Vous êtes sur la page 1sur 10

WAN: Rseau tendu

- Rseau de communication de donnes pour les grandes entreprises qui sabonne auprs dun FAI - Les rseaux tendus sont utiliss seuls ou conjointement avec Internet -Modules de larchitecture dentreprise CISCO : (CISCO entreprise branch architecture)

- Couche 1: Client(DTE, DCE,Point de dmarcation), WAN SP(boucle local:cble,central tlphonique: CO) - Priphriques de rseau tendu: couche 1 Modem (DSL:RTPC ou cble: rseau cbl) : convertie les donne numrique vers ligne tlphonique Serveur daccs CSU/DSU (Channel Service Unit/Data SU): pour les lignes numriques lou doprateur T1(E1) ou T3 - Protocoles (Normes) couche1:EIA/TIA-232, EIA/TIA-449/530, EIA/TIA-612/613, V.35, X.21

- Protocoles couche 2: Point point ddi : CISCO HDLC (High-Level Data Link Control), PPP Commutation de circuit : RNIS (ISDN : Integrated Services Digital Networkmoins utilis), RTPC (PSTN :Public Switched telephone network ) Commutation de paquet : Frame Relay, ATM (Asynchronous Transfer Mode), X.25 (moins utilis), MPLS - Options dimplmentation de WAN : Priv ddi(lou): requis des routeurs dextrmit avec des ports sries, CSU/DSU et les circuits Ti(Ei) Priv commut circuit: RTPC(analogique)requis un modem(56ko/se), RNIS (numrique) utilise TDMA 2 interfaces RNIS: BRI (Basic Rate Interface):2canauxB 64ko/sec + CanalD 16ko/sec =144ko/sec PRI (Primary RI):23B+1D 64ko/sec (USA T1) ,30B+1D (Europe E1)=2mo/sec Priv commut paquet : ATM utilise des cellules de taille 53octets avec un multiplexage temporel Deux systmes de dtermination de lien: sans connexion (internet), avec connexion (FrameRelay) Public internet : Services large bande: DSL (modem DSL), modem cble (rseaux tlvision), sans fil large bande (WifiPublic, Wimax:802.16, internet par satellite) VPN : deux types daccs : Site Site (routeurs IPSEC...Etc.),accs pc distance (logiciel ou https) Metro Ethernet : le WAN SP utilise des switch couche3 pour la communication entre sites

PPP: Point to Point Protocol


- Trois normes de communication srie: RS-232, V.35, HSSI (High-Speed Serial Interface)cisco - Utilisation de multiplexage TDM(RNIS & SONET pour loptique):T1=24 DS0, canal DS0=64ko/sec (voix) - Le multiplexage de temps statistique utilise une langueur de tranche variable (couche physique) - La liaison srie utilise DTE(Data Terminal Equipement) cot client (Customer Premises Equipment CPE: routeur,PC..) et DCE (DControlE) cot WAN SP(modem,CSU/DSU) qui converti les data DTE en forme compatible avec la liaison de transmission. - Protocoles dencapsulation WAN : Ligne loue & commutation circuit: HDLC, PPP, SLIP (Serial Line Internet Protocol: ancien) Commutation paquet: Frame Relay, ATM, X25

- Le protocole Cisco HDLC permet de prendre en charge plusieurs protocoles - Transmission synchrone Orient binaire (bit) - Trois formats du champ contrle HDLC : Trame dinformation (I), supervision (S), non-numrote (U) - Activer lencapsulation HDLC: (Config-if) #encapsulation hdlc //par dfaut sur CISCO devices

- PPP tablit une connexion directe au moyen de cbles srie, de lignes tlphoniques, de lignes agrges, de tlphones portables, de liaisons radio spcialises ou de liaisons fibres optiques - PPP comprend trois composants : HDLC, Link Control Protocol(LCP), Network Control Protocol(NCP) - PPP mme structure de trame que HDLC. LCP peut ngocier des modifications sur la structure de trame. - Rle LCP: ltablissement, la maintenance et la fermeture dune liaisonle champ Donnes de trame PPP - Rle NCP : configurer les protocoles de couche rseau (IP:IPCP, IPX, AppleTalk, etc.) - Configuration des options LCP dans PPP: Authentification, Compression, Dtection des erreurs (Magic Number), Multiliaison, Rappel PPP. - Activation de PPP sur une interface serie : (config-if)#encapsulation ppp - Activer la compression : (config-if)#compress [predictor | stac] //algo predictor ou Stacker

- Surveillance de la qualit de la liaison : (config-if)#ppp quality percentage - quilibrage de la charge (Multiliaison) : (config-if)#ppp multilink - Dpannage PPP: # debug ppp {packet | negociation | error | compression | authentication} - Protocole dauthentification PPP: CHAP utilise des password variables avec MD5. Un check rgulier PAP (Password Authentication Protocol :une seule fois change en 2 tapes de user& pass en clair CHAP (Challenge Handshake Authentication Protocol): comme MAC+ID alatoire dans les RCSF

Configuration de lauthentification : (config-if)#ppp authentication {chap | chap pap | pap | pap chap} Configuration des infos de routeur distant:(config)#username name password passe Envoyer les infos dauthent PAP local: (config-if)# ppp pap sent-username Myname password Mypass Lauthentification CHAP ne demande pas lenvoi dinfo locale utiliser le mme password des deux cots

Frame Relay:
- Intervient dans la couche physique et liaison de donnes (utilise des switch Frame Relay du WAN SP)

- Pour connecter au rseau Frame Relay, utiliser un DTE (routeur ou FRAD : FR Access Device)

- La connexion entre deux DTE par un rseau Frame Relay utilise un circuit virtuel (VC) - Deux types de circuits virtuels: Permanent (PVC) : prconfigurs par loprateur, fonctionnent en modes DATA TRANSFER et IDLE. Commut (SVC): dynamique (CALL SETUP, DATA TRANSFER, IDLE, CALL TERMINATION) - Les VC sont identifis par un identifiant local DLCI (Data link connection identifier) donne par WAN SP - Format trame : - la valeur de DLCI est Sur deux champs (entre 16 et 992)

- Chaque connexion virtuelle sur le canal physique est reprsente par un DLCI unique (signification local) - Topologies FR: toile (Hub and Spoke), maillage global (full meshnbr VC++), maillage partiel. - Frame Relay utilise Inverse ARP pour traduire le DLCI local en @IPprochain sautmappage dynamique - Mappage statique lutilisateur fait la correspondance entre DLCI local et @ip de prochain saut - Interface de supervision locale (LMI) est un mcanisme de test dactivit entre DTE et DCE. Pour afficher les statistiques LMI: # show frame-relay lmi //DLCI LMI ANSI=0, Cisco=1023

- Configurer le type de LMI (doit correspondre au type LMI des switch frameRelay) : (config-if)#frame-relay lmi-type {Cisco | ANSI | Q933A} //par dfaut cisco - Pour tablir la correspondance entre @ip et DLCIDTE envoi LMI(rcuprer les DLCI)+ ARP inverse. - Configuration Frame Relay/ietf (si les deux routeurs ne sont pas de type Cisco): (config-if)#encapsulation frame-relay {ietf} //interface serie synchrone

(config-if)#bandwidth kilobits //pour les protocoles OSPF & EIGRP - Configuration mappage statique : (config-if)#no frame-relay inverse-arp //Activer linterface //dsactiver map dynamique

(config-if)#frame-relay map ip adresse-ip-suiv dlci [broadcast] [ietf] [cisco] (config-if)#no shutdown - FrameRelay,ATM,X25 sont des rseauxNBMA(non-broadcast multiple access)utiliser la cmd broadcast - Afficher le mappage/type encap: # show frame-relay map //utilis par les routers pour envoyer les trames - Afficher ltat pvc/nbr fecn|becn : # show frame-relay pvc [interface interface] [dlci] - Pour supprimer le mappage dynamique calcul avec arp inverse : # clear frame-relay inarp - Pour rsoudre le problme de split horizon dans FR utiliser les sous-interfaces logiques - 2 modes de sous-interfaces FR :

Point Point : topologie en toile, une sous-interface pour chaque VC, un sous-rseau pour chaque sous-interface(255.255.255.252), comme des lignes ddies Multipoint : topologie maillage, sous-interface tablie pls connexion de PVC avec mme @sous-rseau

- lments facturable: Dbit daccs (Boucle locale), nombre DLCI, CIR (Committed Information Rate) -FR permet aux clients lenvoi dun petit rafales de donnes ngoci CBIR (C Burst IR) suprieures leur CIR, et un BE (Excess Burst)<=Dbit daccs en taguant la trame avec un DE(Discard Eligible)=1. La diffrence entre dbit garantit et maximal sappelle EIR (Excess Information Rate) - Les switches FR utilisent les mcanismes de notification indirect FECN (Forward Explicit Congestion Notification) et directe BECN (Backward ECN) pour le control de congestion (flux) de leur fil dattente. -Configuration sous-interfaces (utiliser le id_sous_int=DLCI).dfinir lencapsulation sur linterface physique (config) # interface id_interface.id_sous-interface { point-to-point | multipoint } (config-subif)# ip address @IP mask //affecter une @ip appartient au sous_rseau de PVC + bandwith

(config-subif)# frame-relay interface-dlci dlci_number //non utilis avec le mappage multipoint statique - Configuration dun routeur comme un switch FR : //Avec GNS3 (config-if)#interface serial 0/0/0 (config-if)#clock rate 64000 (config-if)#encapsulation frame-relay (config-if)#frame-relay intf-type dce (config-if)#frame-relay route 102 interface serial 0/0/1 201 //PVC (config-if)#no shutdown

- Vrifier les routes cres sur le switch FR: #show frame-relay route

//Table de correspondance couche2

Scurit des rseaux :


- Type de rseaux : ouvert (tout ce qui nest pas explicitement refus est permis) et ferm (tout ce qui nest pas explicitement permis est refus) - La norme ISO/IEC 27002 se rapporte spcifiquement la technologie de linformation et dcrit un code de bonne pratique pour la gestion de la scurit des informations : stratgie de scurit. - 3 notions de scurit : Vulnrabilit: faiblesse (technologiques, de configuration, la stratgie de scurit) Menaces (threats): individu qui cherche les vulnrabilits Attaques: mises en uvre des menaces laide dune varit doutils - Types dattaques : Reconnaissance (nmap), Accs(MIM), DOS (pingOfDeath, SynFlodding, Ddos, Smurf), Vers, virus et chevaux de Troie - La roue de scurit aprs dveloppement de stratgie de scurit : scurisation, surveillance, test, amlioration - Les tapes de scurisation dun routeur : 1. Gestion de la scurit : - Configuration des users de BDD locale:# username nom_utilisateur secret mot_de_passe //utilise MD5 - Dfinir longueur minimal de password : (config) # security passwords min-length longueur 2. Scurisation des accs administratifs distance aux routeurs - Activer laccs avec le protocole Telnet/ssh/tout: (config-line)# transport input telnet/ssh/all - Fixer le dlai dattente dexcution en minutes: (config-line)# exec-timeout nombre_minutes - Activer les tests dactivit TCP : (config) # service tcp-keepalives-in - Configuration SSH sur les lignes vty0 4 : (config)#hostname nom_hote (config)#ip domain-name nom_domaine (config)# crypto key generate rsa (config)# username user secret passe //dfinir un user local (config-line)# login local //identification local sur la ligne vty 0 4 pour le protocol SSH (config)#ip ssh time-out sec |authentication-retries entire //timeout & nombre dessaie facultatif (config)# ip ssh version [1 | 2] 3. Journalisation de lactivit du routeur : syslog 4. Scurisation des services et des interfaces vulnrables du routeur: http, CDP, SNMP (version1&2), NTP 5. Scurisation des protocoles de routage -Empcher la propagation des MAJ : (config-router) # passive-interface default //Dsactiver tout (config-router) # no passive-interface interfaceRip -Chiffrement & Authentication: (config)#key chain RIP_KEY //definition de la cl (config-keychain)#key 1 (config-keychain-key)#key-string clef (config-if)#ip rip authentication mode md5 //RIP (config-if)#ip rip authentication key-chain RIP_KEY (config-if)#ip authentication mode eigrp 1 md5 //EIGRP (config-if)#ip authentication key-chain eigrp 1 RIP_KEY (config-if)# ip ospf authentication //OSPF simple (config-if)# ip ospf authentication-key clef (config-if)#ip ospf authentication message-digest //OSPF MD5 (config-if)#ip ospf message-digest-key 1 md5 clef Configuration authentification simple/MD5 : (config-router)#area 0 authentication / message-digest 6. Contrle et filtrage du trafic rseau - Verrouillage laide de cisco Auto Secure (quivalent SDM) : # auto secure - SDM (Cisco Router and Security Device Manager) est un outil de gestion web pour les Cisco Integrated Services Router(ISR) Pare-feu, audit de scurit, Qos - Cisco upgrade (de 2.3 3.0 : payant) vs update (de 3.03.1 : gratuit) de limage IOS

- Etapes dupgrade: dsactiver interfaces, copie de sauvegarde, tlcharge nouvelle version, test, ractiver tt. - Convention image IOS: c1841(typeRouter)-ipbase(Fonction)-mz(RamZip).12.3-14.T7(Version).bin - Rcupration images logicielles IOS aprs perte et reload Invite ROMmon : commande tftpdnld (transfert via le serveur tftp) Protocole Xmodem: commande xmodem (transfert via cble de console de pc admin) - Rcupration du mot de passe enable : (connexion console) Passer au mode Rommon : reload + touche pause rommon1> confreg 0x2142 // valeur <> de celle registre de configuration #show version rommon 2> reset //redmarrage de routeur en ignorant la configuration enregistre # copy startup-config running-config // et non pas write # show running-config //recuperation pass Claire(vty-console), redfinition pass chiffr (config)#config-register 0x2102 //aprs redefinition de pass avec # enable secret pass # write - Configurer lauthentification avec le protocole AAA (Authentication, Authorization and Accounting) (config)#username user privilege 0 15 password pass //user local avec privilge (config)#aaa new-model //activer lauthetification AAA (config)#aaa authentication login LOCAL_AUTH local //utiliser une BDD local des users (config)#line console 0 / vty 0-4 (config-line)#login authentication LOCAL_AUTH - Envoi des messages SNMP un serveur syslog: (config)#logging @serveur //dfinir l@ IP de PC serveur syslog (config)#logging trap warnings //Dfinir le niveau de gravit 0(emergencies)-7(debugging) - Configurer un routeur entant que serveur tftp : (config)#tftp-server nvram:startup-config alias test

ACL : liste de contrle daccs - Equivalent un pare-feu(niveau application). Permet dimplmenter la stratgie de scurit de lentreprise - Les ACL inspectent (autorisation ou refus) les paquets du rseau en fonction de ladresse source, ladresse de destination, les protocoles et les numros de port. - Liste des Ports connus: UDP : 53:dns, 67-68:dhcp (serveur,client), 69:tftp, 161:snmp, 520:rip TCP20-21:ftp (data, cmd), 22:ssh, 23:telnet, 25:smtp, 80:http, 110:pop3 , 143:imap, 179:bgp, 443:https - Rgle des trois P : Configurer une seul ACL par protocole, par direction (IN & OUT) et par interface Sinon la nouvelle rgle crase lancienne - Les instructions ACL fonctionnent dans un ordre squentiel de haut en bas avec instruction finale implicite

- Linstruction implicite deny ip any any est le comportement par dfaut des ACL (invisible) Une ACL doit comporter au moins une instruction dautorisation, sans quoi tout le trafic est bloqu. - 2 types de ACL : Standard : un critre @IP source Etendue: plusieurs critres: type protocole, @source, @destination, port - Rgles demplacement des ACL : tendues : Placez-les le plus prs possible de la source du trafic refus standard : placez-les le plus prs possible de la destination. - Pour calculer masque-gnrique pour une plage rseauxcalculer agrgation, ensuite 255-rsultat - Afficher ACL : # show access-list { numro-liste-accs | nom } - Vrifier si une ACL est applique une interface : #show ip interface {interface} - Supprimer une ACL : (config)# no access-list numro-acl //on perd touttout refaire (copier-coller) - Configuration ACL standard : numro acl de 1 et 99 et de 1300 1999 (config) #access-list numro-acl {deny|permit} source [log] Source = any (mask_gn=4*255) | @rseau [masque-gnrique-source] | host @ip (mask=4*0) - Pour dfinir des remarques sur la ACL : (config) # access-list numro-acl remark remarque - Cration ACL nomme : (config)#ip access-list {standard | extended } name (config-std-nacl)# [num_modif] {deny|permit} source [masque-gnrique-source] [log] - Application dune ACL une interface : (config-if)# ip access-group {numro-liste-accs | nom-liste-accs} {in | out}

- Configuration ACL Etendue : numro acl de 100 et 199 et de 2000 2699 (config) #access-list num-acl {deny|permit} protocole source [operateur][ numPort ou nom] destination [operateur][ numPort ou nom] [established] Protocole=tcp,udp,icmp,ip (tout) operateur=eq,neq,gt,lt,range established=bit ack 1 - ACL sur les accs aux lignes vty 0 4(telnet): (config-line) # access-class acl_name {in| out}

- Types ACL complexes : GNS3 Dynamiques (verrou): ouvrir une brche temporelle dans une ACL existantecrer un accs telnet avec authen qui sera ferm pour crer la brche pour une dure limit pour contrer les rgles ACL (config)# username user secret passe //dfinir un user local (config)#access-list 101 permit tcp any host @router eq telnet //autoris telnet vers le routeur (config)#access-list 101 dynamic nom timeout 15 permit ip rseau_source rseau_dest (config-line)# login local //configuration ligne vty 0 4 Rflexives: autoriser le trafic IP pour des sessions internes et le refuser pour les sessions dont la source est extrieurele routeur cre des entres ACL provisoires pendant la session (=established) (config)#ip access-list extended OUTFILTER //il faut une ACL tendu nomme en sortie (config-ext-nacl)#permit tcp @reseau any reflect TCPTRAFFIC //autoriser tcp sortant (config)#ip access-list extended INFILTER //il faut une ACL tendu nomme en entr (config-ext-nacl)#evaluate TCPTRAFFIC //accepter que les connexions tcp initie par @reseau Bases sur le temps: appliquer lACL en fonction du jour et de la semaine (config)# time-range EVERYOTHERDAY (config-time-range)#periodic monday wednesday friday 8:00 to 17:00 (config)#access-list 101 permit tcp @rseau any eq telnet time-range EVERYOTHERDAY

Tltravail : - 3 options sont utilises: VPN couche 2 (frame Relay, ATM, ligne ddie), VPN ipsec, internet large bande. - 4 options proposes par les FAI pour les tltravailleurs : Accs par ligne tlphonique : 56kbits/sec Ligne DSL: tlphone utilise bandes frquence 300Hz3kHz, alors que DSL utilise 3kHz-1MHz POTS: Plain old telephone service DSLAM : Digital subscriber line access multiplexervers FAI Modem cble (cable coaxial TV): Satellite - 2 types de VPN Ipsec (VPN encapsule les donnes pour les envoyer dans des tunnels) : Site site : avec des routeurs, firewall, ASA (Adaptative Security Appliance) VPN daccs distant : chaque hte dispose dun logiciel client - 2 protocoles de scurit IpSec : Authentication Header (AH) : assure lauthentification et lintgrit mais pas le chiffrement Encapsulating Security Payload (ESP) : - 4 tapes de configuration dIpsec : Encryption algorithm : DES, 3DES, AES Authentication algorithm : MD5, SHA IPsec protocol : AH, ESP , AH+ESP Diffie-Hellman (DH) algorithm group : 1 ,2 ou 5

Services dadressage IP : DHCP (Dynamic Host Configuration Protocol): utilise UDP (port client:67, serveur:68) - Successeur du protocole Bootstrap (BOOTP), - Utilise les mthodes de dtection (DHCPDISCOVER) et doffre DHCP (DHCPOFFER.) - Configuration DHCP : sur les router cisco Easy IP Serveur : (config)# ip dhcp excluded-address low_adr [high-adr] //exclure ces adressees (config)# ip dhcp pool pool-name //definer un nom au pool dadresse (dhcp-config)# network rseau {masque | prefix} //dfinir la plage dadresse rseau (dhcp-config)# default-router adresse //dfinir la passerelle par dfaut (dhcp-config)# dns-server adresse //dfinir ladresse de serveur DNS (dhcp-config)# lease {jours {heures} {minutes}|infinite} //dfinir la dure de bail Client (routeur) : (config-if)# ip address dhcp //recevoir une @ip par le FAI - Afficher le mappage DHCP : #show ip dhcp binding - Configurer un agent de relais DHCP:(config-if)#ip helper-address @IpServeur //relai les diffusions - Dsactiver le service DHCP: (config)# no service dhcp - Dpannage DHCP: # access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 # debug ip packet detail 100 - Dbogage DHCP # debug ip dhcp server packet NAT (Network Address Translation): - Un routeur compatible NAT fonctionne la priphrie dun rseau dextrmit - La surcharge NAT : overload PAT (Port Address Translation) - Inconvnients NAT : -la signature/Ipsec choue sur un hote interne -pas dACL sur un hte interne - Types d@ : local inside (prive), global inside (publique nat), globale outside (publique extern) - Configuration NAT statique: toujours sauvegarder dans la table NAT:permet initiation depuis exterieur (config)#ip nat inside source static ip-locale ip-globale (config-if)#ip nat inside // Signalez linterface|sous_int comme connecte lintrieur (config-if)#ip nat outside // Signalez linterface comme connecte lextrieur - Configuration NAT dynamique : dfinir un pool dadresses publiques (config)#ip nat pool nom ip-dbut ip-fin {netmask masque-rseau|prefix-length longueur-prfixe} (config)#access-list numro-acl-std permit source [masque-gnrique-source] //rseaux internes (config)#ip nat inside source list numro-acl-std pool nom (config-if)#ip nat inside| outside // Signalez linterface comme connecte intrieur| extrieur -Configuration PAT : (config)#ip nat inside source list numro-acl-std interface interface-sortie overload // 1 @ publique (config)#ip nat inside source list numro-acl-std pool nom overload //plusieurs @ publiques - NAT nautorise pas les requtes provenant de lextrieur transfert de port (tunneling) - Afficher / supprimer la table NAT: # show / clear ip nat translations * - Dbogage NAT # debug ip nat IPv6 -16octets=128bits -Dduire nombre de zro avec ( ::)une seul fois -@ loopback ::1 -Pas de masque rseau -Pas de champ checksum -Pas d@ de diffusionmulticast -Une interface peut avoir plusieurs @ip -ICMPV6 intgre igmp&ARP(NDP) -DNSAAAA - Configuration d@ automatique -Mobilit intgre -IpSec obligatoire -anycast(one-to-nearest) -3 approches pour la transition: Utilisez la double pile quand vous pouvez, le tunnel quand vous devez ! Double pile (dual stack): un nud implmente IPv4&IPv6 et agit selon l@ de destination Transmission tunnel 6to4 : encapsuler un paquet IPv6 dans un paquet IPv4 NAT-PT, transmission tunnel ISATAP et transmission tunnel Teredo - Activer le IPv6 sur un routeur cisco : (config)# ipv6 unicast-routing - Attribution manuel d@IP : (config-if)# ipv6 address adresse-ipv6/longueur-prfixe - Attribution @IP avec EUI-64(MAC): (config-if)# ipv6 address prfixe-ipv6/longueur-prfixe eui-64 - Configuration de RIPng avec IPv6 : utilise UDP port 521 (config)# ipv6 router rip nom //Cre et active le mode de configuration du routeur RIP (config-if)#ipv6 rip nom enable //Configure RIP sur une interface : remplace network en RIPv2 - Prfix adresse link local fe80::/10 (+MAC) -multicast ff00::/8 -global@ 2000 ::/3 - @ multicast protocoles : -IS-ISff02 ::8 - RIPnG ff02 ::9 - EigrpV6 ff02 ::a -@ coute multicast (NDP) : -hostff02 ::1 - routeurff02 ::2

Dpannage de rseau : - Les composants de la documentation rseau (ligne de base du rseau): logiciel administration des rseaux La table de la configuration du rseau : routeurs et switch La table de configuration du systme dextrmit : serveurs Le diagramme topologique du rseau : schma physique + schma logique (@ip) - Approches de dpannage mthodique : <> thorique (analyse minutieux) ou en force (tout changer) Recueil des symptmes : avec les logiciels administration rseau ou les plaintes des utilisateurs Isolation du problme : analyse des problmes au niveau des couches logiques du rseau Correction du problme : mettre en uvre, teste et documentation de la solution. - Mthodes de dpannage : -Ascendante -Descendante -Diviser et conqurir(si couche OKregarder en haut) - Recueil des symptmes: # ping {hte | adresse-ip} # tracerout {destination} # telnet {hte | adresse-ip} # show ip interface brief # show ip route # show ip protocols # show running-config. # debug ? Couche physique: Symptmes : - Performances infrieures la ligne de base. - Perte de connectivit - Goulots dtranglement sur le rseau - Forte utilisation de lUC Causes : - Problmes dalimentation - Erreurs de configuration de linterface - Dfauts de cblage - Attnuation - Bruit - Dfauts matriels - Surcharge de lUC Dpannage : -Vrifiez que les cbles ou les connexions sont corrects et quils respectent les normes. -Vrifiez que les configurations dinterfaces sont correctes Couche liaison de donnes: Symptmes : -Pas de fonctionnalit ni de connectivit au niveau de la couche rseau ou suprieur -Nombre excessif de diffusions Causes : -Erreurs dencapsulation -Erreurs de trames -Erreurs de mappage dadresses(Ex :FrameRelay,ARP) -checs ou boucles STP Dpannage : -PPP : Vrifier lencapsulation des 2 extrmits, tat LCP et lauthentification show - FrameRelay : vrifier LMI sans erreur, PVC en tat actif, et lencapsulation show Couche rseau: Symptmes : - panne du rseau ou des performances non satisfaisantes. Dpannage : -Vrification des relations de voisinage des routeurs -Recherche de problmes dans la Base de donnes topologique ou la table de routage Couche transport: Ordre de traitement dun paquet : ACL-NAT(trafic entrant) NAT-ACT(sortant) Problme ACL: -Slection du flux de trafic (interface) -Ordre des lments ACL -Instruction implicite deny all -Adresses et masques gnriques -Slection TCP/UDP -Ports source et de destination -established en sortie Problme NAT: -Problme linteroprabilit avec autres technologies (Ex : IPsec) -Compteurs NAT mal configurs -Fonction NAT statique incorrecte Couche application: Symptmes : -Lutilisateur se plaint des faibles performances des applications -Message derreur des applications/ sur la console -Message de fichier journal de systme -Alarme nagios Dpannage : -Vrifier les couches infrieures (ping passerelle & hte distant)couche 1-3 -Vrifiez le fonctionnement dACL et NAT (show) couche 4 -Dfinir quel protocole couche application qui pose problme Rsolution des problmes : -Faire une sauvegarde de la configuration -Une seule modification la fois -Si problme rsolue alors documenter la solution - Sries de Tests (ping) : Pile protocole ip: #ping lcoalhost (boucle local) Carte rseau local: #ping Mon-@ip Rseau local & passerelle par dfaut: #ping passerelle (couche 1 & 2) Rseau distant: #ping @ip-hte-distant (couche 3)