumrotationstablitainsi:
Numrodeslot
Typedeslot
tenduedenumrotation
Portsembarqus
FastEthernet
0/0et0/1.
VIC/VWIC(voixseulement)
De0/0/00/0/3.
HWIC/WIC/VIC/VWIC(*)
De0/1/00/1/3danslecasdunmoduleHWIC
simplelargeur.
De0/1/00/1/7danslecasdunmoduleHWIC
doublelargeur.
WIC/VIC/VWIC(*)
De0/2/00/2/3.
HWIC/WIC/VIC/VWIC(*)
De0/3/00/3/3danslecasdunmoduleHWIC
simplelargeur.
De0/3/00/3/7danslecasdunmoduleHWIC
doublelargeur.
(*) Un module VWIC plac dans lun des slots 1, 2 ou 3 peut fonctionner indiffremment dans les modes donne et
voix.Cemmemoduleplacdansleslot0nepeutfonctionnerquedanslemodevoix.
Danslecasdesrouteurs2811,2821et2851,lenommagestablitainsi:
Emplacementduport
Embarqu,faceavant.
Embarqu,facearrire.
Formatdelanumrotation
Interfacetype
Interfacetype
Surunecartedinterface Interfacetype
(HWIC,HWICD,WIC,
VWIC,VIC)installe
directementdansunslot
HWICduchssis.
port
0/port
0/slot/port
Exemples
usb
usb
Interface
fa
Interface
gi
interface
serial
0/x
0/x
interface
line
async
0/x/y
interface
voiceport
Surunecartedinterface Interfacetype
1/slot/port
(WIC,VWIC,VIC)
1identifielemoduleNMsurtousles
installedansunslot
appartenantunmodule routeursdelasrie2800.
NM.
controller
voiceport
interface
0/x/y
0/x/y
fa
1/x/y
1/x/y
t1
serial
interface
line
Embarqudirectement
surlemoduleNM(NME,
NMEX,NMD,NMDXD).
Interfacetype
1/port
1identifielemoduleNMsurtousles
routeursdelasrie2800.
2/0/port
gi
interface
serial
interface
async
voiceport
1/x/y
1/x/y
1/x
interface
line
PortFXSouFXOinstall Interfacetype
async
1/x/y
1/x
0/x/y
0/x/y
1/x
1/x
2/0/x
- 1-
surunmoduleEVM
(voix).
2identifielemoduleEVMsurtousles
routeurs2821et2851(autresrouteurs
nonconcerns).
FXS/DID,lesports07sontembarqus
directementsurlemoduleEVM.
FXS/FX0,lesports815appartiennent
aumoduledextension0.
FXS/FX0,lesports1623appartiennent
aumoduledextension1.
Lechiffre0audeuximerangdu
nommageestrequisparlasyntaxe
imposepourunmoduleEVMmais
nidentifiepasunslotsurlemodule.
Portsvoixdansune
extensionBRI(Basic
RateInterface,lunedes
interfacesdurseau
RNIS)placedansun
moduleEVM.
Interfacetype
2/0/port
interface
bri
2/x
2identifielemoduleEVMsurtousles
routeurs2821et2851(autresrouteurs
nonconcerns).
Lesports811appartiennentaumodule
dextension0.
Lesports1619appartiennentau
moduledextension1.
Lechiffre0audeuximerangdu
nommageestrequisparlasyntaxe
imposepourunmoduleEVMmais
nidentifiepasunslotsurlemodule.
Unepartiedesacronymescontenusdanscetableauestcertainementdjconnuecestade.touthasard:
- 2-
WIC
WANInterfaceCard.
HWIC
HighSpeedWIC.
VWIC
VoiceWIC.
VIC
VoiceInterfaceCard.
NM
NetworkModule.
NME
NetworkModuleEnhanced.
BRI
BasicRateInterface.
RNIS
RseauNumriqueIntgrationdeServices.
FXS
ForeigneXchangeSubscriber.Portquiamnelalignetlphoniquedelabonn.Cette
interfacefournitnotammentlatonalit,lecourantdumodedcroch,latensiondumode
raccroch,latensiondesonnerie.Untlphoneanalogiqueclassique,branchsurcette
interface,reoitleservicetlphonique.
FXO
ForeigneXchangeOffice.Extrmitducblepermettantderelierunappareil,telun
tlphoneouuntlcopieur,auportFXS.OnparlesouventdepriphriqueFXO.FXOetFXS
vonttoujoursdepair.
Prparationduncontextedestintesterleslistesdaccstendues
Nousfonderonsnosscnariossurlatopologiesuivante,avecmoinsderouteursquelestopologiesdestinestester
lesprotocolesderoutagemaisavecplusdeservicesrseauetdoncplusadapteauxtestsdelistestendues:
Pourlelecteurquisouhaitereproduirececontexte:
Ladministrateur a cr une zone dmilitarise (le sousrseau entre les deux routeurs) et y a plac lensemble des
services rseau, savoir un serveur FTP, un serveur de courrier, un serveur DNS et un serveur Web. En ralit, les
quatreservicesonttimplmentssurlammemachinevirtuelleVMSRV01quipedelOSWindows2000Server.
Les services DNS, FTP et WWW sont raliss laide des composants du systme dexploitation, seul le serveur de
courrier est ralis laide dun produit tiers, HMAILServer en loccurrence, excellent et gratuit qui offre toute la
souplessencessairepourmonterrapidementunatelier.
1.Prparationducontextederoutage
Pour mmoire, GNS3 fonctionne toujours dans la machine virtuelle VMWKS02 des ateliers prcdents. Pour ce
contexte,deuxrouteurs,troisnuagesetuncommutateursuffisent:
LenuageVMWKS01estconnectladaptateurvirtuelNIC11etparsuiteauconcentrateurVMnet1.
- 1-
LenuageVMSRV01estconnectladaptateurvirtuelNIC8etparsuiteauconcentrateurVMnet8.
LenuageVMSRV02estconnectladaptateurvirtuelNIC12etparsuiteauconcentrateurVMnet2.
CiaprsunextraitdelaconfigurationdurouteurR100k:
R100k#sh run
Current configuration : 929 bytes
.........
!
interface FastEthernet0/0
ip address 10.0.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.8.254 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 10.0.8.253
.........
end
R100k#
CiaprsunextraitdelaconfigurationdurouteurR120k:
R120k#sh run
Current configuration : 1048 bytes
.........
!
interface FastEthernet0/0
ip address 10.0.12.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.8.253 255.255.255.0
duplex auto
speed auto
!
ip route 10.0.10.0 255.255.255.0 10.0.8.254
.........
end
R120k#
Vrifiezlaconnectivittotaledelatopologie.
2.PrparationdelamachinevirtuelleVMSRV01
Caractristiques de la machine : RAM 256 Mo, HDD 8 Go, Windows 2000 Server. Quatre adaptateurs rseau tous
connects sur le concentrateur VMnet8 de VMware, adresse de passerelle 10.0.8.253, adresse de serveur DNS
10.0.8.1.
LaconfigurationIPdesmachinesdelaDMZposeunproblmeintressantpuisquilexistedeuxpasserelles,lunevers
le rseau interne, lautre vers le rseau externe. La configuration IP de ladaptateur rseau nadmetquune seule
passerelle. Que faire ? Souvenonsnous de la logique de routage dune machine dextrmit : mettre un
datagramme revient pour la station se poser une seule question, ladresse du destinataire estelle directement
connecteoupas?Danslepremiercas,ledatagrammeestenvoydirectementaudestinataire.Danslesecondcas,
ilestconfilapasserelle,chargeelledelefaireprogresserverssadestination.Cettelogiquequiaboutitun
rsultatbinairesaccommodemalaucasdunemachineplacesurlaDMZpourlequelunpaquetquinestpasdestin
aurseaudelaDMZpeuttredestinsoitaurseauinterne,soitaurseauexterne.
SiR120kestchoisientantquepasserelle,pasdeproblmepourlesdatagrammesissusdelaDMZetdestinsau
rseauexterne.Lesdatagrammesdestinsaurseauinterneeux,seraientmoinsbienlotispuisquedabordconfis
aurouteurR120kquinepeutquelesfaireprogresserversR100k.LesautentreR120ketR100k,inutile,estvitable
fortheureusementlaidedumessageIndicationderedirection(RedirectMessage)duprotocoleICMP.R120k,quand
- 2-
il reoit un datagramme destin au rseau interne, peut avertir lmetteur que R100k constitue une meilleure
passerelle,nousobserveronscemessageICMPdansdeprochainescapturesraliseslaidedeWireshark.
a.PrparationduserveurDNS
SurVMSRV01,consoleMMCouvertesurDNS(menuDmarrerProgrammesOutilsdadministrationDNS),
crez une nouvelle zone de recherche directe fr. ,en conservant tous les paramtres proposs par dfaut.
Danscettezone,reproduisezlaconfigurationcidessous:
TestduserveurDNSdepuislastationVMWKS01:
C:\>nslookup
Serveur par dfaut :
Address: 10.0.8.1
vmsrv01.ccna.fr
>ls
Serveur : vmsrv01.ccna.fr
Address: 10.0.8.1
>ls -d fr.
[vmsrv01.ccna.fr]
fr.SOA
vmsrv01 administrateur.
fr.
NS
ccie.fr.
MX
ccna.fr.
MX
ftp.ccna.fr.
CNAME
pop.ccna.fr.
CNAME
smtp.ccna.fr.
CNAME
vmsrv01.ccna.fr.
A
vmsrv20.ccna.fr.
A
vmsrv25.ccna.fr.
A
vmsrv80.ccna.fr.
A
www.ccna.fr.
CNAME
vmsrv01
10
10.0.12.12
10
vmsrv25.ccna.fr
vmsrv20.ccna.fr
vmsrv25.ccna.fr
vmsrv25.ccna.fr
10.0.8.1
10.0.8.2
10.0.8.3
10.0.8.4
vmsrv80.ccna.fr
- 3-
ObservezlesdeuxenregistrementsMX,lunpourleMTA(MailTransferAgent)dudomaineccna.fr,MTAinternedonc,
lautrepourleMTAdudomaineccie.fr,externe.
b.PrparationduserveurMAILinterne
c.Prparationdumailexterne
VMSRV02atobtenuparclonagedeVMSRV01.Aprsloprationdeclonage,ilfautmodifiersonnomainsique
sa configuration IP : VMSRV02, 10.0.12.12/24, passerelle 10.0.12.1. Ladaptateur rseau est connect au
concentrateurVMnet2deVmware.
ProcdezcommepourlinstallationdehmailserversurVMSRV01aveclesvariantessuivantes...
Crezledomainedemessagerieccie.fr.Danscedomaine,crezuncomptedemessagerieedieni1@ccie.fr,mot
depassecisco.
Slectionnez litem Chemins sous litem SMTP. Cliquez sur Ajouter. Longlet Gnral est slectionn. Tapez
ccna.fr dans le champ Domaine puis compltez le champ Serveur SMTP avec la valeur 10.0.8.3, port 25.
LaissezactivleboutonradioTraitercechemincommeundomaineexterne.Ainsi,toutcourrierdestinlune
desadressesdudomaineccna.frseratransmisparceMTAauMTA10.0.8.3.
3.PrparerlesclientsMUA(MailUserAgent)
a.PrparerleclientMUAsurVMWKS01
- 4-
adapterselonvotrecontexte,leclientMUAesticiOutlookExpress.
SurlamachineVMWKS01,dmarrezOutlookExpressetslectionnezlacommandedemenuOutilsComptes...
Cliquezsurlebouton Ajouteretdanslemenucontextuelquisaffiche, slectionnezCourrier.Unassistantest
lanc,danslechampNomcomplet,tapezeni1.DanslechampAdressedemessagerie,saisissezeni1@ccna.fr.
DanslafentreNomsdesserveurs,laissezlechoixdutypedeserveurdecourrierentrantsurPOP3.Compltez
lechampServeurdecourrierentrantavecpop.ccna.fr.CompltezlechampServeurdecourriersortantavec
smtp.ccna.fr.
DanslafentreConnexionlamessagerie,compltezlechampNomducompteaveceni1@ccna.fretlechamp
Motdepasseaveccisco.LacaseMmoriserlemotdepasseestcoche.
CliquezsurTerminerpourconfirmerlacrationducompteetmettezfinlassistant.
RptezlensembledecesoprationssurlastationVMWKS02enattribuantcettefoislecomptedemessagerie
eni2@ccna.fr.
b.PrparerleclientMUAsurVMSRV02
Pourconomiserlesressourcesdelamachinehte,leclientMUAexternencessairelaralisationdestestsat
placsurlamachinevirtuelleVMSRV02.
SurlamachineVMSRV02,dmarrezOutlookExpressetslectionnezlacommandedemenuOutilsComptes...
Cliquer sur le boutonAjouter et dans le menu contextuel qui saffiche,slectionnez Courrier.Unassistantest
lanc, dans le champ Nom complet, tapez edieni1. Dans le champ Adresse de messagerie, saisissez
edieni1@ccie.fr.
DanslafentreNomsdesserveurs,laissezlechoixdutypedeserveurdecourrierentrantsurPOP3.Compltez
lechampServeurdecourrierentrantavec10.0.12.12.CompltezlechampServeurdecourriersortantavec
10.0.12.12.
Dans la fentre Connexion la messagerie, compltez le champ Nom du compte avec edieni1@ccie.fr et le
champMotdepasseaveccisco.LacaseMmoriserlemotdepasseestcoche.
CliquezsurTerminerpourconfirmerlacrationducompteetmettrefinlassistant.
c.Testerlamessagerie
DepuislastationVMWKS01,provoquezlenvoidunmessageversedieni1@ccie.fr.
DepuisleclientMUAsurlastationVMSRV02,vrifiezlarrivedumessage.Rpondezcemessage.
nouveaudepuislastationVMWKS01,vrifiezlarrivedelarponsedelutilisateuredieni1@ccie.fr.
4.PrparerlesserveursWEB
PourchacunedesdeuxmachinesVMSRV01etVMSRV02:
TlchargezdepuislesiteENI,lesfichiersCCNA2.aspainsiquelogo_eni.gifetlesplacerdanslerpertoire
C:\Inetpub\wwwroot.
Ouvrez la console IIS (menu Dmarrer Programmes Outils dadministration Gestionnaire des services
Internet).
- 5-
Dans la fentre Services Internet (IIS), dployez les items jusqu voir apparatre litemSite Web par dfaut.
EffectuezunclicdroitsurcetitempuisslectionnezProprits.
DanslafentrePropritsdeSiteWebpardfaut,slectionnezlongletDocuments.VrifiezquelacaseActiver
le document par dfaut est coche puis cliquez sur le bouton Ajouter..., saisissez ccna2.asp et confirmez.
Cliquezautantdefoisquencessairesurleboutonestampillavecuneflcheascendanteafinqueccna2.asp
apparaisseenttedeliste.CliquezsurOKpourfermerlafentredeproprits.
Ouvrezuneinvitedecommandespuistapezlacommande:
netstatan
ObservezqueleserviceWebactifsetraduitparuneinstanceTCPdansltatdcoutesurleport80.
5.UtiliserlamachinevirtuelleLINUX
a.Configurationrseauenlignedecommande
Linvitedecommandesestmatrialiseparlecaractre$.
Un certain nombre de commandes ncessitent de disposer du niveau de privilge root (quivalent au niveau
privilgidanslIOSCISCO).Pourobtenirceniveau,utilisezleprfixesudo:
$ sudo <commande>
Silacommandesuatactivepourlesdroitsroot(sudopasswdroot),utilisezlacommandesu@pouraccder
aucompteroot.
Pourdcouvrirlesinterfacesphysiquesinstalles:
$ ifconfig -a
CommandequivalentelacommandeipconfigdeWindows:
$ ifconfig
Pourvrifierlaconfigurationduneinterfacerseauspcifique:
$ ifconfig eth0
Configurationdesinterfacesrseau:
- 6-
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
Quittezpar[Ctrl]X,acceptezlelieuetlenomdesauvegardeentapantYpuisconfirmezparlatouche[Entre].
Provoquezunredmarragedurseauafindeprendreencompteunemodificationdelaconfiguration:
ConfigurationDNS:
PourajouterunserveurDNSdanslefichierresolv.conf:
nameserver 10.0.8.1
Pouractiveruneinterface:
$ sudo ifup<interface>
Pourdsactiveruneinterface:
$ sudo ifdown<interface>
Exemple:
$ sudo ifdown eth0
Pourditerunfichiertexte:
$ nano <chemin du fichier>
Pourquitternano,utilisezlacombinaisondetouches[Ctrl]X,puisentrezYpoursauvegarderlefichier.
Exempledeconfiguration:
a)Ladministrateurdsactivelinterface:
$ sudo ifconfig eth0 inet down
b)Ladministrateurconfigureetractivelinterface:
$ sudo ifconfig eth0 inet up 192.168.0.1 netmask 255.255.255.0 broadcast
192.168.0.255
c)Ladministrateurajoutelapasserelleencrantuneroute:
$ sudo route add default gw 192.168.0.1
b.Envoyeruncourrierlectroniqueenlignedecommande
Si le serveur DNS est bien renseign dans le fichier resolv.conf (sinon remplacer smtp.ccna.fr par ladresse IP du
serveurSMTP):
$ telnet smtp.ccna.fr 25
- 7-
c.Recevoiruncourrierlectroniqueenlignedecommande
Si le serveur DNS est bien renseign dans le fichier resolv.conf (sinon remplacer pop.ccna.fr par ladresse IP du
serveurPOP):
$ telnet pop.ccna.fr 110
+OK Bienvenue sur le serveur POP CCNA
user edieni1@ccie.fr
+OK Send your password
pass cisco
+OK Mailbox locked and ready
stat
+OK 3 643
list
+OK 3 messages (643 octets)
1 177
2 188
3 278
.
retr 3
+OK 278 octets
return-Path: eni1@ccna.fr
received: from ccna.fr(10.0.8.3)
By smtp.ccna.fr
With hMailServer ; Mon, 9 Feb 2009 18:02:22 +0100
message-ID: B264287C-CFB9-4717-AFA7-0B4E987FBBB7@smtp.ccna.fr
subject: Test du serveur hmailserver
BlaBlaBlaBla
BlaBlaBlaBla
BlaBlaBla
.
dele 1
+OK msg deleted
dele 2
+OK msg deleted
quit
+OK POP3 server saying goodbye
d.OuvrirunesessionSSH
IlsagitdelapplicationOpensshclientaccessiblevialacommande:
$ ssh<username>@<ipaddress> -p <num_port>
Varianteavecnomdemachine:
$ ssh<username>@<nom_machine> -p <num_port>
- 8-
6.PrparationdunserveurFTP
Sur le serveur VMSRV01, si ce nest dj fait, activez le service FTP (Panneau de configuration
Ajout/SuppressiondeprogrammesAjouter/SupprimerdescomposantsWindows).
DanslafentreAssistantComposantsdeWindows,slectionnezlitemServiceInternet(IIS)puiscliquezsurle
boutonDtails.
DanslafentreServicesInternet(IIS),cochezlacaseServeurFTPpuisconfirmez.
DeretourdanslafentreAssistantComposantsdeWindows,cliquezsurSuivant.
Leservicesinstalle.cemoment,leCDWindowsServerdoittreprsentdanslelecteurouencoremullaide
desonimageISO.Unefoislinstallationacheve,cliquezsurTerminer.
Ouvrez la console MMC sur le Gestionnaire des services Internet (menu Dmarrer Programmes Outils
dadministrationGestionnairedesservicesInternet).
Dployezlitemvmsrv01.EffectuezunclicdroitsurlitemSiteFTPpardfautpuisslectionnezProprits.
Danslonglet SiteFTP, ne modifiez pas le port TCP rgl 21. Nous savons maintenant quil sagitduportTCP
correspondantaucanaldecontrle.Vouspouvezmodifierladescriptiondusite,parexempleSiteFTPCCNA.
DanslongletMessages,renseignezlemessagedebienvenueavecparexempleBienvenuesurleserveurFTPdu
CCNA.RenseignezlemessageQuitteravecAbientotsurleserveurFTPduCCNA.
Danslonglet Rpertoiredebase,observezquelerpertoirepardfautestC:\inetpub\ftproot. Cliquez surOK
pourfermerlafentrePropritsdeSiteFTP...
Placez deux ou trois fichiers de taille infrieure au Mga octet dans le rpertoire de base de FTP. Si vous le
souhaitez,lauteuraprvudeuxfichierstlchargeablesdepuislesitedesEditionsENI,ccna.pdfetccna.txt
.Maistoutfichierconvientbiensr.PlacezlesdanslerpertoireC:\Inetpub\wwwrootduserveurVMSRV01.
Pourle fun,etsicenestpasdjfait,laidedelaconsoleDNS,crezunaliassupplmentaire ftpqui
pointe,toutcommelaliaswww,verslamachineVMSRV01.
Vrifiez laidedune commandenetstat an que notre nouveau serveur FTP est en service, le port TCP 21 doit
tredansltatLISTENING.
- 9-
Quelquesnotionssurlareprsentationbinairesigne
1.Codecomplment1oucomplmentrestreint
Cecodenadautreutilitquecelledintroduirelecodecomplment2.
Lecomplment1de0est1.
Lecomplment1de1est0.
Pourexprimerlecomplment1dunmotbinaire,ilsuffitdoncdecomplmenterchaquebitdumot.
Exemple:lecomplment1de10010est01101.
La ncessit dintroduire les codes complment 1 et complment 2 provient de la solution choisie pour
reprsenter les nombres ngatifs ou de la solution choisie pour raliser une soustraction binaire. Si la plus petite
entitmanipulableparunemachineinformatiqueestlebit,laseuleoprationarithmtiqueralisableestladdition.
Pourfaireunesoustraction,onadditionnelenombrengatifcorrespondantaunombrequelonvoulaitsoustraire.La
questionseposerestdonccommentreprsenterlesnombresngatifsenbinaire?
Supposonsunnombrebinairex=0101
Notonssoncomplment1
Ralisonsladditiondexetdesoncomplment1:
Onconstateque
Cefaisant,onaintroduitlesignemoinscequiestsatisfaisantmaisonagalementintroduituneconstante(15(10) )
dontilfautsedbarrasser,cequepermetlecodecomplment2.
2.Codecomplment2oucomplmentvrai
Lecomplment2estgalaucomplment1 + 1.
Ajoutons1aucomplment1dexetnotons
lersultat:
Puis,additionnonsxetsoncomplment2
- 1-
Onconstateque
Laconstanteesttoujourslmaissilonadmetqueledomainededfinitiondesmotsbinairesestceluidesmots4
bits(pourcetexemple),ilfautignorerlecinquimebitcequirevientignorerlaconstante.Cefaisant,onobtient:
.
Exemple
Supposonsquelondsireraliserloprationbinairecorrespondantloprationdcimalesuivante:
Sur4bits,lemotbinairereprsentant5est0101.
Soncomplment1est1010.Lenombrengatif reprsentant5estdonc1011(1010+1).
Ilresteadditionnerlemotbinairereprsentant7etlemotbinairereprsentant5:
Enignorantlecinquimebit,lersultatest0010cequiestbienlemotbinairereprsentant2.
Lorsquelecomplment2estutilis,ilfautimprativementconnatreleformat(nombredebits)utilis.En
effet,lecomplment2dunmotbinaireneserapaslemmeselonqueleformatest4,8,16ou32bits.
Toujourssur4bits,essayonsdenvisagercequedeviennentles16combinaisonspossiblesencomplment2:
Pour ce faire, construisons un tableau quatre colonnes. Les deux premires colonnes contiendront les nombres
positifsenreprsentationdcimaleetbinaire.Pourchaquemotbinairereprsentantunnombrepositif,onplacedans
lesdeuxdernirescolonnes,soncomplment2ainsiquelenombrengatifcorrespondant:
- 2-
Nombrepositif
Motbinairepositif
Complment2
Nombrengatif
0000
0000
0001
1111
0010
1110
0011
1101
0100
1100
0101
1011
0110
1010
0111
1001
1000
Onconstateainsiquesur4bitsetencomplment2,ilestpossibledereprsenterlesnombresdcimauxde8
+7. On pourrait penser que les nombres ngatifs sont privilgis mais si lon veut bien admettre que 0 est positif,
alorsilyaautantdenombrespositifsquedenombresngatifs.
Sansquecelaprteconsquence,lecomplment2desmotsbinairesreprsentantlesnombresngatifsdonne
nouveaulesnombrespositifs(lecomplment2de11102est0010+2)saufdanslecasdunombrengatif8
carlecomplment2de1000est1000.
Enfin, il faut constater que le code complment 2 est toujours un code pondr. Pour trouver les poids
correspondantchaquebit,ilsuffitdobserverlesquatrecasounseulbitestvrai:0001,0010,0100et1000.On
remarque ainsi que si les poids binaires des trois bits de poids faible sont toujours 1, 2, 4, le poids binaire du
quatrimebitest8.
Ncessairement,puisque01117et10008,lorsquelequatrimebitest1,onpeutconclurequelenombre
reprsentestngatif.Ceciapparatclairementdansletableauordonnsuivant:
POIDS
NOMBREDCIMAL
Cecifaitparfoisappelerlebitdepoidsfortbitdesigne.
Surquatrebits,enbinairenaturel,onpouvaitreprsenterlesnombresdcimauxde015.Encomplment2,les
nombresdcimauxstendentde8+7.Essayonsdimaginerltenduedereprsentationlorsquonpasse8,16
ENI Editions - All rigths reserved - Noba Mafiza
- 3-
ou32bits:
- 4-
Format
Binairenaturel
Complment2
4bits
015
8+7
8bits
0255
128+127
12bits
04095
2048+2047
16bits
065535
32768+32767
32bits
04.294.967.295
2.147.483.648
+2.147.483.647
nbits
02 n 1
2 n1 +2n1 1
Adressesdemultidiffusionmulticast
Lebloc224.0.0.0/4,exadressesdeclasseDde224239,estddiauxadressesdemultidiffusion.lintrieurde
cebloc,lasubdivisionenpartierseauetpartiehtedeladresseestsansobjet:les4premiersbitssont1110et
les28bitsrestantsdsignentlegroupe.SansfournirleniveaudedtailduRFC3171,ilestutiledeconnatrelebloc
LocalNetworkControlBlock:
224.0.0.0/24 La traduction est dangereuse, le bloc est rserv par lIANA sous le nom Local Network Control
Block.Cesadressessontallouesauxprotocoleschargsdelagestiondurseau,telslesprotocolesderoutage,
desprotocolesdedcouvertedetopologies,desprotocolesdemaintenance.Toutcommedanslecasdesadresses
localesliens,lespaquetsmisversdesadressesdubloc224.0.0.0/24lesontavecuneduredeviede1etrestent
donc locaux. Exemples dadresse dans ce bloc : 224.0.0.0 est rserve 224.0.0.1 dsigne toutes les interfaces
prsentes sur le rseau local (All systems on this subnet) 224.0.0.2 dsigne toutes les interfaces de routeurs
prsentessurlerseaulocal(Allroutersonthissubnet).Lesautresaffectationspeuventtreconsultessurlesitede
lIANA:http://www.iana.org/assignments/multicastaddresses/multicastaddresses.xml
CommentreconnatrelatramequiencapsuleunpaquetenvoyversuneadresseIPmulticast?Ilfautsesouvenirque
la carte Ethernet en rception, ne se saisit que des trames qui lui sont destines (dont ladresse de destination
correspond ladresse MAC de la carte) et des trames qui sont mises en diffusion (dont ladresse de destination
correspondFFFFFFFFFFFF.
Donc pour envoyer un paquet vers une adresse multi diffusion, la premire possibilit consistait lencapsuler dans
une trame dont ladresse de destination est ladresse de diffusion de couche 2. Linconvnient est quune interface
nappartenant pas au groupe ne le dcouvrira quen couche 3, imposant une surcharge inutile du processeur de la
machine.
Lidal serait de pouvoir rpercuter lappartenance un groupe de multi diffusion sur la couche 2. Il se trouve que
lIANAdisposaitduneplagedadressesIEEE(unOUI):00005EXXXXXX.Ilfutdciddenrserverlamoiti(23bits
sur 24) pour le multicast, les valeurs retenues sont 01005E000000 01005E7FFFFF. Le premier octet peut
sembler diffrent, il sagit simplement du bit I/G qui est positionn 1 pour rappeler que lon a affaire une
adressedegroupe.LepassagedeladressedegroupeIPladressedegroupeMACseffectuedelafaonsuivante:
Les 23 bits de poids faible de ladresse de groupe IP sont placs dans les 23 bits de ladresse de groupe MAC. On
objectera que sur les 32 bits de ladresse IP dun groupe, 28 dsignent le groupe et que par consquent plusieurs
groupesIPpourraientavoirlammeadressedegroupeMAC.Eneffet,laconsquenceestquemmesilacouche2
faitremonterlepaquetparcequelleareconnuladressedegroupe,lacouche3doitquandmmevrifierquelleest
effectivementconcerneparlepaquetenquestion.
- 1-
ConfigurationOSPFdesmodesNBMAetPointmultipoint
1.Rseauphysiquediffusion,modebroadcast
a.Contexte
b.CapturesdanslinterfaceILC
R1100b#
00:01:07: %OSPF-5-ADJCHG: Process 1, Nbr 1.0.0.21 on FastEthernet0/1 from
LOADING to FULL, Loading Done
R1100b#
00:01:09: OSPF: Neighbor change Event on interface FastEthernet0/1
00:01:09: OSPF: DR/BDR election on FastEthernet0/1
00:01:09: OSPF: Elect BDR 1.0.0.21
00:01:09: OSPF: Elect DR 1.0.0.22
00:01:09:
DR: 1.0.0.22 (Id)
BDR: 1.0.0.21 (Id)
R1100b#sh ip ospf database router 1.0.0.11
OSPF Router with ID (1.0.0.11) (Process ID 1)
Router Link States (Area 0)
LS age: 166
Options: (No TOS-capability, DC)
LS Type: Router Links
Link State ID: 1.0.0.11
Advertising Router: 1.0.0.11
LS Seq Number: 80000002
Checksum: 0x347A
Length: 48
Number of Links: 2
Link connected to: a Transit Network
(Link ID) Designated Router address: 10.0.8.22
(Link Data) Router Interface address: 10.0.8.11
Number of TOS metrics: 0
TOS 0 Metrics: 1
Link connected to: a Stub Network
(Link ID) Network/subnet number: 10.0.11.0
ENI Editions - All rigths reserved - Noba Mafiza
- 1-
ADV Router
1.0.0.11
1.0.0.12
1.0.0.21
1.0.0.22
Age
540
541
541
541
Seq#
0x80000002
0x80000002
0x80000002
0x80000002
Checksum
0x00347A
0x004763
0x00EBCA
0x00E9C9
Link count
2
2
1
1
ADV Router
1.0.0.22
Age
541
Seq#
Checksum
0x80000001 0x006E3E
- 2-
Pri
1
1
1
State
FULL/DR
FULL/BDR
2WAY/DROTHER
Dead Time
00:00:39
00:00:37
00:00:32
Address
10.0.8.22
10.0.8.21
10.0.8.12
Interface
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
Dead Time
00:00:36
00:00:34
00:00:31
Address
10.0.8.11
10.0.8.22
10.0.8.21
Interface
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
Dead Time
00:00:36
00:00:35
00:00:34
Address
10.0.8.12
10.0.8.11
10.0.8.22
Interface
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
Dead Time
00:00:34
00:00:38
00:00:37
Address
10.0.8.21
10.0.8.12
10.0.8.11
Interface
FastEthernet0/1
FastEthernet0/1
FastEthernet0/1
Pri
1
1
1
State
2WAY/DROTHER
FULL/DR
FULL/BDR
Pri
1
1
1
State
FULL/DROTHER
FULL/DROTHER
FULL/DR
Pri
1
1
1
State
FULL/BDR
FULL/DROTHER
FULL/DROTHER
c.CapturesWireshark
LesquatrerouteursmontsquasisimultanmentdanslordreR1100,R1200,R2100,R2200.
Cap_2I_01.pcap
Capturesurplusde30minutespourvrifierlchangedeLSDtoutesles30minutes:
Cap_2I_02.pcap
2.ModeNBMAcompltementmaill
Maisconfigurennonbroadcast.
a.Contexte
- 3-
LaconfigurationducommutateurFrameRelaysousGNS3:
b.Lesconfigurationsderouteurs
R1100c:
R1100c#sh run
.........
interface Loopback0
ip address 1.0.0.11 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.11.1 255.255.255.0
ip ospf network non-broadcast
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.11 255.255.255.0
encapsulation frame-relay
ip ospf network non-broadcast
frame-relay map ip 10.0.8.12 110
- 4-
- 5-
c.CapturesdanslinterfaceILC
LactivitmontrelaidedunecommandedebugipospfadjsurR1100c:
00:01:13:
to up
00:01:13:
00:01:13:
00:01:13:
00:01:13:
00:01:47:
00:01:52:
00:01:56:
00:02:04:
00:02:04:
00:02:04:
00:02:04:
00:02:04:
00:02:04:
00:02:04:
00:02:05:
00:03:13:
00:03:13:
00:03:13:
00:03:13:
00:03:13:
00:03:13:
00:03:18:
00:03:18:
00:03:23:
00:03:23:
00:03:26:
00:03:26:
- 6-
Pri
1
1
1
State
FULL/DR
FULL/BDR
2WAY/DROTHER
Dead Time
00:01:36
00:01:57
00:01:52
Address
10.0.8.22
10.0.8.21
10.0.8.12
Interface
Serial0/0
Serial0/0
Serial0/0
Dead Time
00:01:56
00:01:32
00:01:52
Address
10.0.8.22
10.0.8.21
10.0.8.11
Interface
Serial0/0
Serial0/0
Serial0/0
Dead Time
00:01:30
00:01:39
00:01:57
Address
10.0.8.22
10.0.8.12
10.0.8.11
Interface
Serial0/0
Serial0/0
Serial0/0
Dead Time
00:01:40
00:01:43
00:01:31
Address
10.0.8.21
10.0.8.12
10.0.8.11
Interface
Serial0/0
Serial0/0
Serial0/0
Pri
1
1
1
State
FULL/DR
FULL/BDR
2WAY/DROTHER
Pri
1
1
1
State
FULL/DR
FULL/DROTHER
FULL/DROTHER
Pri
1
1
1
State
FULL/BDR
FULL/DROTHER
FULL/DROTHER
- 7-
summary
Count
4
1
0
0
0
0
0
5
Delete
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
Maxage
0
0
0
0
0
0
0
0
0
0
ADV Router
1.0.0.11
1.0.0.12
1.0.0.21
1.0.0.22
Age
72
73
72
72
Seq#
0x80000004
0x80000004
0x80000004
0x80000004
Checksum
0x00A2CA
0x00B5B3
0x005A1B
0x00581A
Link count
2
2
1
1
ADV Router
1.0.0.22
Age
73
Seq#
Checksum
0x80000001 0x006E3E
- 8-
d.CapturesWireshark
Cap_2I_03.pcap
3.RseauphysiqueFrameRelaycompltementmaill
a.Contexte
Contexteinchangmaisconfigurationtabliedefaonfonctionnerenmodebroadcast.
b.Configurationderouteurs
R1100c
R1100c#sh run
.........
!
interface Loopback0
ip address 1.0.0.11 255.255.255.255
!
- 9-
interface FastEthernet0/0
ip address 10.0.11.1 255.255.255.0
ip ospf network non-broadcast
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.11 255.255.255.0
encapsulation frame-relay
ip ospf network broadcast
frame-relay map ip 10.0.8.12 110 broadcast
frame-relay map ip 10.0.8.21 111 broadcast
frame-relay map ip 10.0.8.22 112 broadcast
!
Routerospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
.........
!
end
R1200c
R1200c#sh run
.........
!
interface Loopback0
ip address 1.0.0.12 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.12.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.12 255.255.255.0
encapsulation frame-relay
ip ospf network broadcast
frame-relay map ip 10.0.8.11 212 broadcast
frame-relay map ip 10.0.8.21 214 broadcast
frame-relay map ip 10.0.8.22 213 broadcast
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
.........
end
R2100c
R2100c#sh run
..........
!
interface Loopback0
ip address 1.0.0.21 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.21.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.21 255.255.255.0
encapsulation frame-relay
ip ospf network broadcast
frame-relay map ip 10.0.8.11 221 broadcast
frame-relay map ip 10.0.8.12 220 broadcast
frame-relay map ip 10.0.8.22 222 broadcast
!
- 10 -
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
.........
end
R2200c
R2200c#sh run
.........
!
interface Loopback0
ip address 1.0.0.22 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.22.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.22 255.255.255.0
encapsulation frame-relay
ip ospf network broadcast
frame-relay map ip 10.0.8.11 222 broadcast
frame-relay map ip 10.0.8.12 223 broadcast
frame-relay map ip 10.0.8.21 224 broadcast
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
.........
c.CapturesdanslinterfaceILC
Tabledevoisinage:
R1100c#sh ip ospf neighbor
Neighbor ID
1.0.0.22
1.0.0.21
1.0.0.12
R1100c#
Pri
1
1
1
State
FULL/DR
FULL/BDR
2WAY/DROTHER
Dead Time
00:00:30
00:00:37
00:00:33
Address
10.0.8.22
10.0.8.21
10.0.8.12
Interface
Serial0/0
Serial0/0
Serial0/0
Tablederoutage(1sur4):
R1100c#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
.........
Gateway of last resort is not set
1.0.0.0/32 is subnetted, 1 subnets
1.0.0.11 is directly connected, Loopback0
10.0.0.0/24 is subnetted, 5 subnets
C
10.0.11.0 is directly connected, FastEthernet0/0
C
10.0.8.0 is directly connected, Serial0/0
O
10.0.12.0 [110/65] via 10.0.8.12, 00:00:23, Serial0/0
O
10.0.22.0 [110/65] via 10.0.8.22, 00:00:23, Serial0/0
O
10.0.21.0 [110/65] via 10.0.8.21, 00:00:23, Serial0/0
R1100c#
C
d.CapturesWireshark
CaptureralisesurS0/0deR1100c:
ENI Editions - All rigths reserved - Noba Mafiza
- 11 -
Cap_2I_04.pcap
4.RseauphysiqueFrameRelaypartiellementmaill
a.Contexte
LemaillagepartielimposedefonctionnerdanslemodePointMultipoint.
Contextemodifi:
ConfigurationducommutateurFrameRelaysousGNS3:
b.Configurationderouteurs
R1100d
R1100d#sh run
.........
!
interface Loopback0
ip address 1.0.0.11 255.255.255.255
!
- 12 -
interface FastEthernet0/0
ip address 10.0.11.1 255.255.255.0
ip ospf network broadcast
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.11 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-multipoint
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
!
end
R1200d
R1200d#sh run
.........
!
interface Loopback0
ip address 1.0.0.12 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.12.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.12 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-multipoint
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
.........
end
R2100d
R2100d#sh run
.........
!
interface Loopback0
ip address 1.0.0.21 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.21.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.21 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-multipoint
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
.........
end
R2200d
R2200d#sh run
.........
- 13 -
!
interface Loopback0
ip address 1.0.0.22 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.22.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.8.22 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-multipoint
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.31.255 area 0
end
c.CapturesdanslinterfaceILC
Quelquescommandesshowsurlehubrouter:
R1100d#sh ip ospf neighbor
Neighbor ID
1.0.0.12
1.0.0.22
1.0.0.21
Pri
1
1
1
State
FULL/
FULL/
FULL/
Dead Time
00:01:39
00:01:39
00:01:39
Address
10.0.8.12
10.0.8.22
10.0.8.21
Interface
Serial0/0
Serial0/0
Serial0/0
- 14 -
QuelquescommandesshowsurunSpokeRouter,R1200d:
R1200d#sh ip ospf neighbor
Neighbor ID
1.0.0.11
Pri
1
State
FULL/
Dead Time
00:01:50
Address
10.0.8.11
Interface
Serial0/0
C
O
C
C
O
O
O
O
O
ADV Router
1.0.0.11
1.0.0.12
1.0.0.21
1.0.0.22
Age
584
584
585
585
Seq#
0x80000004
0x80000004
0x80000002
0x80000002
Checksum
0x006CEB
0x00C98E
0x00AC80
0x00E146
Link count
5
3
3
3
- 15 -
d.CapturesWireshark
CapturesurS0/0deR1100d,dmarragedanslordredesrouteursR1100,R1200,R2100,R2200:
Cap_2I_05.pcap
FindelannexeConfigurationOSPFdesmodesNBMAetPointmultipoint.
- 16 -