TP 8-9 Réseaux. Administration d un réseau local

Transcription

1 TP 8-9 Réseaux Administration d un réseau local C. Pain-Barre, A. Meyer et F. Dumas INFO - IUT Aix-en-Provence version du 3/5/2011 Manipulez le matériel avec la plus grande précaution! Ne tirez pas sur les prises! Au moins 15 minutes avant la fin de la séance, procédez à la remise en état du matériel : sauver une copie de votre running-config et l ajouter à votre rapport dans une partie intitulée «configuration de fin de séance» créer une archive de ce que vous devez remettre à votre enseignant copier votre travail sur clé USB restaurer sur le routeur la configuration startup-config.defaut puis la supprimer débrancher le matériel et le remettre à sa place (routeurs, hubs/switch, câbles, etc.). Les câbles et cordons doivent être correctement enroulés et attachés rebrancher le PC A sur le réseau du département et remettre les routes en exécutant $ sudo reroute et vérifier que les routes ont été remises avec /sbin/route -n éteindre proprement les PC et procéder à la restauration de Linux sur le PC A Dans ce sujet, il sera souvent fait référence au document de préparation du TP, qu on appellera DP. Reportez-vous aux sections concernées lorsque c est précisé. Table des matières I Installation 4 I.1 Préparation des PC I.1.A Groupe dialout et port série Exercice I.1.B Création du rapport Exercice I.2 Préparation du PC A I.2.A Démontage de net-home I.2.B Lancement de la machine virtuelle Exercice I.2.C Suppression des routes et débranchement du réseau Exercice I.3 Matériel Exercice INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

2 TP 8-9 Réseaux Version du 3/5/2011 2/54 II Familiarisation avec le routeur 8 II.1 Utilisation de la console II.1.A Liaison série PC - routeur II.1.B Minicom pour émuler la console II.2 Utilisation des aides à la saisie III Contrôle du routeur et configurations élémentaires 11 III.1 Relevé d informations principales sur le routeur Exercice III.2 Prise de contrôle du routeur Exercice III.3 Relevé d informations complémentaires III.3.A Les espaces de stockage Exercice III.3.B Information sur les interfaces réseau Exercice III.4 Configurations élémentaires du routeur III.4.A Protection du mode privilégié par un mot de passe Exercice III.4.B Désactivation de services et interfaces inutiles Exercice III.4.C Changer le nom du routeur Exercice IV Conception Réseau 23 Exercice V Configurations Réseau 23 V.1 Interface WAN du routeur Exercice V.2 Interfaces du réseau local V.2.A Interface LAN du routeur Exercice V.2.B Interface LAN du PC A Exercice V.3 Sauvegarde de la configuration par TFTP Exercice V.4 Accès à la CLI par TELNET Exercice V.5 Accès à l interface Web du routeur Exercice V.6 Configuration du routage et du DNS sur le routeur Exercice Exercice V.7 Configuration du routage et du DNS sur le PC A Exercice V.8 Configuration du service DHCP sur le routeur V.8.A Configuration de l allocation dynamique Exercice V.8.B Configuration de l allocation statique Exercice C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

3 3/54 Version du 3/5/2011 TP 8-9 Réseaux VI Configuration du NAT/PAT 37 VI.1 Le PAT sur le routeur d accès vers Internet VI.2 Principes et terminologie du NAT VI.2.A Traductions inside et outside VI.2.B Variantes du NAT VI.3 Configuration du PAT dynamique Exercice VI.4 Fonctionnement de la traduction dynamique PAT VI.4.A Initiation d une traduction dynamique PAT VI.4.B Traduction dynamique PAT des messages sortants VI.4.C Traduction dynamique PAT des messages entrants VI.4.D Table de traduction : mise à jour et gestion Exercice VI.4.E Interactions entre le NAT et les autres protocoles Exercice VI.5 PAT statique pour la redirection de port des connexions entrantes Exercice VII Annexe 53 VII.1 Message ICMP de test d accessibilité et d état (PING) VIIIVue d ensemble de la salle de TP 54 INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

4 TP 8-9 Réseaux Version du 3/5/2011 4/54 I Installation Installez-vous à la place que vous a communiquée votre enseignant. Retenez bien votre numéro de binôme. Vous disposez de 2 PC. En choisir un comme PC A qui sera utilisé plus tard en mettant en place le réseau local. L autre le PC B va servir dès le début pour contrôler le routeur. réseau Ethernet d accès vers Internet d adresse /8 et commun à tous les binômes réseau local Ethernet du binôme x routeur (NAT/PAT) d accès vers Internet d adresse x.0/24 Hub ou Switch IP LAN IP WAN routeur du binôme port console (RJ 45) câble "console" (liaison série) routeurs des réseaux des autres binômes PC à connecter au réseau local du binôme A B port série RS232 (DB 9) PC pour administrer le routeur réseau Ethernet du Département Informatique d adresse /24 Environnement de travail du binôme x routeur de l IUT Internet FIGURE 1 Environnement de travail du binôme x Se reporter au schéma global du réseau de la figure 3 page 54 afin de situer votre environnement de travail dans la salle de TP. C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

5 5/54 Version du 3/5/2011 TP 8-9 Réseaux I.1 Préparation des PC I.1.A Groupe dialout et port série Ceci est toujours à faire en début de séance, avant d ouvrir une session graphique sous Linux sur les deux PC. Nous avons besoin d utiliser le port série du PC B afin de "discuter" avec le routeur via son port console. Sous Linux, il faut faire partie du groupe dialout pour pouvoir utiliser le port série. Vous ne faites pas partie de ce groupe mais vous allez pouvoir vous y ajouter en suivant la procédure de l exercice qui suit. Même si le PC A n est pas destiné à la même chose, il fera tourner une machine virtuelle configurée pour utiliser le port série. C est pourquoi il faut aussi réaliser cette opération sur le PC A. Exercice 1 (ajout dans dialout) Sur les 2 PC, suivre la procédure suivante pour s ajouter dans le groupe dialout avant de démarrer une session graphique : 1. Démarrer le PC sous Linux 2. Une fois l invite graphique d authentification affichée, taper Ctrl + Alt + F1 pour afficher le terminal 1 (mode texte) 3. Se loger 4. Sur l invite de commandes, taper : $ sudo addme et taper votre mot de passe si cela vous est demandé. En retour, un message indiquant vous avez été ajouté dans le groupe dialout devrait être affiché, ce qui est nécessaire pour utiliser le port série sous Linux ; 5. Taper : $ exit afin de terminer votre session texte ; 6. Taper Ctrl + Alt + F7 pour revenir au terminal graphique ; 7. Ouvrir une session graphique. I.1.B Création du rapport Exercice 2 Sur le PC B, ouvrir OpenOffice Writer et commencer la rédaction de votre rapport en faisant figurer vos noms, prénoms, numéro de groupe et de binôme. L enregistrer sous le nom Nom1_Nom2.odt où Nom1 et Nom2 sont vos noms. Dans l énoncé, l icône précise les informations à rendre, soit dans le rapport, soit dans un fichier séparé. INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

6 TP 8-9 Réseaux Version du 3/5/2011 6/54 I.2 Préparation du PC A Sur le PC A, assurez-vous d appartenir au groupe dialout en tapant la commande id sur un terminal. Si vous n en faites pas partie, fermer la session graphique et reprendre l exercice 1. Le PC A va être déconnecté du réseau de l IUT pour être raccordé à votre LAN. Mais avant, il faut prendre un minimum de précautions. Dans un premier temps, il faut être logé graphiquement. I.2.A Démontage de net-home Comme vous le savez, votre répertoire net-home est un montage SAMBA de votre répertoire personnel sur allegro. Vous n y aurez plus accès une fois le PC débranché du réseau. Afin de ne pas couper brutalement ce montage, le désactiver en tapant : $ sudo nonet-home Vérifier en tapant : $ ls ~/net-home qui ne doit rien afficher. I.2.B Lancement de la machine virtuelle Sur la session, vous êtes un utilisateur normal comme d habitude. Nous allons utiliser VirtualBox afin d exécuter une machine virtuelle Linux, sous laquelle vous serez root. Dans cette machine virtuelle, vous pourrez utiliser toutes les commandes d administration nécessaires pour intégrer le PC de la machine virtuelle sur votre réseau. Pour simplifier, on gardera comme nom PC A pour la machine virtuelle. La version actuellement installée de VirtualBox ne permet pas l utilisation de périphériques USB. Pour sauvegarder des fichiers de la machine virtuelle, il faudra utiliser le partage de fichiers entre le système hôte et invité (voir DP, section 5.IV, page 25). Exercice 3 (Lancement de la machine virtuelle sur le PC A) Se reporter à DP, section 5.I, page 23 et : 1. Exécuter le script NewDebian.sh de création/lancement de la machine virtuelle puis : a. accepter la licence b. cliquer Ok sur la fenêtre d information sur la capture du clavier et de la souris c. le système démarre sous Linux Debian/Lenny 2. Quelle adresse MAC a été donnée à la carte réseau de votre machine virtuelle? 3. Sur la machine virtuelle, se loger graphiquement en tant que root (mot de passe <re>zo++). Cliquer sur Suivant au message d avertissement. I.2.C Suppression des routes et débranchement du réseau Avant de débrancher le PC A du réseau, on va supprimer les routes connues du système hôte, afin qu aucune trame provenant de ce dernier ne soit émise. Seul le système invité (la machine virtuelle) sera ensuite en mesure d utiliser le réseau. C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

7 7/54 Version du 3/5/2011 TP 8-9 Réseaux Exercice 4 (arrêt réseau du système hôte) 1. Dans un terminal du système hôte, taper la commande suivante : $ sudo noroute 2. Vérifier la suppression en tapant : $ /sbin/route -n Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface $ où aucune route ne doit apparaître 3. Débrancher le câble réseau À la fin de la séance, vous devrez remettre en ordre le PC A c est-à-dire : 1. arrêter la machine virtuelle 2. rebrancher le câble réseau du Département Informatique 3. remettre les routes sur le système hôte en tapant : $ sudo reroute et vérifier que les routes ont été ajoutées avec /sbin/route -n 4. éteindre proprement le PC 5. le rallumer et restaurer l image linux (choix 4 du menu de démarrage) 6. et enfin, l éteindre ainsi que l écran. I.3 Matériel Exercice 5 (checklist) Se munir du matériel nécessaire avec précaution : 1 routeur CISCO parmi les séries 1700, 2500 et 2600 uniquement pour le binôme ayant le routeur 2514 : 2 transceivers 10Base-T pour ports AUI 1 câble console DB-9/RJ-45 pour connecter le port série du PC B au port console du routeur 1 câble Ethernet de catégorie 6 assez long pour connecter le routeur au réseau commun à tous les binômes 1 Hub (ou Switch) 8, 16, 24 ou 32 ports au minimum 2 câbles Ethernet de catégorie 6 pour connecter votre routeur et le PC A au Hub/Switch 1 rallonge électrique multi-prises (déjà branchée) INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

8 TP 8-9 Réseaux Version du 3/5/2011 8/54 Puis continuer la rédaction du rapport en répondant aux question suivantes : 1. Inspecter le routeur et indiquer : a. le code d identification figurant sur l étiquette de sa face avant (à gauche) Retenez ce code. Il vous permettra de retrouver le même routeur à la séance suivante, ce qui devrait faciliter son démarrage... b. sa série et son modèle c. le nom de ses ports et interfaces réseaux d origine. Ils sont généralement écrits en couleur et cerclés. Si le routeur possède des slots d extension, préciser, pour chaque slot : i. son type (NM ou WIC) ii. pour le type WIC, préciser le code identifiant son emplacement. Par exemple, W0 ou WIC 0 désignent le premier emplacement, W1 ou WIC 1, le second, etc. iii. s il est occupé ou non. S il est occupé, indiquer le nom de la carte ainsi que le nom des interfaces qu elle fournit. 2. Inspecter le hub ou le switch et indiquer : a. sa marque b. son modèle c. son nombre de ports Ethernet RJ-45, et éventuellement d autres types de ports Ethernet d. si c est indiqué, le type de ces interfaces Ethernet (10Base-T,...) II Familiarisation avec le routeur II.1 Utilisation de la console Nous allons procéder à la mise en place de la console, à partir de laquelle nous pourrons prendre le contrôle du routeur. II.1.A Liaison série PC - routeur Se référer à DP, section 4.I, page 19 pour procéder au câblage de la liaison série entre le PC B et le port console du routeur : II.1.B Minicom pour émuler la console Se référer à DP, section 4.II, page 20, concernant minicom, son paramétrage et son utilisation, et réaliser les étapes suivantes pour accéder à la console : C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

9 9/54 Version du 3/5/2011 TP 8-9 Réseaux 1. Dans une fenêtre terminal sur le PC B, lancer minicom dans son mode de configuration : $ minicom -s 2. Un menu s affiche. Utiliser les flèches pour choisir "Configurer le port série" : 3. Le sous-menu affiché résume les paramètres actuels dont certains doivent être modifiés : 4. Taper A pour modifier le port série (voir DP, section 4.II.A, page 20), puis valider le changement par Entrée 5. Taper E pour modifier les paramètres de communication. Le sous-menu correspondant devrait être : Modifier les paramètres pour obtenir N1. Valider les changements en tapant Entrée 6. Taper à nouveau Entrée pour revenir au menu principal, puis choisir "Enregistrer config. sous dfl" afin de sauver la configuration 7. Puis, choisir "Sortir de minicom" afin de revenir au shell 8. Relancer minicom mais cette fois comme émulateur de terminal en tapant : $ minicom -o INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

10 TP 8-9 Réseaux Version du 3/5/ /54 9. Démarrer le routeur. Les premiers messages du routeur devraient apparaître (voir DP, section 4.II.B, page 21) 10. Attendre que le routeur affiche le prompt (tel que Router> ou >) ou un message vous invitant à taper sur Entrée (auquel cas, taper Entrée pour afficher le prompt). À ce stade, vous êtes en mode utilisateur (user mode) ; 11. Tenter d entrer en mode privilégié (enable mode). Le résultat doit être similaire à celui-ci : Router>enable Password: Password: Password: % Bad secrets Router> L entrée en mode privilégié devrait échouer (sinon, le routeur a une mauvaise configuration). Si elle réussit, taper exit pour revenir au mode utilisateur, et continuer comme si vous n aviez pas accès au mode privilégié. II.2 Utilisation des aides à la saisie La console étant opérationnelle, on va se familiariser avec la CLI et son aide intégrée qui est aussi disponible en mode utilisateur. Se référer à DP, section 3.IV, page 16 pour la pagination et section 3.V, page 16 pour les différentes aides manipulées ci-après : 1. Sur la CLI, taper : Routeur>? pour afficher la liste des commandes disponibles en mode utilisateur. Comme il y en a de nombreuses, cette liste est paginée. 2. Puis taper : Routeur>sh Tabulation pour faire compléter sh en show 3. Puis taper : Router>show? Pour voir les paramètres que prend la commande show. À nouveau, la liste est longue et paginée 4. Puis taper : Router>show v? Pour voir les paramètres commençant par v que prend show 5. Continuer la commande ainsi : Router>show ve? qui devrait afficher les possibilités restantes. Parmi elles, il y a <cr> qui indique qu on peut terminer la commande. Il y a aussi le pipe qui permet de filtrer l affichage C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

11 11/54 Version du 3/5/2011 TP 8-9 Réseaux 6. Exécuter Router>show ve pour faire afficher les informations sur le routeur 7. Rappeler la commande avec la flèche du haut puis essayez de la continuer avec le pipe pour ne faire afficher que les lignes contenant Boot 8. Procéder de la même façon pour connaître les utilisations possibles des commandes traceroute et telnet. III III.1 Contrôle du routeur et configurations élémentaires Relevé d informations principales sur le routeur Avant de prendre le contrôle du routeur, vous allez d abord en relever les caractéristiques principales matérielles et logicielles. La commande show version (disponible dans les modes utilisateur et privilégié) permet de les afficher. L affichage obtenu est paginé. Exemple Voici le résultat de la commande show version exécutée sur un routeur : Router>show version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) Technical Support: Copyright (c) by cisco Systems, Inc. Compiled Wed 27-Apr-04 19:01 by miwang Image text-base: 0x C, data-base: 0x80A1FECC ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. ROM: C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) System returned to ROM by reload System image file is "flash:c2600-i-mz bin" cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Processor board ID JAD05190MTZ ( ) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version Ethernet/IEEE interface(s) 1 FastEthernet/IEEE interface(s) 1 Low-speed serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Les informations mises en évidence par les cadres, en commençant en haut, sont : INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

12 TP 8-9 Réseaux Version du 3/5/ /54 La version de l IOS : ici, c est la 12.2(28) pour la série 2600 (indiqué par c2600) La localisation de l image de l IOS chargé : ici, le fichier c2600-i-mz bin de la flash Type et modèle du matériel et la taille de mémoire vive (RAM) installée : ici, c est un 2620 utilisant un processeur MPC860 et possédant Ko de RAM ( Ko libres et Ko utilisés), soit 64 Mo Les interfaces réseaux reconnues par le routeur : ici, il y a une interface Ethernet, une FastEthernet et une interface série La taille de la NVRAM : ici, elle est de 32 Ko La taille de la carte flash : ici, elle fait Ko et, pour finir, la valeur du registre de configuration CISCO travaille continuellement pour améliorer son IOS, y ajouter de nouvelles fonctionnalités et corriger des bugs. Par exemple, pour les seuls routeurs de la gamme le nombre de versions d IOS disponibles a fini par dépasser les 6000! Pour un routeur donné, l administrateur choisit l IOS en fonction de différents paramètres : les fonctionnalités voulues, la taille de la carte flash et la taille de la RAM. Pour trouver l image IOS adéquate, l administrateur CISCO peut employer le CISCO Feature Navigator sur le site web de CISCO ( Exercice 6 (informations principales sur le routeur) Utiliser show version sur la CLI pour déterminer : 1. la version de l IOS 2. le nom de fichier de l image IOS 3. le type exact de votre routeur (dans la série CISCO 1700, 2500 ou 2600) 4. les interfaces reconnues 5. la taille de la RAM 6. la taille de la Flash 7. la valeur du registre de configuration (de la forme 0xvaleur-en-hexa). Nous aurons besoin de cette valeur par la suite. III.2 Prise de contrôle du routeur Le routeur que vous devez gérer a déjà une configuration. Vous avez dû en effet constater que l accès au mode privilégié est protégé par un mot de passe. Le mot de passe fait partie de la configuration : il est enregistré (de façon chiffrée) dans le fichier startup-config. Nous allons écraser ce fichier de façon à démarrer avec une configuration vierge, sans mot de passe. i La procédure de récupération d un mot de passe est généralement décrite dans le chapitre Recovering a Lost Enable Password 1 du manuel qui accompagne le matériel CISCO. En principe, l objectif de cette procédure est de conserver la configuration actuelle du routeur tout en réinitialisant le mot de passe. C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

13 13/54 Version du 3/5/2011 TP 8-9 Réseaux Dans les grandes lignes, cette procédure est la suivante (ne pas la suivre pour le moment) : 1. démarrer en mode monitoring de la ROM afin de changer la valeur du registre de configuration pour ignorer la startup-config au démarrage ; 2. redémarrer le routeur et laisser l IOS se charger jusqu à obtenir le prompt de la CLI 3. entrer en mode privilégié : la startup-config ayant été ignorée, la running-config (configuration courante) est vierge, sans mot de passe 4. copier la startup-config dans la running-config. Le routeur a maintenant comme configuration courante, celle qu il aurait eu s il n avait pas ignoré la startup-config. La différence est que l on se trouve en mode privilégié, ce qui aurait nécessité de connaître le mot de passe ; 5. changer le mot de passe 6. copier la running-config dans la startup-config. On aura donc simplement changé le mot de passe. 7. modifier le registre de configuration pour démarrer en prenant en compte la startup-config 8. redémarrer le routeur Dans notre cas, nous ne souhaitons pas conserver la configuration du routeur. Nous en ferons cependant une sauvegarde en NVRAM dans le fichier startup-config.defaut. Elle sera utilisée en fin de séance pour remettre en état le routeur. Pour cela, il suffit de remplacer les points 4 et 5 par une sauvegarde de la startup-config. Exercice 7 (réinitialisation du routeur) Nous avons besoin de la valeur du registre de configuration (0xvaleur-en-hexa) relevée précédemment. Assurez-vous de l avoir fait. Cette partie est très délicate. La moindre erreur peut rendre le routeur HS! Faîtes surtout attention lorsque vous modifiez la valeur du registre de configuration (taper lentement, ne pas copier-coller) et dans les noms des fichiers que vous copiez (un mauvais nom et la copie risque d écraser la flash). 1. Entrée en mode monitoring de la ROM et modification du registre de configuration a. Sans quitter minicom, éteindre le routeur et attendre quelques secondes b. Le rallumer et, sur la fenêtre minicom, dès que le routeur affiche : System Bootstrap, Version... taper Ctrl + A puis F pour envoyer un break. Répéter plusieurs fois cette séquence pour être sûr que le routeur reçoive le break au bon moment. Le routeur démarre alors en mode monitoring de la ROM. En fonction du modèle de routeur, différentes invites sont possibles (rommon 1 >, rom 1 > ou simplement >) : 1. recovery09186a shtml INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

14 TP 8-9 Réseaux Version du 3/5/ /54 System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1) TAC Support: Copyright (c) 2003 by cisco Systems, Inc. PC = 0xfff0c93c, Vector = 0x500, SP = 0xff0027a0 PC = 0xfff0c93c, Vector = 0x500, SP = 0xff C1700 platform with Kbytes of main memory PC = 0xfff0c93c, Vector = 0x500, SP = 0x c monitor: command "boot" aborted due to user interrupt rommon 1 > où les messages en italiques peuvent apparaître quand le routeur reçoit le break c. Taper? puis Entrée à l invite. Il s agit d une demande d aide (synomyme de la commande help), moins élaborée que celle de la CLI. On obtient en résultat une liste de commandes disponibles dans ce mode. Elle dépend du matériel. En voici un extrait en exemple : rommon 1 >?... confreg... dev dir... help... meminfo... reset... tftpdnld... rommon 2 > configuration register utility list the device table list files in file system monitor builtin command help main memory information system reset tftp image download d. Modifier la valeur du registre de configuration pour empêcher le chargement de la startup-config au démarrage. La commande de modification et la valeur à lui affecter dépendent du modèle : Pour un CISCO séries 1700 ou 2600 : rommon 2> confreg 0x2142 Pour un CISCO série 2500 : rommon 2> o/r 0x0142 Dans les deux cas, le routeur répond par un message indiquant qu il faut redémarrer pour que cela ait un effet : You must reset or power cycle for new config to take effect e. On peut maintenant redémarrer le routeur en tapant : C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

15 15/54 Version du 3/5/2011 TP 8-9 Réseaux Pour un CISCO séries 1700 ou 2600 : rommon 3> reset Pour un CISCO série 2500 : rommon 3> i et le routeur redémarre aussitôt. 2. Sauvegarde et écrasement de la startup-config a. En ignorant la startup-config, le routeur a démarré avec une running-config vierge. Il est susceptible de demander : --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: ce à quoi, répondre no Ici, le routeur indique les réponses possibles entre crochets "[yes/no]". Quand il n en propose qu une, c est celle par défaut qui est retenue si on ne tape que sur Entrée. Faites attention de bien répondre "no" à cette question car selon l IOS, il se peut que la proposition soit "[yes]". Si vous entrez par mégarde dans le dialogue de configuration, éteignez le routeur et attendre quelques secondes pour le rallumer. b. À l invite du mode utilisateur (user mode), taper enable puis Entrée pour passer en mode privilégié : Router>enable Le mot de passe n est pas demandé car il n existe pas. On peut observer qu on est bien en mode privilégié car le prompt se termine maintenant par # : Router# c. Visualiser la configuration courante en tapant : Router#show running-config Building configuration... Current configuration : 623 bytes!! Last configuration change at 02:36:48 UTC Thu Apr ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption! hostname Router... L affichage de la configuration est paginé, comme tous les affichages excédant 25 lignes. INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

16 TP 8-9 Réseaux Version du 3/5/ /54 d. Copier la startup-config dans la NVRAM en nommant la copie startup-config.defaut : Router#copy startup-config nvram:startup-config.defaut e. Écraser la startup-config par copie de la configuration courante vierge en tapant : Router#copy running-config startup-config Destination filename [startup-config]? Entrée Building configuration... [OK] i La commande ci-dessous aurait eu le même effet : Router#write memory 3. Restauration de la valeur du registre de configuration a. Passer en mode de configuration globale en tapant : Router#configure terminal Enter configuration commands, one per line. Router(config)# End with CNTL/Z. b. Restaurer la valeur du registre de configuration en tapant : Router(config)#config-register 0xvaleur-en-hexa où 0xvaleur-en-hexa est la valeur du registre de configuration, relevée au cours de l exercice 6, page 12 c. Taper Ctrl + Z ou exit pour quitter le mode de configuration globale et revenir au mode privilégié 4. Redémarrage a. Vérifier que le registre a bien été changé en tapant : Router#show version Qu est-ce qui confirme que le registre a été modifié? b. Puis redémarrer le routeur en tapant : Router#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] Entrée c. Après le redémarrage, entrer en mode privilégié et faire afficher la configuration courante : Router>enable Router#show running-config C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

17 17/54 Version du 3/5/2011 TP 8-9 Réseaux Si un mot de passe vous est demandé pour entrer en mode privilégié, c est que vous avez sûrement omis de copier précédemment la running-config dans la startup-config (étape 2.e). Vous devez reprendre l exercice à zéro! (eh oui, il faut bien lire l énoncé...) Le routeur est maintenant réinitialisé. III.3 Relevé d informations complémentaires Nous avons obtenu précédemment les informations principales sur le routeur. Nous allons pousser un peu plus nos connaissances sur celui-ci, notamment sur ses espaces de stockage ainsi que sur ses interfaces réseau. III.3.A Les espaces de stockage Le routeur possède 2 espaces de stockage (voir DP, section 2.IV, page 10) : la flash (pour les images IOS), et la NVRAM (pour la startup-config). Nous allons relever leur contenu. Exercice 8 (exploration de la flash et de la NVRAM) 1. En mode privilégié, afficher le contenu de la flash. Noter sa taille ainsi que l espace disque encore libre (en ko) : Router#dir flash: 2. Faire de même avec la NVRAM : Router#dir nvram: 3. Histoire de bien se rappeler de la commande, visualiser à nouveau la configuration actuelle (celle actuellement dans la RAM du routeur) en tapant : Router#show running-config ou en abrégé, simplement : sh run 4. Visualiser le fichier startup-config (le fichier de configuration enregistré sur la NVRAM et chargé lors du démarrage de IOS), en tapant l une de commandes suivantes : Router#show startup-config ou en abrégé, simplement : sh start 5. Faire afficher le contenu du fichier startup-config.defaut en tapant : Router#more nvram:startup-config.defaut 6. Effacer le fichier startup-config de la NVRAM en tapant (et en confirmant) : Router#delete nvram:startup-config Delete filename [startup-config]? Entrée Delete nvram:startup-config? [confirm] [OK] INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

18 TP 8-9 Réseaux Version du 3/5/ /54 i La réinitialisation d un espace de stockage se fait avec la commande erase. Elle peut aussi être utilisée pour supprimer un fichier donné en paramètre, mais ce n est pas recommandé car une mauvaise utilisation peut être irreversible, ce qu on remarque dans les messages affichés : Router#erase startup-config Entrée Erasing the nvram filesystem will remove all files! Continue? [confirm] [OK] Erase of nvram: complete enonce_tpcisco_reseauxys-7-nv_block_init: Initialized the geometry of nvram 7. Essayer d afficher le contenu du fichier startup-config. En réalité, il n a pas été effacé mais simplement réduit à son strict minimum (il aurait été vidé en utilisant erase) : Router#sh start Using 5 out of bytes end 8. La configuration actuelle (running-config) est encore dans la RAM. La sauvegarder en écrasant le fichier startup-config : Router#copy run start Router#sh start (abréviation de copy running-config startup-config) (pour vérifier) III.3.B Information sur les interfaces réseau Les informations sur les interfaces réseau du routeur peuvent être obtenues en mode utilisateur ou privilégié en utilisant la commande show interfaces. Les informations affichées sont de différentes natures et relatives à différentes couches du modèle OSI. Exemple Router>show interfaces FastEthernet0 is up, line protocol is down Hardware is Lance, address is e.0320 (bia e.0320) MTU 1500 bytes, BW Kbit, DLY 100 usec, rely 255/255, load 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00, Keepalive set (10 sec) Auto-duplex, Auto Speed, 100BaseTX/FX... Serial0 is administratively down, line protocol is down (disabled) Hardware is HD64570 MTU 1500 bytes, BW 128 Kbit, DLY usec, rely 255/255, load 1/255 Encapsulation HDLC, loopback not set, keepalive set (10 sec)... Ethernet0 is administratively down, line protocol is down (disabled) Hardware is Lance, address is b1.a82d (bia b1.a82d) MTU 1500 bytes, BW Kbit, DLY 1000 usec, rely 255/255, load 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 10BaseT... C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

19 19/54 Version du 3/5/2011 TP 8-9 Réseaux Il y a un paragraphe par interface, chacun commençant par le nom IOS de l interface. Ce nom a la forme générale : type[slot/]numéro où type est le type d interface, slot est le numéro du slot d extension et numéro est le numéro de l interface (sur la carte). La partie slot/ ne figure pas forcément, notamment lorsqu il n y a qu une interface sur la carte d extension. Les informations particulièrement intéressantes sont encadrées. Elles diffèrent selon le type de l interface. Sur cet exemple, on déduit qu il y a 3 interfaces réseau : FastEthernet0 : interface Ethernet (numéro 0) activée (up), mais le câble réseau est débranché (line protocol is down). Son adresse MAC figure après address où il faut enlever le premier 00. Au format standard, cette adresse est donc 02:16:3e:03:20. La partie bia... donne la véritable adresse MAC de l interface, car on peut lui demander d en utiliser une autre. Le MTU utilisé est 1500 octets et le débit maximum (BW pour BandWidth) de l interface est de 100 Mbit/s. Enfin, l interface est du type 100BaseTX/FX, actuellement configurée pour négocier le duplex et le débit (Auto-duplex, Auto Speed). Serial0 : interface série (numéro 0) désactivée (administratively down) ce qui fait que la liaison l est aussi (line protocol is down (disabled)). Elle n a pas d adresse MAC. Le MTU utilisé est 1500 et son débit maximum est 128 Kbit/s Ethernet0 : interface Ethernet (numéro 0) 10Base-T désactivée, en half-duplex, d adresse MAC 01:63:b1:a8:2d, de MTU 1500 et de débit max 10 Mbit/s. On note une différence de débit max avec la FastEthernet. i Si l on connecte l interface FastEthernet0 à un équipement réseau actif (hub, switch), un message d information apparaît notifiant l événement : %LINEPROTO-5-UPDOWN : Line Protocol on Interface FastEthernet0/0, changed state to up. Un message similaire est affiché si la liaison est coupée. Les différentes interfaces et cartes éventuelles dont disposent vos routeurs sont recensées dans DP, section 2.II, page 7 et section 2.III, page 8. Les noms IOS des interfaces peuvent aussi être abrégés. Par exemple, on pourra utiliser : fa0 à la place de FastEthernet0 e0 à la place de Ethernet0 s0 à la place de Serial0 fa0/0 à la place de FastEthernet0/0 etc. Exercice 9 (découverte des interfaces) 1. Utiliser la commande show interfaces pour afficher les informations sur les interfaces de votre routeur. Vous pouvez limiter les informations affichées en ajoutant le nom de l interface à la commande. Par exemple : Router#show interfaces nom-interface Router#sh int e0 (en abrégé pour Ethernet0) INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

20 TP 8-9 Réseaux Version du 3/5/ /54 2. En vous basant sur les informations relevées à l exercice 5, page 7, associer les interfaces physiques aux noms IOS et remplir le tableau suivant, avec une ligne par interface : nom sur le routeur nom IOS type débit max MTU adresse MAC si Ethernet Vérifier que toutes les interfaces (du moins celles susceptibles d être utilisées) sont intégrées dans la configuration initiale (qui a été automatiquement créée par le routeur) : Router#show running-config Router#show startup-config III.4 Configurations élémentaires du routeur La première action de l administrateur sérieux doit être la configuration d un mot de passe pour protéger l accès au mode privilégié de la CLI, ainsi que la désactivation des services et interfaces inutiles. Comme nous avons pu le constater précédemment, le mot de passe n est pas une sécurité absolue, mais il ajoute un certain degré de sécurité et rend beaucoup plus difficile tout accès non autorisé. Ne pas mettre un mot de passe est grossièrement négligent. III.4.A Protection du mode privilégié par un mot de passe L IOS CISCO actuel prend en compte deux types de mots de passe : secret et password. Pour des raisons de sécurité, les nouveaux IOS n utilisent en principe que le mot de passe secret (appelé aussi enable secret) qui est crypté dans la configuration. Pour des raisons de compatibilité le mot de passe password existe toujours mais est enregistré en clair. Les mots de passe se définissent dans le mode de configuration globale. Le mot de passe secret est défini par la commande : Router(config)#enable secret secret-password où secret-password est le mot de passe que l on veut donner. Pour rester compatible avec certaines fonctionnalités IOS et avec des anciens versions d IOS, nous devons également configurer le mot de passe password avec la commande : Router(config)#enable password normal-password où normal-password est le mot de passe que l on veut donner. Exercice 10 (Protection de la console) 1. Sur la CLI, passer en mode de configuration globale. À partir du mode utilisateur, il faut d abord passer en mode privilégié puis en mode de configuration globale : Router>enable Router#configure terminal Router(config)# C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

21 21/54 Version du 3/5/2011 TP 8-9 Réseaux 2. Utiliser les commandes adéquates pour : spécifier mypassword1 comme mot de passe normal spécifier mypassword2 comme mot de passe secret N utilisez pas d autres mots de passe, cela compliquerait le TP suivant. 3. Taper CTRL + Z ou exit pour revenir au mode privilégié 4. Sauvegarder la nouvelle configuration en tapant : Router#copy running-config startup-config et en confirmant la sauvegarde 5. Puis revenir au mode utilisateur en tapant : Router#exit 6. Vérifier le mot de passe (secret). Pour cela, passer à nouveau en mode privilégié et entrer le mot de passe secret lorsqu il vous est demandé : Router>enable Password: Router# 7. Faire afficher la configuration actuelle du routeur avec la commande show running-config (ou sh run en abrégé). Quelle est la différence évidente entre les deux mots de passe? III.4.B Désactivation de services et interfaces inutiles De nombreux services sont activés par défaut sur les routeurs (et les commutateurs) CISCO. Certains sont très utiles, mais d autres sont au contraire gênants ou peuvent s avérer dangereux pour la sécurité des routeurs. Le fait de désactiver un service permet d éviter qu il soit attaqué par un pirate qui en exploite une faille. D autres services facilitent la vie des pirates, comme le protocole CDP (CISCO Discovery Protocol) qui liste les périphériques CISCO voisins. De nombreux sites sur Internet recensent les failles rencontrées sur les différentes versions du CISCO IOS. La désactivation de services inutiles réduit aussi la consommation mémoire et processeur, rendant le routeur plus performant. A priori, voici une liste de services à désactiver (dont certains seront réactivés plus tard) : les services réseaux basiques (echo, discard, chargen,...) les services BOOTP, FINGER, HTTP et CDP le service de configuration à distance le service Source Routing la résolution DNS qui, dans un premier temps, peut s avérer gênante INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

22 TP 8-9 Réseaux Version du 3/5/ /54 auxquels il faudrait ajouter la désactivation des interfaces inutilisées, surtout si elles sont câblées. La désactivation de ces services se fait en mode de configuration globale, en tapant les commandes suivantes : Router(config)#no cdp run Router(config)#no aaa new-model Router(config)#no service pad Router(config)#no ip bootp server Router(config)#no ip finger Router(config)#no ip http server Router(config)#no ip source-route Router(config)#no ip proxy-arp Router(config)#no ip redirectes Router(config)#no ip domain-lookup Exercice 11 (désactivation des services inutiles) 1. Se placer en mode de configuration globale et utiliser les commandes précédentes afin de désactiver les services inutiles. i Certains sont peut-être déjà désactivés. D autres ne sont peut-être pas reconnus, ce qui provoque une erreur sans gravité. Cela dépend du modèle du routeur et de la version du IOS. 2. En mode privilégié, vérifier les modifications en faisant afficher la running-config. Vérifier aussi que les interfaces réseaux sont désactivées (shutdown) 3. Puis, sauvegarder la configuration : Router#copy run start Préférer cette écriture abrégée à l écriture de la commande complète. Cela vous évitera de votre tromper sur les noms des fichiers et de risquer d écraser la Flash! III.4.C Changer le nom du routeur Le changement du nom du routeur se fait avec la commande hostname en mode de configuration globale. Bien que cela ait peu d intérêt dans notre cas, ce changement modifie le prompt ce qui est permet à un adminsitrateur, qui se connecte à distance sur différents routeurs, de se repérer plus facilement. Exercice 12 (changement du nom du routeur) En mode de configuration globale, utiliser la commande suivante pour changer le nom du routeur (et qui figurera sur le prompt) : Router(config)#hostname nom-routeur où nom-routeur est le nom à donner au routeur. Indiquer dans son nom votre numéro de groupe et de binôme : par exemple, TPGW-G1-B3 pour le binôme 3 du groupe 1. C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

23 23/54 Version du 3/5/2011 TP 8-9 Réseaux IV Conception Réseau Exercice 13 (conception réseau) 1. Situer votre routeur et votre réseau local (LAN) sur le schéma réseau de la figure 3 page Choisir comme interface LAN du routeur, celle qui admet le plus grand débit. En effet, l essentiel du trafic réseau est local dans un LAN. L interface WAN du routeur sera l une de ses autres interfaces Ethernet. On reviendra sur ce choix en cas d impossibilité technique. 3. Dans le LAN, l adresse à attribuer au routeur doit être la plus grande possible, alors que celle du PC A doit être la plus petite 2. Côté WAN (réseau commun aux binômes), cette adresse doit être x où x est votre numéro de binôme. Sur le schéma réseau, noter les adresses à attribuer au routeur et au PC A. Indiquer pour le routeur le nom IOS des interfaces associées. Noter ces informations dans le rapport. 4. Écrire les tables de routage (contenant les colonnes destination, masque et routeur) que doivent posséder le PC A et le routeur pour accéder à Internet. Pour le moment, nous ignorerons les réseaux des autres binômes. Aussi, vous pouvez omettre les réseaux adjacents et la boucle locale (loopback) dans ces tables. En effet, comme pour tous les systèmes (IOS CISCO, Linux, Windows), ces entrées spécifiques sont créées automatiquement lors de l activation de l interface en consultant sa configuration IP. Penser à la route par défaut (IP et masque ) pour le routage direction Internet (WAN). V Configurations Réseau V.1 Interface WAN du routeur En principe, les interfaces du routeur sont toutes inactives (down). Avant de les activer, il faut les configurer. Pour l heure, nous allons configurer l interface WAN du routeur (voir figure 2). La configuration et l activation d une interface se fait dans le mode de configuration de l interface (voir DP, section 3.I.D, page 14). Il faut spécifier le nom IOS de l interface pour entrer dans ce mode : Router>enable Router#configure terminal Router(config)#interface nom-interface Router(config-if)# On doit configurer l interface aux niveau 1-2 (Ethernet) et 3 (IP). Aux niveaux 1 et 2, nous devons prendre en considération le matériel que nous utilisons : différents types de hub/switch (10 Mbit/s en half-duplex, FastEthernet en full-duplex) différentes interfaces des routeurs (FastEthernet 100Base-TX full-duplex ou à auto-négociation, Ethernet 10Base-T half-duplex ou full-duplex) 2. Il s agit d une restriction de l énoncé car on peut attribuer n importe quelle adresse valide à n importe quel équipement du réseau, si elle n est pas déjà utilisée. INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

24 TP 8-9 Réseaux Version du 3/5/ /54 réseau Ethernet d accès vers Internet d adresse /8 et commun à tous les binômes routeur (NAT/PAT) d accès vers Internet IP WAN routeur du binôme routeurs des réseaux des autres binômes Internet FIGURE 2 Côté WAN du routeur L idéal est que les interfaces du routeur fonctionnent au mieux de leurs capacités : à leur plus haut débit et en full-duplex si possible. Alors que les cartes réseau modernes détectent les caractéristiques de la liaison Ethernet et s adaptent à cette liaison, ce n est pas le cas de la plupart des cartes de nos routeurs. Il est nécessaire d adapter les caractéristiques physiques des interfaces Ethernet (802.3i) et FastEthernet (802.3u) à l équipement utilisé. Pour cela, nous disposons de commandes pour la configuration de niveaux 1 et 2 dans le mode configuration de l interface : i Selon l interface (et l IOS), certaines de ces commandes peuvent ne pas être disponibles. Les caractéristiques correspondantes sont alors non modifiables. Configurations de niveaux 1 et 2 : Router(config-if)#speed débit pour fixer le débit de la liaison. Dans notre cas, débit vaut 10 ou 100 voire même auto. Utiliser l aide de la CLI pour voir les paramètres disponibles ; Router(config-if)#full-duplex pour gérer la liaison en full-duplex Router(config-if)#half-duplex pour gérer la liaison en half-duplex Router(config-if)#no shutdown pour activer la liaison. Cela a pour effet de rendre l interface administrativement active (up) et d esssayer de rendre la liaison opérationnelle (up). C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence

25 25/54 Version du 3/5/2011 TP 8-9 Réseaux Configurations de niveau 3 (IP) : Concernant la configuration de niveau 3 (IP), nous devons lui attribuer une adresse IP et spécifier l adresse broadcast sur le réseau correspondant. Pour cela nous disposons des commandes (toujours en mode de configuration de l interface) : Router(config-if)#ip address adresse masque où adresse est l adresse IP de l interface et masque est son masque de sous-réseau en notation décimale pointée ; Router(config-if)#ip broadcast-address adresse-broadcast où adresse-broadcast est l adresse IP de broadcast sur le réseau de l interface Vérifications : Une fois une interface configurée et active, on peut vérifier que tout fonctionne correctement en utilisant la commande ping (echange de messages ICMP de type ECHO) dans le mode privilégié ou utilisateur en spécifiant l adresse IP (ou le nom) d une station (ou routeur) connectée à ce réseau : Router#ping adresse-cible où adresse-cible est l adresse de la station cible. En retour on obtient un taux de réponse pour l envoi de 5 messages ICMP ECHO REQUEST. Si ce taux est nul, il y a un problème quelque part. i N oubliez pas d utiliser l aide contextuelle de la CLI pour voir à chaque fois les paramètres possibles. Exemple Supposons que l on connecte une interface FastEthernet 10/100Base-TX côté WAN (ce qui est peu probable vous concernant). Supposons que le réseau a pour adresse /24. Dans un premier temps, on va configurer l interface aux niveaux 1 et 2 : Router#show interfaces FastEthernet0 FastEthernet0 is administratively down, line protocol is down Hardware is PQUICC_FEC, address is ca.ffb5 (bia ca.ffb5) MTU 1500 bytes, BW Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto Speed, 100BaseTX/FX... on voit que l interface est inactive et doit pouvoir négocier la vitesse et le mode duplex. INFO - IUT Aix-en-Provence C. Pain-Barre, A. Meyer et F. Dumas, 2010

26 TP 8-9 Réseaux Version du 3/5/ /54 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface FastEthernet0 Router(config-if)#no shutdown Router(config-if)#exit *Apr 17 09:46:51.895: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up Router(config)# *Apr 17 09:46:59.643: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet Router(config)#exit Router# *Apr 17 09:47:09.739: %SYS-5-CONFIG_I: Configured from console by console Router#show interfaces FastEthernet0 FastEthernet0 is up, line protocol is up... Half-duplex, 10Mb/s, 100BaseTX/FX... on a juste activé l interface par le no shutodown et laissé la négociation se faire. L interface s est configurée. Cependant, il arrive que la négociation se fasse à la baisse alors qu on aurait pu obtenir des caractéristiques plus importantes. Dans notre cas, le full-duplex est possible et on va l activer! Router#configure terminal Enter configuration commands, one per line. Router(config)#interface FastEthernet0 Router(config-if)#full-duplex Router(config-if)# CTRL + Z Router#sh int fa0 FastEthernet0 is up, line protocol is up... Full-duplex, 10Mb/s, 100BaseTX/FX... End with CNTL/Z. Dans le mode de configuration de l interface, on configure aussi la couche IP avec les paramètres voulus (on aurait pu tout faire à la fois) : Router#conf ter Router(config)#int f0 Router(config-if)#ip address Router(config-if)#ip broadcast-address Router(config-if)# CTRL + Z Router#sh int fa0 FastEthernet0 is up, line protocol is up... Internet address is /24... Router#show ip interface fa0 FastEthernet0 is up, line protocol is up Internet address is /24 Broadcast address is C. Pain-Barre, A. Meyer et F. Dumas, 2010 INFO - IUT Aix-en-Provence