La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

ARS 00/011 Introduction routeur Cisco Création –2000-2001 : Christian Hascoët (CCR)

Présentations similaires


Présentation au sujet: "ARS 00/011 Introduction routeur Cisco Création –2000-2001 : Christian Hascoët (CCR)"— Transcription de la présentation:

1 ARS 00/011 Introduction routeur Cisco Création – : Christian Hascoët (CCR)

2 ARS 00/012 Plan Les principales commandes pour la configuration d'un routeur cisco : –Commandes d'interfaces –Filtrage –Commandes globales –Commandes de routages (voir cours correspondant) –Commandes de lignes (console, vty) Commandes d'exécution : visualisation, debug...

3 ARS 00/013 Configuration : synoptique Commandes globales : –Services, DNS, NTP, IOS, Log, statistiques, personnalisation... Interface Type N° –Configuration de l'interface Routage : protocole, routes statiques … Filtrage : sécurité, routage, accès au routeur Commande de ligne : console, vty 0 à 4 –Ligne X : Configuration de la ligne X

4 ARS 00/014 Configuration : vue d'ensemble show running-config ou show startup-config Commande globales –service, personnalisation, ntp, IOS, boot interface Type N°1 –configuration interface Type N°1 interface Type N°2 –configuration interface Type N°2 …... router Type R –configuration protocole de routage (router) Type R /etc/hosts, routes statiques Gestion des logs, snmp Filtrage : access-lists Commande de lignes : line con 0, line aux 0, line vty 0 4

5 ARS 00/015 Initialisation Boot du routeur …. --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[ ]'. Would you like to enter the initial configuration dialog? [yes]: First, would you like to see the current interface summary? [yes]: n Configuring global parameters: Enter host name [Router]: … Would you like to terminate autoinstall? [yes]: yes

6 ARS 00/016 Configuration par console Liaison série 9600 par défaut (RJ45,DB25) Prompt par défaut Router> Passage en super-utilisateur : enable –Pas de mot de passe par défaut –Prompt par défaut Router# –Obligatoire pour la configuration et pour la visualisation de la configuration Accès au mode configuration –Configure terminal : Router(config)#

7 ARS 00/017 Configuration par console Mise en place du mot de passe "enable" –Commande globale –enable-password toto –+ service password-encryption ==> –enable-password DA64BEA –A remplacer par –enable secret 5 1$k1p6$i4wqEzO90/L22Ejd2r0DT1

8 ARS 00/018 Configuration des interfaces C'est la base de la configuration du routeur : –Passage à la configuration d'une interface : interface type N° Exemple : interface ethernet 0 (Router(config-if)#) –On peut y spécifier principalement l'adressage, mais aussi le filtrage, le type d'encapsulation, la gestion des files d'attente … Rq : pour remonter dans l'arborescence –exit pour remonter d'1 niveau, –retour au mode commande : end ou ctrl Z

9 ARS 00/019 Visualisation : Configuration ethernet interface Ethernet0 description Nom Réseau, Administrateur, , téléphone ip address A.B.C.D Masque (secondary) ip broadcast-address A.B.C.X (Défaut : ) ip access-group 100 in ip access-group 110 out no ip redirects no ip proxy-arp ip accounting ip accounting access-violations

10 ARS 00/0110 Visualisation : Configuration série interface Serial0 description LS 64K vers XXXX bandwidth 64 ip unnumbered Type N° no ip route-cache no fair-queue down-when-looped

11 ARS 00/0111 Visualisation : Configuration tunnel Le tunnel permet d' "oublier" la topologie existante interface tunnel X description Tunnel GRE vers cisco distant ip unnumbered Type N° bandwidth 256 tunnel source "une adresse IP du routeur *" tunnel destination "routeur distant" tunnel mode** gre ip (par défaut cisco cisco) * en général, la plus proche du routeur distant ** mode principaux disponibles : aurp, cayman, dvmrp, ipip... Réseau IP1 Réseau IP2 avec sous-réseau(x) IP1 Internet tunnel

12 ARS 00/0112 Filtrage : access-list : Principe Une access-list est une liste séquentielle de règles de permission et d'interdiction portant sur les protocoles réseaux (ip, tcp …) –Chaque paquet est examiné et fonction de sa source, de sa destination, de son type, des ports, il est soit retransmis,soit éliminé par le routeur –Séquentielle => Permettre avant d'interdire :-) Mettre le + en tête de liste possible les paquets les + fréquemment trouvés –Une access-list est terminée implicitement par une interdiction totale Exception : une access-list vide laisse tout passer –Tout ce qui n'est pas explicitement permis est interdit –Elle peut être utilisé pour le filtrage des paquets En transit par le routeur (filtrage au niveau des interfaces) D'informations de routage (venant vers ou partant du routeur) Pour accéder au routeur...

13 ARS 00/0113 Filtrage : access-list : Liste Router(config)#access-list ? IP standard access list IP extended access list... Appletalk access list 48-bit MAC address access list IPX standard access list IPX extended access list IPX SAP access list Extended 48-bit MAC address access list IPX summary address access list

14 ARS 00/0114 Filtrage : access-list : Aide Listes exhaustives des ports tcp, udp, icmp … –ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers Liste réduite dans /etc/services :... ftp-data 20/tcp # File Transfer Protocol (Data) ftp 21/tcp # File Transfer Protocol (Control) telnet 23/tcp # Virtual Terminal Protocol smtp 25/tcp # Simple Mail Transfer Protocol whois 43/tcp nicname # Who Is domain 53/tcp nameserver # Domain Name Service domain 53/udp nameserver # tftp 69/udp # Trivial File Transfer Protocol finger 79/tcp # Finger http 80/tcp www # World Wide Web HTTP...

15 ARS 00/0115 Access-list ip simple 1 N° 99 (source seulement) Router(config)#access-list 1 permit | deny ? A.B.C.D (Address to match) W.X.Y.Z (Wildcard bits) anyAny source host hostA single host address Exemple : access-list 1 permit (2 et 3) access-list 1 permit (0 à 255) access-list 1 permit (16 à 31) access-list 1 deny any (ajouter de manière implicite)

16 ARS 00/0116 Access-list IP étendue 100 N° 199 –source et destination (+ port source et/ou destination) Router(config)#access-list 100 permit ? ip Any Internet Protocol tcp Transmission Control Protocol udp User Datagram Protocol icmp Internet Control Message Protocol An IP protocol number eigrp, ospf, igrp... Protocole de routage gre, ipinip Tunnel Cisco ou IP dans IP igmp Internet Gateway Message Protocol … (variable selon les versions d'IOS)

17 ARS 00/0117 Access-list IP étendue : IP Router(config)#access-list 100 permit ip any any ? logLog matches against this entry precedenceMatch packets with given precedence value tos Match packets with given TOS value

18 ARS 00/0118 Access-list IP étendue : TCP Router(config)#access-list 100 permit tcp any any ? eqMatch only packets on a given port number neqMatch only packets not on a given port number ltMatch only packets with a lower port number gtMatch only packets with a greater port number rangeMatch only packets in the range of port numbers established Match established connections precedenceMatch packets with given precedence value tos Match packets with given TOS value log Log matches against this entry

19 ARS 00/0119 Access-list IP étendue: UDP Router(config)#access-list 100 permit udp any any ? eqMatch only packets on a given port number neqMatch only packets not on a given port number gtMatch only packets with a greater port number lt Match only packets with a lower port number range Match only packets in the range of port numbers precedenceMatch packets with given precedence value tosMatch packets with given TOS value logLog matches against this entry

20 ARS 00/0120 Access-list IP étendue : ICMP Liste longue : ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers Les principales : ICMP message type echo, echo-reply Echo (ping), Echo reply host-redirect, host-unknown Host redirect, unknown host-unreachable Host unreachable mask-reply mask-request Mask replies, requests source-quench contrôle de flux time-exceeded All time exceededs traceroute Traceroute...

21 ARS 00/0121 Filtrage : Application Pour une interface : interface Type N° ip access-group N°access-list in | out Pour un protocole de routage router Type (OSPF in seulement) distribute-list N°access-list in | out Pour l'accès au routeur line vty 0 access-class N°access-list in | out Routeur OUT IN

22 ARS 00/0122 Filtrage : Exemples access-list 100 permit tcp any any established access-list 100 deny ip any log(spoofing) access-list 100 deny ip any log(broadcast) access-list 100 deny ip any log(broadcast) access-list 100 deny tcp any any range log(snmp) access-list 100 permit ip any host (DMZ) access-list 100 permit tcp any host eq smtp (Mail) access-list 100 deny tcp any any range 0 37 log … access-list 100 permit ip any any

23 ARS 00/0123 Filtrage : visualisation show access-list 100 Extended IP access list 100 deny ip any log (973 matches) deny ip any log (2695 matches) deny ip any log (952 matches) permit ip any any ( matches) sh access-list 1 Standard IP access list 1 deny deny , wildcard bits deny , wildcard bits deny , wildcard bits permit any

24 ARS 00/0124 Commandes de lignes : 3 types –con 0 et aux 0 (console) speed (défaut :9600), txspeed, rxspeed –vty (0 à 4) pour connexion distantes exec-timeout minutes secondes login (demande d'un mot de passe, recommandé) password "mot de passe" (obligatoire à distance) history size 30 transport [input | output] telnet, rlogin, lat, none, all... access-class 1-99 in | out ip netmask-format [bitcount | decimal | hexa ]

25 ARS 00/0125 Commandes de lignes : Exemples line con 0 exec-timeout 0 0 login password XXXX history size 30 transport input none transport output telnet line aux 0 Idem con 0 line vty 0 4 access-class 98 in exec-timeout 0 0 login password XXXX history size 30 transport input telnet transport output telnet

26 ARS 00/0126 Commandes globales : service Tout ce qui n'est pas commande d'interface, de ligne, de filtrage ou de routage Débute (dans le sens) de la lecture d'une configuration de cisco par les services : –service config : chargement automatique de config par le réseau –service finger (par défaut) –service password-encryption (recommandé, mais décryptable) –service prompt config (par défaut) –service timestamps [debug | log] uptime | datetime localtime –service telnet-zero-idle (par défaut) ….

27 ARS 00/0127 Commandes globales : nom & boot hostname Nom_Routeur (Attribué un nom au routeur) boot host tftp | rcp boot network tftp | rcp boot system flash slot0:gs7-j-mz CA.bin boot system flash gs7-j-mz bin boot system tftp | rcp

28 ARS 00/0128 Gestion de l'IOS copy flash tftp : sauvegarde IOS sur serveur tftp copy tftp flash : chargement IOS par serveur tftp Flash : bootflash, slot0 ou slot1 (PCMCIA) format delete : effacer un fichier de la flash squeeze "flash:" : supprimer un fichier effacé dir [device:] : lister les fichiers d'une flash pwd, cd erase device: | startup-config

29 ARS 00/0129 Visualisation : IOS & boot show version (ou show hard) Cisco Internetwork Operating System Software IOS (tm) 7200 Software (C7200-P-M), Version 12.0(8)S, EARLY DEPLOYMENT ROM: System Bootstrap, Version 12.0( :195103) [12.0XE 105], BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(9)S, r-jusren uptime is 2 d, 22 h, 41 m (restarted 19:53:17 MET Wed Mar Last reset from power-on. System image file is "slot0:c7200-p-mz S.bin" cisco 7206VXR (NPE300) processor with K/40960K bytes of memory. R7000 CPU at 262Mhz, Implementation 39, Rev 1.0, 256KB L2, 2048KB L3 Cache 3 FastEthernet/IEEE interface(s), 1 ATM network interface(s) 125K bytes of non-volatile configuration memory K bytes of Flash PCMCIA card at slot 0 (Sector size 128K). 4096K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x102

30 ARS 00/0130 Visualisation : IOS & boot show flash [all] -#- ED --type-- --crc--- - seek-- nlen -length date/time name 1.. image DCB00EEC 9B73E Mar :33 c7200-js-mz_120-7T.bin 2.. image E81D3610 EFD Mar :21 c7200-p-mz.120-8S.bin bytes available ( bytes used) show bootflash: -#- ED --type-- --crc--- -seek-- nlen -length date/time name 1.. image E87BFDE9 3121C Mar :35 c7200-boot-mz_120-9S.bin bytes available ( bytes used)

31 ARS 00/0131 Gestion fichiers : Configuration tftp Extrait de inetd.conf... # Before uncommenting the "tftp" entry below, please make sure # that you have a "tftp" user in /etc/passwd. If you don't # have one, please consult the tftpd(1M) manual entry for # information about setting up this service. tftp dgram udp wait root /usr/lbin/tftpd tftpd... grep tftp /etc/passwd tftp:*:107:102:,,,:/reseau/config:/usr/bin/false

32 ARS 00/0132 Commandes globales : heure Réglage de l'heure : –clock timezone MET 1 –clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00 Synchronisation avec serveur ntp –Direct : ntp –Par broadcast Interface Type N° –ntp broadcast client Envoie de l'heure par broadcast Interface Type N° –ntp broadcast ntp access-group [query-only | serve-only | serve | peer ] N° access-list Serveur NTP R ntp broadcast client ntp broadcast

33 ARS 00/0133 Visualisation : heure show clock show ntp status Clock is synchronized, stratum 2, reference is nominal freq is Hz, actual freq is Hz, precision is 2**19 reference time is BC7E39B7.1F66A438 (18:21: MET Sat Mar ) clock offset is 0.80 msec, root delay is 2.76 msec root dispersion is 6.30 msec, peer dispersion is 1.31 msec show ntp associations address ref clock st when poll reach delay offset disp *~ TDF * master (synced), # master (unsynced), + selected, - candidate, ~ configured

34 ARS 00/0134 Commandes globales IP ip source-route : (défaut) accepte paquet avec source routing ip subnet-zero : permet l'utilisation du 1ier réseau ip host ( /etc/hosts) ip domain-name : pour complémenter les noms (1) ip domain-list : pour complémenter les noms (2) ip accounting-threshold Seuil : Nombre d'entrée dans la table ip Masque : limiter les accountings Applications des accountings : –ip accounting (commande d'interface) –ip accounting access-violations

35 ARS 00/0135 Visualisation accounting Cisco # show ip accounting [access-violations] Source DestinationPackets BytesACL … Effacement avec : – clear ip accounting

36 ARS 00/0136 Commandes de log Router(config)#logging ? A.B.C.D IP address of the logging host facility Facility parameter for syslog messages buffered Set buffered logging parameters réglages des niveaux par récepteur : console Set console logging level monitorSet terminal line (monitor) logging level trapSet syslog server logging level source-interfaceSpecify interface for source address in logging transactions

37 ARS 00/0137 Commandes de log : Niveaux Router (config)#logging trap ? alerts Immediate action needed critical Critical conditions debugging Debugging messages emergencies System is unusable errors Error conditions informational Informational messages notifications Normal but significant conditions warnings Warning conditions

38 ARS 00/0138 Commandes de log : syslogd Router(config)#logging facility local X (7 par défaut) # syslogd configuration file. mail.debug /var/adm/syslog/mail.log daemon.info;mail.none /var/adm/syslog/syslog.log... # Accès gatorbox local1.warning/reseau/syslog/gatorbox.log # Accès Fore local2.notice/reseau/syslog/fore.log # Accès Log Routeur de sortie local3.debug/reseau/syslog/jusren.log # Accès des CISCO (Commutateurs et routeurs) local7.debug/reseau/syslog/cisco.log

39 ARS 00/0139 Commandes de routage Exemple avec RIP : router rip version 2 network passive-interface ethernet 1 distribute-list 1 in ethernet 1 distribute-list 2 in ethernet 0

40 ARS 00/0140 Routage avec redistribution (1) Redistribution mutuelle : router ospf 1 redistribute rip metric 2 subnets network area 1 router rip redistribute ospf 1 metric 2 network

41 ARS 00/0141 Routage avec redistribution (2) router eigrp 1307 redistribute rip passive-interface Vlan68 network network default-metric distribute-list 2 in Vlan68 …. router rip passive-interface Vlan68 network network distribute-list 2 in Vlan68 …. access-list 2 deny any Routage principal en eigrp Routage local en rip –Écoute seule –Redistribution des routes RIP dans EIGRP => pas de redistribution de l'eigrp dans le RIP –Les machines faisant des annonces RIP doivent posséder une route par défaut pour communiquer avec le monde extérieur

42 ARS 00/0142 Routage / Filtrage Une autre manière efficace pour faire du filtrage : ip Masque_réseau Destination ip route Null0 ip route Null0 ip route Null0

43 ARS 00/0143 Routage par la source route-map Transparent-Proxy match ip address N°access-list set ip Transparent-Proxy ! Attachement direct access-list X deny ip any access-list X deny ip any ! Les autres machines access-list X permit tcp any eq www Transparent Proxy RD Internet Site RO

44 ARS 00/0144 Routage par la source : Exemple 2 (1) Internet Site1 Réseau A Site2 Réseau A & B Tunnel

45 ARS 00/0145 Routage par la source : Exemple 2 (2) Site 1 (Réseau IP A seul) interface Tunnel N° description Tunnel GRE vers cisco distant ip unnumbered Type N° bandwidth 256 tunnel tunnel

46 ARS 00/0146 Routage par la source : Exemple 2 (3) Site 2 (Réseau B et une partie de A) interface Tunnel X description Tunnel GRE vers cisco distant ip unnumbered Ethernet3 tunnel tunnel route-map SITE1 match ip address N set interface Tunnel X set ip cisco1 access-list N permit Partie_Réseau_A_sur_Site2 ip route

47 ARS 00/0147 Éxecutable Avec possibilité de spécifier l'adresse source pour tests –ping –traceroute telnet, rlogin, rsh systat ( who) reload exit, quit

48 ARS 00/0148 Management Par station de management : snmp-server community public RO 99 access-list 99 show processes cpu CPU utilization for 5 seconds: 9%; 1 minute: 10%; 5 minutes: 11% show processes memory Total: , Used: , Free:

49 ARS 00/0149 Mode debug Par la console (monitor) Par telnet (terminal monitor (visualisation du debug)) debug ? (La liste est très longue) Exemple : debug ip rip RIP: received update from on Ethernet in 1 hops RIP: sending update to via Ethernet0 ( ) subnet , metric 1 subnet , metric 1 undebug all (u all) All possible debugging has been turned off


Télécharger ppt "ARS 00/011 Introduction routeur Cisco Création –2000-2001 : Christian Hascoët (CCR)"

Présentations similaires


Annonces Google