Configurations réseau avancées

4 Configurations réseau avancées

4.1 Un réseau commuté avec VLANs

Compliquez le réseau en configurant le commutateur pour séparer les ports dans trois VLANs différents (par exemple rouge, vert et bleu). Utilisez les indications suivantes :

Configurez le commutateur en mode VLAN : utilisez un VLAN spécial (blanc) pour les équipements réseaux, donnez une adresse IP de service au commutateur.
Pour les adresses IP utilisez les classes C privées 192.168.0.0, 192.168.1.0, 192.168.2.0 et 192.168.3.0.
Vérifiez que les stations dans le même VLAN peuvent communiquer entre elles. Que se passe-t-il pour deux machines situées dans des VLANs différents ?

4.2 Un réseau filaire protégé par 802.1x

Le but est de faire en sorte que les ports du commutateur soient protégés et que les stations ne puissent les utiliser qu'après s'être identifiées par le protocole 802.1x. Le schéma classique de ce protocole met en jeu des clients (suppliants, ici vos machines Linux avec le paquetage wpasupplicant), un contrôleur d'accès (ici le commutateur 2950) et un serveur d'identification. En règle général le serveur est hébergé sur un serveur et fait tourner un logiciel de type FreeRadius. Pour simplifier votre travail vous installerez le serveur d'identification sur la borne wifi Aironet 1200. Pour configurer ces trois entités vous rechercherez de la documentation sur Internet (utilisez les mots clefs wpasupplicant, aironet local radius et 2950 dot1x radius. En résumé vous devez :

Configurer la borne wifi pour qu'elle se comporte comme un serveur radius pour identification par EAP. Créer sur cette borne un utilisateur par binôme.
Configurer le commutateur 2950G pour qu'il puisse faire du contrôle d'accès aux ports par 802.1x en utilisant la borne wifi comme serveur d'identification. Faites en sorte que votre port d'accès soit protégé par ce système. Vérifiez que votre station n'a plus accès au réseau.
Configurer le client wpasupplicant sur votre station Linux pour qu'elle retrouve son accès au réseau en s'identifiant auprès du système 802.1x par EAP en utilisant le compte que vous aurez défini sur la borne Aironet. Une fois la configuration stabilisée, déconnectez votre machine virtuelle du réseau, arrétez le client wpasupplicant, rebranchez la machine virtuelle. Que constatez-vous ?

4.3 Station avec gestion des VLANs

Chargez le module de gestion des VLANs 802.1q dans le noyau de votre station Linux. Récupérez le paquetage vlan.

Donnez une adresse IP à votre station dans chaque VLAN. Vérifiez que vous pouvez accéder aux stations dans tous les VLANs.
Activez le routage sur votre station entre les interfaces dans les différents VLANs. Vérifiez que ce routage fonctionne bien en demandant à un autre binôme d'utiliser votre station comme routeur.

4.4 Routage entre VLANs

Ajoutez le routeur dans le réseau et configurez le pour router les paquets entre les VLANs. Utilisez les indications suivantes :

Donnez une adresse au routeur dans chaque VLAN (y compris le VLAN blanc).
Ajouter un contrôle d'accès entre le VLAN rouge et le VLAN bleu interdisant le routage des paquets FTP. Vérifiez que le contrôle fonctionne bien.

4.5 Sortie vers Internet

On cherche à donner un accès direct à Internet pour vos machines virtuelles :

Configurez le commutateur pour que tous ses ports soient dans le VLAN 12 (TP).
Connectez un port du commutateur au réseau de l'EUDIL.
Donnez une adresse du réseau 193.48.57.160 (masque de réseau 255.255.255.224) à vos machines virtuelles.
Utilisez la passerelle de sortie sur Internet d'adresse IP 193.48.57.161 et le serveur DNS d'adresse IP 193.48.57.34.
Vérifiez (par exemple avec netscape) que vous avez accès à tout Internet.