SAE2.01 - Construire un réseau informatique pour une petite structure

# SAE2.01 - Construire un réseau informatique pour une petite structure Compte rendu réalisé dans le cadre de la SAE 2.01 - Construire un réseau informatique pour une petite structure, par Ewen GADONNAUD, groupe TP1 - TD1. --- [toc] ## Partie 1 - Déployer une infrastructure réseau multisite ### 1. Adressage du réseau **Q1 :** Tout d'abord, pour le réseau siège de l'entreprise : | Nom | Adresse (sous)réseau | Masque | Passerelle | VLAN | Ports associés | | --- | -------------------- | ------ | ---------- | ---- | ------------- | | DMZ | 172.16.0.0 | 255.255.255.0 | 172.16.0.254 | VLAN100 |Gi0/0-3 (SW-1)| | ADMIN | 172.16.1.0 | 255.255.255.0 | 172.16.1.254 | VLAN170 | Gi1/0-3 (SW-1) | | R&D | 172.16.2.0 | 255.255.255.0 | 172.16.2.254 | VLAN110 | Gi3/0-3 (SW-2) | | PROD | 172.16.3.0 | 255.255.255.0 | 172.16.3.254 | VLAN120 | Gi0/0-3 (SW-2) | Ensuite pour le réseau filiale, on utilise la technique du VLSM pour chaque sous-réseaux/VLAN : On commence par le sous-réseau qui comprends le plus d'hôtes Par exemple : pour le VLAN140/VENTE on veux 72 hôtes -> $2^7$ -> 32-7 = /25 (masque du sous réseau)... et ainsi de suite pour tous les réseaux. | Nom | Adresse (sous)réseau | Masque | Passerelle | VLAN | Ports associés | | --- | -------------------- | ------ | ---------- | ---- | ------------- | | VENTE | 192.168.86.0 | 255.255.255.128 | 192.168.86.126 | VLAN140 |Gi0/0 - Gi0/3| | COMPTA | 192.168.86.128 | 255.255.255.224 | 192.168.86.158 | VLAN130 | Gi1/0 - Gi1/3 | | ADMIN | 192.168.86.160 | 255.255.255.248 | 192.168.86.166 | VLAN170 | Gi2/0 - Gi2/3 | Finalement pour l'interconnexion du FAI : | Nom | Adresse (sous)réseau | Masque | Addr. Premier routeur | Addr. Second routeur | | ------------ | -------------------- | --------------- | --------------------- | -------------------- | | R-GW-1 - R-1 | 10.10.10.0 | 255.255.255.252 | 10.10.10.1 | 10.10.10.2 | | R-1 - R-3 | 10.10.10.4 | 255.255.255.252 | 10.10.10.5 | 10.10.10.6 | | R-1 - R-2 | 10.10.10.8 | 255.255.255.252 | 10.10.10.9 | 10.10.10.10 | | R-3 - R-2 | 10.10.10.12 | 255.255.255.252 | 10.10.10.13 | 10.10.10.14 | | R-GW-2 - R-2 | 10.10.10.16 | 255.255.255.252 | 10.10.10.17 | 10.10.10.18 | | MLS1 - R-GW-1 | 10.10.10.20 | 255.255.255.252 | 10.10.10.21 | 10.10.10.22 | **Q2 :** ![image](https://hackmd.io/_uploads/rJMA9sOBA.png) ### 2. Configuration du réseau "Filiale" **Q4 :** On utilisera cette configuration pour établir les VLANs sur le switch SW-3 : ``` hostname SW-3 no ip domain-lookup vlan 140 name VENTE vlan 130 name COMPTA vlan 170 name ADMIN int range Gi0/0-3 sw mode access sw access vlan 140 no shut int range Gi1/0-3 sw mode access sw access vlan 130 no shut int range Gi2/0-3 sw mode trunk sw trunk native vlan 170 no shut ``` Résultat de la commande `sh vlan br` pour regarder le récapitulatif des assignations VLANs au ports : ![image](https://hackmd.io/_uploads/r1pu2LzzA.png) **Q5 :** On utilisera cette configuration pour établir lele routage inter-vlan sur le routeur R-GW-2 : ``` hostname R-GW-2 no ip domain-lookup int Gi0/2 no shut int Gi0/2.140 encapsulation dot1q 140 ip addr 192.168.86.158 255.255.255.224 no shut int Gi0/2.130 encapsulation dot1q 130 ip addr 192.168.86.126 255.255.255.128 no shut int Gi0/2.170 encapsulation dot1q 170 native ip addr 192.168.86.166 255.255.255.248 no shut ``` Résultat de la commande `sh ip int br` pour regarder le récapitulatif des assignations IP aux sous interfaces : ![image](https://hackmd.io/_uploads/SyMopUMGA.png) **Q6 :** On vérifie en mettant une sonde wireshark sur la liason entre le routeur et le switch, puis on lance un ping depuis le PC présent dans le VLAN VENTE à destination du PC présent dans le VLAN COMPTA : ![image](https://hackmd.io/_uploads/rkXNJvMMC.png) On remarque que une trame 802.1Q est présente dans la composition du paquet ICMP, confirmant que l'encapsulation se fait correctement. Voici le résultat des ping (`ping 192.168.86.129`) : ![image](https://hackmd.io/_uploads/SJRkgDGMC.png) **Q7 :** Afin de configurer l'accès par SSH sur le switch SW-3, il faut configurer une SVI sur le vlan natif 170 avec les commandes suivantes : ``` int vlan 170 ip address 192.168.86.165 255.255.255.248 no shut ip domain-name filiale-poitiers.fr crypto key generate rsa // on choisira un modulus de 1024 ip ssh version 2 username cisco secret gtrnet line vty 0 4 login local transport input ssh end ``` Ici, on a attribué l'adresse `192.168.86.165` pour l'interface SVI, l'adresse est donc présente dans le vlan natif. On suis les mêmes étapes pour la configuration du SSH sur le routeur R-GW-2, cependant, il n'y a pas de SVI à configurer ici. **Q8 :** Afin de vérifier si le SSH fonctionne correctement, on branche un ordinateur temporaire sur le switch SW-3 sur le port Gi2/1 de ce dernier, présent dans le réseau du vlan natif/gestion et on lui aura attribué l'adresse suivante : `192.168.86.164`. ![image](https://hackmd.io/_uploads/SkrNWrUMR.png) En premier lieu, on essaie de se connecter au switch SW-3 avec SSH grâce à la commande suivante : `ssh cisco@192.168.86.165 -o KexAlgorithms="diffie-hellman-group-exchange-sha1" -o HostKeyAlgorithms="ssh-rsa"` On accepte la clé inconnue, on rentre le mot de passe `gtrnet` et tout fonctionne : ![image](https://hackmd.io/_uploads/rkN0ZHIM0.png) On suit la même manipulation pour se connecter au routeur R-GW-2, sauf que l'on changera l'adresse IP : `ssh cisco@192.168.86.165 -o KexAlgorithms="diffie-hellman-group-exchange-sha1" -o HostKeyAlgorithms="ssh-rsa"` Tout fonctionne : ![image](https://hackmd.io/_uploads/HyjzMrIM0.png) **Q9 :** On configure l'interface Gi0/1 du routeur R-GW-2 en rentrant les commandes suivantes : ``` int gi0/1 ip address 10.10.10.17 255.255.255.252 no shut ``` Voici un récapitulatif des interfaces configurées sur le routeur R-GW-2 : ![image](https://hackmd.io/_uploads/HJe7QH8GR.png) ### 3. Configuration du réseau "Siège" **Q10 :** Afin de configurer les VLANs plus facilement pour le réseau Siège, on utilisera le VTP pour déployer les VLAN présents dans le switch de couche 3 MLS-1 sur tout les autres switch du réseau. Il faut alors établir une relation serveur/client, le serveur étant le switch MLS-1 et les clients tout les autres switch. On rentrera les configurations suivantes dans les différents switchs pour configurer le VTP : ``` Pour MLS-1 : MLS-1 : hostname MLS-1 no ip domain-lookup vtp mode server vtp domain siege vtp password cisco vlan 100 name DMZ no shut vlan 170 name ADMIN no shut vlan 110 name R&D no shut vlan 120 name PROD no shut int gi2/0 sw trunk encapsulation dot1q sw mode trunk sw trunk native 170 no shut int gi2/1 sw trunk encapsulation dot1q sw mode trunk sw trunk native 170 no shut Pour SW-1 : hostname SW-1 no ip domain-lookup vtp version 2 vtp mode client vtp domain siege vtp password cisco int gi2/0 sw trunk encapsulation dot1q sw mode trunk sw trunk native vlan 170 no shut SW-2 : hostname SW-2 no ip domain-lookup vtp mode client vtp domain siege vtp password cisco int gi2/1 sw trunk encapsulation dot1q sw mode trunk sw trunk native vlan 170 no shut ``` Une fois toutes les commandes rentrées, les liens spanning tree seront rétablis et la diffusion des VLAN avec le VTP est un succès, voici alors les VLAN présents sur SW-1 et SW-2 : ![image](https://hackmd.io/_uploads/Sy5eTBIfA.png) ![image](https://hackmd.io/_uploads/H1qMaHLMC.png) **Q11 :** On configure les différents ports des commutateurs d'accès SW-1 et SW-2 de telle manière : ``` Pour SW-1: int range Gi0/0-3 sw mode access sw access vlan 100 no shut int range Gi1/0-3 sw mode access sw access vlan 170 no shut Pour SW-2: int range Gi0/0-3 sw mode access sw access vlan 120 no shut int range Gi1/0-3 sw mode access sw access vlan 170 no shut int range Gi3/0-3 sw mode access sw access vlan 110 no shut ``` Récapitulatif des VLANs/ports pour SW-1 : ![image](https://hackmd.io/_uploads/By7O38LGA.png) Pour SW-2 : ![image](https://hackmd.io/_uploads/SksF28UGR.png) **Q13 :** On peux faire un ping depuis le srv-deb12-1 présent dans le vlan 100 vers tout les hôtes présents dans les différents vlans : ![image](https://hackmd.io/_uploads/rkZi3zpzA.png) On confirme également que l'encapsulation dot1q se fait grâce à une capture wireshark (présence d'une trame d'étiquettage) : ![image](https://hackmd.io/_uploads/rya63G6MR.png) **Q14 :** On configure MLS1 de telle sorte à ce que le port Gi0/0 ne soit plus considéré comme un port switch traditionnel, on active le routage sur ce dernier, puis on lui attribue une adresse IP selon le plan d'adressage établi au départ : ``` int Gi0/0 no switchport ip routing int Gi0/0 ip addr 10.10.10.21 255.255.255.252 no shut ``` Ensuite, on ajoute une route par défaut qui redirigera tout traffic sortant du réseau vers le port Gi0/0 du routeur R-GW-1 grâce a la commande suivante : ``` ip route 0.0.0.0 0.0.0.0 10.10.10.22 ``` Enfin, on configure le routeur R-GW-1 avec les commandes suivantes (configuration de l'interface Gi0/0 et implémentation d'une route résumée renvoyan tout les paquets en provenance des réseau 172.16.0.0/24 vers l'interface Gi0/0 de MLS1) : ``` int Gi0/0 ip address 10.10.10.22 255.255.255.252 no shut ip route 172.16.0.0 255.255.0.0 10.10.10.21 ``` **Q15 :** On affiche en premier lieu la table de routage de MLS1 : ![image](https://hackmd.io/_uploads/BJWlSETz0.png) La route par défaut fut définie correctement, renvoyant tout le paquets vers l'interface Gi0/0 de R-GW-1 A présent on affiche celle de R-GW-1 : ![image](https://hackmd.io/_uploads/HJ5RqVTf0.png) On vois que la route résumée est bien présente (S), tout fonctionne théoriquement. Voici le résultat d'un test de connectivité du serveur srv-deb12-1 vers l'interface Gi0/0 de R-GW-1 : ![image](https://hackmd.io/_uploads/SkQMIVaGR.png) **Q16 :** Afin de pouvoir utiliser SSH pour administrer à distance les switch et le routeur R-GW-1, on suis les étapes suivantes avec les commandes spécifiques pour chaque type de matériel. En premier lieu, on configure les SVI sur SW-1 et SW-2 à l'aide de ces commandes respectives à chaque switch : Pour SW-1 : ``` int vlan 170 ip addr 172.16.1.253 255.255.255.0 no shut ``` Pour SW-2 : ``` int vlan 170 ip addr 172.16.1.252 255.255.255.0 no shut ``` Ensuite, on peux rentrer ce jeu de commandes pour tous les équipements, sans distinction particulière: ``` ip domain-name siege-poitiers.fr crypto key generate rsa // on choisira un modulus de 1024 ip ssh version 2 username cisco secret gtrnet line vty 0 4 login local transport input ssh end ``` **Q17 :** De VPC-1 à SW-1 : ![image](https://hackmd.io/_uploads/Sy1eFVpfR.png) Commande utilisée : ``` ssh cisco@172.16.1.253 -o KexAlgorithms="diffie-hellman-group-exchange-sha1" -o HostKeyAlgorithms="ssh-rsa" ``` De VPC-1 à SW-2 : ![image](https://hackmd.io/_uploads/Hyect4aGC.png) Commande utilisée : ``` ssh cisco@172.16.1.252 -o KexAlgorithms="diffie-hellman-group-exchange-sha1" -o HostKeyAlgorithms="ssh-rsa" ``` De VPC-1 à MLS1 : La SVI étant déjà configurée afin de permettre le routage inter-vlan, on aura pas a en rajouter une ici. ![image](https://hackmd.io/_uploads/SysaY4pGC.png) Commande utilisée : ``` ssh cisco@172.16.1.254 -o KexAlgorithms="diffie-hellman-group-exchange-sha1" -o HostKeyAlgorithms="ssh-rsa" ``` De VPC-1 à R-GW-1 : ![image](https://hackmd.io/_uploads/BykboNTz0.png) Commande utilisée : ``` ssh cisco@10.10.10.22 -o KexAlgorithms="diffie-hellman-group-exchange-sha1" -o HostKeyAlgorithms="ssh-rsa" ``` **Q18 :** On rentre la configuration suivante dans R-GW-1 afin de configurer son interface externe (Gi0/1) : ``` int Gi0/1 ip address 10.10.10.1 255.255.255.252 no shut ``` ### 4. Configuration du réseau "FAI" **Q19 :** On configure les interfaces en accord avec le plan d'adressage établit initialement : ``` R-1 : hostname R-1 no ip domain-lookup int Gi0/1 ip address 10.10.10.2 255.255.255.252 no shut int Gi0/3 ip address 10.10.10.5 255.255.255.252 no shut int Gi0/2 ip address 10.10.10.9 255.255.255.252 no shut R-2 : hostname R-2 no ip domain-lookup int Gi0/1 ip address 10.10.10.17 255.255.255.252 no shut int Gi0/2 ip address 10.10.10.10 255.255.255.252 no shut int Gi0/0 ip address 10.10.10.14 255.255.255.252 no shut R-3 : hostname R-3 no ip domain-lookup int Gi0/3 ip address 10.10.10.6 255.255.255.252 no shut int Gi0/0 ip address 10.10.10.13 255.255.255.252 no shut ``` **Q20 :** Afin de déployer le protocole OSPF sur tout les routeurs du FAI, on rentre les commandes suivantes : ``` router ospf 1 router-id 1.1.1.1 #par convention on mets 1.1.1.1 pour R-1 ; 2.2.2.2 pour R-2... etc.. network 10.10.10.0 0.0.0.31 area 0 ``` On mets les interface Gi0/1 de R-1 et R-2 en mode passif avec la commande `passive-interface Gi0/1̀` **Q21 :** On étudie les différentes routes des routeurs : R-GW-1 : Pour le routeur R-GW-1 de frontière, on constate que une route par défaut est résente afin de pouvoir contacter le réseau du FAI, les autres routes statiques vers le réseau 172.16.0.0 permettent de contacter le réseau de siège. ![image](https://hackmd.io/_uploads/Byk79TpE0.png) R-GW-2 : Pour le routeur R-GW-2 de frontière, on constate que une route par défaut est résente afin de pouvoir contacter le réseau du FAI, les autres routes statiques vers le réseau 192.168.86.0 permettent de contacter le réseau de la filiale. ![image](https://hackmd.io/_uploads/ry_mcTT40.png) R-1 : Sur le routeur R1, de nombreuses routes OSPF sont présentes, car on a activé le protocole et elles correspondent aux routeurs adjacents et aux routes vers R-GW-1 et R-GW-2, une route statique permettant de contacter le réseau siège est aussi présente. ![image](https://hackmd.io/_uploads/B1c4566E0.png) R-2 : Sur le routeur R2, de nombreuses routes OSPF sont présentes, car on a activé le protocole et elles correspondent aux routeurs adjacents et aux routes vers R-GW-1 et R-GW-2, une route statique permettant de contacter le réseau filiale est aussi présente. ![image](https://hackmd.io/_uploads/BJUH56aNR.png) R-3 : Sur le routeur R2, de nombreuses routes OSPF sont présentes, car on a activé le protocole et elles correspondent aux routeurs adjacents du FAI. Aucune route par défaut n'est encore définie pour sortir sur internet car il faut établir de la translation d'adresse. ![image](https://hackmd.io/_uploads/ByfI9p6VC.png) **Q22 :** Depuis R-GW-1 vers R-GW-2 : ![image](https://hackmd.io/_uploads/S1UCipaE0.png) On peux simuler une panne en retirant le câble entre R-1 et R-2 afind de voir que le paquet passe bien par R-3, voici le ping après avoir retiré le câble : ![image](https://hackmd.io/_uploads/BJIfhTpVA.png) On peux également effectuer un traceroute pour voir que le paquet passe bien par R-3 : ![image](https://hackmd.io/_uploads/SyoS366NC.png) 10.10.10.6 étant l'interface Gi0/3 du routeur R-3 ### 5. Configuration de l'accès à internet **Q23 :** On configure l'interface Gi0/1 de R-3 afin de pouvoir contacter internet avec la configuration suivante : ``` int gi0/1 ip addr 172.16.18.253 255.255.255.0 no shut ip route 0.0.0.0 0.0.0.0 172.16.18.254 router ospf 1 default-information originate ``` Avec la configuration suivante, on peux ping 8.8.8.8 depuis le serveur et propager la route par défaut aux routeurs présent dans la zone OSPF (FAI) : ![image](https://hackmd.io/_uploads/SJ2UCTp4R.png) Sur R-2 par exemple : ![image](https://hackmd.io/_uploads/r1quC664C.png) **Q24 :** Maintenant, configurons le NAT avec les commandes suivantes sur R-3: ``` int Gi0/3 ip nat inside int Gi0/0 ip nat inside int Gi0/1 ip nat outside access-list 1 permit 10.10.10.0 0.0.0.255 ip nat inside source list 1 int gi0/1 overload ``` On peux essayer de ping 8.8.8.8 depuis R-2 par exemple : ![image](https://hackmd.io/_uploads/rkYElCa4R.png) On accède a la table de translations de R-3 : ![image](https://hackmd.io/_uploads/rkNKxRa4R.png) **Q25 :** Ping vers 8.8.8.8 depuis R-1 : ![image](https://hackmd.io/_uploads/BkOhx0aNR.png) Depuis R-2 : ![image](https://hackmd.io/_uploads/SJN6eR6V0.png) Table de translations de R-3 : ![image](https://hackmd.io/_uploads/HyJy-RaNR.png) On voit que les routeurs prennent une adresse de port différentes, car on fais de la translation d'adresse surchargée (PAT). **Q26 :** On vérifie que l'on à accès à internet depuis R-GW-1 : ![image](https://hackmd.io/_uploads/B1rmZ0aVA.png) On contacte un serveur d'internet avec succès. Et depuis R-GW-2 : ![image](https://hackmd.io/_uploads/BynDWA6EA.png) On contacte également un serveur d'internet avec succès. **Q27 :** On utilise les commandes suivantes afin de configurer la translation d'adresse pour les réseaux internes de R-GW-1 et R-GW-2 : ``` R-GW-1 NAT : int Gi0/0 ip nat inside int Gi0/1 ip nat outside access-list 1 permit 172.16.0.0 0.0.3.255 ip nat inside source list 1 int Gi0/1 overload R-GW-2 NAT : int Gi0/2 ip nat inside int Gi0/2.130 ip nat inside int Gi0/2.140 ip nat inside int Gi0/2.170 ip nat inside int Gi0/1 ip nat outside access-list 1 permit 192.168.86.0 0.0.0.255 ip nat inside source list 1 int Gi0/1 overload ``` **Q28 :** On peux ping 8.8.8.8 depuis le serveur présent dans la DMZ : ![image](https://hackmd.io/_uploads/H1DT7A6N0.png) Pareil depuis VPC5 présent dans le VLAN compta de la filiale : ![image](https://hackmd.io/_uploads/ryKyER6ER.png) Voici la table de translation de R-GW-1 : ![image](https://hackmd.io/_uploads/rkLB4CaV0.png) La table de translation de R-GW-2 : ![image](https://hackmd.io/_uploads/B1j8N0pEC.png) Et enfin la table de translation de R-3 : ![image](https://hackmd.io/_uploads/S1FdN0p4C.png) **Q29 :** Le serveur DMZ n'est pas accessible depuis un hôte de de Filiale car on à pas établit de translation d'adresse statique, il faut attribuer une adresse publique propre au serveur DMZ afin qu'il soit accessible. ## Partie 2 - Mettre en place des services réseaux ### 6. Installation et configuration des services #### 6.1. Installation et configuration de nginx **Q30 :** Avant d'installer le service nginx sur le serveur présent dans le vlan DMZ, il serait judicieux d'établir le nat statique au préalable avec la commande suivante sur le routeur R-GW-1: ``` ip nat inside source static tcp 172.16.0.1 80 10.10.10.1 80 ``` On autorise donc seulement les connexions HTTP au serveur pour des raisons de sécurité. Ensuite, on installe le paquet nginx avec la commande suivante sur le serveur DMZ : ``` sudo -i apt update && sudo -i apt install nginx ``` Il faut d'abord activer le site par défaut de nginx dans son fichier de configuration présent dans le répertoire `/etc/nginx/sites-available/default` en spécifiant le répertoire de la page par défaut : ![image](https://hackmd.io/_uploads/rktDzs_SR.png) On redémarre le service puis on vérifie que le serveur nginx tourne bien avec la commande suivante : ``` systemctl status nginx ``` ![image](https://hackmd.io/_uploads/SyHozcdBA.png) **Q31 :** On récupère la page avec curl depuis VPC5 présent dans le VLAN COMPTA du réseau Filiale: ``` curl http://10.10.10.1 ``` ![image](https://hackmd.io/_uploads/SJm0nR6V0.png) On peux également afficher la page en utilisant un pc firefox dans GNS3 afin de voir graphiquement la page. #### 6.2. Installation et configuration du DNS (bind9) + tests **Q32 :** On installe le paquet bind avec la commande `apt install bind9`. On décidera de créer une première zone qui s'appelera `netcom.com`. On édite donc le fichier /etc/bind/named.conf.local en déclarant la zone comme ceci : ![image](https://hackmd.io/_uploads/Skfe7cOSA.png) Notre fichier de zone se nommera donc "db.netcom-direct", que l'on remplira comme tel : ![image](https://hackmd.io/_uploads/rJ4G75_HA.png) On a donc renseigné également toutes les SVI de chaque équipement présent dans le réseau siège afin de pouvoir plus facilement s'y connecter en SSH par la suite. On déclare la zone inverse "db.netcom-inverse" dans le fichier, ou l'on mettra plusieurs pointeurs afin de rediriger vers les bonnes machines dans le domaine netcom.com : Contenu du fichier named.conf.local après déclaration de la zone inverse : ![image](https://hackmd.io/_uploads/ryoYmqdB0.png) Contenu du fichier db.netcom-inverse : ![image](https://hackmd.io/_uploads/HkQi7quHA.png) Afin de pouvoir intégrer également le réseau filiale dans nos résolution DNS, on crééra une seconde zone nommée `poitiers.netcom.com`. On édite donc le fichier /etc/bind/named.conf.local en déclarant la zone (directe) comme ceci : ![image](https://hackmd.io/_uploads/rywe4cOBC.png) Notre fichier de zone se nommera donc "db.poitiers.netcom-direct", que l'on remplira comme tel : ![image](https://hackmd.io/_uploads/HkoGVcuSA.png) On déclare la zone inverse "db.poitiers.netcom-inverse" dans le fichier, ou l'on mettra plusieurs pointeurs afin de rediriger vers les bonnes machines dans le domaine poitiers.netcom.com : Contenu du fichier named.conf.local après déclaration de la zone inverse : ![image](https://hackmd.io/_uploads/BJOI4c_SA.png) Contenu du fichier db.infopoitiers-inverse : ![image](https://hackmd.io/_uploads/HyqP4c_B0.png) **Q33 :** Procédons maintenant à divers test en utilisant la commande `nslookup`. On commencera par tester la zone directe `netcom.com` puis sa zone inverse depuis le serveur DNS par exemple, dont son adresse IP à été renseignée en tant que serveur de noms dans son fichier `/etc/resolv.conf`. Premier essai sur une machine présent dans le VLAN PROD et dont le nom est `prod.netcom.com` : ![image](https://hackmd.io/_uploads/H1pVBcOr0.png) On remarque que l'on obtiens bien la bonne IP et que le serveur de noms est le notre. On essaie maintenant la résolution inverse en entrant l'ip du PC présent dans le VLAN PROD (172.16.3.1) : ![image](https://hackmd.io/_uploads/B1e9S9OS0.png) Tout fonctionne alors correctement, zone inverse comme zone directe. A présent, essayons la résolution de noms depuis le réseau filiale. En l'occurence nous utiliserons le PC présent dans le VLAN COMPTA du réseau filiale, on renseignera dans son fichier `/etc/resolv.conf` ceci `nameserver 10.10.10.1`. Passons maintenant aux tests, essayons de résoudre le serveur DNS grâce à son nom de domaine depuis le PC présent dans le VLAN COMPTA (à l'adresse `srv-dmz.poitiers.netcom.com`) : ![image](https://hackmd.io/_uploads/SkoXt9dH0.png) On peux également effectuer des test avec wireshark depuis le PC dans le VLAN PROD par exemple afin d'illustrer la résolution inverse et directe : Résolution directe (`nslookup srv-dmz.netcom.com`) : ![image](https://hackmd.io/_uploads/SkFHacOB0.png) Résolution inverse (`nslookup 172.16.0.1`) : ![image](https://hackmd.io/_uploads/S1UiTqdH0.png) **Q34 :** Afin de pouvoir configurer un forwarder sur le serveur DNS et rediriger le traffic DNS externe aux zones présentes dans notre fichier de configuration (exemple : google.com), il faut éditer le fichier `/etc/bind/named.conf.options` comme ceci : ![image](https://hackmd.io/_uploads/Bkl70c_r0.png) On redémarre le service après changements. **Q35 :** On installe le paquet `tcpdump` puis on lance une capture à l'aide de ce dernier, ensuite, on lance une résolution directe vers le serveur de google.fr par exemple (`nslookup google.fr`), on obtiens ceci : ![image](https://hackmd.io/_uploads/rkeCCqdrA.png) On vois bien que le traffic est redirigé vers le serveur de noms de google. #### 6.3. Installation et configuration du service SSH + tests **Q36 :** Afin d'établir le SSH sur le serveur, il faut installer le paquet `openssh-server` avec la commande `apt install openssh-server`, on vérifie que le service tourne bien avec la commande `systemctl status sshd` : ![image](https://hackmd.io/_uploads/Sy3IJodH0.png) Le service tourne bien. A présent, on veux restreindre la connexion SSH au réseau VLAN ADMIN, on rajoute donc une règle comme ci-dessous dans le fichier `/etc/ssh/sshd_config` : ![image](https://hackmd.io/_uploads/Sk9qei_SC.png) On essaie alors de se connecter en ssh au serveur DNS depuis un des PC du VLAN ADMIN avec la commande suivante : ``` ssh debian@srv-dmz.netcom.com ``` On se connecte avec succès : ![image](https://hackmd.io/_uploads/BJbdZjdSA.png) Pour tester les règles de sécurité mises en place, on va essayer de se connecter au serveur DNS depuis un pc présen dans le VLAN PROD : ![image](https://hackmd.io/_uploads/rkLsbsOSA.png) L'accès est alors refusé. ## Annexe - fichiers de configuration des différents équipements actifs ### SW-1 ``` Current configuration : 4229 bytes ! ! Last configuration change at 15:35:50 UTC Thu Jun 13 2024 ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service compress-config ! hostname SW-1 ! boot-start-marker boot-end-marker ! ! ! username cisco secret 5 $1$iFx8$5j1Em0yWNphM.EbEqIynH1 no aaa new-model ! ! ! ! ! ! ! ! no ip domain-lookup ip domain-name siege-poitiers.fr ip cef no ipv6 cef ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 switchport access vlan 100 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/1 switchport access vlan 100 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/2 switchport access vlan 100 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/3 switchport access vlan 100 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/0 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/1 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/2 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/3 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet2/0 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/1 media-type rj45 negotiation auto ! interface GigabitEthernet2/2 media-type rj45 negotiation auto ! interface GigabitEthernet2/3 media-type rj45 negotiation auto ! interface GigabitEthernet3/0 media-type rj45 negotiation auto ! interface GigabitEthernet3/1 media-type rj45 negotiation auto ! interface GigabitEthernet3/2 media-type rj45 negotiation auto ! interface GigabitEthernet3/3 media-type rj45 negotiation auto ! interface Vlan170 ip address 172.16.1.253 255.255.255.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip ssh version 2 ! ! ! ! ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 line aux 0 line vty 0 4 login local transport input ssh ! ! end ``` ### SW-2 ``` Building configuration... Current configuration : 4437 bytes ! ! Last configuration change at 15:36:06 UTC Thu Jun 13 2024 ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service compress-config ! hostname SW-2 ! boot-start-marker boot-end-marker ! ! ! username cisco secret 5 $1$fs6J$MV29FcXhCwkebDezBJQly. no aaa new-model ! ! ! ! ! ! ! ! no ip domain-lookup ip domain-name siege-poitiers.fr ip cef no ipv6 cef ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 switchport access vlan 120 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/1 switchport access vlan 120 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/2 switchport access vlan 120 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/3 switchport access vlan 120 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/0 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/1 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/2 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/3 switchport access vlan 170 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet2/0 media-type rj45 negotiation auto ! interface GigabitEthernet2/1 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/2 media-type rj45 negotiation auto ! interface GigabitEthernet2/3 media-type rj45 negotiation auto ! interface GigabitEthernet3/0 switchport access vlan 110 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet3/1 switchport access vlan 110 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet3/2 switchport access vlan 110 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet3/3 switchport access vlan 110 switchport mode access media-type rj45 negotiation auto ! interface Vlan170 ip address 172.16.1.252 255.255.255.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip ssh version 2 ! ! ! ! ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 line aux 0 line vty 0 4 login local transport input ssh ! ! end ``` ### SW-3 ``` Current configuration : 4520 bytes ! ! Last configuration change at 15:36:14 UTC Thu Jun 13 2024 ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service compress-config ! hostname SW-3 ! boot-start-marker boot-end-marker ! ! ! username cisco secret 5 $1$j6TI$ZmFN6AAuJ9cnnAF5hT09Y/ no aaa new-model ! ! ! ! ! ! ! ! no ip domain-lookup ip domain-name filiale-poitiers.fr ip cef no ipv6 cef ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 switchport access vlan 140 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/1 switchport access vlan 140 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/2 switchport access vlan 140 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet0/3 switchport access vlan 140 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/0 switchport access vlan 130 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/1 switchport access vlan 130 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/2 switchport access vlan 130 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet1/3 switchport access vlan 130 switchport mode access media-type rj45 negotiation auto ! interface GigabitEthernet2/0 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/1 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/2 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/3 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet3/0 media-type rj45 negotiation auto ! interface GigabitEthernet3/1 media-type rj45 negotiation auto ! interface GigabitEthernet3/2 media-type rj45 negotiation auto ! interface GigabitEthernet3/3 media-type rj45 negotiation auto ! interface Vlan170 ip address 192.168.86.165 255.255.255.248 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip ssh version 2 ! ! ! ! ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 line aux 0 line vty 0 4 login local transport input ssh ! ! end ``` ### MLS-1 ``` Current configuration : 4089 bytes ! ! Last configuration change at 15:35:59 UTC Thu Jun 13 2024 ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service compress-config ! hostname MLS-1 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! ! ! ! ! ! ! ! no ip domain-lookup ip domain-name siege-poitiers.fr ip cef no ipv6 cef ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 no switchport ip address 10.10.10.21 255.255.255.252 negotiation auto ! interface GigabitEthernet0/1 media-type rj45 negotiation auto ! interface GigabitEthernet0/2 media-type rj45 negotiation auto ! interface GigabitEthernet0/3 media-type rj45 negotiation auto ! interface GigabitEthernet1/0 media-type rj45 negotiation auto ! interface GigabitEthernet1/1 media-type rj45 negotiation auto ! interface GigabitEthernet1/2 media-type rj45 negotiation auto ! interface GigabitEthernet1/3 media-type rj45 negotiation auto ! interface GigabitEthernet2/0 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/1 switchport trunk encapsulation dot1q switchport trunk native vlan 170 switchport mode trunk media-type rj45 negotiation auto ! interface GigabitEthernet2/2 media-type rj45 negotiation auto ! interface GigabitEthernet2/3 media-type rj45 negotiation auto ! interface GigabitEthernet3/0 media-type rj45 negotiation auto ! interface GigabitEthernet3/1 media-type rj45 negotiation auto ! interface GigabitEthernet3/2 media-type rj45 negotiation auto ! interface GigabitEthernet3/3 media-type rj45 negotiation auto ! interface Vlan100 ip address 172.16.0.254 255.255.255.0 ! interface Vlan110 ip address 172.16.2.254 255.255.255.0 ! interface Vlan120 ip address 172.16.3.254 255.255.255.0 ! interface Vlan170 ip address 172.16.1.254 255.255.255.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 10.10.10.22 ! ! ! ! ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 line aux 0 line vty 0 4 login local transport input ssh ! ! end ``` ### R-GW-1 ``` Current configuration : 3741 bytes ! ! Last configuration change at 15:58:28 UTC Thu Jun 13 2024 ! version 15.6 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-GW-1 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ethernet lmi ce ! ! ! no process cpu autoprofile hog mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ! ! ! ! no ip icmp rate-limit unreachable ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! redundancy ! no cdp log mismatch duplex no cdp run ! ip tcp synwait-time 5 ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 ip address 10.10.10.22 255.255.255.252 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/1 ip address 10.10.10.1 255.255.255.252 ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/2 no ip address duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/3 no ip address duplex auto speed auto media-type rj45 no cdp enable ! ip forward-protocol nd ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip nat inside source static tcp 172.16.0.1 53 10.10.10.1 53 extendable ip nat inside source static udp 172.16.0.1 53 10.10.10.1 53 extendable ip nat inside source static tcp 172.16.0.1 80 10.10.10.1 80 extendable ip route 0.0.0.0 0.0.0.0 10.10.10.2 ip route 172.16.0.0 255.255.0.0 10.10.10.21 ! ! ! access-list 1 permit 172.16.0.0 0.0.3.255 ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login transport input none ! no scheduler allocate ! end ``` ### R-GW-2 ``` Current configuration : 4059 bytes ! ! Last configuration change at 16:00:32 UTC Thu Jun 13 2024 ! version 15.6 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-GW-2 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ethernet lmi ce ! ! ! no process cpu autoprofile hog mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ! ! ! ! no ip icmp rate-limit unreachable ! ! ! ! ! ! no ip domain lookup ip domain name filiale-poitiers.fr ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! username cisco secret 5 $1$R5Ur$h7Bh1lTFtIJoXp4q60fiM/ ! redundancy ! no cdp log mismatch duplex no cdp run ! ip tcp synwait-time 5 ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 no ip address duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/1 ip address 10.10.10.18 255.255.255.252 ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/2 no ip address ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/2.130 encapsulation dot1Q 130 ip address 192.168.86.126 255.255.255.128 ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/2.140 encapsulation dot1Q 140 ip address 192.168.86.158 255.255.255.224 ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/2.170 encapsulation dot1Q 170 native ip address 192.168.86.166 255.255.255.248 ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/3 no ip address duplex auto speed auto media-type rj45 no cdp enable ! ip forward-protocol nd ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 10.10.10.17 ip ssh version 2 ! ! ! access-list 1 permit 192.168.86.0 0.0.0.255 ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login local transport input ssh ! no scheduler allocate ! end ``` ### R-1 ``` Current configuration : 3514 bytes ! ! Last configuration change at 15:58:58 UTC Thu Jun 13 2024 ! version 15.6 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-1 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ethernet lmi ce ! ! ! no process cpu autoprofile hog mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ! ! ! ! no ip icmp rate-limit unreachable ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! redundancy ! no cdp log mismatch duplex no cdp run ! ip tcp synwait-time 5 ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback1 no ip address ! interface GigabitEthernet0/0 no ip address duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/1 ip address 10.10.10.2 255.255.255.252 duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/2 ip address 10.10.10.9 255.255.255.252 duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/3 ip address 10.10.10.5 255.255.255.252 duplex auto speed auto media-type rj45 no cdp enable ! router ospf 1 router-id 1.1.1.1 passive-interface GigabitEthernet0/1 network 10.10.10.0 0.0.0.31 area 0 ! ip forward-protocol nd ! ! no ip http server no ip http secure-server ip route 10.10.10.20 255.255.255.252 10.10.10.1 ip route 172.16.0.0 255.255.0.0 10.10.10.1 ! ! ! ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login transport input none ! no scheduler allocate ! end ``` ### R-2 ``` Current configuration : 3437 bytes ! ! Last configuration change at 16:00:12 UTC Thu Jun 13 2024 ! version 15.6 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-2 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ethernet lmi ce ! ! ! no process cpu autoprofile hog mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ! ! ! ! no ip icmp rate-limit unreachable ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! redundancy ! no cdp log mismatch duplex no cdp run ! ip tcp synwait-time 5 ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 ip address 10.10.10.14 255.255.255.252 duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/1 ip address 10.10.10.17 255.255.255.252 duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/2 ip address 10.10.10.10 255.255.255.252 duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/3 no ip address duplex auto speed auto media-type rj45 no cdp enable ! router ospf 1 router-id 2.2.2.2 passive-interface GigabitEthernet0/1 network 10.10.10.0 0.0.0.31 area 0 ! ip forward-protocol nd ! ! no ip http server no ip http secure-server ip route 192.168.86.0 255.255.255.0 10.10.10.18 ! ! ! ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login transport input none ! no scheduler allocate ! end ``` ### R-3 ``` Current configuration : 3652 bytes ! ! Last configuration change at 16:00:21 UTC Thu Jun 13 2024 ! version 15.6 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-3 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ethernet lmi ce ! ! ! no process cpu autoprofile hog mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ! ! ! ! no ip icmp rate-limit unreachable ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! redundancy ! no cdp log mismatch duplex no cdp run ! ip tcp synwait-time 5 ! ! ! ! ! ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 ip address 10.10.10.13 255.255.255.252 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/1 ip address 172.16.18.253 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/2 no ip address duplex auto speed auto media-type rj45 no cdp enable ! interface GigabitEthernet0/3 ip address 10.10.10.6 255.255.255.252 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp enable ! router ospf 1 router-id 3.3.3.3 network 10.10.10.0 0.0.0.31 area 0 default-information originate ! ip forward-protocol nd ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 172.16.18.254 ! ! ! access-list 1 permit 10.10.10.0 0.0.0.255 ! control-plane ! banner exec ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner incoming ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C banner login ^C ************************************************************************** * IOSv is strictly limited to use for evaluation, demonstration and IOS * * education. IOSv is provided as-is and is not supported by Cisco's * * Technical Advisory Center. Any use or disclosure, in whole or in part, * * of the IOSv Software or Documentation to any third party for any * * purposes is expressly prohibited except as otherwise authorized by * * Cisco in writing. * **************************************************************************^C ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login transport input none ! no scheduler allocate ! end ```