Introduction Réseaux Topologie des réseaux Protocoles Modèles OSI, IEEE, TCP/IP (RE3R11)

Transcription

1 Ingénieur Réseau Apprentissage ESIEE 2011/2012 Intrductin Réseaux Tplgie des réseaux Prtcles Mdèles OSI, IEEE, TCP/IP (RE3R11) Travaux Pratiques Présentatin des TP du mdule Intr Réseau TP1 : Les utils de diagnstic réseau, Cnfiguratin cmmutateur Ethernet Objectifs : Décuvrir les principales cmmandes de test de cnnexin Analyser le trafic sur un réseau lcal Cnfiguratins de base d un cmmutateur Ethernet : Prt Mirrring, Spanning Tree, TP2 : Installatin et Cnfiguratin d un serveur DNS Objectifs : L bjectif de ce TP est d illustrer le cncept et la cnfiguratin du service de nmmage (DNS : Dmain Name System). Dans ce TP, nus allns abrder : Les différents utils qui nus permettent d interrger un serveur DNS La manière dnt les infrmatins de la structure DNS snt cnservées La manière dnt le serveur DNS sert des infrmatins aux différents utilisateurs Le fnctinnement de la réslutin de nms prprement dite Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 Ces deux TP dnnernt lieu à cmpte rendu par binôme à me rendre par mail (catherine.bernard@esigetel.fr.) TP1 avant le 28/09 TP2 avant le 05/10 (merci d indiquer dans l bjet du mail TP ESIEE IR3) Rédactin du cmpte-rendu Chaque TP réalisé dnnera lieu à un cmpte rendu. Le cmpte-rendu est une synthèse du travail effectué pendant la séance. Il vus permet de retenir ce que vus avez appris en effectuant les manipulatins. Un cmpterendu est avant tut un dcument de travail pur vtre usage persnnel. Structure du cmpte-rendu Intrductin, bjectifs du TP Cnclusin, bilan des manipulatins effectuées Précisez vtre envirnnement de travail : matériel, sft, OS utilisés Descriptin des manipulatins effectuées, des tests Attentin à l rthgraphe! Page 1 sur 25

2 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 TP1 : Outils de diagnstic Réseau, Cnfiguratin cmmutateur Ethernet Objectifs : Décuvrir les principales cmmandes de test de cnnexin Analyser le trafic sur un réseau lcal Cnfiguratins de base d un cmmutateur Ethernet Thèmes abrdés: cnfiguratin de base (liaisn série, via http); cnfiguratin des prts : aut-négciatin, débits, activatin, désactivatin analyse de trafic (prt mnitring u SPAN); règles de base de sécurité cnfiguratin du Spanning Tree Thèmes nn abrdés: VLANs, Sécurisatin avancée, administratin SNMP,... Pré-Requis : Mdèle OSI et équipements d intercnnexin Mdèle TCP/IP Adresses MAC et IP Matériel utilisé : Une statin de travail en dual bt (Windws XP/Linux Mandriva) Cmmutateur Cisc (Catalyst 2960) L analyseur de prtcle Wireshark (util pensurce cmpatible Windws, Linux anciennement Ethereal) Dcuments cmplémentaires : Annexe1 : Intrductin Linux Annexe 2 : Cmmutatin Ethernet, Cnfiguratin Cmmutateur Cisc Catalyst 2960 Dcumentatins Cisc : Catalyst 2960 Switch Sftware Cnfiguratin Guide Cisc IOS Release 12.2(25)FX (680 pages!!) Dcuments accessibles depuis le serveur de la salle de TP Durée du TP : 4 heures Remarques préliminaires : Vus effectuerez tutes les manipulatins de cnfiguratin avec le cmpte administrateur (ce qui est nécessaire pur les changements d adresse, etc ). Sus linux, passage en rt par la cmmande su si vus avez uvert la sessin sus un autre cmpte. Attentin, le cmpte administrateur n est à utiliser que quand cela est nécessaire, travailler cnstamment avec ce cmpte administrateur est une véritable faille de sécurité!!! Inutile d être administrateur pur faire du web u de la bureautique! Sus linux Les cnfiguratins se fernt en mde ligne de cmmande. Faites systématiquement une sauvegarde des fichiers initiaux avant de les mdifier (cp fichier.cnf fichier_ld.cnf). La mdificatin d un fichier de cnfiguratin d un serveur u service impse de relancer ce service. /etc/init.d/serviced start u restart /etc/init.d/serviced stp /etc/init.d/serviced status u avec la cmmande : service nm_du_service status start restart stp (tuche de cmplétin qui fnctinne avec le nm du service, utile si vus avez ublié le nm exact du service) Pensez à utiliser le man pur vus aider dans vs cnfiguratins. Page 2 sur 25

3 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 1. Présentatin de Wireshark Il existe d autres analyseurs de trames puvant être lancé depuis un terminal sans interface graphique spécifiques : TCPDUMP et IPTRAF qui snt deux de ces analyseurs de trames très simples. N hésitez pas à les tester... REMARQUE : Wireshark était cnnu dans les versins précédentes sus le nm de Ethereal, la dernière versin a juté ntamment des fnctinnalités pur «l écute» de réseaux Wi-Fi. Wireshark est aujurd hui un util largement utilisé aussi bien dans le cadre d administratin réseau (réslutin de prblèmes réseaux), dans l examen de prblèmes liés à la sécurité, dans le «débuggage» d implémentatin de prtcles, u tut simplement cmme util permettant de cmprendre le fnctinnement des réseaux. Jusqu à 602 prtcles puvant être analysés Prjet démarré en 1998 (anciennement Ethereal), Wireshark intègre aussi des utils pur l analyse VIP, de réseaux sans fil... Caractéristiques :. Fnctinne sus Windws u Unix (Linux) Capture des trames en live depuis l interface réseau Affichage des trames avec des infs sur les prtcles Imprt et exprt de captures de data venant d autres prgrammes Pssibilité de mettre en place des filtres seln différents critères Créatin de statistiques Figure 1 : Fenêtre de lancement de capture sus Wireshark Page 3 sur 25

4 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 Le résultat d une capture se présente sus la frme d un fichier «décupé» en tris parties : - Partie supérieure dnnant la liste des trames capturées (indicatins temprelles par rapprt aux émissins de trames, adresses surce, destinataire, physique u lgique suivant le type de trame, prtcle, infs sur le type de trame) ; - Partie du milieu permettant d avir le détail des différents champs d une trame (il suffit pur cela de se psitinner sur la trame suhaitée) ; - Partie inférieure dnnant la trame en Hexa avec la crrespndance ASCII. Figure 2 : Résultats de l analyse de trame Le menu statistiques permet d avir un certain nmbre d infrmatins quant au fnctinnement de sn réseau : quel type de trafic en majrité, «qui parle avec qui» N hésitez pas à tester l ensemble de ces fnctinnalités. Page 4 sur 25

5 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 En utre, vus puvez mettre en place des fnctins de filtrage. Par un clic sur le butn appelé «filter» u depuis le menu «Capture», vus accédez à la bîte de dialgue dédiée à la cnstructin de filtres d affichage (vir figure 3). Vus puvez aussi cmpser un filtre directement en le tapant dans la fenêtre à drit de «filter», u en chisir un prédéfini. Le filtre est activé en cliquant sur le butn «apply». Pur lancer une capture, sélectinnez Start dans le menu Capture. La fenêtre Optins de Capture s affiche (figure 3). Elle vus permet de définir les ptins à utiliser lrs de la capture : interface sur laquelle est réalisée la capture, utilisatin d un filtre de capture, limitatin du nmbre de paquets capturés, durée de la capture, réslutin de nm à l affichage. N hésitez pas à cnsulter la dc en ligne Mde pératire : Vus travaillerez en tant qu administrateur. Pur tutes les manipulatins, sélectinnez l ptin Update list f packets in real time afin que les paquets s affichent en temps réel sur la fenêtre du haut. Figure 4 : Les ptins de capture Page 5 sur 25

6 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 2. Etude des prtcles du LAN Vus dispsez de tut un ensemble de cmmandes qui permettent de tester la cnnectivité de vtre machine. Certaines cmmandes snt spécifiques à Windws u Linux (ipcnfig pur Windws et ifcnfig pur Linux), d autres snt générales (ping, arp). Ces cmmandes sus Windws snt accessibles depuis l invite de cmmande u depuis un terminal sus Linux. Pur btenir de l aide sur les cmmandes, sus Windws il suffit de taper dans l invite cmmande h, u help cmmande, u encre cmmande /?. Vus aurez ntamment accès à la liste des ptins utilisables avec la cmmande. Sus Linux, utilisez les pages man (tapez depuis vtre terminal man «nm de la cmmande»). Utiliser largement ces fnctins! Pur l utilisatin de Wireshark, penser à utiliser les filtres facilitant la lecture des trames générées. a) Paramètres IP de vtre machine Relever les paramètres Réseaux de vtre machine : Adresse IP Adresse de la passerelle IP Adresse du DNS Les cnfiguratins pur le DNS snt visibles dans le fichier reslv.cnf. Que désigne la «passerelle par défaut»? Dnner l adresse du réseau auquel appartient vtre machine? Quelle cmmande utilisez-vus pur récupérer ces paramètres? La cmmande netstat permet de cnnaître les prts en écute sur vtre machine, sur quelles interfaces, avec quel prtcle de transprt (TCP u UDP), les cnnexins actives et les rutes. Tester les différentes ptins vus permettant d btenir ces infrmatins. Afficher la table de rutage, les infrmatins relatives à vtre interface réseau. Quels snt les services «turnant» sur vtre machine? b) La cmmande ping La cmmande ping est une cmmande fndamentale du test de cnnectivité de vtre statin. Elle repse sur le prtcle de niveau 3 ICMP (Internet Cntrl Message Prtcl), une nrme TCP/IP définie dans la RFC 792. Il permet aux hôtes et aux ruteurs qui cmmuniquent par le prtcle IP de faire état des erreurs de cnnectivité et d échanger des infrmatins sur l'état du réseau. Par exemple, les messages ICMP snt généralement envyés autmatiquement lrsqu un paquet IP ne peut pas atteindre sa destinatin (qui est décnnectée du réseau par exemple). Les messages ICMP snt encapsulés et envyés dans les datagrammes IP, cmme le mntre la figure suivante : Figure 5 : Encapsulatin des messages ICMP dans un paquet IP Page 6 sur 25

7 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 Différents types de messages ICMP snt identifiés dans l'en-tête ICMP. Les messages ICMP les plus curants snt listés et décrits dans le tableau suivant. Message ICMP Ech request (requête d'éch) Ech reply (répnse d'éch) Destinatin unreachable (destinatin inaccessible) Surce quench (extensin de surce) Redirect (redirectin) Time exceeded (dépassement de la temprisatin) Descriptin Détermine si un nœud IP (un hôte u un ruteur) est dispnible sur le réseau. Répnd à une requête d'éch ICMP. Infrme l'hôte qu'un datagramme ne peut pas être livré. Infrme l'hôte pur réduire la vitesse à laquelle il envie les datagrammes (risque de cngestin). Infrme l'hôte d'un itinéraire préféré. Indique que la durée de vie TTL (Time-t-Live) d'un datagramme IP a été dépassée. La syntaxe de la cmmande ping est : ping adresse_ip u ping nm de machine d un dmaine. Tester le rebuclage lcal en tapant ping A qui peut servir le ping en buclage lcal? Effectuer un ping lcal, sur la machine du binôme visin. La répnse vus est présentée sus frme de clnnes. Que cntient chaque clnne? Visualiser le cache ARP de vtre machine. Qu bserver-vus? Testez un secnd ping vers une autre machine, cmment a évlué vtre cache? Purqui la sauvegarde est-elle tempraire? Cnfigurez vtre ping pur que la taille des paquets sit plus imprtante? Dans quel cas est-il intéressant d envyer des paquets de taille plus imprtante? Vus allez maintenant vérifier vtre cnnectivité avec l extérieur. Tester un ping sur Quelle est l adresse IP du serveur Ggle cntacté? Cmment vtre machine l a-t-elle btenue? Les valeurs de temps renvyées snt-elles identiques pur chaque paquet ICMP Ech émis? Purqui? Utiliser Wireshark pur bserver les mécanismes d encapsulatin mis en jeu dans le cas de la cmmande ping? Observer les adresses MAC et IP utilisées dans le cas d un ping vers une machine du réseau, puis un ping vers une adresse web. Observer une trame ARP. Quelles snt les adresses surce et destinatin? c) La cmmande tracerute Tester la cmmande tracerute -I par exemple. Quel est le nmbre de ruteurs traversés par les paquets? Auriez-vus pu prévir ce résultat? Cmment le système btient-il les URL crrespndant à ces adresses IP? Observer les temps de répnse btenus successivement de chaque ruteur sur le chemin. Cmmentez. Est-n sûr de retruver le même chemin si l n recmmence l expérience quelques minutes plus tard? Utiliser Wireshark pur cmprendre le mécanisme utilisé par la cmmande tracerute. d) La cmmande nslkup/dig Tester la cmmande nslkup pur la réslutin de nm de par exemple. Quelles infrmatins vus snt renvyées? Tester la cmmande dig. Sans aucun argument à la cmmande dig, quelles infs vus snt néanmins furnies? Dans le cas de la réslutin de nm de quelles infrmatins supplémentaires vus apprte cette cmmande? Observer à partir de Wireshark une requête DNS. Quel prtcle de niveau transprt est utilisé? Purqui? Page 7 sur 25

8 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 e) Test d une cnnexin sur le web Lancer une capture de trames. Cnnecter-vus à un site de vtre chix et dnner l ensemble des trames qui nt été générées par cette cnnexin. Représenter l ensemble de ces trames, en précisant les adresses MAC et IP émetteur et destinataire. Analyser les différents champs de la cnnexin TCP. Quel est le prtcle de transprt utilisé dans le cas d une cnnexin web? Le prtcle de niveau transprt utilisé par le prtcle d envi des messages vus paraît-il bien chisi? Purqui? Quel est le numér de prt pur accéder à une applicatin web? Wireshark prpse un util nmmé, Fllw TCP stream (menu Tls). Sélectinner un segment TCP et activer l util Fllw TCP stream. Vus visualisez le cntenu de la sessin TCP dans sa ttalité. A l aide des menus au bas de la fenêtre, pur puvez afficher la ttalité u un seul sens du dialgue. Retenir cet util bien pratique N hésiter pas à tester l ensemble des utils qui snt mis à dispsitin. f) Nmap Nmap ( Netwrk Mapper ) est un util pen surce d'explratin réseau et d'audit de sécurité. Il a été cnçu pur rapidement scanner de grands réseaux, mais il fnctinne aussi très bien sur une cible unique (surce : Infrmatins furnies par Nmap : quels snt les hôtes actifs sur le réseau? tables de prts intéressants nms DNS (reverse DNS) quels services (y cmpris le nm de l'applicatin et la versin) que ces hôtes ffrent? quels systèmes d'explitatin (et leurs versins) ils utilisent? le type de matériel u les adresses MAC quels types de dispsitifs de filtrage/pare-feux snt utilisés?... Nmap est généralement utilisé pur les audits de sécurité mais de nmbreux gestinnaires de systèmes et réseaux l'apprécient pur des tâches de rutine cmme les inventaires de réseau, la gestin des mises à jur planifiées u la surveillance des hôtes et des services actifs. Nus allns utiliser ici cet util pur tester les services de machines de la salle, u de machines particulières. Cnnecté sus Linux, vus puvez déjà regarder les services et prts assciés qui figurent dans /etc/services. Effectuer les tests suivants et bservez les trames générées par ces cmmandes : Affichage des hôtes en ligne sur la plage d adresse du réseau auquel vus êtes cnnecté Affichage des services et OS pur ces hôtes Pur un de ces hôtes, affichage des services Scanne sur un prt particulier sur la plage d adresse de vtre réseau Page 8 sur 25

9 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 Optins de la cmmande Nmap Surce : Utilisatin : nmap [Type(s) de scan] [Optins] {spécificatins des cibles} SPÉCIFICATIONS DES CIBLES: Les cibles peuvent être spécifiées par des nms d'hôtes, des adresses IP, des adresses de réseaux, etc. Exemple: scanme.nmap.rg, micrsft.cm/24, ; DÉCOUVERTE DES HÔTES: -sl: List Scan - Liste simplement les cibles à scanner -sp: Ping Scan - Ne fait que déterminer si les hôtes snt en ligne -PS/PA/PU [prtlist]: Décuverte TCP SYN/ACK u UDP des prts en paramètre -PE/PP/PM: Décuverte de type requête ICMP ech, timestamp u netmask -n/-r: Ne jamais résudre les nms DNS/Tujurs résudre [résut les cibles actives par défaut] SPÉCIFICATIONS DES PORTS ET ORDRE DE SCAN: -p <plage de prts>: Ne scanne que les prts spécifiés Exemple: -p22; -p ; -pu:53,111,137,t:21-25,80,139,8080 DÉTECTION DE SYSTÈME D'EXPLOITATION: -O: Active la détectin d'os -v: Rend Nmap plus verbeux Exemples : nmap -v scanme.nmap.rg Cette ptin scanne tus les prts réservés TCP sur la machine scanme.nmap.rg. L'ptin -v active le mde verbeux. nmap -ss -O scanme.nmap.rg/24 Lance un scan furtif (stealth SYN scan) cntre chaque machine active parmi les 255 machines du réseau de classe C sur lequel Scanme réside. Il essaie aussi de déterminer le système d'explitatin sur chaque hôte actif. Cette démarche nécessite les privilèges de rt puisqu'n utilise un SYN scan et une détectin d'os. nmap -sv -p 22,53,110,143, Lance une recherche des hôtes et un scan TCP dans la première mitié de chacun des 255 sus-réseaux à 8 bits dans l'espace d'adressage de classe B Cela permet de déterminer si les systèmes fnt turner sshd, DNS, pp3d, imapd u le prt Pur chacun de ces prts qui snt uverts, la détectin de versin est utilisée pur déterminer quelle applicatin est actuellement lancée. N hésitez pas à cnsulter le man vus dnnant l ensemble des ptins pssibles avec la fnctin nmap. Page 9 sur 25

10 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 3. Cnfiguratin d un Cmmutateur Ethernet Préambule L bjectif de cette partie est dnc d étudier les différentes fnctinnalités d un cmmutateur manageable, et abrder la cnfiguratin minimale de ce type d équipement. Vus serez amené à tester des fnctins plus avancées sur ce cmmutateur pur d autres curs. Le management et dnc la cnfiguratin de ce cmmutateur peut se faire à partir du prt COM u d un prt réseau, sit en ligne de cmmande sit à l aide d un lgiciel de cnfiguratin furni avec le cmmutateur (la plupart du temps utilisant une interface web). L étape de cnfiguratin par prt COM est essentielle puisque cette étape permettra dans un premier temps de cnfigurer vtre cmmutateur pur permettre l accès par le réseau. Dans un premier temps, vus allez dnc faire quelques cnfiguratins de base par prt COM, puis accéder au menu de cnfiguratin en ligne de cmmande via le réseau. Pur ce TP, nus nus limiterns au menu par ligne de cmmande, vus purrez pur d autres TP tester l util graphique de management furni par Cisc. RQ : Le menu par ligne de cmmande est largement utilisé par les administrateurs, même si le menu de cnfiguratin par interface graphique est plus cnvivial, il est plus lurd et pas tujurs utilisable dans vtre envirnnement de travail (vus ne dispsez pas d un navigateur Internet «recnnu» par Cisc). Cnfiguratin des paramètres réseau via prt COM Vus allez d abrd attribuer une adresse IP à ce cmmutateur. Quel est le rôle de cette adresse IP (le cmmutateur reste un équipement de niveau 2)? Cmment chisissez-vus vtre adresse IP? Vus allez cnfigurer le cmmutateur cmme s'il était neuf: Pur cela, suivre les étapes suivantes: 1. Cnnecter un PC au cmmutateur via un câble série (qui se branche sur la face arrière du cmmutateur); 2. Lancer un émulateur de terminal (HyperTerminal sus Windws, Minicm sus Linux...), le cnfigurer en N1. Que signifie ce paramétrage? Brancher alrs vtre cmmutateur. Le système vus prpse de lancer le dialgue de cnfiguratin initial: Cntinue with the cnfiguratin dialg? [yes/n]: Y Répndez ui. 3. Cnfiguratins à partir du menu de cnfiguratin initiale entrer les mts de passes (utiliser tujurs cisc, cisc1). Mettre ce mt de passe partut (le système va se plaindre car ce n'est bien sur pas recmmandé pur la sécurité). RQ : le «enable secret» est le mt de passe du mde super-utilisateur (enable) qui est sauvé sus frme chiffrée, «enable passwrd» est l'ancienne versin du mt de passe sauvée sus frme nn chiffrée qui ne sera utilisée que si l'n démarre le cmmutateur avec une veille versin de l'ios indiquer "vlan1" pur que l'n puisse administrer le cmmutateur à partir du VLAN par défaut (désignant le switch). spécifier une adresse IP à vtre cmmutateur. ATTENTION : Ne pas sauvegarder cette cnfiguratin!!!! Cette première cnfiguratin vus dnne les éléments clefs à cnfigurer pur avir le cmmutateur fnctinnel, mais nus allns revenir aux cnfiguratins de base du cmmutateur à partir du mde privilégié. Page 10 sur 25

11 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 4. Cnfiguratins réseau à partir du mde privilégié (accès par prt COM). Entrer dans le mde Privileged EXEC du cmmutateur. Dnner un nm à vtre cmmutateur et prtègez sn accès via un mt de passe (utilisez le pwd Cisc). Attribuer une adresse IP à vtre cmmutateur. A ce stade de la cnfiguratin, vtre ruteur dispse de deux cnfiguratins. La première, en mémire vive (RAM) qui est la cnfiguratin curante peut être visualisée au myen de : Switch#shw running-cnfig. La secnde est celle qui sera utilisée en cas de redémarrage qui peut être visualisée au myen de : Switch#shw startup-cnfig. Pur afficher la cnfiguratin de démarrage, il est bligatire d'être en mde privilégié. Si les deux cnfiguratins ne snt pas les mêmes, cpier la cnfiguratin de la RAM vers la NVRAM en tapant : Switch#cpy running-cnfig startup-cnfig. Tester par un ping la cmmunicatin entre vtre pste de travail et le cmmutateur. RQ : Passer les adresses IP de vtre pste de travail en statique afin de garder vs adresses tut au lng des cnfiguratins, puisque vus allez être décnnecté du réseau. Décnnecter vus du mde d accès par prt COM pur accéder maintenant au menu de cnfiguratin de vtre cmmutateur par le réseau. Tester les fnctinnalités du serveur web de cnfiguratin présent sur le switch, mais revenir ensuite au mde de cnfiguratin en ligne de cmmande via la cmmande Telnet Pur lancer un telnet, depuis un terminal sus Linux u l invite de cmmande de Windws, tapez de la machine sur laquelle vus suhaitez vus cnnecter. Test de la sécurité du prtcle Telnet Observez les trames générées lrs la cnnexin par Telnet à vtre cmmutateur ntamment au mment de la cnnexin et de la saisie du lgin et mt de passe. Que puvez vus cnclure (pensez à utiliser la fnctin Fllw TCP stream)? Visualisatin de la table de cmmutatin Quelle cmmande permet de visualiser vtre table de cmmutatin? Quel paramètre détermine la durée de vie des entrées dans la table de cmmutatin, cmment mdifier ce paramètre? Etat des prts Changer les ptins de vitesse, mde de transmissin (full-duplex, half duplex) pur un prt. Quelle cmmande permet d activer/désactiver un prt? Quelle cmmande utiliser pur appliquer ces mdificatins à plusieurs prts à la fis? Truver les ptins vus permettant de récupérer des statistiques sur le trafic de chaque prt. Sécurisatin d un prt Cnfigurer de manière statique une entrée de vtre table de cmmutatin en assciant une adresse MAC à un prt. Que se passe-t-il si cette machine est cnnectée à un autre prt? Vérifier à l aide de Wireshark les messages ICMP échangés au mment des tests. Prt Mirrring Mettre en place d'une fnctin de prt mirrring (SPAN pur les cmmutateurs Cisc). Quel est l'intérêt de cette fnctin et dans quel cas l'utilise-t-n? Tester cette fnctinnalité et vérifier grâce à vtre analyseur de trames sn fnctinnement. Expliquer vtre mde pératire. Page 11 sur 25

12 Ingénieur Réseaux par apprentissage ESIEE TP1 Réseaux mdule RE3R11 - Catherine Bernard v. 15/09/11 Mécanismes de filtrage Cnfigurer vtre cmmutateur de manière à blquer le trafic venant d une machine (tester avec la machine de vs visins). Si vus avez le temps, pussez cette plitique de filtrage en blquant par exemple le trafic HTTP. Cnfiguratin des paramètres de Spanning Tree Pur mettre en œuvre le Spanning Tree, n met en place l architecture suivante. Cmmutateur 1 Cmmutateur 2 * Statin de management Exemple d'architecture pur la cnfiguratin du Spanning Tree * Chaque machine de ce schéma est en réalité une des cartes réseau de vtre pste de travail. Quel est l'intérêt de cette architecture? Justifier la nécessité de cnfigurer le Spanning Tree. Cnfigurer le Spanning Tree sur vtre réseau de srte que le cmmutateur Cisc1 sit le cmmutateur racine. Tester vtre cnfiguratin de Spanning Tree en lançant un ping "en cntinu" et en testant les différents liens. A partir de Wireshark, bserver le fnctinnement de l'algrithme en fnctinnement nrmal pur l'électin du pnt racine, puis en créant une défaillance et en bservant le cmprtement de l'algrithme (bservatin des statistiques, des trames BPDU envyées par chaque statin, etc...) Utiliser la cnfiguratin permettant à la statin de management d bserver le trafic passant sur un des liens entre les deux cmmutateurs Page 12 sur 25

13 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 COMMUTATION ETHERNET CONFIGURATION DU COMMUTATEUR CISCO CATALYST 2960 Préambule : Ce dcument a pur bjectif de vus rappeler les principes clefs de la cmmutatin Ethernet et dnner les cncepts et cmmandes de base permettant la cnfiguratin du cmmutateur Cisc Catalyst 2960 Plan : Smmaire 1. Cmmutatin Ethernet : Rappels de base Présentatin et Cnfiguratin des cmmutateurs Cisc Catalyst Préambule Présentatin du cmmutateur Catalyst Les mdes de cmmande du CLI Cmmandes générales Glssaire : ACL : Access List CLI : Cmmand Line Interface IOS : l OS des équipements mangeables de Cisc (cmmutateur, ruteur) SNMP : Simple Netwrk Mangement Prtcl VLAN : Virtual Lcal Area Netwrk Page 13 sur 25

14 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 1. Cmmutatin Ethernet : Rappels de base Un cmmutateur Ethernet est un équipement de niveau 2 : il manie des trames Ethernet (adresses MAC) sans regarder leur cntenu (par exemple un datagramme IP). Un cmmutateur Ethernet (switch) s'installe cmme un hub. Un hub répète les trames qu'il reçit sur tus ses prts. Un cmmutateur essaie de minimiser les envis inutiles qui gaspillent de la bande passante et génèrent des cllisins. Pur cela, il utilise une table de cmmutatin qui asscie à chaque adresse MAC cnnue le prt par lequel n peut l'atteindre. Afin de simplifier la mise en place du cmmutateur et sn administratin, cette table est apprise autmatiquement durant le fnctinnement. Lrsque l'adresse de destinatin d'une trame n'est pas dans la table, le cmmutateur l'envie sur tus ses prts, sauf celui par lequel elle est arrivée (il se cmprte alrs cmme un hub). Cependant, il nte au passage l'adresse surce de la trame dans sa table. De cette façn, les futurs envis vers cette statin purrnt être ptimisés. Un mécanisme de mise à jur dynamiquement de la table de cmmutatin permet de résudre le prblème des déplacements de statin d'un prt à l'autre (ntin de ageing-time pur les entrées de la table de cmmutatin). Débits, mdes de fnctinnement (full-duplex, half duplex) et autnégciatin : Les réseaux Ethernet filaires ffrent différents débits et différents mdes: half duplex, full duplex. Le supprt utilisé est sit des paires trsadées (TX) sit de la fibre ptique (FX) (histriquement du cax). La cnfiguratin la plus cmmune est de 100Mbit/s sur paires trsadées (100BaseTX). Deux équipements cnnectés ne peuvent cmmuniquer que s'ils utilisent le même mde. Certaines erreurs de cnfiguratin se traduisent par une cmmunicatin pssible mais avec de frts taux d'erreurs u de cllisins (exemple: carte half-duplex cnnectée à cmmutateur full-duplex). En général, n peut sit fixer le mde (débit et duplex) sur chaque équipement, sit utiliser un mécanisme d'autnégciatin (dans ce cas, il faut le spécifier aux deux extrémités). Dans le dute, il est en général cnseillé d'utiliser l'autnégciatin. Les cmmutateurs les plus répandus ffrent en général tus les mdes 10 et 100, et parfis des prts 1000 sur paires trsadées u des lgements pur interfaces fibres ptiques 100 u 1000 Mbit/s. Les cmmutateurs Ethernet dispsent de nmbreuses autres fnctinnalités qui snt abrdées ici rapidement : Agrégatin de lien Cette fnctin permet de regruper lgiquement plusieurs prts afin d augmenter la bande passante. Si un des liens est défaillant, le trafic est réparti alrs sur les liens restants. Figure 1 : Agrégatin de liens Page 14 sur 25

15 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 Mirir de prts Cette fnctin permet de recpier le trafic d un prt sur un autre prt afin de puvir analyser le trafic sur un prt du cmmutateur. RQ : Le prt mirrring crrespnd à la cnfiguratin SPAN pur les cmmutateurs Cisc Figure 2 : Exemple de Prt mirrring Sécurisatin des prts Deux méthdes : asscier à un prt une liste d'adresses MAC autrisées (méthde qui peut devenir lurde par rapprt à la gestin des adresses MAC) authentificatin avec la mise en place de serveur RADIUS (méthde plus cmplexe, mais qui peut être cmbinée avec les services d'annuaires utilisés dans l'entreprise (LDAP pur les envirnnements Linux u Active Directry pur Windws), se dévelppe avec l'intégratin de plus en plus imprtante des utilisateurs nmades) VLAN (Virtual Lcal Area Netwrk) Les VLAN est une segmentatin lgique du réseau cmmuté. Cela permet de sécuriser les échanges et augmenter les perfrmances (bradcasts qui restent dans le VLAN). Les VLAN peuvent être définis par prt u par adresse MAC. Pur cmmuniquer entre deux VLAN divent être reliés par un ruteur (niveau 3). Figure 3 : Illustratin de l utilisatin des VLAN Fnctins de supervisin du trafic et des dysfnctinnements (via SNMP, Simple Netwrk Management Prtcl) Cntrôle de flux : mécanisme permettant d éviter la cngestin au niveau d un prt Spanning Tree : Ce prtcle (STP) est utilisé si l'n chisit de créer des bucles dans le réseau cmmuté (ces bucles permettent par exemple d'avir un lien de backup). Le prtcle de Spanning Tree a pur bjectif d'éviter la recpie multiple de trames (désactive le lien secndaire et en cas de prblème sur le lien principal, cmmutatin vers le lien secndaire alrs activé). Figure 4 : Cnnexins redndantes et Spanning Tree Page 15 sur 25

16 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 Cnfiguratin et administratin d'un cmmutateur La cnfiguratin d'un cmmutateur manageable (il existe des mdèles meilleur marché ffrant mins de fnctinnalités) peut s'effectuer de différentes façns : Mde cnsle sur liaisn série RS232 (Il faut utiliser un câble null mdem et utiliser une cnsle u un émulateur de terminal hyperterminal sus Windws, Minicm sus Linux) Mde cnsle via telnet u ssh (avant de puvir administrer par le réseau, il faut d'abrd se cnnecter sur le prt série pur cnfigurer l'adresse IP du cmmutateur) Serveur HTTP embarqué (interface graphique) Prtcle SNMP (dispsitif de management permetant d'administrer le cmmutateur) RQ : Même si les utils graphiques snt plus cnviviaux, la cnfiguratin en ligne de cmmande est largement utilisée dans le cadre de l administratin de réseau (permet d être indépendant de l envirnnement réseau utilisé, Windws, Linux, du navigateur web utilisé...). 2. Présentatin et Cnfiguratin des cmmutateurs Cisc Catalyst Préambule Cette partie présente les principaux cncepts et cmmandes base pur la cnfiguratin des cmmutateurs CISCO CATALYST Un certain nmbre de cmmandes curantes snt dnné dans ce dcument, ce qui est lin de cuvrir l ensemble des pssibilités du cmmutateur, elles permettent d accéder aux cnfiguratins curantes, pur aller plus lin se référer aux dcumentatins Cisc. Dcuments cmplémentaires : Dcumentatins Cisc : Catalyst 2960 Switch Sftware Cnfiguratin Guide Cisc IOS Release 12.2(25)FX (680 pages!!) Préparatin à la Certificatin Cisc CCNA (CISCO, Installatin, cnfiguratin et maintenance de réseaux) Examen CCNA Editins ENI Référence du cmmutateur : WS-C TT-L, versin d IOS 12.2 (25)FX, 24 prts 10/100 Mbit/s + 2 prts Gbit/s 2.2. Présentatin du cmmutateur Catalyst 2960 La gamme Catalyst 2960 de Cisc est destinée à la cmmutatin d étage dédiée Ethernet 10/100/1000 Mbits/s. Ces cmmutateurs dispsent d une interface de gestin Web furnissant des fnctins d administratin faciles à utiliser via la suite CMS (Cisc Cluster Management Suite) et le lgiciel Cisc IOS intégré. La gamme de cmmutateur Catalyst 2960 est cmpsée de différents mdèles permettant de cmbiner tus les besins en nmbre de prts paires trsadées 10/100 de 12 à 48 prts, et les besins en prts fibres 100FX, Gigabit cuivre, et Gigabit fibre. Remarque : Différences entre les lgiciels Cisc IOS Standard (SI) et Enhanced (EI) Image Les cmmutateurs Catalyst 2960 existent avec deux versins différentes de lgiciel Cisc IOS, permettant ainsi de cuvrir les besins en fnctinnalités des petites, myennes et grandes entreprises à l extrémité de leur réseau (cmmutateurs de bureau). La versin SI ffre les fnctinnalités Cisc IOS basiques pur des dnnées, de la vidé et des services vix sur un réseau, sit les fnctinnalités nécessaires pur la plupart des petites et myennes entreprises. Pur une sécurité encre plus avancée, de la qualité de service encre plus précise et efficace, et de la haute dispnibilité du réseau, la versin EI ffre des services de réseaux intelligents cmme la gestin sphistiquée du trafic, l ptimisatin de la bande passante et le filtrage des utilisateurs et de la sécurité des accès au réseau. Tutes les fnctinnalités présentes dans la versin SI le snt également dans Page 16 sur 25

17 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 la versin EI. Se référer aux dcumentatins Cisc pur cnnaître précisément les différences entre ces deux versins d IOS. Cnventins pur les cmmutateurs Cisc Catalyst 2960 : Une adresse MAC est présentée sus la frme xxxx.xxxx.xxxx (x, valeur en héxa). Un prt (interface) est désigné de la manière suivante : FastEthernet 0/x (slt/numér de prts, slt tujurs à 0 pur la gamme 2960). Menu de cnfiguratin par ligne de cmmande appelé CLI (Cmmand-Line Interface). vlan 1 : vlan par défaut, désigne le cmmutateur. Le mt de passe par défaut est vide Structure matérielle des équipements Cisc Un pint imprtant prte sur le type de mémire utilisée. Le tableau suivant dnne les caractéristiques principales et l utilisatin des différents types d mémires des équipements Cisc. Type de mémire Caractéristiques Cntenu RAM/DRAM Utilisée par le système d explitatin pur maintenir Le système IOS actif, la cnfiguratin le infrmatins durant les fnctinnement active, les tables de rutage, le cache NVRAM (RAM Nn Vlatile) ROM (Read Only Memry) Flash (EPROM, Erasable Prgrammable Read Only Memry) Pallie le prblème de la RAM avec la vlatilité des dnnées. Dnnées dans al NVRAM cnservées même après une cupure électrique. Cntient le cde pur réaliser les diagnstics de démarrage (POST : Pwer n Self Test) ; permet le démarrage et le chargement du système d explitatin cntenu sur la mémire Flash. Mémire effaçable et prgrammable. Utilisée pur maintenir une image et le micr cde d un u plusieurs systèmes d explitatin. ARP, les cmmandes exécutives Fichier de cnfiguratin de démarrage. POST, btsrap, les utils de mise en rute et de démarrage et le système Cisc IOS Cisc IOS Tab.1 : Différents types de mémire dans les équipements Cisc Les fichiers de cnfiguratin : Il existe différents types de fichiers de cnfiguratin. Il y a un fichier de cnfiguratin dans la NVRAM (startup-cnfig), lu au démarrage de l équipement et cpié en mémire RAM/DRAM. Il existe un autre fichier de cnfiguratin dans la mémire vive (running-cnfig). La startup-cnfig est cnservée dans la NVRAM sus frme ASCII. Tandis que la Runningcnfig apparaît dans la RAM sus frme binaire Les mdes de cmmande du CLI Il existe plusieurs mdes de cmmandes principaux : Accès au mde de cnfiguratin en utilisateur (User EXEC) Mde utilisé pur changer les paramètres pur l accès en mde terminal, faires des tests basiques, cnnaître des infrmatins système Accès au mde de cnfiguratin en utilisateur privilégié (Privileged EXEC) Permet d accéder à tutes les cnfiguratins du cmmutateur. A prtéger par un mt de passe. Cnfiguratin glbale Cnfiguratin des interfaces Cnfiguratin des VLAN Pur la cnfiguratin de VLAN, il existe deux mdes de cnfiguratin (cf. pur plus de détails la dcumentatin Cisc) Cnfiguratin des accès ligne de cmmande Page 17 sur 25

18 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 Cmmand Mde Méthde d accès Prmpt Srtir u accéder au mde suivant User EXEC Premier niveau d accès Switch> lgut u quit pur srtir (accès avec mt de passe) enable pur accéder au mde EXEC Privileged EXEC Glbal cnfiguratin Interface cnfiguratin Du mde User EXEC, entrez enable Du mde Privileged EXEC, entrez la cmmande cnfigure Du mde Glbal cnfiguratin, entrez la cmmande interface Cnfig-vlan Du mde Glbal cnfiguratin, entrez la cmmande vlan vlan-id VLAN cnfiguratin Line cnfiguratin Du mde Privileged EXEC, entrez la cmmande vlan database Du mde Glbal cnfiguratin, spécifiez la cmmande en ligne utilisée (telnet, cnsle..) et entrez la cmmande line vty u line cnsle Switch# Switch(cnfig)# Switch(cnfig-if)# Switch(cnfig-vlan)# Switch(vlan)# Switch(cnfig-line)# Tab. 2 : Les différents mdes de cmmande privileged disable pur srtir cnfigure pur entrer dans le mde Glbal cnfiguratin exit u end u ctrl-z pur srtir (retur au mde Privileged EXEC) interface pur entrer dans le mde Interface cnfiguratin end u ctrl-z pur srtir (retur au mde Privileged EXEC) exit pur srtir (retur au mde Glbal cnfiguratin) interface nm_de_l interface pur cnfigurer une interface spécifique end u ctrl-z pur srtir (retur au mde Privileged EXEC) exit pur srtir (retur au mde Glbal cnfiguratin) exit pur srtir (retur au mde Glbal cnfiguratin) end u ctrl-z pur srtir (retur au mde Privileged EXEC) exit pur srtir (retur au mde Glbal cnfiguratin) Les cmmandes d aide : Cmmande Rôle help Dnne un bref descriptif sur l utilisatin d une cmmande. abbreviated-cmmandentry? Ex : Switch# di? Liste les cmmandes cmmençant par une chaîne de caractères dir disable discnnect abbreviated-cmmandentry<tab> Ex : Switch# sh cnf<tab> Cmplete une cmmande partielle Switch# shw cnfiguratin? Liste tutes les cmmandes d un mde dnné Ex : Switch>? cmmand? Liste les mts clefs pur une cmmande Ex : Switch> shw? cmmand keywrd? Liste les arguments d une cmmande Ex : Switch(cnfig)# cdp hldtime? <10-255> Length f time (in sec) that receiver must keep this packet Rappel des cmmandes Tab. 3 : Les cmmandes d aides 2.4. Cmmandes générales cnfigure terminal : pur entrer dans le mde de cnfiguratin Pur accéder à une fnctin de menu il suffit de taper le nm de cette fnctin Pur activer une cnfiguratin, cmmand pur désactiver cette cnfiguratin n cmmand Cmmandes du mde EXEC user ping : pingue une machine tracerute : truve le chemin vers une destinatin (adresse IP u nm) shw histry : affiche l'histrique des cmmandes entrées shw mac-address-table : affiche la table de cmmutatin (crrespndance numérs de prts, adresse MAC) Page 18 sur 25

19 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 shw vlan : affiche les vlan (shw vlan id 1, pur avir les infs du vlan par défaut, le cmmutateur si aucun autre vlan n a été cnfiguré) shw users : affiche les utilisateurs cnnectés shw snmp : affiche les infrmatins snmp shw flash : affiche les infrmatins système shw clck : affiche l'heure Cmmandes du mde EXEC Privileged clear : pur effacer diverses fnctins cnfigurées (cache arp, mac address-table, prt-security...) cpy running-cnfig startup-cnfig : pur sauvegarder ses entrées dans le fichier de cnfiguratin Exemples de cmmandes d affichage (shw) : shw running-cnfig : affiche les cnfiguratins curantes fnctinnant ex : shw running-cnfig vlan (affiche les vlan en fnctin sur le cmmutateur) shw access-lists : affiche les listes d accès (ACL, access list) cnfigurées (ACL définie par un numér u un nm) shw arp : affiche la table arp des hôtes cnnectés sur le cmmutateur shw cntrllers : affiche les infrmatins sur un prt u tus les prts ex1 : affiche pur une interface les paquets envyés et reçus (paquets errnés, cllisin...) switch# shw cntrllers ethernet-cntrller FastEthernet0/2 ex2 : affiche l'utilisatin de la bande passante sur le cmmutateur u un prt shw cntrllers [interface-id] utilizatin switch> shw cntrllers utilizatin (affiche l utilisatin de la bande passante pur tus les prts) shw interfaces [interface-id vlan vlan-id] accunting capabilities [mdule mdule-number] cpe[prt prt-id] descriptin etherchannel flwcntrl media [interface-id] pruning stats status[err-disabled] switchprt trunk transceiver prperties [ {begin exclude include}expressin] ex : shw interfaces fastethernet0/1 (affiche les infrmatins de l'interface 1 du cmmutateur) Optins : accunting : type de prtcle + nbre de paquets ex : switch# shw interfaces accunting capabilities : affiche les capacités d'une u tutes les interfaces du cmmutateur (numér mdule tujurs à 0) ex : switch# shw interfaces fastethernet0/1 capabilities (affiche les différents paramétrages au niveau de l interface 1 du cmmutateur) descriptin : affiche le statut et état de l'interface ex : switch# shw interfaces fastethernet0/1 descriptin stats : affiche les statistique sur chaque prt du cmmutateur ex : switch# shw interfaces stats Page 19 sur 25

20 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 status : affiche le statut, le mde de cnnexin (cnnecté - nn cnnecté), l appartenance à un vlan u un trunk, le mde duplex, la vitesse, le type d une interface u de tutes les interfaces du cmmutateur ex : switch# shw interfaces status trunk : affiche les infrmatins sur le trunk (si interface nn précisée, infrmatins sur le trunk actif) ex : switch# shw interfaces trunk (shw interfaces festethernet0/1 trunk) transceiver prperties : affiche vitesse et mde duplex pur une interface ex : switch# shw interfaces transceiver prperties shw ip interface vlan 1 : affiche les infrmatins IP du vlan par défaut (dnc du cmmutateur) shw ip traffic : affiche le trafic par prtcle sur le cmmutateur shw mac address-table : affiche la table de cmmutatin du cmmutateur Cmmandes du mde Glbal cnfiguratin mac address-table ageing-time : permet de fixer la durée de vie d'une adresse dynamique dans la table de cmmutatin mac address-table static : permet d avir une entrée statique dans la table de cmmutatin mac address-table vlan vlan-id interface interface-id n mac address-table vlan vlan-id interface interface-id ex : switch(cnfig)#mac address-table static bc45 vlan 1 interface fastethernet 0/2 Cnfiguratin de fnctin de mnitring (mnitr) Il est pssible d'analyser le trafic d'un prt en recpiant ce trafic sur un autre prt, n parle de mirir de prt, Cisc utilise le terme de technlgie SPAN. Les mirirs SPAN reçivent u envient (u les deux) le trafic d'un u plusieurs prt(s) surce vers un prt destinatin pur permettre l'analyse. mnitr sessin number-sessin surce interface interface-id [bth tx rx] sessin number à mettre à 1 pssibilité de mnitrer le trafic entrant et srtant (bth) u entrant (rx) u srtant (tx) ex : Dans un premier temps tutes les cnfiguratins SPAN snt effacées, et ensuite tut le trafic du prt 1 est recpié sur le prt 8 Switch(cnfig)# n mnitr sessin 1 Switch(cnfig)# mnitr sessin 1 surce interface fastethernet0/1 Switch(cnfig)# mnitr sessin 1 destinatin interface fastethernet0/8 Cnfiguratin des access-list (ACL) access-list : pur cnfigurer des listes d'accès (ACL, Access list) sur le cmmutateur u une interface (filtrage par adresses MAC u IP, par prtcles, par numérs de prts...) n access-list : pur supprimer l'acl access-grup : pur appliquer une ACL à une interface particulière (depuis le menu interface en spécifiant l interface sur laquelle n désire appliquer l ACL, dans le sus-menu ip) Page 20 sur 25

21 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 switch(cnfig)#access-list access-list-number {deny permit remark} {surce surce-wildcard hst surce any} numér de ACL : entre 1 et 99 pur des ACL IP standard (filtrage utilisant les adresses surces) et entre 100 et 199 pur des ACL IP étendues (filtrage utilisant les adresses surces et destinatins, et ptinnellement des infrmatins sur les types de prtcles permettant un filtrage plus "fin") surce : adresse de l'émetteur du paquet, dnnée en décimal pintée (adresse qui sera rejetée deny- u autrisée permit) surce-wildcard : netmask inversé (par défaut ) any équivalent à la surce et la surce-wildcard le mt hst est une abréviatin pur une adresse surce avec cmme la valeur par défaut pur la surce-wildcard ( ) Remarques : wildcard address désigne l'adresse de netmask inversée (exemple pur un netmask d'un réseau de classe C en , la ntatin à adpter pur l'acl est ; pur désigner une machine spécifique, la valeur pur l address wildcard sera ) si le masque est mis, la valeur par défaut est qui sera assciée à l'adresse IP en créant une ACL, il existe implicitement une règle par défaut à la fin de la liste des différentes règles cntenant l'état deny pur tus les paquets qui ne snt pas traités dans les règles définies par l'acl. Il faut alrs ajuter à la fin une règle autrisant tut le reste. De manière générale, pur définir les règles de sécurité, il existe deux apprches seln la plitique de sécurité appliquée : - Autriser uniquement les cmmunicatins ayant été explicitement autrisées et tut ce qui n'est pas explicitement autrisé est interdit - Empêcher les échanges explicitement interdits. ex1 : Exemple d ACL rejetant l'adresse IP , et autrisant tutes les autres switch(cnfig)# access-list 2 deny switch(cnfig)# access-list 2 permit any switch(cnfig)# end switch# shw access-list Standard IP access list 2 deny permit any Pur appliquer cette ACL au cmmutateur (sit le vlan par défaut) switch#cnfigure switch(cnfig)# interface vlan 1 switch(cnfig-if)#ip access-grup 2 in Pur l'appliquer à un prt particulier switch#cnfigure switch(cnfig)# interface FastEthernet 0/1 switch(cnfig-if)#ip access-grup 2 in ex2 : Exemple d'acl étendue pur rejeter le trafic du prt 80, et autriser tus les autres trafics sur le prt gigabit numér1 (prt en gigabit) switch(cnfig)# access-list 106 deny tcp any any eq 80 switch(cnfig)# access-list 106 permit ip any any switch(cnfig)# interface GigabitEthernet 0/1 switch(cnfig-if)#ip access-grup 106 in ex3 : Exemple d'acl appliquée au cmmutateur acceptant les paquets du réseau /8 et refusant les paquets du réseau /8 switch(cnfig)# access-list 2 permit switch(cnfig)# access-list 2 deny switch(cnfig)# interface vlan 1 switch(cnfig-if)#ip access-grup 2 in ex4 : Exemple d'acl autrisant un hôte cnnecté à Internet de puvir accéder à telnet et à sa messagerie switch(cnfig)# access-list 102 permit tcp any eq 23 switch(cnfig)# access-list 102 permit tcp any eq 25 switch(cnfig)# interface vlan 1 switch(cnfig-if)#ip access-grup 2 in Page 21 sur 25

22 Annexe : Cmmutatin Ethernet Cnfiguratin du cmmutateur Cisc Catalyst 2960 TP Réseaux mdule RE3R11 Catherine Bernard v. 17/09/10 Cmmandes du mde Interface cnfiguratin Préambule : Qu appelle-t-n interface sur les cmmutateurs Cisc Catalyst 2960? Types d'interface définis sur les cmmutateurs Cisc Catalyst 2960 access prt : prt faisant transiter du trafic d'un seul vlan trunk prt : prt faisant transiter du trafic de plusieurs vlan (nécessité de marquer les trames pur identifier leur appartenance à un vlan dnné vlan tagging, nrme 802.1Q) vlan : réseau cmmuté lgiquement segmenté (par prt u adresse mac) - identifiant vlan-id EtherChannel prt grups : pssibilité de traiter plusieurs prts cmme un seul prt Paramètres d une interface physique (prt) Type : Fast Ethernet (FastEthernet u fa) pur Ethernet 10/100, Gigabit Ethernet (gigabitethernet u gi), u LRE (lngreachethernet u l). Slt : numér de slts tujurs à 0 sur ces cmmutateurs Numér de prt ex1 : switch(cnfig)# interface FastEthernet 0/x (accès au menu de cnfiguratin du prt numér x, pssibilité de paramétrer le mde de fnctinnement -duplex- la vitesse -speed-, fixer une adresse mac -mac-address- désactiver ce prt -shutdwn...) ex2 : switch(cnfig)# interface vlan 1 switch(cnfig-if)# ip address x.x.x.x (x, nmbre décimal) Fixe l'adresse IP du cmmutateur. Cnfiguratin du vlan vue cmme une interface permettant de dnner une adresse IP, une adresse mac, fixer la bande passante, le désactiver... shutdwn (n shutdwn) : pur activer u désactiver un prt u un vlan (chix du vlan pur le management, par défaut le vlan1) ex3 : Exemple de désactivatin/réactivatin d un prt Switch# cnfigure terminal Switch(cnfig)# interface fastethernet0/5 Switch(cnfig-if)# shutdwn Switch(cnfig-if)# *Sep 30 08:33:47: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state t a administratively dwn Switch# cnfigure terminal Switch(cnfig)# interface fastethernet0/5 Switch(cnfig-if)# n shutdwn Switch(cnfig-if)# *Sep 30 08:36:00: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state t up ex4 : Prcédure pur changer le vlan par défaut (vlan3 devenant le vlan par défaut) switch(cnfig)# interface vlan 3 switch(cnfig-if)# ip address switch(cnfig-if)# n shutdwn switch(cnfig-if)# exit range : permet de cnfigurer plusieurs prts avec les mêmes paramètres de cnfiguratin ex5 : Cnfiguratin de la vitesse pur plusieurs prts Switch# cnfigure terminal Switch(cnfig)# interface range fastethernet0/1-5 Switch(cnfig-if-range)# speed 100 ex6 : Activatin d'une gamme de prts (utilisatin de la virgule pur séparer les différents arguments) Switch# cnfigure terminal Switch(cnfig)# interface range fastethernet0/1-3, gigabitethernet0/1-2 Switch(cnfig-if-range)# n shutdwn Page 22 sur 25