icon
Linux
Windows
Réseautique
Windows Serveur
icon
Cisco

Labo pratique OSPF, EIGRP, ACL et NAT

Introduction

Ce labo cisco vise à pratiquer plusieurs concepts réseautique dont le routage OSPF, EIGRP ainsi que les ACL et le NAT Overload.

1. Architecture et Adressage du Laboratoire

Attribution du Matériel et Noms d’Hôtes

Nom de l’hôte Modèle Physique Rôle
HQ-EDGE-R1 Cisco 2901 + HWIC Bordure, NAT, DHCP, OSPF (DR)
HQ-CORE-R2 Cisco 2901 + HWIC Distribution, OSPF (BDR), EIGRP, Redistribution
BR-GW-R3 Cisco 2901 Passerelle Succursale, EIGRP
ISP-SIM-R4 Cisco 1811 Simulateur Internet (ISP)
SW-HQ-CORE 2960G (48 ports) Commutateur Backbone
SW-BR-ACC 2960 (8 ports) Commutateur Accès Succursale

Topologie des Connexions Physiques

Appareil Source Port Source Appareil Destination Port Destination Mode de Port
HQ-EDGE-R1 Gi0/0 SW-HQ-CORE Gi0/1 Trunk (802.1Q)
HQ-CORE-R2 Gi0/0 SW-HQ-CORE Gi0/2 Trunk (802.1Q)
HQ-EDGE-R1 Gi0/1 ISP-SIM-R4 Fe0/0 Lien WAN
HQ-CORE-R2 Gi0/1 BR-GW-R3 Gi0/1 Lien Inter-Site
BR-GW-R3 Gi0/0 SW-BR-ACC Fa0/1 Accès LAN
SW-HQ-CORE Gi0/10 Phone-1 LAN Port Accès (Data/Voice)
Phone-1 PC Port PC-Admin Ethernet Daisy-chain

Plan d’Adressage IP

Réseau Usage VLAN Passerelle
10.0.10.0/24 Backbone Data / OSPF 10 .1 (R1) / .2 (R2)
10.0.20.0/24 Voix IP (GrandStream) 20 .1 (R1)
172.16.1.0/30 Transit HQ <-> Branch .1 (R2) / .2 (R3)
192.168.30.0/24 LAN Succursale 1 .1 (R3)
203.0.113.0/30 Sortie Internet Public .1 (ISP) / .2 (R1)
N/A Blackhole 999 Aucun

2. Étapes de Configuration par Appareil

SW-HQ-CORE (Cisco 2960G)

  1. VLANs : Créer les VLAN 10 (DATA), 20 (VOICE) et 999 (BLACKHOLE).
  2. Trunks : Configurer les ports Gi0/1 et Gi0/2 en mode trunk (Encapsulation 802.1Q).
  3. Accès Hybride (Gi0/10) :
    • Configurer le VLAN natif/données sur le VLAN 10.
    • Configurer le VLAN voix sur le VLAN 20.
    • Activer Spanning-tree Portfast.
  4. Sécurité Blackhole :
    • Assigner tous les autres ports inutilisés (ex: Gi0/3-9, Gi0/11-48) au VLAN 999.
    • Appliquer la commande shutdown sur chacun de ces ports.

HQ-EDGE-R1 (Cisco 2901)

  • Configuration des sous-interfaces (Router-on-a-Stick) :
    • Activer l’interface physique Gi0/0 (sans adresse IP).
    • Créer la sous-interface pour le VLAN 10 (Data) : configurer l’encapsulation dot1q correspondante et assigner l’adresse IP.
    • Créer la sous-interface pour le VLAN 20 (Voice) : configurer l’encapsulation dot1q correspondante et assigner l’adresse IP.
  • Services Réseau (DHCP) :
    • Configurer un pool DHCP pour le segment Data (VLAN 10).
    • Configurer un pool DHCP pour le segment Voix (VLAN 20) en incluant l’Option 150 (nécessaire pour que les téléphones GrandStream trouvent leur serveur de configuration).
  • Routage OSPFv2 :
    • Activer le processus OSPF et annoncer le réseau du VLAN 10 dans l’Area 0.
    • Ajuster la priorité OSPF à 255 sur la sous-interface du VLAN 10 pour garantir l’élection en tant que DR (Designated Router).
    • Annoncer le réseau du VLAN 20 dans le processus OSPF pour qu’il soit connu par le reste de l’organisation.
    • Sécurisation : Définir la sous-interface du VLAN 20 comme passive-interface. Cela permet d’annoncer la route aux autres routeurs tout en empêchant l’envoi de messages OSPF vers les téléphones.
  • Connectivité Internet et NAT :
    • Configurer une route statique par défaut pointant vers l’adresse IP de l’ISP-SIM-R4.
    • Utiliser la commande de propagation pour diffuser cette route par défaut à travers OSPF vers les autres routeurs.
    • Configurer le NAT Overload (PAT) sur l’interface Gi0/1 (WAN).
    • Définir une ACL standard identifiant les réseaux internes (HQ et succursale) autorisés à être translatés pour l’accès Internet.
  • Sécurité et Durcissement :
    • Appliquer une ACL étendue sur l’interface Gi0/1 (direction in) pour filtrer le trafic provenant d’Internet : autoriser uniquement le trafic de retour (sessions déjà établies) et bloquer toute tentative d’accès direct (SSH/Telnet/ICMP non sollicité).
    • Activer SSH version 2 et configurer les lignes VTY pour n’accepter que ce protocole.

HQ-CORE-R2 (Cisco 2901 – Distribution)

  1. Configuration du lien Trunk (Gi0/0) :
    • Activer l’interface physique (no shutdown).
    • Créer la sous-interface logiquement liée au VLAN 10 (DATA/Backbone).
    • Configurer l’encapsulation dot1q 10 et assigner l’adresse IP (10.0.10.2).
    • Note : Ne crée pas de sous-interface pour le VLAN 20 ici.
  2. Lien vers la succursale (Gi0/1) :
    • Configurer l’adresse IP du lien point-à-point vers BR-GW-R3 (172.16.1.1/30).
  3. Protocole OSPFv2 (Cœur) :
    • Activer OSPF sur la sous-interface du VLAN 10.
    • S’assurer que la priorité est inférieure à celle de R1 (par défaut à 1 ou forcée à 100) pour qu’il devienne le BDR.
  4. Protocole EIGRP (Succursale) :
    • Activer l’AS 100 sur l’interface Gi0/1.
    • Désactiver l’auto-sommaire si nécessaire (selon la version d’IOS).
  5. Redistribution bidirectionnelle (Le cœur de son rôle) :
    • Dans OSPF : Injecter les routes provenant d’EIGRP (utiliser le mot-clé subnets).
    • Dans EIGRP : Injecter les routes provenant d’OSPF.
    • Rappel crucial : Pour EIGRP, tu dois définir manuellement la métrique (Bandwidth, Delay, Reliability, Load, MTU) lors de la redistribution pour que les routes soient acceptées par R3.

BR-GW-R3 (Cisco 2901)

  1. EIGRP : Activer l’AS 100 et annoncer les réseaux locaux.
  2. Optimisation : Configurer l’interface vers le LAN en mode passive-interface.

SW-BR-ACC (Cisco 2960 8 ports)

  1. VLANs : Créer le VLAN 999 (BLACKHOLE).
  2. Sécurité : Assigner tous les ports non utilisés au VLAN 999 et les désactiver (shutdown).
  3. Management : Configurer une IP de gestion sur le VLAN 1 et définir la passerelle par défaut.

ISP-SIM-R4 (Cisco 1811)

  1. Simulateur : Configurer l’IP publique et créer une interface Loopback (ex: 8.8.8.8) pour tester la connectivité globale.

3. Validation Finale du Laboratoire

  • Connectivité PC : Le PC-Admin doit obtenir une IP via DHCP et pouvoir pinger 8.8.8.8.
  • Téléphonie : Le téléphone doit s’enregistrer (VLAN 20) et obtenir son IP.
  • Topologie OSPF : Vérifier que R1 est le DR et R2 le BDR sur le segment 10.0.10.x.
  • Routage EIGRP : Vérifier que R3 connaît les réseaux du siège social via des routes externes.
  • Sécurité : Brancher un appareil sur un port shutdown (VLAN 999) et confirmer l’absence de lien physique et logique.