Réseaux 2
DURÉE 2 HEURES
REMARQUE IMPORTANTE
Ces énoncés seront remis au surveillant à la fin de l'examen.
Nom :
Prénom :
Le siège est doté d’un commutateur couche 3 (Switch Router) connecté par deux liens Ethernet à un
routeur Firewall. Le firewall est connecté à l’Internet.
Le Firewall est doté d’une DMZ qui abrite 4 serveurs : Web, Mail, Proxy Web et DNS (interne).
Le switch L3 du Siège est aussi connecté par deux liens Ethernet à un routeur (Interco SUD) qui est
relié par des liaisons louées (connexions séries reliant directement deux routeurs fournies par
l’opérateur) à 4 routeurs situés dans les magasins de Marseille, Montpellier, Nice et Bordeaux.
Dans chaque magasin il existe un serveur hébergeant une Base de Données qui est régulièrement
synchronisée avec le serveur du Siège (4 fois par jour). Ces serveurs sont intégrés à un réseau
spécifique (réseau 7).
Trois réseaux sont définis dans les magasins ainsi qu’au Siège :
- Réseau 10 : administration
- Réseau 20 : commercial
- Réseau 30 : invités
Le siège est enfin doté d’un réseau (133) qui abrite quelques machines d’administration des Systèmes
d’Information. Ces machines ont le droit d’établir des connexions SSH avec tous les serveurs ainsi
que les équipements réseaux.
Question 4 : Proposez un plan d’adressage pour les réseaux internes des Magasins, en
précisant :
Adresses de Réseaux et masques
Adresses des hosts (1 host pour chacun des réseaux 10, 20 et 30 ; 1 serveur réseau 7)
Adresses des passerelles
N.B. : Chaque site est doté d’un identificateur comme indiqué ci après :
Marseille = 1 Paris = 8
Bordeaux = 2 Lyon = 9
Montpellier = 3
Nice = 4 Siege = 0
int fa0/0
no shutdown
int fa0/0.10
encapsulation dot1Q 10
ip address 10.x.10.254 255.255.255.0
int fa0/0.20
encapsulation dot1Q 20
ip address 10.x.20.254 255.255.255.0
int fa0/0.30
encapsulation dot1Q 30
ip address 10.x.30.254 255.255.255.0
int fa0/0.7
encapsulation dot1Q 7
ip address 10.x.7.254 255.255.255.0
Remarques de Correction :
- no shutdown (ou no shut) apporte un bonus (pas de malus si absent)
- Ces commandes apportent un petit bonus (mais elles ne sont pas demandées)
> enable
# conf t (ou configure terminal)
Siege x = 0
Réseaux Hosts Passerelles
Administration : 10.0.10.0 / 24 10.0.10.100-200 10.0.10.254
Commercial : 10.0.20.0 / 24 10.0.20.100-200 10.0.20.254
Invités : 10.0.30.0 / 24 10.0.30.100-200 10.0.30.254
Serveurs : 10.0.7.0 / 24 10.0.7.100-200 10.0.7.254
Système d’information : 10.0.133.0 / 24 10.0.133.100-200 10.0.133.254
int fa0/1
switchport mode access
switchport access vlan 10
int vlan 10
ip address 10.0.10.254 255.255.255.0
int fa0/2
switchport mode access
switchport access vlan 20
int vlan 20
ip address 10.0.20.254 255.255.255.0
int fa0/3
switchport mode access
switchport access vlan 30
int vlan 30
ip address 10.0.30.254 255.255.255.0
int fa0/7
switchport mode access
switchport access vlan 7
Remarques de Correction :
- no shutdown (ou no shut) n’apporte pas de bonus (ni de malus) car c’est inutile ici.
- Une commande int range fa0/x –y (où 1<x<y24) apporte un petit bonus.
- Ces commandes apportent un petit bonus (mais elles ne sont pas demandées)
> enable
# conf t (ou configure terminal)
Question 1 : Proposez un plan d’adressage pour les interconnexions entre Interco SUD et les
routeurs des Magasins de Marseille, Bordeaux, Montpellier et Nice, en précisant :
Adresses de réseaux et masques & adresses des interfaces de routeur et configuration.
Router Marseille (idem pour les autres en remplaçant le troisième octet par le nombre correspondant)
int s0/0
ip address 10.2.1.1 255.255.255.0
clock rate 125000
no shut
Routeur Interco SUD (remplacer le troisième octet par le nombre correspondant pour les autres villes)
int s0/2
ip address 10.2.1.254 255.255.255.0
no shut
Remplacer pour les autres villes l’interface : s0/3 vers Bordeaux, s0/0 vers Montpellier, s0/1 vers Nice.
Question 6 : Proposez un plan d’adressage pour les connexions entre le routeur Interco SUD et le
Switch L3 du Siège et indiquez les configurations des interfaces concernées.
Remarques de Correction :
- Un choix de masque en /30 (255.255.255.252) apporte un bous, mais vérifier dans ce cas que
seules les deux adresses valident soient utilisées.
- no shutdown (ou no shut) apporte un bonus (pas de malus si absent)
- clock rate 125000 (ou autre valeur) apporte un bonus (pas de malus si absent)
- Ces commandes apportent un petit bonus (mais elles ne sont pas demandées)
> enable
# conf t (ou configure terminal)
N.B. : Les ports Gi0/1 et Gi0/2 du Switch L3 sont connectés aux interfaces Gi0/1/0 (fa0/0) et
Gi0/1/1 (fa0/1) du routeur Interco SUD.
Switch L3 :
int gi1/0
switchport mode access
switchport access vlan 5
int gi1/1
switchport mode access
switchport access vlan 6
int vlan 5
ip address 10.2.5.1 255.255.255.0
int vlan 6
ip address 10.2.6.1 255.255.255.0
Remarques de Correction :
- Mêmes remarque que précédemment.
- La configuration :
int gi1/0
no switchport
ip address 10.2.5.1 255.255.255.0
est correcte, mais les étudiants ne l’ont pas vu en TP !
Question 3 : Proposez un plan d’adressage pour les connexions entre le Switch L3 du Siège et
le Firewall.
N.B. : Les ports Fa0/23 et Fa0/24 du Switch L3 sont connectés aux interfaces Fa0/0 et Fa0/1 du
firewall.
Routeur Firwall :
int fa0/23
ip address 10.2.7.254 255.255.255.0
no shut
int fa0/24
ip address 10.2.8.254 255.255.255.0
no shut
Switch L3 :
int fa0/23
switchport mode access
switchport access vlan 7
int fa0/24
switchport mode access
switchport access vlan 8
Remarques de Correction :
- Mêmes remarque que précédemment.
Réseau : 10.7.0.0 / 24
Remarques de Correction : ou bien sûr n’importe quel réseau d’adresses privées différent des
réseaux internes déjà définis.
int fa1/0
ip address 10.7.0.254 255.255.255.0
no shut
Question 6 : Proposez une solution pour assurer le routage entre tous les réseaux. Indiquez
pour chaque routeur quelle sera la configuration adéquate au moins en « bon français ». Les
configurations IOS donneront un petit bonus.
Le plus simple est de configurer un protocole de routage de façon à ce que les routes soient apprises
dynamiquement. La configuration de routes statiques serait en effet à la fois fastidieuse et peu
évolutive.
La route par défaut est donnée par le routeur firewall via son interface s0/1. Cette route devra être
distribuée aux autres routeurs via le protocole de routage.
Le choix du protocole est OSPF. Les annonces sont opérées sur tous les réseaux internes qui
peuvent être résumés par le réseau : 10.0.0.0.
Configuration :
Sur le routeur Firewall :
ip route 0.0.0.0 0.0.0.0 s0/0 /* Définition de la route par défaut
router ospf 1
network 10.0.0.0 0.255.255.255 area 0 /* Annonce de tous les réseaux internes
default-information originate /* Distribution de la route statique
Question 7 : Indiquez quel pourrait être l’affichage de la table de routage du Routeur Interco
SUD et du Firewall.
La table de routage d’Interco SUD indiquera avec le symbole C (Connected) tous les réseaux définis
sur les interfaces s0/0 à s0/3, ainsi que fa0/0 et fa0/1. Les routes apprises via OSPF seront affichées
avec un O et la route par défaut sera affichée avec un O*E2 (O pour OSPF).
Remarques de correction : si l’étudiant parle des routes directement connectées et des routes
apprises, c’est OK. S’il pense à parler de la route par défaut, c’est la fête.
IntercoSUD#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Question 8 : Une machine du réseau Marseille 10 effectue un ping réussi sur une machine du
réseau Siège 20. Toutes les tables sont vides au début de l’opération. Indiquez les différentes
étapes (protocole et équipement concerné) qui se suivent ainsi que l’état des tables des
équipements concernés à la fin de l’opération.
La requête ping est issue de la machine 10.1.10.100 (Marseille) vers la machine 10.0.20.100 (Siège).
La requête est destinée à un host qui ne fait pas parti du réseau de la machine Marseille. Cette
machine va donc adresser une trame, qui encapsule le paquet IP, à sa passerelle.
La machine Marseille consulte sa table ARP pour voir s’il existe une entrée : 10.1.10.254. Ce n’est
pas le cas car la table est vide. La machine Marseille envoie donc un broadcast ARP :
Quand la trame atteint le switch SMarseille la table de commutation du switch enregistre la MAC
Source, puis diffuse la trame vers tous ses ports identifiés vlan 10, ainsi que les ports trunk.
Port fa0/1 MAC Marseille Vlan 10
Puis la passerelle répond au broadcast ARP et indique son adresse MAC : MAC fa0/0.10 Marseille.
La trame de réponse au broadcast ARP est envoyée sur le lien fa0/0.10 et atteint le switch SMarseille
avec un tag vlan 10. Le commutateur enregistre l’adresse MAC de fa0/0.10 dans sa table de
commutation.
Sa table de commutation devient :
La machine Marseille reçoit la réponse ARP et enregistre dans sa table ARP la correspondance :
10.1.10.254 MAC fa0/0.10
La machine Marseille peur maintenant adresser à sa passerelle un paquet ICMP qui porte la requête
ping.
La commutateur SMarseille consulte sa table de commutation et commute la trame vers le port gi1/0,
tout en réinitialisant le compteur de temps de l’entrée fa0/1.
La trame atteint le routeur qui vérifie le FCS, réinitialise le compteur de temps de l’entrée 10.1.10.100
de sa table ARP, puis consulte sa table de routage pour savoir où adresser le paquet.
Il décrémente le TTL du paquet, recalcule le contrôle d’en tête IP, puis confie le paquet à son interface
s0/0 connectée à IntercoSUD.
Le paquet est adressé à IntercoSUD, qui consulte sa table de routage pour confier le paquet à une
des interfaces fa0/0 ou fa0/1, car ces deux interfaces mènent à destination.
La paquet est adressé au switch L3. La table de routage du switch L3 indique que le réseau
10.0.20.0/24 est directement connecté, via le vlan 20. Le switch confie donc le paquet à l’interface
vlan 20. Cette interface génère un broadcast ARP sur le vlan 20 pour connaître l’adresse MAC dce la
destination.
La broadcast ARP atteint la machine 10.0.20.100 qui répond. La trame de réponse destinée à
l’adresse MAC VLAN 20 du switch L3 arrive sur le switch L3. Celui-ci enregistre l’adresse MAC de la
machine 10.0.20.100 dans sa table de commutation : fa0/2 MAC machine Siège.
Remarques de correction : des points pour l’identification de la MAC passerelle comme destination de
la première étape. Des points pour les tables de commutation et les tables ARP.
Les connexions à l’Internet pour le Siège et les Magasins connectés à Interco SUD ne peuvent se
faire que via le serveur Proxy Web (pas de connexions directes).
Les machines des réseaux internes des magasins peuvent se connecter à leur serveur BDD sur le
port 5893 (et uniquement sur celui-ci).
Seul le serveur BDD du Siège peut se connecter aux serveurs BDD des Magasins via des trafics
externes et uniquement sur le port 5894 (synchronisation de serveurs).
Seules les machines du réseau 133 (Système d’Information) peuvent se connecter aux serveurs BDD
des Magasins via des trafics externes et uniquement sur les ports TCP 22 (SSH) ou TCP 3389
(Windows Remote Desktop)
Les Switch des réseaux internes des magasins de Lyon et de Paris sont connectés aux serveurs via
leur port console. Le Système d’Information atteint ces Switchs en établissant une connexion Remote
Desktop sur le serveur.
Question 1 : Faites le point sur l’affectation des adresses publiques. Indiquez pour chaque
machine ou interface la relation adresse interne privée – adresse externe publique.
Nota Bene : ne tenez aucun compte des adresses « coté opérateur ».
Il est nécessaire de disposer de 4 adresses publiques pour les serveurs et au moins une adresse pour
chacun des routeurs connectés à l’opérateur (Firewall, Paris et Lyon). Cela fait 7 adresses utilisées
sur 14 possibles. Il restera donc 6 adresses pour les translations dynamiques.
Remarques de correction : avec la connexion Frame Relay (qui n’a pas du tout été vue en cours) il
faut une adresse pour le routeur Internet qui simule la connexion à l’Internet dans le fichier Packet
Tracer. Les configurations montrent qu’il ne reste donc plus que 5 adresses pour le NAT dynamique.
Je pense que les étudiants ont du être particulièrement surpris, voire gênés par cet adressage WAN.
Bon, il faut mettre des points à ceux qui ont compris qu’il faut des translations statiques pour les
serveurs et le reste pour du dynamique.
Question 2 : Indiquez (au moins en bon français) quelles règles de translation seront
configurées et sur quels équipements.
Sur le routeur Firewall il existe quatre translations d’adresses statiques qui établissent les
correspondances indiquées ci-dessus, pour les différents serveurs :
A cela il faudra ajouter un NAT dynamique pour l’accès des machines internes à l’Internet. Il reste 5
adresses publiques disponibles pour le NAT, complétées par un dispositif PAT.
Il serait surprenant que des étudiants aient trouvé les bonnes commandes ici. Une configuration de
NAT statique apportera les points. Le reste est du bonus.
Question 3 : Indiquez (au moins en bon français) quelles seront les listes de con trôle d’accès
qui assureront le respect des règles de sécurité sur le routeur Magasin Marseille. Indiquez
également sur quelle(s) interface(s) ces règles seront positionnées et dans quel sens.
Le contrôle d’accès doit autoriser les connexions entre les réseaux 10, 20 et 30 et leur serveur de
BDD, mais uniquement sur le port 5893. Aucune autre connexion vers les autres serveurs de BDD
n’est autorisée pour les réseaux 10, 20 et 30. Ces réseaux peuvent communiquer avec l’ensemble du
réseau interne, mais pas avec l’Internet.
Le trafic est filtré le plus près possible de la source. Donc les access-lists seront positionnées sur les
sous-interfaces internes connectées aux réseaux 10, 20 et 30.
Inutile d’autoriser le trafic vers le serveur Web proxy, car ce trafic est inclus dans la permission de
communiquer avec les réseaux internes.
Première ligne : le 10 peut communiquer avec son serveur BDD sur le port 5893
Deuxième ligne : le 10 ne peut pas communiquer avec les autres serveurs
Troisième ligne : autorisation de communiquer vers les réseaux internes
Quatrième ligne : pas de connexions avec l’Internet – ligne inutile car deny any any implicite.
Idem pour les access-lists 120 et 130 en remplaçant le troisième octet par 20 et 30.
Le serveur de BDD peut communiquer avec les réseaux 10, 20 et 30 du site de Marseille, mais
uniquement sur le port 5893. Il peut communiquer avec le serveur du siège mais uniquement sur le
port 5894. Enfin, il peut communiquer avec les machines d’administration du siège (réseau 133) mais
uniquement sur les ports SSH et Remote Desktop. Tout autre trafic est interdit.
La encore le filtre est placé le plus près possible de la source, donc sur la sous interface fa0/0.7 du
routeur Marseille et en in.
int fa0/0.7
ip access-group 107 in
Remarques de correction : ce n’est pas précisé dans le texte, mais on peut comprendre que le
serveur n’a pas à initier de connexions. Une amélioration peut donc de limiter les trafics avec le mot
clé established. Dans ce cas : bonus.
Cela donnera :
access-list 107 permit tcp 10.1.7.0 0.0.0.255 10.1.0.0 0.0.255.255 eq 5893 established
access-list 107 permit tcp 10.1.7.0 0.0.0.255 10.0.7.0 0.0.0.255 eq 5894 established
access-list 107 permit tcp 10.1.7.0 0.0.0.255 10.0.133.0 0.0.0.255 eq 22 established
access-list 107 permit tcp 10.1.7.0 0.0.0.255 10.0.133.0 0.0.0.255 eq 3389 established
Question 4 : Indiquez (au moins en bon français) quelles seront les listes de con trôle d’accès
qui assureront le respect des règles de sécurité sur le routeur Magasin Lyon. Indiquez
également sur quelle(s) interface(s) ces règles seront positionnées et dans quel sens.
Pour le magasin de Lyon, les mêmes règles s’appliquent. La seule différence est que les connexions
à l’Internet ne sont pas interdites pour les réseaux 10, 20 et 30.
int fa0/0.10
ip access-group 110 in
int fa0/0.20
ip access-group 120 in
int fa0/0.30
ip access-group 130 in
Première ligne : le 10 peut communiquer avec son serveur BDD sur le port 5893
Deuxième ligne : le 10 ne peut pas communiquer avec les autres serveurs
Troisième ligne : autorisation de communiquer avec tous les autres réseaux (dont l’Internet)
Idem pour les access-lists 120 et 130 en remplaçant le troisième octet par 20 et 30.
Question 5 : Indiquez (au moins en bon français) quelles seront les listes de con trôle d’accès
qui assureront le respect des règles de sécurité sur le Firewall. Indiquez également sur
quelle(s) interface(s) ces règles seront positionnées et dans quel sens.