4 Configurations réseau avancées
4.1 Un réseau commuté avec VLANs
Compliquez le réseau en configurant le commutateur pour séparer les
ports dans trois VLANs différents (par exemple rouge, vert
et bleu). Utilisez les indications suivantes :
-
Configurez le commutateur en mode VLAN :
utilisez un VLAN spécial (blanc) pour
les équipements réseaux, donnez une adresse IP de service
au commutateur.
- Pour les adresses IP utilisez les classes C privées
192.168.0.0, 192.168.1.0, 192.168.2.0 et
192.168.3.0.
- Vérifiez que les stations dans le même VLAN peuvent communiquer
entre elles. Que se passe-t-il pour deux machines situées dans
des VLANs différents ?
4.2 Un réseau filaire protégé par 802.1x
Le but est de faire en sorte que les ports du commutateur soient
protégés et que les stations ne puissent les utiliser qu'après
s'être identifiées par le protocole 802.1x. Le schéma classique
de ce protocole met en jeu des clients (suppliants, ici vos
machines Linux avec le paquetage wpasupplicant), un contrôleur
d'accès (ici le commutateur 2950) et un serveur d'identification.
En règle général le serveur est hébergé sur un serveur et fait
tourner un logiciel de type FreeRadius. Pour simplifier votre
travail vous installerez le serveur d'identification sur la
borne wifi Aironet 1200. Pour configurer ces trois entités
vous rechercherez de la documentation sur Internet (utilisez
les mots clefs wpasupplicant, aironet local radius
et 2950 dot1x radius. En résumé vous devez :
-
Configurer la borne wifi pour qu'elle se comporte comme
un serveur radius pour identification par EAP. Créer sur
cette borne un utilisateur par binôme.
- Configurer le commutateur 2950G pour qu'il puisse faire
du contrôle d'accès aux ports par 802.1x en utilisant la
borne wifi comme serveur d'identification. Faites en sorte
que votre port d'accès soit protégé par ce système. Vérifiez
que votre station n'a plus accès au réseau.
- Configurer le client wpasupplicant sur votre station Linux
pour qu'elle retrouve son accès au réseau en s'identifiant
auprès du système 802.1x par EAP en utilisant le compte que
vous aurez défini sur la borne Aironet. Une fois la configuration
stabilisée, déconnectez votre machine virtuelle du réseau, arrétez
le client wpasupplicant, rebranchez la machine virtuelle. Que
constatez-vous ?
4.3 Station avec gestion des VLANs
Chargez le module de gestion des VLANs 802.1q dans le noyau de
votre station Linux. Récupérez le paquetage vlan.
-
Donnez une adresse IP à votre station dans chaque VLAN.
Vérifiez que vous pouvez accéder aux stations dans tous les VLANs.
- Activez le routage sur votre station entre les interfaces dans
les différents VLANs. Vérifiez que ce routage fonctionne bien en
demandant à un autre binôme d'utiliser votre station comme routeur.
4.4 Routage entre VLANs
Ajoutez le routeur dans le réseau et configurez le pour router les paquets
entre les VLANs. Utilisez les indications suivantes :
-
Donnez une adresse au routeur dans chaque VLAN (y compris
le VLAN blanc).
- Ajouter un contrôle d'accès entre le VLAN rouge et le
VLAN bleu interdisant le routage des paquets FTP. Vérifiez
que le contrôle fonctionne bien.
4.5 Sortie vers Internet
On cherche à donner un accès direct à Internet pour vos machines virtuelles :
-
Configurez le commutateur pour que tous ses ports soient dans le
VLAN 12 (TP).
- Connectez un port du commutateur au réseau de l'EUDIL.
- Donnez une adresse du réseau 193.48.57.160 (masque de réseau
255.255.255.224) à vos machines virtuelles.
- Utilisez la passerelle de sortie sur Internet d'adresse IP
193.48.57.161 et le serveur DNS d'adresse IP
193.48.57.34.
- Vérifiez (par exemple avec netscape) que vous avez accès
à tout Internet.