Configuration de routeurs Cisco
Introduction
modifierCet article a pour but de vous expliquer plus ou moins en détail comment configurer un routeur Cisco pour des réseaux locaux et des petits réseaux d'entreprise. Vous trouverez quelques exemples afin de mieux comprendre comment fonctionnent les protocoles de communications TCP/IP, IPX et NETBEUI. Vous trouverez aussi une petite explication sur les Access-Lists avec quelques exemples.
Configurer son routeur avec Hyper-Terminal
modifierConfiguration d'Hyper-Terminal
modifierTout d'abord, vous avez besoin d'un câble console (câble RJ-45 vers Série RS232) reliant le port série(RS232) de votre ordinateur à la prise RJ-45 marqué « console » sur votre routeur.
Ensuite, ouvrez Hyper-Terminal (Menu démarrer -> Tous les programmes -> accessoires -> communications -> Hyper-Terminal), puis entrez un nom pour votre nouvelle connexion ; sélectionnez le port série sur lequel est connecté le câble console et cliquez sur « paramètres par défaut » puis ok.
Voilà, vous êtes connecté au routeur et à partir de maintenant vous pouvez le configurer. S'il est allumé, faite un retour à la ligne, vous devriez voir apparaître une ligne vous demandant si vous voulez entrer dans outil de configuration initial, dans ce cas répondez « no » sinon, il vous affiche le nom du routeur suivi de ">" (ex: Routeur>) ; dans ce cas tapez "en" pour enable et entrez le mot de passe s'il y en a un. Cette fois "Routeur>" change en "Routeur#" et vous pouvez commencer à taper des commandes privilégié et pour taper des commandes de configuration il vous faut passer en mode "configure terminal" en tapant "configure terminal" ou "conf t" et le prompt changera comme ceci "Routeur(config)#".
Commandes de bases
modifierVoilà quelques commandes de bases que vous pourrez tester :
- Changer le nom du routeur:
- Router#configure terminal ou conf t (de manière réduite)
- Router(config)#hostname RouterA
- Mettre un mot de passe pour la console:
- RouterA#configure terminal
- RouterA(config)#line console 0
- RouterA(config-line)#password *****
- RouterA(config-line)#login
- RouterA(config-line)#exit
- RouterA(config)#
- Mettre un mot de passe pour les lignes virtuelles(pour la configuration à travers telnet) :
- RouterA(config)#line vty 0 4
- RouterA(config-line)#password *****
- RouterA(config-line)#login
- RouterA(config-line)#exit
- RouterA(config)#enable password *****
- Chiffrer les mots de passe :
- RouterA(config)#service password-encryption
- Enregistrer la configuration :
- Router#copy running-config startup-config
- OU
- Router#write memory
- Effacer la configuration :
- Router#erase startup-config
- Router#reload
Exemple de Configuration
modifierConfiguration pour un réseau utilisant TCP/IP
modifierVoilà un exemple de configuration pour un réseau comportant 2 sous-réseaux (Subnets). Pour cet exemple, imaginez qu'il y a 63 postes de travail sur le 1er sous-réseaux et 4 sur le 2e.
La classe d'adresse utilisé est 192.168.1.x :
- Subnet 1
- adresse : 192.168.1.0
- adresse broadcast : 192.168.1.127
- masque sous-réseaux: 255.255.255.128
- Subnet 2
- adresse : 192.168.1.128
- adresse broadcast : 192.168.1.135
- masque sous-réseaux : 255.255.255.248
Voilà la configuration du routeur reliant les 2 sous réseaux :
- Router>enable
- /* saisie du mot de passe si existant */
- Router#conf t ou configure terminal
- --- Configuration des interfaces ---
- Router(config)#int fastEthernet 0/0
- Router(config-if)#ip address 192.168.1.1 255.255.255.128
- Router(config-if)#no shutdown // allumer cette interface.
- Router(config)#int fastEthernet 0/1
- Router(config-if)#ip address 192.168.1.130 255.255.255.248
- Router(config-if)#no shutdown
- --- Rip v.2 et routage ---
- Router(config)#ip routing // active le routage sur les sous-réseaux
- Router(config)#router rip // active le routage avec le protocole de passerelle interne Rip
- Router(config-router)#version 2 // définit la version de rip utilisé
- Router(config-router)#network 192.168.1.0 255.255.255.128 // Subnet 1
- Router(config-router)#network 192.168.1.128 255.255.255.248 // Subnet 2
Voilà, avec cette configuration du routeur, sans oublier de configurer les stations avec les adresses ip (exemple : 1 station sur subnet 1 -> @ip:192.168.1.2, passerelle:192.168.1.1, masque:255.255.255.128) votre réseau fonctionne.
Configuration pour un réseau utilisant IPX
modifierPrenons le même exemple qu'avant sauf qu'ici le protocole utilisé est IPX. Pour utiliser IPX, vous devez définir un numéro de réseau externe sur les stations (exemple: station 1 sur subnet 1 -> no res. ext.: 00000010, type de trame:Ethernet 802.3)
- Router>en
- /* saisie du mot de passe si existant */
- Router#conf t
- Router(config)#ipx routing
- --- Configuration des interfaces ---
- Router(config)#int fastEthernet 0/0
- Router(config-if)#ipx network 00000010 // spécifie le numéro de réseau externe du sous-réseau
- Router(config-if)#ipx type-20-propagation// laisse passer les broadcasts NetBios
- Router(config-if)#no shutdown
- Router(config)#int fastEthernet 0/1
- Router(config-if)#ipx network 00000020
- Router(config-if)#ipx type-20-propagation
- Router(config-if)#no shutdown
Configuration pour un réseau utilisant NetBeui (Bridge)
modifierPour cet exemple, l'infrastructure réseau est la même que pour les 2 exemples précédents mais cette fois nous utiliserons le protocole non-routable NETBEUI.
Pour installer NETBEUI, il vous faut le cd-rom de Windows XP. Marche à suivre :
- Insérez le cd de windows xp. Copiez les fichiers Netnbf.inf et Nbf.sys, se trouvant dans le ::répertoire « Valueadd\MSFT\Net\NetBEUI », dans les répertoires suivants :
- Nbf.sys -> « %SYSTEMROOT%\System32\Drivers »
- Netbnf.inf -> « %SYSTEMROOT%\Inf »
- Insérez le cd de windows xp. Copiez les fichiers Netnbf.inf et Nbf.sys, se trouvant dans le ::répertoire « Valueadd\MSFT\Net\NetBEUI », dans les répertoires suivants :
Une fois NETBEUI installé, activez-le, puis configurez le routeur pour utiliser un bridge car, vu que NETBEUI est un protocole non routable, il faudra faire un bridge (pont) pour relier les 2 sous-réseaux.
- Router>en
- /* saisie du mot de passe si existant */
- Router#conf t
- --- Configuration des interfaces ---
- Router(config)#int fastEthernet 0/0
- Router(config-if)#bridge-group 1 // assigne l'interface au groupe de bridge 1
- Router(config-if)#no shutdown
- Router(config)#int fastEthernet 0/1
- Router(config-if)#bridge-group 1
- Router(config-if)#no shutdown
- --- Bridging ---
- Router(config)#bridge irb // active irb(integrated routing and bridging) et permet de bridger et router
- Router(config)#bridge 1 protocol ieee // spécifige le type de protocole (spanning tree protocol)
Mise en place de filtrage IP (Access-lists)
modifierMaintenant, voyons comment mettre en place des Access-lists (filtres) sur notre réseau. Avant de commencer, il est important de noter qu'il existe 3 catégories d'Access-list qui sont entre autre:
- ACL standard
- ACL étendue
- ACL nommée
Tout d'abord, il y a 3 principes fondamentaux à ne pas oublier avec les ACL :
- Lorsqu’on crée une ACL, elle définit par défaut que TOUT est deny (bloqué)
- Le routeur applique les ACL séquentiellement, c’est-à-dire dans l’ordre où on les a créées
- Lorsque l’on met un « permit » sur un protocole de couche de niveau 3 par exemple (comme ip) le routeur laissera aussi passer sur les couches inférieures.
Ensuite, les ACL sont définies par des numéros qui peuvent être :
- <1-99> IP standard access list
ces access list ne permettent que de filtrer au niveau de l'adresse ip source
- <100-199> IP extended access list
Permet d'identifier un paquet par les adresses IP, protocoles et ports source et destination
- <1100-1199> Extended 48-bit MAC address access list
- <200-299> Protocol type-code access list
Permet le filtrage par protocole
- <700-799> 48-bit MAC address access list
Permet le filtrage par adresse MAC
Voici la syntaxe de la commande servant à créer une ACL : access-list <number> <action> <protocol> <syntaxhighlight> <destination> <eq,gt,it,neq ou range> <port number>
Pour mieux comprendre la syntaxe, allez voir ici : exemples d'access-list Cisco (pdf)
Exemple :
- Permettre une ip spécifique (ce qui interdira toutes les autres, cf: 3 principes fondamentaux) :
- Router(config)#access-list 10 permit 192.92.130.2
- Permettre le trafic sur le port 80 (www) depuis une source spécifique vers une destination :
- Router(config)#access-list 101 permit tcp host 10.1.1.2 host 10.1.2.2 eq www
- Permettre l'utilisation du ping (echo)
- Router(config)#access-list 101 permit icmp any any echo