[Guide] Administration routeur Cisco

Chaque équipement Cisco est doté d’un IOS, qui est un mini-système d’exploitation chargé de gérer le matériel. Ce système s’administre en ligne de commande principalement.

A partir du mode privilège, il faut utiliser la commande configure terminal pour passer dans le mode config. Ce mode permet de modifier la table de routage et la configuration des interfaces du routeur. La commande exit permettra de passer en mode config au mode superviseur.

Si vous oubliez le nom d’une commande le “?” liste les commandes possibles dans le mode où vous vous trouvez. Plus encore, vous pouvez taper le début d’une commande puis “?”, vous aurez alors toutes les possibilités de cette commande (exemple : interface ?). Pensez également à l’auto-complétion à l’aide de la touche TAB.

1 – Configuration de base
2 – Configuration des interfaces réseaux
3 – Configuration du routage statique
4 – Mise en place d’un accès SSH
5 – Translation d’adresse IPv4
6 – Le filtrage
7 – Application des ACL

.

1 – Configuration de base

Passer du mode utilisateur au mode privilège

Router> enable
Router#

Passer du mode privilège au mode configuration

Router> configure terminal
Router(config)#

Changer le nom du routeur

Router(Config)# hostname Router-Lab

Mettre un mot de passe pour le passage en mode privilège

Router(Config)# enable password MotDePasse

Mettre un mot de passe chiffré pour le passage en mode privilège

Router(Config)# enable secret MotDePasse

Mettre un mot de passe pour les accès par le câble console

Router(Config)# line console 0
Router(Config-line)# password MotDePasse
Router(Config-line)# login

Mettre un mot de passe pour l’accès Telnet avec 16 sessions simultanées

Router(Config)# line vty 0 15
Router(Config-line)# password MotDePasse
Router(Config-line)# login

Mettre une bannière de prévention

Router(Config)# banner motd # Bienvenue... #

Chiffre l’ensemble des mots de passe présent dans le fichier de configuration du routeur en MD5

Router(Config)# service password-encryption

Lorsque vous souhaitez annuler une commande tapée précédemment il suffit de la retaper en rajoutant un no devant !
Sauvegarde de la configuration temporaire vers la configuration enregistrée

Router# copy running-config startup-config

Autre possibilité plus rapide

Router# write

Implémentation de la configuration enregistrée dans la configuration temporaire

Router# copy startup-config running-config

Sauvegarde de la configuration vers un serveur TFTP

Router# copy startup-config tftp://192.168.1.1 (adresse IP du serveur TFTP)

Voir la configuration d’un routeur

Router# show running-config

Voir la configuration d’un routeur au démarrage

Router# show startup-config

.

2 – Configuration des interfaces réseaux

Attention ! Par défaut toutes les interfaces du routeur sont éteintes, il faut donc les activer pendant le paramétrage.

Configuration d’une interface Gigabit Ethernet

Router(config)# interface GigabitEthernet 0/0
Router(config-if)# no shutdown
Router(config-if)# ip address 192.168.1.254 255.255.255.0
Router(config-if)# exit

Pour l’interface série, il faut penser à mettre en place un clock rate sur l’interface DCE (femelle) considéré comme un modem grâce à la commande clock rate suivi du débit.
Les clock rate (en bits par seconde) peuvent-être

1200, 2400, 4800, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 25000, 500000, 800000, 1000000, 1300000, 20000000, 40000000 ou 80000000.

Router(config)# interface Serial 1/0
Router(config-if)# no shutdown
Router(config-if)# ip address 172.16.0.254 255.255.255.0
Router(config-if)# clock rate 250000

Afficher des informations concernant les interfaces

Router# show ip interface brief

.

3 – Configuration du routage statique

Activation du routage

Router(config)# ip routing

Attention ! Sur le matériel Cisco les réseaux directement connectés au routeur n’ont pas besoin d’être déclarés avec la commande ip route.

Créer une route statique

Router(config)# ip route destination masque passerelle

Mise en place d’une route par défaut

Router(config)# ip route 0.0.0.0 ip_passerelle

Afficher des informations concernant les routes

Router# show ip route

Configuration du routage dynamique avec RIP v2

Router(config)# router rip
Router(config-router)# version 2

On indique les réseaux directement connectés au routeur

Router(config-router)# network 192.168.1.0

On indique les interfaces qui ne sont pas concernées par les mises à jour RIP

Router(config-router)#  passive-interface FastEthernet 0/0

Désactivation de l’auto-gestion des masques par le protocole RIP

Router(config-router)# no auto-summary

Redistribution d’une route statique

Router(config-router)# redistribute static

Propagation d’une route par défaut

Router(config-router)# default-information originate

Passer en mode verbeux pour observer le fonctionnement du protocoles RIP

Router(config-router)# debug ip rip

Annuler le mode verbeux

Router(config-router)# undebug all

.

4 – Mise en place d’un accès SSH

Création d’un domaine DNS

Router(config)# ip domain-name domain.local

Création d’un nouvel utilisateur

Router(config)# username admin password MotDePasse

Génération des clefs RSA

Router(config)# crypto key generate rsa

Timeout et nombre de tentative de connexion

Router(config)# ip ssh time-out 60
Router(config)# ip ssh authentication-retries 2

Utiliser la version 2 de SSH

Router(config)# ip ssh version 2

Forcer l’utilisation de SSH à la place de Telnet

Router(config)# line vty 0 4
Router(config)# login local
Router(config-line)# transport input ssh

Afficher des informations sur SSH

Router# show ip ssh
Router# show ssh

.

5 – Translation d’adresse IPv4

Inside global address – L’adresse IP d’un hôte interne telle qu’elle apparaît à l’extérieur.
L’Inside global address est l’adresse translatée. Ces adresse sont également allouées à partir d’un espace unique d’adressage, fourni par l’ISP.

Outside local address – L’adresse IP d’un hôte externe telle qu’elle apparaît en interne.
Outside global address – L’adresse IP assignée à un hôte externe.

Désigner les interfaces Inside et Outside (Interne et Externe)

Router(config)# interface type number
Router(config-if)# ip nat inside
Router(config)# interface type number
Router(config-if)# ip nat outside

Definir les adresse locales soumises au NAT dans l’optique de les masquer pour qu’elles puissent avoir accès à l’extérieur et que l’extérieur ne voit que l’adresse du routeur :
Router(config)# access-list access-list_number permit source_ip wildcard_mask

Le terme wildcard_mask désigne un masque inversé. Pour un masque de sous-réseau de 255.255.255.0, le wildcard_mask sera 0.0.0.255.
Exemple : access-list 1 permit 10.0.0.0 0.255.255.255

Translation d’un LAN vers une IP publique

Router(config)# ip nat inside source list numero-acl interface int-publique overload

Exemple : ip nat inside source list 1 interface GigabitEthernet 0/1 overload

Définir une règle de redirection

Router(config)# ip nat inside source static protocol address_privée port address_publique port

Exemple : ip nat inside source static tcp 192.168.1.20 80 80.55.122.33 80

.

6 – Le filtrage

Explication sur les ACL :
Les ACL permettent de filtrer les accès entre les différents réseaux ou de filtrer les accès au routeur lui même.

Les paramètres contrôlés sont :
– Adresse source
– Adresse destination
– Protocole utilisé
– Numéro de port

Les acls peuvent-être appliquées sur le traffic entrant ou sortant. Il y a deux actions : soit le traffic est interdit, soit le traffic est autorisé. Les acls sont prises en compte de façon séquentielle. Il faut donc placer les instructions les plus précises en premier et l’instruction la plus générique en dernier.

Par défaut, tout le traffic est interdit.

Différence entre les acls standards et étendues :
L’ACL standard filtre uniquement sur les adresse IP sources. Elle est de la forme :
access-list numéro-de-la-liste {permit|deny} {host|source source-wildcard|any}
Le numéro de l’acl standard est compris entre 1 et 99 ou entre 1300 et 1999.

L’ACL étendue filtre sur les adresse source et destination, sur le protocole et le numéro de port. Elle est de la forme :
access-list numéro-de-la-liste {permit|deny} protocole source masque-source [opérateur [port]] destination masque-destination [opérateur [port]][established][log]

Quelques opérateurs :
– eq : égal
– neq : différent
– gt : plus grand que
– lt – moins grand que

Le numéro de l’acl standard est compris entre 100 et 199 ou entre 2000 et 2699.

Il est possible de nommer les acls. Dans ce cas, on précisera dans la commande si ce sont des acls standards ou étendues.

Notion de masque générique (wildcard_mask)

Les acls utilisent un masque permettant de sélectionner des plages d’adresses.

Fonctionnement :
En binnaire, seuls les bits de l’adresse qui correspond au bit à 0 du masque sont vérifiés. Par exemple, avec 172.16.2.0 0.0.255.255, la partie vérifiée par le routeur sera 172.16.

Sur le couple suivant : 0.0.0.0 0.0.0.0, toutes les adresse sont concernées (any). Sur le couple : 192.168.2.3 255.255.255.255, on vérifie uniquement l’hôte ayant l’IP 192.168.2.3 (host)

.

7 – Application des ACL

On crée l’ACL, puis ensuite on applique l’ACL à une interface en entrée ou en sortie (in ou out).

Si l’ACL doit être modifiée, il sera nécessaire de supprimer celle-ci puis de la recréer entièrement. Une façon pratique de faire est de conserver l’acl dans un fichier texte puis de faire copier/coller.

Exemple de configuration :
Création d’une access-list :

Dans l’exemple :
– On autorise la machine 192.168.2.12 à se connecter via ssh à toutes les machines du réseau 192.168.3.0/24,
– On autorise les réponses DNS en provenance de la machine 192.168.2.30,
– On autorise les paquets entrants pour les connexions tcp établies,
– Enfin on supprime le reste du traffic.

Exemple

Router(config)# ip access-list extented reseau-secretariat
Router(config-ext-nacl)# permit tcp host 192.168.2.12 gt 1023 192.168.3.0 0.0.0.255 eq 22
Router(config-ext-nacl)# permit udp host 192.168.2.30 eq 53 192.168.3.0 0.0.0.255 gt 1023
Router(config-ext-nacl)# permit tcp any any established
Router(config-ext-nacl)# deny ip any any log

Application de la liste d’accès à une interface

Router(config)# int fa1/1
Router(config-if)# ip access-group reseau-secretariat out
Router(config)#

Affichage de la configuration de l’interface

Router# sh run fa1/1
Building configuration...

Current configuration: 136 bytes
!
interface FastEthernet1/1
ip adress 192.168.3.2 255.255.255.0
ip access-groupe reseau-secretariat out
duplex auto
speed auto
end

Affichage de la liste de contrôle

Router# show access-list reseau-secretariat
Extented IP access list reseau-secretariat
10 permit tcp host 192.168.2.1 gt 1023 192.168.3.0 0.0.0.255 eq 22
20 permir tcp any any established
30 deny ip any any log
Router#

Suppression d’une ACL

Router(config)# no ip access-list extented reseau-secretariat
Router(config)# end

Suppression de l’association de la liste de contrôle à une interface

Router(config)# int fa1/1
Router(config-if)# no ip access-group reseau-secretariat out
Router(config-if)#

Réinitialiser le routeur

Router# conf t
Router(config)# config-register 0x2102
Router(config)# end
Router# write erase
Router# reload
System configuration has been modified. Save? [yes/no]:no
Proceed	with reload? [confirm]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *