Module+4 CISCO

WAN: Réseau étendu - Réseau de communication de données pour les grandes entreprises qui s’abonne auprès d’un FAI - Les réseaux étendus sont utilisés seuls ou conjointement avec Internet -Modules de l’architecture d’entreprise CISCO : (CISCO entreprise branch architecture)

- Couche 1: Client(DTE, DCE,Point de démarcation), WAN SP(boucle local:câble,central téléphonique: CO) - Périphériques de réseau étendu: couche 1  Modem (DSL:RTPC ou câble: réseau câblé) : convertie les donnée numérique vers ligne téléphonique  Serveur d’accès  CSU/DSU (Channel Service Unit/Data SU): pour les lignes numériques loué d’opérateur T1(E1) ou T3 - Protocoles (Normes) couche1:EIA/TIA-232, EIA/TIA-449/530, EIA/TIA-612/613, V.35, X.21

- Protocoles couche 2:  Point à point dédié : CISCO HDLC (High-Level Data Link Control), PPP  Commutation de circuit : RNIS (ISDN : Integrated Services Digital Networkmoins utilisé), RTPC (PSTN :Public Switched telephone network )  Commutation de paquet : Frame Relay, ATM (Asynchronous Transfer Mode), X.25 (moins utilisé), MPLS - Options d’implémentation de WAN :  Privé dédié(loué): requis des routeurs d’extrémité avec des ports séries, CSU/DSU et les circuits Ti(Ei)  Privé commuté circuit: RTPC(analogique)requis un modem(56ko/se), RNIS (numérique) utilise TDMA 2 interfaces RNIS: BRI (Basic Rate Interface):2canauxB 64ko/sec + CanalD 16ko/sec =144ko/sec PRI (Primary RI):23B+1D à 64ko/sec (USA T1) ,30B+1D (Europe E1)=2mo/sec  Privé commuté paquet : ATM utilise des cellules de taille 53octets avec un multiplexage temporel Deux systèmes de détermination de lien: sans connexion (internet), avec connexion (FrameRelay)  Public internet :  Services à large bande: DSL (modem DSL), modem câble (réseaux télévision), sans fil à large bande (WifiPublic, Wimax:802.16, internet par satellite)  VPN : deux types d’accès : Site à Site (routeurs IPSEC...Etc.),accès pc à distance (logiciel ou https)  Metro Ethernet : le WAN SP utilise des switch couche3 pour la communication entre sites

PPP: Point to Point Protocol - Trois normes de communication série: RS-232, V.35, HSSI (High-Speed Serial Interface)cisco - Utilisation de multiplexage TDM(RNIS & SONET pour l’optique):T1=24 DS0, canal DS0=64ko/sec (voix) - Le multiplexage de temps statistique utilise une langueur de tranche variable (couche physique) - La liaison série utilise DTE(Data Terminal Equipement) coté client (Customer Premises Equipment CPE: routeur,PC..) et DCE (DControlE) coté WAN SP(modem,CSU/DSU) qui converti les data DTE en forme compatible avec la liaison de transmission. - Protocoles d’encapsulation WAN : 

Ligne louée & commutation circuit: HDLC, PPP, SLIP (Serial Line Internet Protocol: ancien)



Commutation paquet: Frame Relay, ATM, X25

- Le protocole Cisco HDLC permet de prendre en charge plusieurs protocoles - Transmission synchrone Orienté binaire (bit) - Trois formats du champ contrôle HDLC : Trame d’information (I), supervision (S), non-numérotée (U) - Activer l’encapsulation HDLC: (Config-if) #encapsulation hdlc

//par défaut sur CISCO devices

- PPP établit une connexion directe au moyen de câbles série, de lignes téléphoniques, de lignes agrégées, de téléphones portables, de liaisons radio spécialisées ou de liaisons à fibres optiques - PPP comprend trois composants : HDLC, Link Control Protocol(LCP), Network Control Protocol(NCP) - PPP à même structure de trame que HDLC. LCP peut négocier des modifications sur la structure de trame. - Rôle LCP: l’établissement, la maintenance et la fermeture d’une liaisonle champ Données de trame PPP - Rôle NCP : configurer les protocoles de couche réseau (IP:IPCP, IPX, AppleTalk, etc.) - Configuration des options LCP dans PPP: Authentification, Compression, Détection des erreurs (Magic Number), Multiliaison, Rappel PPP. - Activation de PPP sur une interface serie : (config-if)#encapsulation ppp - Activer la compression : (config-if)#compress [predictor | stac]

//algo predictor ou Stacker

- Surveillance de la qualité de la liaison : (config-if)#ppp quality percentage - Équilibrage de la charge (Multiliaison) : (config-if)#ppp multilink - Dépannage PPP: # debug ppp {packet | negociation | error | compression | authentication} - Protocole d’authentification PPP: CHAP utilise des password variables avec MD5. Un check régulier 

PAP (Password Authentication Protocol :une seule fois échange en 2 étapes de user& pass en clair



CHAP (Challenge Handshake Authentication Protocol): comme MAC+ID aléatoire dans les RCSF

Configuration de l’authentification : (config-if)#ppp authentication {chap | chap pap | pap | pap chap} Configuration des infos de routeur distant:(config)#username name password passe Envoyer les infos d’authent PAP local: (config-if)# ppp pap sent-username Myname password Mypass L’authentification CHAP ne demande pas l’envoi d’info locale  utiliser le même password des deux cotés

Frame Relay: - Intervient dans la couche physique et liaison de données (utilise des switch Frame Relay du WAN SP)

- Pour connecter au réseau Frame Relay, utiliser un DTE (routeur ou FRAD : FR Access Device)

- La connexion entre deux DTE par un réseau Frame Relay utilise un circuit virtuel (VC) - Deux types de circuits virtuels:  Permanent (PVC) : préconfigurés par l’opérateur, fonctionnent en modes DATA TRANSFER et IDLE.  Commuté (SVC): dynamique (CALL SETUP, DATA TRANSFER, IDLE, CALL TERMINATION) - Les VC sont identifiés par un identifiant local DLCI (Data link connection identifier) donnée par WAN SP - Format trame : - la valeur de DLCI est Sur deux champs (entre 16 et 992)

- Chaque connexion virtuelle sur le canal physique est représentée par un DLCI unique (signification local) - Topologies FR: étoile (Hub and Spoke), à maillage global (full meshnbr VC++), à maillage partiel. - Frame Relay utilise Inverse ARP pour traduire le DLCI local en @IPprochain sautmappage dynamique - Mappage statique l’utilisateur fait la correspondance entre DLCI local et @ip de prochain saut - Interface de supervision locale (LMI) est un mécanisme de test d’activité entre DTE et DCE. Pour afficher les statistiques LMI: # show frame-relay lmi

//DLCI LMI ANSI=0, Cisco=1023

- Configurer le type de LMI (doit correspondre au type LMI des switch frameRelay) : (config-if)#frame-relay lmi-type {Cisco | ANSI | Q933A}

//par défaut cisco

- Pour établir la correspondance entre @ip et DLCIDTE envoi LMI(récupérer les DLCI)+ ARP inverse. - Configuration Frame Relay/ietf (si les deux routeurs ne sont pas de type Cisco): (config-if)#encapsulation frame-relay {ietf}

//interface serie synchrone

(config-if)#bandwidth kilobits //pour les protocoles OSPF & EIGRP - Configuration mappage statique : (config-if)#no frame-relay inverse-arp

//désactiver map dynamique

(config-if)#frame-relay map ip adresse-ip-suiv dlci [broadcast] [ietf] [cisco] (config-if)#no shutdown

//Activer l’interface

- FrameRelay,ATM,X25 sont des réseauxNBMA(non-broadcast multiple access)utiliser la cmd broadcast - Afficher le mappage/type encap: # show frame-relay map //utilisé par les routers pour envoyer les trames - Afficher l’état pvc/nbr fecn|becn : # show frame-relay pvc [interface interface] [dlci] - Pour supprimer le mappage dynamique calculé avec arp inverse : # clear frame-relay inarp - Pour résoudre le problème de split horizon dans FR utiliser les sous-interfaces logiques - 2 modes de sous-interfaces FR :



Point à Point : topologie en étoile, une sous-interface pour chaque VC, un sous-réseau pour chaque sous-interface(255.255.255.252), comme des lignes dédiées



Multipoint : topologie maillage, sous-interface établie pls connexion de PVC avec même @sous-réseau

- Éléments facturable: Débit d’accès (Boucle locale), nombre DLCI, CIR (Committed Information Rate) -FR permet aux clients l’envoi d’un petit rafales de données négocié CBIR (C Burst IR) supérieures à leur CIR, et un BE (Excess Burst) confreg 0x2142 // valeur de celle registre de configuration #show version  rommon 2> reset //redémarrage de routeur en ignorant la configuration enregistrée  # copy startup-config running-config // et non pas write  # show running-config //recuperation pass Claire(vty-console), redéfinition pass chiffré  (config)#config-register 0x2102 //après redefinition de pass avec # enable secret pass  # write - Configurer l’authentification avec le protocole AAA (Authentication, Authorization and Accounting) (config)#username user privilege 0 – 15 password pass //user local avec privilège (config)#aaa new-model //activer l’authetification AAA (config)#aaa authentication login LOCAL_AUTH local //utiliser une BDD local des users (config)#line console 0 / vty 0-4 (config-line)#login authentication LOCAL_AUTH - Envoi des messages SNMP à un serveur syslog: (config)#logging @serveur //définir l’@ IP de PC serveur syslog (config)#logging trap warnings //Définir le niveau de gravité 0(emergencies)-7(debugging) - Configurer un routeur entant que serveur tftp : (config)#tftp-server nvram:startup-config alias test

ACL : liste de contrôle d’accès - Equivalent à un pare-feu(niveau application). Permet d’implémenter la stratégie de sécurité de l’entreprise - Les ACL inspectent (autorisation ou refus) les paquets du réseau en fonction de l’adresse source, l’adresse de destination, les protocoles et les numéros de port. - Liste des Ports connus: UDP : 53:dns, 67-68:dhcp (serveur,client), 69:tftp, 161:snmp, 520:rip TCP20-21:ftp (data, cmd), 22:ssh, 23:telnet, 25:smtp, 80:http, 110:pop3 , 143:imap, 179:bgp, 443:https - Règle des trois P : Configurer une seul ACL par protocole, par direction (IN & OUT) et par interface  Sinon la nouvelle règle écrase l’ancienne - Les instructions ACL fonctionnent dans un ordre séquentiel de haut en bas avec instruction finale implicite

- L’instruction implicite « deny ip any any » est le comportement par défaut des ACL (invisible) Une ACL doit comporter au moins une instruction d’autorisation, sans quoi tout le trafic est bloqué. - 2 types de ACL : Standard : un critère @IP source Etendue: plusieurs critères: type protocole, @source, @destination, port - Règles d’emplacement des ACL : étendues : Placez-les le plus près possible de la source du trafic refusé standard : placez-les le plus près possible de la destination. - Pour calculer masque-générique pour une plage réseauxcalculer agrégation, ensuite 255-résultat - Afficher ACL : # show access-list { numéro-liste-accès | nom } - Vérifier si une ACL est appliquée à une interface : #show ip interface {interface} - Supprimer une ACL : (config)# no access-list numéro-acl //on perd touttout refaire (copier-coller) - Configuration ACL standard : numéro acl de 1 et 99 et de 1300 à 1999 (config) #access-list numéro-acl {deny|permit} source [log] Source = any (mask_gén=4*255) | @réseau [masque-générique-source] | host @ip (mask=4*0) - Pour définir des remarques sur la ACL : (config) # access-list numéro-acl remark remarque - Création ACL nommée : (config)#ip access-list {standard | extended } name (config-std-nacl)# [num_modif] {deny|permit} source [masque-générique-source] [log] - Application d’une ACL à une interface : (config-if)# ip access-group {numéro-liste-accès | nom-liste-accès} {in | out}

- Configuration ACL Etendue : numéro acl de 100 et 199 et de 2000 à 2699 (config) #access-list num-acl {deny|permit} protocole source [operateur][ numPort ou nom] destination [operateur][ numPort ou nom] [established] Protocole=tcp,udp,icmp,ip (tout) operateur=eq,neq,gt,lt,range established=bit ack à 1 - ACL sur les accès aux lignes vty 0 4(telnet): (config-line) # access-class acl_name {in| out}

- Types ACL complexes : GNS3  Dynamiques (verrou): ouvrir une brèche temporelle dans une ACL existantecréer un accès telnet avec authen qui sera fermé pour créer la brèche pour une durée limité pour contrer les règles ACL (config)# username user secret passe //définir un user local (config)#access-list 101 permit tcp any host @router eq telnet //autorisé telnet vers le routeur (config)#access-list 101 dynamic nom timeout 15 permit ip réseau_source réseau_dest (config-line)# login local //configuration ligne vty 0 4  Réflexives: autoriser le trafic IP pour des sessions internes et le refuser pour les sessions dont la source est extérieurele routeur crée des entrées ACL provisoires pendant la session (=established) (config)#ip access-list extended OUTFILTER //il faut une ACL étendu nommée en sortie (config-ext-nacl)#permit tcp @reseau any reflect TCPTRAFFIC //autoriser tcp sortant (config)#ip access-list extended INFILTER //il faut une ACL étendu nommée en entré (config-ext-nacl)#evaluate TCPTRAFFIC //accepter que les connexions tcp initiée par @reseau  Basées sur le temps: appliquer l’ACL en fonction du jour et de la semaine (config)# time-range EVERYOTHERDAY (config-time-range)#periodic monday wednesday friday 8:00 to 17:00 (config)#access-list 101 permit tcp @réseau any eq telnet time-range EVERYOTHERDAY

Télétravail : - 3 options sont utilisées: VPN couche 2 (frame Relay, ATM, ligne dédiée), VPN ipsec, internet large bande. - 4 options proposées par les FAI pour les télétravailleurs :  Accès par ligne téléphonique : 56kbits/sec  Ligne DSL: téléphone utilise bandes fréquence 300Hz3kHz, alors que DSL utilise 3kHz-1MHz POTS: Plain old telephone service DSLAM : Digital subscriber line access multiplexervers FAI  Modem câble (cable coaxial TV):  Satellite - 2 types de VPN Ipsec (VPN encapsule les données pour les envoyer dans des tunnels) :  Site à site : avec des routeurs, firewall, ASA (Adaptative Security Appliance)  VPN d’accès distant : chaque hôte dispose d’un logiciel client - 2 protocoles de sécurité IpSec :  Authentication Header (AH) : assure l’authentification et l’intégrité mais pas le chiffrement  Encapsulating Security Payload (ESP) : - 4 étapes de configuration d’Ipsec :  Encryption algorithm : DES, 3DES, AES  Authentication algorithm : MD5, SHA  IPsec protocol : AH, ESP , AH+ESP  Diffie-Hellman (DH) algorithm group : 1 ,2 ou 5

Services d’adressage IP :  DHCP (Dynamic Host Configuration Protocol): utilise UDP (port client:67, serveur:68) - Successeur du protocole Bootstrap (BOOTP), - Utilise les méthodes de détection (DHCPDISCOVER) et d’offre DHCP (DHCPOFFER.) - Configuration DHCP : sur les router cisco Easy IP  Serveur : (config)# ip dhcp excluded-address low_adr [high-adr] //exclure ces adressees (config)# ip dhcp pool pool-name //definer un nom au pool d’adresse (dhcp-config)# network réseau {masque | prefix} //définir la plage d’adresse réseau (dhcp-config)# default-router adresse //définir la passerelle par défaut (dhcp-config)# dns-server adresse //définir l’adresse de serveur DNS (dhcp-config)# lease {jours {heures} {minutes}|infinite} //définir la durée de bail  Client (routeur) : (config-if)# ip address dhcp //recevoir une @ip par le FAI - Afficher le mappage DHCP : #show ip dhcp binding - Configurer un agent de relais DHCP:(config-if)#ip helper-address @IpServeur //relai les diffusions - Désactiver le service DHCP: (config)# no service dhcp - Dépannage DHCP: # access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 # debug ip packet detail 100 - Débogage DHCP # debug ip dhcp server packet  NAT (Network Address Translation): - Un routeur compatible NAT fonctionne à la périphérie d’un réseau d’extrémité - La surcharge NAT : overload PAT (Port Address Translation) - Inconvénients NAT : -la signature/Ipsec échoue sur un hote interne -pas d’ACL sur un hôte interne - Types d’@ : local inside (privée), global inside (publique naté), globale outside (publique extern) - Configuration NAT statique: toujours sauvegarder dans la table NAT:permet initiation depuis exterieur (config)#ip nat inside source static ip-locale ip-globale (config-if)#ip nat inside // Signalez l’interface|sous_int comme connectée à l’intérieur (config-if)#ip nat outside // Signalez l’interface comme connectée à l’extérieur - Configuration NAT dynamique : définir un pool d’adresses publiques (config)#ip nat pool nom ip-début ip-fin {netmask masque-réseau|prefix-length longueur-préfixe} (config)#access-list numéro-acl-std permit source [masque-générique-source] //réseaux internes (config)#ip nat inside source list numéro-acl-std pool nom (config-if)#ip nat inside| outside // Signalez l’interface comme connectée intérieur| extérieur -Configuration PAT : (config)#ip nat inside source list numéro-acl-std interface interface-sortie overload // 1 @ publique (config)#ip nat inside source list numéro-acl-std pool nom overload //plusieurs @ publiques - NAT n’autorise pas les requêtes provenant de l’extérieur transfert de port (tunneling) - Afficher / supprimer la table NAT: # show / clear ip nat translations * - Débogage NAT # debug ip nat  IPv6 -16octets=128bits -Déduire nombre de zéro avec ( ::)une seul fois -@ loopback ::1 -Pas de masque réseau -Pas de champ checksum -Pas d’@ de diffusionmulticast -Une interface peut avoir plusieurs @ip -ICMPV6 intègre igmp&ARP(NDP) -DNSAAAA - Configuration d’@ automatique -Mobilité intégrée -IpSec obligatoire -anycast(one-to-nearest) -3 approches pour la transition: Utilisez la double pile quand vous pouvez, le tunnel quand vous devez !  Double pile (dual stack): un nœud implémente IPv4&IPv6 et agit selon l’@ de destination  Transmission tunnel 6to4 : encapsuler un paquet IPv6 dans un paquet IPv4  NAT-PT, transmission tunnel ISATAP et transmission tunnel Teredo - Activer le IPv6 sur un routeur cisco : (config)# ipv6 unicast-routing - Attribution manuel d’@IP : (config-if)# ipv6 address adresse-ipv6/longueur-préfixe - Attribution @IP avec EUI-64(MAC): (config-if)# ipv6 address préfixe-ipv6/longueur-préfixe eui-64 - Configuration de RIPng avec IPv6 : utilise UDP port 521 (config)# ipv6 router rip nom //Crée et active le mode de configuration du routeur RIP (config-if)#ipv6 rip nom enable //Configure RIP sur une interface : remplace network en RIPv2 - Préfix adresse link local fe80::/10 (+MAC) -multicast ff00::/8 -global@ 2000 ::/3 - @ multicast protocoles : -IS-ISff02 ::8 - RIPnG ff02 ::9 - EigrpV6  ff02 ::a -@ écoute multicast (NDP) : -hostff02 ::1 - routeurff02 ::2

Dépannage de réseau : - Les composants de la documentation réseau (ligne de base du réseau): logiciel administration des réseaux  La table de la configuration du réseau : routeurs et switch  La table de configuration du système d’extrémité : serveurs  Le diagramme topologique du réseau : schéma physique + schéma logique (@ip) - Approches de dépannage méthodique : théorique (analyse minutieux) ou en force (tout changer)  Recueil des symptômes : avec les logiciels administration réseau ou les plaintes des utilisateurs  Isolation du problème : analyse des problèmes au niveau des couches logiques du réseau  Correction du problème : mettre en œuvre, teste et documentation de la solution. - Méthodes de dépannage : -Ascendante -Descendante -Diviser et conquérir(si couche OKregarder en haut) - Recueil des symptômes: # ping {hôte | adresse-ip} # tracerout {destination} # telnet {hôte | adresse-ip} # show ip interface brief # show ip route # show ip protocols # show running-config. # debug ?  Couche physique:  Symptômes : - Performances inférieures à la ligne de base. - Perte de connectivité - Goulots d’étranglement sur le réseau - Forte utilisation de l’UC  Causes : - Problèmes d’alimentation - Erreurs de configuration de l’interface - Défauts de câblage - Atténuation - Bruit - Défauts matériels - Surcharge de l’UC  Dépannage : -Vérifiez que les câbles ou les connexions sont corrects et qu’ils respectent les normes. -Vérifiez que les configurations d’interfaces sont correctes  Couche liaison de données:  Symptômes : -Pas de fonctionnalité ni de connectivité au niveau de la couche réseau ou supérieur -Nombre excessif de diffusions  Causes : -Erreurs d’encapsulation -Erreurs de trames -Erreurs de mappage d’adresses(Ex :FrameRelay,ARP) -Échecs ou boucles STP  Dépannage : -PPP : Vérifier l’encapsulation des 2 extrémités, état LCP et l’authentification show - FrameRelay : vérifier LMI sans erreur, PVC en état actif, et l’encapsulation show  Couche réseau:  Symptômes : - panne du réseau ou des performances non satisfaisantes.  Dépannage : -Vérification des relations de voisinage des routeurs -Recherche de problèmes dans la Base de données topologique ou la table de routage  Couche transport: Ordre de traitement d’un paquet : ACL-NAT(trafic entrant) NAT-ACT(sortant)  Problème ACL: -Sélection du flux de trafic (interface) -Ordre des éléments ACL -Instruction implicite « deny all » -Adresses et masques génériques -Sélection TCP/UDP -Ports source et de destination -established en sortie  Problème NAT: -Problème l’interopérabilité avec autres technologies (Ex : IPsec) -Compteurs NAT mal configurés -Fonction NAT statique incorrecte  Couche application:  Symptômes : -L’utilisateur se plaint des faibles performances des applications -Message d’erreur des applications/ sur la console -Message de fichier journal de système -Alarme nagios  Dépannage : -Vérifier les couches inférieures (ping passerelle & hôte distant)couche 1-3 -Vérifiez le fonctionnement d’ACL et NAT (show) couche 4 -Définir quel protocole couche application qui pose problème  Résolution des problèmes : -Faire une sauvegarde de la configuration -Une seule modification à la fois -Si problème résolue alors documenter la solution - Séries de Tests (ping) :  Pile protocole ip: #ping lcoalhost (boucle local)  Carte réseau local: #ping Mon-@ip  Réseau local & passerelle par défaut: #ping passerelle (couche 1 & 2)  Réseau distant: #ping @ip-hôte-distant (couche 3)