Exercice de type « Router-on-a-stick »
Voici une mise en pratique de diverses techniques de bases ( routage inter-vlan, dhcp,
access-list, …) dans le cadre d’un petit réseau de tpe « router-on-a-stick » (routage inter-
vlan à l’aide d’un router dédié).
Description de l’exercice
Voici un réseau très modeste. Le but est ici d’implémenter une série de techniques de
base afin de créer une structure cohérente, parmis celles-ci:
Utilisation de VLANs
Routage inter-VLANs
Sécurisation minimale des ports du switch
Application d’access-lists
Mise en place du dhcp pour les machines hôtes
Structure générale
Le switch, disposant de 24 ports FastEthernet comportera 4 VLANs ( 1-native, 10, 20 et
30 ). Les VLANs 10 et 20 doivent pouvoir acceuillir 10 hôtes, le VLAN 30 doit pouvoir
contenir 4 serveurs. Aucun port ne peut rester dans le VLAN 1. Tous les ports devront
être configurés pour n’accepter qu’une seule mac-adresse, apprise dynamiquement.
Le routeur en plus de sa fonction de base servira de serveur DHCP pour les hôtes des
VLANs 10 et 20.
1/8
�Aussi bien sur le switch que sur le routeur on configurera l’accès de management via
telnet. Toutefois seuls les hôtes du VLAN 10 pourront y accéder.
Un serveur Web/Dns est présent dans le VLAN 30 avec l’adresse statique
[Link]/29. Tous les hôtes du réseau doivent pouvoir y accéder pour les requêtes
DNS et ICMP (pour du troubleshooting éventuel), par contre, seuls les hôtes du VLAN 20
peuvent accéder à l’application Web de ce serveur.
Les adresses des réseaux/interfaces nécessaires sont indiqués sur le schéma.
Configuration du switch SW1
2/8
�!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname SW1
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
! .... Config des ports Fa0/3-Fa0/8 identique ....
! .... omises pour gagner un peu de place ;-) ...
!
interface FastEthernet0/9
switchport access vlan 10
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/10
switchport access vlan 10
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/11
switchport access vlan 20
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/12
switchport access vlan 20
switchport mode access
switchport port-security mac-address sticky
!
! .... Config des ports Fa0/13-Fa0/18 identique ....
! .... omises pour gagner un peu de place ;-) ...
!
interface FastEthernet0/19
switchport access vlan 20
switchport mode access
3/8
� switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/20
switchport access vlan 30
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/21
switchport access vlan 30
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
! .... Config des ports Fa0/22-Fa0/23 identique ....
! .... omises pour gagner un peu de place ;-) ...
!
interface FastEthernet0/24
switchport access vlan 30
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
! Int Gig1/1 en TRUNK pour permettre le passage des VLANs vers le routeur. On ets
ici sur un 2960, l'encapsulation est dot1q
!
interface GigabitEthernet1/1
switchport mode trunk
!
! On met l'interface Gig1/2 en shutdown puisqu'elle ne sert à rien et qu'on ne
veut pas permettre à quelqu'un de l'utiliser.
!
interface GigabitEthernet1/2
shutdown
!
! On défini l'adresse IP du VLAN pour mermettre l'administration à distance du
switch via telnet.
!
interface Vlan1
ip address [Link] [Link]
!
! On défini la passerelle par défaut du switch
!
ip default-gateway [Link]
!
!
line con 0
password 7 0822455D0A16
logging synchronous
login
!
line vty 0 4
password 7 0822455D0A16
login
transport input telnet
4/8
�line vty 5 15
password 7 0822455D0A16
login
transport input telnet
!
!
end
Configuration du routeur R1
5/8
�!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname R1
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
! L'interface physique est utilisée pour le VLAN 1 qui n'est pas taggé avec dot1Q.
! on y applique l'access-list 1 en out pour n'autoriser que le traffic venant du
VLAN 10 vers l'interface d'admin du switch
!
interface FastEthernet0/0
ip address [Link] [Link]
ip access-group 1 out
duplex auto
speed auto
!
! SubInterface pour le VLAN 10, encapsulation dot1Q
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address [Link] [Link]
!
! SubInterface pour le VLAN 20, encapsulation dot1Q
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address [Link] [Link]
!
! SubInterface pour le VLAN 30, encapsulation dot1Q
! on y applique l'access list extended "server-access" de manière à n'autoriser
! que le traffic icmp et DNS pour les VLANS 10 et 20 ! et uniquement
! le traffic Web provenant du VLAN 20 vers le serveur Web/DNS
!
interface FastEthernet0/0.30
encapsulation dot1Q 30
ip address [Link] [Link]
ip access-group server-access out
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
ip classless
!
!
! Définition de l'access-list 1 pour l'accès telnet de management du routeur et du
switch
!
access-list 1 permit [Link] [Link]
6/8
�!
! Définition de l'access-list etended server-access pour l'accès au serveur
Web/DNS
!
ip access-list extended server-access
permit tcp [Link] [Link] host [Link] eq www
permit icmp [Link] [Link] host [Link]
permit tcp [Link] [Link] host [Link] eq domain
permit udp [Link] [Link] host [Link] eq domain
!
!
! On exclu les adresses des sub-interfaces du routeurs pour les pool DHCP
!
ip dhcp excluded-address [Link]
ip dhcp excluded-address [Link]
!
!
! Définition des pools DHCP pour chaque VLAN
!
ip dhcp pool vlan10
network [Link] [Link]
default-router [Link]
dns-server [Link]
ip dhcp pool vlan20
network [Link] [Link]
default-router [Link]
dns-server [Link]
!
!
!
!
!
line con 0
password 7 0822455D0A16
logging synchronous
login
!
! On applique l'access-list 1 aux lignes VTY pour n'autoriser
! que les connexion provenant du VLAN 10
!
line vty 0 4
access-class 1 in
password 7 0822455D0A16
login
transport input telnet
line vty 5 15
access-class 1 in
password 7 0822455D0A16
login
transport input telnet
!
!
!
end
Voilà donc les config complètes du switch et du routeur.
7/8
�Le fichier PacketTracer (v5.x) de ce petit lab est disponible ICI. Tous les mots de passe
définis dans l’exercice sont « cisco »
8/8
