Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale.

Présentation au sujet: "Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale."— Transcription de la présentation:

1 Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale Le routeur est supposé être en état de fonctionner, c’est-à-dire que l’administrateur a les mots de passe d’accès Dans le cas où les mots de passe seraient perdus, une procédure particulière est prévue pour reprendre la main sur le routeur L’objectif de la configuration de base est de permettre au routeur de connaître son environnement IP et de s’y intégrer RE16

2 Séquence de démarrage Après le programme de bootstrap, le routeur charge son IOS Un fois le système chargé, il peut accepter des commandes Les commandes qu’il doit exécuter sont inscrites dans le fichier de configuration du routeur Ce fichier de configuration a été écrit par l’administrateur réseau et contient au minimum les paramètres des différentes interfaces La suite de cette section montre ce qu’il faut mettre dans un fichier de configuration minimum RE16

3 Séquence de démarrage RE16

4 Accès au routeur On peut accéder au routeur par un lien série appelé port console On peut ainsi dialoguer avec le routeur en mode texte, par exemple en utilisant « hyperterminal » de windows et le port série d’un PC portable Ce port console est disponible à travers une prise RJ45, pour pouvoir utiliser le précâblage réseau RE16

5 Ouverture de session port série RS232 port console RE16

6 Commandes disponibles
A tout moment, on peut obtenir de l’aide : en tapant ? on obtient la liste des commandes disponibles en tapant commande ? on obtient l’aide sur commande RE16

7 Les différents modes RE16

8 Configuration minimale
En mode privilégié : visualisation des configurations actives et de démarrage accéder au mode de configuration globale En mode de configuration globale : donner un nom au routeur changer les mots de passe accéder au modes de configuration des interfaces En mode de configuration d’interface : donner une adresse IP à l’interface la mettre en route revenir en mode privilégié sauvegarder la configuration en NVRAM RE16

9 Exemple de fichier de config
hostname cisco nomme le routeur ! commentaire enable secret 5 $1$QIgl$PUFwSWwHj/ mot de crypté ! interface Ethernet0 passage en mode interface ip address affectation de no shutdown mise en fonction interface Ethernet1 ip address no shutdown line con 0 passage en mode ligne login logging password cisco affectation du mot de passe end RE16

10 Essai de fonctionnement
Les commandes tapées sont exécutoires immédiatement Elles modifient le fichier de configuration active Il faut toujours vérifier que le fonctionnement du routeur est bien celui souhaité Pour cela un outil de base : commande ping RE16

11 Sauvegarde de la config
Une fois que la configuration active correspond au fonctionnement souhaité, il faut la sauvegarder en mémoire non volatile Elle sera ainsi rechargée au prochain redémarrage RE16

12 FireWall : exemple de mise en oeuvre
Client distant Routeur FAI Serveurs ftp HTTP DNS (2) SMTP/POP3 (2) Proxy /27 .145 .133 FireWall .1 .132 /24 .2 .131 .1 Routeur interne /16 RE16

13 FireWall : exemple de mise en oeuvre
Etape 1 : configuration de base du FireWall donner les à ses interfaces et les activer fixer les niveaux de confiance des interfaces renseigner les routes statiques de routage (pas de protocole de routage, un FireWall a des fonctionnalités de routeur, mais n’est pas un routeur !) expliciter toutes les translations d’adresses (même celles des adresses qui sont translatées vers elle-même) Quand cette étape est réalisée, le FireWall fonctionne «par défaut», c’est-à-dire dans le sens du maximum de sécurité Les seules communications autorisées, sont celle qui vont de NC supérieur à NC inférieur RE16

14 FireWall : exemple de mise en oeuvre
Etape 2 : translation des ports et ACLs paramétrer la translation des ports pour cacher les serveurs publiques derrière une seule adresse paramétrer les ACLs pour autoriser d’autres flux Le réseau est correctement protégé, à condition de sans cesse veiller à la mise à jour et à la sauvegarde de la configuration Etape 3 : configurer les accès VPN RE16

15 Firewall : exemple de configuration
interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password UksXdgrtqWqrfYqY encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname Pix3 domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h fixup protocol h323 ras fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name servdmz name servinterne name pcinterne access-list extservpub permit tcp any host eq www access-list extservpub permit tcp any host eq ftp access-list extservpub permit tcp any host eq www access-list extservpub permit tcp any host eq ftp access-list extservpub permit ip any host access-list vpn permit ip host any access-list vpn permit ip host any pager lines 24 logging on logging trap debugging logging host inside pcinterne mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip address outside ip address inside ip address dmz ip audit name polinfo info action alarm ip audit name polattaque attack action alarm drop ip audit interface outside polinfo ip audit interface outside polattaque ip audit interface inside polinfo ip audit interface inside polattaque ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) netmask global (dmz) netmask nat (inside) static (inside,outside) servinterne netmask static (inside,outside) pcinterne netmask static (dmz,outside) servdmz netmask access-group extservpub in interface outside route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication ssh console LOCAL no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set ts1 esp-des crypto map map1 10 ipsec-isakmp crypto map map1 10 match address vpn crypto map map1 10 set peer crypto map map1 10 set transform-set ts1 crypto map map1 interface outside isakmp enable outside isakmp key ******** address netmask isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh pcinterne inside ssh timeout 5 console timeout 0 username admin560 password jG8vL0c5dq0bVsVE encrypted privilege 15 username alain560 password MgoXUhPvZ2uRvR3W encrypted privilege 2 terminal width 80 Cryptochecksum:675b40c6519bf080b850ccccf3485f42 : end RE16