IUT La Rochelle - Dépt R&T Réseau 2ème année

2011-2012 Module TR3

Laurent Demay Réseaux étendus

T.P. Protocole Point à Point (PPP)

Le but de ce TP est de s’initier sous Packet Tracer à la configuration du protocole PPP et de ses
mécanismes d’authentification dans des liaisons séries point à point synchrones entre routeurs Cisco.

Scénario

Un FAI fournit en location des liaisons séries dédiées à 2 clients qui leur permettent de se connecter à Internet.

I – Configuration du réseau et de la translation d’adresse

1) a) Effectuez la configuration réseau des machines PC1, PC2 et des routeurs R1, R2 suivant la topologie du schéma.
b) Définissez une route statique par défaut sur R1 et R2 en direction du FAI.

Le FAI n’ayant attribué qu’une adresse IP publique à chaque client, il leur faut effectuer une translation d’adresses pour
que leurs machines puissent se connecter à Internet.

2) a) Configurez sur R1 la translation d’adresse NAT et de port PAT pour tous les paquets sortants en direction du FAI.
b) Testez la bonne configuration du réseau du client 1 en essayant de joindre le serveur Web du FAI depuis le PC1.

3) a) Configurez sur R2 la translation d’adresse NAT et de port PAT pour tous les paquets sortants en direction du FAI.
b) Essayez depuis le PC2 de joindre le serveur Web du FAI. Que se passe-t-il ? Est-ce normal ?

II – Encapsulations HDLC et PPP sur des liaisons série point à point

1) Depuis R2 essayez de « pinger » l’interface 209.165.200.78 du routeur FAI. Que se passe-t-il ? Est-ce normal ?

2) a) Déterminez avec la commande router# show interfaces int quel protocole d’encapsulation est utilisé sur les interfaces
séries des routeurs R1, R2 et FAI. Quels sont les états (up/down) des interfaces ? des protocoles de ligne ?
b) Expliquez pourquoi la connexion vers Internet fonctionne pour le réseau du client 1 et pas pour celui du client 2.

3) Recherchez dans la documentation fournie, sur Internet, sur le cours CCNA Exploration 4 – Accès réseau étendu chapitre 2
les réponses aux questions suivantes :
a) Pourquoi faut-il utiliser un protocole d’encapsulation pour transmettre des données sur une liaison série point à point ?
b) Les protocole HDLC et PPP sont-ils propres à Cisco ? Permettent-ils la gestion de l’authentification ?
c) Quel est le protocole d’encapsulation série synchrone utilisé par défaut sur les routeurs Cisco ?
d) Quel protocole d’encapsulation est utilisé habituellement sur des liaisons séries dédiée longues distances ? Pourquoi ?
Quels autres services que la transmission sur la couche physique offre le protocole PPP par rapport à HDLC ?

III – Configuration de l’encapsulation PPP sur R2

1) a) Configurez le routeur R2 en mode débogage du protocole PPP. R2 # debug ppp negotiation

Passez en encapsulation PPP sur son interface série reliée au FAI. R2(config-if) # encapsulation ppp
b) Recopiez et commentez les différentes étapes de l’établissement de la liaison série avec le FAI par le protocole PPP.
En combien de phases s’effectue la négociation de la connexion ?
2) Vérifiez avec show interfaces int sur R2 et sur FAI l’état de l’interface série et du protocole sur la ligne.
Vérifiez que vous pouvez joindre le serveur Web du FAI depuis le PC2.
IV – Configuration de l’authentification PAP

Le protocole PPP étant essentiellement utilisé pour une liaison dédiée, par exemple louée à un FAI, il comporte un mécanisme
d’authentification PAP (Password Authentification Protocol) pour interdire à un autre utilisateur que l’abonné de l’utiliser.
1) a) Activez tout d’abords le débogage du protocole PPP sur les routeurs R1 et FAI.
b) Définissez sur le routeur FAI un compte utilisateur FAI(config) # username client1 password toto
d’abonné pour le client1, avec un mot de passe.
c) Activez l’authentification PAP sur l’interface série FAI(config-if) # ppp authentication pap
du FAI reliée au routeur R1 (ligne du client1).
Que se passe-t-il sur le routeur R1 ? Quel est l’état du protocole de ligne sur les interfaces série de R1 et de FAI ?

2) a) Coupez physiquement la connexion série entre R1 et le FAI.

Sur R1, configurez le nom d’utilisateur et le mot de
passe à envoyer sur l’interface série reliée au FAI. R1(config-if) # ppp pap sent-username client1 password toto

b) Rétablissez le lien série entre le FAI et R1 (attention, l’interface du FAI est en DCE )
Commentez les messages affichés sur la console de R1. Quelle est maintenant l’état de la liaison entre R1 et FAI ?

Pour plus de sécurité, l’authentification PAP peut être activée des deux cotés d’une liaison série point à point.

3) a) Définissez un compte utilisateur sur le routeur R1. R1(config) # username John password titi
Configurez l’interface du FAI reliée à R1 FAI(config-if) # ppp pap sent-username John password titi
pour s’authentifier grâce à ce compte.
Activez l’authentification PAP sur l’interface série de R1(config-if) # ppp authentication pap
R1 et vérifiez l’état de la liaison entre R1 et le FAI.
b) Quels intérêt voyez vous pour un FAI à utiliser l’authentification sur le routeur du client ?

V – Configuration de l’authentification CHAP

Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole d’authentification plus sécurisé que PAP
qui peut également être mis en œuvre sur une liaison série PPP.

1) Recherchez dans la documentation fournie les principales caractéristiques des protocoles PAP et CHAP.
a) A quel moment s’effectuent les authentifications PAP et CHAP ? Sont-elles répétées régulièrement ?
b) En combien de phases s’effectuent respectivement les authentifications PAP et CHAP ?
c) Les informations d’authentification sont-elles transmisses en clair ou cryptés dans les protocoles PAP et CHAP ?

2) a) Définissez sur FAI un compte utilisateur de nom R2 FAI(config) # username R2 password cisco
avec un mot de passe de votre choix.
b) Activez l’authentification CHAP sur son interface série reliée à R2 FAI(config-if) # ppp authentication chap
Que devient l’état du protocole de ligne sur R2 et FAI ? Pourquoi ?

3) a) Définissez sur R2 un compte utilisateur de nom FAI R2(config) # username FAI password ccna
avec un autre mot de passe. Que se passe-t-il ?
b) Redéfinissez sur R2 le compte utilisateur de nom FAI R2(config) # username FAI password cisco
avec le même mot de passe que le compte R2 sur FAI.
Que devient maintenant l’état du protocole de ligne sur les interfaces série de R2 et de FAI ?
Vérifiez la connectivité entre le réseau du client 2 et le FAI.

4) a) Pourquoi, contrairement au protocole PAP où l’on précise explicitement par la commande ppp pap sent-username …
les informations d’authentification à envoyer sur une interface, celles-ci ne sont indiquées pour le protocole CHAP ?
Comment sont-elles alors déterminées ?
b) Le mot de passe est-il transmis lors de l’authentification ? A quoi sert-il sinon ?
Pourquoi doit-il être le même des deux cotés de la liaison ?

5) a) Nous avons activé au 2) l’authentification CHAP sur le routeur FAI.

Combien faut-il de commandes supplémentaires pour l’activer aussi sur R2. Pourquoi ?
b) Activez alors l’authentification CHAP sur R2. Vérifiez ensuite la connectivité entre le réseau du client 2 et le FAI
Pourquoi l’état du protocole de ligne est-il repassé à down puis à up sur R2 alors qu’il est resté à up sur FAI ?