Contrôle COMR
Corrigé du contrôle
Schéma du réseau
Configurez les VLAN demandés sur le commutateur, « noms » compris, plus un vlan 99 d’administration et de services.
Switch
Switch>en
Password:
Switch#vlan database
Switch(vlan)#vlan 99 name Serv-Admin
VLAN 99 added:
Name: Serv-Admin
Switch(vlan)#vlan 221 name Production
VLAN 221 added:
Name: Production
Switch(vlan)#vlan 220 name Secret
VLAN 220 added:
Name: Secret
Switch(vlan)#vlan 110 name VoIP
VLAN 110 added:
Name: VoIP
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Switch(config)#interface vlan 99
Switch(config-if)#description Serv-Admin
Switch(config-if)#ip address 192.168.99.199 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#end
Sur le routeur créez une interface par VLAN et configurez la avec la première adresse du réseau avant de faire en sorte qu’elles puissent être accessibles depuis leur VLAN.
Routeur
Show VLAN
Router#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/0/0, Fa0/0/1, Fa0/0/2, Fa0/0/3
10 VOIP active
20 secret active
21 production active
99 admin active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Router#vlan database
Router(vlan)#no vlan 20
Deleting VLAN 20...
Router(vlan)#no vlan 21
Deleting VLAN 21...
Router(vlan)#vlan 221 name Production
VLAN 221 added:
Name: Production
Router(vlan)#vlan 220 name Secret
VLAN 220 added:
Name: Secret
Router#conf t
Router(config)#interface vlan 10
Router(config-if)#description VoIP
Router(config-if)#ip address 192.168.110.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface vlan 220
Router(config-if)#description Secret
Router(config-if)#ip address 192.168.220.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#interface vlan 221
Router(config-if)#description Production
Router(config-if)#ip address 192.168.221.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#no shut
Router(config-if)#exit
Configurer votre Trunk uniquement sur la liaison existante entre le routeur et le switch
Routeur
Router#conf t
Router(config)#interface fastEthernet 0/0/3
Router(config-if)#switchport mode trunk
Router(config-if)#end
Switch
Switch#conf t
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
Configurez le service DHCP du routeur pour que tous les PC's des VLAN's reçoivent une configuration IP automatiquement dans le réseau spécifié avec le DNS : 80.10.246.2
Router#conf t
Router(config)#ip dhcp excluded-address 192.168.110.1
Router(config)#ip dhcp excluded-address 192.168.220.1
Router(config)#ip dhcp excluded-address 192.168.221.1
Router(config)#ip dhcp pool VoIP
Router(dhcp-config)#network 192.168.110.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.110.1
Router(dhcp-config)#dns-server 80.10.246.2
Router(dhcp-config)#exit
Router(config)#ip dhcp pool Secret
Router(dhcp-config)#network 192.168.220.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.220.1
Router(dhcp-config)#dns-server 80.10.246.2
Router(dhcp-config)#exit
Router(config)#ip dhcp pool Production
Router(dhcp-config)#network 192.168.221.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.221.1
Router(dhcp-config)#dns-server 80.10.246.2
Router(dhcp-config)#end
Configurez l’interface FastEthernet0/0 en client DHCP.
Router#conf t
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address dhcp
Router(config-if)#end
Configurez la fonction NAT pour l’accès à internet de tous les VLAN's
Router#conf t
Router(config)#access-list 10 permit any
Router(config)#ip nat inside source list 10 interface fastEthernet 0/0 overload
Je place tous les ports dans les bons VLAN's en éteignant tous les autres en ajoutant une sécurité sur les ports liés au VLAN de production (221)
Switch
Switch#conf t
Switch(config)#interface range fastEthernet 0/1 - 24
Switch(config-if-range)#shutdown
Switch(config-if-range)#exit
Switch(config)#interface fastEthernet 0/20
Switch(config-if)#switchport access vlan 221
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0090.2B31.AE9D
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/15
Switch(config-if)#switchport access vlan 220
Switch(config-if)#no shut
Switch(config-if)#end
Switch#write
Building configuration...
[OK]
Routeur
Router#conf t
Router(config)#interface fastEthernet 0/0/1
Router(config-if)#switchport access vlan 220
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0/0
Router(config-if)#switchport access vlan 10
Router(config-if)#end
Router#write
Building configuration...
[OK]
Vérifier l'accès au site WEB
Croyez-moi, j'ai vérifié les 4. Et la réponse est 42 ! \o/ xD
Le VLAN VOIP génère trop de trafics parasites. Limiter la communication entre le VLAN VoIP et les autres VLAN's.
Pour celle-ci je ne suis pas sûr mais j'ai fait ça :
Routeur
Router#conf t
Router(config)#access-list 110 deny tcp 192.168.110.0 0.0.0.255 192.168.220.0 0.0.1.255
Router(config)#access-list 110 deny ip 192.168.110.0 0.0.0.255 192.168.220.0 0.0.1.255
Router(config)#end
Router#write
Building configuration...
[OK]
Le fait de mettre 0.0.1.255 étend la plage de 192.168.220.0 jusque 192.168.221.255.