Skip to content

Mise en service d'un routeur Cisco

I. Connexion du PC au routeur pour en faire la configuration

  • Brancher le port console sur le port série d'un micro-ordinateur,
  • Sur le micro-ordinateur lancer Putty en choisissant la case « serial ». Si besoin, préciser le débit (par défaut 9600 bps).
  • Valider la configuration
  • Ensuite mettre le routeur sous tension,

II. Configuration du routeur

Une fois le routeur démarré, la console de commande en ligne vous propose une invite ">" signifiant que vous êtes dans le mode utilisateur.

  • enable (en) : pour entrer dans le mode commande privilégié permettant la gestion (statistique, debugage,...) du fonctionnement du routeur. La validation de cette commande entraîne souvent la demande d'un mot de passe. Par la suite pour revenir à ce niveau du mode commande, il suffira de taper « CTRL+Z ».
  • configure terminal (conf t) : pour entrer dans le mode de configuration globale. Ce mode est utilisé sur un routeur pour appliquer des instructions de configuration qui affectent l'ensemble du système.

A partir du mode ci-dessus, vous pouvez passer dans les modes spécifiques, l'invite du routeur se transforme et toute modification de la configuration s'appliquera alors uniquement aux interfaces ou aux processus couverts par le mode particulier.

III. Voir et sauvegarder la configuration du routeur

Show

show ? (sh ?) : pour lister toutes les options possibles de la commande show. On peut noter que quelle que soit la commande, et quel que soit le niveau de configuration, il est possible de connaître les options en tapant un « ? »

  • show running-config (ou sh run) pour lister la configuration en cours d'utilisation du routeur.
  • show startup-config (ou sh start) pour lister la configuration au démarrage du routeur.
  • show ip route (ou sh ip route) pour lister la table de routage du routeur
  • show interface (ou sh int) pour lister les caractéristiques des interfaces
  • show interface s0 (ou sh int s0) pour lister les caractéristiques de l'interface Serial 0

Sauvegarde et restauration

On peut utiliser la commande copy pour sauvegarder la configuration courante en mémoire non volatile ou pour récupérer une configuration à partir de la mémoire non volatile ou d'ailleurs

copy run start

... pour copier la configuration en train de fonctionner (RAM) vers la mémoire non volatile (NVRAM).

copy start run

... pour copier de la mémoire non volatile la configuration qui va fonctionner

copy tftp start

... pour copier un fichier d'un serveur tftp vers la mémoire non volatile

copy start tftp

... pour copier de la mémoire non volatile le fichier de configuration vers un serveur tftp

IV. Configuration des interfaces réseau d'un routeur CISCO

A. Interfaces FastEthernet

enable

Pour entrer dans le mode commande privilégié. (Si ce n'est déjà fait)

configure terminal

Pour modifier la configuration globale (Si vous n'est pas déjà dans ce mode)

interface fastethernet 0/0

Pour rentrer dans le mode de commande spécifique concernant l'interface Fast Ethernet 0/0

ip address 10.0.0.1 255.0.0.0

Pour affecter une adresse IP et son masque de sous-réseau à l'interface défini par la commande « interface Fast Ethernet 0/0 »

no shutdown

Pour indiquer que cette interface ne doit pas être inactive.

<crtl z>

Pour revenir en mode commande

show interface fastethernet 0/0

Pour vérifier la configuration de l'interface défini par la commande « interface ethernet 0 »

B. Interfaces series avec encapsulation PPP

Ex : Configuration IP de l'interface serie « serial 0/0 »

enable
configure terminal
interface serial 0/0
ip address 10.0.0.1 255.0.0.0
encapsulation ppp

Permet pour une interface série d'utiliser le protocole point to point sur la liaison série.

Seul le routeur faisant office de DCE doit fournir l'horloge :

clock rate XXXXXX

Par exemple : clockrate 64000 pour un débit de 64 kbit/s.

no shutdown
<crtl z>
show interface serial 0/0
show controllers serial 0/0

C. Authentification PPP

Les deux types principaux d'authentification avec PPP sont :

  • Le protocole PAP : A déconseiller car il transmet les mots de passe en clair sur le réseau.
  • Le protocole CHAP : Il est beaucoup plus sécurisé car il utilise les mots de passe par challenge (voir le principe ici).

Configuration de CHAP entre R1 et R2 :

Sur R1 :

hostname r1
username r2 secret motdepassecommun
interfaces s0/0
ppp authentication chap

Sur R2 :

hostname r2
username r1 secret motdepassecommun
interfaces s0/0
ppp authentication chap

V. Activer et configurer le routage

A. Forcer l'activation du routage

enable
configure terminal
ip routing

B. Ajouter une route statique

enable
configure terminal
ip route «@IP_réseau_dest» «masque» «prochain saut»

Pour indiquer une route statique.

Exemples :

ip route 192.168.10.0 255.255.255.0 s0
ip route 192.168.5.0 255.255.255.0 192.168.10.1

C. Ajouter une route par défaut

enable
configure terminal
ip route 0.0.0.0 0.0.0.0 «prochain saut»

Définit le prochain saut comme chemin de destination pour les paquets qui ne comportent pas d'entrées dans la table de routage.

D. Routage dynamique à vecteurs de distance : RIP

          Wan
        ___|___
       |       |
       |Routeur|
       |_______|
        /      \
       /        \
Réseau 1        Réseau 2
192.168.1.0     192.168.2.0
/24             /24

Commandes :

enable
configure terminal
router rip

Indiquer les réseaux directement connectés au routeur qui participent et seront diffusés dans les paquets RIP.

network «adresse du réseau»

Par exemple :

network 192.168.1.0
network 192.168.2.0

Envoyer et recevoir uniquement pour la version 1 ou 2 de RIP.

version 1

ou

version 2

Pour que RIP ne fasse pas les résumés de routes automatiquement :

no auto-summary

Pour propager la route par défaut :

default-information originate

Pour propager un réseau de passage pour sortir sur une destination inconnue.

ip default-network «reseau»

Afficher les valeurs des compteurs de routage et les informations de réseau associées à l'ensemble du routeur.

show ip protocol

Voir à l'écran tous les échanges RIP. S'arrête avec no debug ip rip.

debug ip rip

E. Routage dynamique à état de liens : OSPF

enable
configure terminal
router ospf «id-processus»

L'ID de processus est un numéro qui permet d'identifier un processus de routage OSPF sur le routeur. Plusieurs processus OSPF peuvent être démarrés sur un même routeur. Ce numéro peut être n'importe quelle valeur comprise entre 1 et 65535.

network «adresse réseau» «masque-générique» area «n° zone»

L'adresse réseau peut être celle d'un réseau entier ou d'un sous-réseau.

Le masque générique est un masque de sous réseau inversé : Pour un masque de sous-réseau de 255.255.255.0, le masque générique est 0.0.0.255

Chaque réseau doit pouvoir être identifié par la zone auquel il appartient.

default-information originate

Propagation de la route par défaut à tous les routeurs situés dans la zone OSPF.

Pour que l'OSPF fonctionne de manière appropriée, il est essentiel de définir la bande passante des interfaces séries.

interface serial 0/0
bandwidth «bp en kbit/s»

Par exemple pour une liaison 64 kbit/s : bandwidth 64

F. Routage inter-VLAN

Dans l'exemple, le routeur a trois sous-interfaces configurées sur l'interface Fast Ethernet 0/0. Ces trois sous-interfaces sont identifiées par 0/0.10, 0/0.20 et 0/0.30. Toutes les interfaces sont encapsulées pour 802.1Q.

                  Wan
                ___|___
               |       |
               |Routeur|
               |_______|
                 f0/0
                   |
Int f0/0.10   Int f0/0.20   Int f0/0.30   
Vlan 10       Vlan 20       Vlan 30       
192.168.10.0  192.168.20.0  192.168.30.0
/24           /24           /24

Commandes :

enable
configure terminal
interface f0/0.10
  encapsulation dot1q 10
  ip address 192.168.10.1 255.255.255.0
interface f0/0.20
  encapsulation dot1q 20
  ip address 192.168.20.1 255.255.255.0
interface f0/0.30
  encapsulation dot1q 30
  ip address 192.168.30.1 255.255.255.0

G. Afficher la table de routage

enable
show ip route

Affiche la table de routage IP qui contient toutes les entrées des réseaux et des sous-réseaux connus, avec un code indiquant la façon dont les informations ont été acquises. Ex : S pour route statique ; R pour route découverte par RIP.

VI. Connexion à distance par telnet

Pour que le routeur accepte une connexion telnet, vous devez mettre un mot de passe pour au mode privilégié

Passer en mode privilégié puis en mode de configuration :

enable secret «mot_de_passe»

Vous devez autoriser les connexions telnet

line vty 0 4
password «mot_de_passe»

Pour tester, vous pouvez taper avec un ordinateur sous Windows ou Linux :

telnet « adresse IP du routeur »

VII. Activation de NAT

A. Définitions :

  • Inside addresses -- L'ensemble des réseaux internes à l'entreprise.
  • Outside addresses -- Adresses publiques sur Internet.
  • Inside local address -- L'adresse IP d'un hôte interne.
  • Inside global address -- L'adresse IP d'un hôte interne telle qu'elle apparaît à l'extérieur. L'adresse translatée à l'aller.
  • Outside global address -- L'adresse IP d'un hôte externe.

NAT peut être utilisé pour effectuer plusieurs fonctions:

  • Nat statique -- "mapping" entre adresses "inside local" et "global".
  • Nat dynamique -- Permet de résoudre les problèmes d'adressage quand il y a recouvrement entre les adresses internes et externes.
  • Redirection de ports -- On peut définir un port sur le routeur qui sera toujours redirigé vers un serveur local n'ayant pas d'adresse publique.

    Ci-dessous, on considère que fa0/0 représente le réseau interne de l'entreprise et s0/0 représente l'interface connectée vers l'extérieur.

NAT statique :

interface f 0/0
ip nat inside
interface s 0/0
ip nat outside
CTRL + Z 
ip nat inside source static <adresse-interne> <adresse-externe>

Redirection de ports :

interface f 0/0
ip nat inside
interface s 0/0
ip nat outside
ip nat inside source static tcp <adr-interne> <port> <adr-externe> <port> extendable
ip nat inside source static udp <adr-interne> <port> <adr-externe> <port> extendable

Masquage d'adresse (surcharge) :

ip nat pool <nom-du-pool> <ip-publique-début> <ip-publique-fin> netmask 255.255.255.0

Liste des adresses éligibles au masquage d'adresses :

access-list <n°> permit <adresse-réseau> <masque-générique>

Association de la liste d'adresses globale avec les adresses internes autorisées (par ACL)

ip nat inside source list <n°> pool <nom-du-pool> overload

Définition des interfaces du routeur Intranet/Internet :

interface fa 0/0
ip nat inside
interface serial 0/0
ip nat outside

Vérifications :

show ip nat translations

Supprimer les translations statiques

clear ip nat translation *

VIII. DHCP

Dans la configuration de l'interface qui est connecté au serveur :

Quand un serveur DHCP et un client ne se trouvent pas sur le même segment et sont séparés par un routeur, la commande ip helper-address permet de relayer les requêtes de broadcast.

ip helper-address «adresse DHCP»

pour relayer les requêtes de broadcast pour ces services UDP clés.

Il peut y avoir plusieurs helper-address si plusieurs serveurs.

ip dhcp pool «nom»
network «adresse réseau» «masque»
default-router «adresse de la passerelle»
dns-server «adresse serveur DNS»
domain-name «nom de domaine»
netbios-name-server «adresse serveur DNS»
lease «jours» «heures» «minutes»
exit
ip dhcp excluded-address «adresse exclue 1» «adresse exclue 2»

Vérification du fonctionnement du DHCP :

show ip dhcp binding

permet de vérifier le fonctionnement du protocole DHCP.

debug ip dhcp server events

permet de dépanner le protocole DHCP.

show ip dhcp server statistics

permet de s'assurer que des broadcasts sont reçus, ou envoyés, par le routeur. Celle-ci permet d'afficher le nombre de messages DHCP envoyés et reçus.

IX.Recommandations Cisco pour les ACL

Les règles de base suivantes doivent être respectées lors de la création et de l'application des listes d'accès :

  • Une liste d'accès par direction et par protocole.
  • Les listes d'accès standard doivent être appliquées le plus près possible de la destination.
  • Les listes d'accès étendues doivent être appliquées le plus près possible de la source.
  • Pour faire référence à une interface d'entrée ou de sortie, placez-vous à l'intérieur du routeur en regardant l'interface en question.
  • Les instructions sont traitées dans l'ordre depuis le début de la liste jusqu'à la fin jusqu'à ce qu'une correspondance soit trouvée. Si aucune correspondance n'est détectée, le paquet est refusé.
  • Il existe un refus implicite deny any à la fin de toutes les listes de contrôle d'accès. Cela n'apparaît pas dans la liste de configuration.
  • Les entrées de la liste d'accès doivent filtrer les paquets dans l'ordre, du plus spécifique au plus général. Les hôtes spécifiques doivent être rejetés en premier, tandis que les groupes ou les filtres généraux viennent en dernier.
  • La condition de correspondance est examinée en premier. L'acceptation ou le refus est examiné UNIQUEMENT si la condition est vraie.
  • Ne travaillez jamais avec une liste d'accès qui est appliquée de manière active.
  • Utilisez un éditeur de texte pour créer des commentaires indiquant la logique, puis ajoutez les instructions correspondantes.
  • Les nouvelles lignes sont toujours ajoutées à la fin de la liste de contrôle d'accès. La commande no access-listx supprime toute la liste. Il n'est pas possible d'ajouter et de supprimer des lignes spécifiques dans des listes d'accès numérotées.
  • Une liste d'accès IP envoie un message ICMP d'hôte inaccessible à l'émetteur du paquet rejeté et élimine le paquet dans la corbeille prévue à cet effet.
  • Soyez particulièrement attentif lorsque vous supprimez une liste d'accès. Si la liste d'accès est appliquée à une interface de production et que vous la supprimez, selon la version de l'IOS, une instruction deny any peut être appliquée par défaut à l'interface et tout le trafic peut être arrêté.
  • Les filtres de sortie ne concernent pas le trafic généré par le routeur local.

Exemples d'ACL simples :

access-list <n°> <permit ou deny> host <adr-hôte>
                                    ou <adresse-réseau> <masque-générique>

L'ACL suivante interdit les requêtes provenant de l'hôte 192.168.0.1

access-list 10 deny host 192.168.0.1

L'ACL suivante interdit les requêtes provenant du réseau 192.168.0.0

access-list 10 permit 192.168.0.0 0.0.0.255

On applique l'ACL 10 à la sortie de l'interface FastEthernet 0/0

interface f0/0
ip access-group 10 out

Exemples d'ACL étendues :

access-list <n°> permit ou deny
    <ip, icmp, tcp, udp>
    <ip-source>
    <gt ou lt ou eq (plus grand, plus petit, égal à)> <n°port>
    <ip-destination>
    <gt ou lt ou eq (plus grand, plus petit, égal à)> <n°port>

L'ACL suivante permet au clients du réseau 192.168.0.0/24 d'aller visiter le serveur Web :

access-list 101 permit tcp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.1.1 eq 80

Permettre les requêtes ICMP du réseau 172.16.0.0 au 172.17.0.0

access-list 101 permit icmp 172.16.0.0 0.0.0.255 172.17.0.0 0.0.0.255

On applique l'ACL 101 à l'entré de l'interface FastEthernet 0/0

interface f0/0
ip access-group 101 in

Exemples d'ACL nommées :

ip access-list extended <nom>
    permit <ip, icmp, tcp, udp> <ip-source> <gt,lt,eq> <n°port>
    <ip-dest> <gt,lt,eq> <n°port>

L'ACL suivante permet au clients du réseau 192.168.0.0/24 d'aller visiter le serveur Web et DNS :

ip access-list extended monacl
    permit tcp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.1.1 eq 80
    permit udp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.2.1 eq 53

On applique l'ACL monacl à l'entrée de l'interface FastEthernet 0/0

interface f0/0
ip access-group monacl in

X. IPv6 :

Activer le routage IPv6 sur le routeur :

(config)# ipv6 unicast-routing

Donner une adresse IPv6 statique ou en auto-configuration à une interface :

(config-if)# ipv6 address <adresse>/<masque>

Donner une adresse IPv6 en mode autoconfiguration (norme eui-64) :

(config-if)# ipv6 address <préfixe>/<masque> eui-64

Routage statique en IPv6 :

(config)# ipv6 route <adresse-réseau>/<masque> <passerelle>
(config)# ipv6 route <adresse-réseau>/<masque> <interface de sortie>

Routage RIPng :

Avec RIPng, vous n'avez plus à définir les adresses réseaux avec la commande network.

Il faut activer RIP sur les interfaces sur lesquelles les adresses réseaux sont à transmettre.

(config)# ipv6 router rip <nom du processus>
(config-router)# exit
(config)# int s0/0
(config-if)# ipv6 rip <nom du processus> enable

Routage OSPFv3 :

Avec OSPFv3, de même que pour RIPng, plus de commande network mais l'activation du processus de routage sur l'interface que l'on souhaite.

(config)# ipv6 router ospf <n° processus>
(config-router)# exit
(config)# int s0/0
(config-if)# ipv6 ospf <n° processus> area <n° zone>

Routage EIGRPv6 :

Avec EIGRPv6, de même que pour RIPng et OSPFv3, plus de commande network mais l'activation du processus de routage sur l'interface que l'on souhaite.

(config)# ipv6 router eigrp <n° processus>
(config-router)# exit
(config)# int s0/0
(config-if)# ipv6 eigrp <n° processus>

Vérifications :

Les commandes show de ipv4 existent de la même manière en IPv6 :

show ipv6 interfaces brief
show ipv6 route
show ipv6 protocols

XI. Ré-initialisation de la configuration Routeur

  • Brancher le port console sur le port série d'un micro-ordinateur,
  • Effacer la mémoire de démarrage
    erase startup-config <Entrée> # pour effacer la configuration existante.
    reload <Entrée> # (pour redémarrer le routeur).
  • Au redémarrage du routeur, répondre :
    no # à la question d'autoconfiguration.

Puis on obtient le prompt

XII. Réinitialisation du Routeur après perte du mot de passe

  • Brancher le port console sur le port série d'un ordinateur. Mettre le routeur sous tension.
  • Dès que des informations apparaissent sur l'écran appuyer sur les touches CRTL + PAUSE.
  • Le prompt > apparaît, taper alors les commandes suivantes

    confreg 0x2142 reset

  • Le redémarrage du routeur se fait, répondre : no à la question.

  • le prompt Routeur(Boot) apparaît. Pour changer la configuration de Boot taper

    en # pour activer le mode administration du routeur. erase start # pour effacer la configuration existante d'un routeur 2600. conf t # pour accéder aux commandes de configuration du routeur. config-register 0x2102 # pour redémarrer le routeur normalement). CRTL+Z # pour revenir en mode commande « général ». reload # pour redémarrer le routeur

  • Après la question : voulez-vous sauvegarder la configuration ?, tapez « Y »

XIII. Récupération d'un désastre (perte de l'IOS)

  • Brancher le port console sur le port série d'un ordinateur. Mettre le routeur sous tension.
  • Dès que des informations apparaissent sur l'écran appuyer sur les touches CRTL + PAUSE.
  • Le prompt > apparaît, taper alors les commandes suivantes
IP_ADDRESS=171.68.171.0 
IP_SUBNET_MASK=255.255.254.0
DEFAULT_GATEWAY=171.68.170.3
TFTP_SERVER=171.69.1.129
TFTP_FILE=c2600-is-mz.113-2.0.3.Q
tftpdnld
IP_ADDRESS: "@ adresse"
IP_SUBNET_MASK: "masque"
DEFAULT_GATEWAY: "passerelle"
TFTP_SERVER: "@adresse du serveur tftp" (vérifier la connection avant)
TFTP_FILE: "Nom de l'image"
Do you wish to continue? y/n: [n]: y
    Receiving c2600-is-mz.113-2.0.3.Q from 171.69.1.129
    !!!!!!!!!!!!!!!!!!!!!
reload