Vous allez installer des réseaux locaux. Les réseaux locaux seront composés de quatre réseaux IP, deux pour les machines filaires et deux pour les machines WiFi. A ces quatre réseaux s’ajoute le réseau de service permettant d’accéder aux équipements réseau. Les adresses des réseaux IP sont les suivantes :
| Service | Filaire 1 | WiFi 1 | Filaire 2 | WiFi 2 | |
| Réseau 1 | 172.26.0.24/30 | 172.26.0.0/29 | 172.26.0.8/29 | 172.26.0.16/30 | 172.26.0.20/30 |
| Réseau 2 | 172.26.0.56/30 | 172.26.0.32/29 | 172.26.0.40/29 | 172.26.0.48/30 | 172.26.0.52/30 |
| Réseau 3 | 172.26.0.88/30 | 172.26.0.64/29 | 172.26.0.72/29 | 172.26.0.80/30 | 172.26.0.84/30 |
| Réseau 4 | 172.26.0.120/30 | 172.26.0.96/29 | 172.26.0.104/29 | 172.26.0.112/30 | 172.26.0.116/30 |
| Réseau 5 | 172.26.0.152/30 | 172.26.0.128/29 | 172.26.0.136/29 | 172.26.0.144/30 | 172.26.0.148/30 |
| Réseau 6 | 172.26.0.184/30 | 172.26.0.160/29 | 172.26.0.168/29 | 172.26.0.176/30 | 172.26.0.180/30 |
| Réseau 7 | 172.26.0.216/30 | 172.26.0.192/29 | 172.26.0.200/29 | 172.26.0.208/30 | 172.26.0.212/30 |
| Réseau 8 | 172.26.0.248/30 | 172.26.0.224/29 | 172.26.0.232/29 | 172.26.0.240/30 | 172.26.0.244/30 |
| Réseau 9 | 172.26.1.24/30 | 172.26.1.0/29 | 172.26.1.8/29 | 172.26.1.16/30 | 172.26.1.20/30 |
| Réseau 10 | 172.26.1.56/30 | 172.26.1.32/29 | 172.26.1.40/29 | 172.26.1.48/30 | 172.26.1.52/30 |
| Réseau 11 | 172.26.1.88/30 | 172.26.1.64/29 | 172.26.1.72/29 | 172.26.1.80/30 | 172.26.1.84/30 |
| Réseau 12 | 172.26.1.120/30 | 172.26.1.96/29 | 172.26.1.104/29 | 172.26.1.112/30 | 172.26.1.116/30 |
| Réseau 13 | 172.26.1.152/30 | 172.26.1.128/29 | 172.26.1.136/29 | 172.26.1.144/30 | 172.26.1.148/30 |
| Réseau 14 | 172.26.1.184/30 | 172.26.1.160/29 | 172.26.1.168/29 | 172.26.1.176/30 | 172.26.1.180/30 |
| Réseau 15 | 172.26.1.216/30 | 172.26.1.192/29 | 172.26.1.200/29 | 172.26.1.208/30 | 172.26.1.212/30 |
| Réseau 16 | 172.26.1.248/30 | 172.26.1.224/29 | 172.26.1.232/29 | 172.26.1.240/30 | 172.26.1.244/30 |
Les réseaux locaux doivent aussi être interconnectés et avoir une sortie sur Internet.
Les machines filaires sont distribuées équitablement sur deux VLAN (VLAN 2 et VLAN 3) déclarés sur votre commutateur. Le point d’accès WiFi est connecté par une liaison "trunk" sur une interface de commutation du commutateur/routeur. La liaison "trunk" va permettre de porter les VLAN WiFi 4 et 5.
Le réseau d’interconnexion entre les routeurs est 192.168.222.32/27 et doit être implanté sur une interface de routage. Il est conseillé de jetter un coup d’oeil à la sous-section 3.5 pour déterminer les adresses IP de vos routeurs dans le réseau d’interconnexion. Reliez les routeurs entre eux à l’aide du dernier commutateur. Les routeurs s’échangeront leurs tables de routage en utilisant le protocole RIPv2. L’IOS de Cisco permet de déclarer le protocole de routage RIP par le mot clef router rip. Comme nous cherchons à router une classe A disjointe (réseau IP 10.0.0.0/8), il faut préciser la directive no auto-summary dans le bloc de configuration. Dans ce bloc de configuration, il suffit ensuite de déclarer les réseaux participant au routage RIP avec le mot clef network. Vérifiez que la table de routage se remplit bien avec la commande show ip route.
Maintenant que vous avez toutes les informations, vous pouvez réaliser la configuration de votre commutateur et de votre routeur. Ces équipements réseaux se configurent par liaison série en utilisant l’utilitaire minicom avec les options -os. Configurez une communication sans contrôle de flux à 9600 bauds et utilisant le périphérique /dev/ttyS0. Pour obtenir les droits sur le port série, il peut être nécessaire de lancer le script super serial. Il est fortement recommandé de mettre le mot de passe glopglop sur vos éléments réseaux comme indiqué dans le cours. Cela vous permettra d’y accéder par un simple ssh. Pour accéder aux points d’accès et aux commutateurs par IP, il faut leur affecter une adresse IP de service. Sur le point d’accès il faut configurer une adresse IP sur l’interface BVI1 et pour les autres éléments vous pouvez faire de même sur l’interface VLAN1.
Pour l’accès via ssh sur vos éléments réseaux, il faut définir le domaine avec ip domain-name, générer une clef de chiffrement avec crypto key generate rsa et enfin autoriser la connexion ssh avec ip ssh pubkey-chain. Le mode de configuration ne sera accessible que si vous définissez un mot de passe global (enable secret), que vous définissez un mot de passe réseau sur les terminaux virtuels line vty) et que vous ajoutez un administrateur (username admin privilege 15 ...).
Connectez la seconde interface Ethernet de votre machine de travaux pratiques sur votre commutateur, sur un port configuré dans le bon VLAN. Supprimez le paquetage network-manager pour pouvoir contrôler manuellement la configuration réseau. Configurez l’interface réseau eth0 à partir du fichier /etc/network/interfaces. Pour vérifier le bon fonctionnement de votre réseau et de vos machines virtuelles, vérifiez que vous pouvez accèder à n’importe quelle autre machine, qu’elle soit ou non dans votre réseau local (utilisez l’utilitaire de test ping ou la commande ssh).
Pour la suite du TP, vous allez connecter vos réseaux au réseau de l’école. Une prise dans votre baie de brassage conduit au VLAN 132 privé du réseau de l’école. Connectez ce VLAN au réseau d’interconnexion de vos routeurs. Lisez attentivement l’extrait de session sur le routeur ci-dessous pour déterminer l’adresse IP que doit avoir votre propre routeur sur le réseau IP 192.168.222.32/27.
RG20-R6506#show running-config | include ip route 10.10 ip route 172.26.0.0 255.255.255.224 192.168.222.34 ip route 172.26.0.32 255.255.255.224 192.168.222.35 ip route 172.26.0.64 255.255.255.224 192.168.222.36 ip route 172.26.0.96 255.255.255.224 192.168.222.37 ip route 172.26.0.128 255.255.255.224 192.168.222.38 ip route 172.26.0.160 255.255.255.224 192.168.222.39 ip route 172.26.0.192 255.255.255.224 192.168.222.40 ip route 172.26.0.224 255.255.255.224 192.168.222.41 ip route 172.26.1.0 255.255.255.224 192.168.222.42 ip route 172.26.1.32 255.255.255.224 192.168.222.43 ip route 172.26.1.64 255.255.255.224 192.168.222.44 ip route 172.26.1.96 255.255.255.224 192.168.222.45 ip route 172.26.1.128 255.255.255.224 192.168.222.46 ip route 172.26.1.160 255.255.255.224 192.168.222.47 ip route 172.26.1.192 255.255.255.224 192.168.222.48 ip route 172.26.1.224 255.255.255.224 192.168.222.49
Pour trouver l’adresse IP de la route par défaut à implanter sur vos routeurs, regardez l’extrait de session ci-dessous :
RG20-R6506#show running-config interface vlan132 Building configuration... Current configuration : 146 bytes ! interface Vlan132 ip address 192.168.222.33 255.255.255.224 ip access-group 2032 out no ip mroute-cache end
Vérifiez que vos machines ont maintenant accès au réseau de l’école. Faites en sorte de pouvoir naviguer sur le web à partir de votre machine virtuelle. Comme serveur DNS, il est conseillé d’utiliser la machine d’adresse IP 193.48.57.48.
Plutôt qu’une connexion sur le réseau privé de l’école, vous allez tenter de connecter votre réseau local à Internet en passant par une liaison ADSL. Une autre prise dans votre baie de brassage conduit au VLAN 20 du réseau de l’école sur lequel se trouve un routeur ADSL. Connectez ce VLAN au commutateur commun. Vous allez devoir implanter deux VLAN sur ce commutateur pour séparer les flux, il semble assez logique de numéroter ces VLAN 20 et 132.
Pour pouvoir basculer d’une sortie Internet à une autre par un simple changement de la route par défaut sur votre routeur de site, il vous est demandé de connecter ce routeur au commutateur commun par un port "trunk". Pour connecter votre routeur de site sur les deux VLAN 20 et 132, vous implanterez des sous-interfaces sur l’interface de routage déjà utilisée.
Comme adresse pour votre routeur dans le VLAN 20 prenez une adresse IPv4 en 192.168.1.100+nb avec nb le numéro de votre réseau local. L’adresse IPv4 du routeur ADSL est 192.168.1.253.
Basculez le routage par défaut sur le routeur ADSL. Vérifiez que vous avez un accès à Internet. Le passage par un mandataire web est-il encore nécessaire ?
Cette fois vous allez implanter votre propre mascarade. Pour cela, vous passerez par un troisième VLAN du réseau de l’école. Ce troisième VLAN est un VLAN avec des adresses publiques, il s’agit du VLAN 111 de réseau IPv4 associé 193.48.65.96/27. Connectez la prise de la baie de brassage correspondante sur le commutateur commun, rajoutez le VLAN sur ce dernier.
Si assez de routeurs sont disponibles ne configurez pas le réseau du VLAN 111 sur votre routeur de site, utilisez un routeur libre pour réaliser la mascarade. Connectez donc ce second routeur au VLAN 111 par une de ses interfaces de routage. Comme adresse pour votre routeur dans le VLAN 111 prenez une adresse IPv4 en 193.48.65.100+nb avec nb le numéro de votre réseau local. Dans le VLAN 111, l’adresse IPv4 du routeur de l’école est 193.48.65.126. Pour l’interconnexion entre le routeur de site et le routeur de mascarade utilisez le réseau IPv4 192.168.222.248/29. Vous êtes libres des adresses IPv4 que vous affectez aux deux routeurs.
S’il n’y a plus de routeur disponible, implantez directement le VLAN 111 sur votre routeur de site avec une adresse en 193.48.65.100+nb où nb est le numéro de votre réseau.
La mise en place de la mascarade se fait très simplement sous IOS. Il suffit d’ajouter les directives ip nat inside et ip nat outside sur les interfaces ad hoc. Avec un peu de réflexion vous trouverez quelle directive se place sur quelle interface. Il est aussi nécessaire d’utiliser une directive globale :
access-list <numéro> permit ip <réseau IP source> any
ip nat inside source list <numéro de règle> interface <nom d'interface publique> overload
Ajustez les routes par défaut pour que vos machines puissent sortir sur Internet. Vous devriez avoir une connexion équivalente à celle de la seconde méthode.