Cisco Base

Introduction aux routeurs CISCO

Jean Robert HOUNTOMEY

AFNOG 2011 - Dar Es Salaam

Table des Matires

Les composants dun routeur Le fonctionnement du routeur Procdure de configuration du routeur Configuration de base du routeur Les Bonnes pratiques Rcuprer le mot de passe daccs


Les composants dun routeur


Les composants dun routeur (2)Comme un ordinateur un routeur est compos du:materiel (hard) Le Microprocesseur (CPU) Lunit centrale, ou le

microprocesseur, est responsable de lexcution du systme dexploitation du routeur.

Mmoire Flash: La flash reprsente une sorte de ROM effaable et programmable. Sur beaucoup de routeurs, la flash est utilis pour maintenir une image dun ou plusieurs systmes dexploitation.

ROM: La ROM contient le code pour raliser les diagnostics de dmarrage (POST : PowerOn Self Test). En plus, la ROM permet le dmarrage et le chargement du systme dexploitation contenu sur la flash.


Les composants dun routeur (3)Bootstrap stock dans le microcode du ROM boot le routeur durant linitialisation et dmarre lIOS.

POST Power On Self Test dans le microcode du ROM microcode il vrifie les fonctionnalits basique du matriel et dtermine les interfaces prsentes.

ROM Monitor utilis pour le manufacturing, les tests et le troubleshooting

Mini-IOS a.k.a RXBOOT/boot loader par Cisco cest une petite version dIOS (small IOS ROM) utilise pour activer les interfaces et pour charger le IOS CISCO en mmoire flash partir dun serveur TFTP. Est aussi utilis pour des taches de maintenance.


Les composants dun routeur (4)RAM La RAM est utilis par le systme dexploitation pour maintenir les informations durant le fonctionnement. Elle peut contenir la configuration qui sexcute (running) , les tables de routage, la table ARP, etc. Et comme cest de la mmoire volatile, lors de la coupure de lalimentation, elle est efface.NVRAM (RAM non volatile) Le problme de la RAM est la non conservation des donnes aprs la coupure de lalimentation. La NVRAM solutionne le problme, puisque les donnes sont conserves mme aprs la coupure de lalimentation.

La configuration est maintenue dans la NVRAM.Modules (Portes I/O): Lessence mme dun routeur est linterfaage vers le monde extrieur. Il existe un nombre impressionnant dinterfaces possibles pour un routeur

(Liaison srie asynchrone, synchrone, Ethernet, tokenring, ATM,FO, ...).


Les composants dun routeur (5)

Le Registre de configuration: invoqu par Config-RegisterControle comment le routeur dmarre;Valeur affiche par show version ;0x2102, indique au routeur de charger lIOS de la mmoire flash et le startup-config de la NVRAMModifier le config-register pour:Forcer le routeur demarrer en ROM MonitorBooter sur une autre source et charger un ficher de dmarrage par dfaultActiver/dsactiver la fonction BREAKControler les adresses de broadcastFixer le baud rate de la console terminalCharger le IOS de la ROMActiver le boot par serveur TFTP


Les composants dun routeur (4)logiciel(SOFT): Systme dexploitation appel IOS

(Internetworking Operating System)lments essentiels de lIOSIOS Software releases utilise le format A.B(C)D ou :

* A, B, et C sont des nombres* D (si prsent) est une lettre* A.B sont des nombres importants par rapport a la version.* C est la version de mise a jour.(maintenance version).* D si prsent indique que ce nest pas une version majeure mais une extension dune version majeure. Ces extensions apportent de nouvelles fonctionnalits et grent de nouveaux matriels.


Linterprteur de commandeLinterprteur de commande, comme son nom lindique, est responsable de linterprtation des commandes que vous tapez.

La commande interprte, si elle est correcte, ralise

lopration demande. Si incorrecte renvoie un message derreur


Les facilits de lIOSLIOS de CISCO permet des raccourcis aux commandes Nomination et abrviations des interfaces :ethernet0/0, ou e0/0, fastethernet0 ou fa0serial0, ou s0 Raccourci des commandes:router#conf trouter(config)#int e0router(config-if)#ip addr 81.199... TAB pour Complter une commandeRouter(config)#intRouter(config)#interface fa Router(config)#interface fastEthernetRouter(config-if)#ip addRouter(config-if)#ip address


Laide de lIOSIOS aide en cas doubli des commandes en les affichant ou

les compltant

? aprs le prompt pour une liste des commandes possibles

router#? ? liste les options et les

commandes complmentaires; ex:

router#show ?router#show ip ?


Laide de lIOS (2)router(config)#ip a?accounting-list accounting-threshold accounting-transits address-pool alias as-pathrouter(config)#int e0router(config-if)#ip a?access-group accounting addressrouter(config-if)#ip addr ?A.B.C.D IP address

router(config-if)#ip addr 196.200.221.0 ?A.B.C.D IP subnet mask


Le fonctionnement du routeur


Processus de dmarrage du routeur

POST charg partir de la ROM effectue le diagnostique des mmoires, des modules et des composants hard du routeur

Bootstrap vrifie et dmarre lIOS; par dfault lIOS est charg de la FLASH

Startup-config si trouv dans la RAM est charg sinon le routeur dmarre en mode setup.

% Please answer 'yes' or 'no'.Would you like to enter the initial configuration dialog?

[yes/no]:


Procdure de configuration du routeur

Configurer son routeur cest agir sur le fonctionnement de ce dernier et le contrler.


Procdure de configuration

Assignation didentit (nom) au routeur (hostname) Mots de passe daccs Configuration des interfaces Bonnes pratiques - Scurit Connexion du routeur au rseau Configuration des protocoles de routage (static

dynamique ou dfault) Sauvegarde dans la NVRAM Sauvegarde sur un serveur externe (facultatif mais

utile)


contexte de configurationPlusieurs contextes de configurationNB: Tous les contextes de configurations sont effectus

en mode privilgi.

global mode de fonctionnement gnralinterface configuration des interfacesRouter protocole de routageline (mode de connexion) line vty 0 4


Mode de Configuration gnraleConfiguration gnrale (contexte global)

router>router>enablepasswordrouter#

Lorsque vous dsirez passer en mode configuration, vous devez taper (en mode enable) :

router# configure terminalrouter(config)#

(Vous tes dans la racine de la configuration durouteur et vous pouvez configurer les paramtresGnraux)


Mode de Configuration des interfacesConfiguration des interfacesInterface Ethernet ou fastethernetPour configurez les interfaces, on passe du mode configuration gnrale vers la configuration de linterface.router> enablepassword :router#configure terminalrouter(config)#interface ethernet 0 (ou fa0/0)router(config-if)#ip address 196.200.221.125 255.255.255.192router(config-if)#exitrouter(config)#exitrouter#


Configuration des interfacesInterface loopbackPour faciliter les tches de routage, de gestion du routeur on utilise linterface virtuelle (logicielle) loopback. Ne change jamais dtat.router> enablepassword :router#configure terminalrouter(config)#interface loopback 0router(config-if)#ip address x.x.x.x 255.255.255.255router(config-if)#exitrouter(config)#exitrouter#


Configuration des interfaces

Interface null 0

Associe a /dev/null cette interface poubelle vous permet par exemple:

- de dsactiver un client en envoyant le block du client vers null0-de router tout ce que vous ne voulez pas accepter vers null0-De bloquer vos annonces bgp surtout si vous recevez un grand bloc dont une partie nest pas utilise.


contexte de configurationConfiguration des lignes VTY

Il existe aussi diffrent types dinterfaces configurer. Par exemple, la configuration des interfaces virtuelles (pour laccs via telnet) se fait de la mme manire que les interfaces.router>enablepassword :router#configure terminalrouter(config)#line vty 0 4router(config-line)#exec-timeout 5 0router(config-line)#exitrouter(config)#exitrouter#


Dans quel contexte suis-je ?Router(config-route-map)# route-map configuration prompt

Router(config-router)# routage configuration prompt

Router(config-line)# line configuration prompt

rommon 1> - ROM Monitor mode


Configuration de base du routeurSauvegarde de la configuration sur le routeurtablex #copy running-config startup-config

Ou

Write memory

Sauvegarde de la configuration sur une machine externe - Installer un serveur tftp sur la machine qui doit recevoir le configuration

tablex #copy running-config tftpAddress or name of remote host []?Destination filename [router-confg]?


Configuration de base du routeurRoutage statique

Route par dfauttablex(config)# ip route 0.0.0.0 0.0.0.0 196.200.221.124

Route explicitetablex(config)# ip route 196.200.221.216 255.255.255.248 196.200.221.68


Suppression de la configurationPour effacer la configuration du routeur

tablex#erase startup-configoutablex#write erasetablex#reloadLe routeur dmarre nouveau en mode setup


Procdure de configuration1. Entrer en mode privilegeRouter>enRouter#2. Entrer en mode configRouter#conf tEnter configuration commands, one per line. End with

CNTL/Z.Router(config)#3. Assignation didentit (nom) au routeur (hostname)Router(config)#hostname brd-afnogbrd-afnog(config)# (noter le prompt)4- Mots de passe secretbrd-afnog(config)#enable secret gorafbrd-afnog(config)#


Procdure de configuration

5.Mot de passe sur la consolebrd-afnog(config)#line cons 0brd-afnog(config-line)# default login localbrd-afnog(config-line)#password afnogNotes: le routeur va demander le mot de passe a la

prochaine connexion console Press RETURN to get started.

User Access Verification

Password:Router>


Procdure de configuration6. Configuration des interfaces.brd-afnog(config)#interface fa0/1brd-afnog(config-if)#description lien-vers-bbbrd-afnog(config-if)#ip address 196.200.221.80 255.255.255.192brd-afnog(config-if)#no shutdownbrd-afnog(config-if)#

7. Sauvegarde de la config brd-afnog(config-if)#brd-afnog(config-if)#^Zbrd-afnog#brd-afnog#copy run startup-configDestination filename [startup-config]Building configuration...[OK]brd-afnog#


Procdure de configurationSauvegarde sur un serveur externe (facultatif mais utile)

brd-afnog#copy running-config tftpAddress or name of remote host []? 196.200.216.78Destination filename [brd-afnog-confg]?!!1763 bytes copied in 1.108 secs (1591 bytes/sec)brd-afnog#

Brd-afnog-confg etant le fichier de config

196.200.216.78 etant le serveur tftp


Les fichiers de configurationUn routeur a toujours deux configurations:

La configuration active (running configuration)- dans la RAM, il dtermine le fonctionnement du routeur

- change en utilisant la commande configure

- pour la voir: show running-config

La configuration de dmarrage (startup configuration)-dans la NVRAM, dtermine le fonctionnement du routeur aprs le prochain dmarrage

-modifie par la commande copy-pour la voir: show startup-config


Ou se trouve la configuration ?La configuration du routeur peut aussi tre sauvegarde dans diffrents endroits:

Machines externes (tftp)En mmoire flashLes commandes de copy

copy run startcopy run tftpcopy start tftpcopy tftp startcopy flash startcopy start flash


Modes dExcution ou dAccs1. Le mode utilisateur ou User EXEC Mode (Router>)Le mode utilisateur sert uniquement la visualisation des paramtres (pas de la configuration) et des diffrents statuts du routeur.Lors de la connexion initiale avec le routeur, vous arrivez dans le mode utilisateur.

2. Le mode privilgi ou Privileged EXEC mode (Router#)Le mode privilgi permet,en plus de la visualisation des paramtres, la configuration du routeur et le changement de paramtres dans la configuration.Mais aussi des tests et debugging.

3. Le mode ROM Monitor Utile pour retrouver les mots de passe daccs et pour le chargement de nouveaux IOS

4. Le mode Setup retrouv sur les routeurs nayant pas de configuration


Source de configurationConsoleAccs partir dun PC via port srie

Port Aux / Auxiliary portAcces par Modem

Terminaux virtuels / Virtual terminalsAcces Telnet/SSH Serveur TFTPCopie de la configuration file dans RAM/NVRAM

Logiciels de Gestion rseaue.g. CiscoWorks


Changer la ConfigurationImmdiatement en entrant les commandes manuellement (Attention aux commandes car changement immdiat de la running config mais pas de la startup config) ceci en se connectant par SSH/TELENET ou Console.

En ditant un fichier texte sur un serveur TFTP et en le chargeant sur le router par tftp - copy tftp start


Connexion au routeurAvant de configurer son routeur il faut se connecter dessus: Connexion srie par le port console (le mode par dfaut

excut la premire fois que le routeur est dball)Se fait grce a un cble dit console fourni par CISCO avecle routeur. Le cble console a un connecteur srie dun bout et RJ45 a lautre.

NB: Paramtres pour la connexion srie9600 baud 8 bits de donnes sans parit 1 bit stop

pas de contrle derreur


Connexion au routeur (2)-Sous Windows: utiliser hyper terminal

Il existe dautres utilitaires comme secureCRThttp://www.vandyke.com/products/securecrt/index.html

-Sous FREEBSD

la commande tip com1 (com1 tant le port sur lequel est connecte le routeur )Pour sortir de la console du routeur: ~.

TP: Connecter vous sur vos routeurs via la console


Dans quel contexte suis-je ?Pour savoir dans quel contexte de config on se trouve, se rfrer au prompt.

Router> USER prompt modeRouter# PRIVILEGED EXEC prompt modeRouter(config) terminal configuration promptRouter(config-if) interface configuration prompt


Mieux connatre son routeurLa commande show version

Router>show versionProcesseur:cisco 2611 (MPC860) processor (revision 0x202) with 26624K/6144K bytes of memory

- Mmoire RAM. Ajouter les deux chiffres pour avoir la mmoire totale : RAM= 26624+6144=32768- Interface Ethernet: 2 Ethernet/IEEE 802.3 interface(s)- Interface srie: 2 Serial network interface(s)- Mmoire FLASH: 8192K bytes of processor board System flash partition- Registre de configuration: Configuration register is 0x2102


Mieux connatre son routeurLa commande show versionRouter>show versionCisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M),Version 12.4(21a)Technical Support: http://www.cisco.com/techsupportCopyright (c) 1986-2008 by Cisco Systems, Inc.Compiled Mon 29-Sep-08 16:02 by prod_rel_team

Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.Processor board ID FTX1320A22H2 FastEthernet interfaces2 Serial(sync/async) interfaces1 Virtual Private Network (VPN) ModuleDRAM configuration is 64 bits wide with parity enabled.239K bytes of non-volatile configuration memory.62720K bytes of ATA CompactFlash (Read/Write)Configuration register is 0x2102sif-rtr>


Les Bonnes pratiques


Comment choisir son routeurLe choix dun routeur se base aussi bien sur le matrielque lIOS

Selon le type dactivits Selon les fonctionnalits donner aux utilisateurs Selon les projets dextension moyens termes


Mot de passes

Assignation du mot de passe de privilge:router(config)# enable secret afnog (MD5 encryption)NB: lancienne commande enable password nest plus utilise.

Cryptage des mots de passe: les Mots de passe apparaissent en clair dans la configuration du routeur ce qui est dangereux

router(config)# service password-encryption


Dsactiver les services a risques

Router(config)#no ip fingerDsactive lcoute des requtes finger dhtes distants

Router(config)#no service udp-small-serversRouter(config)#no service tcp-small-servers

Dsactive les serveurs TCP et UDP dont les ports sont infrieurs a 20Router(config)#no ip bootp serverRouter(config)#no cdp run

Si CDP est ncessaire en interne, on peut lactiver et dans ce cas on le dsactive sur les interfaces externesRouter(config)#cdp runRouter(config)#int serial 0/0Router(config-if)#no cdp enable


Dsactiver les services a risques

Router(config)#no ip source-routeSource route autorise un paquet spcifier comment ildoit tre rout dans un rseau plutt que passer par lesrouteurs dsigns par le routage interne. A utiliser saufsi considrations particulires et si vous savez ce quevous faites


Rgles de scurit des interfaces

-no ip redirects : ICMP REDIRECT autorisent la modification de la manire dont les paquets transitent dans le rseau. Via ICMP redirects un hacker peut rediriger le traffic vers un routeur de son choix et donc monitorer ou enregistrer ou faire des attaques.-no ip proxy-arp: Proxy ARP est dfini dans le RFC 1027 et est utilis par le routeur pour permettre aux machines nayant pas de fonctionnalit de routage ou de routeur par dfaut. La machine envoie un ARP sur le rseau et le routeur rpond en lui envoyant son adresse mac comme adresse utiliser .


Rgles de scurit des interfaces- no ip directed-broadcast: empcher ICMP Directed

broadcast cest empecher votre routeur de relayer un ping envoy ladresse broadcast. voir attaque SMURF.


Banner et Contrle de laccs au routeurIl est indispensable de contrler qui accde au routeur. Plusieurs mthodes sont possibles: RADIUS; TACACS+ o les utilisateurs sont cres sur des serveurs externes.Utiliser AAA pour crer des utilisateurs locaux si pas besoin de serveurs externes. AAA = Authentication, authorization, accounting.

Cration de username et de passwordRouter(config)#username f2 password afnogMessage a afficher pour un utilisateur qui se trompe

aaa authentication fail-message *vous n'etes probablement pas autorise a vous connecter a ce routeur*


Banner et Contrle de laccs au routeur

Router(config)#aaa new-modelRouter(config)#aaa authentication login default localRouter(config)#line vty 0 4Router(config-line)#login authentication defaultRouter(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication defaultRouter(config-line)#exitRouter(config)#


Banner et Contrle de laccs au routeur

Le banner est un message a lendroit de lutilisateur qui se connecte. Tous vos routeurs doivent en avoir.

Un bon banner doit avoir 4 objectifs:

tre suffisamment lgal pour poursuivre les utilisateurs non autorissInformer que les sessions sont monitores et enregistresNe pas transporter des informations qui pourraient tre utilises par un utilisateurs malveillantProtger les administrateurs, situer les responsabilits


Introduction aux routeurs CISCOTable des MatiresSlide 3Les composants dun routeurLes composants dun routeur (2)Les composants dun routeur (3)Les composants dun routeur (4)Les composants dun routeur (5)Slide 9Linterprteur de commandeLes facilits de lIOSLaide de lIOSLaide de lIOS (2)Slide 14Processus de dmarrage du routeurSlide 16Procdure de configuration contexte de configuration Mode de Configuration gnrale Mode de Configuration des interfaces Configuration des interfacesSlide 22Slide 23Slide 24Dans quel contexte suis-je ?Configuration de base du routeurSlide 27Suppression de la configurationSlide 29Slide 30Slide 31Slide 32Les fichiers de configuration Ou se trouve la configuration ?Modes dExcution ou dAccsSource de configurationChanger la ConfigurationConnexion au routeurConnexion au routeur (2)Slide 40Mieux connatre son routeurSlide 42Slide 43 Comment choisir son routeur Mot de passes Dsactiver les services a risquesSlide 47 Rgles de scurit des interfacesSlide 49Banner et Contrle de laccs au routeurSlide 51 Banner et Contrle de laccs au routeur

Cisco Base

Documents

Transcript of Cisco Base