https://openclassrooms.com/fr/courses/2557196-administrez-une-architecture-reseau-avec-cisco/5135416-utilisez-des-switchs#/id/r-5336212

"Commencez donc par ajouter un switch à votre maquette, de la même façon que nous l’avons fait pour le routeur et placez-le entre le routeur et le switch."

je pense qu'il fallait écrire : entre le routeur et le PC, placer le switch entre le routeur et le PC

Bonjour,

Plutôt que d'ouvrir un autre sujet sur ce cours, je me permets d'utiliser ce fil, mais si ce n'est pas opportun je pourrai ouvrir un nouveau fil.

Dans ce cours, dans la partie "Définissez les accès utilisateur avec les ACLs (Access control list)", il se passe deux choses différentes de ce qui y est dit :

Après avoir interdit une adresse ip (par exemple la 223.0.1.4) d'accéder au VLAN 2 sur la sous interface gig0/0/0.2 en faisant :

routeur1(config)#access-list 1 deny host 223.0.1.4
routeur1(config)#int GigabitEthernet0/0/0.2          (-> pour info ip de g0/0/0.2 = 192.168.2.254)
routeur1(config-subif)#ip access-group 1 out

il est dit dans le cours que l'adresse ip de sortie du VLAN 2 du routeur 1 (en l'occurence 223.0.0.1) ne pouvait pas être pingée depuis le routeur ayant l'ip d'interface 223.0.1.4. Pourtant, après avoir fait cela, ce routeur arrive bien à pinger l'adresse 223.0.0.1.

Le tuto de la vidéo de cette partie ne traite pas les choses de la même façon. L'adresse IP exclue est l'adresse publique d'un spammeur (223.0.10.2) et lorsqu'elle est bloquée de la même façon, la vérification n'est pas faite avec un ping entre la machine de l'ip exclue et l'adresse 223.0.0.1, mais sur l' accès au serveur sur le réseau interne VLAN2 qui n'est plus possible.

En effet en faisant cela, je trouve bien que la machine du spammeur n'a plus accès au serveur du VLAN2 (adresse ip du serveur 192.168.2.2 via 223.0.0.1 redirigée par le routeur NAT), par contre la machine peut toujours bien pinger l'adresse 223.0.0.1. Dans la vidéo rien n'est dit sur la possibilité ou non de pinger l'adresse 223.0.0.1, contrairement à la partie de cours écrite qui suit.

Quelqu'un aurait il une explication? Y aurait il une erreur dans le cours écrit?

Quand je regarde la configuration du routeur1 (celui qui fait le NAT 192.168.2.x/223.0.0.1) je n'ai pas les deux lignes suivantes :

ip virtual-reassembly in
no cdp enable

 Mais celle-ci à la place :

no cdp run

Y aurait il un lien?

-----------------------------------------

Autre différence à la fin de cette 2ème partie : l'adresse ip d'un routeur est interdite en connexion ssh avec une ACL avec :

routeur4(config)#access-list 100 deny tcp  host 223.0.1.4 any eq 22 
routeur4(config)#access-list 100 permit ip any any

routeur4(config)#interface gi0/1
routeur4(config-if)#ip access-group 100 in

Après avoir fait cela en effet on ne peut plus se connecter depuis le routeur4 en ssh sur d'autres routeurs (2 et 3) qui n'ont pas de mot de passe, mais cela reste possible sur le 1 sur lequel un mot de passe en connexion ssh avait été défini. 

-
Edité par eole73 26 juillet 2022 à 0:04:01

Une dernière remarque/question sur ce cours. Dans la dernière partie, sur la mise en place d'un serveur radius. l'adresse IP du routeur client entré dans la base de données du serveur radius est celle de l'interface directement connectée au même réseau que le serveur car c'est ce routeur qui a été pris en exemple.

Mais pour les autres routeurs qui ont plusieurs interfaces faut il en choisir une plutôt qu'une autre ou n'importe laquelle suffit elle? faut il rentrer les différentes adresses IP pour un même routeur? J'ai essayé avec un autre routeur non directement connecté au serveur et l'IP d'une interface plutôt tournée vers un autre réseau (pas vers le serveur). Même dans ce cas, le routeur prend bien en compte l'authentification par le serveur radius.