Etude de cas : le routage Le routage Date 08/09/05slimane.t.free.fr/espaces/ddp/network/pdf/routeur.pdf · Institut Informatique Sud Aveyron Etude de cas : le routage Le routage Date

Institut Informatique Sud Aveyron

Etude de cas : le routage Le routage Date 08/09/05

Rédaction : Slimane Tanji CISCO Networking Academy Program Page 1 sur 53

Routage




Routage

Introduction _______________________________________________________________ 4

Matériel et référence ________________________________________________________ 5

Adressage IP_______________________________________________________________ 6

Différentes méthodes de se connecter au routeur__________________________________ 6

Calcul des adressages IP WAN et LAN__________________________________________ 7

WAN D-E_____________________________________________________________________ 7

WAN E-F _____________________________________________________________________ 7

LAN Gestion __________________________________________________________________ 8

LAN Eva _____________________________________________________________________ 9

Vue arrière d’un routeur _____________________________________________________ 9

Configuration de base des routeurs et des stations de travail________________________ 10

Schéma physique du réseau__________________________________________________ 13

Protocole de routage________________________________________________________ 15

Routage statique ______________________________________________________________ 15

Route par défaut ______________________________________________________________ 16

Tableaux de routage________________________________________________________ 16

Fichier de configuration des routeurs__________________________________________ 16

Teste de la connectivité du réseau _____________________________________________ 20

Sécurité __________________________________________________________________ 21

Règle générale ________________________________________________________________ 21

Résumé______________________________________________________________________ 21

Listes de contrôle d’accès____________________________________________________ 22

Préconisation _____________________________________________________________ 24

L'administration de réseaux par SNMP ________________________________________ 25

Fonctionnement SNMP_________________________________________________________ 25

Protocole SNMP ______________________________________________________________ 25

SMI : Structure of Management Information ______________________________________ 25

Installation de l’agent SNMP____________________________________________________ 26

Protocole CDP ____________________________________________________________ 27

Fichier de configuration des routeurs__________________________________________ 28

Routeur Center _______________________________________________________________ 28

Routeur Boaz_________________________________________________________________ 29

Routeur Eva__________________________________________________________________ 30




Teste de sécurité ___________________________________________________________ 32

Fin de la documentation générale _____________________________________________ 36

Question complémentaire_______________________________________________________ 36

Documentation technique ___________________________________________________ 37

Schéma réseau ________________________________________________________________ 38

Annexe __________________________________________________________________ 51

Conclusion _______________________________________________________________ 53




Introduction

Suite à la lecture du cahier des charges fourni par la société 2ISA, qui est représenté par Marc Cana. Je dois réaliser un réseau avec trois routeurs, trois commutateurs, un serveur de fichier et 516 stations de travail. On nous indique que le serveur de fichier du site Gestion est accessible à toutes les stations de travail de cet inter réseau et que la station Stat2 de ce même réseau est utilisée pour gérer tous les routeurs sur l’inter réseau.

Cette étude de cas me permet de réaliser un projet de conception réelle et de mettre en œuvre les compétences acquises au cours du programme CCNA 2.

Au cours de cette étude de cas, je dois accomplir les taches suivantes :

Mettre en place la configuration physique du réseau en utilisant le schéma qui l’accompagne.

� Calculer les adresses de sous réseaux.

� Configurer correctement les routeurs avec une configuration de base.

� Dépanner et tester l’ensemble de la connectivité et des listes de contrôle d’accès.

� Soumettre deux documentations, une documentation générale et une documentation

technique.




Matériel et référence Voici le détail du matériel à disposition pour le TP avec ces références ROUTEURS :

Routeur Marque IOS numéro de série Boaz CISCO 2620 version 12.1 (19) JACO535A2EP

Center CISCO 2620 version 12.1 (19) JACO535A2ES Eva CISCO 2621 version 12.1 (19) JHYO841K2GP

STATIONS :

Postes OS numéro de série

Serveur 1 Windows 2000 Server 02708 Station 2 Windows 98 Deuxième Edition 02495 Station 3 Windows 98 Deuxième Edition 02593 Station 4 Windows 98 Deuxième Edition 02598 Station 5 IMac 8.3.5 02712 Station 6 Windows 95 02578

SWITCH :

SWITCH Modèle Port numéro de série Sohocon FSW-2105TX 5 ports 02358 CISCO Catalyst 2950 11 ports 03901 CISCO Catalyst 2950 26 ports 02398

CABLES CONSOLES :

Postes Modèle Adaptateur Image Stat2 LDW 4300 72-1259-01 RJ-45 à DB-25 Stat4 LDW 1400 72-1259-01 RJ-45 à DB-25 Stat5 LDW 1201 72-1259-01 RJ-45 à DB-25

CABLES SERIES : Modèle Connecteurs DCE Connecteurs DTE Image

V.35 DCE Foxconn C0134 72-0792-01

REV.D0 Foxconn C0132 72-0791-01

REV.D0

V.35 Foxconn C0134 72-0792-01

REV.D0 Foxconn C0134 72-0791-01

REV.D0 CABLES DES ROUTEURS AUX COMMUTATEURS : 3 câbles droits Web LAN UTP à paires torsadées de catégories 5 10/100BaseTX CABLES DES POSTES AUX COMMUTATEURS : 6 câbles droits RJ45




Adressage IP Calcul des adresses réseaux en fonction des données du cahier des charges. Les adresses WAN doivent être minimisées. Donc dans notre cas deux adresses pour chaque ligne série. Adresse du LAN Center : 172.16.73. ? Nombre de postes : 200 Adresse du LAN Boaz : 172.26. ?. ? Nombre de postes : 300 Adresse du LAN Eva : 172.26. ?. ? Nombre de postes : 16 Trois routeurs sont à notre disposition pour le TP :

� Routeur Lab-D hostname Boaz. � Routeur Lab-E hostname Center. � Routeur Lab-F hostname Eva.

Différentes méthodes de se connecter au routeur Pour se connecter à l’interface de commande en ligne du routeur (CLI) on peut utiliser différentes méthodes : Mode console : via une liaison série basse vitesse par le biais d’un terminal Exécuter hyper terminal : Nom de connexion : mark Com1 9600 bits 8 bits de donnée 1 bit d’arrêt Aucun : contrôle de flux

Une autre façon consiste à utiliser une connexion à accès commuté au moyen d’un modem ou d’un null modem connecté au port AUX du routeur. L’autre méthode consiste à établir une connexion Telnet




Calcul des adressages IP WAN et LAN WAN D-E

Les adresses pour les réseaux WAN sont de classe C pour ne pas les confondre avec les adresses des LAN. Il faut minimiser les adressages WAN donc deux adresses pour chaque interface série. 22 = 4 Host 26 = 62 sous réseaux WAN D-E : 192.168.1.0 /30 Masque des sous réseaux : 255.255.255.252 IP réseaux Plages IP WAN Broadcast

Serial 0/0 192.168.1.1 192.168.1.0 /30

Serial 0/1 192.168.1.2 192.168.1.3

Schéma

WAN E-F 22 = 4 Host 26 = 62 sous réseaux WAN D-E : 192.168.1.4 /30 Masque des sous réseaux : 255.255.255.252 IP réseaux Plages IP WAN Broadcast

Serial 0/0 192.168.1.5 192.168.1.4 /30

Serial 0/1 192.168.1.6 192.168.1.7

Schéma




LAN Gestion Adresse du LAN Gestion : 172.16.73. ? Nombre de postes : 200 Pour 200 postes il faut prendre 8 bits sur la partie hôte, pour avoir 256 hôtes. 28 = 256 Host 28 = 256 sous réseaux LAN Gestion : 172.16.73.0 /24 Masque : 255.255.255.0 IP réseaux Plages IP LAN Broadcast

début 172.16.73.1 172.16.73.0 /24

fin 172.16.73.254 172.16.73.255

Schéma

LAN Boaz Adresse du LAN Boaz : 172.26. ?. ? Nombre de postes : 300 Pour 300 postes il faut prendre 9 bits sur la partie hôte, pour avoir 512 hôtes. 29 = 512 Host 27 = 126 sous réseaux LAN Boaz : 172.26.46.0 /23 Masque : 255.255.255.254 IP réseaux Plages IP LAN Broadcast

début 172.26.46.1 172.26.46.0 /23

fin 172.26.47.254 172.26.47.255

Schéma




LAN Eva Adresse du LAN Eva : 172.26. ?. ? Nombre de postes : 16 Pour 300 postes il faut prendre 5 bits sur la partie hôte, pour avoir 30 hôtes. 25 = 32 Host 211 = 2048 sous réseaux LAN Boaz : 172.26.15.0 /27 Masque : 255.255.255.224 IP réseaux Plages IP LAN Broadcast

début 172.26.15.1 172.26.15.0 /27

fin 172.26.15.30 172.26.15.31

Schéma

Vue arrière d’un routeur




Configuration de base des routeurs et des stations de travail

Désignation du

routeur Noms d'hôte Adresse FastEthernet 0/0 Adresse Serial 0/0 Adresse Serial 0/1

d'interface Serial 0/0

d'interface Serial 0/1

Activer les interfaces

Routeur D Boaz 172.26.46.1/23 192.168.1.1 DCE no shutdown Routeur E Center 172.16.73.1/24 192.168.1.5 192.168.1.2 DCE DTE no shutdown Routeur F Eva 172.26.15.1/27 192.168.1.6 DTE no shutdown

Noms d'hôte IP Nom de réseau Adresse de réseau Masque Fréquence d'horloge

Serial 0/0 Boaz LAN Boaz 172.26.46.0 255.255.254.0 2 000 000

Center LAN Gestion 172.16.73.0 255.255.255.0 2 000 000 Eva LAN Eva 172.26.15.0 255.255.255.224

Désignation du routeur Noms d'hôte IP Banner Description Fa 0/0 Description Serial 0/0 Description Serial 0/1

Routeur D Boaz Router Boaz, Joël, Slimane go to LAN Boaz go to WAN D-E Routeur E Center Router Center, Joël, Slimane go to LAN Gestion go to Wan E-F go to WAN D-E Routeur F Eva Router Eva, Joël, Slimane go to Lan Eva go to WAN E-F

Désignation du routeur Nom du routeur Mot de passe "enable secret" Mot de passe console Mot de passe enable Mot de passe VTY Protocole de routage

Routeur D Boaz Cisco CNA sanfran class Statique Routeur E Center Cisco CNA sanfran class Statique Routeur F Eva Cisco CNA sanfran class Statique




IP host Configuration des noms d’host sur les routeurs pour faciliter le ping en remplacent l’adresse IP par le nom d’host. En mode configuration global taper : Ip host nom adresse.

HOST IP Adresse fastethernet IP adresse serial 0/0 IP adresse serial 0/1 Boaz 172.26.46.1 192.168.1.1

Center 172.16.73.1 192.168.1.5 192.168.1.2 Eva 172.26.15.1 192.168.1.6

Adressage MAC Adresse MAC Center Adresse MAC Eva Dynamic Dynamic 00E07D9705EB 172.16.73.4 FastEthernet0/0 0080C84A338C 172.26.15.3 FastEthernet0/0 0080C84A33DB 172.16.73.28 FastEthernet0/0 000502117854 172.26.15.4 FastEthernet0/0 00055D80667A 172.16.73.200 FastEthernet0/0 Other Other 0007505E8CE0 172.16.73.1 FastEthernet0/0 0012009AA920 172.26.15.1 FastEthernet0/0 Adresse MAC Boaz Dynamic 0080C84A2170 172.26.46.3 FastEthernet0/0 0080C86B504E 172.26.46.4 FastEthernet0/0 Other 0007505E8B40 172.26.46.1 FastEthernet0/0 Configuration des stations de travail




Les noms d’hôtes des machines n’ont pas été changés pour le TP.

Désignation :

� M (machine) 01(salle) X (LAN) 1 (numéro du poste)

LAN poste Nom d’hôtes Adresse IP Masque de sous réseau Passerelle mot de passe O S Serveur 1 M01G3 172.16.73.4 255.255.255.0 172.16.73.1 CNA Windows 2000

Gestion Stat 2 M01G2 172.16.73.28 255.255.255.0 172.16.73.1 CNA Windows 98-SE Stat 3 M01B3 172.26.46.4 255.255.254.0 172.26.46.1 CNA Windows 98-SE

Boaz Stat 4 M01B2 172.26.46.3 255.255.254.0 172.26.46.1 CNA Windows 95 Stat 5 M01E2 172.26.15.3 255.255.255.224 172.16.15.1 CNA Windows 98-SE

Eva Stat 6 M01E3 172.26.15.4 255.255.255.224 172.16.15.1 CNA IMAC 8.3.5




Schéma physique du réseau




Schéma logique du réseau




Protocole de routage

Pour qu'une machine soit en mesure d'en contacter une autre, il faut mettre en place un mécanisme qui décrive comment aller de l'une à l'autre. C'est ce que l'on appelle le routage. Une ``route'' est définie par une paire d'adresses: une ``destination'' et une ``passerelle''. Cette paire signifie que pour atteindre cette destination, vous devez passer par cette passerelle. Un administrateur réseau ne déploie pas uniquement le routage dynamique ou statique. En effet, les deux types de routages sont combinés sur les grands réseaux. Les routes statiques peuvent être utilisées pour la sécurité supplémentaire du réseau. Lorsqu’une liaison tombe en panne, un autre chemin pourrait être pris, indiqué par la route statique. Par ailleurs, le routage statique est la solution optimale dans certains cas. Routage statique

Mon choix c’est porté sur le routage statique pour des raisons de sécurité. J’ai donc définie les routes statiques pour que toutes les stations puissent communiquer entre elle. Pour configurer une route statique, la commande IP route est utilisée à partir du mode de configuration globale : Router(config)#IP route préfixe masque { prochain_saut | int_type int_num } [ distance ] [ tag ] [ permanent ]

Mot-clé Description

préfixe L’adresse IP du réseau distant

masque Le masque du réseau distant

prochain_saut L’adresse IP du prochain saut

int_type int_num L’interface de sortie (décrite par le type et le numéro)

distance Distance administrative

tag Marqueur utilisé pour la redistribution de routes

permanent Ne jamais effacer la route (même si l’interface tombe)




Route par défaut

Il existe trois syntaxes pour configurer la route par défaut, toutes trois exécutées à partir du mode de configuration global :

� IP default-gateway � IP default-network � IP route 0.0.0.0 0.0.0.0

dans notre cas le choix à été fait avec la troisième commande voir tableaux center, pour

dire tous les réseaux nous tapons « 0.0.0.0 » comme préfixe réseau « 0.0.0.0 » pour le masque et la destination.

Tableaux de routage IP route Center : Routage Source Masque Destination IP route 172.26.46.0 255.255.254.0 192.168.1.1 IP route 172.26.15.0 255.255.255.224 192.168.1.6 IP route 0.0.0.0 0.0.0.0 172.16.73.200 IP route Boaz : Routage Source Masque Destination IP route 172.16.73.0 255.255.255.0 192.168.1.2 IP route 172.26.15.0 255.255.255.224 192.168.1.2 IP route 192.168.1.4 255.255.255.252 192.168.1.2 IP route Eva : Routage Source Masque Destination IP route 172.26.46.0 255.255.254.0 192.168.1.5 IP route 172.16.73.0 255.255.255.0 192.168.1.5 IP route 192.168.1.0 255.255.255.252 192.168.1.5

Fichier de configuration des routeurs Voici les fichiers de configuration de routeur Center, Boaz et Eva pour la première partie du TP. A ce stade aucune ACL n’est appliqué et toutes les stations peuvent communiquer entre elle.




Center version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Center enable secret 5 $1$bXRT$hPr3E99E2SA2k9DjESSAz. enable password sanfran memory-size iomem 10 ip subnet-zero ip host Center 172.16.73.1 192.168.1.2 192.168.1.5 ip host Eva 172.26.15.1 192.168.1.6 ip host Boaz 172.26.46.1 192.168.1.1 interface FastEthernet0/0 description connect to lan Gestion ip address 172.16.73.1 255.255.255.0 duplex auto speed auto no shutdown interface Serial0/0 description connect to wan D-E ip address 192.168.1.5 255.255.255.252 encapsulation ppp no fair-queue clockrate 2000000 no shutdown interface Serial0/1 description connect to wan E-F ip address 192.168.1.2 255.255.255.252 encapsulation ppp no shutdown ip classless ip route 0.0.0.0 0.0.0.0 172.16.73.200 ip route 172.26.15.0 255.255.255.224 192.168.1.6 ip route 172.26.46.0 255.255.254.0 192.168.1.1 ip http server banner motd ^CCCC routeur Center;joel;slimane ^C line con 0 password cna login line aux 0 line vty 0 4 access-class 1 in password class login end




Boaz version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Boaz enable secret 5 $1$EJS4$hkKoesywOd7g6KOuZmxin. enable password sanfran ip subnet-zero ip host Eva 172.26.15.1 192.168.1.6 ip host Boaz 172.26.46.1 192.168.1.1 ip host Center 172.16.73.1 192.168.1.2 192.168.1.5 interface FastEthernet0/0 description connect to lan Boaz ip address 172.26.46.1 255.255.254.0 duplex auto speed auto no shutdown interface Serial0/0 description conect to wan D-E ip address 192.168.1.1 255.255.255.252 encapsulation ppp no fair-queue clockrate 2000000 no shutdown interface Serial0/1 no ip address shutdown ip classless ip route 172.16.73.0 255.255.255.0 192.168.1.2 ip route 172.26.15.0 255.255.255.224 192.168.1.2 ip route 192.168.1.4 255.255.255.252 192.168.1.2 ip http server banner motd ^CCC routeur Boaz,Slimane,joel ^C line con 0 password cna login line aux 0 line vty 0 4 password class login end Boaz#




Eva no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Eva enable secret 5 $1$IINi$bYVcdeJ97gms9OIYSQpbM. enable password sanfran memory-size iomem 25 ip subnet-zero ip host Boaz 172.26.46.1 192.168.1.1 ip host Eva 172.26.15.1 192.168.1.6 ip host Center 172.16.73.1 192.168.1.5 192.168.1.2 interface FastEthernet0/0 description connect to LAN Eva ip address 172.26.15.1 255.255.255.224 duplex auto speed auto no shutdown interface Serial0/0 description connect to WAN E-F ip address 192.168.1.6 255.255.255.252 encapsulation ppp no fair-queue no shutdown interface BRI0/0 no ip address shutdown interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ip classless ip route 172.16.73.0 255.255.255.0 192.168.1.5 ip route 172.26.46.0 255.255.254.0 192.168.1.5 ip route 192.168.1.0 255.255.255.252 192.168.1.5 ip http server banner motd ^CCC routeur Eva,Slimane,joel ^C line con 0 password cna login line aux 0 line vty 0 4 password class login end Eva#




Teste de la connectivité du réseau Ping du routeur boaz Boaz#ping 172.26.15.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.26.15.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms Boaz# ping de stat4




Sécurité À ce stade de la configuration le chef d’équipe découvre que la sécurité n’a pas été planifiée. Il me demande d’ajouter des listes de contrôle d’accès (ACL) aux routeurs. Il émet certaines suggestions pour développer la sécurité. Les conditions suivantes doivent être prises en compte lors de la création des listes de contrôle d’accès :

� La station de travail 2 et le serveur de fichiers 1 se trouve sur le réseau de gestion. N’importe quelle unité du réseau de gestion peut accéder à n’importe quel équipement sur l’ensemble du réseau.

� Les stations de travail connectées aux LAN Eva et Boaz ne sont pas autorisées en

dehors de leur sous réseaux, sauf pour accéder au serveur de fichiers 1.

� Chaque routeur peut envoyer une requête Telnet aux autres routeurs et accéder à n’importe quelle unité sur le réseau.

Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur. Les ACL permettent de gérer le trafic et de sécuriser l’accès d’un réseau en entrée comme en sortie. Ils existent différents types d’ACL :

� ACL standard. (1-99, 1300-1999) � ACL étendu. (100-199, 2000-2699) � ACL nommé. � Restriction au terminal virtuel.

Règle générale La règle générale est de placer les listes de contrôle d’accès étendues le plus prés possible de la source du trafic refusé. Etant donné que les listes de contrôle d’accès standard ne précisent pas les adresses de destination, vous devez les placer le plus prés possible de la destination. Résumé

� Une ACL est une liste séquentielle d’instructions d’autorisations ou de refus qui s’appliquent aux adresses ou aux protocoles de couche supérieure.

� L’ordre des instructions ACL est important. � Les ACL standard vérifient l’adresse d’origine des paquets IP qui sont routés. � Les ACL étendues sont utilisées plus souvent que les ACL standard car elles

fournissent une plus grande gamme de contrôles.




Listes de contrôle d’accès Pour respecter les conditions un et deux je vais appliquer une liste de contrôle d’accès étendu sur les routeur Eva et Boaz. Je vais commencer par appliquer la liste de contrôle d’accès étendu sur Eva, et Boaz. Pour leur autoriser l’accès au serveur de fichier, et restreindre l’accès à tout autre réseau que le leur, et leur autoriser la réponse aux ping. A C L sur Eva Sur le routeur Eva en mode de configuration global entrer chaque commande comme d’écrit par la suite. Eva (config) # access-list 100 permit ip 172.26.15.0 0.0.0.31 host 172.16.73.4 Définir le type d’ACL ici étendu numéro 100 et ont permet le protocole IP au réseau 172.26.15.0 à tous les host vers l’adresse IP 172.16.73.4 Eva (config) # access-list 100 permit icmp 172.26.15.0 0.0.0.31 any echo-reply Définir le types d’ACL ici étendu numéro 100 et ont permet le protocole ICMP au réseau 172.26.15.0 à tous les host vers (any) tout le monde en réponse aux ping (echo-reply). Eva (config) # interface fastEthernet 0/0 Se mettre sur l’interface sur laquelle ont veut appliquer cette ACL. Ici sur l’interface fastethernet 0/0 sur le routeur Eva Eva (config-if) # ip access-group 100 in Pour l’appliquer à cette interface on entre Ip access-group numéro de L’ACL ici 100, on défini une direction IN ou OUT Et on fini par exit deux fois pour revenir en mode privilégié. Exit Eva#




A C L sur Boaz Sur le routeur Eva en mode de configuration global entrée chaque commende comme d’écrit par la suite. Boaz (config) # Access-list 100 permit ip 172.26.46.0 0.0.1.255 host 172.16.73.4 Définir le types d’ACL ici étendu numéro 100 et ont permet le protocole IP au réseau 172.26.46.0 à tous les host vers l’adresse IP 172.16.73.4 Boaz (config) # Access-list 100 permit icmp 172.26.46.0 0.0.1.255 any echo-reply Définir le types d’ACL ici étendu numéro 100 et ont permet le protocole ICMP au réseau 172.26.46.0 à tous les host vers (any) tout le monde en réponse aux ping (echo-reply). Boaz (config) # Interface fastEthernet 0/0 Se mettre sur l’interface sur laquelle ont veut appliquer cette ACL. Ici sur l’interface fastethernet 0/0 sur le routeur Eva Boaz (config-if) # IP access-group 100 in Pour l’appliquer à cette interface on entre Ip access-group numéro de L’ACL ici 100, on défini une direction IN ou OUT Et on fini par exit deux fois pour revenir en mode privilégié. Exit Eva# A C L sur center Pour restreindre l’accès des stations dans le réseau gestion au routeur par le biais de Telnet, je défini une ACL sur le routeur center pour interdire toutes les stations sauf la station 2 qui est la station d’administration. Center(config)#access-list 100 permit tcp host 172.16.73.28 any eq Telnet Center(config)#access-list 100 deny tcp 172.16.73.0 0.0.0.255 any eq Telnet Center(config)#access-list 100 permit ip any any Center(config)#interface fastEthernet 0/0 Center(config-if)#ip access-group 100 in Center(config-if)#exit Center(config)#exit




Préconisation ACL sur VTY Je préconise de mettre une ACL sur les router Eva et Boaz pour plus de sécurité au niveaux de l’accès au routeur en interdisant l’accès aux terminal virtuel. Pour empêcher tout utilisateurs de se connecter au routeur par le biais d’un câble console. Exemple pour Eva. Eva (conf) # access-list 1 deny 172.26.15.0 0.0.0.31 Eva (conf) # line vty 0 4 Eva (conf) # access-class 1 in Eva (conf) # exit Exemple pour Boaz. Boaz (conf) # access-list 1 deny 172.26.46.0 0.0.1.255 Boaz (conf) # line vty 0 4 Boaz (conf) # access-class 1 in Boaz (conf) # exit Règles générales Le processus de création de la liste de contrôle d’accès au terminal virtuel est identique à celui décrit pour une interface. Toutefois, l’application de la liste de contrôle d’accès à une ligne de terminal nécessite la commande access-class à la place de la commande access-group. Vous devez prendre en compte les éléments suivants lors de la configuration de listes d’accès sur des lignes vty :

� Lors du contrôle de l’accès à une interface, un nom ou un numéro peut être utilisé. � Seules les listes d’accès numérotées peuvent être appliquées à des lignes virtuelles. � Définissez des restrictions identiques sur toutes les lignes de terminal virtuel, car un

utilisateur peut tenter de se connecter à n’importe quelle ligne.




L'administration de réseaux par SNMP Fonctionnement SNMP Le protocole SNMP (Simple Network Management Protocol) a été développé pour permettre à l’administrateur du réseau d’interroger les éléments de son réseau sans se déplacer. Le principe de SNMP est très simple, sur chacune des machines on installe un petit programme l’agent SNMP. Cet agent enregistre en permanence des informations relatives à la machine. Il stocke ces informations dans une MIB (Management Information Base), une base de données. Ainsi, de son ordinateur, l’administrateur peut interroger chacune de ses machines et obtenir les informations qu’il souhaite, comme par exemple le nombre d’octets reçus et envoyés. Il peut aussi modifier certaines informations. Protocole SNMP Le protocole SNMP fonctionne au niveau 7 du modèle OSI, mais se situe directement au-dessus d’UDP. Il fonctionne sur un modèle client-serveur, où il n’y a qu’un seul client, la station d’administration (NMS = Network Management Station) et beaucoup de serveur (chaque agent SNMP), le client interrogeant les serveurs pour récupérer les informations. Chaque agent est placé sur un nœud du réseau qui est dit administrable (MN : Managed Node). Ces nœuds peuvent être soit des hôtes (stations de travail ou serveurs), soit des éléments d’interconnexion (switchs, hubs, routeurs), soit des supports physiques (câbles). SMI : Structure of Management Information Pour se retrouver dans la foule d’informations proposées par chaque agent, on a défini une structure particulière pour les informations appelée SMI. Chacune des informations de la MIB peut être retrouvée soit à partir de son nom de variable, soit à partir d’un arbre de classification. Cela revient à parcourir des sous-dossiers et dossiers d’un disque dur. Supposons que vous souhaitiez consulter la variable System d’un hôte, vous pouvez soit lui demander la variable System directement, soit lui demander la variable ayant pour OID (Object IDentification) 1.3.6.1.2.1.1. Correspondant à l’arborescence de la variable (ISO, Identified Organization, dod, Internet, Management, MIB2, System). Ca parait très lourd à première vue, mais le nombre de variable étant important, on ne peut se souvenir de chaque nom. Par contre, il existe de nombreux logiciel permettant d’explorer la MIB de façon conviviale, en utilisant cette classification.




Installation de l’agent SNMP Installation de l’agent sur les routeurs Center, Boaz et Eva, le nom de la communauté est public en lecture seulement. En mode configuration globale entrer la commande suivante : Sur le routeur Center Center (config)# snmp-server community public ro Center (config)# snmp-server contact please contact your administrator [email protected] Sur le routeur Boaz Boaz (config)# snmp-server community public ro Boaz (config)# snmp-server contact please contact your administrator [email protected] Sur le routeur Eva Eva (config)# snmp-server community public ro Eva (config)# snmp-server contact please contact your administrator [email protected] Installation de la station de management Pour ce TP le logiciel installer et AdREM SNMP manager (NMS = Network Management Station).




Protocole CDP La Direction centrale de la sécurité des systèmes d'information a émit un avis sur la vulnérabilité du protocole cdp. Voir annexe Description CDP (Cisco Discovery Protocol) est un protocole permettant aux équipements CISCO d'un même réseau de s'échanger des informations. Ce protocole permet, par l'envoi de trames périodiques, de tenir à jour une table d'information d'états des matériels CISCO voisins (adresses, etc.). Un utilisateur mal intentionné peut réaliser un déni de service sur les équipements CISCO par l'envoi massif de requêtes CDP. Cette vulnérabilité n'est exploitable que par une machine se trouvant sur le même réseau physique que le CISCO (CDP utilisant des trames de diffusion de niveau 2 non routables). Le protocole CDP est activé par défaut sur les matériels CISCO Donc dans le cadre de se TP CDP à été désactivé En mode configuration global No cdp run




Fichier de configuration des routeurs Routeur Center version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Center ! enable secret 5 $1$bXRT$hPr3E99E2SA2k9DjESSAz. enable password sanfran ! memory-size iomem 10 ip subnet-zero ip host Boaz 172.26.46.1 192.168.1.1 ip host Eva 172.26.15.1 192.168.1.6 ip host Center 172.16.73.1 192.168.1.2 192.168.1.5 ! interface FastEthernet0/0 description connect to lan Gestion ip address 172.16.73.1 255.255.255.0 ip access-group 100 in duplex auto speed auto ! interface Serial0/0 description connect to wan D-E ip address 192.168.1.5 255.255.255.252 encapsulation ppp no fair-queue clockrate 2000000 ! interface Serial0/1 description connect to wan E-F ip address 192.168.1.2 255.255.255.252 encapsulation ppp ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.73.200 ip route 172.26.15.0 255.255.255.224 192.168.1.6 ip route 172.26.46.0 255.255.254.0 192.168.1.1 ip http server ! access-list 100 permit tcp host 172.16.73.28 any eq Telnet access-list 100 deny tcp 172.16.73.0 0.0.0.255 any eq Telnet




access-list 100 permit ip any any no cdp run snmp-server community public RO snmp-server contact please contact your administrator: [email protected] banner motd ^CCCCC routeur Center;joel;slimane ^C ! line con 0 password cna login line aux 0 line vty 0 4 access-class 1 in password class login end Center# Routeur Boaz version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Boaz enable secret 5 $1$EJS4$hkKoesywOd7g6KOuZmxin. enable password sanfran ! ip subnet-zero ip host Center 172.16.73.1 192.168.1.2 192.168.1.5 ip host Boaz 172.26.46.1 192.168.1.1 ip host Eva 172.26.15.1 192.168.1.6 interface FastEthernet0/0 description connect to lan Boaz ip address 172.26.46.1 255.255.254.0 ip access-group 100 in duplex auto speed auto ! interface Serial0/0 description conect to wan D-E ip address 192.168.1.1 255.255.255.252 encapsulation ppp no fair-queue clockrate 2000000 ! interface Serial0/1




no ip address shutdown ! ip classless ip route 172.16.73.0 255.255.255.0 192.168.1.2 ip route 172.26.15.0 255.255.255.224 192.168.1.2 ip route 192.168.1.4 255.255.255.252 192.168.1.2 ip http server ! access-list 100 permit ip 172.26.46.0 0.0.1.255 host 172.16.73.4 access-list 100 permit icmp 172.26.46.0 0.0.1.255 any echo-reply no cdp run snmp-server community public RO snmp-server contact please contact your administrator: [email protected] banner motd ^CCCC routeur Boaz,Slimane,joel ^C ! line con 0 password cna login line aux 0 line vty 0 4 password class login end Boaz# Routeur Eva version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Eva ! enable secret 5 $1$IINi$bYVcdeJ97gms9OIYSQpbM. enable password sanfran ! memory-size iomem 25 ip subnet-zero ip host Center 172.16.73.1 192.168.1.5 192.168.1.2 ip host Eva 172.26.15.1 192.168.1.6 ip host Boaz 172.26.46.1 192.168.1.1 ! interface FastEthernet0/0 description connect to LAN Eva ip address 172.26.15.1 255.255.255.224




ip access-group 100 in duplex auto speed auto ! interface Serial0/0 description connect to WAN E-F ip address 192.168.1.6 255.255.255.252 encapsulation ppp no fair-queue ! interface BRI0/0 no ip address shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! ip classless ip route 172.16.73.0 255.255.255.0 192.168.1.5 ip route 172.26.46.0 255.255.254.0 192.168.1.5 ip route 192.168.1.0 255.255.255.252 192.168.1.5 ip http server ! access-list 100 permit ip 172.26.15.0 0.0.0.31 host 172.16.73.4 access-list 100 permit icmp 172.26.15.0 0.0.0.31 any echo-reply no cdp run snmp-server community public RO snmp-server contact please contact your administrator: [email protected] banner motd ^CCCC routeur Eva,Slimane,joel ^C ! line con 0 password cna login line aux 0 line vty 0 4 password class login ! end Eva#




Teste de sécurité Certain élément mon été demander de vérifier voici le résultat de ces testes : Connexion TELNET de Boaz à Eva : Boaz#Telnet Eva Trying Eva (172.26.15.1)... Open CCC routeur Eva,Slimane,joel User Access Verification Password: Password: Eva>ena Password: Eva# Connexion TELNET de la station de travail 4 à Eva :

BLOQUEE Connexion TELNET de la station de travail 5 à Boaz :

BLOQUEE




Connexion TELNET de la station de travail 2 à Boaz :

REUSSIE Connexion TELNET de la station de travail 2 à Eva :

REUSSIE Requête ping de la station de travail 5 vers le serveur de fichier 1 :

REUSSIE




Requête ping de la station de travail 3 vers le serveur de fichier 1 :

REUSSIE Requête ping de la station de travail 3 vers la station de travail 4 :





BLOQUEE Requête ping de la station de travail 3 vers la station de travail 5

BLOQUEE Requête ping de la station de travail 2 vers la station de travail 5 :


REUSSIE Requête ping du routeur Eva vers la station de travail 3 :




Eva#ping 172.26.46.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.26.46.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms Eva#ping 172.26.46.4 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.26.46.4, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Eva# Requête ping du routeur Boaz vers la station de travail 5 : Password: Boaz>ena Password: Boaz#ping 172.26.15.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.26.15.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms Boaz# REUSSIE

Fin de la documentation générale Question complémentaire. Pourquoi deux documentations ? La documentation technique doit être un document sur laquelle le technicien peut s’appuyer pour dépanner cet environnement. Avec toutes les indications nécessaires pour remettre les éléments actifs en route. Que se passe t’il si un équipement tombe en panne ? Tout dépend du matériel qui tombe en panne si ce une station pas bien grave pour le réseaux ; sinon remplacer l’équipement en question par le même modèle de référence et recharger le fichier de configuration.




Documentation technique




Schéma réseau




Gestion de la configuration sur center Nom d’host Center#sh host Default domain is not set Name/address lookup uses domain service Name servers are 255.255.255.255 Host Port Flags Age Type Address(es) Boaz None (perm, OK) 2 IP 172.26.46.1 192.168.2.5 Eva None (perm, OK) 2 IP 172.26.15.1 192.168.1.6 Center None (perm, OK) 2 IP 172.16.73.1 192.168.2.6 192.168.1.5 Center# Show Interface brief Center#sh ip interface brief Interface IP-Address OK? Method Status Prot ocol FastEthernet0/0 172.16.73.1 YES manual up up Serial0/0 192.168.1.5 YES manual up up Serial0/1 192.168.2.6 YES manual up up Center# Table de routage Center#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 172.16.73.200 to network 0.0.0.0 172.16.0.0/24 is subnetted, 1 subnets C 172.16.73.0 is directly connected, FastEthernet0/0 172.26.0.0/16 is variably subnetted, 2 subnets, 2 masks S 172.26.46.0/23 [1/0] via 192.168.2.5 S 172.26.15.0/27 [1/0] via 192.168.1.6 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks




C 192.168.1.4/30 is directly connected, Serial0/0 C 192.168.1.6/32 is directly connected, Serial0/0 192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.2.4/30 is directly connected, Serial0/1 C 192.168.2.5/32 is directly connected, Serial0/1 S* 0.0.0.0/0 [1/0] via 172.16.73.200 Center# Version de L’IOS Center#sh ver Center#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-D-M), Version 12.1(19), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Tue 04-Mar-03 05:07 by kellythw Image text-base: 0x80008088, data-base: 0x80959A90 ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Center uptime is 2 hours, 54 minutes System returned to ROM by power-on System image file is "flash:c2600-d-mz.121-19.bin" cisco 2620 (MPC860) processor (revision 0x600) with 59392K/6144K bytes of memory Processor board ID JAD05340CHA (163223056) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. 1 FastEthernet/IEEE 802.3 interface(s) 2 Serial network interface(s) 32K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Center#

Gestion du réseau sur center Sh ip access-list Center#sh ip access-lists Standard IP access list 1 deny 172.16.73.0, wildcard bits 0.0.0.255 (10 matches) Center#




Sh ip interface Center#sh ip int Center#sh ip interface FastEthernet0/0 is up, line protocol is up Internet address is 172.16.73.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/0 is up, line protocol is up Internet address is 192.168.1.5/30 Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 192.168.1.6 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled




Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/1 is up, line protocol is up Internet address is 192.168.2.6/30 Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 192.168.2.5 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled




IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Center#

Gestion de la configuration sur Boaz Nom d’host Boaz#sh host Default domain is not set Name/address lookup uses domain service Name servers are 255.255.255.255 Host Port Flags Age Type Address(es) Eva None (perm, OK) 2 IP 172.26.15.1 192.168.1.6 Boaz None (perm, OK) 2 IP 172.26.46.1 192.168.2.5 Center None (perm, OK) 2 IP 172.16.73.1 192.168.2.6 192.168.1.5 Boaz# Show ip interface brief Boaz#sh ip interface brief Boaz#sh ip interface brief Interface IP-Address OK? Method Status Prot ocol FastEthernet0/0 172.26.46.1 YES manual up up Serial0/0 192.168.2.5 YES manual up up Serial0/1 unassigned YES manual administratively down down Boaz# Table de routage Boaz#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2




E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 1 subnets S 172.16.73.0 [1/0] via 192.168.2.6 172.26.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.26.46.0/23 is directly connected, FastEthernet0/0 S 172.26.15.0/27 [1/0] via 192.168.2.6 192.168.1.0/30 is subnetted, 1 subnets S 192.168.1.4 [1/0] via 192.168.2.6 192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.2.6/32 is directly connected, Serial0/0 C 192.168.2.4/30 is directly connected, Serial0/0 Boaz# Version de l’IOS Boaz#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-D-M), Version 12.1(19), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Tue 04-Mar-03 05:07 by kellythw Image text-base: 0x80008088, data-base: 0x80959A90 ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Boaz uptime is 4 hours, 46 minutes System returned to ROM by power-on System image file is "flash:c2600-d-mz.121-19.bin" cisco 2620 (MPC860) processor (revision 0x600) with 53248K/12288K bytes of memory. Processor board ID JAD05340AW0 (3361044799) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. 1 FastEthernet/IEEE 802.3 interface(s) 2 Serial network interface(s) 32K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Gestion du réseau sur Boaz

Documentation de la gestion de la sécurité Show ip access-list Boaz#sh ip access-lists Extended IP access list 100 permit ip 172.26.46.0 0.0.1.255 host 172.16.73.4 (5 matches)




permit icmp 172.26.46.0 0.0.1.255 any echo-reply (10 matches) Boaz# show ip interface FastEthernet0/0 is up, line protocol is up Internet address is 172.26.46.1/23 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 100 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/0 is up, line protocol is up Internet address is 192.168.2.5/30 Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 192.168.2.6 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set




Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/1 is administratively down, line protocol is down Internet protocol processing disabled Boaz#

Gestion de la configuration Eva Nom d’host Eva#sh host Default domain is not set Name/address lookup uses domain service Name servers are 255.255.255.255 Host Port Flags Age Type Address(es) Boaz None (perm, OK) 2 IP 172.26.46.1 192.168.2.5 Eva None (perm, OK) 2 IP 172.26.15.1 192.168.1.6 Center None (perm, OK) 2 IP 172.16.73.1 192.168.1.5 192.168.2.6 Eva# Show ip interface brief




Eva#sh ip interface brief Interface IP-Address OK? Method Status Prot ocol FastEthernet0/0 172.26.15.1 YES manual up up Serial0/0 192.168.1.6 YES manual up up BRI0/0 unassigned YES manual administratively down down BRI0/0:1 unassigned YES unset administratively down down BRI0/0:2 unassigned YES unset administratively down down FastEthernet0/1 unassigned YES manual administratively down down Eva# Table de routage Eva#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 1 subnets S 172.16.73.0 [1/0] via 192.168.1.5 172.26.0.0/16 is variably subnetted, 2 subnets, 2 masks S 172.26.46.0/23 [1/0] via 192.168.1.5 C 172.26.15.0/27 is directly connected, FastEthernet0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.5/32 is directly connected, Serial0/0 C 192.168.1.4/30 is directly connected, Serial0/0 192.168.2.0/30 is subnetted, 1 subnets S 192.168.2.4 [1/0] via 192.168.1.5 Eva# show version Eva#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-D-M), Version 12.1(19), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Tue 04-Mar-03 05:07 by kellythw Image text-base: 0x80008088, data-base: 0x80959A90 ROM: System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1) Eva uptime is 3 hours, 59 minutes System returned to ROM by power-on




System image file is "flash:c2600-d-mz.121-19.bin" cisco 2621XM (MPC860) processor (revision 0x301) with 98304K/32768K bytes of mem ory. Processor board ID FOC08350CXR (299693164) M860 processor: part number 5, mask 2 Bridging software. X.25 software, Version 3.0.0. Basic Rate ISDN software, Version 1.1. 2 FastEthernet/IEEE 802.3 interface(s) 1 Serial network interface(s) 1 ISDN Basic Rate interface(s) 32K bytes of non-volatile configuration memory. 32768K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Eva#

Gestion de la sécurité Show ip access-list Eva# sh ip access-lists Extended IP access list 100 permit ip 172.26.15.0 0.0.0.31 host 172.16.73.4 (5 matches) permit icmp 172.26.15.0 0.0.0.31 any echo-reply (19 matches) Eva# Show interfaces Eva#sh ip interface FastEthernet0/0 is up, line protocol is up Internet address is 172.26.15.1/27 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 100 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled




IP Flow switching is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/0 is up, line protocol is up Internet address is 192.168.1.6/30 Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 192.168.1.5 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled




WCCP Redirect exclude is disabled BGP Policy Mapping is disabled BRI0/0 is administratively down, line protocol is down Internet protocol processing disabled BRI0/0:1 is administratively down, line protocol is down Internet protocol processing disabled BRI0/0:2 is administratively down, line protocol is down Internet protocol processing disabled FastEthernet0/1 is administratively down, line protocol is down Internet protocol processing disabled Eva#




Annexe

PREMIER MINISTRE

S . G . D . N Paris, le 19 octobre 2001 Direction centrale de la sécurité NoCERTA2001AVI121 des systèmes d’information

CERTA Affaire suivie par : CERTA

AVIS DU CERTA

Objet : Vulnérabilité des Cisco IOS et CatOS sous le protocole CDP

Les informations publiées par le CERTA restent sous le contrôle du CERTA. Toute rediffusion, en dehors du domaine du CERTA est soumise à son autorisation écrite. Le domaine d’intervention du CERTA regroupe les administrations et les collectivités locales.

Gestion du document

Référence CERTA2001AVI121 Titre Vulnérabilité des Cisco IOS et CatOS sous le protocole

CDP Date de la première version 19 octobre 2001 Date de la dernière version – Source(s) Cisco Pièce(s) jointe(s) Aucune

TAB. 1 – gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Déni de service.

2 Systèmes affectés

– Cisco CatOS; – Cisco IOS.




3 Résumé

Un utilisateur mal intentionné, se trouvant sur un réseau comportant des équipements CISCO, peut réaliser un déni de service de ces derniers via le protocole CDP.

4 Description

CDP (Cisco Discovery Protocol) est un protocole permettant aux équipements CISCO d’un même réseau de s’échanger des informations. Ce protocole permet, par l’envoi de trames périodiques, de tenir à jour une table d’information d’états des matériels CISCO voisins (adresses, etc.)

Secrétariat général de la défense nationale – DCSSI – SDO – CERTA 51, bd de La TourMaubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr 75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : [email protected]

Un utilisateur mal intentionné peut réaliser un déni de service sur les équipements CISCO par l’envoi massif de requêtes CDP. Cette vulnérabilité n’est exploitable que par une machine se trouvant sur le même réseau physique que le CISCO (CDP utilisant des trames de diffusion de niveau 2 non routables).

Le protocole CDP est activé par défaut sur les CISCO.

5 Contournement provisoire

Désactiver le protocole CDP sur le matériel vulnérable (cf section documentation).

6 Solution

Les correctifs pour Cisco IOS sont disponibles sur le site CISCO: http://www.cisco.com Les correctifs pour Cisco CatOS ne sont pas disponibles actuellement sur le site CISCO.

7 Documentation

Note d’information CISCO : http://www.cisco.com/warp/public/707/cdp_issue.shtml

Gestion détaillée du document

19 octobre 2001 version initiale.




Conclusion

Les élément dans le cahier des charges on été respecter. Et je me tiens à disposition pour tous autres renseignements complémentaires.

Documents

Etude de cas : le routage Le routage Date 08/09/05slimane.t.free.fr/espaces/ddp/network/pdf/routeur.pdf · Institut Informatique Sud Aveyron Etude de cas : le routage Le routage Date