Cisco 2 - Aide informatique n°1aide.informatique1.fr/wp-content/uploads/2016/01/26-_-Cisco-2_F.pdf · 1.4 Le routage inter-VLAN Pour activer l’interface (à faire sur le routeur

2016

Cisco 2 ADMINISTRATION AVANCEE

OLIVIER D.

Olivier DEHECQ – http://aide.informatique1.fr 2

Table des matières Signalétique .................................................................................................................................................... 3

1 Administration des switchs (commutateurs) ....................................................................................... 4

2 Le routage statique ..............................................................................................................................12

3 Le routage dynamique .........................................................................................................................13

4 Le routage NAT ....................................................................................................................................16

5 Les access-list ......................................................................................................................................18


Signalétique Nota, astuce :

Contient une partie serveur web qui traite les réponses statiques.

Important, à retenir :

Ceci est une chose importante

Commande MS-DOS C:\> c:\tomcat5.5\bin\startup.bat

Commande UNIX # /tomcat5.5/bin/startup.sh

Commande SQL connect / as sysdba

Chemin de fichier, dossier, emplacement sur le disque Fichier web.xml

Exemple de contenu de document

<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" />

Contenu du fichier web.xml

<welcome-file>index.html</welcome-file>

Contenu du fichier server.xml

port "8080" port d’écoute du connecteur

Autre contenu de fichier :

<role rolename="RUserHelloWorld"/>

Spécifique aux documents xml :

Balise

Nom de propriété

Valeur

Commentaire


1 Administration des switchs (commutateurs)

Un LAN est un domaine de diffusion

Un VLAN est un domaine de diffusion virtuel (configuration au niveau du switch)

VLAN : couches 1 et 2 du modèle OSI

Besoin de communiquer et conséquences :

S’il y a besoin de communiquer entre un VLAN1 et un VLAN2 : prévoir un plan d’adressage

(couches 3 et 4). Exemple : 10.1.0.0/16 et 10.2.0.0/16.

S’il n’y a pas besoin de communiquer, on se fout du plan d’adressage. Exemple :

192.168.1.0/16 pour les 2 VLAN. Il n’y aura pas de conflit d’adresse IP : les domaines de

diffusion sont séparés.

Deux postes dans 2 VLAN différents ne peuvent pas communiquer sans mécanisme de routage

Mise en place d’un VLAN (important)

Définir les VLAN (noms, mise en place des switchs)

Définir les réseaux pour chaque VLAN (adresses de réseau)

Avantages des VLAN :

Pour créer des configurations plus souples, réunissant des utilisateurs par service ou par

groupe de travail et pas seulement par rapport à leur emplacement physique.

Pour répartir les équipements dans les LAN (domaines de broadcast) plus petits afin de

réduire le trafic de service surchargeant chaque hôte.

Pour diminuer la charge de travail du protocole STP en limitant un VLAN à un seul

commutateur d’accès.

Pour améliorer la sécurité en isolant les hôtes travaillant sur des données sensibles dans un

VLAN propre.

Pour séparer les différents types de trafic, téléphonie, informatique, vidéo, etc …

Sur un switch, le réseau par défaut est le VLAN 1

1.1 Configuration des vlan

Afficher les VLAN :

> enable # show vlan / show run / show start

Afficher les VLAN. Par défauts, tous les ports appartiennent au vlan1

Créer un VLAN :

# conf term (config)# vlan <n° du vlan> ne pas mettre le 1

(config-vlan)# name <nom du vlan> (config-vlan)# show vlan (config-vlan)# exit

Pour sauvegarder les VLAN : vlan.dat en flash, donc survit à un erase startup-config

# show flash afficher la flash

Supprimer un/tous les vlan :

# no vlan <n° du vlan> supprime un seul VLAN

# del vlan.dat supprime TOUS les VLAN

Il faut ensuite réattribuer toutes les interfaces qui ne font plus partie de VLAN1


Configuration des interfaces des switchs :

Schéma routeur + interfaces + spécificités

Routeur

Commutateur (switch)

1.1.1 Configuration des interfaces pour les VLAN (VLAN par port)

(config)# interface f0/2 configuration de fa0/2

(config-if)# switchport access vlan 2 (config-if)# switchport mode access passer en mode access (pas du trunk)

Changer de mode :

(config-if)# no switchport mode access (config-if)# switchport mode dynamic (config-if)# ^Z (config)# show run affiche la configuration des vlan

Changer de VLAN:

(config-if)# no switchport access vlan 2 (config-if)# switchport access vlan 3


1.2 Trunking

En trunking, 2 switchs peuvent échanger les infos de VLAN grâce à un marquage

Echange des infos de VLAN entre plusieurs switch

Sans trunking :

Avec trunking :

Avec un plan d’adressage (même réseau) : les machines d’un même VLAN peuvent

communiquer.

Trame IP avec trunking :

Le trunking peut être mis en place avec le protocole 802.1Q / ISL (Cisco).

Tag codé sur 4 octet : type, priorité, drapeau, ID VLAN (codé sur 12bit : 4094 VLAN)

Le VLAN1 est un VLAN non taggé (compatibilité avec les switchs de base)

Le VLAN1 (VLAN natif, VLAN administratif) est non routé avec les autres VLAN sur les switch

matériels. On fait en sorte de ne pouvoir administrer le switch que par VLAN1 via SSH et Telnet.

Configuration du trunking (sur chaque switch) :

(config)# int f0/24


(config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan all

Voir la configuration trunk:

# show interfaces trunk voir les interfaces configurées en 802.1Q # show vlan le port trunk n’est plus dans aucun VLAN

1.2.1 VLAN en intersites

WLAN MPLS

Propagation des VLAN

VLAN1

VLAN2

VLAN3

VLAN1

VLAN2

VLAN1

VLAN2

VLAN3

Propagation du trunking seulement si MPLS

Propagation des informations des VLAN :

En intersites, il faut mettre en place un domaine VTP (en + du trunking) qui synchronise les

VLAN

1.3 VTP (VLAN Trunking Protocol)

Un domaine VTP (VLAN Trunking Protocol) sert à transmettre les informations des VLAN du serveur

vers les clients d’un même domaine

Un domaine VTP est défini par :

VTP domain : Cisco1

VTP version : 1 ou 2

VTP mode : Server ou Client

VTP password : Secret

Seul le VLAN1 peut passer entre plusieurs domaines VTP


Il faut que les switchs aient tous le même numéro de version, le même domaine, serveur à

client, mot de passe. Les modifications de VLAN se font sur le serveur

L’affectation des ports aux VLAN se fait switch par switch

Une fois la synchronisation faite, le numéro de révision est mis à jour, il est incrémentiel.

Configuration VTP :

(config)# vtp domain CISCO attention à la casse (sensible à la casse)

(config)# vtp mode server|client (config)# vtp password cisco (config)# vtp version 2 # show vtp status

(config)# no ip domain-lookup ne pas faire de résolution de nom

1.4 Le routage inter-VLAN

Pour activer l’interface (à faire sur le routeur et sur le switch de niveau3) :

(config-if)# no shutdown

Questions à se poser à la création d’un réseau

Les VLAN ont-ils besoin de communiquer ?

Si oui : besoin d’un mécanisme de routage :

Routeur (mais plutôt pour les WAN)

Switch de niveau 3 (ne route pas les WAN)

Méthode routage via routeur :

Port trunk

On configure les sous interfaces (1 par vlan) de l’interface connectée au port trunk du switch

(config)# int f0/0.1 (config-if)# encap dot1Q 1 trunking sur vlan1

(config-if)# ip address 10.1.0.254 255.255.0.0 adresse de la passerelle du vlan1

(config-if)# exit (config)# int f0/0.2


(config-if)# ip address 10.2.0.254 255.255.0.0 adresse de la passerelle du vlan2

Ne pas oublier de configurer la passerelle des clients

Méthode routage via switch :

On active le routage puis on configure les interfaces vlan (vlan 1 …) du switch de niveau 3

(config)# ip routing activer le routage sur le switch (config)# int vlan 1 (config-if)# ip address 10.1.0.254 255.255.0.0 adresse de la passerelle du vlan1

(config-if)# exit (config)# int vlan 2 (config-if)# ip address 10.2.0.254 255.255.0.0 adresse de la passerelle du vlan2

Afficher la table des adresses mac :

Il est nécessaire de faire un ping avant, c’est lui qui collecte les informations, dont l’adresse

MAC

#show mac-address-table

1.5 Spanning Tree (802.1d)

Solution concernant les topologies de switchs redondants. (Pour les routeurs, la solution c’est le TTL)

Redondance :

Permet d’avoir des chemins multiples

Il faut gérer cette problématique de redondance : utilisation du spanning tree protocol

(STP)

BPDU : trames de spanning tree.

Si on n’a pas de redondance, il ne faut pas activer le spanning tree. A part sur les switchs

concernés par la boucle

Spanning tree :

Lutter contre les boucles

Permettre la redondace quand même

Deux état :

Etat passant (FORWARDING)

Etat bloquant (BLOCKING). Seules les trames BPDU passent

Vérifier en ligne de commande :

# show spanning-tree


1.5.1 Calcul pour déterminer les interfaces forwarding/blocking :

Méthodologie :

1. Election du switch racine (toutes ses interfaces sont forwarding) : c’est celui qui a la priorité

administrative la + basse

2. Chaque switch non racine détermine un port ayant le plus faible cout vers la racine et le place

dans un état forwarding

3. Le switch avec le bridge ID le + élevé (priorité administrative la plus haute) aura son interface

non reliée au switch racine en blocking

Toutes les 2 secondes : trames BPDU pour vérifier l’état des connexions

But de l’administrateur réseau : limiter les temps d’attente lies au spanning tree.

Hello Intervalle de temps entre deux BPDU Hello créés par la racine.(Toutes les 2 secondes)

Max Age Délai d’attente survenant après la non-réception des BPDU Hello avant le

déclenchement d’un changement de topologie STP. (20 secondes)

Forward Delay Délai influant sur le processus faisant passer une interface de l’état bloquant à l’état

de transmission. Celle-ci passe d’abord par deux états transitoires, d’écoute

(listening) et de découverte (learning), chacun d’une durée égale à la valeur de ce

compteur. (15 secondes)

Forwarding | Blocking : une fois les ~50 secondes de passées

Le spanning tree se fait aussi au niveau du switch quand on connecte un ordinateur : le désactiver

Entre deux switch qui ne bouclent pas : désactiver le spanning tree

1.5.2 Changer les priorités administratives des switchs

Changer la priorité d’un switch (pour le passer en root par exemple) :

(config)# spanning-tree vlan 1 priority 4096

Enlever le blocage sur cette interface, la mettre sur l’autre (sur l’interface qui était bloquée) :

(config-if)# spanning-tree vlan 1 cost 2

A faire sur les interfaces reliées aux postes clients pour désactiver le STP :

(config-if)# spanning-tree portfast


1.6 Sécurité de ports

Avant tout on fait un ping pour verifier que ça fonctionne.

En même temps ça met à jour la table des adresses MAC (# sh mac-address-table).

Par défaut, apprentissage DYNAMIC

Sécurité de niveau 2 : filtrage des adresses MAC

C’est efficace

Ça prend du temps

On peut imposer des correspondances statiques :

Définir des adresses MAC bien précises sur des ports bien précis

En réponse à une connexion non autorisée : alerte envoyée | les trames ne passent pas | le

port est désactivé

# show port-security int f0/1 # show mac-address-table

1.6.1 Mise en œuvre

Doit être en mode access avant !

# int f0/1 (config-if)# switchport port-security active la sécurité de port

(config-if)# switchport port-security mac-address 002.4a1c.8e4e

Définir le niveau de sécurité de l’interface :

(config-if)# switchport port-security violation shutdown

L’administrateur doit ensuite intervenir quand le port est shutdown

Tester :

Changer la machine, la configurer en réseau, faire un ping

1.6.2 Pour réactiver un port shutdown (config-if)# shutdown (config-if)# no shutdown

Super cool :

(config)# int range f0/1-f0/3 (config-if)# switchport mode access (config-if)# switchport port-security (config-if)# switchport port-security mac-address sticky (config-if)# switchport port-security violation shutdown


2 Le routage statique

Evidemment, sur les ordinateurs clients, il faut définir la passerelle par défaut (routeur)

Attention : les interfaces sont shutdown sur un routeur. Il faut les activer avec no shutdown

# show interface f0/0 interface is up|down … protocol is up|down

Pour passer UP, une interface doit être branchée et l’adresse IP doit-être configurée

# show ip route

C : réseaux connectés étant up. La métrique est égale à 0 (la + prioritaire)

S : routes statiques (définies manuellement). La métrique est égale à 1

Sur R1 :

# ip route 172.16.0.0 255.255.0.0 s0 possible car connexion au port série

ou

# ip route 172.16.0.0 255.255.0.0 10.0.0.2 adresse IP distante

Sur R2 :

# ip route 192.168.0.0 255.255.0.0 s0

ou

# ip route 192.168.0.0 255.255.0.0 [s0] 10.0.0.1 adresse IP distante

Le fait d’indiquer explicitement s0 avant l’adresse IP rend la résolution plus rapide

Attention au clock rate du coté femelle sérié (horloge) :

(config)# int s0/1/0 (config-if)# clock rate 64000

Attention : le VLAN1 n’est pas routé, sauf sous Packet Tracer ®


3 Le routage dynamique Avantages :

Pour les topologies non centralisées : permet de bénéficier de la redondance (pannes)

Calcul du meilleur chemin [à un instant donné] : protocole de routage dynamique

Traffic Share : permet de répartir la charge sur plusieurs chemins

Inconvénients :

Il y a besoin de transmettre les infos aux autres routeurs : charge du réseau

Le temps de convergence peut être long

3.1 RIP

RIP v1/v2 : v1 (classfull) v2 (classless) : calcul au nombre de sauts

Simple à mettre en œuvre

Pas pour les grosses infrastructures : charge le réseau, temps de convergence long, pas

optimisé

3.2 OSPF et sa mise en œuvre

Mécanismes plus complets / complexes :

Notion d’aires, de voisins

Echange de la base de données (LSDB : bande passante, charge, etc.) échange

Calcul de routes

Métrique composite : bande passante, fiabilité, MTU,

# show ip ospf neighbor voir les voisins OSPF

# show ip ospf database base de données

# show ip route table de routage

Les rôles DR, BDR et DR others sont définis par le RID

Transfert de la LSDB (base de données à état de liens)

RID le + élevé = DR ; RID le + élevé -1 = BDR ; RID égal à 0 = DR Other

(config-if)# ip ospf priority 1 définir la valeur de RID

Un ABR définit plusieurs aires

Segmenter les échanges LSA = segmenter les réseaux en aires. Le routeur ABR ne diffuse pas toutes

les infos aux autres aires.


Aire 0 = aire de backbone (convention)

Configuration d’OSPF:

(config)# router ospf 1 numéro de système autonome

Définir tous les réseaux directement connectés sur lesquelles on veut faire de l’ospf

(config-router)# network 10.0.0.0 0.255.255.255 area 0 masque inversé

(config-router)# network 192.168.1.0 0.0.0.255 area 0

Il faut utiliser l’aire 0 pour les échanges LSA

BGP sert à interconnecter les systèmes autonomes

BGP est utilisé par les routeurs d’aires

Les aires OSPF # show ip ospf neighbor [detail] | database voisins / LSDB

𝑚é𝑡𝑟𝑖𝑞𝑢𝑒 𝑂𝑆𝑃𝐹 =1

bandwidth

(config-if)# bandwidth <xxx> fait varier la valeur de bande passante pour ospf

(config-if)# ip ospf cost <xxx> fait varier le cout

(config)# maximum-paths <n> nombre de chemins utilisés

Redistribuer une route par défaut avec OSPF :

(config)# ip route 0.0.0.0 0.0.0.0 10.1.0.100 route par défaut pour internet

(config)# router ospf 1 (config-router)# redistribute static subnets redistribuer


3.3 EIGRP et sa mise en œuvre

Protocole de routage hybride (vecteur de distance + état de lien)

Trames RTP entre les routeurs : mises à jour des tables + calcul des boucles de routage

𝑚é𝑡𝑟𝑖𝑞𝑢𝑒 𝐸𝐼𝐺𝑅𝑃 =1

bandwidth + latence cumulée × 256

# show interface voir les valeurs de délais, de bandwidth

EIGRP consomme moins de ressources qu’OSPF

EIGRP est propriétaire

EIGRP inscrit dans sa BDD les routes avec la meilleure métrique (FD), ainsi que les routes redondantes

(FS). Toutes les routes sont dans la DB, mais seule la meilleure est dans la table de routage.

# show ip eigrp topology trouver les routes (FD,FS) de la BDD

En EIGRP, il est obligatoire de mettre le même SA pour le même groupe

Mise en place :

(config)# router eigrp 1 numéro de système autonome

Définir tous les réseaux directement connectés sur lesquelles on veut faire de l’EIGRP

(config-router)# network 10.0.0.0 0.255.255.255 masque classfull inversé (config-router)# no auto-summary pour transférer en classless


4 Le routage NAT Le routage NAT est spécifique à IPv4 et au type d’adressage privé/public. En effet, toutes les

adresses IPv6 sont routables sur internet.

Un routeur NAT a une patte dans le réseau privé et une patte vers internet

Terminologie NAT :

Locale interne : adresses privées internes

Globale interne : adresse publique internet

Globale externe : adresses publiques externes

Locale externe : adresses privées externes

Types de mappage :

Mappage 1 à 1

Mappage 1 à 1 : en statique, plutôt utilisé pour la publication de services. Cela demande

beaucoup d’adresses publiques.

1 - Activer le NAT :

(config-if)# ip nat inside|outside

Inside : coté privé/interne du routeur

Outside : coté public/externe du routeur

2 - Interieur vers Exterieur:

(config)# ip nat inside source list 1 interface serial10/0/0 overload (config)# access-list 1 permit any

2bis - Publication de service :

(config)# ip nat inside source static tcp @ip_HOST 80 @ip_publique 80 extendable


4.1 Configurer le NAT pour accéder à l’exterieur

Nat statique :

(config)# ip nat inside source static @source @destination

Un client interne ne peut accéder qu’à une adresse externe

Nat dynamique (obsolète) :

(config)# ip nat pool <nom du pool> @publique_min,@publique_min netmask mask (config)# ip nat inside source list 1 pool <nom du pool> (config)# access-list 1 permit any

Il n’y avait que quelques postes sources qui pouvaient sortir

Traduction PAT :

Une adresse IP publique, mappage avec des numeros de port

Schéma de fonctionnement de la traduction PAT

(config)# ip nat inside source list 1 interface serial10/0/0 overload # sh ip nat translation # sh run

4.2 Configurer le NAT pour faire de la publication de service

(config)# ip nat inside source static tcp @ip_HOST 80 @ip_publique 80 extendable

@ip_HOST : adresse privée de l’hôte

@ip_publique : adresse publique du routeur

80 : port sur lequel renvoyer

# sh ip nat statistics statistiques du NAT


5 Les access-list

Access-list standard : 1 - 99 Access-list étendue : 100 – 199

A sa création, une ACL est définie mais ne sert pas :

Il faut l’affecter

A sa création, une ACL est définie mais ne sert pas :

Il faut l’affecter

access-list 100 <règle n°1>

access-list 100 <règle n°2> Une ACL contenant 3 règles

access-list 100 <règle n°3>

deny all : règle implicite à la fin de chaque ACL

Il ne peut y avoir qu’une ACL par port ET par sens (ENTREE / SORTIE)

Par exemple : pour le FORWARDING, pour 2 interfaces, on ne peut avoir que 4 ACL

ATTENTION : le traffic généré par un routeur n’est JAMAIS filtré par lui-même !!!

Une access-list :

1 numéro

n règles

1 action par règle ( permit | deny | remark)

1 règle implicite à la fin : deny all

Affectation d’une access-list :

1 access-list par interface et par sens de communication (maximum 2 ACL par interface)

access-list sur les accès Telnet

access-list sur les règles de NAT

5.1 Syntaxe access-list standard

(config)# access-list n° règle [protocole] source [wildcard]

n° : n° d’access-list (ex : 1 - 99 pour une ACL étendue IP)

règle : permit, deny, remark, dynamic

protocole : ip, tcp, udp, icmp, esp, gre, igrp, eigrp, …

source : xxx.xxx.xxx.xxx, any, host 10.0.0.0 0.255.255.255 / 10.0.0.1 0.0.0.0 | 10.0.0.1

wildcard : masque inverse 171.16.0.0 /12 255.240.0.0 devient 0.15.255.255

Exemples access-list standard :

(config)# access-list 1 deny 10.0.0.0 0.255.255.255 (config)# access-list 1 deny 11.0.0.0 0.255.255.255 (config)# access-list 1 deny 12.0.0.0 0.255.255.255 (config)# access-list 1 permit any

A ce moment-là, l’access-list est définie mais n’est pas appliquée.


5.2 Création

Dans un fichier :

no access-list 101 va supprimer l’ACL 101 si elle existait dans la configuration du routeur

access-list 101 …

access-list 101 …

access-list 101 …

Exemples :

(config)# access-lit 1 permit 10.1.0.0 0.0.255.255 un deny all est créé juste en dessous

(config)# interface fa 0 (config-if)# ip access-group 1 in lier l’ACL n°1 au flux entrant de fa 0

Appliquer l’access-list en sortie de cette interface : bloquer la sortie des réseaux 10, 11 et 12 vers f1

(config-if)# ip access-group n° in|out # sh ip access-lists

5.3 Access-list étendues

(config)# access-list n° règle protocole source [wildcard] destination [wildcard] clé port

n° : n° d’access-list (ex : 100 – 199 pour une ACL étendue IP)

règle : permit, deny, remark, dynamic

protocole : ip, tcp, udp, icmp, esp, gre, igrp, eigrp, …

source : A.B.C.D, any, host 10.0.0.0 0.255.255.255 / 10.0.0.1 0.0.0.0 | 10.0.0.1

wildcard : masque inverse 171.16.0.0 /12 255.240.0.0 devient 0.15.255.255

clé : neq (not equal), eq (equal), gt (greater than), lt (lower than), range, …

n°port : numéro de port (ou nom de port)

destination : voir source

clé : eq, neq, lt, range, ack, established, syn, fin, log, …

5.3.1 Exemples access-list étendues

Les trames udp53 (requêtes DNS) ne peuvent pas aller vers 192.168.0.2 :

access-list 100 deny udp 10.0.0.0 0.255.255.255 host 192.168.0.2 eq 53

Les trames tcp80 (flux HTTP) ne peuvent pas aller vers 192.168.0.0/24 :

access-list 100 deny tcp 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255 eq 80

Les trames udp23 (telnet) ne peuvent pas aller vers 192.168.0.0/24 :

access-list 100 deny tcp 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255 eq 23

Les autres flux passent :


access-list 100 permit ip any any

Documents

Cisco 2 - Aide informatique n°1aide.informatique1.fr/wp-content/uploads/2016/01/26-_-Cisco-2_F.pdf · 1.4 Le routage inter-VLAN Pour activer l’interface (à faire sur le routeur