Réseaux Locaux Virtuels

Transcription

1 IUT1-Dpt. Réseaux et télécommunications Licence professionnelle RSFS 2007/2008 Réseaux Locaux Virtuels I - Objectifs Dans ce TP vous allez utiliser des commutateurs pour réaliser des réseaux locaux virtuels, c est à dire des groupes de travail séparés au moyen de commutateurs (switchs) administrables. Vous allez pour cela : II - Configurer les ports du commutateur Configurer les ports d interconnexion entre commutateurs Configurer les routeurs chargés de relier entre eux les différents VLANS Exploiter les fonctions d administration des VLANS Mettre en œuvre une solution de sécurité avancée basée sur le protocole 802.1x Matériel Pour ces travaux pratiques, vous disposerez de : 1 commutateur Catalyst 2950 ou routeur CISCO Des postes de travail sous Windows 200 et XP. Des câbles croisés. Des câbles console...partie A. ;.... III - Fonctions de base d un commutateur administrable Les commutateurs utilisés sont des switchs 2900 de la compagnie CISCO. (prix environ 600 HT). Leur administration est donc basée sur l utilisation d un IOS (système d exploitation propriétaire) voisin dans sa présentation de celui d un routeur Cisco. 1 - Examen externe du commutateur Le switch dispose, outre les ports Ethernet, d un certain nombre d autres connecteurs Quel est leur rôle? Relier la console d administration au switch par un câble console. Relier les machines aux différents ports Ethernet conformément à l annexe Prise en main du logiciel Le système d exploitation du switch est semblable à celui d un routeur CISCO. On dispose donc d un mode utilisateur (invite >) et d un mode superviseur (invite #). Tester les commandes suivantes show vlan show interfaces show int status show run show start Réseaux Locaux Virtuel 1/9

2 Quels sont les VLANS définis par défaut? - Les modes de configuration. Les commandes suivantes permettent de passer dans des modes de configuration spécifiques. configuration terminal Configure interface <i> vlan database vlan x Passage en mode de configuration globale. Configuration d une interface spécifique Permet de visualiser ajouter ou supprimer des VLANS (obsolète) Permet d ajouter le vlan de numéro x D une manière générale toute commande est invalidée en la faisant précéder d un préfixe «no» Remarque importante : Pour certaines fonctions (accès telnet ou http par ex.). Le switch doit disposer d une adresse MAC et d une adresse IP. Quelle est l adresse MAC du switch? L adresse IP sera définie par l administrateur. Cette adresse n est pas attribuée à une interface physique mais à une pseudo-interface appelée VLAN 1. Configurer l interface VLAN1 avec les bons paramètres IP. Switch CISCOa : Adresse IP = /24 Switch CISCOb : Adresse IP = /24 Switch CISCOc : Adresse IP = /24 Switch CISCOd : Adresse IP = /24 Il est bon de sécuriser le commutateur en définissant un mot de passe switch(config)# enable secret class De même on va sécuriser l accès telnet switch (config)#line vty 0 4 configuration des lignes telnet 0 à 4 Switch (config-line)#login On exige une authentification par mot de passe Switch (config-line)#password toto Le mot de passe pour l accès telnet sera toto 4 - Mode fonctionnement des ports Entrer dans le mode de configuration de l interface FastEthernet 0/5. Fonctionnement Port Fast Lorsqu'un port de commutateur entre en fonction, il traverse habituellement les états normaux du protocole d'acheminement Spanning Tree 820.1d, qui sont le blocage, l'écoute, l'apprentissage et l'acheminement. Ce processus nécessite jusqu'à 45 secondes. Lorsque le mode Port Fast est activé, le protocole d'acheminement Spanning Tree peut faire passer l'état du port de blocage à acheminement sans passer par les états intermédiaires d'écoute et d'apprentissage. La commande à utiliser pour mettre en œuvre cette fonctionnalité est : Switch (config-if)#spanning-tree portfast activation du mode portfast Configurer ce port en mode duplex automatique et portfast. Chaque port relié à un poste client devra par la suite être configuré en mode PortFast. Nous allons maintenant attribuer chacun des ports du commutateur à un VLAN mais pour cela il faut auparavant définir de nouveaux VLANS. IV - Mise en œuvre des VLANS Nous allons dans ce TP mettre en œuvre des VLANS de niveau 1, c est à dire que chaque VLAN se verra attribuer un ou plusieurs ports physiques du commutateur. La configuration à mettre en œuvre est celle donnée à la figure 1. (Voir les caractéristiques détaillées en Annexe 1) Réseaux Locaux Virtuel 2/9

3 VLAN 1 PORT 1 à 6 VLAN2 PORT 7 à 12 29XX 6 12 PC XA PC YA Figure Configuration de la base (située en NVRAM) Créer le vlan 2. switch#vlan database La commander show vlan donne des informations sur les différents VLANS présents. Examiner les caractéristiques du VLAN1. Créer le vlan 2. switch#vlan 2 Vérifier la création du nouveau VLAN. Quel est son nom par défaut? Peut-on effacer les VLANS token-ring et FDDI? 2 - Attribution des ports à chaque VLAN Entrer dans le mode de configuration de l interface FastEthernet 0/12 Il existe trois types de définition d appartenance d un port à un VLAN access Multi Trunk Place le port en mode access. Le port appartient à un seul VLAN et ne reconnaît que des trames non tagguées. C est le mode normal pour les ports clients Le port appartient à un ou plusieurs VLANS mais n accepte que des trames non tagguées Place le port en mode trunk. Ce type de port est utilisé pour connecter des switchs entre eux ou le switch avec des routeurs. Le port émet et reçoit des trames tagguées Pour le moment, nous n allons utiliser que des ports en mode access. Configurer le port 12 : Switch(config-if)#switchport mode access puis attribuer ce port au vlan 2 Switch(config-if)#switchport access vlan 2 Répéter les opérations précédentes pour les autres ports. Vous devez obtenir une configuration conforme au schéma général donné en Annexe 1. Revenir en mode privilégié et faire show vlan, observer les modifications. Sur la machine B, démarrer Ethereal. Sur la machine A, faire des pings vers une adresse IP du réseau non attribuée ( par Ex). cela déclenche des requêtes ARP en mode broadcast. Ces requêtes sont-elles visibles sur le poste B? En déduire un intérêt des VLANS.. FAIRE VERIFIER. V - Interconnexion des commutateurs 1 - Interconnexion simple Définir des VLANS sur un seul commutateur n est en fait pas très intéressant. Le but étant de relier sur un même segment de diffusion des hôtes non proches géographiquement, il faut pouvoir relier entre eux des commutateurs. Nous supposons dans cette partie que tous les commutateurs ont été configurés avec des numéros de VLANS identiques. Le réseau à mettre en place est donné à la figure 2. Réseaux Locaux Virtuel /9

4 En utilisant des câbles croisés, mettre en place cette configuration. Les ports utilisés sont configurés normalement (mode access et port dédié à un vlan). Vérifier que les différents postes de chaque VLAN peuvent communiquer entre eux. Pourquoi est-il nécessaire de placer plusieurs liens entre les Switchs? Quel problème cela pose-t-il? VLAN 1 PORT 1 à 6 VLAN2 PORT 7 à 12 SWa 4 10 SWb SWc 9 SWd Figure 2 - VLAN à plusieurs commutateurs 2 - Tempête de broadcast Les structures commutées utilisant des vlans peuvent compter plusieurs dizaines ou centaines de switchs. Dans des réseaux de cette taille, il est nécessaire de prévoir une redondance de liens en cas de rupture. Nous allons ici réaliser un réseau maillé qui permette la redondance sur le VLAN 1. Mais tout d abord, sur chacun des switchs : Switch(config)#no spanning-tree vlan 1 Démarrer ensuite Ethereal sur chacun des postes : PCxA Puis réaliser le schéma suivant (avec des câbles croisés) VLAN 1 PORT 1 à 6 VLAN2 PORT 7 à 12 SWa 4 10 SWb SWc SWd 4 10 Figure - Fabrication d une tempête de broadcast Réseaux Locaux Virtuel 4/9

5 Que se passe-t-il? En appuyant sur le bouton mode des switchs, on obtient un vu-mètre horizontal qui indique le niveau de charge des switchs. Tester. Expliquer les phénomènes constatés. Débrancher le lien de secours. Réactiver spanning-tree sur les trois switchs et remettre le lien. Constater la différence.. FAIRE VERIFIER ABSOLUMENT. Un dernier point concerne l interconnexion des vlans à travers un routeur. Nous pourrions rajouter un routeur sur notre plate-forme mais pour gagner du temps nous ferons cette manipulation dans la deuxième partie...partie B... I - Sécurisation du réseau par contrôle d accès des utilisateurs La plate-forme à mettre en place est identique pour les trois binômes qui travailleront indépendamment. Deux aspects vont être étudiés ici : l authentification par serveur radius et le mode trunk. Dans la configuration suivante : un routeur interconnecte les vlans 1 et 4 et le réseau du serveur PCxA. Le poste PcxB va être authentifié et affecté dans le VLAN 4, puis un serveur DHCP lui attribuera une adresse. Fa0/ PCxB Windows 200 IP= Active Directory DHCP Service d authentification Internet (radius) Fa0/ Fa0/ Switch : IP= Client radius Relais DHCP Figure 4 24 PCxA Windows XPSP2 Config en DHCP L authentification va se passer de la manière suivante : - le client configuré à la norme 802.1x, encapsule sa requête dans une trame 802.1x/EAP (Extensible authentication Protocole). - Le commutateur ne laisse rien passer SAUF les paquets EAP qui sont réencapsulés dans le protocole UDP/RADIUS. - Lorsque le serveur d authentification donne son accord, le port est débloqué. Ici nous irons même plus loin dans car le port du commutateur connecté au client sera automatiquement basculé dans le bon VLAN. Réseaux Locaux Virtuel 5/9

6 Il y a beaucoup de choses à faire, procédons par ordre : 1 - SUR LE POSTE CLIENT (on dit aussi supplicant) : 1. Demander le disque client au professeur, faire un ghost de XP. 2. Configurer la carte réseau en authentification 802.1x/MD5-Challenge. 2 - SUR LE SERVEUR Windows Lancer MMC et ajouter les composants logiciels suivants : Utilisateurs et ordinateurs Active Directory DHCP Service d authentification Internet Observateur d évènements Services Sauvegarder cette console sur le bureau. 2. Installer le rôle serveur DHCP et définir une étendue etenduevlan4 attribuant la plage [ à ] et une étendue VLAN attribuant la plage [50-100] Définir aussi le routeur à attribuer aux stations. Activer l étendue et Autoriser le serveur à distribuer des adresses.. Dans Utilisateurs et ordinateurs Active directory : Dans propriétés de tp.iut, modifier la stratégie de groupe par défaut en autorisant le cryptage réversible des mots de passe. Pour cela, chercher la clé : [configuration_ordinateur/pramètres_windows/paramètres_de_sécurité/stratégie_de_compte/stratégie_de_mot de passe]. C est une faille de sécurité dans une certaine mesure mais nécessaire pour faire fonctionner la méthode d authentification choisie. Créer sous la rubrique users un groupe profs et un utilisateur prof1, mot de passe Toto2006 appartenant à profs. Créer aussi un groupe étudiants et un compte etud1 appartenant à étudiants. Une fois un compte créé, dans ses propriétés /compte, activer l enregistrement des mots de passe avec un cryptage réversible. Faire en sorte les appels entrants soient acceptés pour prof1 et qu il soit membre de profs. De même pour etud1. 4. Installer (ajout de programmes/composants windows), le serveur IAS. Administrer IAS par la console MMC. Ajouter un client radius (le switch!). Donner son adresse IP et choisir un mot de passe qui sera utilisé entre le commutateur et le serveur (choisir secret). Inscrire IAS dans Active Directory. 5. Dans IAS/stratégies d accès distant : 1. Effacer les deux stratégies existantes puis en créer une nouvelle de nom stratégie_profs. La méthode d accès sera Ethernet. 2. Quel groupe sera autorisé par cette stratégie?. La méthode d authentification choisie est MD5-Challenge. Cette méthode est peu performante et sécurisée mais suffisante pour une authentification sur réseau filaire. Dans les réseaux sans fil, elle n est plus autorisée. 4. Dans propriétés de cette stratégie de groupe, accorder l autorisation d accès distant et cliquer sur modifier le profil. Puis aller dans l onglet Paramètres avancés : o Supprimer la ligne existante (Service-Type) et ajouter les propriétés suivantes : o Tunnel-Medium-Type : choisir Value: 802 (Includes all 802 media plus Ethernet canonical format). o Tunnel-Pvt-Group-ID: Entrer sous forme de chaîne de caractère le nom du VLAN (VLAN0004) o Tunnel-Type : choisir Virtuals LANs (VLAN) o Tunnel-Tag : (Une subtilité du protocole on passe ) : Entrer la valeur Créer de même une stratégie pour les étudiants (qui se verront attribuer le VLAN) - SUR LE ROUTEUR : 1. configurer l interface FastEthernet 0/1 : Routeur(config-if)#ip address Réseaux Locaux Virtuel 6/9

7 Routeur(config-if)#no shut 2. Configurer aussi l interface FastEthernet 0/0. Ici, c est plus compliqué, on configure en fait des sous-interfaces ayant chacune une adresse IP : Routeur(config-if)#interface fastethernet 0/0 Routeur(config)#interface fastethernet 0/0.1 Routeur(config-sb-if)#encapsulation dot1q 1 (indique le numéro du vlan qui communiquera sur cette interface) Routeur(config-sb-if)#ip address Routeur(config-sb-if)#interface fastethernet 0/0.4 (on peut prendre n importe quel numéro mais en prenant le numéro du vlan la configuration sera plus claire) Routeur(config-sb-if)#encapsulation dot1q 4 Routeur(config-sb-if)#ip address Routeur(config-sb-if)#exit Routeur(config-if)#no shut Vérifier la table de routage, si rien n apparaît malgré un câblage correct, il se peut que le routage soit désactivé (dépend des versions d IOS). Entrer la commande suivante alors : Routeur(config)#ip routing Il ne reste plus qu à configurer le switch pour relayer les requêtes clients. 4 - SUR LE COMMUTATEUR : 1. Créer les vlans et 4. Quels sont leurs noms par défaut? 2. Le port 1 va être configuré en mode trunk, dans ce mode les trames de n importe quel vlan peuvent passer par le port mais un entête supplémentaire (TAG) est ajouté avec le numéro du vlan. Voici comment on configure le port fastethernet 0/1 : Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan all (inutile en réalité car config par défaut) Vérifier que le switch peut pinguer le serveur. Résoudre les problèmes de liaisons, la commande ip defaultgateway peut vous être utile. Créer les vlans 50 et 100. Nous allons maintenant configurer le switch pour interroger le serveur radius : aaa new-model Définir un nouveau mode d authentification aaa authentication dot1x default group radius group radius L authentification radius se fera grâce à un serveur radius aaa authorization network default group radius Le changement dynamique de vlan fait partie d un ensemble de fonctionalité réseau qu il faut autoriser radius-server host auth-port 1812 acct-port 181 radius-server key secret Voila l adresse de notre serveur avec les ports à contacter pour l authentification et l accounting Et le mot de passe à utiliser 4. Enfin configurer le port 24 pour qu il utilise l authentification x : Switch(config)#interface fastethernet0/24 Switch(config-if)#switchport mode access vlan 2 Le port est en mode accès, il est attribué à un vlan déterminé (même si ce vlan peut changer) Switch(config-if)# dot1x port-control auto Le port sera contrôlé suivant la norme 802.1x Switch(config-if)# dot1x guest-vlan 50 Switch(config-if)#dot1x auth-fail vlan 100 Un vlan bac à sable en cas d échec d authentification. Switch(config-if)#exit Switch(config-if)#dot1x system-auth-control Activer le mode 802.1x Réseaux Locaux Virtuel 7/9

8 5 - TESTS ET DERNIERS REGLAGES Il faut maintenant vérifier que l authentification fonctionne bien. Tester une connexion depuis le poste client en déconnectant/reconnectant le port 24. Et débuguer avec la commande debug radius et show vlan. Il faut maintenant vérifier que DHCP fonctionne, hors cela est peu probable! Le problème vient du fait que DHCP utilise des broadcasts et que ces derniers sont incapables de traverser le routeur. On doit donc demander au routeur de relayer les échanges UDP concernés. Sur le routeur : Routeur(config)#interface fastethernet 0/0.4 Routeur(config-if)#ip helper-address Les paquets arrivant sur cette interface doivent être reliés vers cette adresse (le serveur radius en l occurrence) Voila tout devrait fonctionner. Refaire une séquence d authentification et procéder à une analyse de trame sur le client. Les différents outils de dépannage (sh run, sh radius, sh vlan doivent vous permettre de trouver d éventuelles erreurs).. FAIRE VERIFIER. II - Fonctions complémentaires 1 - Procédure de récupération des logs Nous avons vu tout au long de l étude que des messages d information apparaissaient dans la console. En exploitation, il est intéressant que les messages d erreurs soient transmis à une machine d administration chargée de collecter, stocker et éventuellement traiter les messages. Sur les machines Unix le démon chargé de cette tâche s appelle syslogd, il collecte les informations en provenance du système mais peut également traiter des informations en provenance du réseau. Pour simplifier l étude, nous allons utiliser un équivalent gratuit sous Windows : Kiwi_syslogd. Configuration de la machine administration (commun à tous les groupes) Nous allons utiliser le poste PCxB comme machine d administration. Sur ce poste, lancer le programme Kiwi_syslogd. Dans file/properties : s assurer que le logiciel écoute sur le port 514 les paquets UDP. Déterminer où sont loguées les informations reçues Configuration d un commutateur Nous allons configurer le switch 2924 pour qu il retransmette ses messages sur la machine PC7A : switch(config)#logging <ip poste PCxA> switch(config)#logging trap debug switch(config)#service timestamps log datetime switch(config)#logging on Envoi des logs sur PC7A Niveau de précision. Examiner les autres niveaux possibles. Le mode debug ne devrait pas être utilisé en mode production car il génère des messages inutiles. Mais ici, il nous enverra plus d info dater les messages en fonction de l heure et de la date activer le processus de log On peut utiliser en mode privilégié la commande Show logging pour avoir des informations complémentaires Pour voir un exemple d erreur, débrancher le lien trunk entre les deux switchs. Que se passe-t-il alors? Des logiciels de traitement de logs performants permettent en outre, d émettre des courriers électroniques sur certaines alertes, de trier les messages, de les réexpédier vers des bases de données etc.. FAIRE VERIFIER. Réseaux Locaux Virtuel 8/9

9 III - Annexe 1 VLAN 1 PORT 1 à 6 VLAN2 PORT 7 à 12 SWa IP= PC 1A IP = /24 PC 1A PC 1B PC 1B IP = /24 SWb IP= PC 2A IP = /24 PC 2A PC 2B PC 2B IP = /24 SWc IP= PC A IP = /24 PC A PC B PC B IP = /24 SWd IP= PC 4A IP = /24 PC 4A PC 4B PC 4B IP = /24 Réseaux Locaux Virtuel 9/9