Discussion :

[mangasource]

Bonjour, bonsoir,

Je travaille actuellement sur un Packet Tracer, et je rencontre une certaine difficulté quand à la possibilité d'inter-connecté deux sites "distants" via un émulateur Wan Cloud-PT.



Sur la partie gauche :
- VLAN 10, 20, 30, 50, 254 (Adressage : 172.30.X.0)
- Switch 1 -> VTP Server
- Switch 2 -> VTP Client

Sur la partie droite :
- VLAN 60 (Adressage : 172.30.X.0)
- Switch -> VTP Client

Les deux routeurs ping, j'ai suivi un tuto pour les inter-connecté, mais j'avoue ne pas tout à fait comprendre la chose.
Je cherche donc à savoir comment cela fonctionne ?

Et ma question principale : Comment faire pour que mon annexe soit vu de la partie gauche et puisse accéder à ces VLAN ? (J'ajouterai ensuite des ACLs afin de gérer mes flux de données)

PS : Mon fichier est loin d'être exempt de défauts, et je suis ouvert à toute critique/explication.

Merci par avance de vos réponses,
Cordialement,
Quentin

[Invité]

Salut,

Sur RouterAnnexe, tu vas avoir besoin d'une default route :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Router(config)#ip route 0.0.0.0 0.0.0.0 172.30.1.1
Router(config)#exit

Puis sur RouterSiege, une route statique pour joindre le réseau 172.30.60.0/24 de l'Annexe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Router(config)#ip route 172.30.60.0 255.255.255.0 172.30.1.2
Router(config)#exit

Et là, normalement, depuis l'Annexe, tu devrais pouvoir pinguer les interfaces IP de RouterSiege.


En revanche, ça ne suffira pour joindre les interfaces IP des switches... Il faut leur déclarer leur default gateway ;

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Switch(config)#ip default-gateway 172.30.10.254
Switch(config)#^Z

Mon fichier est loin d'être exempt de défauts, et je suis ouvert à toute critique/explication.

Etant donné que tu utilises les adresses IP du 1841 comme gateway des VLANs, il n'y a pas vraiment d'intérêt à configurer toutes ces adresses IP sur le 2950. Une seule suffirait pour le management...

D'autre part, si "2950 Switch 2" venait à tomber, ce serait la cata
Je vois "Compta" par exemple. Si c'est au moment des payes, ça va stresser
Pire encore, y a des VIP connectés sur ce switch.

Une petite redondance entre "2950 Switch 2" et le 1841 serait la bienvenue. Ca te permettra en plus d'équilibrer les flux sur les 2 liens qui arrivent au 1841 (Per Vlan Spanning Tree).

Steph

[mangasource]

Salut,

Sur RouterAnnexe, tu vas avoir besoin d'une default route :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Router(config)#ip route 0.0.0.0 0.0.0.0 172.30.1.1
Router(config)#exit

Puis sur RouterSiege, une route statique pour joindre le réseau 172.30.60.0/24 de l'Annexe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Router(config)#ip route 172.30.60.0 255.255.255.0 172.30.1.2
Router(config)#exit

Et là, normalement, depuis l'Annexe, tu devrais pouvoir pinguer les interfaces IP de RouterSiege.

La simple mise en place de ces routes me permet de ping toutes les machines entre elles.
Une question, je ne me souviens plus, que permet la default route ?

Une autre question. Dans cette configuration, le VTP ne fonctionnera pas entre le siege et l'annexe, si ? (Actuellement, un Switch Server et un Switch client sur le siege, et un Switch client sur l'annexe)

Étant donné que tu utilises les adresses IP du 1841 comme gateway des VLANs, il n'y a pas vraiment d'intérêt à configurer toutes ces adresses IP sur le 2950. Une seule suffirait pour le management...

Tu parles ici des adresse en X.X.X.253 sur le Switch1 ?

D'autre part, si "2950 Switch 2" venait à tomber, ce serait la cata
Je vois "Compta" par exemple. Si c'est au moment des payes, ça va stresser
Pire encore, y a des VIP connectés sur ce switch.

Une petite redondance entre "2950 Switch 2" et le 1841 serait la bienvenue. Ca te permettra en plus d'équilibrer les flux sur les 2 liens qui arrivent au 1841 (Per Vlan Spanning Tree).

Mon sujet ne demande pas (encore) de redondance, même si je garde l'idée au chaud, ne serait-ce que pour mon savoir personnel. Merci pour la remarque !


Maintenant que toutes mes machines communiquent, je peux donc mettre en place les VLANs (Aucune communication entre les VLAN, mais toutes les VLANs doivent pouvoir communiquer avec les serveurs (VLAN 253))

[Invité]

Une question, je ne me souviens plus, que permet la default route ?

Lorsqu'un routeur veut forwarder un paquet, il fait ce qu'on appelle un route lookup.


S'il y a une entrée spécifique pour la destination du paquet, le routeur l'envoie vers le next hop de cette entrée de la table de routage.


S'il n'y a pas d'entrée spécifique, le paquet est envoyé vers la default route.


En d'autres termes, la default route, c'est la route utilisée pour les paquets de destination inconnue.

Une autre question. Dans cette configuration, le VTP ne fonctionnera pas entre le siege et l'annexe, si ? (Actuellement, un Switch Server et un Switch client sur le siege, et un Switch client sur l'annexe)

Non, ça ne fonctionnera pas. VTP n'est pas routable et reste confiné dans "son" L2.


Une bonne pratique consiste à positionner le VTP serveur sur le coeur de réseau L2/L3 puis de configurer tous les autres switches L2 en VTP serveur ou client.


Mais je connais une meilleure pratique : désactiver VTP. Parce que quand VTP part en vrille, ou bien si un équipement VTP est connecté sur le réseau avec une version de table VTP plus haute que celle du réseau live, c'est la catastrophe

Tu parles ici des adresse en X.X.X.253 sur le Switch1 ?

Oui. Ces adresses n'ont pas d'utilité parce que tes switches sont "purs L2".
Et en configurant toutes ces adresses IP qui sont dans l'espace d'adressage utilisateurs, tu crées potentiellement des portes d'entrées dans le stack IP du switch. Je me méfie toujours des utilisateurs geeks/apprentis-sorciers comme la peste

Mon sujet ne demande pas (encore) de redondance, même si je garde l'idée au chaud, ne serait-ce que pour mon savoir personnel. Merci pour la remarque !

OK.
Déformation professionnelle sans doute

Maintenant que toutes mes machines communiquent, je peux donc mettre en place les VLANs (Aucune communication entre les VLAN, mais toutes les VLANs doivent pouvoir communiquer avec les serveurs (VLAN 253))

A priori, ton infra L2/L3 est tirée et tu as la connectivité IP totale de bout-en-bout.
Tu peux donc maintenant passer aux access-lists pour filtrer le traffic que tu veux.


Bon lab.


Steph

[mangasource]

Merci pour tes conseils !

Bon, avant de poser mes questions : Les access-list étendues on y défini le protocole, le réseau source et le réseau destination. C'est bien ça ? (Et ensuite on l'affecte au port du Routeur le plus près de la source ?)

Je viens de faire un test, mais je ne suis pas sûr du résultat que je devrais avoir.
Je voudrais autoriser la communication du réseau 172.30.10.0 au réseau 172.30.254.0 uniquement. Pour ce faire, voici mon access-list, que j'ai affecté à la sub-interface fa0/0.1 (qui correspond à la gateway de mon réseau source) en IN :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
access-list 110 permit ip 172.0.0.0 0.255.255.255 172.0.0.0 0.255.255.255
access-list 110 deny ip any any

Si j'ai bien saisi le raisonnement (apparemment non xD), le réseau 172.30.10.0 devrait pouvoir communiquer avec le réseau 172.30.254, mais pas avec les autres. Est-ce bien cela ?

Merci par avance, et désolé si je ne suis pas très clair ^^'

[Invité]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
access-list 110 permit ip 172.0.0.0 0.255.255.255 172.0.0.0 0.255.255.255
access-list 110 deny ip any any

Là, tu fais un permit de 172.0.0.0/24 vers 172.0.0.0/24...
Non, ça ne fonctionnera pas

Je te laisse quand même chercher avant de te donner la solution

Deux remarques au passage :
- prends l'habitude de penser au trafic aller **et** retour,
- tu peux ajouter le mot-clé log à tes access-lists, quand tu feras un show access-list 110 tu verras le nombre de paquets qui ont traversé ton filtre.

Steph

[mangasource]

Effectivement ça m'a sauté aux yeux après coup xD

Pour le trafic retour, je suppose que tu parles du trafic Serveur -> Clients ? Ou d'access-lists en OUT ?
Et merci pour la fonction log, je ne la connaissais pas !

Quoiqu'il en soit j'ai mis en place mes ACLs, et celles-ci fonctionnent, mais j'ai deux questions :

- Le serveur SERV1-W2003 ne ping pas le PCOMPTA1, alors qu'il ping tous les autres. Pourquoi ?
- Comment placer l'ACL qui permettra a l'annexe d'accéder aux serveurs du SIEGE mais pas aux autre postes ?

Voici le résultat d'un show run sur le RouterSiege :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 10
 ip address 172.30.10.254 255.255.255.0
 ip access-group 110 in
!
interface FastEthernet0/0.2
 encapsulation dot1Q 20
 ip address 172.30.20.254 255.255.255.0
 ip access-group 120 in
!
interface FastEthernet0/0.3
 encapsulation dot1Q 30
 ip address 172.30.30.254 255.255.255.0
 ip access-group 130 in
!
interface FastEthernet0/0.4
 encapsulation dot1Q 40
 ip address 172.30.40.254 255.255.255.0
 ip access-group 140 in
!
interface FastEthernet0/0.5
 encapsulation dot1Q 50
 ip address 172.30.50.254 255.255.255.0
 ip access-group 150 in
!
interface FastEthernet0/0.254
 encapsulation dot1Q 254
 ip address 172.30.254.254 255.255.255.0
 ip access-group 100 in
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/1/0
 ip address 172.30.1.1 255.255.255.0
 encapsulation frame-relay
!
interface Serial0/1/1
 no ip address
 shutdown
.
.
.
access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 110 deny ip any any
access-list 120 permit ip 172.30.20.0 0.0.0.255 172.30.254.0 0.0.0.254
access-list 120 deny ip any any
access-list 130 permit ip 172.30.30.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 130 deny ip any any
access-list 140 permit ip 172.30.40.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 140 deny ip any any
access-list 150 permit ip 172.30.50.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 150 deny ip any any
access-list 100 permit ip 172.30.254.0 0.0.0.255 172.30.10.0 0.0.0.255
access-list 100 permit ip 172.30.254.0 0.0.0.255 172.30.20.0 0.0.0.255
access-list 100 permit ip 172.30.254.0 0.0.0.255 172.30.30.0 0.0.0.255
access-list 100 permit ip 172.30.254.0 0.0.0.255 172.30.40.0 0.0.0.255
access-list 100 permit ip 172.30.254.0 0.0.0.255 172.30.50.0 0.0.0.255
access-list 100 permit ip 172.30.254.0 0.0.0.255 172.30.60.0 0.0.0.255
access-list 100 deny ip any any

Et en pièce jointe mon fichier PKT !

Merci par avance,
Cordialement,
Quentin

[Invité]

Salut,

de mémoire, ça fonctionnait bien sans les access-lists... Tu les retires puis tu les ajoutes une à une pour savoir laquelle provoque la déviation

J'en profite pour rappeler que :

80% DES INCIDENTS DE PROD SONT LIES A DES ERREURS HUMAINES

Merci de confirmer la règle

J'espère que la Compta avait sorti les payes des employés avant que tu ne fasses le changement

Je regarderai ça plus tard, j'ai un truc sur le feu

Steph

[mangasource]

Salut,

de mémoire, ça fonctionnait bien sans les access-lists... Tu les retires puis tu les ajoutes une à une pour savoir laquelle provoque la déviation

J'en profite pour rappeler que :

80% DES INCIDENTS DE PROD SONT LIES A DES ERREURS HUMAINES

Merci de confirmer la règle

J'espère que la Compta avait sorti les payes des employés avant que tu ne fasses le changement

Je regarderai ça plus tard, j'ai un truc sur le feu

Steph

Je m'en vais les enlever et les refaire, jusqu'à trouver le bug dans la matrice
EDIT : Après avoir refait mes ACLs pour le siège, celles-ci fonctionnent toute ! Je remet mon PKT en PJ

Effectivement, la plupart des incidents viennent de l'humain, j'ai recommencé plus d'une fois ! Je ne suis pas l'exception qui confirme la règle
Heureusement, tout ça n'est que virtuel

Merci pour toutes tes réponses en tout cas !

[Invité]

Ma foi, ça a l'air pas trop mal

Maintenant, pour le fun, tu pourrais configurer du routage dynamique entre les 2 1841 :
- en utilisant RIPv2,
- en faisant en sorte que le 1841 du Siège envoie la default route vers l'Annexe.

Tu essaies ?

Steph

[mangasource]

Bonjour IP_Steph !

Ma foi, ça a l'air pas trop mal

Maintenant, pour le fun, tu pourrais configurer du routage dynamique entre les 2 1841 :
- en utilisant RIPv2,
- en faisant en sorte que le 1841 du Siège envoie la default route vers l'Annexe.

Tu essaies ?

Steph

Et bien a vrai dire, je n'arrive pas à mettre en place les ACL qui me permettent de faire communiquer le Siège et l'Annexe .. Je pense que je suis passé à côté de quelque chose. J'ai tenté de les mettre sur le RouterAnnexe, mais je ne suis pas sur. As-tu une piste ?

Ma foi pourquoi pas, une fois les ACLs correctement mises en places, j’essaierais de configurer ça (Et puis si je le comprends, je pourrais l'expliquer à mes examinateurs !)

Sachant qu'il va aussi falloir, d'ici la semaine prochaine, que je simule une connexion VPN entre le Siege et l'Annexe, et que j'ajoute un point d'accès WiFi sur le Siege.
Mais, je verrais ça une fois que tout le reste sera fonctionnel !

Cdlt,
Quentin

[Invité]

Et bien a vrai dire, je n'arrive pas à mettre en place les ACL qui me permettent de faire communiquer le Siège et l'Annexe .. Je pense que je suis passé à côté de quelque chose. J'ai tenté de les mettre sur le RouterAnnexe, mais je ne suis pas sur. As-tu une piste ?

Prenons par exemple PCINFO2 sur le Siege.


Sa gateway est 172.30.10.254, associée à l'access-list 110 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 110 deny ip any any

Si ce PC veut communiquer avec une adresse de l'Annexe, le traffic sera droppé puisque tu n'autorises que les flux vers le réseau 172.30.254.0/24. Les paquets PCINFO2 -> Annexe subissent la règle 'deny ip any any'.


Il faut donc modifier l'access-list 110.


Attention en modifiant parce que si on rajoute simplement la règle

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255

elle va se mettre en dernière position :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 110 deny ip any any
access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255

et les paquets seront toujours droppés...


Deux méthodes...


1) Tu effaces et reconstruis ton access-list :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
no access-list 101
access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 110 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
access-list 110 deny ip any any

2) Deuxième méthode


Si tu fais un 'show access-list', tu obtiendras le résultat suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Extended IP access list 120
    10 permit ip 172.30.20.0 0.0.0.255 172.30.254.0 0.0.0.254
    20 deny ip any any
Extended IP access list 130
    10 permit ip 172.30.30.0 0.0.0.255 172.30.254.0 0.0.0.255
    20 deny ip any any
Extended IP access list 140
    10 permit ip 172.30.40.0 0.0.0.255 172.30.254.0 0.0.0.255
    20 deny ip any any
Extended IP access list 150
    10 permit ip 172.30.50.0 0.0.0.255 172.30.254.0 0.0.0.255
    20 deny ip any any
Extended IP access list 100
    10 permit ip 172.30.254.0 0.0.0.255 172.30.10.0 0.0.0.255
    20 permit ip 172.30.254.0 0.0.0.255 172.30.20.0 0.0.0.255
    30 permit ip 172.30.254.0 0.0.0.255 172.30.30.0 0.0.0.255
    40 permit ip 172.30.254.0 0.0.0.255 172.30.40.0 0.0.0.255
    50 permit ip 172.30.254.0 0.0.0.255 172.30.50.0 0.0.0.255
    60 permit ip 172.30.254.0 0.0.0.255 172.30.60.0 0.0.0.255
    70 deny ip any any
Extended IP access list 110
    10 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
    30 deny ip any any

Les lignes sont numérotées.


Concernant notre access-list 101 à modifier, on peut faire de la façon suivante en invoquant l'extended associée et en insérant la nouvelle règle en la numérotant à 15 par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#?
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
Router(config-ext-nacl)#15 ?
  deny    Specify packets to reject
  permit  Specify packets to forward
Router(config-ext-nacl)#15 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
Router(config-ext-nacl)#^Z


Si tu fais un 'sh access-list', tu obtiens :


Extended IP access list 110
    10 permit ip 172.30.10.0 0.0.0.255 172.30.254.0 0.0.0.255
    20 permit ip 172.30.10.0 0.0.0.255 172.30.60.0 0.0.0.255
    30 deny ip any any

La nouvelle règle est non seulement insérée au bon endroit (avant le 'deny ip any any') mais les lignes ont été renumérotées lorsqu'on est sortis du mode config.


Et PCINFO2 arrive maintenant à communiquer avec PCCOMMANN2 ;

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
PC>ping 172.30.60.2


Pinging 172.30.60.2 with 32 bytes of data:


Reply from 172.30.60.2: bytes=32 time=3ms TTL=126
Reply from 172.30.60.2: bytes=32 time=2ms TTL=126
Reply from 172.30.60.2: bytes=32 time=5ms TTL=126


Ping statistics for 172.30.60.2:
    Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 5ms, Average = 3ms

Voilà


Steph

[mangasource]

J'étais sur la bonne voie, mais quelque chose ne fonctionnait pas. Je suis donc (re-re-)reparti de mon fichier d'origine, et j'ai réussi à obtenir le résultat désiré.

Maintenant que cela fonctionne, je m'en vais poursuivre mon sujet :
- Mettre en place deux points d'accès WiFi
- Remplacer la liaison via le Cloud-PT par une connexion VPN

@IP_Steph, je reviendrais ici pour te dire quand j'aurais fais ce que tu m'as suggéré (Je pense m'y pencher après la finalisation de mon sujet). Encore merci à toi, mille fois !