Pour commencer mettez en place un serveur dhcp, du dhcp snooping et de l'ARP inspection.
Maintenant nous allons mettre l'un des PCs en statique dans un autre sous-réseau que celui qui est configuré sur le serveur DHCP.
Je vous laisse choisir deux réseaux différents (vous commencez à être grands maintenant )
Il ne faut pas oublier de mettre :
(config-interface)# ip arp inspection trust
sur l'interface du PC qui est en statique et joue le rôle du serveur.
Maintenant sur l'autre PC, le client, vous devriez avoir une adresse IP attribuée via le DHCP, tentez un ping vers l'autre PC (le serveur donc).
Cela ne devrait pas fonctionner, car vous n'êtes pas dans le même réseau, en fait ping devrait vous dire quelque chose du genre : connect: Network is unreachable
Et c'est tout à fait normal : si vous appliquez le masque de votre réseau à l'adresse IP du serveur vous devriez trouver une adresse de réseau différente de la votre.
Ce que nous allons faire, c'est faire en sorte d'être dans le même sous-réseau du point de vue du client.
Pour cela, c'est simple on va tout simplement changer le masque de l'adresse qu'on a reçu. Sur le client : Récupérez l'adresse IP que vous avez obtenu :
~$ ip a
[...]
enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether d0:e8:9a:aa:69:21 brd ff:ff:ff:ff:ff:ff
inet IP/mask brd IP_Broadcast scope global enp1s0
valid_lft 75458sec preferred_lft 75458sec
inet6 fe80::f404:f606:1b74:d4b7/64 scope link noprefixroute
valid_lft forever preferred_lft forever
[...]
Vous allez donc supprimer cette adresse et la rajouter mais avec un masque beaucoup plus grand :
# ip addr del IP/mask dev DEVICE
# ip addr add IP/0 dev DEVICE
Maintenant si vous appliquez votre masque à l'IP du serveur vous obtenez bien la même adresse réseau qu'avec la votre soit : 0.0.0.0 !
Vous pouvez maintenant tenter la connexion avec le serveur via un ping.
Cela ne répond pas ? C'est normal, du point de vue du serveur vous n'êtes pas dans le même sous réseau, donc il ne peut pas vous répondre, cependant il le pourrait s'il y avait une passerelle qui routait depuis le réseau du serveur vers le réseau du client.
Cependant vous avez quand même réussi à envoyer du trafic, vous pouvez voir :
On en conclu qu'on peut quand même communiquer avec d'autres machines qui ne sont pas dans le même sous réseau, on peut alors monter différentes attaques (flood réseau, ICMP redirect, etc).
Les vlans vont permettre d'empêcher le trafic au niveau 2 entre les deux machines, donc par exemple l'ARP qui a permis au client de connaître la MAC du serveur, mais aussi de manière générale tout le trafic entre les machines sans passer par le niveau 3 où on va pouvoir faire du filtrage.
**Vous savez maintenant pourquoi les vlans sont indispensables. **