Routage Dynamique IPv4 avec OSPF

Notre nouvelle mission : faire communiquer l’ensemble des réseaux avec OSPF et configurer une connexion vers le réseau WAN

image

Pour télécharger la maquette vierge cliquez ici
Pour télécharger la maquette complète cliquez ici

L’adressage étant configuré nous nous attarderons uniquement sur le routage dynamique.

ROUTAGE DYNMAIQUE
OSPF est un protocole dans la catégorie IGP (Interior Gateway Protocol) c’est-à-dire un protocole utilisé au sein d’une entreprise tel un FAI par exemple. Son algorithme SPF de « Dijkstra » permet de choisir le chemin le plus adapté en fonction de la vitesse du lien. Il va cumuler l’ensemble des liaisons pour atteindre une destination et en définir un certain coût

Configuration du router0 :
Actuellement sur notre router0, en faisant un « show ip route » nous n’avons que les routes auquel notre routeur est directement connecté.

Router0#sh ip route

image

Pour configurer OSPF sur le router tapez les commandes suivantes :

Router0>enable
Router0#configure terminale
Router0(config)#router ospf 1

Le numéro 1 représente l’ID ospf pour ce routeur.
Il n’est pas obligé d’être identique sur chaque routeur de la topologie.

Router0(config-router)#router-id 1.1.1.1

l’ID se présente sous le forme d’une IP. Celle-ci n’a pas d’impact conséquent dans notre topologie. Il sert uniquement à informer les routeurs voisins qui il est.
Cette IP n’est pour autant dans la table de routage des routeurs. C’est un peu la carte d’identité du routeur dans la zone OSPF 1

Router0(config-router)#network 192.168.3.0 0.0.0.255 area 0
Router0(config-router)#network 192.168.4.0 0.0.0.255 area 0
Router0(config-router)#network 192.168.5.0 0.0.0.255 area 0

Dans cette partie, nous renseignons les réseaux auquel notre routeur0 est connecté.
Nous ne renseignons pas volontairement le réseau WAN en 209.50.144.0/30

A ce stage, notre routeur envoie des mises à jour OSPF sans recevoir de réponse. Donc notre table de routage reste encore vide puisque les routeurs voisins ne sont pas encore configurés avec le protocole OSPF.

Configuration du router1 :

Router1>enable
Router1#configure terminale
Router1(config)#router ospf 1
Router1(config-router)#router-id 2.2.2.2
Router1(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router1(config-router)#network 192.168.4.0 0.0.0.255 area 0
Router1(config-router)#network 192.168.6.0 0.0.0.255 area 0

A ce stade, votre routeur1 reçoit des informations de router0 avec l’ID 1.1.1.1 pour établir une contigüité et partage ses informations de routage.

image

Voici les routes pour Router2 :

Router0>enable
Router0#configure terminale
Router0(config)#router ospf 1
Router0(config-router)#router-id 3.3.3.3
Router0(config-router)#network 192.168.2.0 0.0.0.255 area 0
Router0(config-router)#network 192.168.5.0 0.0.0.255 area 0
Router0(config-router)#network 192.168.6.0 0.0.0.255 area 0

A ce stade l’ensemble des routeurs convergent (c’est-à-dire qu’ils se mettent à jours les uns les autres), vous le voyez avec le message suivant

image

Test et vérification de la maquette

Sur routeur2, vous pouvez à présent tapez la commande « sh ip route » pour afficher la table de routage

Router2(config#)sh ip route

image

Nous voyons une nouvelle lettre « O » comme OSPF apparaitre pour identifier les routes apprises avec OSPF. Les informations de routage sont bien transmises. Pour tester la connectivité. Fais un « tracert » entre PC2 et PC1

image

La communication est opérationnelle.
L’étoile de la 3e ligne indique qu’un paquet est perdu. Cela est dû à une requête ARP effectué par Routeur0 pour demander l’adresse MAC de 192.168.3.1. C’est un processus normal, le routeur rempli progressivement sa table ARP.

La route par défaut

L’objectif est de configurer router0 avec une route par défaut vers le WAN et de diffuser celle-ci sur routeurs1 et router2 via OSPF

Configurez Router0 avec la route par defaut

Router0(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2

Puis diffusez la dans OSPF

Router(config)#router ospf 1
Router(config-router)#default-information originate

Vous pouvez vérifier la propagation de cette route sur router1 ou/et router2

Router1#show ip route

image

Nous pouvons vérifier que la route se propage bien avec l’indice O*E2.

Test de la maquette

Pour finalisez le TP, nous vérifierons un test de connexion avec le PC0 avec un ping vers 8.8.8.8

image

Sourire MISSION ACCOMPLIE Sourire

*** CISCO FOREVER ***

 

Publicités

NAT – Redirection de port

image

Maquettes :
Voici les maquettes pour vous aider à suivre ce tuto :
Maquette vierge ici
Maquette complète ici

Problématique :
Le PC1 du réseau bleu n’accède pas au serveur WEB cisco.fr du réseau jaune.
Les deux réseaux LAN possèdent le même adressage en 192.168.1.0/24

NOTE : Si PC1 ping l’adresse IP de CISCO.FR, le ping réussira, Pourquoi ? Parce qu’ils possèdent tous les 2 la même adresse IP. Donc le PC1 s’autopingera lui-même xD !! #Camarchemaiscamarchepas

Contexte :
Le routeur du réseau bleu et le routeur du réseau jaune sont déjà configurés avec du NAT overload.
– Le PC du réseau bleu peut pinger l’adresse IP publique du réseau jaune en 132.78.241.30.
– Le PC du réseau jaune peux pinger l’adresse IP publique du réseau bleu en 92.50.132.2

Un peu de théorie :
Dans un souci d’économie d’adresse IP, chaque réseau d’entreprise et chaque réseau domestique sont avec des adresses IP dites « privées » en 192.168.0.0, 172.16.0.0, 10.0.0.0 par exemple. Pour pouvoir faire communiquer les réseaux en adresses IP privée sur le WAN, il est indispensable de configurer le NAT overload. Mais de cette façon, il est impossible de faire communiquer un réseau privé avec un autre réseau privé via le WAN.

Objectif :
Dans notre cas, nous voulons juste rendre accessible notre serveur WEB cisco.fr via l’IP publique 132.78.241.30 de l’entreprise JAUNE.

Solution :
Pour cela, sur le routeur CISCO du réseau jaune, tapez les commandes suivantes :
Router>en
Router#conf t
Router(config)#ip nat inside source static tcp 192.168.1.2 80 132.78.241.30 80

Explications :
Nous voulons redirigez un serveur WEB, donc nous allons rediriger le protocole HTTP
Ip nat inside source statique: à cela indique une redirection permanente
TCP:
le protocole HTTP utilise le protocole TCP
192.168.1.2: on précise l’adresse IP du serveur WEB
80: cela correspond au serveur port WEB du serveur
132.78.241.30: on précise l’adresse IP publique
80: on précise le port qui sera redirigé

Dans notre TP, nous venons de redirigez le port 80 de l’adresse IP publique sur le port 80 de notre serveur. Pour tester la redirection, allez dans web browser du PC1 et taper l’adresse IP publique 132.78.241.30 de cisco.fr Vous devriez obtenir :

image

Dans le nuage Internet, j’ai configuré un serveur DNS avec l’adresse IP 8.8.8.8. Celui associe l’IP publique 132.78.241.30 au nom de domaine cisco.fr. l’IP dns étant déjà référencez sur le PC1, dans votre web browser vous pouvez taper le nom www.cisco.fr

image

!!! CISCO FOREVER !!!

Voici d’autres redirections possibles :
Rediriger un serveur en HTTPS
Router(config)#ip nat inside source static tcp 192.168.1.2 443 132.78.241.30 443

Rediriger un serveur DNS
Router(config)#ip nat inside source static udp 192.168.1.2 53 132.78.241.30 53

Rediriger un serveur FTP
Router(config)#ip nat inside source static tcp 192.168.1.2 21 132.78.241.30 21

Rediriger un serveur TFTP
Router(config)#ip nat inside source static udp 192.168.1.2 69 132.78.241.30 69

Rediriger un serveur DHCP
Router(config)#ip nat inside source static udp 192.168.1.2 67 132.78.241.30 67

VPN Site à site

Qu’est-ce qu’un VPN Site à Site ?
C’est une communication entre 2 LAN distants via un tunnel sécurisé à travers internet.

Exemple: nous avons un réseau LAN sur Lille et un réseau LAN sur Paris que nous devons interconnecter. A moins de tirer une fibre optique entre les 2 bâtiments (Lille à Paris) ce qui est impossible xD, le seul moyen de les raccorder est de passer par internet. Pour cela il nous faut créer un lien sécurisé qu’on appelle un VPN (Virtual Private Network)

Dans ce tuto nous allons voir comment configurer un lien VPN site à site.
Maquette vierge ici
Maquette complète ici
image

Contexte de la maquette :
Les routeurs LILLE et PARIS sont déjà configurés avec leurs IP. Le nat overload est opérationnel. Les postes clients peuvent accéder à internet sur l’ip 8.8.8.8

image

A la première ouverture de la maquette, le premier ping vers 8.8.8.8 sera perdu. N’oubliez pas que la requête ARP en est la cause 😉

Le problème que nous rencontrons est que les 2 sites LILLE et PARIS ne communiquent pas entre-eux. Ce qui est normal à la base. Personne ne peut entrer sur un réseau distant qui ne lui appartient pas. Le VPN permettra de répondre à ce besoin tout en sécurisant la communication.

image

Je viens de réaliser un ping d’un PC de LILLE sur un PC de PARIS

CONFIGURATION DU VPN DE LILLE
Sous packet tracer, nous devons dans un premier temps activer le module sécurité securityk9 sur le routeur 2911. Exécutez la commande show version pour vérifier que la licence du pack est activée.

image

Si ce n’est pas le cas, activez le module avec la commande suivante, enregistrez votre configuration et redémarrez votre routeur.
LILLE>enable
LILLE#conf t
LILLE(config)#license boot module c2900 technology-package securityk9
LILLE(config)#exit
LILLE#copy run start
LILLE#reload
################

Si vous refaites un show version, vous identifiez votre module activé en version d’évaluation.

image

Nous allons ensuite nous occuper des stratégies de chiffrement avec ISAKMP (Internet Security Association and Key Management Protocol). Cette appliance fournis la sécurisation des paquets qui seront acheminés d’un bout à l’autre.
LILLE(config)#crypto isakmp policy 10
LILLE(config-isakmp)# encryption aes
LILLE(config-isakmp)# authentication pre-share
LILLE(config-isakmp)# group 5
LILLE(config-isakmp)#exit

Le cryptage AES est le chiffrement choisi pour l’échange. Les algorithmes DES et 3DES n’étant plus considérés comme sûres, il est recommandé d’utiliser AES.

Cet algorithme nécessite une clé pré-partagée pour le chiffrement et le déchiffrement. C’est pourquoi nous choisissons l’authentification pre-share.

Le group 5 représente l’algorythme DH (Diffie-Hellman) la manière selon laquelle une clé secrète partagée est établie entre les homologues

Nous précisons ensuite la clé d’échange qui sera KEYVPN ainsi que la destination de l’hôte distant
LILLE(config)#crypto isakmp key KEYVPN address 83.0.0.1

Ensuite nous sélectionnons la méthode de cryptage que l’on appelle CRYPSET
LILLE(config)#crypto ipsec transform-set CRYPSET esp-aes esp-sha-hmac

ESP-AES est l’algorythme de cryptage et esp-sha-hmac est la méthode d’authentification

Passons à la configuration des ACL
LILLE(config)#ip access-list extended LAN
LILLE(config-ext-nacl)# no permit ip 192.168.20.0 0.0.0.255 any
LILLE(config-ext-nacl)# deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any
LILLE(config-ext-nacl)# exit

WARNING : Nous éditons l’ACL du NAT déjà existante qui s’appelle LAN pour interdire la translation d’adresse vers le LAN distant. De cette façon aucune adresse IP source à destination de PARIS ne sera changée. Néanmoins si la destination est autre que PARIS, les adresses IP sources seront translatées.

Par contre nous créons une autorisation du réseau d’ARRAS à communiquer avec le réseau de PARIS avec l’ACL que l’on appellera VPN
LILLE(config)#ip access-list extended VPN
LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

Nous nous attaquons à présent à rassembler les différents éléments créés ci-dessus pour en faire une cryptomap que l’on positionnera sur l’interface outside serial 0/0/0
LILLE(config)#crypto map VPNMAP 10 ipsec-isakmp
LILLE(config-crypto-map)# set peer 83.0.0.1
LILLE(config-crypto-map)# set transform-set CRYPSET
LILLE(config-crypto-map)# match address VPN
LILLE(config-crypto-map)#exit
LILLE(config)#interface serial 0/0/0
LILLE(config-if)#crypto map VPNMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

CONFIGURATION DU ROUTEUR DE PARIS
Configuration d’ISAKMP
PARIS(config)#crypto isakmp policy 10
PARIS(config-isakmp)# encr aes
PARIS(config-isakmp)# authentication pre-share
PARIS(config-isakmp)# group 5
PARIS(config-isakmp)#

Configuration de la clé d’échange entre les 2 hôtes
PARIS(config)#crypto isakmp key KEYVPN address 80.0.0.1

Configuration du cryptage et de la méthode d’authentification
PARIS(config)#crypto ipsec transform-set CRYPSET esp-aes esp-sha-hmac

Configuration de l’ACL LAN (celle du NAT)
PARIS(config)#ip access-list extended LAN
PARIS(config-ext-nacl)# no permit ip 192.168.10.0 0.0.0.255 any
PARIS(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
PARIS(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any

Création de l’ACL nommé VPN
PARIS(config)#ip access-list extended VPN
PARIS(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

Création de la Cryptomap
PARIS(config)#crypto map VPNMAP 10 ipsec-isakmp
PARIS(config-crypto-map)# set peer 80.0.0.1
PARIS(config-crypto-map)# set transform-set CRYPSET
PARIS(config-crypto-map)# match address VPN

Attribution de la cryptomap sur l’interface outside
PARIS(config-ext-nacl)#interface serial 0/0/0
PARIS(config-if)#crypto map VPNMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
PARIS(config-if)#

– TESTS ET VERIFICATION
Si votre configuration fonctionne du premier coup vous devriez avoir ceci si vous pingez 192.168.10.1à partir du 192.168.20.1
image

Afin de vérifier si les paquets envoyés sont cryptés et que les paquets reçus sont bien décryptés, vous pouvez le vérifier avec la commande suivante :
Router#sh crypto ipsec sa
image

Les 2 sites sont fin prêt pour communiquer ensemble de façon sécurisée !!

!!! CISCO FOREVER !!!

Authentification radius sur un router avec SSH

Notre nouvel objectif :
Configurer un accès SSH sur un périphérique Cisco avec authentification radius. Pour suivre et pratiquer en même temps vous avez les maquettes ci-dessous disponibles :

Maquette vierge ici
Maquette complète ici
image

Qu’est ce qu’un serveur Radius ?
C’est un protocole standard qui à pour but de centraliser toutes les authentifications par un login et mot de passe. Un serveur radius peut s’appuyer sur un active directory ou un serveur LDAP pour référencer des comptes déja existants. L’avantage est de se connecter avec un seul compte sur plusieurs périphériques d’administration (ex:router/switch/Serveur/…). Ce qui permet de ne retenir qu’un login mot de passe et non plus des milliers ^^ #tropdemotdepasse

Configuration radius du serveur : 192.168.0.200
image

1 – Nous identifions le routeur R1 avec son IP en 192.168.0.254 pouvant se connecter au serveur radius avec la clé 123456789
2 – Nous créons ensuite un user jerome avec son mot de passe cisco1234
3 – N’oubliez pas d’activer le service AAA en cliquant sur ON

Configuration du protocole SSH :
Pour plus de détails sur la configuration vous pouvez sur cliquer sur cet article.
Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#ip domain-name cisco.com
R1(config)#crypto key generate rsa
Choisissez par exemple une clé de 1024 bits
R1(config)#ip ssh version 2
R1(config)#line vty 0 15
R1(config-line)#transport input ssh

Configuration de l’authentification radius sur le routeur

Commençons par la création d’un nouveau profil
Router(config)#aaa new-model

Spécifions que l’authentification se fera sur l’accès distant via le protocole radius.
Router(config)#aaa authentication login default group radius local

Vous pouvez même configurer une authentification radius sur le compte privilégié lorsque vous tapez enable
Router(config)#aaa authentication enable default group radius local

Ici nous spécifions la liaison entre le routeur et le serveur radius en respectant la clé d’autorisation 123456789 configurée sur le serveur précédemment :
Router(config)#radius-server host 192.168.0.200 auth-port 1645 key 123456789

Enfin nous précisions que sur les line vty 0 à 15 nous checkerons un serveur radius
R1(config)#line vty 0 15
R1(config-line)#login authentication default

Vérification
A partir d’un PC tapez la commande suivante :
ssh –l jerome 192.168.0.254
Le mot de passe sera celui que vous avez configuré sur votre serveur radius pour ma part ce sera cisco1234
image

!!!!! CISCO FOREVER !!!!!

IP DHCP SNOOPING

Notre serveur DHCP subit régulièrement des attaques type DHCP Starvation (en français : famine) appelé aussi attaque DoS (Deny Of Service), vidant ainsi notre pool de toutes ses IP. De plus les postes clients récupèrent des informations IP différentes de celle proposé par notre serveur DHCP, nous pensons donc qu’il existe un DHCP rogue sur notre LAN.

image

Votre mission, si vous l’acceptez, sera de protéger notre serveur DHCP des attaques DoS et de l’identifier comme seul serveur DHCP sur le LAN, laissant les rogues ainsi impuissants. L’objectif ici n’est pas d’identifier le hackeur mais de protéger notre serveur DHCP

Maquette vierge ici
Maquette complète ici

La première étape sera de limiter les attaques DoS sur notre pauvre serveur DHCP. Une attaque de ce genre se traduit par une inondation de trame partant du hackeur vers le serveur. Ces trames sont créées de façon aléatoire avec des adresses mac sources différentes. Le hackeur n’a qu’à générer 254 requêtes avec 254 adresses mac sources différentes pour réussir son attaque.

Pour pallier à cette attaque nous devons implémenter de la sécurité de port sur les ports d’accès de nos switch1 et switch2 avec les commandes suivantes :

Switch>enable
Switch#conf t
Switch(config)#inter range fastethernet 0/2-24

Important : Nous sélectionnons toutes les interfaces de la 0/2 à 0/24 sauf la 0/1 car c’est une liaison inter-switch, il n’y a pas de sécurité à mettre sur ce port dans notre cas

Switch(config-if-range)#switchport mode access
Commande obligatoire pour forcer le mode access sur le port, auquel cas vous aurez un beau petit message d’erreur du genre :
Command rejected: FastEthernet0/2 is a dynamic port.

Switch(config-if-range)#switchport port-security
Cette commande indique que nous activons la sécurité sur le port

Switch(config-if-range)#switchport port-security maximum 5
Dans la sécurité à appliquer, nous configurons un maximum de 5 périphériques sur les interfaces, ce qui est déjà beaucoup.

Switch(config-if-range)#switchport port-security mac-address sticky
Et enfin nous configurons un apprentissage automatique des adresses mac par l’option sticky

Si une attaque est détectée par l’un des switch configuré, l’interface du switch s’éteindra automatiquement. A vous de réactiver l’interface avec la commande suivante :

Switch(config)#inter fastethernet 0/2
Switch(config-if)#no shutdown

A présent, passons la deuxième étape du tuto.

Actuellement nous avons juste empêché une attaque DoS. mais rien n’empêche un deuxième serveur DHCP de fonctionner sur le LAN. Dans la maquette packet tracer, le serveur en rouge appelé « DHCP HACK » distribue des IPs sur les PC2 et PC3. Voyons donc la configuration pour empêcher le serveur DHCP HACK de nuire sur le LAN.

Les commandes suivantes sont à réaliser sur switch1 et switch2
Switch>en
Switch#conf t
Switch(config)#ip dhcp snooping

Nous activons la sécurité du serveur DHCP.

Important : A présent plus aucune requête DHCP n’est autorisée sur le LAN. Si vous faites une demande d’adresse IP, vos PC obtiendront une adresse APIPA en 169.254.X.X/16

image

Switch(config)#ip dhcp snooping vlan 1
Nous activons la sécurité sur le VLAN1

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip dhcp snooping trust

Nous sélectionnons l’interface 0/1, pour valider les requêtes DHCP uniquement sur ce port. Cela indique que toutes les requêtes DHCP venant de ce port sont fiables et donc autorisées à se diffuser sur les ports d’accès correspondant uniquement au VLAN1

Switch(config-if)#ip dhcp snooping limit rate 10
Pour sécuriser davantage notre serveur, nous limitons à 10 le nombre de requêtes DHCP à la seconde.

Notre Lan est à présent protégé contre les attaques DHCP mentionnées au début de cet article. Si nous le voulons nous pouvons nous arrêter là. Mais que faire si le Hackeur se branche sur le switch CŒUR de réseau comme ceci :

image

Voyons la configuration du switch CŒUR :
Switch#en
Switch#conf t
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#ip dhcp snooping trust

Jusque-là rien de bien surprenant, les commandes sont identiques à celles des switchs1 et switch2.

Important : Notez que notre switch est bien configuré, mais que les PC0, PC1, PC2 et PC3 ne reçoivent plus les baux DHCP du serveur. De plus vous avez un beau message d’alerte :

00:11:47: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCP DISCOVER, MAC sa: 00D0.BC9A.E341

En terme simple, toutes les requêtes du type DHCP discover arrivant sur les ports 0/2 et 0/3 du switch CŒUR sont non-fiable (untrusted) pour être transmises sur le LAN. Elles ne sont donc pas transmises vers le serveur DHCP.

Il faut référencer les interfaces 0/1 et 0/2 comme des interfaces trust dans le réseau.
Switch(config)#interface range fa 0/1-3
Switch(config-if-range)#ip dhcp snooping trust

Tout est bien qui finit bien, nos hôtes reçoivent les bonnes adresses IP et sont donc protégés des DHCP Rogue.

MISSION ACCOMPLIE
!!! CISCO FOREVER !!!

DHCP sur un routeur

Voici une toute nouvelle mission, celle de configurer un serveur DHCP sur notre routeur Cisco. L’objectif est d’attribuer une adresse IP de façon dynamique à chacun des PCs sur le LAN pour leur donner l’accès vers le WAN

image
Maquette vierge ici
Maquette terminée ici

Le routeur étant déjà configuré avec des adresses IP. Passons directement à la configuration du serveur DHCP.
R1>enable
R1#conf t
R1(config)#ip dhcp pool LAN1

Nous donnons le nom LAN1 à notre pool dhcp

R1(dhcp-config)#network 192.168.1.0 255.255.255.0
Cette commande définit une plage réseau

R1(dhcp-config)#default-router 192.168.1.254
Ici nous référençons la passerelle du réseau

R1(dhcp-config)#dns-server 8.8.8.8
Avec cette commande nous indiquons le serveur DNS à contacter

R1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.99
R1(config)#ip dhcp excluded-address 192.168.1.254
Vous pouvez définir une plage d’adresse à exclure avec la commande ci-dessus ou alors une adresse seule

A présent nos postes clients peuvent recevoir une adresse IP et surfer sur internet.

image

Nous voyons bien que la première adresse commence à 192.168.1.100, que notre passerelle est 192.168.1.254 et que le serveur DNS est 8.8.8.8

image

A présent voici une commande afin de vérifier les adresses attribuées sur le LAN :
R1#sh ip dhcp binding

image

Nous voyons les adresses IP associées aux adresses MAC

La commande suivante, détecte les conflits d’adresses. C’est-à-dire que si le routeur attribue une adresse déjà attribuée en statique sur le réseau, il l’identifie comme conflit.
R1#sh ip dhcp conflict

image

Nous verrons dans un prochain article, comment sécuriser le serveur DHCP avec la commande dhcp snooping

!!! CISCO FOREVER !!!

Configurer le protocole SSH

Dans ce tuto nous allons voir ensemble comment configurer un accès ssh sur un périphérique Cisco. Pour suivre et pratiquer en même temps vous avez les maquettes ci-dessous disponibles :
– Maquette vierge ici
– Maquette terminée ici

Dans cette maquette nous allons configurer SSH sur notre switch en 192.168.10.1
image

SSH est le protocole le plus sécurisé pour établir une communication avec un équipement distant. Les communications sont chiffrées entre les 2 équipements concernés sur le port 22. Malheureusement ce protocole n’est pas pris en compte sur tous les équipements. Afin de voir s’il est disponible faite la commande suivante
SW1#sh ip ssh
SSH Enabled – version 1.99

Si une version du protocole s’affiche c’est que vous pouvez configurer SSH sur votre équipement. Auquel cas il vous faudra peut-être mettre à jour votre IOS

Passons à présent à la configuration IP du switch pour le rendre joignable via une IP
Switch>enable
Switch#conf t
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.10.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.10.254

Voici maintenant la configuration SSH en détail
– Donnez un nom à votre équipement
Switch(config)#hostname SW1

– Référencez un nom de domaine
SW1(config)#ip domain-name cisco.com

– Activez le cryptage avec les paires de clé RSA
SW1(config)#crypto key generate rsa
The name for the keys will be: SW1.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

Par défaut, une longueur de 512 bits est proposée. Pour plus de sécurité il faut augmenter le nombre de bits. Pour une sécurité minimum Cisco préconise une valeur de 1024. Dans notre tuto nous irons jusqu’à 2048 bits
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable…[OK]

Pour éviter les failles de sécurité répandues avec SSH v1 nous passerons en version 2
SW1(config)#ip ssh version 2

Configurez un login « admin » et un mot de passe qui sera « cisco »
SW1(config)#username admin password cisco

Configuration des lines pour déclarer que seul le protocole SSH sera disponible avec l’utilisateur que nous venons de créer
SW1(config)#line vty 0 15
SW1(config-line)#login local
SW1(config-line)#transport input ssh

 

Nous pouvons à présent tester la connexion sur le poste client avec la commande suivante :
ssh –l admin 192.168.10.1

image

Pour plus de détails, voici l’accès au cours netacad cisco sur le protocole SSH ici

!!! CISCO FOREVER !!!

1