[Tapez ici]

PPE 3.2

La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des

espaces et des services aux différentes ligues sportives régionales et à

d’autres structures hébergées. La M2L est une structure financée par le

Conseil Régional de Lorraine dont l'administration est déléguée au Comité

Régional Olympique et Sportif de Lorraine (CROSL).

PPE 3.2

1

RAPPEL :

La Maison des Ligues (La M2L), établissement du Conseil Régional de Lorraine, est

responsable de la gestion du service des sports et en particulier des ligues sportives ainsi que

d’autres structures hébergées. La M2L, comme vous le constaterez dans l’interview avec son

responsable, doit fournir les infrastructures matérielles, logistiques et des services à

l’ensemble des ligues sportives installées.

Pour assurer le développement du système éducatif sportif de la région Lorraine et des

offres aux usagers, le conseil régional et la direction de la M2L ont décidé de développer des

services et des capacités d’hébergement pour les ligues sportives.

La M2L comprend plusieurs départements et son organisation lui permet de répondre aux

exigences de la région pour assurer l’offre de services et de support technique aux

différentes ligues déjà implantées (ou à venir) dans la région.

PPE 3.2

2

Présentation de l’équipe en charge du projet PPE 3.2 :

Bwah Corporation

Technicien : COSTES Antoine

Technicien :

BEUSELINCK Julien

Technicien :

LEFEBVRE Samy

Chef de projet/Technicien :

HEIDMANN Quentin

PPE 3.2

3

Mission 1.1 (Système/Réseau)

INSTALLATION DE NAGIOS SUR DEBIAN 7

Pré-requis :

- Avoir une VM Debian 7 (Nagios)

- Avoir une VM Test (dans cet exemple Windows Server 2008R2)

o Configuration réseau :

VM Debian 7 : 172.16.2.18 (Accès par pont)

VM Windows Server 2008R2 : 172.16.2.19 (Accès par pont)

INFORMATION :

TOUTES LES COMMANDES SONT EN ITALIQUE ET DE COULEUR BLEUE !

I- Mises à jour, etc. :

Tout d’abord, ouvrir le terminal administrateur (super utilisateur) :

Commandes à effectuer une par une, pour mettre à jour et installer des

paquets nécessaires pour continuer :

apt-get -y update

apt-get -y install apache2

apt-get -y install libapache2-mod-php5

apt-get -y install build-essential

apt-get -y install libgd2-xpm-dev

II- Création d’environnement utilisateur/groupe:

1) Création d’un utilisateur « nagios » et de son mot de passe « nagios » :

useradd -m -s /bin/bash nagios

passwd nagios

2) Ajout de l’utilisateur dans le groupe « nagios » :

PPE 3.2

4

usermod -G nagios nagios

3) Création d’un nouveau groupe « nagcmd » pour utiliser les commandes

dans l’interface WEB :

groupadd nagcmd

usermod -a -G nagcmd nagios

usermod -a -G nagcmd www-data

III- Téléchargement du logiciel et des plugins :

1) Création du dossier ou nous mettrons les fichiers téléchargés :

Mkdir downloads

Cd downloads

2) Téléchargements :

Wget http://sourceforge.net/projects/nagios/files/nagios-4.x/nagios-

4.0.6/nagios-4.0.6.tar.gz

Wget http://nagios-plugins.org/download/nagios-plugins-2.0.tar.gz

3) Décompression et installation Nagios:

Tar xzf nagios-4.0.6.tar.gz

Cd nagios-4.0.6

(Exécution du script de configuration avec le groupe « nagcmd » que nous

avons créé précédemment) :

./configure –with-command-group=nagcmd

(Compilation du code source) :

Make all

(Installation des fichiers binaires, scripts de démarrage et fichiers d’exemples) :

Make install

Make install-init

Make install-config

Make install-commandmode

PPE 3.2

5

Les fichiers de configuration de base sont dans le dossier :

/usr/local/nagios/etc/objects et sont les suivants :

o commands.cfg

o contacts.cfg

o localhost.cfg

o printer.cfg

o switch.cfg

o templates.cfg

o timeperiods.cfg

o windows.cfg

Pour le moment on peut seulement faire des changements dans

« contacts.cfg » (qui est l’endroit où sont indiqués les utilisateurs), par exemple

changer l’adresse mail du contact.

Si on veut changer quelque chose, le chemin est le suivant :

nano /usr/local/nagios/etc/objects/contacts.cfg

IV- Configuration de l’Interface WEB :

1) Exécuter le script qui se trouve dans le dossier

« /home/administrateur/downloads/nagios-4.0.6 »

Make install-webconf

2) Nous assignons un utilisateur « nagiosadmin » à l’interface WEB de

NAGIOS. Nous avons donné un mot de passe, ne pas l’oublier.

Htpasswd –c /usr/local/nagios/etc/htpasswd.users nagiosadmin

3) Redémarrage du service Apache :

/etc/init.d/apache2 reload

PPE 3.2

6

V- Décompression et installation des plugins :

Vérifier d’être dans le bon dossier : « /home/administrateur/downloads/ »

Si ce n’est pas le cas, taper : cd /home/administrateur/downloads/

1) Décompresser le fichier des plugins :

tar xzf nagios-plugins-2.0.tar.gz

2) Accéder au dossier qui vient d’être créé :

cd nagios-plugins-2.0

3) Configuration et installation des plugins :

./configure --with-nagios-user=nagios --with-nagios-group=nagios

Make

Make install

VI- Lancement

1) Création d’un lien avec la commande ln pour démarrer le service au

démarrage de la machine :

ln -s /etc/init.d/nagios /etc/rcS.d/S99nagios

2) Vérification du bon paramétrage :

/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

3) Si aucune erreur n’a été trouvée, lancement de Nagios :

/etc/init.d/nagios start

VII- Définition d’un hôte

Nous commençons par l'ajout d'un serveur avec Microsoft Windows Server

2008R2, on trouve à l'adresse 192.168.1.19, avec le nom "winserver".

1) Nous allons utiliser la valeur par défaut d'un fichier des hôtes et des

services qui s’exécutent sur des machines avec les systèmes

d'exploitation Microsoft Windows, situé dans

/usr/local/etc/objects/windows.cfg

PPE 3.2

7

nano /usr/local/nagios/etc/objects/windows.cfg

a) Nous modifions l'information depuis le début du fichier avec les données

de notre serveur:

define host{

use windows-server

host_name winserver

alias My Windows Server

address 172.16.2.19

}

b) Ensuite, nous avons l'information groupe de serveurs Windows. Nous

laissons comme il est:

define hostgroup{

hostgroup_name windows-server

alias Windows Servers

}

2) Redémarrez le service

service nagios restart

PPE 3.2

8

VIII- Installation du client sur le serveur Windows Server 2008R2

Nous allons installer l’agent NSClient++.

Lien de téléchargement :

http://exchange.nagios.org/directory/Addons/Monitoring-

Agents/NSClient%2B%2B/details

Une fois téléchargé, l’installation se lance :

Pour les étapes suivantes accepter les termes de la licence et de la

configuration typique. L'emplacement d'installation est par défaut.

Nous avons ensuite renseigné l'IP du serveur Nagios. Laisser le champ du mot

de passe vide. Cocher tous les modules.

PPE 3.2

9

Si tout va bien, nous aurons tous les services surveillés et fonctionnant sans

erreur:

IX- Script d’installation de NSClient++

Pour le déploiement de NSClient++, on va utiliser un script qui permettra de

déployer le client sur un grand nombre de postes.

Pour le bon fonctionnement de la procédure il faut :

- L’exécutable du client qui permettra l’installation sur les postes. (Disponible sur le

site de NSClient++)

- Le fichier de configuration du logiciel récupérable sur un poste ou NSClient++ est déjà

installé. (Voir partie VIII)

- Un dossier partagé pour éviter de devoir copier/coller les deux fichiers (l’exécutable

NSClient++ et le fichier de configuration) sur chaque poste ou l’on doit installer le

client.

- Le script ci-dessous.

PPE 3.2

10

Le script:

If NOT EXIST C:\Program Files\NSClient++ (

NET USE Z: \\srv-ad\script /PERSISTENT:NO

msiexec /i "z:\nsclient++.msi" /quiet

xcopy "z:\nsclient.ini" "C:\Program Files\NSClient++" /y

NET USE Z: /DELETE /YES

Net stop nscp

Net start nscp

)

Explications :

If NOT EXIST C:\Program Files\NSClient++

-> Vérifie que NSClient++ n’est pas déjà installé sur le poste

NET USE Z: \\srv-ad\script /PERSISTENT:NO

-> Monte le lecteur réseau Z : (Pour récupérer les différents fichiers nécessaires

à l’installation).

msiexec /i "z:\nsclient++.msi" /quiet

-> Installe NSClient++ en mode silencieux.

xcopy "z:\nsclient.ini" "C:\Program Files\NSClient++" /y

–> Copie le fichier de configuration sans confirmation d’écrasement si le fichier

existe déjà dans le répertoire d’installation de NSClient++.

NET USE Z: /DELETE /YES

-> Démonte le lecteur réseau précédemment crée.

Net stop nscp

Net start nscp

-> Redémarre le service nscp (NSClient++)

Le client est maintenant prêt à être installé et configuré sur tous les postes.

PPE 3.2

11

X- Déploiement du script

Pour cela on va utiliser une GPO.

Grace a la GPO on pourra déployer le script sur un ensemble de machine ou

d’utilisateur définit.

Pour cela il faut créer une unité d’organisation (UO).

On renseigne ensuite les postes ou les utilisateurs sur lesquels on veut

appliquer le script.

Dans l’UO il faut créer une nouvelle stratégie de groupe.

Dans configuration utilisateur -> paramètres Windows -> cliquez sur scripts ->

ouverture de session

Cliquer sur « Afficher les fichiers… » puis copier le script ici. Puis cliquez sur

« Ajouter… » pour sélectionner le script.

Validez par OK.

PPE 3.2

12

Mission 1.2 (Système/Réseau)

WIFI et sécurisation :

Dans le cadre de la préparation d'une infrastructure WIFI permettant le déploiement de

programmes événementiels pour les ligues qui le demandent ou toute autre projet ponctuel,

l'administrateur a décidé de refondre son réseau WIFI.

Aujourd’hui ce réseau est dédié aux personnels de l’association et des ligues. Pour assurer la

couverture de manifestations qui accueillerait un public externe, il est nécessaire de fournir

à ce public un accès à Internet tout en conservant le service nomade pour le personnel M2L.

L’administrateur a donc décidé de créer sur le point d’accès WIFI un nouveau réseau distinct

du réseau actuel réservé au personnel et non sécurisé permettant ainsi au public de

bénéficier de l’accessibilité Internet.

Le réseau est constitué d’un point d’accès WIFI Cisco Aironet 1200 qui assure la couverture

des postes nomades tout confondu et l’interconnexion avec le réseau filaire et d’un

commutateur qui fera le lien entre les accès routeur Internet et réseau interne

SSID Public SSID Personnel

Internet Réseau Privé

VLAN Personnel

VLAN Public Switch Cisco

2950

Routeur Cisco

2611XM

PPE 3.2

13

La mission consiste à mettre en place un prototype de cette solution informatique nomade. Le point

d’accès doit assurer la gestion des postes par le plan d’adresse IP qui sera appliqué à chaque sous

réseau (DHCP) et par le filtrage du trafic sur les VLAN (en local ou via authentification).

La solution prototypée devra comporter :

La création des sous réseaux SSID WIFI avec l’application des consignes de base de sécurité

sur ces sous réseaux,

une séparation des deux réseaux Wifi en VLAN,

la gestion de l'accès internet. Le public et personnel M2L accèdent à Internet (filtrage),

la mise en place du service de DHCP par le point d’accès pour les 2 sous réseaux,

L’isolation des 2 réseaux par le biais d’une sécurisation (Filtrage local ou

authentification Radius). Seuls les personnels M2L et Ligues peuvent accéder au

réseau interne privé.

Réseaux Wi-Fi :

Les réseaux Wi-Fi est un réseau distribué, c’est-à-dire qu’il partage la bande passante entre

tous les postes intégré aux réseaux. Chaque poste s’intègre dans le réseau par une

négociation avec le contrôleur Wi-Fi (procédure de négociation)

Normalisation techniques :

La Wi-Fi est un standard règlementé par 3 organismes internationaux :

- IEEE : institute electronical electronics engineer (802.11 ; 802.11a ; 802.11b …)

802.11b : Premier réseaux Wi-Fi industrialisé, débit : 11mbit/s jusqu’à 300 metre en

condition idéal. 802.11g : La plus utilisé aujourd’hui, débit : 54mbit/s jusqu’à 100 mètre avec

bande ISM. 802.11n : Avec débits de 300mbit/s avec couverture de 100 mètres, Bande UNII.

- WECA: wireless Ethernet compability alliance (interopérabilité entre les équipements

répondant aux normes ci-dessus)

- ETSI : europeen telecomunication standards institut (standards offrant les débits 10/20mbits

ou 54mbits)

Le sans fils WIFI utilise les ondes radio électriques, plusieurs technologies existe selon la

fréquence d’émission, le débit et la portée des transmissions :

- Bande ISM 2.4Ghz pour une bande passante max de 84 Mhz

- Bande U-NII 5.4Ghz pour une bande passante de 300 Mhz

PPE 3.2

14

Architecture Wi-Fi :

3 composants sont mis en œuvre dans un réseau Wi-Fi :

- Un poste mobile qui négocie avec le contrôleur son insertion dans le réseau Wi-Fi ;

- La borne Wi-Fi qui réalise le relayage du signal produit par le contrôleur (peut réaliser un

pont entre 2 réseaux filaires) ;

- Points d’accès Wi-Fi qui représente le contrôleur et réalise la fonction de routage entre

réseau radio et filaire.

3 topologies de réseau Wi-Fi :

- Mode infrastructure : 1 point d’accès WIFI ajouté a un réseau filaire

- Mode Bridge : 2 points d’accès WIFI pour rôle de passerelle transparente entre deux réseaux

locaux

- Mode Add’hoc : réseaux privée WiFi de postes

Le réseau radio :

La Bande passante du réseau radio est découpé en 14 canaux (de 20mhz) dont 1 non utilisé.

Procédure d’accès au réseau :

Un réseau radio est un réseau partagé, il y a donc plusieurs machines. Afin d'éviter des

conflits d’accès il y a une procédure d’accès au réseau radio.

Un réseau radio est identifié par plusieurs paramètre : fréquence de travail (canaux de

transmissions), la bande utilisé (ISM ou Unii) et le nom du réseau (SSID) et enfin le mode de

sécurisation (WiFi Protected Access).

Cette procédure se passe en trois étapes :

processus de sondage (poste mobile se synchronise avec le contrôle WiFi.

processus d'identification (mdp plus demande d'acceptation).

procédure d'association récupération des paramètres réseau et entré dans la trames

WiFi.

Sécurité du réseau :

Stratégies de sécurité : reseau ouvert, pas de sécurité, filtrage par adresse mac, ne pas

diffuser le nom du reseau SSID, sécurité WEP WPA WPA2, authentification RADIUS, limiter la

puissance du signal WiFi.

PPE 3.2

15

Configuration :

1. Branchement:

- Matériel : switch, routeur, point d’accée wifi, - Câbles Ethernets PA-switch (fa0/1) ; PC-switch (fa0/2) ; switch-routeur

2. Point d’accès (SSID, VLAN, Sécurité cryptage et clé wifi, config dhcp) :

- Sur interface web, express security : configuration des SSID PERSONNEL et PUBLIC, activer le mode diffusion sur le SSID PUBLIC (pour qu’il soit visible et non le SSID PERSONNEL pour plus de sécurité).

- Ensuite dans le menu security, il configurer le mode d’encryptions de la communication, activer le mode cipher AES CCMP*.

- Ouvrir le SSID manager et configurer les modes de clé, la clé utiliser pour la wifi PERSONNEL* - Toujours dans la l’interface graphique de configuration de la borne WIFI, configuration des 2

étendues (172.16.101.0 /28 et 172.16.100.0/24 ; DNS-server 172.16.2.61)

3. Configuration du switch (VLAN, trunk routeur-switch) :

- Création des VLANs (100) PUBLIC et (101)PERSONNEL, - Affectation d’une adresse IP au VLANs ensuite il faut affecter les ports au VLANs, - Activer le trunk switch-routeur et switch-PA. - Vérifier les configurations avec un show vlan (ou show conf)

4. Configuration routeur : encapsulation ; acl ; (étendu) ; OSPF (routage des 2 vlans) :

- Affectation des adresse ip au sous interfaces pour les VLANs ainsi que le mode d’encapsulation fa0/1.100 et fa0/1.101 (faire un nom logique de la sous interface avec lID du VLAN).

- Routage dynamique des deux VLANs avec OSPF

Adressage ip :

- interface d’administration web de la borne wifi (BV1) : 172.16.99.30 - PC 172.16.99.30 (255.255.255.248) - Passerelle : 172.16.99.30Test de ping

* En cryptologie, CCMP (Counter-Mode/CBC-Mac protocol) est une méthode de chiffrement définie dans le standard IEEE

802.11i. CCMP gère les clés et l'intégrité des messages.

Il s'agit d'une alternative considérée comme plus sûre que TKIP qui est utilisé dans WPA. Aucune faille n'a été découverte à

l'heure actuelle (2010) sur ce système basé sur AES.

* WPA : mode personal eddition (WPA2-home ou WPA-PSK) et WPA2 (+authentification)

PPE 3.2

16

ANNEXE 1 – PLAN D’ADRESSAGE IP

VLAN M2L VLAN 12

INFORMATIQUE

VLAN 3

ADMINISTRATI

F

VLAN 4

DIR GENERALE VLAN 5 COMMERCIAL VLAN 6 JURIDIQUE VLAN 6 RESSOURCES

Masque 255.255.255.192

255.255.255.19

2 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192

Adresse du

réseau 172.16.2.0 172.16.3.0 172.16.4.0 172.16.5.0 172.16.6.0 172.16.7.0

Adresse

Bdcast

Plage adresse

DHCP1

172.16.2.1 à

172.16.2.25

172.16.3.1 à

172.16.3.25

172.16.4.1 à

172.16.4.25 172.16.5.1 à 172.16.5.25 172.16.6.1 à 172.16.6.25

172.16.7.1 à

172.16.7.25

Plage adresse

DHCP2

172.16.2.26 à

172.16.2.50

172.16.3.26 à

172.16.3.50

172.16.4.26 à

172.16.4.50 172.16.5.26 à 172.16.5.50 172.16.6.26 à 172.16.6.50

172.16.7.26 à

172.16.7.50

Plage fixe 172.16.2.51 à

172.16.2.62

172.16.3.51 à

172.16.3.62

172.16.4.51 à

172.16.4.62 172.16.5.51 à 172.16.5.62 172.16.6.51 à 172.16.6.62

172.16.7.51 à

172.16.7.62

Serveurs DHCP 172.16.2.60

172.16.2.61

172.16.3.60

172.16.3.61

172.16.4.60

172.16.4.61 172.16.5.60 172.16.5.61 172.16.6.60 172.16.6.61

172.16.7.60

172.16.7.61

Passerelle 172.16.2.62 172.16.3.62 172.16.4.62 172.16.5.62 172.16.6.62 172.16.7.62

VLAN LIGUES TENNIS VLAN10 ATHLE VLAN11 BASKET VLAN12 VTT VLAN13 - - - - LIGUE N VLAN N

Masque 255.255.255.192

255.255.255.

192 255.255.255. 192 255.255.255.192

Adresse du

réseau 172.16.10.0 172.16.11.0 172.16.12.0 172.16.13.0

Adresse

Bdcast

Plage adresse

DHCP1

172.16.10.1 à

172.16.10.25

172.16.11.1 à

172.16.11.25

172.16.12.1 à

172.16.12.25

172.16.13.1 à

172.16.13.25

Plage adresse

DHCP2

172.16.10.26 à

172.16.10.50

172.16.11.26 à

172.16.11.50

172.16.12.26 à

172.16.12.50

172.16.13.26 à

172.16.13.50

Plage fixe 172.16.10.51 à

172.16.10.62

172.16.11.51 à

172.16.11.62

172.16.12.51 à

172.16.12.62

172.16.13.51 à

172.16.13.62

Passerelle 172.16.10.62 172.16.11.62 172.16.12.62 172.16.13.62

PPE 3.2

17

ANNEXE 3 : COMMANDE CISCO : SWITCH, PA, ROUTEUR :

Configuration du routeur :

Encapsulation :

Router#conf t

Router(config)#interface Fa0/1 Interface physique Fa0/1

Router(config-if)#no shutdown on active l’interface physique principale

Router(config-if)#exit

Router(config)#interface Fa 0/1.10 sous interface VLAN 10

Router(config-subif)#encapsulation dot1Q 10 traite les trames 802.1Q pour le vlan 10

Router(config-subif)#ip address 172.16.10.1 255.255.255.0 affecte une adresse IP passerelle au

VLAN 10

PPE 3.2

18

Router(config-subif)#exit

Router(config)#interface Fa0/1.20 sous interface VLAN 20

Router(config-subif)#encapsulation dot1Q 20 traite les trames 802.1Q pour le vlan 20

Router(config-subif)#ip address 172.16.20.1 255.255.255.0 affecte une adresse IP passerelle

VLAN 20

Router(config-subif)#exit

Router(config-subif)# end

Dans ce cas, les postes des 3 VLAN sont à même de communiquer entre eux. Si l’on omet de déclarer

une des trois sous interfaces, le VLAN correspondant ne sera plus joignable.

Configuration avancée du routage dynamique OSPF :

OSPF est activé à l’aide de la commande de configuration globale router ospf < id > ou id signifie le N°

de l’instance OSPF (plusieurs instance OSPF possibles dans un routeur).

Routeur#conf t

Routeur(config)#router ospf 1 processus ospf N° 1 (plusieurs processus possibles)

Routeur(config-router)#network 172.16.10.0 0.0.0.255 area 0 réseau + masque inversé

Routeur(config-router)#network 172.16.20.0 0.0.0.15 area 0 réseau + masque inversé

Routeur(config-router)#network 172.16.30.0 0.0.0.3 area 0 réseau + masque inversé

Routeur(config-router)#end

Le paramètre area désigne la zone de couverture OSPF. Ce paramètre doit être identique sur tous les

routeurs d’une même zone.

Configuration d’une interface de loopback du routeur :

Routeur(config)#interface loopback 1

Vérification des paramètres OSPF :

Pour vérifier l’ID de routeur en cours, on peut utiliser les commandes suivantes :

PPE 3.2

19

Routeur#show ip protocols

Ou bien : Routeur#show ip ospf

Ou encore : Routeur#show ip ospf interface

Configuration des VLAN :

Création de VLAN

Pour créer des VLAN, on déclare un numéro logique d’identifiant à chaque VLAN. On affecte aussi un

nom associé au numéro du VLAN. Le nom d’un VLAN est optionnel et n’a qu’un caractère

administratif.

Switch#conf t

Switch(config)#vlan 10 Le VLAN N° 10

Switch(config-vlan)#name VENTES

Switch(config-vlan)#exit uitter le mode de configuration

Switch(config)#vlan 20

Switch(config-vlan)#name TECHNO

Switch(config-vlan)#exit

Affectation de ports aux VLAN :

Un port physique peut être configuré en mode trunk ou en mode access. Un port Trunk véhicule un

trafic agrégé c'est-à-dire provenant de plusieurs sources de Vlan. Un port trunk ne peut être raccordé

qu’à un autre port Trunk (switch, routeur ou passerelle).

Un port access véhicule un trafic ne provenant que d’une seule source VLAN, c’est pourquoi il ne

peut être connecté qu’à un poste terminal (poste, serveur, imprimante).

Pour affecter des ports à un Vlan, il faut tout d’abord définir le mode du port puis y associer le Vlan.

Pour ce qui concerne les ports trunk, il n’y a pas d’affectation de Vlan. Seul le type de port doit être

déclaré.

il est possible de restreindre une liste de Vlan autorisés à transmettre sur un port Trunk (commande

« trunk allowed »).

PPE 3.2

20

Affectation de ports d’accès VLANs :

Switch#conf t

Switch(config)#interface fastEthernet 0/1 sur le port Fa 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Affectation d’une liste de ports d’accès VLANs :

De la même façon que l’on peut affecter un port à un VLAN, il est possible d’affecter une liste de

ports à un VLAN sur une seule ligne de commande.

Switch#conf t

Switch(config)#int range fa 0/2 - 6 sur les ports Fa 0/2 à 6

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10

Switch(config-if-range)#no shutdown force l’activation du port (optionnel)

Switch(config-if-range)#end

Switch#

Configuration des interfaces physiques en mode Trunk :

Switch#conf t

Switch(config)#int fa 0/1

Switch(config-if)# switchport mode trunk Configuration du mode trunk

Switch(config-if)#end

Switch#

PPE 3.2

21

Attribution d’une adresse IP de gestion au switch :

Pour administrer un commutateur à distance via une console Telnet ou SSH ou pour accéder au

commutateur par un navigateur, vous devez attribuer une adresse IP et un masque de sous réseau

au Switch.

Cette adresse IP est attribuée sur une interface VLAN crée au titre du Vlan de gestion. On peut ainsi

accéder à distance sur le switch en utilisant cette adresse IP.

Switch#conf t

Switch(config)#int vlan 99

Switch(config-if)#ip address 172.17.99.11 255.255.255.0

Switch(config-if)#exit

Dans l’exemple ci-dessus tout trafic non étiqueté est transféré vers le VLAN 1. Ce type de

configuration est spécifiquement utilisé pour le transport du trafic de gestion des commutateurs.

Pour connaître l’ensemble des commandes de visualisation on effectue la commande suivante :

Switch# show ?

run List access lists

arp Arp table

vlan Vlan information

- - - - - - - -

Configuration des ACL :

Configuration des ACL standards :

La syntaxe d’une commande ACL standard est :

Access-list <N° ACL> <Action (Deny ou permit ou remark)> <@IP source> <masque

générique>

La commande suivante :

Router(config)#access-list 20 permit 192.168.16.0 0.0.0.255

PPE 3.2

22

Crée une ACL N° 20 qui autorise tout trafic provenant de la source 192.168.16.0 à 192.168.16.255.

Le masque inverse 0.0.0.255 indique en réalité un masque de /24 et donc les 256 adresses

autorisées.

La commande suivante :

Router(config)#access-list 21 deny 192.168.20.0 0.0.0.127

Indique que la liste 21 n’autorise pas les 128 adresses 192.168.20.0 à 127 à transiter dans le routeur.

On peut aussi composer une liste de contrôle qui autorise une partie des adresses d’un réseau à

bénéficier des ressources d’accès. Par exemple, la commandes suivante :

Router(config)#access-list 10 permit 192.168.16.0 0.0.0.240

Router(config)#access-list 10 deny 192.168.16.0 0.0.0.15

Autorise la plage d’adresses 198.168.16.16 à 192.168.16.240 à utiliser les ressources du réseau.

Configuration des ACL étendues :

La syntaxe des commandes ACL étendues est la suivante :

Access-list <N° ACL> < Action (Deny ou permit ou remark)> <protocole> <@IP source> <mask Gen>

<@IP dest> <mask Gen> <opérateur (facultatif)>

<port (facultatif)> <established (facultatif)>

La commande suivante :

Router(config)#access-list 110 deny tcp 192.168.45.0 0.0.0.255 192.168.50.2 0.0.0.0 eq telnet

Interdit à tous les postes du réseau source 192.168.45.0 (masque 0.0.0.255) l’accès au port telnet

dont l’adresse IP est 192.168.50.2 (masque inverse 0.0.0.0)

Dans les commandes suivantes :

R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80

R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443

R1(config)#access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established

La liste de contrôle d’accès 103 autorise le trafic en provenance de toute adresse du réseau

192.168.10.0 (masque inverse 0.0.0.255) à accéder à n’importe quelle @IP destination (any), à

condition que le trafic soit transféré vers les ports 80 (HTTP) et 443 (HTTPS).

Le paramètre established de la 3ème commande n’est applicable qu’aux connexions tcp. Il permet de

laisser passer les paquets à condition que ceux-ci soient issus d’une communication déjà établie.

Les commandes suivantes :

R1(config)#access-list 103 permit udp 0.0.0.0 0.0.0.255 any eq bootps

PPE 3.2

23

R1(config)#access-list 103 permit udp 172.16.20.0 0.0.0.255 any eq domain

Autorisent l’accès à tous les membres du réseau local au serveur DHCP (1ère commande) et pour les

postes du réseau 192.168.20.0 au serveur de nom de domaine (2ème commande).

La commande ci-dessous supprime la liste de contrôle d’accès N° 103 :

R1(config)#no access-list 103

Application d’une liste d’ACL à une interface :

Après configuration, une liste de contrôle d’accès standard ou étendue doit être attachée à une

interface physique pour être effective. Ceci est réalisé par les commandes suivantes :

R1(config)# interface Fa0/0

Router(config-if)#ip access-group 103 out (filtre les paquets en sortie de l’interface)

Router(config-if)#ip access-group 104 in (filtre les paquets en entrée de l’interface)

Visualisation des listes d’accès :

show access-lists [ number | name ] visualise toutes les ACL quelque soit l'interface

show ip access-lists [ number | name ] : visualise les ACL uniquement liés au protocole IP