RE16 1

• Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale

• Le routeur est supposé être en état de fonctionner, c’est-à-dire que l’administrateur a les mots de passe d’accès

• Dans le cas où les mots de passe seraient perdus, une procédure particulière est prévue pour reprendre la main sur le routeur

• L’objectif de la configuration de base est de permettre au routeur de connaître son environnement IP et de s’y intégrer

Configuration de base

RE16 2

Séquence de démarrage

• Après le programme de bootstrap, le routeur charge son IOS• Un fois le système chargé, il peut accepter des commandes• Les commandes qu’il doit exécuter sont inscrites dans le

fichier de configuration du routeur• Ce fichier de configuration a été écrit par l’administrateur

réseau et contient au minimum les paramètres des différentes interfaces

• La suite de cette section montre ce qu’il faut mettre dans un fichier de configuration minimum

RE16 3

Séquence de démarrage

RE16 4

Accès au routeur

• On peut accéder au routeur par un lien série appelé port console

• On peut ainsi dialoguer avec le routeur en mode texte, par exemple en utilisant « hyperterminal » de windows et le port série d’un PC portable

• Ce port console est disponible à travers une prise RJ45, pour pouvoir utiliser le précâblage réseau

RE16 5

Ouverture de session

port série RS232 port console

RE16 6

Commandes disponibles

• A tout moment, on peut obtenir de l’aide :– en tapant ? on obtient la liste des commandes disponibles

– en tapant commande ? on obtient l’aide sur commande

RE16 7

Les différents modes

RE16 8

Configuration minimale

• En mode privilégié :– visualisation des configurations actives et de démarrage– accéder au mode de configuration globale

• En mode de configuration globale :– donner un nom au routeur– changer les mots de passe– accéder au modes de configuration des interfaces

• En mode de configuration d’interface :– donner une adresse IP à l’interface– la mettre en route– revenir en mode privilégié

• En mode privilégié :– sauvegarder la configuration en NVRAM

RE16 9

Exemple de fichier de config

hostname cisco4000 nomme le routeur! commentaireenable secret 5 $1$QIgl$PUFwSWwHj/ mot de crypté!interface Ethernet0 passage en mode interface ip address 192.168.0.254 255.255.255.0 affectation de l’@IP no shutdown mise en fonction!interface Ethernet1 ip address 192.168.10.254 255.255.255.0 no shutdown!line con 0 passage en mode ligne login logging password cisco affectation du mot de passe!end

RE16 10

Essai de fonctionnement

• Les commandes tapées sont exécutoires immédiatement• Elles modifient le fichier de configuration active• Il faut toujours vérifier que le fonctionnement du routeur est

bien celui souhaité• Pour cela un outil de base : commande ping

RE16 11

Sauvegarde de la config

• Une fois que la configuration active correspond au fonctionnement souhaité, il faut la sauvegarder en mémoire non volatile

• Elle sera ainsi rechargée au prochain redémarrage

RE16 12

FireWall : exemple de mise en oeuvre

Clientdistant

Serveursftp

HTTPDNS (2)

SMTP/POP3 (2)Proxy

RouteurFAI

Routeurinterne

FireWall

193.56.213.128/27.145

172.16.1.0/24

.133

.132

.131

192.168.0.0/16

.1

.2.1

RE16 13

FireWall : exemple de mise en oeuvre

• Etape 1 : configuration de base du FireWall– donner les bonnes @IP à ses interfaces et les activer

– fixer les niveaux de confiance des interfaces

– renseigner les routes statiques de routage (pas de protocole de routage, un FireWall a des fonctionnalités de routeur, mais n’est pas un routeur !)

– expliciter toutes les translations d’adresses (même celles des adresses qui sont translatées vers elle-même)

• Quand cette étape est réalisée, le FireWall fonctionne «par défaut», c’est-à-dire dans le sens du maximum de sécurité

• Les seules communications autorisées, sont celle qui vont de NC supérieur à NC inférieur

RE16 14

FireWall : exemple de mise en oeuvre

• Etape 2 : translation des ports et ACLs– paramétrer la translation des ports pour cacher les serveurs

publiques derrière une seule adresse

– paramétrer les ACLs pour autoriser d’autres flux

• Le réseau est correctement protégé, à condition de sans cesse veiller à la mise à jour et à la sauvegarde de la configuration

• Etape 3 : configurer les accès VPN

RE16 15

Firewall : exemple de configuration

interface ethernet0 autointerface ethernet1 autointerface ethernet2 autonameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50enable password UksXdgrtqWqrfYqY encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname Pix3domain-name ciscopix.comfixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69namesname 172.16.3.2 servdmzname 10.0.3.10 servinternename 10.0.3.11 pcinterneaccess-list extservpub permit tcp any host 192.168.3.10 eq wwwaccess-list extservpub permit tcp any host 192.168.3.10 eq ftpaccess-list extservpub permit tcp any host 192.168.3.11 eq wwwaccess-list extservpub permit tcp any host 192.168.3.11 eq ftpaccess-list extservpub permit ip any host 192.168.3.13access-list vpn permit ip host 192.168.3.10 anyaccess-list vpn permit ip host 192.168.3.13 anypager lines 24logging onlogging trap debugginglogging host inside pcinternemtu outside 1500mtu inside 1500mtu dmz 1500ip address outside 192.168.3.2 255.255.255.0ip address inside 10.0.3.1 255.255.255.0ip address dmz 172.16.3.1 255.255.255.0ip audit name polinfo info action alarmip audit name polattaque attack action alarm dropip audit interface outside polinfoip audit interface outside polattaqueip audit interface inside polinfoip audit interface inside polattaqueip audit info action alarmip audit attack action alarmpdm history enablearp timeout 14400

global (outside) 1 192.168.3.100 netmask 255.255.255.0global (dmz) 1 172.16.3.100 netmask 255.255.255.0nat (inside) 1 10.0.3.0 255.255.255.0 0 0static (inside,outside) 192.168.3.10 servinterne netmask 255.255.255.255 0 0static (inside,outside) 192.168.3.13 pcinterne netmask 255.255.255.255 0 0static (dmz,outside) 192.168.3.11 servdmz netmask 255.255.255.255 0 0access-group extservpub in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.3.1 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server TACACS+ max-failed-attempts 3aaa-server TACACS+ deadtime 10aaa-server RADIUS protocol radiusaaa-server RADIUS max-failed-attempts 3aaa-server RADIUS deadtime 10aaa-server LOCAL protocol localaaa authentication ssh console LOCALno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enablesysopt connection permit-ipseccrypto ipsec transform-set ts1 esp-descrypto map map1 10 ipsec-isakmpcrypto map map1 10 match address vpncrypto map map1 10 set peer 172.30.4.2crypto map map1 10 set transform-set ts1crypto map map1 interface outsideisakmp enable outsideisakmp key ******** address 172.30.4.2 netmask 255.255.255.255isakmp identity addressisakmp policy 10 authentication pre-shareisakmp policy 10 encryption desisakmp policy 10 hash shaisakmp policy 10 group 1isakmp policy 10 lifetime 86400telnet timeout 5ssh pcinterne 255.255.255.255 insidessh timeout 5console timeout 0username admin560 password jG8vL0c5dq0bVsVE encrypted privilege 15username alain560 password MgoXUhPvZ2uRvR3W encrypted privilege 2terminal width 80Cryptochecksum:675b40c6519bf080b850ccccf3485f42: end