Commande de base Routeur Cisco
Transcription
Commande de base Routeur Cisco
Février 2014 Di MARCANTONIO Joris Commande de base Routeur Cisco Configuration du routeur avec les commandes IOS IOS est l’acronyme de "Internetworks Operating System", soit "Système d'exploitation pour l'interconnexion de réseaux". Les différents modes d'utilisateurs Mode Utilisateur: Permet de consulter toutes les informations liées au routeur sans pouvoir les modifier. Le shell est le suivant: Router > Utilisateur privilégié: Permet de visualiser l'état du routeur et d'importer/exporter des images d'IOS. Le shell est le suivant: Router # Mode de configuration globale: Permet d'utiliser les commandes de configuration générales du routeur. Le shell est le suivant: Router (config) # Mode de configuration d'interfaces: Permet d'utiliser des commandes de configuration des interfaces (Adresses IP, masque, etc.). Le shell est le suivant: Router (config-if) # Mode de configuration de ligne: Permet de configurer une ligne (exemple: accès au routeur par Telnet). Le shell est le suivant: Router (config-line) # Mode spécial: RXBoot Mode de maintenance qui peut servir, notamment, à réinitialiser les mots de passe du routeur. Le shell est le suivant: rommon > Page 1 Février 2014 Di MARCANTONIO Joris Configuration des interfaces Ethernet du routeur Interface fa0/0: Router (config) # interface fa0/0 Router (config-if) # ip address 192.168.1.1 255.255.255.0 Router (config-if) # no shutdown Router (config-if) # exit Interface fa0/1: Router (config) # interface fa0/1 Router (config-if) # ip address 10.0.0.1 255.0.0.0 Router (config-if) no shutdown Router (config-if) exit Essayer de faire un ping pour tester la connexion entre les deux machines, puis ne pas oublier de sauvegarder la config . Commandes d’informations Afficher le fichier de configuration courante du routeur: show running-config show run sh run Afficher les informations sur la configuration matérielle du système et sur l'IOS: show version sh version Afficher les processus actifs: Show processes Afficher les protocoles configurés de couche 3 du modèle OSI: show protocols Afficher les statistiques de mémoire du routeur: show memory afficher des informations et statistiques sur une interface: show interfaces nom_interface sh interfaces nom_interface sh int nom_interface Afficher la table de routage IP: sh ip route Page 2 Février 2014 Di MARCANTONIO Joris Commandes d'interfaces Attribution d’une adresse IP à une interface: ip address @IP masque Activation de l'interface: no shutdown Commandes d'enregistrement de la configuration courante Sauvegarde avec demande de confirmation: copy running-config startup-config copy run start Sauvegarde sans demande de confirmation: write Configuration du routage Route par défaut R4 (config) #ip route 0.0.0.0 0.0.0.0 192.168.3.1 Configuration d’une route statique R4(config)#ip route 192.168.2.0 255.255.255.0 ethernet 1/0 Suppression de la route statique R4(config)#no ip route 192.168.2.0 255.255.255.0 ethernet 1/0 Page 3 Février 2014 Di MARCANTONIO Joris Mise en place de filtrage IP (ACL) IL existe 3 catégories d'Access-list qui sont entre autre: -ACL standard (uniquement sur les IP sources) -ACL étendue (quasiment tous les champs des en-têtes IP, TCP et UDP) -ACL nommée Les ACL permettent de filtrer les accès entre les différents réseaux ou de filtrer les accès au routeur lui-même. Les paramètres contrôlés sont: Adresse source Adresse destination Protocole utilisé Numéro de port Le wildcard mask Le wildcard mask est un masque générique, qui permet de spécifier la partie de l’adresse IP qui doit servir de critère de comparaison. Les bits à zéro représentent la partie de l’adresse IP à examiner. Principes fondamentaux à ne pas oublier avec les ACL : Lorsqu’on crée une ACL, elle définit par défaut que TOUT est deny (bloqué) Le routeur applique les ACL séquentiellement, c’est-à-dire dans l’ordre où on les a créées Lorsque l’on met un « permit » sur un protocole de couche de niveau 3 par exemple (comme ip) le routeur laissera aussi passer sur les couches inférieures. Les ACL sont définies par des numéros qui peuvent être : Filtrer au niveau de l'adresse ip source <1-99>IP ACL standard Filtrer au niveau de l'adresse ip source <100-199> IP ACL étendus Page 4 Février 2014 Di MARCANTONIO Joris Permet d'identifier un paquet par les adresses IP, protocoles et ports source et destination <1100-1199> Extended 48-bit MAC address access list Permet le filtrage par protocole <200-299> Protocol type-code access list Permet le filtrage par adresse MAC <700-799> 48-bit MAC address access list Voici la syntaxe de la commande servant à créer une ACL : access-list <number> <action> <protocol> <source> <destination> <eq, gt,it,neq ou range> <port number> access-list numéro de la liste {deny|permit} protocole source masque-source [operateur [port]] destination masque-destination [operateur [port]][established][log] Quelques opérateurs: eq : égal neq : différent gt : plus grand que lt : moins grand que Quelques exemples d’ACL … R1(config)#access-list 10 permit 192.168.2.0 0.0.0.255 Voilà un exemple d’ACL standard. Elle est composée de: Le mot clés access-list : qui permet de définir une ACL numéroté. Le numéro de l’ACL : un numéro permettant d’identifier une ACL, compris entre 1-99 pour une ACL standard. L’action à effectuer: deny (supprimer le paquet), permit (autoriser le paquet). L’adresse IP du réseau source : identifier le réseau source. Le wildcard mask Page 5 Février 2014 Di MARCANTONIO Joris R1(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Voilà un exemple d’ACL étendue. Elle est composée de: Le mot clés access-list : qui permet de définir une ACL numéroté. Le numéro de l’ACL : un numéro permettant d’identifier une ACL, compris entre 100-199 pour une ACL étendue. l’action à effectuer: deny (supprimer le paquet), permit (autoriser le paquet). le protocole: protocole a filtré ( IP,TCP,UDP,EIGRP…) L’adresse IP du réseau source : identifier le réseau source. Le wildcard mask source. L’adresse IP du réseau destination : identifier le réseau destination. Le wildcard mask destination. Permettre une ip spécifique (ce qui interdira toutes les autres, cf: 3 principes fondamentaux) : Router(config)#access-list 10 permit 192.92.130.2 Permettre le trafic sur le port 80 (www) depuis une source spécifique vers une destination : Router(config)#access-list 101 permit tcp host 10.1.1.2 host 10.1.2.2 eq www Permettre l'utilisation du ping (echo) Router(config)#access-list 101 permit icmp any any echo Page 6 Février 2014 Di MARCANTONIO Joris Page 7