Configuration CISCO

REPUBLIQUE DE MADAGASCAR
Fitiavana-Tanindrazana-Fandrosoana
……………………………….
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE
SCIENTIFIQUE
UNIVERSITE DE ……………………………….. ECOLE NATIONALE
FIANARANTSOA D’INFORMATIQUE

RAPPORT DE PROJET EN TROISIEME ANNEE DE FORMATION EN

LICENCE PROFESSIONNELLE

CONFIGURATION AVANCEE
CISCO

Présenté par: RAZAFIMANANTSOA R. Laurence M. M.

Encadreur: Docteur RAFAMANTANANTSOA Fontaine

Option: Administration Systèmes et Réseaux

Ecole Nationale d’Informatique Page 1

 Configuration CISCO

SOMMAIRE

INTRODUCTION ................................................................................................................................... 3
Partie I : VPN ET BGP............................................................................................................................ 4
1. ETUDE THEORIQUE : ........................................................................................................... 4
2. ETUDE PRATIQUE : ............................................................................................................... 6
Partie II : QoS ........................................................................................................................................ 14
1. Introduction : ........................................................................................................................... 14
2. Etude théorique : ..................................................................................................................... 14
3. Etude pratique : ....................................................................................................................... 15
Partie II : Pix Firewall ........................................................................................................................... 18
1. Introduction : ........................................................................................................................... 18
2. Etude pratique : ....................................................................................................................... 19
CONCLUSION ................................................................................................................................. 21

Ecole Nationale d’Informatique Page 2

 Configuration CISCO

INTRODUCTION

Le réseau IP devient actuellement un milieu en pleine expansion ou de nouvelles technologies

ne cessent de voir le jour. Nombreuses sont les matérielles que l’on peut utiliser, exploiter afin
de garantir la performance de notre réseau. Nous nous intéressons ainsi sur la configuration
avancée de matériel CISCO. CISCO ayant maintenu sa puissance et sa maitrise de
l’interconnexion réseau jusqu’à l’heure actuelle, dominer la configuration de celui-ci demeure
un atout pour tout administrateur réseau.

Notre travail se divisera alors en trois parties lesquelles illustreront la configuration de routeur
CISCO dans les domaines suivants :

 VPN
 BGP
 QoS
 Pix Firewall

Ecole Nationale d’Informatique Page 3

 Configuration CISCO

Partie I : VPN ET BGP

1. ETUDE THEORIQUE :

Le réseau IP étant en perpétuelle évolution, nous avons choisi d’intégrer notre configuration
dans un réseau MPLS (MultiProtocol Label Switching), sachant que ces deux technologies
sont généralement utilisées par de grands réseaux.

[Link] MPLS :

MPLS (Multi-Protocol Label Switching) est une architecture réseau proposée par l'IETF, son
rôle est de combiner les concepts du routage IP de niveau 3, et les mécanismes de la
commutation de niveau 2. MPLS doit permettre d'améliorer le rapport performance/prix des
équipements de routage et l'efficacité du routage en se basant sur le mécanisme de
commutation de label, ils peuvent être déployés sans modification au cœur du réseau.

[Link] Private Network :

VPN ou encore réseau privé virtuel se base sur la transmission de données à travers un lien
virtuel. Ce type de réseau est rapide, fiable, disponible et souple. Il est, en outre, accessible
pour les télétravailleurs, pour d’autres sites d’entreprise ainsi que pour les fournisseurs et
acheteurs.

Grâce à la technologie MPLS de plus en plus présente dans cette technologie de service,
l’utilisateur bénéficie de toutes les garanties souhaitées en matière de performances et de
sécurité. Ces garanties sont clairement fixées dans des accords de niveau de service (Service
Level Agreements).

Ecole Nationale d’Informatique Page 4

 Configuration CISCO

Les réseaux privés virtuels MPLS simplifient considérablement le déploiement des services
par rapport aux VPN IP traditionnels (Utilisation de lignes spécialisées, Utilisation de tunnels
IP, Utilisation de réseaux Frame Relay ou ATM).

Le service VPN consiste à la mise en place d’un réseau privé bâti sur une infrastructure
mutualisée ; l’aspect virtuel est dû à l’absence de reservation de lien physique de bout en bout
entre les différents sites du même client. De plus, la confidentialité des informations à travers
le réseau est assurée par la préservation des plans de routage et d’adressage de celui-ci.

[Link] Gateway Protocol :

BGP, (Border Gateway Protocol) est le protocole standard de l’Internet pour les
interconnexions entre opérateurs. Il est utilisé pour relier plusieurs Autonomus System (AS)
afin d’éviter les conflits de conformité de routage entre les AS.

Il est caractérisé par l’existence des EGP (Exterior Gateway Protocol) et IGP (Interior
Gateway Protocol). L’EGP est le protocole utilisé entre différents AS tandis que IGP est un
protocole utilisé au sein d’un seul AS.

Ecole Nationale d’Informatique Page 5

 Configuration CISCO

2. ETUDE PRATIQUE :
[Link]

Nous disposons alors de 6 routeurs :

 Deux customer edge : ce sont les routeurs utilisant le routage IP

 Deux provider edge : ces routeurs délimitent le réseau MPLS, ils se chargeront
d’insérer et d’enlever les labels à l’entrée et sortie du réseau.
 Deux provider : ce sont les routeurs du corps de notre réseau MPLS chargés de
commuter les paquets.
[Link] MPLS:

Tout d’abord, il est nécessaire de spécifier que nous avons utilisé OSPF comme routage
interne au sein du réseau MPLS avant d’effectuer la configuration de celle-ci.

Ecole Nationale d’Informatique Page 6

 Configuration CISCO

Verifions au préalable le bon fonctionnement du routage dynamique OSPF :

Sur PE1 :

Sur P1 :

Ecole Nationale d’Informatique Page 7

 Configuration CISCO

Sur P2 :

Sur PE2 :

Ecole Nationale d’Informatique Page 8

 Configuration CISCO

Un test avec la commande ping nous démontre que nos routeurs sont bien connectés entre
eux.

Nos routeurs interconnectés par OSPF, il nous faut configurer la plateforme MPLS. La
configuration se fait de la manière suivante :

PE1#Configure terminal

PE1(config)# mpls ldp advertise-labels

PE1(config)# mpls ldp router-id loopback0 force

PE1(config)# interface f1/0

PE1(config-if)# mpls ip

Cette configuration est appliquée au niveau des interfaces de tous les routeurs au sein du
réseau MPLS en prenant soin de respecter chaque interface des routeurs.

Testons à présent le bon fonctionnement de la configuration en visualisant les tables de labels

LIB. Pour ceci, on utilise la commande : show mpls forwarding-table.

Ecole Nationale d’Informatique Page 9

 Configuration CISCO

Prenons exemple sur PE2 afin d’analyser les résultats de celui-ci:

Les différents champs sont indispensables :

 local tag représente le tag du paquet à l’entrée du routeur

 outgoing tag propose le tag de sortie
 outgoing interface présente l’interface de sortie

Il devient alors possible d’analyser et de savoir la route que suit le label à travers le réseau.

[Link] VPN :

a/ Création de VRF :

Une VRF permet de virtualiser une partie du routeur. Par exemple, un routeur qui doit traiter
le trafic de plusieurs AS ayant le même adressage, afin de ne pas les mélanger, mettra chaque
AS dans une VRF. Chaque VRF a sa propre Routing Information Base (RIB, Table de
routage) et table Cisco Express Forwarding (doit être activé avec ip cef).

Notons que le routage se fera via BGP. On assignera à chaque VRF une route distinguisher,
qui, préfixé a une adresse IPv4 donnera une adresse VPNv4 unique dans tout le réseau (on
aura donc une RD par VRF).

Chaque VRF doit avoir une RD (unique) et une ou plusieurs RT en import et/ou export et ils
doivent être les mêmes sur tous les routeurs pour la même VRF. Si un routeur reçoit une mise
à jour avec la RT 1 :123, il l’injectera dans la table de routage de cette VRF ; aussi, seuls les
routeurs PE seront configurés car c’est à eux d’envoyer dans des messages la liste d’adresse
qu’ils peuvent desservir ainsi que les labels nécessaires pour la commutation des préfixes.

Ecole Nationale d’Informatique Page 10

 Configuration CISCO

La configuration des VRF se fait alors comme suit :

Prenons exemple sur PE1 :

PE1#Configure terminal

PE1(config)#ip vrf vpn1

PE1(config-vrf)# rd 1:100

PE1(config-vrf)# route-target export 1:100

PE1(config-vrf)# route-target import 1:100

PE2(config-vrf)# exit

Il est nécessaire de faire ceci pour chaque site à relier par VPN ; ici, notre liaison se nomme
vpn1.

b/ ASSIGNATION D’INTERFACE

Il faut à présent préciser l’interface du PE sur laquelle est relié le site client, dans notre cas,
une liaison entre PE et CE via l’interface f0/0 qui servira à commuter les paquets appartenant
à vpn1.

c/ Lancer OSPF dans VRF :

Ici on travaille avec le protocole de routage OSPF. On lance donc ce protocole, qui permettra
de remplir la table VRF du PE.

Ecole Nationale d’Informatique Page 11

 Configuration CISCO

Le routeur PE pourra alors router en IP les paquets à destination du routeur CE concerné.

[Link] (Border Gateway Protocol) :

Le protocole BGP est relatif aux routeurs PE gerant le même VPN, il s’agit alors des routeurs
PE1 et PE2. On va ainsi annoncer au routeur PE1 qu’il devra dialoguer avec le routeur PE2 en
utilisant ce protocole. Ainsi, PE1 enverra des messages de type update au routeur PE2. Ces
messages renseigneront PE2 sur les préfixes que peut joindre PE1, le next hop, le RT et le
label pour joindre le préfixe en question.

La configuration s’effectue comme suit :

PE1(config)#router bgp 1

PE1 (config-router)#no bgp default ipv4-unicast

PE1 (config-router)#neighbor [Link] remote-as 1

PE1 (config-router)#neighbor [Link] update-source Loopback

PE1 (config-router)#address-family vpnv4

PE1 (config-router-af)#neighbor [Link] activate

PE1 (config-router-af)#neighbor [Link] send-community both

PE1 (config-router-af)#exit

PE1 (config-router)#address-family ipv4 vrf vpn1

PE1 (config-router-af)#redistribute ospf 100

Et de même pour PE2 à l’exception de l’addresse du neighbor qui changera en celui de PE1.

Ecole Nationale d’Informatique Page 12

 Configuration CISCO

Il nous reste à présent à vérifier le bon fonctionnement des protocoles instaurés

précédemment :

PE1 :

PE2 :

Nous pouvons alors apercevoir que vpn1 fonctionne correctement avec l’instauration du
protocole BGP à travers notre réseau.

Ecole Nationale d’Informatique Page 13

 Configuration CISCO

Partie II : QoS
1. Introduction :

QoS ou Quality of Service est un concept de qualité de service introduit il y a quelques années
visant à apporter des garanties à l'utilisateur sur des points tels que le débit ou la perte de
paquets. Il se concentre d’avantage sur une utilisation plus efficace du réseau actuel que sur
l’augmentation des ressources.

2. Etude théorique :
L’existence de la QoS permet de répondre à certains problèmes critiques d’un réseau.

a/ La latence :

C’est le temps que met un paquet pour parcourir le chemin complet de sa source jusqu’à sa
destination. Ainsi,plus sa valeur est minimale, plus le réseau est rapide. La principale source
de latence est le temps de traitement dans les différentes unités traversées.

La QoS vise à réduire cette latence pour les trafics critiques en permetant de prioriser ces
trafics par rapport à d’autres.

b/ La gigue :

La gigue ou encore jitter n’est autre que la variation de la latence dans le temps.
La QoS permet de maitriser la jigue à l'aide d'algorithmes de gestion des files d'attente
evolués.

c/ Les paquets perdus

La perte de paquets est est due aux tailles limitées des mémoires tampons des unités
traversées qui sont souvent pleines lors des pics de trafic.
La QoS va permettre de définir que faire de ces paquets perdus.

d/ Le contrôle du débit

La QoS introduit la notion de contrôle du débit qui permet de fixer des limites selon de très
nombreux critères afin d'arriver à une bande passante "à la demande" selon le type de trafic.

Ecole Nationale d’Informatique Page 14

 Configuration CISCO

3. Etude pratique :

[Link] :

Nous allons implémenter un Qos au niveau du routeur R1 qui gèrera la qualité du service.

[Link] ACLs :

Les ACLs sont des listes d'instructions applicables à une interface de routeur. Ces listes
indiquent au routeur le type de paquets à accepter et le type à refuser. L'acceptation et le refus
peuvent être fondés sur certaines caractéristiques, telles que l'adresse d'origine, l'adresse de
destination et le numéro de port.

Sur R1 :

Ces commandes permettent d’instaurer une ACL ayant por caractéristiques :

 101 : numéro de l’ACL

 Permit : le traffic sera autorisé (par opposition a deny)
 Tcp : ACL concernant le traffic TCP
 Any : toutes les adresses ip source seront concernées
 Any : toutes les adresses ip de destination seront concernées
 Eq 20/21 : notre ACL concerne les ports 20 et 21

Ecole Nationale d’Informatique Page 15

 Configuration CISCO

[Link]-map :

La commande s’utilise en mode configuration globale et permet de créer une nouvelle "class"
ou bien de modifier une "class" existante :

Sur R1 :

Ceci permet de créer une classe nommée voip qui appliquera les règles instaurés dans l’acl
numéro 101.

[Link]-map :

Elle permet de créer une nouvelle "policy" ou politique spécifiant le traitement de la

classe définie plus haut. Ici, on réservera 30% de la bande passante à la classe nommée
voip.

[Link]-policy :

La commande service-policy permet de spécifier quelles « policy» seront appliquées sur

cette interface et pour quel trafic (entrant ou sortant). Ici, voip sera appliquée à l’interface
f0/0.

4. Vérifications :

Vérifions à présent que les paramètres de notre QoS ont bien été appliqués.

Ecole Nationale d’Informatique Page 16

 Configuration CISCO

 Classe :

 Policy-map :

 Service-policy :

Notre QoS étant instauré avec succès, il dépend à présent du type de réseau de juger des
valeurs et paramètres adéquats pour la performance de celui-ci.

Ecole Nationale d’Informatique Page 17

 Configuration CISCO

Partie II : Pix Firewall

1. Introduction :

Un firewall est un équipement placé dans un réseau informatique pour gérer la sécurité du
réseau et éviter des attaques malveillantes. Lorsqu’un réseau est équipé d’un firewall, il a la
possibilité de restreindre l’accès à certaines données. Ainsi, seules les personnes que l’on juge
aptes à consulter nos données pourront y accéder.

Le CISCO PIX Firewall est l’un des tous premiers firewall mis en place par CISCO. Ce
firewall mis sur le marché par Cisco en 1996 permet de filtrer le trafic sur un réseau. Ainsi,
si des données ou une personne non autorisée tentaient de s’introduire dans un système,
le firewall PIX (Private Internet eXchange) leur bloque l’accès. Ce firewall ne ralentit pas le
trafic écoulé par le réseau, son système d’exploitation est très sécurisé et spécifique pour la
protection des routeurs.

Le PIX offre une sécurité pour un large éventail de services de réseau, notamment les
suivantes:

 Traduction d’adresse réseau (NAT)

 VPN IPSec
 DHCP client / Serveur
 PPoE (Point to Point over Ethernet)
 Filtrage des URL
 Manipulation spéciale des protocoles DNS, H323 et RealAudio

Ecole Nationale d’Informatique Page 18

 Configuration CISCO

2. Etude pratique :
[Link] :

Notre topologie nous présente un réseau ayant accès à l’Internet et dont notre rôle est de gérer
la sécurité de celui-ci.

[Link] en œuvre :

Nommons les interfaces de notre firewall :

Ecole Nationale d’Informatique Page 19

 Configuration CISCO

Nous allons attribuer les adresses ip aux interfaces, mais tout d’abord, il est à noter que :
l’interface e0 est l’interface outside (sortie vers l’internet) ayant un niveau de sécurité égal
à 0 (security-level 0) et l’interface e1 est l’interface inside (vers LAN) ayant pour niveau de
sécurité égal à 100 (security-level 100).

Instaurons à présent la fonctionnalité NAT à notre firewall en translatant l’adresse du réseau

local [Link] en adresse public [Link] dès qu’il sort du réseau.

Enfin, la gestion des accès se fait via les ACLs :

Ces lignes de commandes permettent de créer une acl appelée acl_out_in. Cette acl autorise
les services pop3, http, imap4, smtp, de n’importe quelle IP vers n’importe quelle autre, et
autorise du ssh du réseau [Link]/24 vers toute IP.

Il reste donc à l’appliquer en entrée sur l’interface outside avec cette commande :

access-group acl_out_in in interface outside.

Ecole Nationale d’Informatique Page 20

 Configuration CISCO

Nous pouvons alors verifier nos droits d’accès avec la commande show access-list:

Nous avons étudié certaines fonctionnalités du pix firewall, nous pouvons approfondir
d’autres optionalités tout en garantissant le perfectionnement de notre réseau.

CONCLUSION

Ecole Nationale d’Informatique Page 21

 Configuration CISCO

Le réseau informatique ne cessant de se developper, il appartient à

l’administrateur de gérer au mieux la qualité, la performance ainsi que la
sécurité du réseau en sa tutelle. CISCO étant une infime partie des matériels
réseaux, ce projet nous a permis d’explorer ainsi que d’approfondir nos
connaissances en matière de routage et d’administration réseau.

Tout dépend alors des besoins et nécessités du parc informatique à administrer.

Ecole Nationale d’Informatique Page 22