Nicolas ZOZIO – Votre futur administrateur système & réseau.

« A portée de main, toutes les informations sur mon parcours. »

BTS Services Informatiques aux Organisations, un parcours passionnant au cœur des technologies et de l’innovation.

Configuration du routeur

Le rôle principal du routeur est de permettre la communication entre des réseaux distincts. Afin de réaliser une maquette de notre infrastructure, notre routeur assumera le rôle de serveur DHCP. Il s’occupera également du filtrage avec les ACL. Nous remplacerons par la suite notre routeur par un pare-feu Stormshield (software).

Création des sous-interfaces

Notre routeur n’ayant que 2 interfaces disponibles, nous allons devoir créer des sous-interfaces réseaux :

Pour le VLAN 470 : 

en
conf t
int Gi0/0.470
encapsulation dot1Q 470
ip address 10.10.10.254 255.255.255.0

Pour le VLAN 471 : 

en
conf t
int Gi0/0.471
encapsulation dot1Q 471
ip address 172.31.1.254 255.255.255.0

Pour le VLAN 472 : 

en
conf t
int Gi0/0.472
encapsulation dot1Q 472
ip address 192.168.10.254 255.255.255.0

L’encapsulation est nécessaire afin de garantir la bonne distribution des paquets aux différents réseaux.

Activation du service DHCP (temporaire)

Exclusion des 10 premières adresses utilisables de chaque plage :

en
conf t
ip dhcp excluded-address 10.10.10.1 10.10.10.10
ip dhcp excluded-address 172.31.1.1 172.31.1.10
ip dhcp excluded-address 192.168.10.1 192.168.10.10

Création des différentes plages :

en
conf t 
ip dhcp pool GESTIONBORD
network 10.10.10.0 255.255.255.0
default-router 10.10.10.254
dns-server 192.168.10.253
ip dhcp pool CROSIERE
network 172.31.1.0 255.255.255.0
default-router 172.31.1.254
dns-server 192.168.10.253
ip dhcp pool ADMINISTRATION
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 192.168.10.253

Mise en place des ACLs

ACL pour le VLAN « CROISIERE » (bloqué vers les 2 autres réseaux) :

en
conf t
ip access-list extended ACL_CROISIERE
deny ip 172.31.1.0 0.0.0.255 10.10.10.0 0.0.0.255
deny ip 172.31.1.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 172.31.1.0 0.0.0.255 any

ACL pour « GESTIONBORD » (bloqué vers ADMINISTRATION) : 

en
conf t
ip access-list extended ACL_GESTIONBORD
deny ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 10.10.10.0 0.0.0.255 any

ACL « ADMINISTRATION » (rien à bloquer) :

en
conf t 
ip access-list extended ACL_ADMIN
permit ip 192.168.10.0 0.0.0.255 any

Applications des ACLs aux interfaces : 

en
conf t
interface GigabitEthernet0/0.470
ip access-group ACL_GESTIONBORD in
 
interface GigabitEthernet0/0.471
ip access-group ACL_CROISIERE in
interface GigabitEthernet0/0.472
ip access-group ACL_ADMIN in

Mise en place du NAT

Configuration de l’interface de sortie : 

en
conf t
interface GigabitEthernet0/1
ip address 10.15.250.251 255.255.255.0
ip nat outside

Configuration des sous-interfaces du LAN:

en
conft 
interface GigabitEthernet0/0.470
ip nat inside
interface GigabitEthernet0/0.471
ip nat inside
interface GigabitEthernet0/0.472
ip nat inside

Configuration des ACLs pour le NAT :

en
conf t
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 1 permit 172.31.1.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255

Activation du NAT dynamique avec surcharge (PAT) : 

ip nat inside source list 1 interface GigabitEthernet0/1 overload
3. Mise en place du Contrôleur de domaine