Vous êtes sur la page 1sur 36

Prrequisetobjectifs

1.Prrequis
cestade,lorganisationmatrielleetlogicielledurouteur,sesportsdadministration,sesinterfaces,sonsystme dexploitation,sonpartitionnementmmoiresontsuppossconnussoitlquivalentduchapitreLesrouteursdecet ouvrage.

2.Objectifs
lafindecechapitreetduchapitresuivant,vousserezenmesurede: Installer,configureretvrifierlefonctionnementdunrouteursortiducarton. Matriser lusage de linterface en ligne de commande des routeurs et commutateurs CISCO. Cette interface est commune lensemble des produits CISCO, routeurs et commutateurs, mais ce chapitre naborde ici que les fonctionnalitsspcifiquesauxrouteurs. HorsCCNA:configurerdeuxrouteursdansunlaboratoireouavoirenchargemillerouteursdanssonentreprisene posevidemmentpaslesmmesproblmes.Lefardeauadministratifrsultantpeuttendreverslacceptablela condition de configurer de faon cohrente et systmatique. Ce chapitre se propose de poser les premiers fondementsdunetellemthodedeconfiguration.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

Miseensituation
Touteslescapturesdecechapitreonttralisessurlatopologiesuivante:

Les routeurs sont des 2600, lIOS est une version 12.4. Le serveur VMSRV01 est un serveur Windows 2000 utilis chaquefoisquilestutilededisposerdeservicesrseau.Danslecasprsent,cestleserviceDNSquiestmisprofit. Ladministrateuryacrunezoneccna.frainsiquedeuxenregistrementsR11etR12.Lelecteurgagnerareproduire cettetopologiepuistesterlensembledeslignesdecommandesproposes.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

Configurationdesparamtresglobaux
1.Configurerlinvitedecommande
Pardfaut,linvitedecommandersultedelaconcatnationdetroisinformations: 1.Lenomdurouteur,Routerquandlenomnapasencoretconfigur. 2.LecontextequandlinterfaceILCquittelemodedexcution.Exemple(config)quandlemodedelinterfaceILCest lemodedeconfigurationglobale. 3.Lecaractredeprompt>ou#quirappelleleniveaudeprivilge,>rappellelemodeutilisateur,# rappellelemodeprivilgi. Ilestpossibledecomplterlinformationfournielaidedelacommandepromptdontlasyntaxeestlasuivante:
G

promptstring
G

Modedeconfigurationglobale. String est toute chane de caractres dans laquelle il est possible dinclure un certain nombre de variables.Unevariabledepromptestprcdeducaractre%.Letableausuivantinventorieles variablesdepromptpossibles: Interprtation

Variablede prompt %h

Lehrappellehostname.LIOSremplacecettevariableparlenomdurouteur ou Router quandlenomnestpasconfigur. NumrodeligneCON(n0),TTY(lignesphysiques),AUXouVTY.Pourmmoire,il estpossibledobtenirdelinformationsurcesnumroslaidedunecommande showusersoudunecommandeshowline. Lecaractredeprompt>ou#. Caractreespace. Tabulation. Caractre%.

%n

%p %s %t %%

Linvitedecommandepardfautcorrespondparconsquentlacommande prompt%h%p.Voiciunepropositionde promptmodifipourinclurelendeligneutilis: R11(config)#prompt TTY%n@%h%s%p R11(config)#^Z TTY66@R11 #sh line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses * 0 CTY 0 65 AUX 9600/9600 0 * 66 VTY 1 67 VTY 0 68 VTY 0 69 VTY 0 70 VTY 0

Noise

Overruns Int 1 0/0 0 0/0 0 0/0 0 0/0 0 0/0 0/0 0 0/0 -

Line(s) not in async mode -or- with no hardware support:1-64 TTY66@R11 #disable TTY66@R11 > DeuxsessionssontouvertessurR11,lunevialeportconsolequiportelenumro0,lautreviaTelnetlaquellelIOS

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

aattribulepremiernumroVTYdisponible,soitlenumro66.Lacapturesuivanteillustrelechangementdelinvite decommandesurlasessionconsole: *Mar 1 01:13:03.706: %SYS-5-CONFIG_I: Configured from console by vty0 (10.0.11.100) R11# TTY0@R11 #

2.Configurerunnomdhte
Lacommandeutiliserest:
G

hostnamename
G

Modedeconfigurationglobale. Attributiondunnomdhteaurouteur. LavaleurpardfautestRouter.

Le RFC1178 Name your computer peut servir de guide pour llaboration de noms valides : un nom dhte doit dbuter par une lettre, se terminer par une lettre ou un chiffre et ne devrait pas prendre la casse en compte. La longueur ne devrait pas dpasser 63 caractres. On se souvient que le nom dhte est rappel dans linvite de commandeassociaucontexte.Ilsetrouvequelensembleconcatn{nomdhte+contexte}nepeutdpasser30 caractres.Audel,linterfaceILCtronquelenomoulecontexte.Or,cesinformationssontduneimportancemajeure pour ladministrateur qui serait sans doute trs dsorient si linvite de commandes ne lui rappelait pas de faon exhaustivelevraicontextecourant: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname LeNomDeMonRouteurEstTropLong LeNomDeMonRouteurEst(config)#exit LeNomDeMonRouteurEstTropLong# Danslexemplecidessus,linterfaceatronqulenompourpermettrelaffichageducontexte.Lenomnerapparatau complet quune fois sorti du mode de configuration. CISCO conseille par consquent de limiter le nom dhte 10 caractres: LeNomDeMonRouteurEstTropLong#conf t LeNomDeMonRouteurEst(config)#hostname R11 R11(config)#exit R11# Une ultime possibilit consiste modifier la longueur admise de la chane hostname. Nous la citons pour mieux loublier,dautantque,sauferreur,ellenestpasdocumenteparlesiteCommandLookupTooldeCisco: R11(config)#prompt config hostname-length ? <0-80> maximum hostname length R11(config)#prompt config hostname-length 50 R11(config)#hostname LeNomDeMonRouteurEstTropLong LeNomDeMonRouteurEstTropLong(config)# LeNomDeMonRouteurEstTropLong(config)#hostname R11 R11(config)#^Z R11# Uneentreprisebienorganiseaprobablementdjlaboruneconventiondenommagedesquipementsrseau. Un administrateur nouvellement recrut doit senqurir de cette convention et doit en proposer une si elle nexiste pas. Une bonne convention de nommage aide mmoriser les noms de routeurs et aide deviner un nom que ladministrateurauraitoubli.Parexemple,onpeutimaginerfairedbutertouslesnomsderouteursparlasquence rtrsuividunesquencerappelantlagolocalisationdelquipement,lesinitialesdelavillepeuventconvenirsur unnombredelettreschoisiparavance,etterminerparunesquencededeuxchiffresafindeprvoirlecasoune mme localisation accueille plusieurs routeurs. Ainsi, le premier routeur plac Dunkerque serait rtrdk01 . Ce nomestfaciledevinerenneconnaissantquelaconventiondenommage.

- 2-

ENI Editions - All rigths reserved - FORMATIONS AFIP

Le caractre underscore ( _) doit tre vit dautant quilnest pas admis par la rsolution de noms DNS. Si lenvieprenddutilisercecaractre,alorsilestprfrabledeluisubstituerlecaractre.

3.Configurerunebannire
LIOSsupportetroistypesdebanniresetlesaffichedanscetordre: 1.Labannire motd(MessageOfTheDay)sansdoutelamoinsutilise.Ladministrateurpeutlamettreprofitpour avertir toute personne qui se connecterait sur lquipement dune actualit qui concerne lquipementoulerseau. Exemple:cerouteurseraredmarrle01avril20100h00. 2. La bannire login est utilise pour afficher un message davertissementenvuedeprvenirlutilisateur des pires dconvenues au cas o il persisterait vouloir se connecter alors quil ne fait pas partie des personnels autoriss. vacuons,unebonnefoispourtoutes,lesmessagestypeBienvenuedunerareincongruitdanscescirconstances.La bannireloginestunepierredansldificationdunepolitiquedescurit. 3.Labannire execestlaplusintressantepuisquellepermetlaffichagedunmessageunefoislasessionouverte, cestdireunefoislutilisateurauthentifi.Cestdoncunadministrateurquisadresseunautreadministrateur. Cetteconfiguration... R11#conf t R11(config)#banner motd # Enter TEXT message. End with the character #. Ceci est la banniere motd # R11(config)#banner login # Enter TEXT message. End with the character #. Ceci est la banniere login # R11(config)#banner exec # Enter TEXT message. End with the character #. Ceci est la banniere exec # R11(config)#^Z R11# ...provoquelaffichagedesmessages... R11 con0 is now available Press RETURN to get started. Ceci est la banniere motd Ceci est la banniere login

User Access Verification Password: Ceci est la banniere exec R11> Puisquunmessagepeutoccuperplusieurslignes,ladministrateurdoitchoisiruncaractrequidlimiteraledbutetla findumessage,toutcaractrefaitlaffairelaconditiondenepasapparatredanslecorpsdumessage, # at choisidanslescapturesdecechapitre. Configuronsunebanniredeloginunpeupluscrdible: R11#conf t Enter configuration commands, one per line. End with CNTL/Z. R11(config)# R11(config)#banner login # Enter TEXT message. End with the character #. ********************************************************************** **** Avertissement ! Acces aux seules personnes autorisees ! **** **** Vos activites au cours de cette session sont susceptibles **** **** detre enregistrees. Toute activite illicite fera lobjet **** **** dun recours en justice ! ****

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 3-

********************************************************************** # R11(config)#^Z R11# Depuislaversion12.0(3)TdelIOS,ilestpossibledinsrerdesvariablessystmedansunmessagedebannire.Lors delaffichage,lIOSsubstituelavaleurlavariable.Appeles tokensparCISCO,cesvariablessontaunombrede quatreaumomentoceslignessontcrites: Token Informationcorrespondante

$(hostname) Nomdhtedurouteur. $(domain) $(line) Nomdedomaineconfigursurlerouteur. Numrodelaligneactive.

$(linedesc) Descriptiondelaligneactive. MettonsprofitcesvariablespourcrerunebannireexecsurR12: R12(config)#banner exec # Enter TEXT message. End with the character #. Bienvenue, vous venez de vous connecter au routeur $(hostname).$(domain) depuis la ligne $(line) situe $(line-desc). # R12(config)#^Z R12# SilaliaisonentreR11etR12estconvenablementconfigure,siaumoinsuneligne vtyestconfigure,siunnomde domaine a t configur sur R12 (objet des paragraphes suivants), une tentative de connexion Telnet depuis R11 donnelersultatsuivant: R11#telnet 10.0.8.12 Trying 10.0.8.12 ... Open User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr depuis la ligne 66 situe 44811 SAINT HERBLAIN. R12>exit [Connection to 10.0.8.12 closed by foreign host] R11#

4.Protectiondupassageaumodeprivilgi
CommandesdjcommentesdanslechapitreLesrouteurs. SurR11(reproduiresurR12): R11(config)#enable secret ccna R11(config)#^Z R11# Un cas rel ncessiterait de respecter des rgles de longueur et de complexit du mot de passe. Mais une vraie politique de scurit consisterait mettre en place une authentification fonde sur lutilisation de couples {nom dutilisateur/motdepasse}.Cetteauthentificationpeuttrelocale,lescouples{nomdutilisateur/motdepasse}sont alorsmmorisssurlerouteur,oucentralise,lesidentifiantssontdanscecasconservsparunserveurRADIUSpar exemple.DautresdveloppementssontpropossauchapitreAdministrationetscurit.

5.Rsolutiondenoms
- 4 ENI Editions - All rigths reserved - FORMATIONS AFIP

Cettesectionestplaceiciparcequelescommandesdeconfigurationdontilestquestionsontentrerenmodede configurationglobale.Maislesdmonstrationsralisessurlatopologiedemiseensituationnepeuventfonctionner quesilaconfigurationdesinterfacesatralise.Mercidoncaulecteurquiaprislapeinedereproduirelatopologie debienvouloirsereporterlasectionConfigurationdesinterfaces,puisderevenirensuitecettesectionRsolution denoms. cestadedavancementdanslecursusCCNA,ilestinutiledinsisternouveausurlintrtdidentifierlesmachines pardesnomspluttquepardesadresses.Ilestgalementpossibledutiliserdesnomsdhtessurlesrouteurs,ce laconditiondeprvoirunersolutiondenoms,cestdirelapossibilitpourunemachinedetraduirelenomdhte enidentifiantnumrique(ladresse).Deuxpossibilitssoffrentalors:


G

UnersolutiondynamiquequiconsisteinterrogerunserveurDNS. Unersolutionstatiquequicontraintladministrateurrenseignerlescorrespondancesdanslaconfiguration durouteur.

Larsolutiondenomsestactivepardfaut,cequipeutparfoisentranerquelquesdsagrments,commelillustrela captureciaprs.LadministrateursurR11setrompeettapeR13aulieudeR12.AucunserveurDNSnestconfigur surR11,quitentedersoudreR13endiffusantunerequteDNSversladressedediffusionlimite255.255.255.255. Cette requte ne peut franchir R12, nest donc pas transmise au serveur DNS de notre topologie et reste sans rponse.R11attenddelonguessecondesunerponsequinevientpaspuisritredeuxfoislarequte. R11#R13 Translating "R13"...domain server (255.255.255.255) Translating "R13"...domain server (255.255.255.255) (255.255.255.255) Translating "R13"...domain server (255.255.255.255) % Unknown command or computer name, or unable to find computer address Ainsi,causeduneerreurdefrappe,ladministrateurestprivdeconsolependantuntempsquisembletoujours trop long. En conclusion, si ladministrateurna pas lintention dutiliser le service de rsolution de noms, alors il est prfrabledeledsactiverlaidedelacommandenoipdomainlookup: R11#conf t Enter configuration commands, one per line. R11(config)#no ip domain-lookup R11(config)#^Z R11#

End with CNTL/Z.

Lammeerreurdefrappeestsimuleaprsavoirdsactivleservicedersolutiondenoms: R11#R13 Translating "R13" Translating "R13" % Unknown command or computer name, or unable to find computer address R11# LIOSnegnreplusderequteversleserveurDNSetsecontentedeconsultersoncachelocal,ilnytrouvepasR13 etrendlamainpresqueimmdiatement. Lescommandespermettantlaconfigurationdelarsolutiondenomssontlessuivantes:
G

hostnamename
G

Djexplicite,maisenfaitoui,enattribuantunnomdhteaurouteur,cettecommandeparticipela configurationdelarsolutiondenoms.

iphost{ hostname}[tcpportnumber]{@IP1}[@IP2@IP3...]}
G

Modedeconfigurationglobale. Creuneentrestatiquedersolutiondenomdanslatabledhtes. [tcpportnumber]:portTCPutiliserpouruneconnexionTelnet,23pardfaut.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 5-

LacommandeaccepteplusieursadressesIPassociesunseuletmmenomdhte.

[no]ipdomainlookup
G

Modedeconfigurationglobale. Active/Dsactivelarsolutiondynamiquedenoms(cestdirecellefaisantappelunserveurDNS).

ipnameserveur{@DNS1[@DNS2@DNS3...@DNS6]}
G

Modedeconfigurationglobale. SpcifieleoulesserveursDNSquelerouteurdoitinterrogerpourrsoudrelesnoms. Jusqu6serveursDNSdiffrents.

ipdomainname{ name}
G

Modedeconfigurationglobale. Quand ladministrateur cherche rsoudre un nom qui nest pas pleinement qualifi (FQDN, Fully QualifiedDomainName),lIOScompltelenomrelatiffourniaveclenomdudomainetelquilestdfini laidedecettecommande.Rappel:
G

www.jules.dechezsmith.enface . avec le point final (le point final reprsente la racine de larborescence)estunnompleinementqualifi. www.julesestunnomrelatif.

Mettonscescommandesprofitendeuxtemps.Dansunpremiertemps,enconfigurantunersolutionstatiquesur R11.Dansunsecondtemps,enconfigurantunersolutionDNSsurR11etR12.

a.Rsolutionstatique
R11(config)#no ip domain-lookup R11(config)#ip host R12 10.0.8.12 R11(config)#^Z R11# *Mar 1 01:50:14.939: %SYS-5-CONFIG_I: Configured from console by console (59140 DUNKERQUE) Dsormais,riendeplussimplequedeseconnecterR12: R11#R12 Trying R12 (10.0.8.12)... Open User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr depuis la ligne 66 situe 44811 SAINT HERBLAIN. R12>exit [Connection to R12 closed by foreign host] R11# Unecommandeshowhostpermetdeconsulterlatabledecorrespondancesnomsdhte/adressesIP: R11#sh host Default domain is not set

- 6-

ENI Editions - All rigths reserved - FORMATIONS AFIP

Name/address lookup uses static mappings Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host R12None R11# Port Flags IP 10.0.8.12 Age Type Address(es)

(perm, OK)

Leschampsdecettetablesontexplicitsdansletableauciaprs: Information Host Port Flags Description Nomdhtedechaquecorrespondanceprsentedanslatable. PortutilislorsduneconnexionTelnetsidiffrentde23. Drapeauxdcrivantlamthodedapprentissagedecettecorrespondanceainsiqueson degrdepertinence. Permcorrespondancestatique,ajouteparladministrateur. TempcorrespondanceacquiseviaunserveurDNS. OKcorrespondancevalide. EXcorrespondanceexpire. Age Type Address Exprimenheures,tempscouldepuislinstantolacorrespondanceatapprise. Typedadresse. Adresse(s)associe(s)cenomdhte.

b.Rsolutiondynamique
UnserveurDNSatajoutsurLAN12delatopologieencours.SonadresseIPest10.0.12.100.Ilhbergelazone ccna.fretladministrateuryaajoutdeuxenregistrementsR11etR12:

SurR11(reproduiresurR12): R11(config)#no R11(config)#ip R11(config)#ip R11(config)#ip R11(config)#^Z R11# ip host R12 10.0.8.12 domain-lookup domain-name ccna.fr name-server 10.0.12.100

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 7-

*Mar 1 02:33:46.352: %SYS-5-CONFIG_I: Configured from console by console (59140 DUNKERQUE) R11# Unecommandeshowhostmontrequelatabledecorrespondancesestvide: R11#sh host Default domain is ccna.fr Name/address lookup uses domain service Name servers are 10.0.12.100 Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host R11# SollicitonslarsolutionententantuneconnexionTelnetsurR12: R11#R12 Translating "R12"...domain server (10.0.12.100) [OK] Trying R12.ccna.fr (10.0.12.1)... Open Port Flags Age Type Address(es)

User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R12.ccna.fr depuis la ligne 66 situee 44811 SAINT HERBLAIN. R12>exit [Connection to R12 closed by foreign host] Vrifionsnouveaulecontenudelatabledecorrespondances.CettefoisR12apparat: R11#sh host Default domain is ccna.fr Name/address lookup uses domain service Name servers are 10.0.12.100 Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host R12.ccna.frNone R11# Port (temp, OK) 0 Flags IP Age Type 10.0.12.1 Address(es)

6.Dateetheure
ParmilesmultiplestchesaccompliesparlIOS,lunedellesintresseparticulirementladministrateurparcequellelui permetdedcouvriroudemieuxcomprendrelesvnementsquiaffectentlefonctionnementdurouteuretdoncdu rseau. Il sagit de lactivit de journalisation des vnements. En la matire, CISCO comme une majorit de constructeursseconformeauprotocoleSYSLOGnormalisdansleRFC5424.Pardfaut,lamanifestationdeSYSLOG sur un routeur se limite lmission des messages dvnements vers le port console. Ces vnements sont horodats,maispourqueladateetlheureassociesunvnementprennentdusens,encorefautilquelhorloge entretenueparchaquerouteursoitellemmemiselheure.Deuxmoyenssoffrentladministrateur: 1.Configurerlheureetladatedirectementsurlerouteur.Hlas,cecicontraintladministrateurintervenirsurchacun desrouteursdontilalacharge. 2. Transformer lun des routeurs en serveur de temps et rgler les autres routeurs afin de rcuprer lheure sur le serveurdetemps. Notre topologie nous offre loccasion de tester les deux mthodes. Dans un premier temps, R12 sera mis lheure. Dansunsecondtemps,R12seraconfigurpourtreserveurdetempspuisR11seraconfigurpourobtenirlheurede

- 8-

ENI Editions - All rigths reserved - FORMATIONS AFIP

R12.Lescommandesncessairescetteconfigurationsontlessuivantes:
G

showclock
G

Afficheladateetlheuredusystme.

clockset{ hh:mm:ss}{ day}{ month}{ year}


G

Modeprivilgi. hh exprimelheurede023. dayexprimelejourde131. monthestlenomdumois. yearexprimelannesur4chiffres.

ntpmaster[#stratum]
G

Modedeconfigurationglobale. Faitdecerouteurunserveurdetemps. #stratum : optionnelle, le serveur de temps configur sur ce systme se rclame comme tant de strate#stratum.Lavaleurdoittrecompriseentre1et15etvaut8pardfaut.

ntpserver{ hostname|@IP}
G

Modedeconfigurationglobale. Faitdecerouteurunclientduserveurdetempsidentifiparsonnom(siunersolutiondenomsest enservicesurlerouteur)ouparsonadresseIP.

Le protocole NTP (Network Time Protocol) se fonde sur une architecture arborescente. Une heure de rfrence est diffuse verticalement de proche en proche. Chaque n ud choisit parmi ses parents le n ud qui prsente les meilleuresgarantiesdefiabilitethritedunattributappel stratum.Lesmachinesplaceslaracinesontsurle stratum 1 et se synchronisent directement sur des dispositifs matriels donnant lheure. Pendant la descente, chaque traverse dunn ud incrmente de 1 la valeur stratum. Les n uds placs sur la couche 2 (strate) se synchronisentsurlesn udsdestrate1,lesn udsplacssurlacouche3sesynchronisentsurlesn udsdestrate 2etainsidesuite.Enfinal,lavaleur stratum mesureladistancedun n udauxmachinesracinesetpeuttre considrecommeunindicateurdelaqualitdesynchronisationquunemachinedonnepeutoffrirauxn udsplacs surlesniveauxinfrieurs. UnrouteurpeuttreconfigurenNTPmatre.Danscecas,etsilneparvientpasjoindreunserveurNTPdestrate infrieure (cestdire dun niveau plus lev dans la hirarchie), alors le systme se considre synchronis sur la stratedenumro#stratumetlesautressystmespeuventleurtoursesynchronisersurcesystme. MiselheuredeR12: R12#sh clock *03:09:49.089 UTC Fri Mar 1 2002 R12#clock set ? hh:mm:ss Current Time R12#clock set 10:38:00 ? <1-31> Day of the month MONTH Month of the year R12#clock set 10:38:00 21 ? MONTH Month of the year R12#clock set 10:38:00 21 february ?

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 9-

<1993-2035>

Year

R12#clock set 10:38:00 21 february 2010 R12# *Feb 21 10:38:00.004: %SYS-6-CLOCKUPDATE: System clock has been updated from 03:11:40 UTC Fri Mar 1 2002 to 10:38:00 UTC Sun Feb 21 2010, configured from console by console. R12#sh clock 10:38:13.558 UTC Sun Feb 21 2010 R12# FaisonsdeR12unserveurdetemps: R12(config)#ntp ? access-group authenticate authentication-key broadcastdelay clock-period logging master max-associations peer server source trusted-key

Control NTP access Authenticate time sources Authentication key for trusted time sources Estimated round-trip delay Length of hardware clock tick Enable NTP message logging Act as NTP master clock Set maximum number of associations Configure NTP peer Configure NTP server Configure interface for source address Key numbers for trusted time sources

R12(config)#ntp master ? <1-15> Stratum number <cr> R12(config)#ntp master R12(config)#^Z R12# FaisonsdeR11unclientduserveurdetempsR12: R11(config)#ntp ? access-group authenticate authentication-key broadcastdelay clock-period logging master max-associations peer server source trusted-key

Control NTP access Authenticate time sources Authentication key for trusted time sources Estimated round-trip delay Length of hardware clock tick Enable NTP message logging Act as NTP master clock Set maximum number of associations Configure NTP peer Configure NTP server Configure interface for source address Key numbers for trusted time sources

R11(config)#ntp server ? Hostname or A.B.C.D IP address of peer vrf VPN Routing/Forwarding Information R11(config)#ntp server R12 R11(config)#^Z R11# *Mar 1 03:21:48.521: %SYS-5-CONFIG_I: Configured from console by console (59140 DUNKERQUE) R11#sh clock 03:21:57.992 UTC Fri Mar 1 2002 R11#sh clock 03:36:10.406 UTC Fri Mar 1 2002 R11#sh clock .11:04:26.166 UTC Sun Feb 21 2010 R11# Notre propos ntant pas ltude du protocole NTP, nous nirons pas plus loin, les lecteurs insatiables trouveront la

- 10 -

ENI Editions - All rigths reserved - FORMATIONS AFIP

capture des changes NTP entre client et serveur tlchargeable sur le site ENI sous le nom cap_22_02.pcap. Puisqueaucunevaleur #stratumnatconfigure,onpeutobserverlavaleur8danslesrponsesNTPdurouteur R12.AprsquelqueschangesNTP,R11adoptelheurercupresurR12.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 11 -

Configurationdesaccs
1.AccsconsoleetTelnet
SurR11(reproduiresurR12),accsconsole: R11(config)#line con 0 R11(config-line)#location 59140 DUNKERQUE R11(config-line)#logging synchronous R11(config-line)#exec-timeout 0 R11(config-line)#password eni R11(config-line)#login R11(config-line)#^Z R11# SurR12(reproduiresurR11),accsTelnet: R12(config)#line vty 0 4 R12(config-line)#exec-timeout 0 R12(config-line)#logging synchronous R12(config-line)#password eni R12(config-line)#login R12(config-line)#location ? LINE One text line describing the terminals location R12(config-line)#location 44811 SAINT HERBLAIN R12(config-line)#exit CescommandesontdjtcommentesdanslechapitreLesrouteurs.Lemotdepassedelaccsconsolenest pas absolument indispensable si lon considre quil sagit dun accs physique et quil suppose donc que ladministrateuraitpntrdansunlocalscuris.Cetouvrageproposedeuxdveloppementsenrapportavecles accsconsoleetTelnet:ContrlerlouverturedesessionTelnetdanslechapitreGestiondetraficparlistedaccs, laccsviaSSHproposauchapitreAdministrationetscurit.

2.Accshttp
Pardfaut,lIOSactiveunserveurhttplaidedelacommandedeconfigurationglobale:
G

[no]iphttpserver
G

Modedeconfigurationglobale. Active/dsactiveleserveurhttpinternedurouteur. Actifpardfaut.

AccderceservicencessitededisposerdunnavigateurWebetdyentrerladresseIPduneinterfacedurouteur. Lorsdelaconnexion,leserveurdemandelutilisateurdesauthentifier.moinsquuneauthentificationplusforte nait t configure, il suffit de laisser le champ nom dutilisateur vide et de taper le mot de passe qui protge le passageaumodeprivilgi.IlestdebontondeconsidrerlaccsauserveurHTTPcommeunefaillepotentiellede scurit,cestpourquoicetaccsfaitlobjetdundveloppementpluscompletlasectionListedaccsnumrote standardScnariostypesLimiterlaccsauxsessionshttpduchapitreGestiondetraficparlistedaccs.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

Configurationdesinterfaces
Enconnectantlerouteursonenvironnement,lesinterfacesLANetWANpermettentaurouteurdassurerlatchepour laquelleilatconu,cestdirelacheminementdespaquets.Ilfautencoreyajouterlinterfacedeloopback,interface virtuellequipeutrendredenombreuxservices:ladresseIPaffectelinterfacepeutfournirunidentifiantaurouteur, linterfacepeutservirdedestinationauxpaquetsindsirables,linterfacevirtuellepeutsimuleruneinterfacerelle,liste nonexhaustive. Unecommande showinterfaces affiche une information trs complte sur chacune des interfaces embarques par le routeur.PouruneinterfaceLAN: R11#sh int FastEthernet0/0 is up, line protocol is up Hardware is AmdFE, address is c801.02cc.0000 (bia c801.02cc.0000) Description: LAN11 Internet address is 10.0.11.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:49, output 00:00:02, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 4 packets input, 526 bytes Received 4 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog 0 input packets with dribble condition detected 11 packets output, 1583 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out PouruneinterfaceWAN: Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Description: Lien loue 64K vers Nantes Internet address is 10.0.8.11/24 MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set Keepalive set (10 sec) Last input 00:00:01, output 00:00:03, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 48 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 12 packets input, 1329 bytes, 0 no buffer Received 12 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 9 packets output, 1143 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

0 carrier transitions DCD=up DSR=up DTR=up Onytrouvenotamment:


G

RTS=up

CTS=up

ladresseIPainsiquelemasquedesousrseau ladressedecouche2 lencapsulationutilise desstatistiquessurletraficquitransiteparlinterface etleplusimportant:ltatdelinterfacelafoisencouchephysiqueetencoucheliaison.

En effet, les fonctionnalits de la couche 3 (le routage) sappuient sur les couches 1 et 2 et ne peuvent tre oprationnellesquesilesinterfacessontactiveslafoisencouche1etencouche2.cesujet,lacommande showla pluspertinenteestcertainementlacommandeshowipinterfacesbriefquelonpeutabrgerenshipintbr: R11#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 Serial0/1 R11#

IP-Address 10.0.11.1 10.0.8.11 unassigned unassigned

OK? YES YES YES YES

Method NVRAM NVRAM NVRAM NVRAM

Status Protocol up up up up administratively down down administratively down down

Ltatactifencouche1suppose:
G

Queladministrateuraitactivlinterfacelaide dunecommande noshutdown.Danslecascontraire, linterfacerestedansltatadministrativelydown. Quilyaitbienuneconnectivitphysiqueentrecetteinterfaceetlinterfacedelquipementenvisvis. Parexemple,uneinterfaceWANestconnectesonbotierCSU/DSUluimmeactif,uneinterfaceLAN est connecte un port de commutateur actif, les cbles utiliss sont en bon tat et sont bien les cbles attendus, liste trs peu exhaustive hlas. Dans le cas contraire, linterface reste dans ltat down .

Uneinterfaceencouche1estdanslundestroistatsadministrativelydown,downou up .

Ltatactifencouche2suppose:
G

Quelacouche1soitactive. ETquilyaitcompatibilitdeprotocolesurlescouches2respectivesdesinterfacesenvisvis.Dansle casduneinterfaceLAN,pasdeproblmedepuislaprminencedEthernet.Danslecasduneinterface WAN,ladministrateurdoitavoirconfigurlemmeprotocoledecouche2auxdeuxextrmitsdulien. Pardfaut,lIOSraliseuneencapsulationHDLC(HighLevelDataLinkControl). ETquelinterfacereoivelestramesKeepalive...


G

Concrtement,uneinterfacesassure de ltatdelacouche2laide de trames Keepalive. Touteinterfaceactiveencouche1metdefaonpriodiqueunetelletrame(voirKeepaliveset 10secdanslacapturecidessus,lapriodeestconfigurable).Touteinterfacequinapasreu detrameKeepalivedepuisundlaisuffisantpassedansuntatdownencouche2.

Uneinterfaceencouche2estdanslundesdeuxtatsdownouup. DanslecasduneinterfaceLAN,chaqueinterfaceenvoiedestrames Keepaliveverssapropreadresse.Cestrames

- 2-

ENI Editions - All rigths reserved - FORMATIONS AFIP

sontrepresLOOPdanslextraitdecapturecidessous:

Dans le cas dune interface WAN et dune encapsulation HDLC, CISCO met profit sa dclinaison de ce protocole, il sagitpourlessentieldedistinguerleprotocoleencapsulenincluantdanslatrameHDLCunchampProtocolCode. Parmi les autres extensions au protocole HDLC, CISCO a galement inclus la dfinition dun protocole appel SLARP (Serial Line ARP). SLARP permet une interface de sattribuer une adresse IP en fonction de ladresse IP affecte linterfaceplacelautreextrmitdulien.Encela,SLARPestsimilaireRARP.SLARPinclutgalementunetrame Keepalivemisepardfauttoutesles10secondes.Lesdeuxextrmitsduliendoiventutiliserlemmeintervallepour assurer un fonctionnement fiable. Les trames Keepalive sont numrotes en squence partir de 0. Les deux extrmitsnumrotentdefaonindpendante.OutrelenumrodesquenceattribulatrameKeepaliveencours deprparation,lesystmeplacegalementdanslatramelederniernumroreudelautresystme:

Immdiatement avant dmettre une trame Keepalive , un systme compare le numro de squence mis et le derniernumrodesquenceacquittparlautreextrmit:

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 3-

Quandladiffrenceentrenumrodesquencemisetderniernumroacquittatteint3,lIOSconsidrequelaliaison est ltat DOWN et ne peut plus servir lacheminement de paquets. Ainsi, 30 secondes au plus scoulent entre lincidentquiaffectelabonnerceptiondestramesKeepaliveetsapriseencompteparlesprotocolesderoutage. Voicilersultatdelammecommandeshipintbrquandlinterfaces0/0deR11estlaisserglesurlencapsulation par dfaut HDLC alors que linterface s0/0 de R12 est configure pour adopter une encapsulation diffrente (en loccurrencePPP,PointtopointProtocol): R11#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 Serial0/1 R11#

IP-Address 10.0.11.1 10.0.8.11 unassigned unassigned

OK? YES YES YES YES

Method NVRAM NVRAM NVRAM NVRAM

Status Protocol up up up down up up administratively down down

1.ConfigurationdesinterfacesLAN
Lescommandesutilisersontlessuivantes:
G

interface{ ethernet|fastethernet|gigabitethernet}{numro}
G

Modedeconfigurationglobale. Lacommandeprovoquelepassageenconfigurationdinterface.

[no]shutdown
G

Modedeconfigurationdinterface. Active/dsactivelinterface. La commande no shutdown apparat explicitement dans le fichier de configuration. La commande shutdownactivelinterfacemaisnapparatpasdanslefichierdeconfiguration.

ipaddress{@IP}{masque}[secondary]
G

Modedeconfigurationdinterface. AffecteuneadresseIPlinterface.

- 4-

ENI Editions - All rigths reserved - FORMATIONS AFIP

Il est possible daffecter plusieurs adresses IP la mme interface. On ne change rien la faon dassignerlapremireadresseIPlaidedelacommande ipaddressenconfigurationdinterface.La seconde adresse (et les suivantes si ncessaire) sont affectes laide de la mme commande laquelleonajoutelemotclsecondary.

description{string}
G

Modedeconfigurationdinterface. Permet dassocier linterface tout commentaire susceptible daider ladministrateur selon ladage Toutcequiparatclairaujourdhuisembleratrsobscurdanssixmois. Nadesignificationquelocalement.Outreunecommande showrunou showstart,ladescriptionest galementafficheparunecommandeshowinterfaces. Stringestlimite238caractres.

SurR11: R11#conf t Enter configuration commands, one per line. End with CNTL/Z. R11(config)#int f0/0 R11(config-if)#description LAN11 R11(config-if)#ip address 10.0.11.1 255.255.255.0 R11(config-if)#no shutdown R11(config-if)#^Z R11# *Mar1 04:55:33.798: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar1 04:55:34.800: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up SurR12: R12(config)#int f0/0 R12(config-if)#description LAN12 R12(config-if)#ip address 10.0.12.1 255.255.255.0 R12(config-if)#no shutdown R12(config-if)#^Z R12# *Mar1 01:04:52.060: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar1 01:04:53.061: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

2.ConfigurationdesinterfacesWAN
Aux commandes utiles la configuration des interfaces LAN, il convient dajouter les commandes clock rate et bandwidth:
G

interface{ serial|async}{numro}
G

Modedeconfigurationglobale. Lacommandeprovoquelepassageenconfigurationdinterface. Le motcl async est utilis lorsque lon a affaire une interface srie fonctionnant en mode asynchrone(marginal).

[no]shutdown
G

Djdcrit.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 5-

ipaddress{@IP}{masque}[secondary]
G

Djdcrit.

clockrate{dbit}
G

Modedeconfigurationdinterface. EnsituationdeTP,ilfautsimulerlelienWANsansavoirrecoursdesbotiers,modemsouDSU/CSU. Fortheureusement,CISCOmetdispositiondescordonsextrmitETCD(DCE).SimulerunlienWAN ncessitederelierlesdeuxinterfacesWANdesdeuxrouteursviadeuxcordons,lunextrmitETTD, lautreextrmitETCDpuisdeconfigurerlinterfacectETCD(DCE)defaoncequellefournisse lhorloge,cestlobjetdelacommandeclockrate. Ledbitestexprimenbps(bitsparseconde).

bandwidth{bande_passante}
G

Modedeconfigurationdinterface. Hlas,seuleslesinterfacesLANdesrouteursCISCOsontautomatiquementconfiguresaveclabande passanteconvenable.LesinterfacesWANnepeuventpasltrecarledbitestenralitcadencpar lhorloge fournie par le botier ETCD ou CSU/DSU. LIOS ntablit aucune corrlation entre le dbit physique,cadencparlquipementdeterminaisondecircuitdedonnesetleparamtre bandwidth delaconfigurationdinterface.Pardfaut,lIOSconsidrequelinterface serialestconnecteun canal T1 de dbit 1,544 Mbps (Eh oui, CISCO est amricain !). Rparer cette lacune ncessite le recourslacommande bandwidth.Attention,lesdeuxcommandesclockrateetbandwidthnutilisent paslammeunit,bande_passanteestexprimenKbps(Kilobitsparseconde).

encapsulation{encapsulation_type}
G

Modedeconfigurationdinterface. La valeur par dfaut dpend du type dinterface. Linterface WAN synchrone classique utilise un protocole propritaire CISCO extrapol de HDLC et dj voqu, une interface WAN asynchrone utiliseraitpardfautuneencapsulationSLIP(SerialLineInternetProtocol),protocolerudimentairedont leseulobjetestprcismentdencapsulerIPsurdesliaisonssrie.

R11(config)#int s0/0 R11(config-if)#encapsulation ? atm-dxi ATM-DXI encapsulation frame-relay Frame Relay networks hdlc Serial HDLC synchronous lapb LAPB (X.25 Level 2) ppp Point-to-Point protocol smds Switched Megabit Data Service (SMDS) x25 X.25 R11(config-if)#encapsulation hdlc ? <cr> description{string}
G

Djdcrit.

Applicationnotremiseensituation,surR11: R11(config)#int s0/0 R11(config-if)#ip address 10.0.8.11 255.255.255.0 R11(config-if)#no shutdown R11(config-if)#description Lien loue 64K vers Nantes R11(config-if)#bandwidth 64

- 6-

ENI Editions - All rigths reserved - FORMATIONS AFIP

R11(config-if)#^Z R11# SurR12: R12(config)#int s0/0 R12(config-if)#ip address 10.0.8.12 255.255.255.0 R12(config-if)#no shutdown R12(config-if)#clockrate 64000 R12(config-if)#bandwidth 64 R12(config-if)#description Lien loue 64K vers Dunkerque R12(config-if)#^Z R12# Noussommesdansuncasdcole,R12estlectDCEdulienWANcequiexpliquelaprsencedelacommandeclock rate64000,commandeabsentedelaconfigurationdeS0/0surR11.

3.Configurationdesinterfacesdeloopback
Lesseulescommandesutilessont:
G

interface{ loopback}{numro}
G

Modedeconfigurationglobale. Lacommandeprovoquelepassageenconfigurationdinterface.

ipaddress{@IP}{masque}[secondary]
G

Djdcrit.

Dansnotremiseensituation: R11(config)#interface loopback ? <0-2147483647> Loopback interface number R11(config)#interface loopback 0 R11(config-if)#ip address 1.0.0.11 255.255.255.255 R11(config-if)#^Z R11# Unecommandeshipintbrpermetdobserverquelinterfacedeloopbackpassedansltat upsansquilyaiteu besoindentrerlacommande noshutdown.linverse,unecommande shutdownprovoqueraitsonpassageltat administrativelydown: R11#sh ip int br Interface FastEthernet0/0 Serial0/0 FastEthernet0/1 Serial0/1 Loopback0

IP-Address 10.0.11.1 10.0.8.11 unassigned unassigned 1.0.0.11

OK? YES YES YES YES YES

Method NVRAM NVRAM NVRAM NVRAM manual

Status Protocol up up up up administratively down down administratively down down up up

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 7-

Configurationdesprotocolesdeniveaurseau
Pour ce chapitre, nous nous en tiendrons la configuration des adresses IP. Les chapitres suivants prsentent les diffrentsprotocolesderoutageetleurconfiguration.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

Commandesdevisualisationdtat
La multiplicit des commandes show impressionne et il est vrai que ladministrateur doit en connatre un nombre suffisantpourprtendretreautonomedanslenvironnementILC.Biensr,chaquechapitredecetouvragepropose un jeu de commandes en rapport avec lactivit du chapitre. On ne saurait trop conseiller ltudiantdenrichir un petit carnet (un pensebte mais rien nempche den faire un penseintelligent) qui rpertorie les commandes importantes, au moins pendant la phase de prparation la certification. En voici un premier aperu qui ne prtend absolumentpastreexhaustif: Commande Frquence dutilisation ***** **** ** Affiche...

showrunningconfig showstartupconfig showversion

Lefichierdeconfigurationcourante. Lefichierdesauvegardedelaconfiguration. Laconfigurationmatrielledusystme,laversiondIOS,le nometlasourcedelimageIOSquiaserviamorcerle routeur,lavaleurduregistredeconfigurationconfreg... Desinformationssurlesprocessusactifs. LaconsommationderessourcesCPUdesprocessusactifs. Laconsommationderessourcesmmoiredesprocessus actifs. Lesnombreusesoptionspossiblesdecettecommandequi globalement,fournitdesstatistiquessurlammoiredu routeur. Lutilisationdespilesparlesprocessus.

showprocesses showprocessescpu showprocessesmemory

* ** **

showmemory?

showstacks showbuffers *

Desstatistiquessurlesbuffers(mmoirestampons)du routeur. LecontenuducacheARP.Lacommandecleararpefface lesentresdynamiquescontenuesdanslatable. Latabledersolutiondenoms.Lacommandeclearhost effacelesentresdynamiquescontenuesdanslatable. DesinformationssurlammoireFlash,quantitsutilise, disponible,totale,fichiersprsents. Desinformationscouche2et3deconfigurationainsique desstatistiquesdetraficpourchaqueinterfaceconfigure surlerouteur.Lesstatistiquessontexploitablesla conditiondeconnatregalementlacommandeclear counters[typenumro]quipermetdelesremettre zro. Desinformationscouche1pourchaqueinterface configuresurlerouteur.Cettecommandeshowaffiche notammentletypedextrmitconnectlinterfaceDTE ouDCE.Elleintressedoncltudiantensituationdatelier quandlemarquagedescblesadisparu. DesinformationsIPsurlesinterfaces.

showarp

**

showhosts

**

showflash

**

showinterface[typenumro]

**

showcontrollers[type numro]

***

showipinterface[type numro][brief] showiproute

*****

*****

Latablederoutagedurouteur.Certainementla commandelaplusutilise.Ilestpossibledecomplterla commandeenajoutantdesargumentsquivontaffinerla


- 1-

ENI Editions - All rigths reserved - FORMATIONS AFIP

demande.Cestmmencessairequandlatablede routagecomportebeaucoupdentres. showprotocols *** Lenometltatdetouslesprotocolesdecouche3 configurssurlerouteur. Desinformationssurlaconfigurationdesprotocolesde routagesurcerouteurainsiquelesinformationsde rseau:sourcesdinformation,distancesadministratives. LalistedessessionsTelnetencours. Lalistedesutilisateursactuellementconnects.En ajoutantlargumentall,onobtientgalementde linformationsurleslignesinactives.Ltoilemarquela lignequiatutilisepourentrercettecommande. Lheureetladate.Essayergalementshowclockdetail. Lhistoriquedescommandesprcdemmententres.

showipprotocols

***

showsessions showusers

** **

showclock showhistory

* **

- 2-

ENI Editions - All rigths reserved - FORMATIONS AFIP

Sauvegardeetrestaurationdesconfigurations
1.Sauvegarde/RestaurationviaTFTP
RFCutiles:
G

RFC1350TheTFTPProtocolJuillet1992

TouteslesapplicationsnontpasbesoindelatotalitdesfonctionsoffertesparFTP.LacomplexitdeFTPestacquise au prix dune application au volume consquent. La pile de protocoles TCP/IP dispose dun second protocole de transfertdefichiersappelTFTP(TrivialFileTransferProtocol,Trivial=simple),trssimple,sanscontrledaccs,sans possibilit de lister les fichiers distants (il faut connatre le nom du fichier rcuprer). Les capacits de TFTP se bornentlireoucriredesfichiersdepuisouversunserveurdistant.IlestdoncmoinsvolumineuxqueFTP,cequi permetparexempledelembarquer en mmoire morte dunsystmeinformatiquequelconque,avecunprogramme damorcequisenservirapourrapatrierunsystmedexploitationdepuisunserveurdistant. TFTPsexcuteaudessusdUDP,leserveurTFTPoffresonservicesurleportUDP69. LepremierdatagrammeUDPtransportelademandedetransfertdefichierquisertaussidedemandedeconnexion. Sileserveurautoriselarequte,lefichierestenvoyparfragmentsdetaillefixede512octets.Lmetteurenvoieun de ces fragments puis attend un accus de rception pour ce fragment avant denvoyer le suivant. Le rcepteur acquittechaquefragmentdssarception.Unpaquetdedonnesdemoinsde512octetssignalelafindutransfert etlafindufichier. Lmetteurdun paquet N(donnesouacquittement)armeuntemporisateur.Sicetemporisateurexpireavant quelepaquetsuivantneluisoitparvenu,alorslmetteurretransmetcepaquetN.Ainsi,lmetteurneconserve en mmoire quun seul paquet dans lattente ventuelle dune retransmission. Les fragments du fichier sont numrotssquentiellementpartirde1.Chaquepaquetdedonnescontientunenttequiindiquelenumrodu fragment transport. Un message derreur peut remplacer un paquet de donnes ou un accus de rception. Il provoquelaterminaisonimmdiatedutransfert. Une fois demande la lecture ou lcriture du fichier, le serveur utilise ladresse IP et le port UDP du client pour identifierleschangesdelasessionTFTP.Ainsi,lesmessagesdedonnesoudacquittementsnontpasbesoinde prciserlenomdufichier. TFTPdevraittrerservunusagesurrseaulocal.LesquipementsrseauxembarquentTFTPafindepermettre lamisejourdeleurssystmesdexploitation. Commenons par mettre en place un serveur TFTP sur la machine virtuelle VMSRV01. LInternet fourmille de petits utilitairesgratuitspouvantremplircetoffice.DanslouvrageCiscoNotionsdebasesurlesrseauxdanslacollection CertificationsauxEditionsENI,nousavionsdjmisprofitlexcellentTftpd32capableautantderaliserunserveur DHCP quun serveur TFTP ou un serveur SYSLOG. vitons de nous disperser, il fera parfaitement laffaire. Pour mmoire,ilestpossibledeletlchargerdepuislesite:http://tftpd32.jounin.net/ La figure cidessous illustre quelques tapes de la prparation dun serveur TFTP sur la machine VMSRV01. Un rpertoireCONFIGSatcrdanslerpertoireracineduserveurTFTP.Leserveurestladresse10.0.12.100, lcoutesurleport69:

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

Dans linterface ILC, la commande utiliser est la commande copy dont la fonction est de copier tout fichier dune source vers une destination. Une demande daide permet de se rendre compte de la quantit de sources et destinationsconnuesdelIOS: R11#copy ? /erase /error /noverify /verify archive: cns: flash: ftp: http: https: ips-sdf null: nvram: pram: rcp: running-config scp: startup-config system: tftp: xmodem: ymodem:

Erase destination file system. Allow to copy error file. Dont verify image signature before reload. Verify image signature before reload. Copy from archive: file system Copy from cns: file system Copy from flash: file system Copy from ftp: file system Copy from http: file system Copy from https: file system Copy from current IPS signature configuration Copy from null: file system Copy from nvram: file system Copy from pram: file system Copy from rcp: file system Copy from current system configuration Copy from scp: file system Copy from startup configuration Copy from system: file system Copy from tftp: file system Copy from xmodem: file system Copy from ymodem: file system

Lasyntaxedelacommandecopyestlasuivante:
G

Copy[/erase][/verify|/noverify]sourceurldestinationurl
G

Modeprivilgi. /erase:effacelefichierdedestinationavantdeffectuerlacopie. /verify:nesapplique quauxfichiersdimages IOS. Vrifie la signature du fichier de destination et supprimelefichiersilavrificationchoue.

- 2-

ENI Editions - All rigths reserved - FORMATIONS AFIP

/noverify : ne sapplique quaux fichiers dimages IOS, permet de dsactiver pour cette copie la vrificationsystmatiquedescopiesdimagesIOS,vrificationentrepriseparcequeladministrateura entrlacommandedeconfigurationglobalefileverifyauto. Sourceurletdestinationurl:comprendlafoislalocalisationdufichierainsiquesonnom.Sourceet destinationpeuventtrelocalesoudistantes.

Avanttoutemiseen uvre,testonslaconnectivitavecleserveurTFTP: R11#ping 10.0.12.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.12.100, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 24/37/56 ms R11# Enversionuneseuleligne,lacommandesuivantepermetdecopierlefichierdeconfigurationcouranteverslefichier R11confg.txtsitudanslesousrpertoireCONFIGSluimmeplaclaracineduserveurTFTP,cestdiredansle rpertoireC:\TFTPdelamachineVMSRV01: R11#copy run tftp://10.0.12.100/configs/R11-confg.txt Address or name of remote host [10.0.12.100]? Destination filename [configs/R11-confg.txt]? .!! 1799 bytes copied in 7.752 secs (232 bytes/sec) R11# Le fichier de configuration courante peut indiffremment tre dsign par {run | runningconfig | system:runningconfig}. Lammecommandepeutfonctionnerdemanireinteractive: R11#copy run tftp Address or name of remote host []? 10.0.12.100 Destination filename [r11-confg]? configs/r11-confg.txt !! 1799 bytes copied in 4.399 secs (409 bytes/sec) R11# Chaquepointdexclamationcorrespondautransfertdedixpaquetsde512octetschacunetindiquequeletransfert sedroulenormalement.Unpointenlieuetplacedunpointdexclamationsignifiequeleprocessusdecopieasubi untemporisateurchu(timedout). Outrelintrtdedisposerdunesauvegardedelaconfigurationdurouteuretdepouvoircentraliserlessauvegardes detouteslesconfigurationsdesquipementsrseau,lasauvegardesurserveurTFTPpermetlditionhorsinterface ILC.Pournousenconvaincre,modifionslgrementlaconfigurationdeR11enditantlefichiertexteR11confg.txt:

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 3-

LamodificationportesurlenomdurouteurR11changenR11a.Ilresterinjecter lefichierdanslerouteur mais plutt que den faire directement le fichier runningconfiguration, proposonsnous den faire le fichier startup configuration.Ainsi,lamodificationneserapriseencomptequelorsduprochaindmarrage. LacommandesuivantepermetdercuprerunfichierdeconfigurationsurunserveurTFTPetdenfairelefichierde sauvegardedelaconfigurationdurouteur,cestdirelefichierStartupconfig: R11#copy tftp://10.0.12.100/configs/R11-confg.txt start Destination filename [startup-config]? Accessing tftp://10.0.12.100/configs/R11-confg.txt... Loading configs/R11-confg.txt from 10.0.12.100 (via Serial0/0): ! [OK - 1919 bytes] [OK] 1918 bytes copied in 11.431 secs (168 bytes/sec) R11a# *Mar 1 00:01:53.770: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://10.0.12.100/configs/R11-confg.txt by console (59140 DUNKERQUE) R11a# Lefichierdesauvegardedelaconfigurationpeutindiffremmenttredsignpar{start | startupconfig| nvram:startupconfig}. VrifionsquelamodificationestbienpriseencompteenredmarrantR11.Attention,sousGNS3biensauvegarder latopologieavantdarrterR11(cequiprovoquelasauvegardesurdisquedelaNVRAMsimule). Le redmarrage peut tre provoqu laide dune commande reload en mode privilgi. La syntaxe de cette commandeestlasuivante:
G

reload[/verify|/noverify][line|in[hhh :mm|mmm[text]]|athh :mm[text]|cancel]


G

Modeprivilgi. /verify:vrifielasignaturedufichierIOSquiserachargsuiteauredmarrage. /noverify : dsactive pour ce redmarrage la vrification systmatique de limage IOS, vrification entrepriseparcequeladministrateuraentrlacommandedeconfigurationglobalefileverifyauto. line : fournit, dans une chane limite 255 caractres, un motif qui a entran la ncessit de
ENI Editions - All rigths reserved - FORMATIONS AFIP

- 4-

redmarrer.
G

In : le routeur redmarrera dans hhh :mm ou dans mmm minutes. On peut ainsi diffrer le redmarragejusqu24jours! at:lerouteurredmarreralheureprogrammecejour(silheure programme est postrieure lheure courante), le jour prochain (si lheure programme est antrieure lheure courante). Il est galementpossibledespcifierunedate.00:00provoqueleredmarrageminuit. cancel:annuleunredmarrageprogramm.

Sicettecommandeesttoutfaitdignedintrt,ilfautbienavouerquelleestassezmalaccepteparlaplateforme mulelaidedeGNS3.Onsentiendradoncauclicdroitsurlerouteurquilfautredmarrersuividuchoix Arrter puisduchoixDmarrer. ********************************************************************** **** Avertissement ! Acces aux seules personnes autorisees ! **** **** Vos activites au cours de cette session sont susceptibles **** **** detre enregistrees. Toute activite illicite fera lobjet **** **** dun recours en justice ! **** **********************************************************************

User Access Verification Password: Bienvenue, vous venez de vous connecter au routeur R11a.ccna.fr depuis la ligne 0 situee 59140 DUNKERQUE. R11a> CQFD.

2.Sauvegarde/Restaurationparcopiercoller
Cettesecondefaondeprocderesttoutaussiintressante,particulirementquandlditiondelaconfigurationdu routeurestlongueetfastidieuse.Ilsagit dditerlaconfigurationendehorsdelinterfaceILC,unditeurdetexte quelconquefaitlaffaire,puisdelinjecterdanslinterfaceILCparcopier/coller. Pour les ateliers de cet ouvrage, lauteur a propos dutiliser lmulateur de terminal PuTTY bien connu des professionnels. Lavantage de cet outil est quil permet autant lmulation dun terminal que ltablissement dune connexion Telnet ou SSH via le rseau. Ce chapitre dcrit une premire procdure qui consiste utiliser PUTTY associlditeurdetexteNotepadprsentdanstouteslesversionsdeWindows.LechapitreconsacrlaGestion detraficparlistedaccsproposeunesecondefaondefairequiutiliseloutilHyperTerminalfourniavecWindows, nouveauassociNotepad.

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 5-

Suivezlesnumrosdespastillessurlesillustrations: 1. Une session console via le port console ou via Telnet est ouverte sur le routeur R11a. Si elle a t ouverte linstant, la mmoire que PUTTY ddie lactivit de la console (toutes les lignes affiches sur lcran y sont enregistres)estvide.Sicentaitpaslecas,ilestpossibledevidercettemmoireeneffectuantunclicdroitsurla barredetitrepuisenslectionnant ClearScrollback.Ladministrateuraplaclinterfacedanslemodeprivilgiet provoque une commande show run. Puis, ladministrateur frappe la barre despace chaque fois quil obtient le message More,ceafindobtenirlaffichagecompletdelaconfiguration.Puisquelatotalitdelaconfigurationat affichelcran,ellesetrouvegalementdanslammoiredePUTTY. 2.Pourtransfrerlecontenudecettemmoiredanslepressepapiers,ladministrateureffectueunclicdroitdansla barredetitre... 3....etdanslemenucontextuelquisaffiche,slectionneCopyAlltoClipboard. 4.LadministrateuraouvertuneinstancedeNotepadetsempressedycollerleprcieuxcontenu. 5. Il faut encore dbarrasser le contenu des affichages pour ne conserver que les commandes qui constituent rellementlaconfiguration.Parexemple,endbutdecapture,effacezleslignessuivantes: R11a#sh run Building configuration... Current configuration : 1226 bytes Delammefaon,enfindecapture,effacezlalignesuivante: R11# Dans cette situation, le lecteur est en possession du fichier de configuration de ce routeur, quil est prudent de sauvegarder(R11.txtparexemple)etquilestpossibledemodifierloisiravantdelerinjecterdanslerouteur:

- 6-

ENI Editions - All rigths reserved - FORMATIONS AFIP

6. Ladministrateur simpose dutiliser les fichiers texte de configuration en partant systmatiquement du mode privilgi.Ilajouteparconsquentlacommandeconftncessairepourpasserenmodedeconfiguration. 7.Observezenfinlacommandeend,quivalentelacombinaison[Ctrl]Z,etquipermetdereveniraumodeprivilgi aprslinjection de la configuration modifie. Non illustr : la commande no shutdownnapparaissantpasdefaon explicitelorsquuneinterfaceatactive,ilpeuttreutiledelajoutersurlesinterfacesconcernes(f0/0etS0/0 danslecasprsent).Ainsi,lefichierobtenuinjectdansunrouteursortiducartonpermettraitdereproduireunclone deR11. 8.LadministrateurslectionnelensembleducontenudufichierR11.txt... 9....etleplacedanslePressepapiers. 10.DeretourdanslasessionconsoleouvertesurlerouteurR11a,lemodeencoursestlemodeprivilgi.Unsimple clicdroitprovoquelecollageducontenuduPressepapiers. 11.R11aestredevenuR11. SilfautcomparerlesdeuxmthodesdditionhorsinterfaceILC,remarquonstoutdabordquavecletransfertTFTP, lasourceoulacibledelaconfigurationsontindiffremmentlefichier runoulefichier start.Lamthodecopier/coller prsenteunpeumoinsdesouplesse.CertesquandoncapturelaconfigurationdanslePressepapiers,puisquelle est issue dunecommandeshow,cepeuttreunecommande show runouunecommande showstart. Mais dans lautresens,quandoninjectelaconfiguration,cenepeuttrequedanslefichierdeconfigurationcourante.Ilreste nepasoublierdeconclureavecunecommandedecopiecopyrunstart.

3.Commenterlesfichiersdeconfiguration
Avouezqucetinstant,onestpluttsatisfaitlidedutempsquilestpossibledegagnerentravaillanthorsde linterface ILC. Le second avantage tient la possibilit de grer de faon rationnelle, centralise et scurise les fichiersdeconfigurationdesquipements.Encoreunepierredansldificationdunepolitiquedescurit. Un avantage non document consiste commenter les fichiers de configuration. Le lecteur aura remarqu la prsencedespointsdexclamationdanscesfichiersetlefaitquilsfontofficedecaractresdesparation.Lefichier deconfigurationresteunfichiertextemaislesdiffrentesrubriquesquilecomposentsontaresparlespoints dexclamation.Onpeutlessupprimerouenajouter,cestsansinfluencesurlinterprtationquefaitlIOSdeslignes decommande. Chose irralisable depuis linterface ILC, on peut donc galement ajouter du texte aprs lun de ces points dexclamation,ilneserapasinterprtparlIOS:

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 7-

Supposonsquelonaittransfrlefichiercidessusverslefichierdeconfigurationstart.Pendantloprationdeboot durouteur,lefichierrunatobtenuparclonagedufichierstart,ceciprsquelecommentaire,inconnudelIOSa t ignor. En final, il est possible de visualiser le commentaire laide dune commande show start. Mais ce commentaireresteabsentdursultatdunecommandeshowrun.Etuneseulecommandecopyrunstartaraisondu commentaire.IlfautdoncsurtoutleconsidrercommeuncommentairehorsinterfaceILC.

4.TP:Cration,sauvegardeetrestaurationdunfichierdeconfiguration
a.Activitguide
En premier lieu, le lecteur est invit reproduire la topologie propose en dbut de chapitre puis y reproduire lensembledesactivitsdecechapitre.

b.Activitnonguide
I

laide de lunedesdeuxmthodesproposes,TFTPoucopier/coller,extrayezlaconfigurationdurouteurR11 dansunfichierR11.txt. ModifiezcefichierafinquildeviennelaconfigurationdeR12etsauvegardezdansR12.txt. InjectezR12.txtdanslerouteurR12parTFTPoucopier/coller. VrifiezlaconnectivitdePCL11avecPCL12.

tout hasard, les deux fichiers R11.txt et R12.txt ont t placs dans larchive Atelier2a.zip disponible en tlchargement. Ces fichiers sont prvus pour tre injects dans les routeurs par la mthode copier/coller. Pour quilspuissentgalementtrechargsparTFTPentantquefichiersdeconfiguration,ilconvientaupralabledter lapremireligneconftdanschacundesdeuxfichiers. Cetatelierestprsenttermin.

- 8-

ENI Editions - All rigths reserved - FORMATIONS AFIP

Validationdesacquis:questions/rponses
1.Questions
Siltatdevosconnaissancessurcechapitrevoussemblesuffisant,rpondezauxquestionsciaprs. 1 Ladministrateuraentrlescommandesdeconfigurationcidessous: Router(config)#service password-encryption Router(config)#enable password my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? 2 Ladministrateuraentrlacommandedeconfigurationcidessous: Router(config)#enable secret my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? 3 Quellecommandepermettraitdesassurerdeltatdesinterfaceslafoissurlacouchephysiqueetsurla coucheliaison? 4 LadministrateurtentedouvriruneconnexionTelnetsurlerouteurNANTES.Ilestcertainquelacorrespondance Nom@IPexistesurleserveurDNS.LeserveurDNSestbienrenseigndanslaconfigurationdeR11laide dunecommandeipnameserver.Quelpourraittreleproblme? R11#NANTES Translating "NANTES" Translating "NANTES" % Unknown command or computer name, or unable to find computer address R11# 5 QuellecommandepermetdactiverlemodeapproprisurlerouteurpourconfigureruneinterfaceLANdetype fastethernet? 6 Observezlatopologiecidessousetlaconfigurationassocie.

R11(config)#interface serial 0/0 R11(config-if)#ip address 10.0.8.229 255.255.255.252 R11(config-if)#no shutdown R11(config-if)#exit LadministrateurconstateundfautdeconnectivitentrePCL11etPCL12.Quellespourraiententrelescausesau vudelatopologieetdelextraitdeconfigurationfournis? 7 QuellecommandepermetdeplacerlinterfaceILCdanslemodeconvenableafindtablirlemotdepassequi protgelaccslaconsole? 8 Quellecommandepermetlaffichagedunmessageunefoislasessionouverte,cestdireunefoislutilisateur authentifi?

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 1-

9 Quellecommandepermettraitderedmarrerunrouteurminuitcejour? 10 QuellecommandepermetdesauvegarderlaconfigurationprsenteenRAMdanslapartitionNVRAM? 11 QuellecommandepermetdafficherlensembledescommandesvalidesdanslemodeactueldelinterfaceILC? 12 Quelpeuttrelesouciausujetduneinterfacepourlaquelleladministrateurareulemessagesuivanten rponseunecommandeshowinterfaceserial0/0? Router#sh int s0/0 Serial0/0 is administratively down, line protocol is down 13 Quelpeuttreleproblmeausujetduneinterfacepourlaquelleladministrateurareulemessagesuivanten rponseunecommandeshowinterfaceserial0/0? Router#sh int s0/0 Serial0/0 is down, line protocol is down 14 QuelleestlencapsulationralisepardfautsuruneliaisonWANdetypesynchrone?

2.Rsultats
Rfrezvousauxpagessuivantespourcontrlervosrponses.Pourchacunedevosbonnesrponses,comptezun point. Nombredepoints/14 Pourcechapitre,votrescoreminimumdoittrede11sur14.

3.Rponses
1 Ladministrateuraentrlescommandesdeconfigurationcidessous: Router(config)#service password-encryption Router(config)#enable password my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? enable password 7 ####### Lasquence######correspondaumotdepassechiffrlaideduservicepassword encryption. 2 Ladministrateuraentrlacommandedeconfigurationcidessous: Router(config)#enable secret my_password Quelle ligne de commande doitil trouver dans le fichier de configuration courante affich laide dune commande showrun? enable secret5 ####### Lasquence######correspondaumotdepassechiffrlaidedelalgorithmeMD5. 3 Quellecommandepermettraitdesassurer de ltatdesinterfaceslafoissurlacouchephysiqueetsurlacouche liaison? Router#sh ip int br 4 LadministrateurtentedouvriruneconnexionTelnetsurlerouteurNANTES.IlestcertainquelacorrespondanceNom @IP existe sur le serveur DNS. Le serveur DNS est bien renseign dans la configuration de R11 laide dune commandeipnameserver.Quelpourraittreleproblme?

- 2-

ENI Editions - All rigths reserved - FORMATIONS AFIP

R11#NANTES Translating "NANTES" Translating "NANTES" % Unknown command or computer name, or unable to find computer address R11# Larsolutiondenomsestdsactivelaidedelacommandenoipdomain lookup. 5 Quelle commande permet dactiver le mode appropri sur le routeur pour configurer une interface LAN de type fast ethernet? Router(config)#interface fastethernet 0/0 6 Observezlatopologiecidessousetlaconfigurationassocie.

R11(config)#interface serial 0/0 R11(config-if)#ip address 10.0.8.229 255.255.255.252 R11(config-if)#no shutdown R11(config-if)#exit LadministrateurconstateundfautdeconnectivitentrePCL11etPCL12.Quellespourraiententrelescausesau vudelatopologieetdelextraitdeconfigurationfournis? Ladresse IP de s0/0 sur R11 nappartient pas au rseau 10.0.8.224/30 mais au rseau 10.0.8.228/30. Par ailleurs, linterface s0/0 tant place ct DCE de la liaison, il manque la commande clock rate qui provoque la fourniture de lhorloge. 7 QuellecommandepermetdeplacerlinterfaceILCdanslemodeconvenableafindtablirlemotdepassequiprotge laccslaconsole? Router(config)#line console 0 8 Quelle commande permet laffichage dun message une fois la session ouverte, cestdire une fois lutilisateur authentifi? Router(config)#banner exec # 9 Quellecommandepermetderedmarrerunrouteurminuitcejour? Router#reload at 00:00 10 QuellecommandepermetdesauvegarderlaconfigurationprsenteenRAMdanslapartitionNVRAM? Router#copy run start

ENI Editions - All rigths reserved - FORMATIONS AFIP

- 3-

11 QuellecommandepermetdafficherlensembledescommandesvalidesdanslemodeactueldelinterfaceILC? ? 12 Quelpeuttrelesouciausujetduneinterfacepourlaquelleladministrateurareulemessagesuivantenrponse unecommandeshowinterfaceserial0/0? Router#sh int s0/0Serial 0/0 is administratively down, line protocol is down Pourcetteinterface,lefichierdeconfigurationcomporteunecommandeshutdown. 13 Quel peut tre le problme au sujet dune interface pour laquelle ladministrateur a reu le message suivant en rponseunecommandeshowinterfaceserial0/0? Router#sh int s0/0 Serial0/0 is down, line protocol is down Cettefois,ilsagitdunproblmequiaffectelacouchephysique:dfautdecble,pasdquipementactifenvisvis... 14 QuelleestlencapsulationralisepardfautsuruneliaisonWANdetypesynchrone? HDLCmaisenralit,unHDLCrevisitparCISCO.

- 4-

ENI Editions - All rigths reserved - FORMATIONS AFIP