Le routage. Routage. Institut Informatique Sud Aveyron Etude de cas : le routage. Date 08/09/05

Transcription

1 Routage Rédaction : Slimane Tanji CISCO Networking Academy Program Page 1 sur 53

2 Routage Introduction 4 Matériel et référence 5 Adressage IP 6 Différentes méthodes de se connecter au routeur 6 Calcul des adressages IP WAN et LAN 7 WAN D-E 7 WAN E-F 7 LAN Gestion 8 LAN Eva 9 Vue arrière d un routeur 9 Configuration de base des routeurs et des stations de travail 10 Schéma physique du réseau 13 Protocole de routage 15 Routage statique 15 Route par défaut 16 Tableaux de routage 16 Fichier de configuration des routeurs 16 Teste de la connectivité du réseau 20 Sécurité 21 Règle générale 21 Résumé 21 Listes de contrôle d accès 22 Préconisation 24 L'administration de réseaux par SNMP 25 Fonctionnement SNMP 25 Protocole SNMP 25 SMI : Structure of Management Information 25 Installation de l agent SNMP 26 Protocole CDP 27 Fichier de configuration des routeurs 28 Routeur Center 28 Routeur Boaz 29 Routeur Eva 30 Rédaction : Slimane Tanji CISCO Networking Academy Program Page 2 sur 53

3 Teste de sécurité 32 Fin de la documentation générale 36 Question complémentaire 36 Documentation technique 37 Schéma réseau 38 Annexe 51 Conclusion 53 Rédaction : Slimane Tanji CISCO Networking Academy Program Page 3 sur 53

4 Introduction Suite à la lecture du cahier des charges fourni par la société 2ISA, qui est représenté par Marc Cana. Je dois réaliser un réseau avec trois routeurs, trois commutateurs, un serveur de fichier et 516 stations de travail. On nous indique que le serveur de fichier du site Gestion est accessible à toutes les stations de travail de cet inter réseau et que la station Stat2 de ce même réseau est utilisée pour gérer tous les routeurs sur l inter réseau. Cette étude de cas me permet de réaliser un projet de conception réelle et de mettre en œuvre les compétences acquises au cours du programme CCNA 2. Au cours de cette étude de cas, je dois accomplir les taches suivantes : Mettre en place la configuration physique du réseau en utilisant le schéma qui l accompagne. Calculer les adresses de sous réseaux. Configurer correctement les routeurs avec une configuration de base. Dépanner et tester l ensemble de la connectivité et des listes de contrôle d accès. Soumettre deux documentations, une documentation générale et une documentation technique. Rédaction : Slimane Tanji CISCO Networking Academy Program Page 4 sur 53

5 Matériel et référence Voici le détail du matériel à disposition pour le TP avec ces références ROUTEURS : Routeur Marque IOS numéro de série Boaz CISCO 2620 version 12.1 (19) JACO535A2EP Center CISCO 2620 version 12.1 (19) JACO535A2ES Eva CISCO 2621 version 12.1 (19) JHYO841K2GP STATIONS : Postes OS numéro de série Serveur 1 Windows 2000 Server Station 2 Windows 98 Deuxième Edition Station 3 Windows 98 Deuxième Edition Station 4 Windows 98 Deuxième Edition Station 5 IMac Station 6 Windows SWITCH : SWITCH Modèle Port numéro de série Sohocon FSW-2105TX 5 ports CISCO Catalyst ports CISCO Catalyst ports CABLES CONSOLES : Postes Modèle Adaptateur Image Stat2 LDW RJ-45 à DB-25 Stat4 LDW RJ-45 à DB-25 Stat5 LDW RJ-45 à DB-25 CABLES SERIES : Modèle Connecteurs DCE Connecteurs DTE Image V.35 DCE Foxconn C Foxconn C REV.D0 REV.D0 V.35 Foxconn C Foxconn C REV.D0 REV.D0 CABLES DES ROUTEURS AUX COMMUTATEURS : 3 câbles droits Web LAN UTP à paires torsadées de catégories 5 10/100BaseTX CABLES DES POSTES AUX COMMUTATEURS : 6 câbles droits RJ45 Rédaction : Slimane Tanji CISCO Networking Academy Program Page 5 sur 53

6 Adressage IP Calcul des adresses réseaux en fonction des données du cahier des charges. Les adresses WAN doivent être minimisées. Donc dans notre cas deux adresses pour chaque ligne série. Adresse du LAN Center : ? Nombre de postes : 200 Adresse du LAN Boaz : ?.? Nombre de postes : 300 Adresse du LAN Eva : ?.? Nombre de postes : 16 Trois routeurs sont à notre disposition pour le TP : Routeur Lab-D hostname Boaz. Routeur Lab-E hostname Center. Routeur Lab-F hostname Eva. Différentes méthodes de se connecter au routeur Pour se connecter à l interface de commande en ligne du routeur (CLI) on peut utiliser différentes méthodes : Mode console : via une liaison série basse vitesse par le biais d un terminal Exécuter hyper terminal : Nom de connexion : mark Com bits 8 bits de donnée 1 bit d arrêt Aucun : contrôle de flux Une autre façon consiste à utiliser une connexion à accès commuté au moyen d un modem ou d un null modem connecté au port AUX du routeur. L autre méthode consiste à établir une connexion Telnet Rédaction : Slimane Tanji CISCO Networking Academy Program Page 6 sur 53

7 WAN D-E Calcul des adressages IP WAN et LAN Les adresses pour les réseaux WAN sont de classe C pour ne pas les confondre avec les adresses des LAN. Il faut minimiser les adressages WAN donc deux adresses pour chaque interface série. 2 2 = 4 Host 2 6 = 62 sous réseaux WAN D-E : /30 Masque des sous réseaux : IP réseaux Plages IP WAN Broadcast /30 Serial 0/ Serial 0/ Schéma WAN E-F 2 2 = 4 Host 2 6 = 62 sous réseaux WAN D-E : /30 Masque des sous réseaux : IP réseaux Plages IP WAN Broadcast /30 Serial 0/ Serial 0/ Schéma Rédaction : Slimane Tanji CISCO Networking Academy Program Page 7 sur 53

8 LAN Gestion Adresse du LAN Gestion : ? Nombre de postes : 200 Pour 200 postes il faut prendre 8 bits sur la partie hôte, pour avoir 256 hôtes. 2 8 = 256 Host 2 8 = 256 sous réseaux LAN Gestion : /24 Masque : IP réseaux Plages IP LAN Broadcast /24 début fin Schéma LAN Boaz Adresse du LAN Boaz : ?.? Nombre de postes : 300 Pour 300 postes il faut prendre 9 bits sur la partie hôte, pour avoir 512 hôtes. 2 9 = 512 Host 2 7 = 126 sous réseaux LAN Boaz : /23 Masque : IP réseaux Plages IP LAN Broadcast /23 début fin Schéma Rédaction : Slimane Tanji CISCO Networking Academy Program Page 8 sur 53

9 LAN Eva Adresse du LAN Eva : ?.? Nombre de postes : 16 Pour 300 postes il faut prendre 5 bits sur la partie hôte, pour avoir 30 hôtes. 2 5 = 32 Host 2 11 = 2048 sous réseaux LAN Boaz : /27 Masque : IP réseaux Plages IP LAN Broadcast /27 début fin Schéma Vue arrière d un routeur Rédaction : Slimane Tanji CISCO Networking Academy Program Page 9 sur 53

10 Configuration de base des routeurs et des stations de travail Désignation du d'interface d'interface Serial Activer les Noms d'hôte Adresse FastEthernet 0/0 Adresse Serial 0/0 Adresse Serial 0/1 routeur Serial 0/0 0/1 interfaces Routeur D Boaz / DCE no shutdown Routeur E Center / DCE DTE no shutdown Routeur F Eva / DTE no shutdown Noms d'hôte IP Nom de réseau Adresse de réseau Masque Fréquence d'horloge Serial 0/0 Boaz LAN Boaz Center LAN Gestion Eva LAN Eva Désignation du routeur Noms d'hôte IP Banner Description Fa 0/0 Description Serial 0/0 Description Serial 0/1 Routeur D Boaz Router Boaz, Joël, Slimane go to LAN Boaz go to WAN D-E Routeur E Center Router Center, Joël, Slimane go to LAN Gestion go to Wan E-F go to WAN D-E Routeur F Eva Router Eva, Joël, Slimane go to Lan Eva go to WAN E-F Désignation du routeur Nom du routeur Mot de passe "enable secret" Mot de passe console Mot de passe enable Mot de passe VTY Protocole de routage Routeur D Boaz Cisco CNA sanfran class Statique Routeur E Center Cisco CNA sanfran class Statique Routeur F Eva Cisco CNA sanfran class Statique Rédaction : Slimane Tanji CISCO Networking Academy Program Page 10 sur 53

11 IP host Configuration des noms d host sur les routeurs pour faciliter le ping en remplacent l adresse IP par le nom d host. En mode configuration global taper : Ip host nom adresse. HOST IP Adresse fastethernet IP adresse serial 0/0 IP adresse serial 0/1 Boaz Center Eva Adressage MAC Adresse MAC Center Adresse MAC Eva Dynamic Dynamic 00E07D9705EB FastEthernet0/0 0080C84A338C FastEthernet0/0 0080C84A33DB FastEthernet0/ FastEthernet0/ D80667A FastEthernet0/0 Other Other E8CE FastEthernet0/ AA FastEthernet0/0 Adresse MAC Boaz Dynamic 0080C84A FastEthernet0/0 0080C86B504E FastEthernet0/0 Other E8B FastEthernet0/0 Configuration des stations de travail Rédaction : Slimane Tanji CISCO Networking Academy Program Page 11 sur 53

12 Les noms d hôtes des machines n ont pas été changés pour le TP. Désignation : M (machine) 01(salle) X (LAN) 1 (numéro du poste) LAN poste Nom d hôtes Adresse IP Masque de sous réseau Passerelle mot de passe O S Gestion Serveur 1 M01G CNA Windows 2000 Stat 2 M01G CNA Windows 98-SE Boaz Stat 3 M01B CNA Windows 98-SE Stat 4 M01B CNA Windows 95 Eva Stat 5 M01E CNA Windows 98-SE Stat 6 M01E CNA IMAC Rédaction : Slimane Tanji CISCO Networking Academy Program Page 12 sur 53

13 Schéma physique du réseau Rédaction : Slimane Tanji CISCO Networking Academy Program Page 13 sur 53

14 Schéma logique du réseau Rédaction : Slimane Tanji CISCO Networking Academy Program Page 14 sur 53

15 Protocole de routage Pour qu'une machine soit en mesure d'en contacter une autre, il faut mettre en place un mécanisme qui décrive comment aller de l'une à l'autre. C'est ce que l'on appelle le routage. Une ``route'' est définie par une paire d'adresses: une ``destination'' et une ``passerelle''. Cette paire signifie que pour atteindre cette destination, vous devez passer par cette passerelle. Un administrateur réseau ne déploie pas uniquement le routage dynamique ou statique. En effet, les deux types de routages sont combinés sur les grands réseaux. Les routes statiques peuvent être utilisées pour la sécurité supplémentaire du réseau. Lorsqu une liaison tombe en panne, un autre chemin pourrait être pris, indiqué par la route statique. Par ailleurs, le routage statique est la solution optimale dans certains cas. Routage statique Mon choix c est porté sur le routage statique pour des raisons de sécurité. J ai donc définie les routes statiques pour que toutes les stations puissent communiquer entre elle. Pour configurer une route statique, la commande IP route est utilisée à partir du mode de configuration globale : Router(config)#IP route préfixe masque { prochain_saut int_type int_num } [ distance ] [ tag ] [ permanent ] Mot-clé préfixe masque prochain_saut int_type int_num distance tag permanent Description L adresse IP du réseau distant Le masque du réseau distant L adresse IP du prochain saut L interface de sortie (décrite par le type et le numéro) Distance administrative Marqueur utilisé pour la redistribution de routes Ne jamais effacer la route (même si l interface tombe) Rédaction : Slimane Tanji CISCO Networking Academy Program Page 15 sur 53

16 Route par défaut Il existe trois syntaxes pour configurer la route par défaut, toutes trois exécutées à partir du mode de configuration global : IP default-gateway IP default-network IP route dans notre cas le choix à été fait avec la troisième commande voir tableaux center, pour dire tous les réseaux nous tapons « » comme préfixe réseau « » pour le masque et la destination. IP route Center : Tableaux de routage Routage Source Masque Destination IP route IP route IP route IP route Boaz : Routage Source Masque Destination IP route IP route IP route IP route Eva : Routage Source Masque Destination IP route IP route IP route Fichier de configuration des routeurs Voici les fichiers de configuration de routeur Center, Boaz et Eva pour la première partie du TP. A ce stade aucune ACL n est appliqué et toutes les stations peuvent communiquer entre elle. Rédaction : Slimane Tanji CISCO Networking Academy Program Page 16 sur 53

17 Center version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Center enable secret 5 $1$bXRT$hPr3E99E2SA2k9DjESSAz. enable password sanfran memory-size iomem 10 ip subnet-zero ip host Center ip host Eva ip host Boaz interface FastEthernet0/0 description connect to lan Gestion ip address duplex auto speed auto no shutdown interface Serial0/0 description connect to wan D-E ip address encapsulation ppp no fair-queue clockrate no shutdown interface Serial0/1 description connect to wan E-F ip address encapsulation ppp no shutdown ip classless ip route ip route ip route ip http server banner motd ^CCCC routeur Center;joel;slimane ^C line con 0 password cna login line aux 0 line vty 0 4 access-class 1 in password class login end Rédaction : Slimane Tanji CISCO Networking Academy Program Page 17 sur 53

18 Boaz version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Boaz enable secret 5 $1$EJS4$hkKoesywOd7g6KOuZmxin. enable password sanfran ip subnet-zero ip host Eva ip host Boaz ip host Center interface FastEthernet0/0 description connect to lan Boaz ip address duplex auto speed auto no shutdown interface Serial0/0 description conect to wan D-E ip address encapsulation ppp no fair-queue clockrate no shutdown interface Serial0/1 no ip address shutdown ip classless ip route ip route ip route ip http server banner motd ^CCC routeur Boaz,Slimane,joel ^C line con 0 password cna login line aux 0 line vty 0 4 password class login end Boaz# Rédaction : Slimane Tanji CISCO Networking Academy Program Page 18 sur 53

19 Eva no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Eva enable secret 5 $1$IINi$bYVcdeJ97gms9OIYSQpbM. enable password sanfran memory-size iomem 25 ip subnet-zero ip host Boaz ip host Eva ip host Center interface FastEthernet0/0 description connect to LAN Eva ip address duplex auto speed auto no shutdown interface Serial0/0 description connect to WAN E-F ip address encapsulation ppp no fair-queue no shutdown interface BRI0/0 no ip address shutdown interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ip classless ip route ip route ip route ip http server banner motd ^CCC routeur Eva,Slimane,joel ^C line con 0 password cna login line aux 0 line vty 0 4 password class login end Eva# Rédaction : Slimane Tanji CISCO Networking Academy Program Page 19 sur 53

20 Ping du routeur boaz Teste de la connectivité du réseau Boaz#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms Boaz# ping de stat4 Rédaction : Slimane Tanji CISCO Networking Academy Program Page 20 sur 53

21 Sécurité À ce stade de la configuration le chef d équipe découvre que la sécurité n a pas été planifiée. Il me demande d ajouter des listes de contrôle d accès (ACL) aux routeurs. Il émet certaines suggestions pour développer la sécurité. Les conditions suivantes doivent être prises en compte lors de la création des listes de contrôle d accès : La station de travail 2 et le serveur de fichiers 1 se trouve sur le réseau de gestion. N importe quelle unité du réseau de gestion peut accéder à n importe quel équipement sur l ensemble du réseau. Les stations de travail connectées aux LAN Eva et Boaz ne sont pas autorisées en dehors de leur sous réseaux, sauf pour accéder au serveur de fichiers 1. Chaque routeur peut envoyer une requête Telnet aux autres routeurs et accéder à n importe quelle unité sur le réseau. Les listes de contrôle d accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur. Les ACL permettent de gérer le trafic et de sécuriser l accès d un réseau en entrée comme en sortie. Ils existent différents types d ACL : Règle générale ACL standard. (1-99, ) ACL étendu. ( , ) ACL nommé. Restriction au terminal virtuel. La règle générale est de placer les listes de contrôle d accès étendues le plus prés possible de la source du trafic refusé. Etant donné que les listes de contrôle d accès standard ne précisent pas les adresses de destination, vous devez les placer le plus prés possible de la destination. Résumé Une ACL est une liste séquentielle d instructions d autorisations ou de refus qui s appliquent aux adresses ou aux protocoles de couche supérieure. L ordre des instructions ACL est important. Les ACL standard vérifient l adresse d origine des paquets IP qui sont routés. Les ACL étendues sont utilisées plus souvent que les ACL standard car elles fournissent une plus grande gamme de contrôles. Rédaction : Slimane Tanji CISCO Networking Academy Program Page 21 sur 53

22 Listes de contrôle d accès Pour respecter les conditions un et deux je vais appliquer une liste de contrôle d accès étendu sur les routeur Eva et Boaz. Je vais commencer par appliquer la liste de contrôle d accès étendu sur Eva, et Boaz. Pour leur autoriser l accès au serveur de fichier, et restreindre l accès à tout autre réseau que le leur, et leur autoriser la réponse aux ping. A C L sur Eva Sur le routeur Eva en mode de configuration global entrer chaque commande comme d écrit par la suite. Eva (config) # access-list 100 permit ip host Définir le type d ACL ici étendu numéro 100 et ont permet le protocole IP au réseau à tous les host vers l adresse IP Eva (config) # access-list 100 permit icmp any echo-reply Définir le types d ACL ici étendu numéro 100 et ont permet le protocole ICMP au réseau à tous les host vers (any) tout le monde en réponse aux ping (echo-reply). Eva (config) # interface fastethernet 0/0 Se mettre sur l interface sur laquelle ont veut appliquer cette ACL. Ici sur l interface fastethernet 0/0 sur le routeur Eva Eva (config-if) # ip access-group 100 in Pour l appliquer à cette interface on entre Ip access-group numéro de L ACL ici 100, on défini une direction IN ou OUT Et on fini par exit deux fois pour revenir en mode privilégié. Exit Eva# Rédaction : Slimane Tanji CISCO Networking Academy Program Page 22 sur 53

23 A C L sur Boaz Sur le routeur Eva en mode de configuration global entrée chaque commende comme d écrit par la suite. Boaz (config) # Access-list 100 permit ip host Définir le types d ACL ici étendu numéro 100 et ont permet le protocole IP au réseau à tous les host vers l adresse IP Boaz (config) # Access-list 100 permit icmp any echo-reply Définir le types d ACL ici étendu numéro 100 et ont permet le protocole ICMP au réseau à tous les host vers (any) tout le monde en réponse aux ping (echo-reply). Boaz (config) # Interface fastethernet 0/0 Se mettre sur l interface sur laquelle ont veut appliquer cette ACL. Ici sur l interface fastethernet 0/0 sur le routeur Eva Boaz (config-if) # IP access-group 100 in Pour l appliquer à cette interface on entre Ip access-group numéro de L ACL ici 100, on défini une direction IN ou OUT Et on fini par exit deux fois pour revenir en mode privilégié. Exit Eva# A C L sur center Pour restreindre l accès des stations dans le réseau gestion au routeur par le biais de Telnet, je défini une ACL sur le routeur center pour interdire toutes les stations sauf la station 2 qui est la station d administration. Center(config)#access-list 100 permit tcp host any eq Telnet Center(config)#access-list 100 deny tcp any eq Telnet Center(config)#access-list 100 permit ip any any Center(config)#interface fastethernet 0/0 Center(config-if)#ip access-group 100 in Center(config-if)#exit Center(config)#exit Rédaction : Slimane Tanji CISCO Networking Academy Program Page 23 sur 53

24 Préconisation ACL sur VTY Je préconise de mettre une ACL sur les router Eva et Boaz pour plus de sécurité au niveaux de l accès au routeur en interdisant l accès aux terminal virtuel. Pour empêcher tout utilisateurs de se connecter au routeur par le biais d un câble console. Exemple pour Eva. Eva (conf) # access-list 1 deny Eva (conf) # line vty 0 4 Eva (conf) # access-class 1 in Eva (conf) # exit Exemple pour Boaz. Boaz (conf) # access-list 1 deny Boaz (conf) # line vty 0 4 Boaz (conf) # access-class 1 in Boaz (conf) # exit Règles générales Le processus de création de la liste de contrôle d accès au terminal virtuel est identique à celui décrit pour une interface. Toutefois, l application de la liste de contrôle d accès à une ligne de terminal nécessite la commande access-class à la place de la commande access-group. Vous devez prendre en compte les éléments suivants lors de la configuration de listes d accès sur des lignes vty : Lors du contrôle de l accès à une interface, un nom ou un numéro peut être utilisé. Seules les listes d accès numérotées peuvent être appliquées à des lignes virtuelles. Définissez des restrictions identiques sur toutes les lignes de terminal virtuel, car un utilisateur peut tenter de se connecter à n importe quelle ligne. Rédaction : Slimane Tanji CISCO Networking Academy Program Page 24 sur 53

25 L'administration de réseaux par SNMP Fonctionnement SNMP Le protocole SNMP (Simple Network Management Protocol) a été développé pour permettre à l administrateur du réseau d interroger les éléments de son réseau sans se déplacer. Le principe de SNMP est très simple, sur chacune des machines on installe un petit programme l agent SNMP. Cet agent enregistre en permanence des informations relatives à la machine. Il stocke ces informations dans une MIB (Management Information Base), une base de données. Ainsi, de son ordinateur, l administrateur peut interroger chacune de ses machines et obtenir les informations qu il souhaite, comme par exemple le nombre d octets reçus et envoyés. Il peut aussi modifier certaines informations. Protocole SNMP Le protocole SNMP fonctionne au niveau 7 du modèle OSI, mais se situe directement au-dessus d UDP. Il fonctionne sur un modèle client-serveur, où il n y a qu un seul client, la station d administration (NMS = Network Management Station) et beaucoup de serveur (chaque agent SNMP), le client interrogeant les serveurs pour récupérer les informations. Chaque agent est placé sur un nœud du réseau qui est dit administrable (MN : Managed Node). Ces nœuds peuvent être soit des hôtes (stations de travail ou serveurs), soit des éléments d interconnexion (switchs, hubs, routeurs), soit des supports physiques (câbles). SMI : Structure of Management Information Pour se retrouver dans la foule d informations proposées par chaque agent, on a défini une structure particulière pour les informations appelée SMI. Chacune des informations de la MIB peut être retrouvée soit à partir de son nom de variable, soit à partir d un arbre de classification. Cela revient à parcourir des sous-dossiers et dossiers d un disque dur. Supposons que vous souhaitiez consulter la variable System d un hôte, vous pouvez soit lui demander la variable System directement, soit lui demander la variable ayant pour OID (Object IDentification) Correspondant à l arborescence de la variable (ISO, Identified Organization, dod, Internet, Management, MIB2, System). Ca parait très lourd à première vue, mais le nombre de variable étant important, on ne peut se souvenir de chaque nom. Par contre, il existe de nombreux logiciel permettant d explorer la MIB de façon conviviale, en utilisant cette classification. Rédaction : Slimane Tanji CISCO Networking Academy Program Page 25 sur 53

26 Installation de l agent SNMP Installation de l agent sur les routeurs Center, Boaz et Eva, le nom de la communauté est public en lecture seulement. En mode configuration globale entrer la commande suivante : Sur le routeur Center Center (config)# snmp-server community public ro Center (config)# snmp-server contact please contact your administrator tre3tanj@2isa.fr Sur le routeur Boaz Boaz (config)# snmp-server community public ro Boaz (config)# snmp-server contact please contact your administrator tre3tanj@2isa.fr Sur le routeur Eva Eva (config)# snmp-server community public ro Eva (config)# snmp-server contact please contact your administrator tre3tanj@2isa.fr Installation de la station de management Pour ce TP le logiciel installer et AdREM SNMP manager (NMS = Network Management Station). Rédaction : Slimane Tanji CISCO Networking Academy Program Page 26 sur 53

27 Protocole CDP La Direction centrale de la sécurité des systèmes d'information a émit un avis sur la vulnérabilité du protocole cdp. Voir annexe Description CDP (Cisco Discovery Protocol) est un protocole permettant aux équipements CISCO d'un même réseau de s'échanger des informations. Ce protocole permet, par l'envoi de trames périodiques, de tenir à jour une table d'information d'états des matériels CISCO voisins (adresses, etc.). Un utilisateur mal intentionné peut réaliser un déni de service sur les équipements CISCO par l'envoi massif de requêtes CDP. Cette vulnérabilité n'est exploitable que par une machine se trouvant sur le même réseau physique que le CISCO (CDP utilisant des trames de diffusion de niveau 2 non routables). Le protocole CDP est activé par défaut sur les matériels CISCO Donc dans le cadre de se TP CDP à été désactivé En mode configuration global No cdp run Rédaction : Slimane Tanji CISCO Networking Academy Program Page 27 sur 53

28 Routeur Center Fichier de configuration des routeurs version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption! hostname Center! enable secret 5 $1$bXRT$hPr3E99E2SA2k9DjESSAz. enable password sanfran! memory-size iomem 10 ip subnet-zero ip host Boaz ip host Eva ip host Center ! interface FastEthernet0/0 description connect to lan Gestion ip address ip access-group 100 in duplex auto speed auto! interface Serial0/0 description connect to wan D-E ip address encapsulation ppp no fair-queue clockrate ! interface Serial0/1 description connect to wan E-F ip address encapsulation ppp! ip classless ip route ip route ip route ip http server! access-list 100 permit tcp host any eq Telnet access-list 100 deny tcp any eq Telnet Rédaction : Slimane Tanji CISCO Networking Academy Program Page 28 sur 53

29 access-list 100 permit ip any any no cdp run snmp-server community public RO snmp-server contact please contact your administrator: banner motd ^CCCCC routeur Center;joel;slimane ^C! line con 0 password cna login line aux 0 line vty 0 4 access-class 1 in password class login end Center# Routeur Boaz version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Boaz enable secret 5 $1$EJS4$hkKoesywOd7g6KOuZmxin. enable password sanfran! ip subnet-zero ip host Center ip host Boaz ip host Eva interface FastEthernet0/0 description connect to lan Boaz ip address ip access-group 100 in duplex auto speed auto! interface Serial0/0 description conect to wan D-E ip address encapsulation ppp no fair-queue clockrate ! interface Serial0/1 Rédaction : Slimane Tanji CISCO Networking Academy Program Page 29 sur 53

30 no ip address shutdown! ip classless ip route ip route ip route ip http server! access-list 100 permit ip host access-list 100 permit icmp any echo-reply no cdp run snmp-server community public RO snmp-server contact please contact your administrator: banner motd ^CCCC routeur Boaz,Slimane,joel ^C! line con 0 password cna login line aux 0 line vty 0 4 password class login end Boaz# Routeur Eva version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption! hostname Eva! enable secret 5 $1$IINi$bYVcdeJ97gms9OIYSQpbM. enable password sanfran! memory-size iomem 25 ip subnet-zero ip host Center ip host Eva ip host Boaz ! interface FastEthernet0/0 description connect to LAN Eva ip address Rédaction : Slimane Tanji CISCO Networking Academy Program Page 30 sur 53

31 ip access-group 100 in duplex auto speed auto! interface Serial0/0 description connect to WAN E-F ip address encapsulation ppp no fair-queue! interface BRI0/0 no ip address shutdown! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto! ip classless ip route ip route ip route ip http server! access-list 100 permit ip host access-list 100 permit icmp any echo-reply no cdp run snmp-server community public RO snmp-server contact please contact your administrator: banner motd ^CCCC routeur Eva,Slimane,joel ^C! line con 0 password cna login line aux 0 line vty 0 4 password class login! end Eva# Rédaction : Slimane Tanji CISCO Networking Academy Program Page 31 sur 53

32 Teste de sécurité Certain élément mon été demander de vérifier voici le résultat de ces testes : Connexion TELNET de Boaz à Eva : Boaz#Telnet Eva Trying Eva ( )... Open CCC routeur Eva,Slimane,joel User Access Verification Password: Password: Eva>ena Password: Eva# Connexion TELNET de la station de travail 4 à Eva : BLOQUEE Connexion TELNET de la station de travail 5 à Boaz : BLOQUEE Rédaction : Slimane Tanji CISCO Networking Academy Program Page 32 sur 53

33 Connexion TELNET de la station de travail 2 à Boaz : REUSSIE Connexion TELNET de la station de travail 2 à Eva : REUSSIE Requête ping de la station de travail 5 vers le serveur de fichier 1 : REUSSIE Rédaction : Slimane Tanji CISCO Networking Academy Program Page 33 sur 53

34 Requête ping de la station de travail 3 vers le serveur de fichier 1 : REUSSIE Requête ping de la station de travail 3 vers la station de travail 4 : REUSSIE Requête ping de la station de travail 3 vers la station de travail 6 : Rédaction : Slimane Tanji CISCO Networking Academy Program Page 34 sur 53

35 BLOQUEE Requête ping de la station de travail 3 vers la station de travail 5 BLOQUEE Requête ping de la station de travail 2 vers la station de travail 5 : REUSSIE Requête ping de la station de travail 2 vers la station de travail 3 : REUSSIE Requête ping du routeur Eva vers la station de travail 3 : Rédaction : Slimane Tanji CISCO Networking Academy Program Page 35 sur 53

36 Eva#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms Eva#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Eva# Requête ping du routeur Boaz vers la station de travail 5 : Password: Boaz>ena Password: Boaz#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms Boaz# REUSSIE Question complémentaire. Pourquoi deux documentations? Fin de la documentation générale La documentation technique doit être un document sur laquelle le technicien peut s appuyer pour dépanner cet environnement. Avec toutes les indications nécessaires pour remettre les éléments actifs en route. Que se passe t il si un équipement tombe en panne? Tout dépend du matériel qui tombe en panne si ce une station pas bien grave pour le réseaux ; sinon remplacer l équipement en question par le même modèle de référence et recharger le fichier de configuration. Rédaction : Slimane Tanji CISCO Networking Academy Program Page 36 sur 53

37 Documentation technique Rédaction : Slimane Tanji CISCO Networking Academy Program Page 37 sur 53

38 Schéma réseau Rédaction : Slimane Tanji CISCO Networking Academy Program Page 38 sur 53

39 Nom d host Center#sh host Default domain is not set Name/address lookup uses domain service Name servers are Gestion de la configuration sur center Host Port Flags Age Type Address(es) Boaz None (perm, OK) 2 IP Eva None (perm, OK) 2 IP Center None (perm, OK) 2 IP Center# Show Interface brief Center#sh ip interface brief Interface IP-Address OK? Method Status Prot ocol FastEthernet0/ YES manual up up Serial0/ YES manual up up Serial0/ YES manual up up Center# Table de routage Center#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is to network /24 is subnetted, 1 subnets C is directly connected, FastEthernet0/ /16 is variably subnetted, 2 subnets, 2 masks S /23 [1/0] via S /27 [1/0] via /24 is variably subnetted, 2 subnets, 2 masks Rédaction : Slimane Tanji CISCO Networking Academy Program Page 39 sur 53

40 C /30 is directly connected, Serial0/0 C /32 is directly connected, Serial0/ /24 is variably subnetted, 2 subnets, 2 masks C /30 is directly connected, Serial0/1 C /32 is directly connected, Serial0/1 S* /0 [1/0] via Center# Version de L IOS Center#sh ver Center#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-D-M), Version 12.1(19), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Tue 04-Mar-03 05:07 by kellythw Image text-base: 0x , data-base: 0x80959A90 ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Center uptime is 2 hours, 54 minutes System returned to ROM by power-on System image file is "flash:c2600-d-mz bin" cisco 2620 (MPC860) processor (revision 0x600) with 59392K/6144K bytes of memory Processor board ID JAD05340CHA ( ) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version FastEthernet/IEEE interface(s) 2 Serial network interface(s) 32K bytes of non-volatile configuration memory K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Center# Gestion du réseau sur center Sh ip access-list Center#sh ip access-lists Standard IP access list 1 deny , wildcard bits (10 matches) Center# Rédaction : Slimane Tanji CISCO Networking Academy Program Page 40 sur 53

41 Sh ip interface Center#sh ip int Center#sh ip interface FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/0 is up, line protocol is up Internet address is /30 Broadcast address is Address determined by setup command Peer address is MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Rédaction : Slimane Tanji CISCO Networking Academy Program Page 41 sur 53

42 Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/1 is up, line protocol is up Internet address is /30 Broadcast address is Address determined by setup command Peer address is MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled Rédaction : Slimane Tanji CISCO Networking Academy Program Page 42 sur 53

43 IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Center# Nom d host Boaz#sh host Default domain is not set Name/address lookup uses domain service Name servers are Gestion de la configuration sur Boaz Host Port Flags Age Type Address(es) Eva None (perm, OK) 2 IP Boaz None (perm, OK) 2 IP Center None (perm, OK) 2 IP Boaz# Show ip interface brief Boaz#sh ip interface brief Boaz#sh ip interface brief Interface IP-Address OK? Method Status Prot ocol FastEthernet0/ YES manual up up Serial0/ YES manual up up Serial0/1 unassigned YES manual administratively down down Boaz# Table de routage Boaz#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 Rédaction : Slimane Tanji CISCO Networking Academy Program Page 43 sur 53

44 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set /24 is subnetted, 1 subnets S [1/0] via /16 is variably subnetted, 2 subnets, 2 masks C /23 is directly connected, FastEthernet0/0 S /27 [1/0] via /30 is subnetted, 1 subnets S [1/0] via /24 is variably subnetted, 2 subnets, 2 masks C /32 is directly connected, Serial0/0 C /30 is directly connected, Serial0/0 Boaz# Version de l IOS Boaz#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-D-M), Version 12.1(19), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Tue 04-Mar-03 05:07 by kellythw Image text-base: 0x , data-base: 0x80959A90 ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Boaz uptime is 4 hours, 46 minutes System returned to ROM by power-on System image file is "flash:c2600-d-mz bin" cisco 2620 (MPC860) processor (revision 0x600) with 53248K/12288K bytes of memory. Processor board ID JAD05340AW0 ( ) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version FastEthernet/IEEE interface(s) 2 Serial network interface(s) 32K bytes of non-volatile configuration memory K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Gestion du réseau sur Boaz Show ip access-list Documentation de la gestion de la sécurité Boaz#sh ip access-lists Extended IP access list 100 permit ip host (5 matches) Rédaction : Slimane Tanji CISCO Networking Academy Program Page 44 sur 53

45 permit icmp any echo-reply (10 matches) Boaz# show ip interface FastEthernet0/0 is up, line protocol is up Internet address is /23 Broadcast address is Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 100 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/0 is up, line protocol is up Internet address is /30 Broadcast address is Address determined by setup command Peer address is MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Rédaction : Slimane Tanji CISCO Networking Academy Program Page 45 sur 53

46 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/1 is administratively down, line protocol is down Internet protocol processing disabled Boaz# Gestion de la configuration Eva Nom d host Eva#sh host Default domain is not set Name/address lookup uses domain service Name servers are Host Port Flags Age Type Address(es) Boaz None (perm, OK) 2 IP Eva None (perm, OK) 2 IP Center None (perm, OK) 2 IP Eva# Show ip interface brief Rédaction : Slimane Tanji CISCO Networking Academy Program Page 46 sur 53

47 Eva#sh ip interface brief Interface IP-Address OK? Method Status Prot ocol FastEthernet0/ YES manual up up Serial0/ YES manual up up BRI0/0 unassigned YES manual administratively down down BRI0/0:1 unassigned YES unset administratively down down BRI0/0:2 unassigned YES unset administratively down down FastEthernet0/1 unassigned YES manual administratively down down Eva# Table de routage Eva#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set /24 is subnetted, 1 subnets S [1/0] via /16 is variably subnetted, 2 subnets, 2 masks S /23 [1/0] via C /27 is directly connected, FastEthernet0/ /24 is variably subnetted, 2 subnets, 2 masks C C /32 is directly connected, Serial0/ /30 is directly connected, Serial0/ /30 is subnetted, 1 subnets S [1/0] via Eva# show version Eva#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-D-M), Version 12.1(19), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Tue 04-Mar-03 05:07 by kellythw Image text-base: 0x , data-base: 0x80959A90 ROM: System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1) Eva uptime is 3 hours, 59 minutes System returned to ROM by power-on Rédaction : Slimane Tanji CISCO Networking Academy Program Page 47 sur 53

48 System image file is "flash:c2600-d-mz bin" cisco 2621XM (MPC860) processor (revision 0x301) with 98304K/32768K bytes of mem ory. Processor board ID FOC08350CXR ( ) M860 processor: part number 5, mask 2 Bridging software. X.25 software, Version Basic Rate ISDN software, Version FastEthernet/IEEE interface(s) 1 Serial network interface(s) 1 ISDN Basic Rate interface(s) 32K bytes of non-volatile configuration memory K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Eva# Gestion de la sécurité Show ip access-list Eva# sh ip access-lists Extended IP access list 100 permit ip host (5 matches) permit icmp any echo-reply (19 matches) Eva# Show interfaces Eva#sh ip interface FastEthernet0/0 is up, line protocol is up Internet address is /27 Broadcast address is Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 100 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled Rédaction : Slimane Tanji CISCO Networking Academy Program Page 48 sur 53