Accès distant sécurisé à un routeur CISCO

Dans ce petit tuto nous allons voir comment accèder en SSH à son routeur CISCO la procédure est la même pour un switch 🙂 .

Dans ce tuto on, accède à une machine Debian via notre PC en SSH. Cette mahine Debian nous sert de rebond pour accèder à notre routeur Cisco (en ssh aussi) sur son interface de management par exemple.

Voici le schémas avec les 2 sous réseaux pour mieux comprendre.

192.168.1.0/24 : réseau de ma machine à la machine de rebond.

10.50.50.0/16 : réseau de Management du router connecté à la machine de rebond.

Nous allons tout d’abord configurer les IPs sur le routeur CISCO et sur notre machine de rebond Linux.

1. Configuration des interfaces

Configuration R1 :

R1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#interface gigabitEthernet 2/0
R1(config-if)#ip address 10.50.50.1 255.255.0.0
R1(config-if)#no shutdown 

On verifie et on enregistre :

R1#show running-config interface gigabitEthernet 2/0
Building configuration...

Current configuration : 89 bytes
!
interface GigabitEthernet2/0
 ip address 10.50.50.1 255.255.0.0
 negotiation auto
end
R1#write memory
Warning: Attempting to overwrite an NVRAM configuration previously written
by a different version of the system image.
Overwrite the previous NVRAM configuration?[confirm]
Building configuration...
[OK]

Configuration de la Machine Debian Rebond :

root@debianrouteur:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens33
iface ens33 inet static
	address 10.50.50.11
	netmask 255.255.0.0


auto ens36
iface ens36 inet dhcp
# This is an autoconfigured IPv6 interface
iface ens33 inet6 auto

On redémarre le service networking :

systemctl restart networking.service

Puis on active l’interface :

root@debianrouteur:~# ifup ens33

On vérifie la conf sur la machine de rebond :

root@debianrouteur:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:3a:4f:9a brd ff:ff:ff:ff:ff:ff
    inet 10.50.50.11/16 brd 10.50.255.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe3a:4f9a/64 scope link
       valid_lft forever preferred_lft forever
3: ens36: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:3a:4f:a4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.196/24 brd 192.168.1.255 scope global dynamic ens36
       valid_lft 86369sec preferred_lft 86369sec
    inet6 2a01:cb00:10e5:6200:20c:29ff:fe3a:4fa4/64 scope global dynamic mngtmpaddr
       valid_lft 1768sec preferred_lft 568sec
    inet6 fe80::20c:29ff:fe3a:4fa4/64 scope link
       valid_lft forever preferred_lft forever

On vérifie la connectivité avec R1 :

root@debianrouteur:~# ping 10.50.50.1
PING 10.50.50.1 (10.50.50.1) 56(84) bytes of data.
64 bytes from 10.50.50.1: icmp_seq=1 ttl=255 time=27.1 ms
64 bytes from 10.50.50.1: icmp_seq=2 ttl=255 time=1.49 ms
64 bytes from 10.50.50.1: icmp_seq=3 ttl=255 time=7.80 ms

2. Configuration SSH sur R1

On configure le mot de passe enable pour accèder en mode privilégié :

R1(config)#enable secret azerty

On configure le domaine (obligatoire sur CISCO pour activer ssh) :

R1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#ip domain-name labssh.cisco
R1(config)#crypto key generate rsa
The name for the keys will be: R1.labssh.cisco
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 8 seconds)

R1(config)#
*Feb 21 14:53:33.703: %SSH-5-ENABLED: SSH 1.99 has been enabled

On choisit la version 2 de ssh :

ip ssh version 2

On créé un utilisateur :

username deianrebond secret azerty

On chiffre le mot de passe (afin de ne pas l’afficher en clair dans le show run) :

service password-encryption

On configure la console d’accès à distance (vty) :

R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exit

J’essais de me connecter en SSH sur R1 depuis la machine rebond :

root@debianrouteur:~# ssh debianrebond@10.50.50.1
Unable to negotiate with 10.50.50.1 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc

Je n’y parvient pas. Mais que veut dire ce message ? En gros, il me dit qu’il n’a pas réussit à négocier d’algorithme de chiffrement avec R1.

Pour palier à ce problème, il faut créer un dossier caché « .ssh » s’il n’est pas déja créer et créer un fichier config où vous insérerez cela :

root@debianrouteur:~# cat .ssh/config
Ciphers aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc

Après cela, je parviens à y accèder 🙂 :

root@debianrouteur:~# ssh deianrebond@10.50.50.1
The authenticity of host '10.50.50.1 (10.50.50.1)' can't be established.
RSA key fingerprint is SHA256:n4X9omC/8yTjlPs6nGI9k09xPK+JeTtFEoN7yqij/bk.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.50.50.1' (RSA) to the list of known hosts.
Password:

R1>enable
Password:
R1#

Terminé ! A bientôt pour la suite 😀 .

CISCO l’autonégociation, la vitesse, le duplex. Exemple avec 2 routeurs.

1. Qu’est ce que l’autonégociation, la vitesse ou le duplex ?

L’auto négociation se passe au niveau physique (niveau 1 du modèle OSI), c’est ce qui est négocié entre 2 équipements (par exemple switchs ou routeurs) sur quelle vitesse ils communiqueront et sur quel duplex ils communiqueront. En auto-neg les équipements choisiront de préférence le full-duplex et la vitesse la plus élevée.

Vitesse (avec la commande speed):

10 : 10 Mbps

100 : 100 Mbps

1000 : 1000 Mbps

auto : la négociation de la vitesse se fera automatiquement

Duplex :

Half-duplex : L’équipement A envoie des données à l’équipement B qui receptionne ces données. B ne peut pas envoyer pendant que A envoie et vice versa.

Full-duplex : L’équipement A et B peuvent envoyer et recevoir en même temps.

Alors petit LAB sur Cisco Packet Tracer (encore) 🙂 .

Les 2 routeurs cisco sont connectés sur leur ports Gig0/0/0. Les ports sont en rouges car je ne l’ai pas activés (les ports sont shut de bases sur les routeurs cisco).

On commence par le Routeur1 :

On passe en mode privilégié avec « enable ». On tape ensuite la commande suivante :

R1#show interfaces gigabitEthernet 0/0/0
GigabitEthernet0/0/0 is administratively down, line protocol is down (disabled)
  Hardware is ISR4331-3x1GE, address is 0060.5ccb.bd01 (bia 0060.5ccb.bd01)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  Full Duplex, 1000Mbps, link type is auto,  media type is Auto Select
  output flow-control is on, input flow-control is on
  ARP type: ARPA, ARP Timeout 04:00:00, 
  Last input 00:00:08, output 00:00:05, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/375/0 (size/max/drops); Total output drops: 0
  Queueing strategy: fifo
  Output queue :0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 1017 multicast, 0 pause input
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

En bleu la commande, en rouge ce qui nous intéresse.

Je vois que le port à négocié avec le routeur en face du Full-Duplex avec comme vitesse 1000 Mbps normal vu que l’on est sur 1 liaison 1 Gbps.

Vérifions sur le routeur 2 :

R2#show interfaces gigabitEthernet 0/0/0
GigabitEthernet0/0/0 is administratively down, line protocol is down (disabled)
  Hardware is ISR4331-3x1GE, address is 00e0.8f81.7c01 (bia 00e0.8f81.7c01)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  Full Duplex, 1000Mbps, link type is auto,  media type is Auto Select
  output flow-control is on, input flow-control is on
  ARP type: ARPA, ARP Timeout 04:00:00, 
  Last input 00:00:08, output 00:00:05, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/375/0 (size/max/drops); Total output drops: 0
  Queueing strategy: fifo
  Output queue :0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 1017 multicast, 0 pause input
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

On a exactement la même chose vitesse 1000 Mbps et Full-duplex. Les 2 routeurs pourront communiquer correctement. Il faudra évidemment que « j’unshut » le port avant configure les IPs etc …

PS : unshut le port c’est à dire le rallumer administrativement avec la commande « no shutdown ». D’où « administratively down » (lorsque l’on fait un « show interfaces ») car l’interface est « shutdown ».

Unshut du port sur R1 :

R1#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#interface gigabitEthernet 0/0/0
R1(config-if)#no shutdown 
R1(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to up

On fait la même chose sur R2 (on unshut le port) :

R2#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#interface gigabitEthernet 0/0/0
R2(config-if)#no shutdown 
R2(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up

Comme vous pouvez le voir dans le log le port est monté et aussi sur Packet Tracer :

Imaginons maintenant (et cela m’arrive souvent dans mon métier) que 2 équipements ne parviennent pas à négocier correctement, que faire ? Enlever l’autonégociation et forcer la négociation au niveau de la vitesse et du duplex.

Pour forcer le duplex et la vitesse sur le routeur R1 :

R1(config-if)#duplex full
R1(config-if)#speed 1000

Remarque : Pour remettre en autonégociation il suffit après chaque commande « speed » et « duplex » de mettre « auto ».

Maintenant je vais changer la vitesse sur R2 et la mettre à 100 :

R2(config)#interface gigabitEthernet 0/0/0
R2(config-if)#speed 100
R2(config-if)#duplex full

Les 2 ports redeviennent rouge sur les interfaces Visible dans Packet Tracer :

Regardons les interfaces respectives de R1 et R2 :

R1#show interfaces gigabitEthernet 0/0/0
GigabitEthernet0/0/0 is up, line protocol is down (disabled)
  Hardware is ISR4331-3x1GE, address is 0060.2f9a.b901 (bia 0060.2f9a.b901)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  Full Duplex, 1000Mbps, link type is auto,  media type is Auto Select
  output flow-control is on, input flow-control is on
  ARP type: ARPA, ARP Timeout 04:00:00, 
  Last input 00:00:08, output 00:00:05, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/375/0 (size/max/drops); Total output drops: 0
  Queueing strategy: fifo
  Output queue :0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 1017 multicast, 0 pause input
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
R2#show interfaces gigabitEthernet 0/0/0
GigabitEthernet0/0/0 is up, line protocol is down (disabled)
  Hardware is ISR4331-3x1GE, address is 0050.0f7e.1201 (bia 0050.0f7e.1201)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  Full Duplex, 100Mbps, link type is auto,  media type is Auto Select
  output flow-control is on, input flow-control is on
  ARP type: ARPA, ARP Timeout 04:00:00, 
  Last input 00:00:08, output 00:00:05, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/375/0 (size/max/drops); Total output drops: 0
  Queueing strategy: fifo
  Output queue :0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 1017 multicast, 0 pause input
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

On voit que le port est UP mais que physiquement il est down : « GigabitEthernet0/0/0 is up, line protocol is down (disabled) » ce qui est normal car sur R1 je communique sur la vitesse 1000 :

Et sur R2 sur la vitesse 100 :

Maintenant je repasse R2 sur la vitesse 1000 :

R2(config)#interface gigabitEthernet 0/0/0
R2(config-if)#speed 1000
R2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up

Comme vous pouvez le voir dans le log, le lien est passé UP.

On regarde sur R1 :

Fin de ce tuto, j’espère que vous avez compris ce qu’est le duplex, la vitesse et la négociation. Il m’est déjà arrivé de traiter des incidents liés à cela et parfois il faut pas chercher loin … il faut juste que les ports négocie bien entre eux.

Donc pour vos prochains débug reparcourez bien le modèle OSI et commencer au niveau 1 !

A bientôt 😀 !

VLANs sur cisco : Comprendre et configurer le mode access et le mode trunk(LAB).

Bonjour, nouveaux tutos après avoir fait pas mal de tuto (que 3 on se calme … 😐 ) sur Debian, j’ai décidé de m’attaquer à la partie réseau et quoi de mieux pour apprendre le réseau que Cisco …Cisco Packet Tracer ! Cisco Packet Tracer c’est un des outils que j’utilise souvent pour faire des labs et apprendre (avec GNS3 que je présenterais sûrement dans un autre tuto).

Vous pourrez vous procurez le logiciel gratuitement ici en vous inscrivant : https://www.netacad.com/fr/courses/packet-tracer

Alors c’est un lab tuto qui en même va vous permettre de comprendre la notions de port en mode acces et port en mode trunk (chez d’autre constructeurs ils parlent de tag et d’untag mais c’est a peu près la même chose).

Avant tout cela il serait important de définir ce qu’est un vlan.

1. Qu’est ce qu’un VLAN ?

VLAN : Virtual LAN (Local Area Network). Ok ensuite ?

Le vlan(niveau 2 modèle OSI) permet sur un même réseau physique de créer plusieurs réseaux logique (plutôt plusieurs domaines de broadcast). Je m’explique imaginons un switch avec 3 pcs branchés dessus comme ceci :

On imagine que rien n’est configuré sur le switch et que mes 3 PCs sont sur le réseaux 192.168.1.0/24.

Tout ces PCs sont sur le même domaines de broadcast c’est à dire que si le PC1 envoient une requête ARP les PC2 et PC3 la recevront.

En revanche si je mets les PC1 et PC2 sur le VLAN 70 et PC3 sur le VLAN 90 comme ceci :

Et bien même si PC1 et PC3 sont dans le « même » sous réseaux(niveau IP) ils ne recevront aucune requêtes ARP l’un de l’autre car ils sont dans 2 domaines de broadcast différents. Donc cela permet sur un même switch de segmenter logiquement son réseau local sur un même équipement physique.

Cela permet notamment de sécuriser son réseau dans une entreprise séparer le réseau des fonctions supports (RH, Comptable) des autres fonctions par exemples. Cela permet aussi de séparer par exemple la voix de la data. Dans un établissement scolaire séparer le réseau des élèves de celui de l’administration ect …

2. Mode Access, Mode Trunk ?

Mode Access : On y configure un seul VLAN les trames ne sont pas tagguées et on y branche un périphérique type PC, serveur, téléphone IP ect ..

Mode Trunk : Les trames sont taguées et cela est utilsés pour transporter plusieurs VLANs d’un switch à un autre. (Trunk=tronc).

Exemple :

Imaginons 2 bâtiments d’une même entreprises reliés par une fibre. La fibre relie les bâtiements des 2 switchs respectifs. Nous avons sur chacun des switchs 2 vlans avec plusieurs PC branchés. Les 2 vlans sont le 10 et le 20. Imaginons ici que le vlan 10 est le vlan des personnes travaillant pour le pôle Commercial et dans le vlan 20 les personnes travaillant dans le pôle Communications.

Pour cela nous allons configurer les ports connectés aux différents PC en mode access et la connection inter-switchs en mode trunk pour faire transiter les vlans 10 et 20 entre les 2 bâtiments (2 switchs) pour que les PC du pôle commercial puissent communiquer entre eux par exemple.

3. Le LAB

Vous pouvez téléchargez le LAB pour packet tracer ici :

Rien n’est configurer justement ça vous permet de faire le LAB 🙂 .

Contexte : Nous sommes dans une entreprise avec 3 bâtiments reliés entre eux par des fibres 1 Gb. Ces 3 switchs sont les »cores » (coeurs). Ces 3 cores sont reliés à des switchs d’accès qui eux même relient différents équipements.

3 vlans :

VLAN 111 : Administrateurs Réseaux // Réseau : 192.168.111.0/24

VLAN 50 : Télévendeur // Réseau : 192.168.50.0/24

VLAN 85 : Comptable // Réseau : 192.168.85.0/24

Topologie :

Remarque: dans ce type d’architecture où tous les switchs core sont reliés cela peut provoquer des tempêtes de broadcast mais sur Cisco le STP(Spanning Tree Protocol (permet de régler ce problème)) est activé par défaut sur les switchs donc pas de problèmes à ce niveau là. Nous aurons l’occasion de parler de ce protocole niveau 2 dans un autre Tuto 🙂 .

Objectif du LAB :

Reliés les équipements appartenant aux mêmes VLANs entre eux. Donc par exemple il faut que tous les équipements qui sont reliés à un port de n’importe quel switchs (en mode access) configuré sur le vlan 50 doivent pouvoir se pinguer quelques soient où ils se trouvent.

Remarque: Nous sommes sur du lab mais si un jour vous avez la chance de mettre cela en pratique sur une vraie infrastructure respectez les conseils suivants :

  • Faites un « show run » systématique avant la conf et enregistrer là dans un fichier pour revenir en arrière si besoin.

  • Prenez le temps de noter les commandes sur un fichier type fichier texte, notepad, visual studio, atom ect … Avant même de les taper sur CISCO (d’ailleurs vous les copierai bonne astuce pour les flemmards 😂). Cela permet de faire une vérfication et de ne pas aller trop vite et tapez une mauvaise commande qui peut avoir une conséquences dramatique 🙁 .

On commence par le bâtiment A1 !

3.1 Configuration des VLANs

On commence par cette partie de la topologie 🙂 :

Configuration de SW_BATA_ET2:

Sur cette liaison nous allons configurer les ports Fa0/1 à Fa0/5 en mode access sur le port.

Fa0/1 et Fa02 en mode access sur le vlan 50.

Fa0/3 et Fa0/4 en mode access sur le vlan 85.

Fa0/5 en mode access sur le vlan 111.

Enfin le port G0/1 en mode trunk

On se connecte sur le switch :

Entrer puis on se mets en mode privilégiés :

Switch>enable 
Switch#

Puis on se met en mode configuration :

Switch#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#

On profite pour renommer le switch ce sera plus facile pour les reconnaîtres si on ouvre plusieurs fenêtres :

Switch(config)#hostname SW_BATA_ET2
SW_BATA_ET2(config)#

Ensuite on créer les vlans :

SW_BATA_ET2(config)#vlan 111
SW_BATA_ET2(config-vlan)#vlan 50
SW_BATA_ET2(config-vlan)#vlan 85
SW_BATA_ET2(config-vlan)#exit

On configure les différentes interfaces(où sont connectés les différents périphériques en mode access) selon leurs vlans respectifs :

SW_BATA_ET2(config)#interface fastEthernet 0/1
SW_BATA_ET2(config-if)#switchport mode access 
SW_BATA_ET2(config-if)#switchport access vlan 50
SW_BATA_ET2(config-if)#exit
SW_BATA_ET2(config)#interface fastEthernet 0/2
SW_BATA_ET2(config-if)#switchport mode access 
SW_BATA_ET2(config-if)#switchport access vlan 50
SW_BATA_ET2(config-if)#exit
SW_BATA_ET2(config)#interface fastEthernet 0/3
SW_BATA_ET2(config-if)#switchport mode access 
SW_BATA_ET2(config-if)#switchport access vlan 85
SW_BATA_ET2(config-if)#exit
SW_BATA_ET2(config)#interface fastEthernet 0/4
SW_BATA_ET2(config-if)#switchport mode access 
SW_BATA_ET2(config-if)#switchport access vlan 85
SW_BATA_ET2(config-if)#exit
SW_BATA_ET2(config)#interface fastEthernet 0/5
SW_BATA_ET2(config-if)#switchport mode access 
SW_BATA_ET2(config-if)#switchport access vlan 111
SW_BATA_ET2(config-if)#exit

Répétitif n’est ce pas ? Bon au moins avec cela vous êtes sur de connaîtres les commandes par coeur 😀 .

Enfin on configure le port G0/1 qui sera configuré en mode trunk. Attention 2 (plus en réalité mais ici uniquement 2 dans le càs de mon LAB)manière de le faire et la seconde sera le mieux pour le monde « pro »(je vous explique après pourquoi).

1 ère toute simple :

SW_BATA_ET2(config)#interface gigabitEthernet 0/1
SW_BATA_ET2(config-if)#switchport mode trunk 

Tout simplement et je m’arrêtte là. Cela veut dire que mon port est en mode trunk et qu’il va laisser passer tout les vlans(pour le LAB c’est suffisant).

Alors c’est bien ça facilite la vie mais cependant en prenant l’habitude de faire cela on autorise des vlans non utilisés par le switch(interconnecté à un autre switch qui a d’autres vlans configurés par exemple que ceux configurés sur mon switch). Si par exemple il y’a un broadcast je recevrait ce broadcast sur le switch donc du traffic inutile. En autorisant explicitement les vlans sur le port trunk non seulement j’optimiserai mon réseau mais en plus cela permet d’éviter qu’un autre switch m’envoie du « mauvais » traffic si il y’a mauvais paramétrage. Donc c’est une bonne habitude à prendre ;).

Donc 2 ème méthode :

SW_BATA_ET2(config)#interface gigabitEthernet 0/1
SW_BATA_ET2(config-if)#switchport mode trunk 
SW_BATA_ET2(config-if)#switchport trunk allowed vlan 111
SW_BATA_ET2(config-if)#switchport trunk allowed vlan add 50
SW_BATA_ET2(config-if)#switchport trunk allowed vlan add 85
SW_BATA_ET2(config-if)#exit

Attention !!! a toujours ajouter le « add » après « allowed vlan » lorsque vous autorisez les vlans. Sans cela vous pouvez écraser la conf précédente et en prod c’est une catastrophe(obligez de tout réautoriser) !

Remarque: Comme le vlan 111 est le premier à être autorisé je ne mets pas le « add »

Ensuite je quitte le mode configuration pour revenir au mode privilégiés :

SW_BATA_ET2(config)#exit
SW_BATA_ET2#
%SYS-5-CONFIG_I: Configured from console by console

Je vérifie ma configuration :

SW_BATA_ET2#show vlan 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24, Gig0/2
50   VLAN0050                         active    Fa0/1, Fa0/2
85   VLAN0085                         active    Fa0/3, Fa0/4
111  VLAN0111                         active    Fa0/5
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
50   enet  100050     1500  -      -      -        -    -        0      0
85   enet  100085     1500  -      -      -        -    -        0      0
111  enet  100111     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

Remote SPAN VLANs
------------------------------------------------------------------------------

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Mes vlans sont bien déclarés.

SW_BATA_ET2#show running-config 

Je descends jusqu’au interface configurés :

interface FastEthernet0/1
 switchport access vlan 50
 switchport mode access
!
interface FastEthernet0/2
 switchport access vlan 50
 switchport mode access
!
interface FastEthernet0/3
 switchport access vlan 85
 switchport mode access
!
interface FastEthernet0/4
 switchport access vlan 85
 switchport mode access
!
interface FastEthernet0/5
 switchport access vlan 111
 switchport mode access
!


interface GigabitEthernet0/1
 switchport trunk allowed vlan 50,85,111
 switchport mode trunk
!

Ma configuration est bonne j’enregistre !

SW_BATA_ET2#write memory 
Building configuration...
[OK]

Bien au passe au reste je mettrais moins de détails cela va être la même chose pour le reste hormis les switchs core qui auront tout leurs ports en mode trunk.

On passe donc à SW_BATA_ET1.

Configuration de SW_BATA_ET1 :

Configuration des vlans :

SW_BATA_ET1(config)#vlan 85
SW_BATA_ET1(config-vlan)#vlan 50
SW_BATA_ET1(config-vlan)#exit

4 ports en mode access et 1 port en mode trunk pour la liaison avec le core SW_BAT_A1.

SW_BATA_ET1(config)#interface fastEthernet 0/1
SW_BATA_ET1(config-if)#switchport mode access 
SW_BATA_ET1(config-if)#switchport access vlan 85
SW_BATA_ET1(config-if)#exit
SW_BATA_ET1(config)#interface fastEthernet 0/2
SW_BATA_ET1(config-if)#switchport mode access 
SW_BATA_ET1(config-if)#switchport access vlan 85
SW_BATA_ET1(config-if)#exit
SW_BATA_ET1(config)#interface fastEthernet 0/3
SW_BATA_ET1(config-if)#switchport mode access 
SW_BATA_ET1(config-if)#switchport access vlan 50
SW_BATA_ET1(config-if)#exit
SW_BATA_ET1(config)#interface fastEthernet 0/24
SW_BATA_ET1(config-if)#switchport mode access 
SW_BATA_ET1(config-if)#switchport access vlan 50
SW_BATA_ET1(config-if)#exit

Le port trunk mainteant :

SW_BATA_ET1(config)#interface gigabitEthernet 0/1
SW_BATA_ET1(config-if)#switchport mode trunk 
SW_BATA_ET1(config-if)#switchport trunk allowed vlan 85
SW_BATA_ET1(config-if)#switchport trunk allowed vlan add 50
SW_BATA_ET1(config-if)#exit

Remarque: Etant donné que le vlan 111 n’est pas utilisé sur ce switch j’autorise uniquement le vlan 85 et le vlan 50.

On vérifie la configuration et on enregistre.

SW_BATA_ET1#show vlan 
SW_BATA_ET1#show running-config 
SW_BATA_ET1#write memory 

On passe à l’un des switch core SW_BAT_A1 !

Configuration de SW_BAT_A1:

On déclare les vlans :

SW_BAT_A1(config)#vlan 111
SW_BAT_A1(config-vlan)#vlan 85
SW_BAT_A1(config-vlan)#vlan 50
SW_BAT_A1(config-vlan)#exit

3 ports trunks à configurer en autorisant les 3 vlans de notre réseaux.

SW_BAT_A1(config)#interface gigabitEthernet 6/1
SW_BAT_A1(config-if)#switchport mode trunk 
SW_BAT_A1(config-if)#switchport trunk allowed vlan 111
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 85
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 50
SW_BAT_A1(config-if)#exit
SW_BAT_A1(config)#interface gigabitEthernet 7/1
SW_BAT_A1(config-if)#switchport mode trunk
SW_BAT_A1(config-if)#switchport trunk allowed vlan 111
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 50
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 85
SW_BAT_A1(config-if)#exit
SW_BAT_A1(config)#interface gigabitEthernet 8/1
SW_BAT_A1(config-if)#switchport mode trunk 
SW_BAT_A1(config-if)#switchport trunk allowed vlan 111
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 50
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 85
SW_BAT_A1(config-if)#exit
SW_BAT_A1(config)#interface gigabitEthernet 9/1
SW_BAT_A1(config-if)#switchport mode trunk 
SW_BAT_A1(config-if)#switchport trunk allowed vlan 111
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 50
SW_BAT_A1(config-if)#switchport trunk allowed vlan add 85
SW_BAT_A1(config-if)#exit

On vérifie la configuration on enregistre.

SW_BAT_A1#show vlan 
SW_BAT_A1#show running-config  
SW_BAT_A1#write memory 

On passe maintenant à cette partie de la topologie :

SW_BAT_C3:

On déclare les vlans :

SW_BAT_C3(config)#vlan 111 
SW_BAT_C3(config-vlan)#vlan 50
SW_BAT_C3(config-vlan)#vlan 85

Switch core donc 4 interfaces trunk à configurés.

SW_BAT_C3(config)#interface gigabitEthernet 6/1
SW_BAT_C3(config-if)#switchport mode trunk 
SW_BAT_C3(config-if)#switchport trunk allowed vlan 111
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 50
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 85
SW_BAT_C3(config-if)#exit
SW_BAT_C3(config)#interface gigabitEthernet 7/1
SW_BAT_C3(config-if)#switchport mode trunk 
SW_BAT_C3(config-if)#switchport trunk allowed vlan 111
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 50
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 85
SW_BAT_C3(config-if)#exit
SW_BAT_C3(config)#interface gigabitEthernet 8/1
SW_BAT_C3(config-if)#switchport mode trunk 
SW_BAT_C3(config-if)#switchport trunk allowed vlan 111
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 50
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 85
SW_BAT_C3(config-if)#exit
SW_BAT_C3(config)#interface gigabitEthernet 9/1
SW_BAT_C3(config-if)#switchport mode trunk 
SW_BAT_C3(config-if)#switchport trunk allowed vlan 111
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 50
SW_BAT_C3(config-if)#switchport trunk allowed vlan add 85
SW_BAT_C3(config-if)#exit

On vérifie la conf est on enregistre :

SW_BAT_C3#show vlan 
SW_BAT_C3#show running-config  
SW_BAT_C3#write memory 

SW_BATC_ET1:

2 port en mode acces et 1 en mode trunk.

On déclare d’abord les vlans 111 et 50

SW_BATC_ET1(config)#vlan 111
SW_BATC_ET1(config-vlan)#vlan 50
SW_BATC_ET1(config-vlan)#exit

On configure les 2 ports en mode access :

SW_BATC_ET1(config)#interface fastEthernet 0/1
SW_BATC_ET1(config-if)#switchport mode access 
SW_BATC_ET1(config-if)#switchport access vlan 111
SW_BATC_ET1(config-if)#exit
SW_BATC_ET1(config)#interface fastEthernet 0/2
SW_BATC_ET1(config-if)#switchport mode access 
SW_BATC_ET1(config-if)#switchport access vlan 50
SW_BATC_ET1(config-if)#exit

Et le dernier port en trunk :

SW_BATC_ET1(config)#interface gigabitEthernet0/1
SW_BATC_ET1(config-if)#switchport mode trunk 
SW_BATC_ET1(config-if)#switchport trunk allowed vlan 111
SW_BATC_ET1(config-if)#switchport trunk allowed vlan add 50
SW_BATC_ET1(config-if)#exit

On revient en mode privilégiés et on vérifie la configuration :

SW_BATC_ET1#show vlan 
SW_BATC_ET1#show running-config  
SW_BATC_ET1#write memory 

SW_BATC_ET2:

2 port en mode acces et 1 en mode trunk.

On déclare d’abord les vlans 85 et 50.

SW_BATC_ET2(config)#vlan 85
SW_BATC_ET2(config-vlan)#vlan 50
SW_BATC_ET2(config-vlan)#exit

On configure les 2 ports en mode access :

SW_BATC_ET2(config)#interface fastEthernet 0/1
SW_BATC_ET2(config-if)#switchport mode access 
SW_BATC_ET2(config-if)#switchport access vlan 50
SW_BATC_ET2(config-if)#exit
SW_BATC_ET2(config)#interface fastEthernet 0/2
SW_BATC_ET2(config-if)#switchport mode access 
SW_BATC_ET2(config-if)#switchport access vlan 85
SW_BATC_ET2(config-if)#exit

Le port trunk :

SW_BATC_ET2(config)#interface gigabitEthernet 0/1
SW_BATC_ET2(config-if)#switchport mode trunk 
SW_BATC_ET2(config-if)#switchport trunk allowed vlan 50
SW_BATC_ET2(config-if)#switchport trunk allowed vlan add 85
SW_BATC_ET2(config-if)#exit

Vous commencez à connaitre … on vérifie et on enregistre 🙂 .

SW_BATC_ET2#show vlan 
SW_BATC_ET2#show running-config  
SW_BATC_ET2#write memory

On passe à la dernière partie de la topologie 😌. Enfin !!!

SW_BAT_B2:

Les 4 ports en mode trunk. On déclare bien évidement avant les vlans :

SW_BAT_B2(config)#vlan 111
SW_BAT_B2(config-vlan)#vlan 50
SW_BAT_B2(config-vlan)#vlan 85
SW_BAT_B2(config-vlan)#exit
SW_BAT_B2(config)#interface gigabitEthernet 8/1
SW_BAT_B2(config-if)#switchport mode trunk 
SW_BAT_B2(config-if)#switchport trunk allowed vlan 111
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 85
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 50
SW_BAT_B2(config-if)#exit
SW_BAT_B2(config)#interface gigabitEthernet 9/1
SW_BAT_B2(config-if)#switchport mode trunk 
SW_BAT_B2(config-if)#switchport trunk allowed vlan 111
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 50
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 85
SW_BAT_B2(config-if)#exit
SW_BAT_B2(config)#interface gigabitEthernet 6/1
SW_BAT_B2(config-if)#switchport mode trunk 
SW_BAT_B2(config-if)#switchport trunk allowed vlan 111
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 50
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 85
SW_BAT_B2(config-if)#exit
SW_BAT_B2(config)#interface gigabitEthernet 7/1
SW_BAT_B2(config-if)#switchport mode trunk 
SW_BAT_B2(config-if)#switchport trunk allowed vlan 111
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 50
SW_BAT_B2(config-if)#switchport trunk allowed vlan add 85
SW_BAT_B2(config-if)#exit

Vérification et on enregistre :

SW_BAT_B2#show vlan 
SW_BAT_B2#show running-config  
SW_BAT_B2#write memory

SW_BATB_ET2:

3 port en mode acess et 1 port en mode trunk.

On déclare les vlans

SW_BATB_ET2(config)#vlan 85
SW_BATB_ET2(config-vlan)#vlan 50
SW_BATB_ET2(config-vlan)#exit
SW_BATB_ET2(config)#interface fastEthernet 0/1
SW_BATB_ET2(config-if)#switchport mode access 
SW_BATB_ET2(config-if)#switchport access vlan 85
SW_BATB_ET2(config-if)#exit
SW_BATB_ET2(config)#interface fastEthernet 0/24
SW_BATB_ET2(config-if)#switchport mode access 
SW_BATB_ET2(config-if)#switchport access vlan 85
SW_BATB_ET2(config-if)#exit
SW_BATB_ET2(config)#interface fastEthernet 0/2
SW_BATB_ET2(config-if)#switchport mode access 
SW_BATB_ET2(config-if)#switchport access vlan 50
SW_BATB_ET2(config-if)#exit
SW_BATB_ET2(config)#interface gigabitEthernet 0/1
SW_BATB_ET2(config-if)#switchport mode trunk 
SW_BATB_ET2(config-if)#switchport trunk allowed vlan 85
SW_BATB_ET2(config-if)#switchport trunk allowed vlan add 50
SW_BATB_ET2(config-if)#exit

On vérifie et on enregistre :

SW_BATB_ET2#show vlan 
SW_BATB_ET2#show running-config  
SW_BATB_ET2#write memory

THE LAST SWITH …

SW_BATB_ET1:

On configure les vlans :

SW_BATB_ET1(config)#vlan 111
SW_BATB_ET1(config-vlan)#vlan 50
SW_BATB_ET1(config-vlan)#exit
SW_BATB_ET1(config)#interface fastEthernet 0/1
SW_BATB_ET1(config-if)#switchport mode access 
SW_BATB_ET1(config-if)#switchport access vlan 50
SW_BATB_ET1(config-if)#exit
SW_BATB_ET1(config)#interface fastEthernet 0/2
SW_BATB_ET1(config-if)#switchport mode access 
SW_BATB_ET1(config-if)#switchport access vlan 50
SW_BATB_ET1(config-if)#exit
SW_BATB_ET1(config)#interface fastEthernet 0/3
SW_BATB_ET1(config-if)#switchport mode access 
SW_BATB_ET1(config-if)#switchport access vlan 111
SW_BATB_ET1(config-if)#exit
SW_BATB_ET1(config)#interface gigabitEthernet 0/1
SW_BATB_ET1(config-if)#switchport mode trunk 
SW_BATB_ET1(config-if)#switchport trunk allowed vlan 111
SW_BATB_ET1(config-if)#switchport trunk allowed vlan add 50
SW_BATB_ET1(config-if)#exit

On vérifie et on enregistre.

SW_BATB_ET1#show vlan 
SW_BATB_ET1#show running-config  
SW_BATB_ET1#write memory

Maintenant on passe à la configuration IP !

3.2 Configuration IP des machines.

Je vais en montrer une ensuite je vous laisserais faire la même chose pour la suite. Je vous montrerai la configuration des 2 serveurs (DHCP et WEB). Pour le vlan 50 pas besoin de conf IP sur chaque machine vu qu’il y aura le DHCP.

Prenons le PC0 dans le vlan 111 :

On clique une fois dessus et la fenêtre suivante apparâit on se dirige directement vers « Desktop »:

On clique sur IP « Configuration » en haut à gauche et configure comme cela (dans le réseau 192.168.111.0/24) :

Je configure un autre PC sur un autre bâtiment et j’essaie de le pinguer.

Ca ping !!! Bien je vais la même chose pour tout les autres PC dans le vlan 111 et je ping pour tester la connectivité. Pareil pour les pcs dans le vlan 85.

Configuration du DHCP (dans le vlan 50) :

Comme dans PC je vais dans « Desktop » pour configurer son IP :

Je me dirige ensuite vers services, je sélectionne le service DHCP et je configure comme cela:

Mettre les PC dans le vlan 50 en ip dhcp et vérifier que l’on reçoit bien une IP :). On vérifie la continuité entre les bâtiement avec des PINGs.

Configuration du serveur WEB (sur le vlan 85):

Le HTTP est déjà actif par défaut :

Il suffit d’aller sur un PC dans le VLAN 85 et y accèder en HTTP. Exemple sur Laptop 2 je vais dans « web browser » :

J’accède bien à mon serveur Web.

THE END !

Bon le lab en soit n’est pas très long ce qui a été long c’est d’écrire cette article mais je suis content d’avoir terminé et je serai encore plus content si je sais qu’il a pu vous être utile 🙂 .

A bientôt !