Cisco 2 - Aide informatique...
Transcript of Cisco 2 - Aide informatique...
2016
Cisco 2 ADMINISTRATION AVANCEE
OLIVIER D.
Olivier DEHECQ – http://aide.informatique1.fr 2
Table des matières Signalétique .................................................................................................................................................... 3
1 Administration des switchs (commutateurs) ....................................................................................... 4
2 Le routage statique ..............................................................................................................................12
3 Le routage dynamique .........................................................................................................................13
4 Le routage NAT ....................................................................................................................................16
5 Les access-list ......................................................................................................................................18
Olivier DEHECQ – http://aide.informatique1.fr 3
Signalétique Nota, astuce :
Contient une partie serveur web qui traite les réponses statiques.
Important, à retenir :
Ceci est une chose importante
Commande MS-DOS C:\> c:\tomcat5.5\bin\startup.bat
Commande UNIX # /tomcat5.5/bin/startup.sh
Commande SQL connect / as sysdba
Chemin de fichier, dossier, emplacement sur le disque Fichier web.xml
Exemple de contenu de document
<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" />
Contenu du fichier web.xml
<welcome-file>index.html</welcome-file>
Contenu du fichier server.xml
port "8080" port d’écoute du connecteur
Autre contenu de fichier :
<role rolename="RUserHelloWorld"/>
Spécifique aux documents xml :
Balise
Nom de propriété
Valeur
Commentaire
Olivier DEHECQ – http://aide.informatique1.fr 4
1 Administration des switchs (commutateurs)
Un LAN est un domaine de diffusion
Un VLAN est un domaine de diffusion virtuel (configuration au niveau du switch)
VLAN : couches 1 et 2 du modèle OSI
Besoin de communiquer et conséquences :
S’il y a besoin de communiquer entre un VLAN1 et un VLAN2 : prévoir un plan d’adressage
(couches 3 et 4). Exemple : 10.1.0.0/16 et 10.2.0.0/16.
S’il n’y a pas besoin de communiquer, on se fout du plan d’adressage. Exemple :
192.168.1.0/16 pour les 2 VLAN. Il n’y aura pas de conflit d’adresse IP : les domaines de
diffusion sont séparés.
Deux postes dans 2 VLAN différents ne peuvent pas communiquer sans mécanisme de routage
Mise en place d’un VLAN (important)
Définir les VLAN (noms, mise en place des switchs)
Définir les réseaux pour chaque VLAN (adresses de réseau)
Avantages des VLAN :
Pour créer des configurations plus souples, réunissant des utilisateurs par service ou par
groupe de travail et pas seulement par rapport à leur emplacement physique.
Pour répartir les équipements dans les LAN (domaines de broadcast) plus petits afin de
réduire le trafic de service surchargeant chaque hôte.
Pour diminuer la charge de travail du protocole STP en limitant un VLAN à un seul
commutateur d’accès.
Pour améliorer la sécurité en isolant les hôtes travaillant sur des données sensibles dans un
VLAN propre.
Pour séparer les différents types de trafic, téléphonie, informatique, vidéo, etc …
Sur un switch, le réseau par défaut est le VLAN 1
1.1 Configuration des vlan
Afficher les VLAN :
> enable # show vlan / show run / show start
Afficher les VLAN. Par défauts, tous les ports appartiennent au vlan1
Créer un VLAN :
# conf term (config)# vlan <n° du vlan> ne pas mettre le 1
(config-vlan)# name <nom du vlan> (config-vlan)# show vlan (config-vlan)# exit
Pour sauvegarder les VLAN : vlan.dat en flash, donc survit à un erase startup-config
# show flash afficher la flash
Supprimer un/tous les vlan :
# no vlan <n° du vlan> supprime un seul VLAN
# del vlan.dat supprime TOUS les VLAN
Il faut ensuite réattribuer toutes les interfaces qui ne font plus partie de VLAN1
Olivier DEHECQ – http://aide.informatique1.fr 5
Configuration des interfaces des switchs :
Schéma routeur + interfaces + spécificités
Routeur
Commutateur (switch)
1.1.1 Configuration des interfaces pour les VLAN (VLAN par port)
(config)# interface f0/2 configuration de fa0/2
(config-if)# switchport access vlan 2 (config-if)# switchport mode access passer en mode access (pas du trunk)
Changer de mode :
(config-if)# no switchport mode access (config-if)# switchport mode dynamic (config-if)# ^Z (config)# show run affiche la configuration des vlan
Changer de VLAN:
(config-if)# no switchport access vlan 2 (config-if)# switchport access vlan 3
Olivier DEHECQ – http://aide.informatique1.fr 6
1.2 Trunking
En trunking, 2 switchs peuvent échanger les infos de VLAN grâce à un marquage
Echange des infos de VLAN entre plusieurs switch
Sans trunking :
Avec trunking :
Avec un plan d’adressage (même réseau) : les machines d’un même VLAN peuvent
communiquer.
Trame IP avec trunking :
Le trunking peut être mis en place avec le protocole 802.1Q / ISL (Cisco).
Tag codé sur 4 octet : type, priorité, drapeau, ID VLAN (codé sur 12bit : 4094 VLAN)
Le VLAN1 est un VLAN non taggé (compatibilité avec les switchs de base)
Le VLAN1 (VLAN natif, VLAN administratif) est non routé avec les autres VLAN sur les switch
matériels. On fait en sorte de ne pouvoir administrer le switch que par VLAN1 via SSH et Telnet.
Configuration du trunking (sur chaque switch) :
(config)# int f0/24
Olivier DEHECQ – http://aide.informatique1.fr 7
(config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan all
Voir la configuration trunk:
# show interfaces trunk voir les interfaces configurées en 802.1Q # show vlan le port trunk n’est plus dans aucun VLAN
1.2.1 VLAN en intersites
WLAN MPLS
Propagation des VLAN
VLAN1
VLAN2
VLAN3
VLAN1
VLAN2
VLAN1
VLAN2
VLAN3
Propagation du trunking seulement si MPLS
Propagation des informations des VLAN :
En intersites, il faut mettre en place un domaine VTP (en + du trunking) qui synchronise les
VLAN
1.3 VTP (VLAN Trunking Protocol)
Un domaine VTP (VLAN Trunking Protocol) sert à transmettre les informations des VLAN du serveur
vers les clients d’un même domaine
Un domaine VTP est défini par :
VTP domain : Cisco1
VTP version : 1 ou 2
VTP mode : Server ou Client
VTP password : Secret
Seul le VLAN1 peut passer entre plusieurs domaines VTP
Olivier DEHECQ – http://aide.informatique1.fr 8
Il faut que les switchs aient tous le même numéro de version, le même domaine, serveur à
client, mot de passe. Les modifications de VLAN se font sur le serveur
L’affectation des ports aux VLAN se fait switch par switch
Une fois la synchronisation faite, le numéro de révision est mis à jour, il est incrémentiel.
Configuration VTP :
(config)# vtp domain CISCO attention à la casse (sensible à la casse)
(config)# vtp mode server|client (config)# vtp password cisco (config)# vtp version 2 # show vtp status
(config)# no ip domain-lookup ne pas faire de résolution de nom
1.4 Le routage inter-VLAN
Pour activer l’interface (à faire sur le routeur et sur le switch de niveau3) :
(config-if)# no shutdown
Questions à se poser à la création d’un réseau
Les VLAN ont-ils besoin de communiquer ?
Si oui : besoin d’un mécanisme de routage :
Routeur (mais plutôt pour les WAN)
Switch de niveau 3 (ne route pas les WAN)
Méthode routage via routeur :
Port trunk
On configure les sous interfaces (1 par vlan) de l’interface connectée au port trunk du switch
(config)# int f0/0.1 (config-if)# encap dot1Q 1 trunking sur vlan1
(config-if)# ip address 10.1.0.254 255.255.0.0 adresse de la passerelle du vlan1
(config-if)# exit (config)# int f0/0.2
Olivier DEHECQ – http://aide.informatique1.fr 9
(config-if)# ip address 10.2.0.254 255.255.0.0 adresse de la passerelle du vlan2
Ne pas oublier de configurer la passerelle des clients
Méthode routage via switch :
On active le routage puis on configure les interfaces vlan (vlan 1 …) du switch de niveau 3
(config)# ip routing activer le routage sur le switch (config)# int vlan 1 (config-if)# ip address 10.1.0.254 255.255.0.0 adresse de la passerelle du vlan1
(config-if)# exit (config)# int vlan 2 (config-if)# ip address 10.2.0.254 255.255.0.0 adresse de la passerelle du vlan2
Afficher la table des adresses mac :
Il est nécessaire de faire un ping avant, c’est lui qui collecte les informations, dont l’adresse
MAC
#show mac-address-table
1.5 Spanning Tree (802.1d)
Solution concernant les topologies de switchs redondants. (Pour les routeurs, la solution c’est le TTL)
Redondance :
Permet d’avoir des chemins multiples
Il faut gérer cette problématique de redondance : utilisation du spanning tree protocol
(STP)
BPDU : trames de spanning tree.
Si on n’a pas de redondance, il ne faut pas activer le spanning tree. A part sur les switchs
concernés par la boucle
Spanning tree :
Lutter contre les boucles
Permettre la redondace quand même
Deux état :
Etat passant (FORWARDING)
Etat bloquant (BLOCKING). Seules les trames BPDU passent
Vérifier en ligne de commande :
# show spanning-tree
Olivier DEHECQ – http://aide.informatique1.fr 10
1.5.1 Calcul pour déterminer les interfaces forwarding/blocking :
Méthodologie :
1. Election du switch racine (toutes ses interfaces sont forwarding) : c’est celui qui a la priorité
administrative la + basse
2. Chaque switch non racine détermine un port ayant le plus faible cout vers la racine et le place
dans un état forwarding
3. Le switch avec le bridge ID le + élevé (priorité administrative la plus haute) aura son interface
non reliée au switch racine en blocking
Toutes les 2 secondes : trames BPDU pour vérifier l’état des connexions
But de l’administrateur réseau : limiter les temps d’attente lies au spanning tree.
Hello Intervalle de temps entre deux BPDU Hello créés par la racine.(Toutes les 2 secondes)
Max Age Délai d’attente survenant après la non-réception des BPDU Hello avant le
déclenchement d’un changement de topologie STP. (20 secondes)
Forward Delay Délai influant sur le processus faisant passer une interface de l’état bloquant à l’état
de transmission. Celle-ci passe d’abord par deux états transitoires, d’écoute
(listening) et de découverte (learning), chacun d’une durée égale à la valeur de ce
compteur. (15 secondes)
Forwarding | Blocking : une fois les ~50 secondes de passées
Le spanning tree se fait aussi au niveau du switch quand on connecte un ordinateur : le désactiver
Entre deux switch qui ne bouclent pas : désactiver le spanning tree
1.5.2 Changer les priorités administratives des switchs
Changer la priorité d’un switch (pour le passer en root par exemple) :
(config)# spanning-tree vlan 1 priority 4096
Enlever le blocage sur cette interface, la mettre sur l’autre (sur l’interface qui était bloquée) :
(config-if)# spanning-tree vlan 1 cost 2
A faire sur les interfaces reliées aux postes clients pour désactiver le STP :
(config-if)# spanning-tree portfast
Olivier DEHECQ – http://aide.informatique1.fr 11
1.6 Sécurité de ports
Avant tout on fait un ping pour verifier que ça fonctionne.
En même temps ça met à jour la table des adresses MAC (# sh mac-address-table).
Par défaut, apprentissage DYNAMIC
Sécurité de niveau 2 : filtrage des adresses MAC
C’est efficace
Ça prend du temps
On peut imposer des correspondances statiques :
Définir des adresses MAC bien précises sur des ports bien précis
En réponse à une connexion non autorisée : alerte envoyée | les trames ne passent pas | le
port est désactivé
# show port-security int f0/1 # show mac-address-table
1.6.1 Mise en œuvre
Doit être en mode access avant !
# int f0/1 (config-if)# switchport port-security active la sécurité de port
(config-if)# switchport port-security mac-address 002.4a1c.8e4e
Définir le niveau de sécurité de l’interface :
(config-if)# switchport port-security violation shutdown
L’administrateur doit ensuite intervenir quand le port est shutdown
Tester :
Changer la machine, la configurer en réseau, faire un ping
1.6.2 Pour réactiver un port shutdown (config-if)# shutdown (config-if)# no shutdown
Super cool :
(config)# int range f0/1-f0/3 (config-if)# switchport mode access (config-if)# switchport port-security (config-if)# switchport port-security mac-address sticky (config-if)# switchport port-security violation shutdown
Olivier DEHECQ – http://aide.informatique1.fr 12
2 Le routage statique
Evidemment, sur les ordinateurs clients, il faut définir la passerelle par défaut (routeur)
Attention : les interfaces sont shutdown sur un routeur. Il faut les activer avec no shutdown
# show interface f0/0 interface is up|down … protocol is up|down
Pour passer UP, une interface doit être branchée et l’adresse IP doit-être configurée
# show ip route
C : réseaux connectés étant up. La métrique est égale à 0 (la + prioritaire)
S : routes statiques (définies manuellement). La métrique est égale à 1
Sur R1 :
# ip route 172.16.0.0 255.255.0.0 s0 possible car connexion au port série
ou
# ip route 172.16.0.0 255.255.0.0 10.0.0.2 adresse IP distante
Sur R2 :
# ip route 192.168.0.0 255.255.0.0 s0
ou
# ip route 192.168.0.0 255.255.0.0 [s0] 10.0.0.1 adresse IP distante
Le fait d’indiquer explicitement s0 avant l’adresse IP rend la résolution plus rapide
Attention au clock rate du coté femelle sérié (horloge) :
(config)# int s0/1/0 (config-if)# clock rate 64000
Attention : le VLAN1 n’est pas routé, sauf sous Packet Tracer ®
Olivier DEHECQ – http://aide.informatique1.fr 13
3 Le routage dynamique Avantages :
Pour les topologies non centralisées : permet de bénéficier de la redondance (pannes)
Calcul du meilleur chemin [à un instant donné] : protocole de routage dynamique
Traffic Share : permet de répartir la charge sur plusieurs chemins
Inconvénients :
Il y a besoin de transmettre les infos aux autres routeurs : charge du réseau
Le temps de convergence peut être long
3.1 RIP
RIP v1/v2 : v1 (classfull) v2 (classless) : calcul au nombre de sauts
Simple à mettre en œuvre
Pas pour les grosses infrastructures : charge le réseau, temps de convergence long, pas
optimisé
3.2 OSPF et sa mise en œuvre
Mécanismes plus complets / complexes :
Notion d’aires, de voisins
Echange de la base de données (LSDB : bande passante, charge, etc.) échange
Calcul de routes
Métrique composite : bande passante, fiabilité, MTU,
# show ip ospf neighbor voir les voisins OSPF
# show ip ospf database base de données
# show ip route table de routage
Les rôles DR, BDR et DR others sont définis par le RID
Transfert de la LSDB (base de données à état de liens)
RID le + élevé = DR ; RID le + élevé -1 = BDR ; RID égal à 0 = DR Other
(config-if)# ip ospf priority 1 définir la valeur de RID
Un ABR définit plusieurs aires
Segmenter les échanges LSA = segmenter les réseaux en aires. Le routeur ABR ne diffuse pas toutes
les infos aux autres aires.
Olivier DEHECQ – http://aide.informatique1.fr 14
Aire 0 = aire de backbone (convention)
Configuration d’OSPF:
(config)# router ospf 1 numéro de système autonome
Définir tous les réseaux directement connectés sur lesquelles on veut faire de l’ospf
(config-router)# network 10.0.0.0 0.255.255.255 area 0 masque inversé
(config-router)# network 192.168.1.0 0.0.0.255 area 0
Il faut utiliser l’aire 0 pour les échanges LSA
BGP sert à interconnecter les systèmes autonomes
BGP est utilisé par les routeurs d’aires
Les aires OSPF # show ip ospf neighbor [detail] | database voisins / LSDB
𝑚é𝑡𝑟𝑖𝑞𝑢𝑒 𝑂𝑆𝑃𝐹 =1
bandwidth
(config-if)# bandwidth <xxx> fait varier la valeur de bande passante pour ospf
(config-if)# ip ospf cost <xxx> fait varier le cout
(config)# maximum-paths <n> nombre de chemins utilisés
Redistribuer une route par défaut avec OSPF :
(config)# ip route 0.0.0.0 0.0.0.0 10.1.0.100 route par défaut pour internet
(config)# router ospf 1 (config-router)# redistribute static subnets redistribuer
Olivier DEHECQ – http://aide.informatique1.fr 15
3.3 EIGRP et sa mise en œuvre
Protocole de routage hybride (vecteur de distance + état de lien)
Trames RTP entre les routeurs : mises à jour des tables + calcul des boucles de routage
𝑚é𝑡𝑟𝑖𝑞𝑢𝑒 𝐸𝐼𝐺𝑅𝑃 =1
bandwidth + latence cumulée × 256
# show interface voir les valeurs de délais, de bandwidth
EIGRP consomme moins de ressources qu’OSPF
EIGRP est propriétaire
EIGRP inscrit dans sa BDD les routes avec la meilleure métrique (FD), ainsi que les routes redondantes
(FS). Toutes les routes sont dans la DB, mais seule la meilleure est dans la table de routage.
# show ip eigrp topology trouver les routes (FD,FS) de la BDD
En EIGRP, il est obligatoire de mettre le même SA pour le même groupe
Mise en place :
(config)# router eigrp 1 numéro de système autonome
Définir tous les réseaux directement connectés sur lesquelles on veut faire de l’EIGRP
(config-router)# network 10.0.0.0 0.255.255.255 masque classfull inversé (config-router)# no auto-summary pour transférer en classless
Olivier DEHECQ – http://aide.informatique1.fr 16
4 Le routage NAT Le routage NAT est spécifique à IPv4 et au type d’adressage privé/public. En effet, toutes les
adresses IPv6 sont routables sur internet.
Un routeur NAT a une patte dans le réseau privé et une patte vers internet
Terminologie NAT :
Locale interne : adresses privées internes
Globale interne : adresse publique internet
Globale externe : adresses publiques externes
Locale externe : adresses privées externes
Types de mappage :
Mappage 1 à 1
Mappage 1 à 1 : en statique, plutôt utilisé pour la publication de services. Cela demande
beaucoup d’adresses publiques.
1 - Activer le NAT :
(config-if)# ip nat inside|outside
Inside : coté privé/interne du routeur
Outside : coté public/externe du routeur
2 - Interieur vers Exterieur:
(config)# ip nat inside source list 1 interface serial10/0/0 overload (config)# access-list 1 permit any
2bis - Publication de service :
(config)# ip nat inside source static tcp @ip_HOST 80 @ip_publique 80 extendable
Olivier DEHECQ – http://aide.informatique1.fr 17
4.1 Configurer le NAT pour accéder à l’exterieur
Nat statique :
(config)# ip nat inside source static @source @destination
Un client interne ne peut accéder qu’à une adresse externe
Nat dynamique (obsolète) :
(config)# ip nat pool <nom du pool> @publique_min,@publique_min netmask mask (config)# ip nat inside source list 1 pool <nom du pool> (config)# access-list 1 permit any
Il n’y avait que quelques postes sources qui pouvaient sortir
Traduction PAT :
Une adresse IP publique, mappage avec des numeros de port
Schéma de fonctionnement de la traduction PAT
(config)# ip nat inside source list 1 interface serial10/0/0 overload # sh ip nat translation # sh run
4.2 Configurer le NAT pour faire de la publication de service
(config)# ip nat inside source static tcp @ip_HOST 80 @ip_publique 80 extendable
@ip_HOST : adresse privée de l’hôte
@ip_publique : adresse publique du routeur
80 : port sur lequel renvoyer
# sh ip nat statistics statistiques du NAT
Olivier DEHECQ – http://aide.informatique1.fr 18
5 Les access-list
Access-list standard : 1 - 99 Access-list étendue : 100 – 199
A sa création, une ACL est définie mais ne sert pas :
Il faut l’affecter
A sa création, une ACL est définie mais ne sert pas :
Il faut l’affecter
access-list 100 <règle n°1>
access-list 100 <règle n°2> Une ACL contenant 3 règles
access-list 100 <règle n°3>
deny all : règle implicite à la fin de chaque ACL
Il ne peut y avoir qu’une ACL par port ET par sens (ENTREE / SORTIE)
Par exemple : pour le FORWARDING, pour 2 interfaces, on ne peut avoir que 4 ACL
ATTENTION : le traffic généré par un routeur n’est JAMAIS filtré par lui-même !!!
Une access-list :
1 numéro
n règles
1 action par règle ( permit | deny | remark)
1 règle implicite à la fin : deny all
Affectation d’une access-list :
1 access-list par interface et par sens de communication (maximum 2 ACL par interface)
access-list sur les accès Telnet
access-list sur les règles de NAT
5.1 Syntaxe access-list standard
(config)# access-list n° règle [protocole] source [wildcard]
n° : n° d’access-list (ex : 1 - 99 pour une ACL étendue IP)
règle : permit, deny, remark, dynamic
protocole : ip, tcp, udp, icmp, esp, gre, igrp, eigrp, …
source : xxx.xxx.xxx.xxx, any, host 10.0.0.0 0.255.255.255 / 10.0.0.1 0.0.0.0 | 10.0.0.1
wildcard : masque inverse 171.16.0.0 /12 255.240.0.0 devient 0.15.255.255
Exemples access-list standard :
(config)# access-list 1 deny 10.0.0.0 0.255.255.255 (config)# access-list 1 deny 11.0.0.0 0.255.255.255 (config)# access-list 1 deny 12.0.0.0 0.255.255.255 (config)# access-list 1 permit any
A ce moment-là, l’access-list est définie mais n’est pas appliquée.
Olivier DEHECQ – http://aide.informatique1.fr 19
5.2 Création
Dans un fichier :
no access-list 101 va supprimer l’ACL 101 si elle existait dans la configuration du routeur
access-list 101 …
access-list 101 …
access-list 101 …
Exemples :
(config)# access-lit 1 permit 10.1.0.0 0.0.255.255 un deny all est créé juste en dessous
(config)# interface fa 0 (config-if)# ip access-group 1 in lier l’ACL n°1 au flux entrant de fa 0
Appliquer l’access-list en sortie de cette interface : bloquer la sortie des réseaux 10, 11 et 12 vers f1
(config-if)# ip access-group n° in|out # sh ip access-lists
5.3 Access-list étendues
(config)# access-list n° règle protocole source [wildcard] destination [wildcard] clé port
n° : n° d’access-list (ex : 100 – 199 pour une ACL étendue IP)
règle : permit, deny, remark, dynamic
protocole : ip, tcp, udp, icmp, esp, gre, igrp, eigrp, …
source : A.B.C.D, any, host 10.0.0.0 0.255.255.255 / 10.0.0.1 0.0.0.0 | 10.0.0.1
wildcard : masque inverse 171.16.0.0 /12 255.240.0.0 devient 0.15.255.255
clé : neq (not equal), eq (equal), gt (greater than), lt (lower than), range, …
n°port : numéro de port (ou nom de port)
destination : voir source
clé : eq, neq, lt, range, ack, established, syn, fin, log, …
5.3.1 Exemples access-list étendues
Les trames udp53 (requêtes DNS) ne peuvent pas aller vers 192.168.0.2 :
access-list 100 deny udp 10.0.0.0 0.255.255.255 host 192.168.0.2 eq 53
Les trames tcp80 (flux HTTP) ne peuvent pas aller vers 192.168.0.0/24 :
access-list 100 deny tcp 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255 eq 80
Les trames udp23 (telnet) ne peuvent pas aller vers 192.168.0.0/24 :
access-list 100 deny tcp 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255 eq 23
Les autres flux passent :
Olivier DEHECQ – http://aide.informatique1.fr 20
access-list 100 permit ip any any