1. Routage et VLAN

TP3 – IP et routage
Si nécessaire installer les packages :
apt-get install iproute vlan ppp iptables net-tools
1. Routage et VLAN
1. A présent on fait le câblage suivant
A
B
C
D
SWITCH
Mais on veut avoir au niveau «logique » le réseau suivant :
net2 : 10.0.2.0/24
A
eth0
B
C
eth0.102
eth0
D
eth0
eth0.101
net1 : 10.0.1.0/24
On va configurer C en routeur, en lui créant des interfaces virtuelles sur les VLAN 101 et 102.
Afin de pouvoir faire des vlan « tagués 802.1q » permettant de diviser une interface en interfaces
virtuelles présentes sur plusieurs VLAN il faut demander au noyau de charger le module
correspondant :
# modprobe 8021q
il peut être nécessaire d'installer le package vlan sur votre distribution :
# apt-get install vlan
On utilisera une seule interface sur C qui sera divisée en interfaces virtuelles (grâce au TAG vlan).
Pour créer une interface présente sur le vlan-idVLAN :
# vconfig add eth0 idVLAN
# ip link set eth0.idVLAN up
Ensuite il faut définir sur le switch que le port qui est connecté à l'interface eth0 de C est présent (de
manière tagué) sur les VLAN 101 et 102. Les autres ports du switchs seront presents (non tagués)
sur les VLAN désirés
Faire les configurations nécessaires. Vérifier que les 2 réseaux net1 et net2 sont opérationnels.
Donner les configurations nécessaires au niveau des machines et au niveau du switch.
Faites la configuration pour que les machines des 2 réseaux puissent se joindre. Vérifier que les
machines peuvent se joindre.
Master TR – S. Viardot / E. Chotin
1/3
Quelques éléments utiles:
– Pour qu'une machine fasse suivre les paquets d'une interface vers une autre (fonctionnement en
mode routeur) il faut activer ip_forward au niveau du noyau :
sysctl -w net.ipv4.ipforward=1 (=0 pour désactiver le mode routeur)
–
–
Pour ajouter une entrée dans la table de routage :(Cf. ip route help)
ip route add @reseau/nb_bits_reseau via @routeur_pour_aller_sur_ce_reseau
Pour enlever une entrée dans la table de routage:
ip route del @reseau/nb_bits_reseau via @routeur_pour_aller_sur_ce_reseau
Cf. http://linux-ip.net/html/tools-ip-route.html
Videz les tables ARP de toutes les machines. Lancez une capture de trame sur A et B et faites un
ping B depuis la machine A.
Dans chaque capture vous devez normalement obtenir un échange ARP, suivi des trames ICMP du
ping.
Faites un schéma temporel des trames échangées entre A, C et B, en notant les adresses sources et
destination au niveau ethernet et IP de chacune des trames.
Que conclure sur la visibilité d'une adresse ethernet et sur la visibilité d'une adresse IP ?
3. Routage et translation d'adresse.
Soit la configuration suivante :
net2 : 10.0.2.0/24
A
eth0
B
C
eth0.102
eth0
D
eth0
eth0.101
net1 : 192.168.1.0/24
Modifiez les configurations pour que les postes soient configurés comme illustré ci-dessus
(changement d'adresse réseau sur net1).
On veut à présent mettre en oeuvre la translation d'adresse sur le routeur C. Pour cela on va utiliser
iptables.
Voilà comment l'utiliser :
iptables –t nat –A POSTROUTING –o interface_FW_coté_ext –j SNAT –-to-source
@IP_FW_coté_ext
Cela signifie que tout ce qui sort (-o) de l’interface interface_FW_coté_ext va avoir comme
adresse @IP_FW_coté_ext même si les paquets viennent d’une autre machine.
Master TR – S. Viardot / E. Chotin
2/3
On considère que le réseau net2 est le réseau privé qui ne doit pas être visible par le réseau net1
(réseau public).
Mettre en oeuvre la translation d'adresse sur C.
Vérifiez que vous pouvez faire un ping de B vers A et de D vers A.
Observez les trames ping sur les net 1 et 2, quels sont les éléments/champs qui sont modifiées à la
traversée du routeur?
Comment C saura-t-il acheminer le message réponse à B et D, vu que A va envoyer les 2 réponses
à C ? Faites une analyse fine du travail de C.
Faites maintenant une communication TCP simultanée de B vers A et D vers A, par exemple une
connexion telnet ou ssh sur un utilisateur local de la machine A (à créer éventuellement), puis
reprenez les deux questions précédentes.
4 Reseau mixte : Point à Point / Ethernet (Proxy ARP)
Soit le réseau suivant :
A
Câble Serie
B
C
D
HUB/SWITCH
4.1.Câbler le réseau sans oublier de désactiver l'interface ethernet de la machine A:
ip address del @ipA dev interfaceEthernet
4.2.Configurer la liaison point à point avec le protocole SLIP:
–
–
Sur A et B : slattach -s 57600 -p slip /dev/ttyS0
Sur A et B :
ip address add @ipLocale peer @ipDistante dev interfaceSérie
–
Assurez vous que A peut atteindre B et B peut atteindre A.
4.3. A peut il envoyer un message à C et D (sans que C puisse forcément répondre)? Pourquoi ?
4.4. Configurer A et B pour que ce soit possible.(Verifier que D et C reçoit un message en lançant
tcpdump sur D et C)
4.5. D et C peuvent ils répondre à A ? Pourquoi ? Modifier la configuration de B pour que ce soit le
cas.
Indication: Pour ajouter une entrée permanente dans la table ARP :
arp -s @IP @ethernet pub
Master TR – S. Viardot / E. Chotin
3/3