Home Certifications Exercice de type « Router-on-a-stick »

Exercice de type « Router-on-a-stick »

Posted on Publié dans Certifications, Cisco, La pratique, Routing Étiquetté avec , , , , , , ,

Voici une mise en pratique de diverses techniques de bases ( routage inter-vlan, dhcp, access-list, …) dans le cadre d’un petit réseau de tpe « router-on-a-stick » (routage inter-vlan à l’aide d’un router dédié).

Description de l’exercice

Voici un réseau très modeste. Le but est ici d’implémenter une série de techniques de base afin de créer une structure cohérente, parmis celles-ci:

  • Utilisation de VLANs
  • Routage inter-VLANs
  • Sécurisation minimale des ports du switch
  • Application d’access-lists
  • Mise en place du dhcp pour les machines hôtes

Structure générale

Le switch, disposant de 24 ports FastEthernet comportera 4 VLANs ( 1-native, 10, 20 et 30 ). Les VLANs 10 et 20 doivent pouvoir acceuillir 10 hôtes, le VLAN 30 doit pouvoir contenir 4 serveurs. Aucun port ne peut rester dans le VLAN 1. Tous les ports devront être configurés pour n’accepter qu’une seule mac-adresse, apprise dynamiquement.

Le routeur en plus de sa fonction de base servira de serveur DHCP pour les  hôtes des VLANs 10 et 20.

Aussi bien sur le switch que sur le routeur on configurera l’accès de management via telnet. Toutefois seuls les hôtes du VLAN 10 pourront y accéder.

Un serveur Web/Dns est présent dans le VLAN 30 avec l’adresse statique 192.168.1.34/29. Tous les hôtes du réseau doivent pouvoir y accéder pour les requêtes DNS et ICMP (pour du troubleshooting éventuel), par contre, seuls les hôtes du VLAN 20 peuvent accéder à l’application Web de ce serveur.

Les adresses des réseaux/interfaces nécessaires sont indiqués sur le schéma.

Configuration du switch SW1

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname SW1
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/2
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/3-Fa0/8 identique ....
! .... omises pour gagner un peu de place ;-) ...
!
interface FastEthernet0/9
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/10
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/11
 switchport access vlan 20
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/12
 switchport access vlan 20
 switchport mode access
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/13-Fa0/18 identique ....
! .... omises pour gagner un peu de place ;-) ... 
!
interface FastEthernet0/19
 switchport access vlan 20
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/20
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/21
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! .... Config des ports Fa0/22-Fa0/23 identique ....
! .... omises pour gagner un peu de place ;-) ... 
!
interface FastEthernet0/24
 switchport access vlan 30
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
! Int Gig1/1 en TRUNK pour permettre le passage des VLANs vers le routeur. On ets ici sur un 2960, l'encapsulation est dot1q
!
interface GigabitEthernet1/1
 switchport mode trunk
!
! On met l'interface Gig1/2 en shutdown puisqu'elle ne sert à rien et qu'on ne veut pas permettre à quelqu'un de l'utiliser.
!
interface GigabitEthernet1/2
 shutdown
!
! On défini l'adresse IP du VLAN pour mermettre l'administration à distance du switch via telnet.
!
interface Vlan1
 ip address 192.168.0.2 255.255.255.252
!
! On défini la passerelle par défaut du switch
!
ip default-gateway 192.168.0.1
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
 login
!
line vty 0 4
 password 7 0822455D0A16
 login
 transport input telnet
line vty 5 15
 password 7 0822455D0A16
 login
 transport input telnet
!
!
end

Configuration du routeur R1

!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname R1
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
! L'interface physique est utilisée pour le VLAN 1 qui n'est pas taggé avec dot1Q.
! on y applique l'access-list 1 en out pour n'autoriser que le traffic venant du VLAN 10 vers l'interface d'admin du switch
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.252
 ip access-group 1 out
 duplex auto
 speed auto
!
! SubInterface pour le VLAN 10, encapsulation dot1Q
!
interface FastEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.1.1 255.255.255.240
!
! SubInterface pour le VLAN 20, encapsulation dot1Q
!
interface FastEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.1.17 255.255.255.240
!
! SubInterface pour le VLAN 30, encapsulation dot1Q
! on y applique l'access list extended "server-access" de manière à n'autoriser
! que le traffic icmp et DNS pour les VLANS 10 et 20 ! et uniquement
! le traffic Web provenant du VLAN 20 vers le serveur Web/DNS
!
interface FastEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.1.33 255.255.255.248
 ip access-group server-access out
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
ip classless
!
!
! Définition de l'access-list 1 pour l'accès telnet de management du routeur et du switch
!
access-list 1 permit 192.168.1.0 0.0.0.15
!
! Définition de l'access-list etended server-access pour l'accès au serveur Web/DNS
!
ip access-list extended server-access
 permit tcp 192.168.1.16 0.0.0.15 host 192.168.1.34 eq www
 permit icmp 192.168.1.0 0.0.0.31 host 192.168.1.34
 permit tcp 192.168.1.0 0.0.0.31 host 192.168.1.34 eq domain
 permit udp 192.168.1.0 0.0.0.31 host 192.168.1.34 eq domain
!
!
! On exclu les adresses des sub-interfaces du routeurs pour les pool DHCP
!
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.17
!
!
! Définition des pools DHCP pour chaque VLAN
!
ip dhcp pool vlan10
 network 192.168.1.0 255.255.255.240
 default-router 192.168.1.1
 dns-server 192.168.1.34
ip dhcp pool vlan20
 network 192.168.1.16 255.255.255.240
 default-router 192.168.1.17
 dns-server 192.168.1.34
!
!
!
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
 login
!
! On applique l'access-list 1 aux lignes VTY pour n'autoriser 
! que les connexion provenant du VLAN 10
!
line vty 0 4
 access-class 1 in
 password 7 0822455D0A16
 login
 transport input telnet
line vty 5 15
 access-class 1 in
 password 7 0822455D0A16
 login
 transport input telnet
!
!
!
end

Voilà donc les config complètes du switch et du routeur.

Le fichier PacketTracer (v5.x) de ce petit lab est disponible ICI. Tous les mots de passe définis dans l’exercice sont « cisco »

2 Comments on “Exercice de type « Router-on-a-stick »

  1. you can just use the range command:

    SW1(config)#interface range fa 0/1 – 10

    instead of configuring port by port .

    …. omises pour gagner un peu de place et un peut de temp aussi 😉 …

    • That’s right, and that’s just what i did. But when you use interface range command, this only applies the configuration on each port, and thus, doesn’t appear in the running-config.