Configurer Radius sur CISCO



Documents pareils
Installation d'un serveur RADIUS

Utiliser un proxy sous linux

Installation d'un TSE (Terminal Serveur Edition)

Comment Accéder à des Bases de Données MySQL avec Windows lorqu'elles sont sur un Serveur Linux

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Configuration du matériel Cisco. Florian Duraffourg

Comment sauvegarder ses documents

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Comment faire un Mailing A partir d une feuille Calc

Comment Définir une Plage de données Pour Utiliser Fonctions de Filtres et de Tris

Insérer des images dans Base

Déploiement OOo en environnement Windows Terminal Server

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

NTP (Network Time Protocol)

Comment consolider des données

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Comment Utiliser les Versions, les Modification, les Comparaisons, Dans les Documents

OpenOffice.org Calc Ouvrir un classeur

Comment Créer une Base de Données Ab Initio

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Comment faire des étiquettes

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TP Configuration de l'authentification OSPF

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Comment créer un diagramme de Gantt avec OpenOffice.org

Mise en service d un routeur cisco

Installation de Vmware serveur Windows

Création de Sous-Formulaires

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

comment paramétrer une connexion ADSL sur un modemrouteur

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Le publipostage avec Open Office

OpenOffice.org Présentation - Débuter. Distribué par Le projet OpenOffice.org

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Les réseaux /24 et x0.0/29 sont considérés comme publics

Introduction aux routeurs CISCO

Installer et configurer un serveur WDS sur Server 2012 R2

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

TP Réseau 1A DHCP Réseau routé simple

Installation et mise à jour des IOS sur les routeurs ou les switchs Cisco

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Administration du WG302 en SSH par Magicsam

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

GNS 3 Travaux pratiques

Réseaux Locaux Virtuels

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Table des matières Nouveau Plan d adressage... 3

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Sécurité et Firewall


Impress / Présentation

Installer un gestionnaire de parc GLPI sous Linux

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

RESEAUX MISE EN ŒUVRE

OpenMediaVault installation

Présentation du modèle OSI(Open Systems Interconnection)

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

TAGREROUT Seyf Allah TMRIM

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

VIDEO SURVEILLANCE SV82400 SV82500 SV82600 Type de panne cause Que faire? VIDEO SURVEILLANCE IPSV87050 VIDEO SURVEILLANCE IPSV87050 SERR1

acpro SEN TR firewall IPTABLES

Utilisation des ressources informatiques de l N7 à distance

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

Les clés d un réseau privé virtuel (VPN) fonctionnel

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Direction des Systèmes d'information

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Configuration de routeur D-Link Par G225

Configurer l adressage des serveurs et des clients

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Installation d'un serveur Zentyal

Mettre en place un accès sécurisé à travers Internet

Travaux pratiques IPv6

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Note de première mise en service. Passerelle ipro-04n. TTPMSiPRO04N R1.0 fr

WGW PBX. Guide de démarrage rapide

Les réseaux des EPLEFPA. Guide «PfSense»

Administration Switch (HP et autres)

StarDraw, le module de dessin de StarOffice 6/7

! "# Exposé de «Nouvelles Technologies Réseaux»

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

eurobraille VOYONS ENSEMBLE MANUEL D'UTILISATION WIFI iris 40, 20 iris-s 32, 20 iris-kb 40,20 VERSION 1.82

Travaux pratiques : configuration des routes statiques et par défaut IPv6

(1) Network Camera

La qualité de service (QoS)

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Transcription:

Configurer Radius sur CISCO Par LoiselJP Le 23/05/2013

1. Objectif Ce petit tutoriel n a d autre objectif que de voir quelques commandes de base sur la configuration d un routeur Cisco. Ce document fait suite et complète le document «Installation d'un serveur RADIUS» car il faudra bien un client utilisant radius pour tester ce serveur. Il propose en même temps une série de commandes de base ainsi que quelques explications pour se connecter à un routeur. Les exemples et impression écran sont tous fait depuis un outil de simulation des plus étonnant pour les réseaux : GNS3, juste pour donner quelques commandes on ne peut pas tout expliquer, je vous laisse chercher un peu commande configurer cet outil. Mais Sachez que tout administrateur digne de ce nom, qui veut comprendre ou préparer un réseau, prévoir une maquette utilisera cet outil Vous savez ce qu il vous reste a faire. 2. Rappel Ce tutoriel suppose que les commandes de base sont connues ainsi que les moyens de configuration. Cependant un bref rappel sera fait dans ce chapitre sur les moyens de connexion et configuration de base. a. But de ce chapitre Le but de ce chapitre est d expliquer rapide comment configurer un routeur Cisco (un routeur dont l interface Web est fournie ne présente que peu d intérêts) Ces commandes de base permettront de configurer des réseaux locaux et des petits réseaux d'entreprise. Une petite explication sur les ACL (Control Access-Lists) a également été ajoutée. b. Configurer son routeur avec Hyper-Terminal Lors du premier lancement du routeur celui-ci n est pas du tout configuré (pas d adresse IP) il n est donc accessible que depuis la «console». Le premier objectif est donc de configurer l adresse IP du port sur lequel sera connecté le poste de travail, dès lors la configuration se fera de la même manière qu en hyper-terminal mais en passant par telnet (nettement plus fiable et plus rapide) c. Configuration d'hyper-terminal Tout d'abord, un câble console (câble RJ-45 et Série RS232) reliant le port série(rs232) est nécessaire pour relier l ordinateur au routeur (prise RJ-45 marquée «console»). Il est nécessaire de savoir que Cisco utilise des câbles croisé pour la console (il sont les seuls ) le câble est généralement marqué «Cisco» (logique ). LoiselJP 2013 Configurer Radius sur CISCO 2 //9

Ensuite, ouvrez Hyper-Terminal -Menu démarrer - Tous les programmes - Accessoires - Communications - Hyper-Terminal Si vous ne le trouvez pas, pas de panique, c est normal! Passez à la solution alternative! Entrez un nom pour la connexion, sélectionner le port série sur lequel est connecté le câble console et cliquez sur «paramètres par défaut» puis ok. Voilà, vous êtes connecté au routeur et à partir de maintenant vous pouvez le configurer. S'il est allumé, faite un retour à la ligne, vous devriez voir apparaître une ligne vous demandant si vous voulez entrer dans outil de configuration initial, dans ce cas répondez «no» sinon, il vous affiche le nom du routeur suivi de ">" (ex: Routeur>) ; dans ce cas tapez "en" pour enable et entrez le mot de passe s'il y en a un. Cette fois "Routeur>" change en "Routeur#" et vous pouvez commencer à taper des commandes privilégié et pour taper des commandes de configuration il vous faut passer en mode "configure terminal" en tapant "configure terminal" ou "conf t" et le prompt changera comme ceci "Routeur(config)#". d. Solution alternative : PUTTY Comme en Hyper-Terminal un câble console Est nécessaire. Sous Windows 7 et les dernières versions de Windows, l'hyper-terminal a disparu (C était normal de ne pas le trouver...) à la place la plupart des administrateurs utilisent un petit logiciel gratuit «putty» qui permettra de faire et suivre de connexions telnet, ssh et série (on ne demande pas plus). Il suffit alors de sélectionner «Série» («Serial») puis «Open» simple! e. Hyper-Terminal sur Windows 7 Bien sûr, il existe un moyen de placer l hyper-terminal sur Windows 7, Vista (pas beaucoup de sociétés l utilisent) ou Windows 8! LoiselJP 2013 Configurer Radius sur CISCO 3 //9

Il est alors nécessaire de disposer d un poste sous Xp, répcupérer la DLL d Hyper-Terminal la mettre dans le nouveau système, l enregistrer Bref «Putty» c est bien! Il est déjà bien difficile de trouver un port série sur les dernières générations de PC. Il existe quelques adaptateurs USB série pas toujours très efficaces! f. Commandes de bases Dans ce paragraphe quelques commandes de bases sont fournies pour débuter sur le routeur. Elles sont présentées avec l invite de commande ce qui permettra de mieux comprendre à quel emplacement vous vous trouvez dans l IOS (le système d exploitation du routeur) Passer en administrateur: Router>enable Password : Router# Changer le nom du routeur: Router#configure terminal Router(config)#hostname Router LoiselJP 2013 Configurer Radius sur CISCO 4 //9

Mettre un mot de passe pour la console: Router#configure terminal Router(config)#line console 0 Router(config-line)#password ***** Router(config-line)#login Router(config-line)#exit Router(config)# Mettre un mot de passe pour les lignes virtuelles(pour la configuration à travers telnet) : Router(config)#line vty 0 4 Router(config-line)#password ***** Router(config-line)#login Router(config-line)#exit Router(config)#enable password ***** Crypter les mot de passe (pour éviter qu il soit visible dans la configuration): Router(config)#service password-encryption Enregistrer la configuration : Router#copy running-config startup-config Effacer la configuration : Router#erase startup-config Router#reload On remarquera dans les différentes impressions d écran des commandes qui pourront être légèrement différentes («conf t» pour «configure terminal» ) : Les ISO reconnaissent les commandes abrégés si la commande le seule commande qui commence par «conf» est «configure» il n y a pas d équivoque, donc «conf» signfie «configure» : en enable t terminal int interface Attention : Dans certains cas «pass» signifie «password» uniquement, dans d autres cas il faudra taper «passwo», dans un cas plus précis : «en» peut signifier «enable» mais aussi dans certains «end» dans certains cas «en» pourra suffire alors dans d autres cas, comme dans le configuration, il sera nécessaire de taper «ena». g. Exemple de Configuration Les codes suivants donnent quelques exemples de configuration. Les exemples proposent la configuration recherchée puis donne les commandes à taper pour réaliser le réseau voulu : Recherché : Réseau1 adresse : 192.168.1.0 adresse broadcast : 192.168.1.255 masque sous-réseaux: 255.255.255.0 Réseau2 LoiselJP 2013 Configurer Radius sur CISCO 5 //9

adresse : 192.168.2.0 adresse broadcast : 192.168.2.255 masque sous-réseaux : 255.255.255.0 Manuel de restauration LVM Commandes à taper Router>en Password :**** Router#conf t --- Configuration des interfaces --- Router(config)#int fastethernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.128 // allumer cette interface. Router(config)#int fastethernet 0/1 Router(config-if)#ip address 192.168.1.130 255.255.255.248 --- Rip version2 et routage --- Router(config)#ip routing // active le routage sur les sous-réseaux Router(config)#router rip // active le routage avec le protocole de passerelle interne Rip Router(config-router)#version 2 // définit la version de rip utilisé Router(config-router)#network 192.168.1.0 255.255.255.128 // Subnet 1 Router(config-router)#network 192.168.1.128 255.255.255.248 // Subnet 2 Configuration pour un réseau utilisant IPX Sur le même exemple que précédemment, mais ici, c est un protocole IPX qui sera utilisé. Pour utiliser IPX, il est nécessaire de définir un numéro de réseau externe sur les stations (exemple: station 1 sur subnet 1 -> no res. ext.: 00000010, type de trame:ethernet 802.3) Router>en Password :****Router#conf t Router(config)#ipx routing --- Configuration des interfaces --- Router(config)#int fastethernet 0/0 Router(config-if)#ipx network 00000010 // spécifie le numéro de réseau externe du sous-réseau Router(config-if)#ipx type-20-propagation// laisse passer les broadcasts NetBios Router(config)#int fastethernet 0/1 Router(config-if)#ipx network 00000020 Router(config-if)#ipx type-20-propagation Configuration pour un réseau utilisant NetBeui (Bridge) L'infrastructure réseau est encore la même que précédemment mais avec le protocole NETBEUI (non-routable). Pour installer NETBEUI, il vous faut le cd-rom de Windows XP (seul sur lequel on trouve encore les fichiers pour gérer ce protocole): Insérez le cd de Cindows. Copiez les fichiers Netnbf.inf et Nbf.sys, se trouvant dans le répertoire : «Valueadd\MSFT\Net\NetBEUI», dans les répertoires suivants : Nbf.sys -> «%SYSTEMROOT%\System32\Drivers» Netbnf.inf -> «%SYSTEMROOT%\Inf» Une fois NETBEUI installé, activez-le. Il faut ensuite configurer le routeur pour utiliser un bridge. NETBEUI étant un protocole non routable, il faudra faire un pont pour relier les 2 sous-réseaux. LoiselJP 2013 Configurer Radius sur CISCO 6 //9

Router>en Password :****Router#conf trouter#conf t --- Configuration des interfaces --- Router(config)#int fastethernet 0/0 Router(config-if)#bridge-group 1 // assigne l'interface au groupe de bridge 1 Router(config)#int fastethernet 0/1 Router(config-if)#bridge-group 1 --- Bridging --- Router(config)#bridge irb // active irb(integrated routing and bridging) et permet de bridger et router Router(config)#bridge 1 protocol ieee // spécifige le type de protocole (spanning tree protocol) Mise en place de filtrage IP (Access-lists) La méthode suivant permet de mette en place un filtre en utilisant des listes d accès (ACL) appelées Access-lists. On peut noter 3 principes fondamentaux sur les ACL (à retenir) : Lorsque l on crée une ACL, elle est bloqué par défaut (on la dit DENY) Les ACL sont appliquées dans l ordre de lecture (Une ACL suivant peut annule la précédente) Lorsqu un protocole de couche de niveau 3 est autorisé à passer le routeur laissera aussi passer sur les couches inférieures. Les ACL sont définies par des numéros. Ils peuvent être : <1-99> IP standard access list Ces ACL ne permettent que de filtrer au niveau de l'adresse ip source <100-199> IP extended access list Permet d'identifier un paquet par les adresses IP, protocoles et ports source et destination <1100-1199> Extended 48-bit MAC address access list <200-299> Protocol type-code access list Permet le filtrage par protocole <700-799> 48-bit MAC address access list Permet le filtrage par adresse MAC Voici la syntaxe de la commande servant à créer une ACL : access-list <nombre> <action> <protocole> <source> <destination> <eq,gt,it,neq ou range> <numéro de port> Exemple : Permettre une ip spécifique (ce qui interdira toutes les autres, principes fondamentaux) : Router(config)#access-list 10 permit 192.92.130.2 Permettre le trafic sur le port 80 (www) depuis une source spécifique vers une destination : Router(config)#access-list 101 permit tcp host 10.1.1.2 host 10.1.2.2 eq www Permettre l'utilisation du ping (echo) Router(config)#access-list 101 permit icmp any any echo 3. Configuration client Radius Dans le principe d utilisation d un serveur Radius, le router demande (envoie une requête) au serveur Radius qui devra authentifier l utilisateur. LoiselJP 2013 Configurer Radius sur CISCO 7 //9

Pour effectuer cette opération, des informations doivent être spécifié. Activer le model AAA de façon générale : Router(config)# aaa new-model Créer un groupe (tout comme un groupe de travail) qui contiendra le ou les serveurs Radius. Ici le groupe va être nommé «Radius_Server» : Router( (config)# aaa group server radius Radius_Server Router(config-sg-radius)# Router(config-sg-radius)# server 192.168.1.1 auth-port 1645 acct-port 1646 key ma_clef_de_partage Dans cette commande on ajoute un serveur radius au groupe «Radius_Server». Sécurité oblige, il est nécessaire de préciser l adresse IP du serveur ainsi que les numéros de ports servant à l authentification et au suivi de compte. Enfin la clef partagée entre le serveur et le client Radius par l intermédiaire du paramètres «key». Cette mesure permet de définir de manière sans équivoque les serveurs reconnus. Ce qui évitera à des serveurs inconnus d usurper le rôle de serveur d authentification puis de laisser s introduire des utilisateurs qui pourraient être malveillants. Pour compléter l authentification entre les équipements un échange de clefs cryptées («ma_clef_de_partage») sera effectué. Dans l étape suivante une liste d authentification appelé «Auth-Radius» va être crée. Elle permettra aux serveurs Radius du groupe «Radius_Server» de pouvoir authentifier les utilisateurs. Cette authentification pourra être appliquée pour autoriser (ou non) l accès en console ou sur le ports auxilliaire par «telnet» ou «ssh». Les grand compte tels que le FAI utiliseront ce moyen pour autoriser leurs clients a venir se connecter sur leurs serveurs. Router(config)# aaa authentification login Auth_Radius group Radius_Server Dans l exemple ci-dessus, l authentification par serveur Radius est utilisée pour la connexion en console ou Telnet. Il est donc nécessaire d appliquer cette appliquer cette liste d authentification aux routeurs. Ce sont les lignes VTY (voir les commandes de base) qui se chargent de l authentification des utilisateurs. C est donc dans ce paramètre que seront rajoutées les options de passage par un serveur Radius Router( (config)# line vty 0 4 Router( (config-line)# login authentication Auth_Radius Router( (config-line)# transport input telnet ssh On applique donc notre liste d authentification «Auth_Radius», créée précédemment, à nos lignes «VTY», on autorise l accès par le protocole «Telnet» et «SSH» Configuré en temps normal, un mot de passe est malgré tout défini pour le cas ou le serveur Radius ne répond plus ou pour une raison quelconque le serveur serait retiré de la chaine réseau sans pour autant reconfigurer l ensemble du matériel. Router( (config-line)# password mon_mot_de_passe_habituel LoiselJP 2013 Configurer Radius sur CISCO 8 //9

Propriété Configurer Radius sur CISCO. Jean Paul Loisel 56 Rue Philippe de Girard 59160 Lomme loiseljp@club-internet.fr 06 99 15 99 00 Licence Ce document est distribué en "Public Documentation License". The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License. A copy of the License is available at this mail loiseljp@club-internet.fr. The Original Documentation is " Configurer Radius sur CISCO ". The Initial Writer of the Original Documentation is Jean Paul LOISEL 2010. All Rights Reserved. Contributor(s):. Portions created by are Copyright [Insert year(s)]. All Rights Reserved. (Contributor contact(s): [Insert hyperlink/alias]). The text of this chapter may differ slightly from the text of the notices in the files of the Original Documentation. You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications. LoiselJP 2013 Configurer Radius sur CISCO 9 //9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back