Вы находитесь на странице: 1из 28

Sommaire

Cisco System
I) Les commandes les plus utilises II) Sauvegarde de la configuration du routeur III configuration des commutateurs Cisco catalyst IV) Extension des rseaux commut avec les vlan V Gestion du trafic IP avec les listes daccs (ACL) VI- Projet et ralisation

I) Les commandes les plus utilises

Projet Cisco
Squence de boot :

Rom contient la configuration minimale Flash contient lIOS Nvram contient le fichier de configuration

Enable passage du mode utilisateur au mode administrateur

Show version affiche la version de lios Show interfaces montre les interfaces (fastethernet, series) Clockrate 56000 dtermine la frquence de calage Hostname Ahmed(donne un nom au routeur) Show cdp neighbors affiche les informations sur les routeurs voisins Show cdp trafic affiche le trafic dune interface Erase startconfig (efface le systme compltement) Clok set : dfinit lheure Setup : on rentre dans la configuration basic de management

II) Sauvegarde de la configuration du routeur

1) Rcupration ou sauvegarde sur un serveur TFTP


Installer un serveur TFTP (3com par exemple) Copy run-config tftp (suivre les instructions) Copy tftp run-config (copie du serveur tftp vers la ram du routeur), puis copier run config vers start-config

2) Rcupration du mot de passe


Configuration du registre : mise sous tension du routeur, appuyez sur les touches CTRL+PAUSE Configreg 0x2142 Enable #copy startconfig run-con aprs reset rpondre no Modifier le mot de passe : enable password En config terminal : configreg 0x2102 Copy run-config startconfig Exit puis reload

3) Rcupration du systme en mode RONMON via un serveur TFTP


Ronmon> IP_ADDRESS=192.168.22.103 (adresse de la carte fastethernet du routeur) IP_SUBNET MASK 255.255.255.0 DEFAULT_GATWAY=192.168.22.200 0.0.0.0 TFTP_SERVER =192.168.22.104(adresse du serveur tftp) TFTP_FILE=C2600..bin (le fichier de lios que vous avez sauvegarder) Tftpdnld (entre)

Remarque : Il faut mettre un HUB si vous avez des problme de connexion avec le serveur TFTP ( cause des dlais des swuitchs)

4) Activation des mots de passe sur telnet (vty)

Les connexions virtuelles (de 0 4), vous navez aucun contrle sur le numro de connexion, cest alatoire.

Conf term : line vty 04 Password ahmed Exit


disconnect (met fin la connexion telnet show user (pour savoir si le port telnet est actif) clear line 10 ferme la connexion telnet de lutilisteur connect

5) Activation des interfaces


Conf term Interface fastethernet 0/1 ou serial 0/1 (0=slot0 1=n du port) Config-if# ip adress 172.16.32.1 255.255.0.0 Config-if # duplex {auto | full... definie le mode No shutdown (active linterface) Ip name-server serveurDns1 serveurDns2 serveurDns6 (6 max) (adresse des dns) No ip domain-lookup (dactive la traduction des ip) Show hosts

Remarque : show interfaces (mtu =taille max des paquets pouvant tre transmit sur cette interface, bw = bandewith en kbit/s bande passante, dly =latence temps de rponse en microseconde, relay = fiabilit 255/255 100%, load = la charge (1/255) saturation si 255/255, encapsulation = mthode dencapsulation de couche 2, loopback = pour savoir si le bouclage est dfinie sur linterface, runts = petite trame, giant = grande trame

6) Activation des protocoles de routage RIP et IGRP 1. Configuration dynamique Le paramtrage en deux commandes router rip ou igrp puis network

Conf term : router igrp 100 (100 n du rseau autonome = constitue de routeur pilots par un ou plusieurs oprateurs) Conf term : router rip 100 Config-router : network 156.188.0 (spcifie que cest directement connect au rseau)

2. Configuration statique Je suis dans le rseau 172.16.0.0 255.255.0.0, je veux atteindre le rseau 172.17.0.0 255.255.0.0 (le routeur voisin a une carte dans le mme rseau que mon routeur) Je passe par la carte qui est dans le mme rseau que mon routeur : Route statique Conf term # ip route 172.17.0.0 255.255.0.0 172.16.1.2 (172.16.1.2 correspond au routeur voisin) Ip default-network 109 dfinit la route par dfaut pour le rseau utilisant le routage dynamique Show ip protocols : valeur des mtriques de k1 k5 Debug ip route affiche les mises jour du routage rip (no debu all si debug implique surcharge du rseau).

III configuration des commutateurs Cisco catalyst Il existe trois mthodes pour configurer un commutateur Cisco

Par console Par une interface web http://172.16.32.1 (exemple dadresse) Par CLI (commande line interface)

1) Les commandes :

Show run Show spantree pour viter le bouclage, garder un seul chemin entre deux segments. Show vlan-membership affiche les vlan (les vlan seront traits plus loin de ce document). Ip adress 172.16.1.2 255.255.0.0 attribue une adresse ip un port (il faut tre dans linterface concerne (config-if) # interface e0 par exemple No adress ip (pas dadresse ip), implique configuration usine 0.0.0.0 Ip default-gatway 172.16.1.100 (passerelle par dfaut) Show mac-adress-table affiche la table des adresses mac du commutateur Conf-if) # port secure max-count 1 : le nombre maximum dadresse autoris pour ce port par dfaut 132, dans lexemple 1 seule adresse mac. Les pots scuriss restreignent laccs dun port un groupe de station dfinit par ladministrateur. Config # adress violation {suspond|disable|ignore} par dfaut disable, dans ce cas la port doit tre ractiver manuellement.

2) Sauvegarde du fichier de configuration sw# copy nvram tftp://172.16.1.1/ahmed.cfg : sauvegarde la nvram vers le serveur 172.16.1.1, le nom du fichier ahmed.cfg. sw# copy tftp://172.16.1.1/ahmed.cfg nvram: restore le fichier ahmed.cfg vers la nvram.

IV) Extension des rseaux commut avec les vlan

1) Dfinitions Les vlan (virtuel lan) permettent de regrouper des utilisateurs dans un domaine de diffusion communtage). Les vlan peuvent regrouper plusieurs segments physiques. Chaque port du commutateur peut tre affect un unique vlan. La notion des tronons (trunk) permet un vlan de stendre sur plusieurs commutateurs sur une seule connexion (indpendamment de lemplacement), bien sur les commutateurs sont relis entre eux par un cble crois. Les vlan sont de couche 2 du model OSI alors ils sont indpendant des protocoles, pour que deux vlan puissent communiquer, il faut ajouter un router et un protocole de couche trois du model OSI. Les vlan utilisent deux modes dapprentissage : statique cest ladministrateur qui configure le port qui appartiendra un vlan dynamique, il faut un serveur VMPS (vlan membership policy server), un VMPS peut tre un catalyst 5000 ou un serveur externe.

Le catalyst 1900 ne peut abriter une base VMPS. 2) Liaison entre commutateur (jonction) Le marquage ISL (inter suitch link) permet aux commutateurs de se communiquer les informations sur les vlan. ISL : est un marquage de trame utilis par les catalyst, il a une faible latence, permet de multiplexer le trafic provenant de plusieurs vlan sur un seul chemin physique (tronon = trunk), cette liaison ncessite un cble crois. Pour assurer les vlan dans toute la matrice de commutation, les vlan doivent tres configurs sur chaque commutateur.

VTP (vlan trunking protocol) est une mthode simple pour maintenir lhomognit de la configuration des vlan sur lensemble du rseau commut (ATM, FDDI, X25, SDH ). VTP travail en trois mode, serveur, client ou transparent, par dfaut serveur. VTP doit tre installer en mode serveur sur un seul commutateur qui permet de modifier, de crer ou supprimer un vlan. Sur tous les autres commutateurs du rseau en mode client.

3) Les commandes Chaque fois que le serveur VTP modifie une information sur un vlan, il incrmente de 1 # show vtp delete vtp (configuration usine), cette commande est obligatoire chaque fois que vous ajouter un commutateur au rseau, ou il faut configurer le nouveau switch en mode client. Config # vtp {serveur|client|transaprent} nom-du-domaine trap password mon-de-passe (TRAP = interception activ) Config # Trunk {on|off|auto} Show trunk 1 (sur le port n1) #conf # interface fastethernet 0/1 config-if # swuitchport mode trunk (affection du port 3 au trunk) Show interface trunk (affiche le pot du tronon)

Cration dun vlan Config # vlan 1 name ahmed (cration dun vlan n1 dont le nom est ahmed). Config#interface vlan 1 172.16.x.x 255.255.0.0 (adresse IP du switch (une seul adresse) Show vlan ou show vlan id 1 Config # vlan 1 name nouveau-nom (renomme le vlan ahmed en un autre nom).

Config # no shutdown (activation du vlan) Config# vlan 1 Config#interface fasethernet 0/2 Config if # swuitchport access vlan 2 (associe le port n2 au vlan 1) Config # no vlan 1 (supprime le vlan 1)

V Gestion du trafic IP avec les listes daccs (ACL)

Les listes daccs (Acess Cotrol list) permettent aux routeurs didentifier le trafic entrant et sortant. Il existe 2 types dACL :

Listes daccs Standard (standard) : vrifient juste la sources des paquets router Listes daccs tendues (extended) : vrifient la fois le trafic source et destination

Une liste daccs peut tre applique plusieurs interfaces, mais, il ne peut y avoir quune seule par protocole, par direction et par interface. Le traitement des lignes de la liste est squentiel (de la premire ligne dernire dans cet ordre). Les listes daccs ne filtrent que le trafic qui traverse le routeur, elles ne filtrent pas celui dont il est lorigine.

1) Commandes de base des listes daccs config # access-list permet laccs aux listes globales config # ip access active une liste sur une interface (il faut tre dans la carte concerne)

Exemple dACL standard: Config # access-list 1 Config # access-list 1 deny 172.16.32.11 0.0.255.255 Config # access-list 1 permit any Config # interface fastethernet 0/1

Config-if#ip access-list 1 out Lexemple montre la cration dune liste de type standard (199) -Interdit le trafic pour lordinateur 172.16.32.11 -Permet tout le reste du trafic -Se mettre sur la carte Ethernet 1 -Lui appliquer la liste 1 Remarque importante : il faut obligatoirement un permit aprs deny, si non tout le trafic sera bloqu (par dfaut cest deny).

Pour appliquer lacl telnet Config line# access-class 1 IN empche le routeur de recevoir du trafic telnet, specifier dans la liste Config line# access-class 1 OUT empche les ports les port VTY dinitier des sessions telnet vers les adresses dfinit dans lacl.

2) Cration des listes tendues Config # access-list nacl (100 199) permit|deny protcole @source masque @dest masque operateur (eq, lt, gt) established (pour tcp)

Vocabulaire : eq (equal = egal), lt(less than =infrieur ), gt (great than = suprieur )

Exemple 1: Config # access-list 101 deny tcp 172.16.32.11 established. 0.0.255255 192.168.2.1 eq 21

Config # access-list 101 deny tcp 172.16.32.11 0.0.255255 192.168.2.1 eq 20 Config # access-list 101 permit ip any any

Application de lACL une carte

Config # interface e0 Config if # ip access-group 101 out

Lexemple montre la cration dune ACL tendue n101, le protocole est TCP la machine concerne est 172.16.32.11, la destination est 192.168.2 et le service FTP ports (20et 21), car FTP utilise les deux ports et quelle interface on lapplique.

3) Cration des listes nommes Pour crer une liste daccs nomme, il suffit de mettre la place des numros des listes (0-99) ou (100-199) ou autres le type de la liste, soit standard (standard) ou tendue (extended) Exemple : Config # ip access-list extended AhmedList le protocole utilis est IP, acl etendue, nomACL (AhmedList) Config-std # deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Config-std #permit ip any any Config # interface e0 (la carte connecte dans le rseau 172.16.3.0 dou le out) Config-if #ip access-group AhmedAcl out

Lexemple montre une ACL nomm qui bloque le trafic TELNET provenant du sous rseau 172.16.4.0 vers le sous rseau 172.16.3.0 Lavantage de cette mthode : Il suffit de mettre un no devant une ligne dans lACL pour la modifier. Sachez que dans les listes non nommes, vous tes oblig de supprimer toute lACL pour une ligne de code.

Schma : 172.16.3.0 Routeur 172.16.4.0

E0

E1

Les ordinateurs du sous rseau 172.16.4.0 font des requtes Telnet vers le sous rseau 172.16.3.0 en passant par la carte E1, le trafic (telnet) circule dans le routeur, mais, si cela est destin au sous rseau172.16.3.0, il sera bloqu en out de la carte E0. Vous avez envie de dire que ce nest pas logique, pourquoi ne pas bloqu le trafic TELNET qui arrive du sous rseau 172.16.4.0 vers 172.16.3.0 sur la carte E1 en IN. Je suis daccord
mais il faut retenir que lACL sapplique la carte la plus proche de la destination.

4) Surveillance des listes daccs Les commandes suivantes : #show ip interface type-interface numero-interface

#show ip fastethernet 1 (exemple de show ip) outgoing access list is not set (en entre il y a pas de liste Inbound access list is 1(en entre cest la liste 1 qui est autorise)

#show access-list affiche le contenu de toutes les listes daccs #show {protocle} access-list {numero_de_liste | nom_de_liste} #show ip access-list AhmedAcl (exemple du nom de lacl dfinie plus haut dans cd document).

Rsum : #config # access list numero_de_liste ou nom_de_liste #config # ip access-group numero_de_liste ou nom_de_liste {in | out}

#line vty 04 #config-line# access-class numero_de_liste ou nom_de_liste {in | out} #show ip access-list #show ip interface {type_interface} nom_interface

VI- Projet et ralisation Le but du projet est trs simple, mise en place de deux Suitchs (catalyst 1900) en mode trunk(tronon), cre deux VLAN 1 et 2, configur un Routeur qui a accs sur Internet via la ligne numris. Mettre deux clients, un dans le VLAN1 et lautre dans le VLAN2, ralis le routage et laccs Internet. Tout ce trafic va tre contrl par une ACL nomme.

Schma du rseau TRUNK

Les fichiers de configuration joint dans ce document doivent servir de rfrence, faites des capture des fichiers de configuration de chaque matriel (suitch ou routeur Connecter vous au Switch ou au Routeur via la console (hyperTerminal) Dans transfert/capturer le texte/dmarrer En ligne de commande, faite #show run

Dfilez le contenu de la configuration Dans transfert/capturer le teste/Arrter la capture

Modifiez le fichier votre convenance Attention le fichier doit commencer par configure terminal Recharger le fichier dans le matriel actif concern Dans Transfert/ Envoyer un fichier texte

1-Configuration du commutateur (suitch1)

configure terminal

hostname SuitchA

enable secret 5 $1$hDlD$Q8nD5QVxzKaDWDijA3dij/

ip subnet-zero

spanning-tree extend system-id

vlan 1 name ahmed no shutdown ! Les ports 4,5, 6 du suitch1 sont dans le vlan2 vlan 2 suitch access vlan 4 suitch access vlan 5 suitch access vlan 6

interface FastEthernet0/1 no ip address

interface FastEthernet0/2 no ip address !Le port 3 du suitch 1 en mode trunk interface FastEthernet0/3 switchport mode trunk

interface FastEthernet0/4

no ip address

interface FastEthernet0/5 no ip address

interface FastEthernet0/6 no ip address

interface FastEthernet0/7 no ip address

interface FastEthernet0/8 no ip address

interface FastEthernet0/9 no ip address

interface FastEthernet0/10 no ip address

interface FastEthernet0/11 no ip address

interface FastEthernet0/12 no ip address

interface Vlan1 ip address 172.16.32.1 255.255.0.0 no ip route-cache

ip http server

snmp-server engineID local 00000009020000074F162600 snmp-server community private RW snmp-server community public RO

line con 0 stopbits 1 line vty 0 4 password class login line vty 5 15 password class login

end

2- Configuration du commutateur (suitch2) La configuration du switch 2 est la mme que le switch 1, il suffit de mettre le port 3 en mode trunk et mettre les ports 4, 5, 6 dans le vlan2

3- Configuration des postes de travail -Le poste POST a ladresse IP 172.16.32.12, passerelle par dfaut 172.16.32.1 -Le poste POST_1 a ladresse IP 192.2168.1.2, passerelle par dfaut 192.168.1.1 17.16.32.1 et 192.168.1.1 sont les deux cartes Fastethernet du routeur

http://www.networkingfiles.com/Network/configmaker.htm

4- Configuration du routeur Attribuer ladresses IP pour la fastethernet 0/0 (172.16.32.1) Attribuer ladresses IP pour la fastethernet 0/1 (192.168.1.1) Configurer ISDN ( Config Maker )

configure terminal ! version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Cisco2621 ! enable password 7 104D05181604 ! ! memory-size iomem 10 ip subnet-zero no ip domain-lookup ! isdn switch-type vn3 !

! interface FastEthernet0/0 description connected to EthernetLAN ip address 172.16.32.1 255.255.0.0 ip nat inside duplex auto speed auto !

interface FastEthernet0/1 description connected to EthernetLAN ip address 192.168.1.1 255.255.0.0 ip nat inside duplex auto speed auto

interface BRI0/0 description connected to Internet no ip address ip nat outside encapsulation ppp dialer rotary-group 1 isdn switch-type vn3 no cdp enable !

interface Dialer1 description connected to Internet ip address negotiated ip nat outside encapsulation ppp no ip split-horizon dialer in-band dialer string 00860008484 dialer hold-queue 10 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname fti/2r9b6ax ppp chap password 7 15160E0F1C2D3335 ppp pap sent-username fti/2r9b6ax password 7 0825494D111E1D06 ! router rip version 2 passive-interface Dialer1 network 172.16.0.0 network 192.168.0.0

no auto-summary ! ip nat inside source list 1 interface Dialer1 overload

ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server ! access-list 1 permit 172.16.0.0 0.0.255.255 access-list 1 permit 192.168.0.0 0.255.255.255

dialer-list 1 protocol ip permit snmp-server community public RO ! line con 0 exec-timeout 0 0 password 7 060506324F41 login line aux 0 line vty 0 4 password 7 060506324F41 login ! end

VII Conclusion

Le fichier ci-dessous est configur pour une ligne ADSL.


configure terminal ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname ahmed_routeur ! aaa new-model ! ! aaa authentication login default local aaa authorization exec default local aaa session-id common enable secret 5 $1$g68D$WHm4.KmulQL2DBc2Tf0Ym/ !

username ahmed password 7 045A070A0634411C594951 ip subnet-zero no ip domain-lookup ! ip bootp server vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! interface Ethernet0 ip address xx.xx.xx.xx 0.0.0.0 (masque suivant votre rseau) ip nat inside ip tcp adjust-mss 1452 hold-queue 100 out ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode ansi-dmt hold-queue 224 in ! interface ATM0.1 point-to-point pvc 8/35

pppoe-client dial-pool-number 1 ! ! interface Dialer1 ip address negotiated ip access-group 100 in ip mtu 1492 ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname fti/xxxxxxxx ppp chap password 7 15453F1C143D1D132A ppp pap sent-username fti/xxxxxx password 7 115E2D1507053D3B06 ! ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.0.0.0 255.0.0.0 xx.xx.xx.254 ip route 172.16.0.0 255.240.0.0 xx.xx.xx.254 ip route 192.168.0.0 255.255.0.0 xx.xx.xx.254 ip http server ip http authentication local

! ! access-list 1 permit xx.xx.xx.0 0.0.0.255 access-list 1 deny any

access-list 100 remark ANTISPOOFING access-list 100 deny 53 any any access-list 100 deny 55 any any access-list 100 deny 77 any any access-list 100 deny pim any any access-list 100 deny ip 127.0.0.0 0.255.255.255 any log-input access-list 100 deny ip 10.0.0.0 0.255.255.255 any log-input access-list 100 deny ip 172.16.0.0 0.15.255.255 any log-input access-list 100 deny ip 192.168.0.0 0.0.255.255 any log-input access-list 100 permit ip any any dialer-list 1 protocol ip list 1

banner motd ^CCCCCCCCCC ######################################################################## Deconnez pas, vous tes sur un espace priv ########################################################################

^C privilege exec level 1 show ! line con 0 exec-timeout 0 0 stopbits 1 line vty 0 4 exec-timeout 30 0 password 7 094A5C0617111E150A02567A7B70 transport input telnet ! scheduler max-task-time 5000 end