View
221
Download
0
Category
Preview:
Citation preview
[Tapez ici]
PPE 3.2
La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des
espaces et des services aux différentes ligues sportives régionales et à
d’autres structures hébergées. La M2L est une structure financée par le
Conseil Régional de Lorraine dont l'administration est déléguée au Comité
Régional Olympique et Sportif de Lorraine (CROSL).
PPE 3.2
1
RAPPEL :
La Maison des Ligues (La M2L), établissement du Conseil Régional de Lorraine, est
responsable de la gestion du service des sports et en particulier des ligues sportives ainsi que
d’autres structures hébergées. La M2L, comme vous le constaterez dans l’interview avec son
responsable, doit fournir les infrastructures matérielles, logistiques et des services à
l’ensemble des ligues sportives installées.
Pour assurer le développement du système éducatif sportif de la région Lorraine et des
offres aux usagers, le conseil régional et la direction de la M2L ont décidé de développer des
services et des capacités d’hébergement pour les ligues sportives.
La M2L comprend plusieurs départements et son organisation lui permet de répondre aux
exigences de la région pour assurer l’offre de services et de support technique aux
différentes ligues déjà implantées (ou à venir) dans la région.
PPE 3.2
2
Présentation de l’équipe en charge du projet PPE 3.2 :
Bwah Corporation
Technicien : COSTES Antoine
Technicien :
BEUSELINCK Julien
Technicien :
LEFEBVRE Samy
Chef de projet/Technicien :
HEIDMANN Quentin
PPE 3.2
3
Mission 1.1 (Système/Réseau)
INSTALLATION DE NAGIOS SUR DEBIAN 7
Pré-requis :
- Avoir une VM Debian 7 (Nagios)
- Avoir une VM Test (dans cet exemple Windows Server 2008R2)
o Configuration réseau :
VM Debian 7 : 172.16.2.18 (Accès par pont)
VM Windows Server 2008R2 : 172.16.2.19 (Accès par pont)
INFORMATION :
TOUTES LES COMMANDES SONT EN ITALIQUE ET DE COULEUR BLEUE !
I- Mises à jour, etc. :
Tout d’abord, ouvrir le terminal administrateur (super utilisateur) :
Commandes à effectuer une par une, pour mettre à jour et installer des
paquets nécessaires pour continuer :
apt-get -y update
apt-get -y install apache2
apt-get -y install libapache2-mod-php5
apt-get -y install build-essential
apt-get -y install libgd2-xpm-dev
II- Création d’environnement utilisateur/groupe:
1) Création d’un utilisateur « nagios » et de son mot de passe « nagios » :
useradd -m -s /bin/bash nagios
passwd nagios
2) Ajout de l’utilisateur dans le groupe « nagios » :
PPE 3.2
4
usermod -G nagios nagios
3) Création d’un nouveau groupe « nagcmd » pour utiliser les commandes
dans l’interface WEB :
groupadd nagcmd
usermod -a -G nagcmd nagios
usermod -a -G nagcmd www-data
III- Téléchargement du logiciel et des plugins :
1) Création du dossier ou nous mettrons les fichiers téléchargés :
Mkdir downloads
Cd downloads
2) Téléchargements :
Wget http://sourceforge.net/projects/nagios/files/nagios-4.x/nagios-
4.0.6/nagios-4.0.6.tar.gz
Wget http://nagios-plugins.org/download/nagios-plugins-2.0.tar.gz
3) Décompression et installation Nagios:
Tar xzf nagios-4.0.6.tar.gz
Cd nagios-4.0.6
(Exécution du script de configuration avec le groupe « nagcmd » que nous
avons créé précédemment) :
./configure –with-command-group=nagcmd
(Compilation du code source) :
Make all
(Installation des fichiers binaires, scripts de démarrage et fichiers d’exemples) :
Make install
Make install-init
Make install-config
Make install-commandmode
PPE 3.2
5
Les fichiers de configuration de base sont dans le dossier :
/usr/local/nagios/etc/objects et sont les suivants :
o commands.cfg
o contacts.cfg
o localhost.cfg
o printer.cfg
o switch.cfg
o templates.cfg
o timeperiods.cfg
o windows.cfg
Pour le moment on peut seulement faire des changements dans
« contacts.cfg » (qui est l’endroit où sont indiqués les utilisateurs), par exemple
changer l’adresse mail du contact.
Si on veut changer quelque chose, le chemin est le suivant :
nano /usr/local/nagios/etc/objects/contacts.cfg
IV- Configuration de l’Interface WEB :
1) Exécuter le script qui se trouve dans le dossier
« /home/administrateur/downloads/nagios-4.0.6 »
Make install-webconf
2) Nous assignons un utilisateur « nagiosadmin » à l’interface WEB de
NAGIOS. Nous avons donné un mot de passe, ne pas l’oublier.
Htpasswd –c /usr/local/nagios/etc/htpasswd.users nagiosadmin
3) Redémarrage du service Apache :
/etc/init.d/apache2 reload
PPE 3.2
6
V- Décompression et installation des plugins :
Vérifier d’être dans le bon dossier : « /home/administrateur/downloads/ »
Si ce n’est pas le cas, taper : cd /home/administrateur/downloads/
1) Décompresser le fichier des plugins :
tar xzf nagios-plugins-2.0.tar.gz
2) Accéder au dossier qui vient d’être créé :
cd nagios-plugins-2.0
3) Configuration et installation des plugins :
./configure --with-nagios-user=nagios --with-nagios-group=nagios
Make
Make install
VI- Lancement
1) Création d’un lien avec la commande ln pour démarrer le service au
démarrage de la machine :
ln -s /etc/init.d/nagios /etc/rcS.d/S99nagios
2) Vérification du bon paramétrage :
/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
3) Si aucune erreur n’a été trouvée, lancement de Nagios :
/etc/init.d/nagios start
VII- Définition d’un hôte
Nous commençons par l'ajout d'un serveur avec Microsoft Windows Server
2008R2, on trouve à l'adresse 192.168.1.19, avec le nom "winserver".
1) Nous allons utiliser la valeur par défaut d'un fichier des hôtes et des
services qui s’exécutent sur des machines avec les systèmes
d'exploitation Microsoft Windows, situé dans
/usr/local/etc/objects/windows.cfg
PPE 3.2
7
nano /usr/local/nagios/etc/objects/windows.cfg
a) Nous modifions l'information depuis le début du fichier avec les données
de notre serveur:
define host{
use windows-server
host_name winserver
alias My Windows Server
address 172.16.2.19
}
b) Ensuite, nous avons l'information groupe de serveurs Windows. Nous
laissons comme il est:
define hostgroup{
hostgroup_name windows-server
alias Windows Servers
}
2) Redémarrez le service
service nagios restart
PPE 3.2
8
VIII- Installation du client sur le serveur Windows Server 2008R2
Nous allons installer l’agent NSClient++.
Lien de téléchargement :
http://exchange.nagios.org/directory/Addons/Monitoring-
Agents/NSClient%2B%2B/details
Une fois téléchargé, l’installation se lance :
Pour les étapes suivantes accepter les termes de la licence et de la
configuration typique. L'emplacement d'installation est par défaut.
Nous avons ensuite renseigné l'IP du serveur Nagios. Laisser le champ du mot
de passe vide. Cocher tous les modules.
PPE 3.2
9
Si tout va bien, nous aurons tous les services surveillés et fonctionnant sans
erreur:
IX- Script d’installation de NSClient++
Pour le déploiement de NSClient++, on va utiliser un script qui permettra de
déployer le client sur un grand nombre de postes.
Pour le bon fonctionnement de la procédure il faut :
- L’exécutable du client qui permettra l’installation sur les postes. (Disponible sur le
site de NSClient++)
- Le fichier de configuration du logiciel récupérable sur un poste ou NSClient++ est déjà
installé. (Voir partie VIII)
- Un dossier partagé pour éviter de devoir copier/coller les deux fichiers (l’exécutable
NSClient++ et le fichier de configuration) sur chaque poste ou l’on doit installer le
client.
- Le script ci-dessous.
PPE 3.2
10
Le script:
If NOT EXIST C:\Program Files\NSClient++ (
NET USE Z: \\srv-ad\script /PERSISTENT:NO
msiexec /i "z:\nsclient++.msi" /quiet
xcopy "z:\nsclient.ini" "C:\Program Files\NSClient++" /y
NET USE Z: /DELETE /YES
Net stop nscp
Net start nscp
)
Explications :
If NOT EXIST C:\Program Files\NSClient++
-> Vérifie que NSClient++ n’est pas déjà installé sur le poste
NET USE Z: \\srv-ad\script /PERSISTENT:NO
-> Monte le lecteur réseau Z : (Pour récupérer les différents fichiers nécessaires
à l’installation).
msiexec /i "z:\nsclient++.msi" /quiet
-> Installe NSClient++ en mode silencieux.
xcopy "z:\nsclient.ini" "C:\Program Files\NSClient++" /y
–> Copie le fichier de configuration sans confirmation d’écrasement si le fichier
existe déjà dans le répertoire d’installation de NSClient++.
NET USE Z: /DELETE /YES
-> Démonte le lecteur réseau précédemment crée.
Net stop nscp
Net start nscp
-> Redémarre le service nscp (NSClient++)
Le client est maintenant prêt à être installé et configuré sur tous les postes.
PPE 3.2
11
X- Déploiement du script
Pour cela on va utiliser une GPO.
Grace a la GPO on pourra déployer le script sur un ensemble de machine ou
d’utilisateur définit.
Pour cela il faut créer une unité d’organisation (UO).
On renseigne ensuite les postes ou les utilisateurs sur lesquels on veut
appliquer le script.
Dans l’UO il faut créer une nouvelle stratégie de groupe.
Dans configuration utilisateur -> paramètres Windows -> cliquez sur scripts ->
ouverture de session
Cliquer sur « Afficher les fichiers… » puis copier le script ici. Puis cliquez sur
« Ajouter… » pour sélectionner le script.
Validez par OK.
PPE 3.2
12
Mission 1.2 (Système/Réseau)
WIFI et sécurisation :
Dans le cadre de la préparation d'une infrastructure WIFI permettant le déploiement de
programmes événementiels pour les ligues qui le demandent ou toute autre projet ponctuel,
l'administrateur a décidé de refondre son réseau WIFI.
Aujourd’hui ce réseau est dédié aux personnels de l’association et des ligues. Pour assurer la
couverture de manifestations qui accueillerait un public externe, il est nécessaire de fournir
à ce public un accès à Internet tout en conservant le service nomade pour le personnel M2L.
L’administrateur a donc décidé de créer sur le point d’accès WIFI un nouveau réseau distinct
du réseau actuel réservé au personnel et non sécurisé permettant ainsi au public de
bénéficier de l’accessibilité Internet.
Le réseau est constitué d’un point d’accès WIFI Cisco Aironet 1200 qui assure la couverture
des postes nomades tout confondu et l’interconnexion avec le réseau filaire et d’un
commutateur qui fera le lien entre les accès routeur Internet et réseau interne
SSID Public SSID Personnel
Internet Réseau Privé
VLAN Personnel
VLAN Public Switch Cisco
2950
Routeur Cisco
2611XM
PPE 3.2
13
La mission consiste à mettre en place un prototype de cette solution informatique nomade. Le point
d’accès doit assurer la gestion des postes par le plan d’adresse IP qui sera appliqué à chaque sous
réseau (DHCP) et par le filtrage du trafic sur les VLAN (en local ou via authentification).
La solution prototypée devra comporter :
La création des sous réseaux SSID WIFI avec l’application des consignes de base de sécurité
sur ces sous réseaux,
une séparation des deux réseaux Wifi en VLAN,
la gestion de l'accès internet. Le public et personnel M2L accèdent à Internet (filtrage),
la mise en place du service de DHCP par le point d’accès pour les 2 sous réseaux,
L’isolation des 2 réseaux par le biais d’une sécurisation (Filtrage local ou
authentification Radius). Seuls les personnels M2L et Ligues peuvent accéder au
réseau interne privé.
Réseaux Wi-Fi :
Les réseaux Wi-Fi est un réseau distribué, c’est-à-dire qu’il partage la bande passante entre
tous les postes intégré aux réseaux. Chaque poste s’intègre dans le réseau par une
négociation avec le contrôleur Wi-Fi (procédure de négociation)
Normalisation techniques :
La Wi-Fi est un standard règlementé par 3 organismes internationaux :
- IEEE : institute electronical electronics engineer (802.11 ; 802.11a ; 802.11b …)
802.11b : Premier réseaux Wi-Fi industrialisé, débit : 11mbit/s jusqu’à 300 metre en
condition idéal. 802.11g : La plus utilisé aujourd’hui, débit : 54mbit/s jusqu’à 100 mètre avec
bande ISM. 802.11n : Avec débits de 300mbit/s avec couverture de 100 mètres, Bande UNII.
- WECA: wireless Ethernet compability alliance (interopérabilité entre les équipements
répondant aux normes ci-dessus)
- ETSI : europeen telecomunication standards institut (standards offrant les débits 10/20mbits
ou 54mbits)
Le sans fils WIFI utilise les ondes radio électriques, plusieurs technologies existe selon la
fréquence d’émission, le débit et la portée des transmissions :
- Bande ISM 2.4Ghz pour une bande passante max de 84 Mhz
- Bande U-NII 5.4Ghz pour une bande passante de 300 Mhz
PPE 3.2
14
Architecture Wi-Fi :
3 composants sont mis en œuvre dans un réseau Wi-Fi :
- Un poste mobile qui négocie avec le contrôleur son insertion dans le réseau Wi-Fi ;
- La borne Wi-Fi qui réalise le relayage du signal produit par le contrôleur (peut réaliser un
pont entre 2 réseaux filaires) ;
- Points d’accès Wi-Fi qui représente le contrôleur et réalise la fonction de routage entre
réseau radio et filaire.
3 topologies de réseau Wi-Fi :
- Mode infrastructure : 1 point d’accès WIFI ajouté a un réseau filaire
- Mode Bridge : 2 points d’accès WIFI pour rôle de passerelle transparente entre deux réseaux
locaux
- Mode Add’hoc : réseaux privée WiFi de postes
Le réseau radio :
La Bande passante du réseau radio est découpé en 14 canaux (de 20mhz) dont 1 non utilisé.
Procédure d’accès au réseau :
Un réseau radio est un réseau partagé, il y a donc plusieurs machines. Afin d'éviter des
conflits d’accès il y a une procédure d’accès au réseau radio.
Un réseau radio est identifié par plusieurs paramètre : fréquence de travail (canaux de
transmissions), la bande utilisé (ISM ou Unii) et le nom du réseau (SSID) et enfin le mode de
sécurisation (WiFi Protected Access).
Cette procédure se passe en trois étapes :
processus de sondage (poste mobile se synchronise avec le contrôle WiFi.
processus d'identification (mdp plus demande d'acceptation).
procédure d'association récupération des paramètres réseau et entré dans la trames
WiFi.
Sécurité du réseau :
Stratégies de sécurité : reseau ouvert, pas de sécurité, filtrage par adresse mac, ne pas
diffuser le nom du reseau SSID, sécurité WEP WPA WPA2, authentification RADIUS, limiter la
puissance du signal WiFi.
PPE 3.2
15
Configuration :
1. Branchement:
- Matériel : switch, routeur, point d’accée wifi, - Câbles Ethernets PA-switch (fa0/1) ; PC-switch (fa0/2) ; switch-routeur
2. Point d’accès (SSID, VLAN, Sécurité cryptage et clé wifi, config dhcp) :
- Sur interface web, express security : configuration des SSID PERSONNEL et PUBLIC, activer le mode diffusion sur le SSID PUBLIC (pour qu’il soit visible et non le SSID PERSONNEL pour plus de sécurité).
- Ensuite dans le menu security, il configurer le mode d’encryptions de la communication, activer le mode cipher AES CCMP*.
- Ouvrir le SSID manager et configurer les modes de clé, la clé utiliser pour la wifi PERSONNEL* - Toujours dans la l’interface graphique de configuration de la borne WIFI, configuration des 2
étendues (172.16.101.0 /28 et 172.16.100.0/24 ; DNS-server 172.16.2.61)
3. Configuration du switch (VLAN, trunk routeur-switch) :
- Création des VLANs (100) PUBLIC et (101)PERSONNEL, - Affectation d’une adresse IP au VLANs ensuite il faut affecter les ports au VLANs, - Activer le trunk switch-routeur et switch-PA. - Vérifier les configurations avec un show vlan (ou show conf)
4. Configuration routeur : encapsulation ; acl ; (étendu) ; OSPF (routage des 2 vlans) :
- Affectation des adresse ip au sous interfaces pour les VLANs ainsi que le mode d’encapsulation fa0/1.100 et fa0/1.101 (faire un nom logique de la sous interface avec lID du VLAN).
- Routage dynamique des deux VLANs avec OSPF
Adressage ip :
- interface d’administration web de la borne wifi (BV1) : 172.16.99.30 - PC 172.16.99.30 (255.255.255.248) - Passerelle : 172.16.99.30Test de ping
* En cryptologie, CCMP (Counter-Mode/CBC-Mac protocol) est une méthode de chiffrement définie dans le standard IEEE
802.11i. CCMP gère les clés et l'intégrité des messages.
Il s'agit d'une alternative considérée comme plus sûre que TKIP qui est utilisé dans WPA. Aucune faille n'a été découverte à
l'heure actuelle (2010) sur ce système basé sur AES.
* WPA : mode personal eddition (WPA2-home ou WPA-PSK) et WPA2 (+authentification)
PPE 3.2
16
ANNEXE 1 – PLAN D’ADRESSAGE IP
VLAN M2L VLAN 12
INFORMATIQUE
VLAN 3
ADMINISTRATI
F
VLAN 4
DIR GENERALE VLAN 5 COMMERCIAL VLAN 6 JURIDIQUE VLAN 6 RESSOURCES
Masque 255.255.255.192
255.255.255.19
2 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192
Adresse du
réseau 172.16.2.0 172.16.3.0 172.16.4.0 172.16.5.0 172.16.6.0 172.16.7.0
Adresse
Bdcast
Plage adresse
DHCP1
172.16.2.1 à
172.16.2.25
172.16.3.1 à
172.16.3.25
172.16.4.1 à
172.16.4.25 172.16.5.1 à 172.16.5.25 172.16.6.1 à 172.16.6.25
172.16.7.1 à
172.16.7.25
Plage adresse
DHCP2
172.16.2.26 à
172.16.2.50
172.16.3.26 à
172.16.3.50
172.16.4.26 à
172.16.4.50 172.16.5.26 à 172.16.5.50 172.16.6.26 à 172.16.6.50
172.16.7.26 à
172.16.7.50
Plage fixe 172.16.2.51 à
172.16.2.62
172.16.3.51 à
172.16.3.62
172.16.4.51 à
172.16.4.62 172.16.5.51 à 172.16.5.62 172.16.6.51 à 172.16.6.62
172.16.7.51 à
172.16.7.62
Serveurs DHCP 172.16.2.60
172.16.2.61
172.16.3.60
172.16.3.61
172.16.4.60
172.16.4.61 172.16.5.60 172.16.5.61 172.16.6.60 172.16.6.61
172.16.7.60
172.16.7.61
Passerelle 172.16.2.62 172.16.3.62 172.16.4.62 172.16.5.62 172.16.6.62 172.16.7.62
VLAN LIGUES TENNIS VLAN10 ATHLE VLAN11 BASKET VLAN12 VTT VLAN13 - - - - LIGUE N VLAN N
Masque 255.255.255.192
255.255.255.
192 255.255.255. 192 255.255.255.192
Adresse du
réseau 172.16.10.0 172.16.11.0 172.16.12.0 172.16.13.0
Adresse
Bdcast
Plage adresse
DHCP1
172.16.10.1 à
172.16.10.25
172.16.11.1 à
172.16.11.25
172.16.12.1 à
172.16.12.25
172.16.13.1 à
172.16.13.25
Plage adresse
DHCP2
172.16.10.26 à
172.16.10.50
172.16.11.26 à
172.16.11.50
172.16.12.26 à
172.16.12.50
172.16.13.26 à
172.16.13.50
Plage fixe 172.16.10.51 à
172.16.10.62
172.16.11.51 à
172.16.11.62
172.16.12.51 à
172.16.12.62
172.16.13.51 à
172.16.13.62
Passerelle 172.16.10.62 172.16.11.62 172.16.12.62 172.16.13.62
PPE 3.2
17
ANNEXE 3 : COMMANDE CISCO : SWITCH, PA, ROUTEUR :
Configuration du routeur :
Encapsulation :
Router#conf t
Router(config)#interface Fa0/1 Interface physique Fa0/1
Router(config-if)#no shutdown on active l’interface physique principale
Router(config-if)#exit
Router(config)#interface Fa 0/1.10 sous interface VLAN 10
Router(config-subif)#encapsulation dot1Q 10 traite les trames 802.1Q pour le vlan 10
Router(config-subif)#ip address 172.16.10.1 255.255.255.0 affecte une adresse IP passerelle au
VLAN 10
PPE 3.2
18
Router(config-subif)#exit
Router(config)#interface Fa0/1.20 sous interface VLAN 20
Router(config-subif)#encapsulation dot1Q 20 traite les trames 802.1Q pour le vlan 20
Router(config-subif)#ip address 172.16.20.1 255.255.255.0 affecte une adresse IP passerelle
VLAN 20
Router(config-subif)#exit
Router(config-subif)# end
Dans ce cas, les postes des 3 VLAN sont à même de communiquer entre eux. Si l’on omet de déclarer
une des trois sous interfaces, le VLAN correspondant ne sera plus joignable.
Configuration avancée du routage dynamique OSPF :
OSPF est activé à l’aide de la commande de configuration globale router ospf < id > ou id signifie le N°
de l’instance OSPF (plusieurs instance OSPF possibles dans un routeur).
Routeur#conf t
Routeur(config)#router ospf 1 processus ospf N° 1 (plusieurs processus possibles)
Routeur(config-router)#network 172.16.10.0 0.0.0.255 area 0 réseau + masque inversé
Routeur(config-router)#network 172.16.20.0 0.0.0.15 area 0 réseau + masque inversé
Routeur(config-router)#network 172.16.30.0 0.0.0.3 area 0 réseau + masque inversé
Routeur(config-router)#end
Le paramètre area désigne la zone de couverture OSPF. Ce paramètre doit être identique sur tous les
routeurs d’une même zone.
Configuration d’une interface de loopback du routeur :
Routeur(config)#interface loopback 1
Vérification des paramètres OSPF :
Pour vérifier l’ID de routeur en cours, on peut utiliser les commandes suivantes :
PPE 3.2
19
Routeur#show ip protocols
Ou bien : Routeur#show ip ospf
Ou encore : Routeur#show ip ospf interface
Configuration des VLAN :
Création de VLAN
Pour créer des VLAN, on déclare un numéro logique d’identifiant à chaque VLAN. On affecte aussi un
nom associé au numéro du VLAN. Le nom d’un VLAN est optionnel et n’a qu’un caractère
administratif.
Switch#conf t
Switch(config)#vlan 10 Le VLAN N° 10
Switch(config-vlan)#name VENTES
Switch(config-vlan)#exit uitter le mode de configuration
Switch(config)#vlan 20
Switch(config-vlan)#name TECHNO
Switch(config-vlan)#exit
Affectation de ports aux VLAN :
Un port physique peut être configuré en mode trunk ou en mode access. Un port Trunk véhicule un
trafic agrégé c'est-à-dire provenant de plusieurs sources de Vlan. Un port trunk ne peut être raccordé
qu’à un autre port Trunk (switch, routeur ou passerelle).
Un port access véhicule un trafic ne provenant que d’une seule source VLAN, c’est pourquoi il ne
peut être connecté qu’à un poste terminal (poste, serveur, imprimante).
Pour affecter des ports à un Vlan, il faut tout d’abord définir le mode du port puis y associer le Vlan.
Pour ce qui concerne les ports trunk, il n’y a pas d’affectation de Vlan. Seul le type de port doit être
déclaré.
il est possible de restreindre une liste de Vlan autorisés à transmettre sur un port Trunk (commande
« trunk allowed »).
PPE 3.2
20
Affectation de ports d’accès VLANs :
Switch#conf t
Switch(config)#interface fastEthernet 0/1 sur le port Fa 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Affectation d’une liste de ports d’accès VLANs :
De la même façon que l’on peut affecter un port à un VLAN, il est possible d’affecter une liste de
ports à un VLAN sur une seule ligne de commande.
Switch#conf t
Switch(config)#int range fa 0/2 - 6 sur les ports Fa 0/2 à 6
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Switch(config-if-range)#no shutdown force l’activation du port (optionnel)
Switch(config-if-range)#end
Switch#
Configuration des interfaces physiques en mode Trunk :
Switch#conf t
Switch(config)#int fa 0/1
Switch(config-if)# switchport mode trunk Configuration du mode trunk
Switch(config-if)#end
Switch#
PPE 3.2
21
Attribution d’une adresse IP de gestion au switch :
Pour administrer un commutateur à distance via une console Telnet ou SSH ou pour accéder au
commutateur par un navigateur, vous devez attribuer une adresse IP et un masque de sous réseau
au Switch.
Cette adresse IP est attribuée sur une interface VLAN crée au titre du Vlan de gestion. On peut ainsi
accéder à distance sur le switch en utilisant cette adresse IP.
Switch#conf t
Switch(config)#int vlan 99
Switch(config-if)#ip address 172.17.99.11 255.255.255.0
Switch(config-if)#exit
Dans l’exemple ci-dessus tout trafic non étiqueté est transféré vers le VLAN 1. Ce type de
configuration est spécifiquement utilisé pour le transport du trafic de gestion des commutateurs.
Pour connaître l’ensemble des commandes de visualisation on effectue la commande suivante :
Switch# show ?
run List access lists
arp Arp table
vlan Vlan information
- - - - - - - -
Configuration des ACL :
Configuration des ACL standards :
La syntaxe d’une commande ACL standard est :
Access-list <N° ACL> <Action (Deny ou permit ou remark)> <@IP source> <masque
générique>
La commande suivante :
Router(config)#access-list 20 permit 192.168.16.0 0.0.0.255
PPE 3.2
22
Crée une ACL N° 20 qui autorise tout trafic provenant de la source 192.168.16.0 à 192.168.16.255.
Le masque inverse 0.0.0.255 indique en réalité un masque de /24 et donc les 256 adresses
autorisées.
La commande suivante :
Router(config)#access-list 21 deny 192.168.20.0 0.0.0.127
Indique que la liste 21 n’autorise pas les 128 adresses 192.168.20.0 à 127 à transiter dans le routeur.
On peut aussi composer une liste de contrôle qui autorise une partie des adresses d’un réseau à
bénéficier des ressources d’accès. Par exemple, la commandes suivante :
Router(config)#access-list 10 permit 192.168.16.0 0.0.0.240
Router(config)#access-list 10 deny 192.168.16.0 0.0.0.15
Autorise la plage d’adresses 198.168.16.16 à 192.168.16.240 à utiliser les ressources du réseau.
Configuration des ACL étendues :
La syntaxe des commandes ACL étendues est la suivante :
Access-list <N° ACL> < Action (Deny ou permit ou remark)> <protocole> <@IP source> <mask Gen>
<@IP dest> <mask Gen> <opérateur (facultatif)>
<port (facultatif)> <established (facultatif)>
La commande suivante :
Router(config)#access-list 110 deny tcp 192.168.45.0 0.0.0.255 192.168.50.2 0.0.0.0 eq telnet
Interdit à tous les postes du réseau source 192.168.45.0 (masque 0.0.0.255) l’accès au port telnet
dont l’adresse IP est 192.168.50.2 (masque inverse 0.0.0.0)
Dans les commandes suivantes :
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)#access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established
La liste de contrôle d’accès 103 autorise le trafic en provenance de toute adresse du réseau
192.168.10.0 (masque inverse 0.0.0.255) à accéder à n’importe quelle @IP destination (any), à
condition que le trafic soit transféré vers les ports 80 (HTTP) et 443 (HTTPS).
Le paramètre established de la 3ème commande n’est applicable qu’aux connexions tcp. Il permet de
laisser passer les paquets à condition que ceux-ci soient issus d’une communication déjà établie.
Les commandes suivantes :
R1(config)#access-list 103 permit udp 0.0.0.0 0.0.0.255 any eq bootps
PPE 3.2
23
R1(config)#access-list 103 permit udp 172.16.20.0 0.0.0.255 any eq domain
Autorisent l’accès à tous les membres du réseau local au serveur DHCP (1ère commande) et pour les
postes du réseau 192.168.20.0 au serveur de nom de domaine (2ème commande).
La commande ci-dessous supprime la liste de contrôle d’accès N° 103 :
R1(config)#no access-list 103
Application d’une liste d’ACL à une interface :
Après configuration, une liste de contrôle d’accès standard ou étendue doit être attachée à une
interface physique pour être effective. Ceci est réalisé par les commandes suivantes :
R1(config)# interface Fa0/0
Router(config-if)#ip access-group 103 out (filtre les paquets en sortie de l’interface)
Router(config-if)#ip access-group 104 in (filtre les paquets en entrée de l’interface)
Visualisation des listes d’accès :
show access-lists [ number | name ] visualise toutes les ACL quelque soit l'interface
show ip access-lists [ number | name ] : visualise les ACL uniquement liés au protocole IP
Recommended