guill.net - La page des réseaux
 
Cisco 2500 : Routage, access-list et NAT

I. Principes du routage

Quand le routeur reçoit un paquet sur une interface, il recherche dans sa table de routage l’adresse du réseau destination pour  sélectionner l’interface de sortie.
Par défaut le routeur connaît les adresses IP des réseaux directement connectés à ses interfaces.
La commande :  sh ip route permet de vérifier les protocoles de routage actifs.

1. Se connecter au routeur 1 en mode Telnet.
2. Utiliser la commande PING  @ip depuis les routeurs pour vérifier les accès aux différents réseaux.
3. Depuis les postes de travail utiliser la commande PING (MS-DOS) pour vérifier les accès aux différents réseaux.

Si la route pour atteindre le brin 3 n'est pas déclarée sur le routeur 1, les PC du brin1 n'auront pas accès à ceux du brin 3.

1. Le routage statique

Si le réseau destination est directement connecté au routeur le transfert des paquets à destination de ce réseau sera implicitement assuré.
Si le réseau destination n’est pas directement connecté au routeur il faut alors définir la route à suivre ( prochain routeur ) pour joindre ce réseau.
Cette information  ( @réseau  destination - @ du prochain routeur ) est  mémorisée dans la table de routage.
Cette table de routage peut être renseignée par un opérateur (Routage statique ) ou par un autre routeur grâce à un protocole de routage (RIP -IGRP-...) qui assure les échanges des tables de routage entre routeurs voisins.

Exemple :
ip  route    @Ip réseau-destination    masque*   @Ip-prochain-routeur
ip route  193.55.56.0  255.255.255.0  194.144.120.12

Dans notre exemple :
ip route @IPb3 255.255.255.0 @IPr2b2

masque* : les valeurs positionnées à 0 dans le masque ne sont pas prises en compte dans l’adresse réseau  destination pour le choix de la route.

Conséquence :

Définition d’une route par défaut
 ip route 0.0.0.0   0.0.0.0  194.144.120.12

Tous le paquets à destination de réseaux non connectés directement au routeur seront   transmis  à l’interface d’adresse 194.144.120.12

Ajouter les routes statiques pour permettre les échanges entre tous les postes de travail connectés aux différents segments du réseau.
Pour vérifier le routage utiliser les commandes : ping, tftp  ou  ftp  (ms-dos)

Remarque :
N’oublier pas de configurer les ‘’default gateway’’ sur chaque poste de travail).

2. Le protocole RIP

Les routeurs peuvent aussi utiliser des protocoles de routage pour mettre à jour régulièrement leur table de routage.
Le protocole RIP  ’’Routing Information Protocol ’’ : chaque routeur transmet à son voisin par BROADCAST sa table de routage toutes les 30’’.

Réaliser la mise  jour des tables de routage avec le protocole RIP

1 - Vérifier le routage actif : sh ip route
2 - Supprimer les routes statiques : no ip route @ IP_réseau  masque
3 - Activer sur chaque routeur le protocole RIP
router RIP
4 - Préciser les adresses IP  des réseaux  connectés au routeur et à diffuser :
network xxx.xxx.xxx.xxx
5 - Vérifier les routes connues par le routeur
sh ip route
6 - Pour désactiver le protocole RIP
no router RIP
7 - Tester les échanges entre les postes de travail.

II. Le contrôle des accès (Filtres) : access-list

Les routeurs CISCO possèdent une fonction de filtrage des paquets. Ces filtres sont définis pour chaque interface en entrée et/ou  en sortie. Pour  définir un filtre en entrée sur l’interface ethernet 1 :

1. Ajouter la commande : ip access-group 101 in dans la définition des caractéristiques de l’interface.

Exemple :
!
interface Ethernet1
 description reseau eleve
 ip address 194.50.149.50 255.255.255.0
 ip access-group 101 in
 no mop enabled
!

2. Définir le filtre associé  à l’interface par son N°:

access-list 101 permit ip host 198.54.153.164 host 195.51.150.125
ou
access-list 101 deny tcp host  193.49.148.206 eq ftp host 193.49.148.13
ou
access-list 10 permit ip 198.54.153.164

Remarques :
Les  ‘’acces-list’’ standards  sont numérotés de 0 à 99 (filtre sur les adresses Ip).
Les ‘’access-list’’ étendus sont numérotés de 100 à 199 (filtre sur les applications).
Par défaut les paquets sont bloqués, sauf si une commande  (acces-list) autorise le passage du paquet.
Les ‘’access-list ‘’ sont mémorisés et  scrutés par ordre d’écriture ; le routeur arrête  la lecture des ’’access-list’’ dès qu’une condition est vérifiée.

Conséquence :
Dans un fichier de programmation (Conf net), il est souhaitable de supprimer tous les « access-list » précédemment définis pour une interface avant  de définir les nouveaux.

Exemple :
!
no access-list 101
access-list 101 deny   ip any 195.51.150.0 0.0.0.255
access-list 101 deny   ip any 196.52.151.0 0.0.0.255
access-list 101 deny   ip any 197.53.152.0 0.0.0.255
access-list 101 deny   ip any 198.54.153.0 0.0.0.255
access-list 101 permit ip any any
!

III. La  fonction NAT  «  Network Address Translation »

Cette fonction permet de translater les adresses IP lors du passage des paquets à travers le routeur. Elle est utilisée pour étendre l’adressage IP d’un réseau interne, sans tenir compte des adresses officielles  d’accès à Internet.

La notion de domaine interne et externe est importante, comme pour les access-lists, puisqu'elle définit la translation pour tout paquet "sortant" du réseau, mais également pour tout paquet "entrant".

Pour contrôler les translations les routeurs CISCO utilisent :
- « Inside local address » : adresse IP d’un système du réseau interne.
- «  Inside  global Address » :  Adresse IP ( allouée  par le NIC – ou le fournisseur d’accès ) qui représente une adresse IP du réseau interne vue du monde extérieur. (Outside).
- « Outside local address » : Adresse IP d’un système du monde extérieur  utilisée par les systèmes du réseau interne.
- «  Outside global address » : Adresse IP d’un système du monde extérieur ( routable) définie par son propriétaire.

Définition des  interfaces « Inside » et « Outside » :

interface Ethernet 0
 description acces internet
 ip address 193.49.148.160 255.255.255.0
 ip access-group 150 in
 ip nat outside
!
interface Ethernet 1
 description reseau interne
 ip address 192.168.10.10 255.255.255.0
 ip access-group 160 in
 ip nat inside

Translation statique utilisée pour permettre les accès aux serveurs :

ip nat translation timeout 43200
ip nat inside source static @IPInterne  @IP-Translatée
ip nat inside source static 192.168.10.100 193.49.148.60

Translation dynamique :

ip nat translation timeout 43200
!défition de la zone d’adresses IP utilisables
ip nat pool SALLE-1 193.49.148.70 193.49.148.80 netmask 255.255.255.0
ip nat inside source list 1 pool SALLE-1
!
!Définition des stations autorisées à effectuer du NAT
!
no  access-list 1
access-list 1 permit 192.168.10.0 0.0.0.255

Pour configurer les réponses au requêtes ARP pour les adresses IP translatées :

arp 193.49.148.60 00e0.1466.1112 ARPA alias
arp 193.49.148.70 00e0.1466.1112 ARPA alias
arp 193.49.148.71 00e0.1466.1112 ARPA alias
arp 193.49.148.72 00e0.1466.1112 ARPA alias